Es sabido que la adopción acelerada de herramientas de Inteligencia Artificial en el ámbito laboral está yendo por delante de los mecanismos de control, gobernanza y cultura de cumplimiento de las organizaciones, tanto de las públicas como de las privadas.
Este fenómeno responde a la promesa de que esta tecnología permite simplificar y acelerar la ejecución de todo tipo de tareas, lo que genera entre los empleados de cualquier organización una inclinación creciente hacia su adopción, impulsada por la expectativa de alcanzar dichos beneficios con mayor rapidez y eficiencia.
Sin embargo, y con una mera lógica probabilística, es cuestión de tiempo que se produzcan incidentes relacionados con -entre otros- la filtración de datos, como consecuencia del uso inadecuado de herramientas de IA.
Efectivamente, la realidad demuestra que la gran disponibilidad de herramientas, en gran medida gratuitas, son una clara amenaza para la protección de datos y la seguridad de la información en cualquier entidad, pública o privada.
Así las cosas, conviene tener presente que la revelación indebida de datos en este tipo de plataformas —con independencia de su impacto según el tipo de empresa y el sector de la entidad— no suele ser consecuencia de una intrusión externa sofisticada ni de un ciberataque avanzado.
Antes al contrario, un incidente de esta naturaleza responderá a algo más cotidiano y, precisamente por ello, más preocupante: el uso indebido, desinformado o directamente negligente de tecnologías accesibles.
Aquí radica el verdadero problema. La inteligencia artificial ha generalizado (“democratizado” suele decirse) capacidades que antes estaban restringidas a perfiles técnicos especializados y con competencias claras dentro de cualquier organización. Hoy en día, cualquier profesional puede acceder a herramientas gratuitas y procesar grandes volúmenes de información en segundos.
El problema es que esa facilidad de uso no ha venido acompañada, en muchos casos, de una comprensión equivalente de los riesgos legales y éticos asociados.
Esta afirmación no es sólo teórica. En efecto, los datos estadísticos recogidos en la memoria de la Agencia Española de Protección de Datos (AEPD) correspondientes al año 2025 muestran que, de las más de 2.700 notificaciones de brechas de datos recibidas en dicha autoridad de control, aproximadamente un tercio de aquellas tienen su origen en errores humanos: descuidos o negligencias que, con una adecuada alfabetización, podrían haberse evitado.
Por poner un ejemplo, en el ámbito sanitario un incidente de esta naturaleza resultaría especialmente crítica. No estamos hablando de datos ordinarios, sino de categorías especiales cuya protección constituye uno de los pilares del Reglamento General de Protección de Datos (RGPD).
En este caso, la simple carga de información clínica en una plataforma externa —y más aún sin cifrado— no sería un error menor: sería una potencial vulneración grave del deber de confidencialidad (tanto legal como deontológica) y de las obligaciones de seguridad con respecto a la información personal de un ciudadano, quien confía en que la empresa los custodiará con garantías suficientes y adecuadas. Pero sería un error limitar el análisis a la conducta individual del empleado.
Este tipo de incidentes rara vez son fallos aislados; suelen ser síntomas de déficits estructurales, tales como falta de formación específica, ausencia de políticas claras sobre el uso de herramientas de IA, inexistencia de controles técnicos que prevengan la filtración de datos…
En definitiva, una gobernanza del dato insuficiente para el contexto tecnológico actual, regido por riesgos y amenazas nuevos, pero no por ello imprevisibles.
Si ponemos el foco en los entornos profesionales, la irrupción de la IA exige algo más que prohibiciones genéricas o advertencias formales. Requiere marcos operativos claros para que los usuarios puedan conocer, de manera fácil, qué herramientas pueden utilizarse, para qué fines, bajo qué condiciones y con qué salvaguardas. En este sentido, el papel preventivo de las asociaciones, colegios y similares, puede ser muy relevante.
Asimismo, se requiere también integrar la gestión de riesgos de IA dentro de los programas de cumplimiento y protección de datos, no como un añadido, sino como un elemento central del propio negocio. Más aun teniendo en cuenta que la responsabilidad por un uso inadecuado de la IA puede derivar en responsabilidad laboral del empleado descuidado; pero, también, en responsabilidad legal de los administradores y directivos en caso de no poder acreditar un elevado nivel de diligencia empresarial en la adopción de medidas técnicas y organizativas adecuadas.
Cómo se verá afectada la reputación de las organizaciones que sean víctimas de un uso inadecuado de la IA por parte de sus empleados o proveedores
En línea con lo anterior, la pregunta no es si seremos testigos de incidentes en el uso de IA, sino cuántas organizaciones están hoy expuestas al riesgo descrito sin ser plenamente conscientes de ello.
Y, en este sentido, nos preguntamos cómo se verá afectada la reputación de las organizaciones que sean víctimas de un uso inadecuado de la IA por parte de sus empleados o proveedores. ¿Cómo se reflejará -y, sobre todo, cómo se cuantificará- la pérdida de la confianza de los clientes en tales entidades?
O, por el contrario, cómo puede verse reforzada dicha confianza en aquellas otras empresas que, actuando de manera leal en el mercado gracias a cumplir con la normativa y a disponer de una gobernanza adecuada, demuestran un firme compromiso con la privacidad y seguridad de los datos de las personas, también en el uso de la inteligencia artificial.
Al final, la legitimidad en el uso de la inteligencia artificial no se derivará de su mera disponibilidad o eficiencia, sino de la capacidad de integrarla bajo criterios de prudencia, control y responsabilidad, que garanticen que su potencial no se traduzca en un riesgo evitable.
sobre la firma:
Francisco Pérez Bes es adjunto de la Agencia Española de Protección de Datos. Además, fue socio en el área de Derecho Digital de Ecix Group y es ex Secretario General del Instituto Nacional de Ciberseguridad (INCIBE)