Antonio Tejeda Encinas | CEO META Channel Corporation
La mayoría de las empresas piensa que todavía no ha decidido implantar inteligencia artificial. Simplemente, ya la está usando: Un empleado resume contratos con una herramienta generativa. Un departamento comercial automatiza respuestas. Marketing genera campañas con plataformas externas. Recursos humanos filtra candidaturas. Dirección pide informes apoyados en asistentes digitales. Nadie lo llama “proyecto de IA”, pero jurídicamente ya lo es.
Ese es el primer error. Muchas organizaciones siguen pensando que la inteligencia artificial entra en la empresa el día en que se aprueba un gran plan tecnológico, se firma un contrato con un proveedor especializado o se anuncia una transformación digital. La realidad es bastante menos ordenada. La IA entra antes, de forma silenciosa, por la puerta lateral: una cuenta gratuita, una extensión del navegador, una herramienta incluida en el paquete ofimático, una plataforma de marketing, un CRM, un sistema de atención al cliente, una aplicación de análisis de datos o un simple prompt escrito por un empleado con buena intención.
Y cuando eso ocurre, la empresa ya no está solo ante una cuestión de productividad. Está ante una cuestión de gobierno.
La inteligencia artificial no funciona en el vacío. Funciona con datos, instrucciones, documentos, patrones, históricos, perfiles, imágenes, conversaciones, expedientes, correos, bases de clientes, información interna y, muchas veces, datos personales. Por eso el debate empresarial sobre IA no puede limitarse a preguntar si una herramienta ahorra tiempo o mejora resultados. La pregunta correcta es otra: qué información entra en el sistema, para qué se usa, quién la controla, dónde se procesa, durante cuánto tiempo se conserva, qué proveedor interviene, qué derechos pueden verse afectados y qué prueba documental tiene la empresa para demostrar que todo eso está bajo control.
Durante años, muchas empresas han tratado el cumplimiento normativo como una capa documental. Una política de privacidad, unos términos y condiciones, un contrato con el proveedor, una cláusula interna, un documento que se archiva y al que nadie vuelve hasta que hay una auditoría. Ese modelo ya no sirve para la inteligencia artificial. No porque los documentos hayan dejado de importar, sino porque ya no bastan por sí solos. En IA, el cumplimiento debe estar conectado con el uso real de la tecnología. Debe poder demostrarse en la práctica.
Este cambio es profundo porque desplaza la conversación desde la tecnología hacia la responsabilidad empresarial. La IA no es solo una herramienta que ejecuta tareas. Es una infraestructura de decisión, análisis y tratamiento de información. Puede afectar a clientes, trabajadores, proveedores, consumidores, inversores y administraciones. Puede generar errores, sesgos, filtraciones, decisiones opacas, atribuciones incorrectas o usos no previstos de datos. Y cuando eso ocurre, la explicación de que “lo hizo el sistema” no exonera a la empresa. Al contrario, abre una pregunta más incómoda: quién autorizó ese sistema y bajo qué controles.
Además, el Reglamento Europeo de Inteligencia Artificial no elimina las obligaciones que ya existían. Las suma. Este punto es esencial. Hay empresas que empiezan a hablar del AI Act como si fuera una nueva normativa aislada, como si bastara con adaptarse a ella para quedar cubiertas. No es así. Si un sistema de IA trata datos personales, el Reglamento General de Protección de Datos sigue plenamente aplicable. Si el sistema se integra en procesos laborales, aparecen riesgos de derecho del trabajo y de igualdad. Si se apoya en proveedores tecnológicos críticos, entran en juego obligaciones contractuales, ciberseguridad y continuidad operativa. Si afecta a consumidores, plataformas digitales o servicios financieros, la red se ensancha todavía más.
Por eso la frase “cumplir con IA” es engañosamente simple. No se cumple con una sola norma. Se cumple con una arquitectura.
Pensemos en algo aparentemente cotidiano: una pyme que deja que sus empleados usen herramientas generativas para preparar propuestas comerciales, analizar contratos o resumir documentación de clientes. Puede que no haya mala fe. Puede que incluso haya eficiencia. Pero si se introduce información confidencial, datos personales, secretos empresariales o documentación de terceros en sistemas que la empresa no controla, el riesgo ya existe. El hecho de que no se vea no significa que no esté operando.
Ese es el punto que muchas empresas todavía no han asumido: el cumplimiento digital europeo ya no es una suma de documentos separados. Es una red de responsabilidad.
Por eso la gobernanza de la IA no puede quedar reducida al departamento tecnológico. Tampoco puede quedar encerrada en el departamento jurídico. Requiere dirección, criterio empresarial, conocimiento normativo, comprensión técnica suficiente y capacidad de ejecución. El responsable de protección de datos verá una parte del problema. El equipo de sistemas verá otra. El proveedor tecnológico verá otra. El abogado externo verá otra. Pero «alguien» tiene que mirar el conjunto, ordenar prioridades, identificar solapamientos, decidir qué debe hacerse primero y dejar constancia de que la empresa ha actuado con diligencia.
Esa es la diferencia entre usar tecnología y gobernarla.
El 3 de junio, en Smart Meeting Tenerife, abordaré precisamente esa cuestión: cómo se conectan las principales normas europeas que ya afectan a empresas, directivos e inversores, y por qué el verdadero reto no es conocer cada sigla, sino entender la red que forman. Hablaremos de inteligencia artificial, protección de datos, ciberseguridad, criptoactivos, plataformas digitales, productos conectados, contratos tecnológicos y responsabilidad empresarial. No como materias aisladas, sino como partes de una misma arquitectura regulatoria.
