La IA que no pidió permiso

Una empresa incorporó asistentes de inteligencia artificial en varias áreas sin anunciar ningún proyecto formal. Marketing los utilizaba para preparar campañas, recursos humanos para resumir evaluaciones y el equipo comercial para redactar propuestas y analizar conversaciones con clientes.

La adopción parecía ordenada porque cada uso era pequeño y estaba bajo el control de una persona. La situación cambió cuando una recomendación generada por IA terminó influyendo en la clasificación de varios candidatos. Nadie sabía con precisión qué información había recibido el sistema, qué criterios había aplicado ni quién debía revisar el resultado antes de utilizarlo.

El problema no era que recursos humanos utilizara IA para resumir información. Apareció cuando el resultado comenzó a intervenir en una decisión laboral. En Perú, los sistemas utilizados para determinar procesos de selección, evaluación, contratación, condiciones laborales o cese son considerados de alto riesgo. No están prohibidos, pero requieren controles para evitar sesgos y proteger los datos personales. [1]

La herramienta ya formaba parte de una decisión importante, aunque la organización todavía la consideraba un apoyo informal.

La adopción ocurre antes que la política

Es probable que en su empresa la inteligencia artificial ya esté siendo utilizada de maneras que la dirección desconoce. La facilidad de acceso permite que cada equipo experimente por su cuenta, incorpore asistentes y encuentre soluciones rápidas para tareas que antes consumían más tiempo.

Esa exploración puede ser valiosa, pero también crea una zona difícil de gestionar. Los datos ingresan en plataformas externas, las recomendaciones se trasladan a procesos internos y las decisiones comienzan a apoyarse en resultados cuyo origen no siempre queda documentado.

El problema aparece cuando el uso deja de ser personal y empieza a afectar a clientes, colaboradores, proveedores o resultados financieros. En ese punto, la pregunta ya no gira únicamente alrededor de qué puede hacer la IA. Conviene saber qué funciones puede asumir dentro de su organización y bajo qué condiciones.

Definir los límites antes de necesitarlos

La empresa del ejemplo revisó los usos existentes y descubrió que la IA participaba en más procesos de los que la dirección suponía. Algunas aplicaciones eran de bajo riesgo, como ordenar información o preparar borradores. Otras influían en evaluaciones, recomendaciones y comunicaciones que se enviaban sin una revisión consistente.

La respuesta no consistió en detener la adopción. Se definieron niveles de intervención según el impacto de cada tarea. Los usos de apoyo podían continuar con criterios básicos de confidencialidad y revisión. Las recomendaciones que afectaban a personas, contratos o decisiones sensibles requerían trazabilidad, supervisión y una responsabilidad claramente asignada.

La organización también estableció qué información podía utilizarse, qué sistemas estaban autorizados y cómo debían registrarse las decisiones asistidas por IA. Con ello, los equipos dejaron de interpretar los límites según su propio criterio.

Este criterio ya aparece en el Reglamento Europeo de Inteligencia Artificial, que considera de alto riesgo ciertos usos vinculados con la selección y gestión laboral y exige trazabilidad, supervisión humana y responsables con competencia y autoridad para intervenir.[2]

La capacidad que permanece aunque cambie la herramienta

Los modelos y proveedores seguirán evolucionando. Por eso, una política centrada únicamente en plataformas concretas queda desactualizada con rapidez. La capacidad duradera consiste en definir responsabilidades, niveles de riesgo y criterios de supervisión que puedan aplicarse a cualquier tecnología futura.

Esta arquitectura de decisión permite avanzar sin depender de que cada nuevo uso llegue primero al comité directivo. Los equipos saben cuándo pueden experimentar, cuándo necesitan aprobación y qué decisiones deben permanecer bajo responsabilidad humana.

La gobernanza adquiere valor cuando facilita una adopción más clara y evita que la organización descubra sus límites después de una incidencia. También protege la posibilidad de innovar, porque reduce la incertidumbre sobre lo que está permitido y sobre quién debe intervenir.

La pregunta relevante para su dirección no es cuántas herramientas de IA se están utilizando. Conviene identificar en cuántas decisiones ya están influyendo y si existe alguien responsable de revisar lo que ocurre cuando la recomendación deja de ser un simple borrador.

Referencias

[1] Decreto Supremo N.° 115-2025-PCM, Reglamento de la Ley N.° 31814, artículo 24, numeral 24.1, literal e), publicado el 9 de septiembre de 2025.

[2] Reglamento (UE) 2024/1689, artículos 12 y 14, y anexo III.