Hay una cifra que conviene tener presente: el 63 % de los CEO a nivel global considera la inteligencia artificial una prioridad estratégica, pero el 91 % reconoce no sentirse preparado para implementarla de forma responsable. Gobernar la inteligencia artificial no es lo mismo que asegurar sistemas ni que cumplir con el compliance. La seguridad de la información y el compliance tienen sus propias lógicas y áreas. Las organizaciones han acelerado la adopción impulsada por objetivos de eficiencia y competitividad, pero pocas han sido igual de rápidas a la hora de definir quién responde por los sistemas que despliegan, bajo qué condiciones operan y qué ocurre cuando algo falla.
En América Latina, la regulación específica todavía no ha llegado. Más de 109 iniciativas legislativas están activas en ocho países, pero apenas tres han alcanzado etapa de aprobación. Brasil marcó en diciembre de 2024 la excepción más significativa: su Congreso Nacional aprobó el Proyecto de Ley 2.338/2023, que establece un régimen escalonado por niveles de riesgo, clasificando los sistemas de IA según su potencial de daño y asignando obligaciones proporcionalmente. Chile avanza en un esquema similar articulado en cuatro categorías. En Panamá, se debaten anteproyectos en la Asamblea Nacional sin que ninguno haya sido aprobado. Interpretar ese vacío como una zona libre de responsabilidad sería, sin embargo, un error. Cuando una empresa opera sistemas que producen decisiones con efectos jurídicos sobre terceros, la exposición existe con independencia de que haya o no una norma que la nombre expresamente. Lo que aún no existe es el estándar de diligencia específico para IA que la organización pueda invocar en su defensa. Construirlo internamente, antes de que el legislador lo imponga, es la tesis de este artículo.
Un marco de gobernanza tiene cuatro elementos mínimos. El primero es el inventario de sistemas: un registro que identifique, para cada herramienta de IA en uso, qué decisiones automatiza, a quiénes afecta y qué nivel de riesgo comporta. El segundo es la política interna, que en este contexto no es un documento de principios: es un instrumento operativo que asigna responsabilidades concretas, define qué usos están autorizados, establece qué decisiones requieren validación humana y fija las consecuencias del incumplimiento de lo previsto. Sectores como el financiero, el asegurador y el de selección de personal concentran hoy la mayor exposición, precisamente porque sus modelos inciden directamente en derechos individuales.
El tercer elemento es la cadena de rendición de cuentas. La supervisión efectiva no puede quedar diluida entre áreas ni delegada hacia abajo indefinidamente. El órgano de administración que aprueba el despliegue de un sistema de IA sin haber examinado su política de control asume, por omisión, las consecuencias que deriven de ese sistema. Cada nivel de la organización debe tener, de manera efectiva y no meramente formal, la información, la autoridad y los medios necesarios para cumplir su función. El cuarto elemento es la supervisión humana significativa, es decir, declarar que existe un responsable en el proceso no es suficiente. Esa supervisión solo es real cuando el responsable dispone simultáneamente de información suficiente para entender lo que el sistema decidió, tiempo efectivo para revisarlo y potestad para revertirlo. Si alguna de esas tres condiciones falta, el control es aparente.
A esto se añade la cuestión de la explicabilidad, que ha dejado de ser un debate académico para convertirse en una exigencia práctica. Cuando un modelo produce una decisión con efectos sobre una persona y la organización no puede explicar su fundamento, el problema no es técnico, es la imposibilidad de acreditar que el sistema actuó conforme a criterios legítimos. La opacidad del algoritmo no es un atenuante, en la práctica, opera como un riesgo jurídico atribuible a quienes lo operan. Las organizaciones deberían poder responder, para cada decisión relevante, qué variables la determinaron, qué peso tuvo cada una y bajo qué condiciones el resultado habría sido distinto. En varios ordenamientos jurídicos, el derecho a impugnar decisiones basadas exclusivamente en tratamientos automatizados ya es exigible.
Conviene precisar, finalmente, lo que la regulación formal aportará cuando llegue: un estándar mínimo y un plazo de adecuación. Las organizaciones que en ese momento ya cuenten con marcos de gobernanza consolidados estarán en posición de demostrar que actuaron por decisión de gestión, no por reacción normativa. Esa diferencia tiene valor probatorio en caso de controversia y valor reputacional frente a clientes, inversores y contrapartes. El punto de partida no es complejo: saber qué sistemas opera la organización, tener claro quién responde por cada uno y documentar esa realidad de forma verificable. En Panamá y en el resto de América Latina, esa ventana sigue abierta. La pregunta no es si habrá regulación, sino en qué posición se encontrará la organización cuando llegue.
Lea más artículos aquí.
