¿Solo para tus ojos? No del todo: la IA en la sombra en el lugar de trabajo

Las herramientas de transcripción basadas en IA se han convertido rápidamente en un elemento habitual en las reuniones empresariales modernas. Si se seleccionan y se implementan adecuadamente, ofrecen ventajas en términos de eficiencia y accesibilidad. Sin embargo, mientras muchas empresas siguen desarrollando marcos de gestión para las herramientas de IA autorizadas, ha surgido discretamente un nuevo riesgo: el uso por parte de los empleados de herramientas de transcripción no autorizadas sin el consentimiento de la empresa ni de los participantes.

Esta práctica, conocida a menudo como «IA en la sombra», genera nuevos riesgos en materia de cumplimiento normativo, privacidad y responsabilidad legal. Para las empresas que desean adoptar la IA de forma responsable, ya no basta con decidir qué herramientas autorizar; también deben gestionar el riesgo de que los empleados utilicen herramientas ajenas a los sistemas aprobados.

En una encuesta reciente realizada por la Alianza Nacional de Ciberseguridad, el 43 % de los usuarios de IA admitió haber compartido información confidencial de la empresa con herramientas de IA sin el conocimiento de su empleador.¹ Estas estadísticas ponen de relieve que el uso oculto de la IA no es algo teórico, sino que ya está ocurriendo, a menudo fuera de los sistemas y plataformas de la empresa y, por lo tanto, fuera del alcance de los equipos jurídicos y de cumplimiento normativo.

Comprender el panorama de riesgos

En cuanto los empleados empiezan a utilizar herramientas de transcripción que la empresa no ha evaluado ni autorizado, pueden surgir problemas rápidamente. Entre los principales riesgos se encuentran los requisitos legales estatales en materia de consentimiento para la grabación, las obligaciones de confidencialidad y el secreto profesional, los controles de gobernanza y las prácticas de conservación de registros; todos ellos pueden acarrear graves consecuencias a largo plazo si no se abordan mediante políticas claras y una supervisión adecuada.

En los países donde se aplica el principio del «consentimiento de las dos partes» o del «consentimiento de todas las partes», todos los participantes en una conversación deben dar su consentimiento antes de que se grabe o transcriba la reunión.² Los empleados que activen funciones de transcripción sin consentimiento pueden infringir, sin saberlo, la legislación estatal. Algunos estados imponen sanciones penales; otros permiten demandas civiles. En las jurisdicciones que imponen responsabilidad civil, y cuando la política de la empresa no prohíba expresamente la transcripción no autorizada, los empleadores pueden incurrir en responsabilidad subsidiaria si los empleados actúan en el ámbito de sus funciones. En las jurisdicciones que reconocen la responsabilidad penal de las empresas, un empleador puede verse expuesto a sanciones si, por ejemplo, un empleado graba y transcribe subrepticiamente una reunión con un ejecutivo de otra empresa.

Las herramientas no autorizadas también pueden poner en peligro la confidencialidad y el secreto profesional. Cuando una empresa contrata directamente a un proveedor, puede negociar las condiciones de seguridad y conservación de los datos, los derechos de supresión, las medidas de protección de la confidencialidad y el control sobre cómo se procesa la información. Las herramientas de transcripción gratuitas o destinadas al consumidor no suelen ofrecer estas garantías. El contenido de las reuniones puede cargarse en modelos lingüísticos de gran tamaño y sin límites que aprenden de los datos de los usuarios o almacenan información de forma indefinida, lo que puede dar lugar a una posible renuncia al privilegio abogado-cliente, a la pérdida de la protección de los secretos comerciales y al incumplimiento de las obligaciones en materia de privacidad de los datos. Una vez que los datos entran en dichos sistemas, la empresa no puede controlar su difusión, acceso o uso posterior.

Desde el punto de vista de la gobernanza, las transcripciones no autorizadas privan a la organización de la capacidad de decidir estratégicamente cuándo y cómo se graban las reuniones. Las decisiones sobre la grabación deben tomarse a nivel organizativo, y no por parte de empleados individuales, ya que estas determinan qué pasa a formar parte del registro corporativo. Sin esa supervisión, la empresa carece de una visibilidad real sobre lo que graban los empleados o cómo se gestionan las transcripciones resultantes. Cuando los empleados graban las reuniones por su cuenta, la empresa pierde la oportunidad de revisar las transcripciones para verificar su exactitud, garantizar el contexto adecuado y cotejarlas con las notas o actas oficiales.

Estos riesgos se acentúan en los litigios y en los asuntos normativos. Los datos almacenados fuera de los canales oficiales de conservación y presentación pueden dar lugar a lagunas en la presentación de pruebas o a problemas de destrucción indebida de pruebas, así como a sanciones en el marco del procedimiento de presentación de pruebas civiles o incluso a posibles acusaciones de obstrucción a la justicia si la presentación se dirige a una entidad gubernamental y no se ha conservado adecuadamente.³ La mayoría de las plataformas de consumo carecen de períodos de conservación definidos o controles de eliminación, lo que dificulta a las empresas garantizar que los registros no autorizados cumplan con las políticas de gestión de datos establecidas. Los investigadores o los abogados de la parte contraria también pueden exigir transcripciones directamente a los empleados, eludiendo la supervisión jurídica corporativa y creando versiones contradictorias que pueden socavar el privilegio y plantear dudas sobre la credibilidad.

En resumen, la IA en la sombra socava un principio fundamental del buen gobierno: la empresa debe mantener el control sobre lo que se registra, cómo se almacena y durante cuánto tiempo se conserva. Recuperar ese control es esencial para proteger la confidencialidad, la privacidad y el cumplimiento normativo.⁴

Tomar el control de Shadow AI

Una gestión eficaz de la IA en la sombra comienza con una pregunta fundamental: ¿debería permitirse a los empleados utilizar herramientas de transcripción? Y, en caso afirmativo, ¿en qué circunstancias? Esa decisión debe tomarse en el marco del sistema general de gobernanza de la IA de la empresa, bajo la dirección de los departamentos jurídico, de cumplimiento normativo y de seguridad informática.

Si la empresa llega a la conclusión de que las herramientas de transcripción pueden aportar valor cuando se gestionan adecuadamente, el departamento jurídico debería sacar a la luz el uso de la IA. Empiece por identificar qué herramientas utilizan ya los empleados y por qué. En muchos casos, los empleados recurren a la IA «en la sombra» en busca de eficiencia, no para eludir las políticas, y esa información debería ayudar a dar forma a una respuesta práctica. Colabore directamente con los equipos de negocio para comprender en qué aspectos se quedan cortas las herramientas o el soporte actuales y adapte las soluciones aprobadas para satisfacer esas necesidades.

Una vez comprendido el panorama, seleccione herramientas de transcripción seguras y de nivel empresarial que cumplan los requisitos de confidencialidad, privilegios y conservación de registros, y que se adapten a las necesidades operativas y al marco normativo de la empresa. Los proveedores autorizados deben ofrecer condiciones claras sobre la titularidad de los datos, derechos definidos de conservación y eliminación, y entornos seguros que impidan que la información de la empresa se utilice para entrenar modelos de IA.

Las políticas de la empresa deben especificar cuándo se permiten las grabaciones y quién las autoriza. Las decisiones relativas a las grabaciones deben recaer en el personal designado, y no en empleados concretos; además, los empleados deben comprender que cada grabación es un documento corporativo sujeto a obligaciones de consentimiento y a requisitos de conservación de documentos.

El compromiso y la formación de los empleados son fundamentales. Los equipos jurídicos y de cumplimiento normativo deben asegurarse de que los empleados comprendan:

Los riesgos legales y de reputación derivados de la grabación o transcripción no autorizadas;
Los requisitos de autorización estatal y las posibles sanciones por incumplimiento;
Cómo se pueden perder los privilegios y la confidencialidad al utilizar herramientas no autorizadas; y
Cuándo está permitida la grabación, quién debe autorizarla y cómo gestionar los datos resultantes.

Igualmente importante es proporcionar a los empleados herramientas funcionales y autorizadas que realmente satisfagan sus necesidades. Cuando las soluciones autorizadas son eficientes y transparentes, el uso de IA no autorizada disminuye de forma natural.

Si la empresa decide que no se debe recurrir a la transcripción, esa postura debe comunicarse y reforzarse mediante la formación. Los empleados deben comprender los motivos: las grabaciones no autorizadas pueden infringir la ley, poner en peligro la confidencialidad y anular el privilegio. Los controles técnicos pueden facilitar el cumplimiento de la normativa al detectar o bloquear las aplicaciones prohibidas, pero una comunicación constante y el apoyo visible por parte de la dirección suelen ser más eficaces a la hora de garantizar el cumplimiento.

De cara al futuro, las empresas deben partir de la base de que existe cierta actividad de IA «en la sombra». Una gobernanza sólida depende de la visibilidad y la rendición de cuentas: identificar las herramientas no autorizadas, limitar su uso y garantizar que los datos procedentes de canales aprobados se gestionen adecuadamente. La integración de la supervisión de la IA en los programas existentes de cumplimiento normativo y gobernanza de la información ayuda a las organizaciones a mantener el control a medida que la tecnología y las prácticas empresariales siguen evolucionando.