Cada día, en todos los departamentos, los empleados introducen datos de clientes, registros de transacciones y detalles de contratos en los prompts que utilizan con las diferentes plataformas de IA. No están haciendo nada malo en sí, es lo que la tecnología les invita a hacer. Sin embargo, según la legislación europea, un número considerable de esas interacciones constituyen violaciones de datos. Y casi ninguna de ellas está siendo objeto de seguimiento.
No es una brecha de gobernanza atribuible a un único área o función. El departamento jurídico conoce el Reglamento General de Protección de Datos( RGPD). pero no tiene visibilidad sobre los datos que se introducen en las herramientas de IA. El departamento de TI puede ver partes de la infraestructura, pero no el conjunto completo de herramientas que utilizan todos los equipos y proveedores. Recursos Humanos, Operaciones, Ventas: cada uno utiliza la IA de forma aislada, pero ninguno de ellos registra lo que sale de la empresa.
El único departamento que dispone de un registro global sobre qué herramientas están activas, qué equipos las utilizan y qué se está pagando es el de finanzas. Esto significa que, les guste o no, los directores financieros se han visto abocados a un problema de cumplimiento normativo.
Lo que las empresas ponen en riesgo al usar IA sin control
Hoy en día, una infracción del RGPD o un daño a la reputación no se debe a un ataque informático, una filtración o un tercero. Se origina dentro de tu propia empresa, cuando los empleados introducen, sin saberlo, datos confidenciales de clientes o de otros empleados en una herramienta de IA que no pertenece a la empresa. Transferir datos personales a un encargado del tratamiento no autorizado de esta manera constituye una infracción desde el momento en que se envía un prompt.
Si la herramienta está alojada fuera de la UE (como ocurre actualmente con la mayoría de los modelos más importantes), la situación se agrava rápidamente, ya que esa misma acción podría infringir la legislación sobre transferencia internacional de datos según la sentencia Schrems II. Supongamos, por ejemplo, que un empleado en Ámsterdam introduce los datos de un cliente en una herramienta de IA alojada en Estados Unidos. Este escenario puede parecer inofensivo, pero podría haber dado lugar a dos infracciones legales distintas al mismo tiempo, sin que sea necesario que ocurra ningún contratiempo.
Hasta la fecha, los reguladores europeos han impuesto multas por infracciones de RGPD por un importe superior a 5.650 millones de euros. Más del 60 % de esa cantidad se ha impuesto desde 2023, un periodo que coincide casi exactamente con la adopción masiva de la IA en el
Además, la importancia de este tema no hará más que aumentar. A partir del 2 de agosto de 2026, la Ley de IA de la UE entrará en vigor de forma generalizada, y los sistemas de IA de alto riesgo en el sector de los servicios financieros serán de los primeros en tener que cumplir sus requisitos en materia de transparencia, equidad y gobernanza. Esto supone un riesgo normativo adicional para cualquier empresa que utilice la inteligencia artificial en la toma de decisiones crediticias, la detección de fraudes o los procesos financieros de atención al cliente. Además, el hecho de no demostrar el cumplimiento de la normativa no solo dará lugar a multas, sino que también podría afectar a la capacidad de la empresa para operar en la UE.
Afortunadamente para las empresas, sí que existe un registro documental sobre el uso y la gestión de la IA. Aunque no se encuentre en el lugar más obvio.
Por qué finanzas es clave en la gobernanza
A pesar de estos riesgos, la mayoría de las empresas europeas del segmento medio no cuentan con un departamento específico dedicado a la gobernanza de la IA. Lo que sí tienen, sin embargo, es un equipo financiero que dispone de un registro detallado de cada transacción con tarjeta, factura de servicios en la nube y suscripción de software incluida en los gastos.
Puede que ofrezca una visión imperfecta e incompleta, pero se trata de una visión global del uso de las herramientas de IA que ninguna otra área de la empresa puede igualar. Muestra qué herramientas están en uso en toda la empresa, qué equipos las utilizan, cuánto gastan y con quién.
Estos datos ayudan a subsanar algunos puntos ciegos fundamentales en la gobernanza de la IA. Los responsables de protección de datos no pueden regular lo que no se ha registrado, mientras que el departamento jurídico no puede evaluar los riesgos derivados de interacciones sin atribuir. Sin estos datos, la infraestructura de visibilidad simplemente no existe.
Cuando las autoridades reguladoras investigan una filtración de datos relacionada con la inteligencia artificial, es probable que la primera pregunta sea quién sabía qué herramientas se estaban utilizando y cuándo. En la mayoría de las empresas europeas, en la actualidad, el departamento financiero es el único que está en condiciones de saberlo. Por eso es imprescindible que empiecen a verlo de esa manera.
Por qué los directores financieros y la gobernanza de la IA forman una buena combinación
Entonces, ¿qué deben hacer los equipos financieros para dar sentido a la gobernanza de la IA?
El primer paso es partir del propio registro de gastos. Hay que preguntarse qué herramientas son de nivel empresarial y cuáles están destinadas al consumidor. Las herramientas empresariales incluyen acuerdos de procesamiento de datos: condiciones auditables que definen exactamente cómo se gestionan los datos introducidos. Las herramientas de consumo no suelen incluirlo, y los datos introducidos pueden utilizarse para entrenar futuras versiones de modelos fuera de su ecosistema y más allá de sus capacidades de protección de datos. Una vez que los datos confidenciales entran en ese flujo, no existe ningún mecanismo para recuperarlos. Actualmente, el departamento financiero es el único que puede hacer cumplir esa distinción a gran escala, ya que es el único que puede ver el panorama completo de toda la empresa.
A partir de aquí, los equipos financieros deben coordinar la visión global del gasto con los departamentos jurídico y de protección de datos. El registro financiero es la base de cualquier respuesta en materia de cumplimiento normativo, y esto debe hacerse antes de que surja cualquier duda. Y es que elaborarlo a posteriori, bajo la presión de la normativa, supone encontrarse en una situación mucho más complicada.
En estos momentos, es poco probable que las empresas estén delegando formalmente esta responsabilidad en el director financiero. Pero el hecho de que las organizaciones tarden en reaccionar no significa que los equipos financieros tengan que hacerlo. Su punto fuerte radica en su capacidad para interpretar datos y establecer conexiones entre los distintos ámbitos de la empresa con el fin de fomentar la estabilidad y la innovación. En lo que respecta a la gobernanza de la IA, puede que el contexto haya cambiado, pero las competencias necesarias siguen siendo las mismas.
Nota: La propuesta «Digital Omnibus» de la Comisión Europea, actualmente en fase de revisión, ha sugerido ampliar los plazos de aplicación de algunas normas relativas a sistemas de alto riesgo en los que aún no se han ultimado las normas técnicas. La fecha del 2 de agosto de 2026 es la vigente en el momento de la publicación, pero conviene estar atentos a posibles cambios. Fuente: Página de la Ley de IA de la Comisión Europea, digital-strategy.ec.europa.eu
