COMPLIANCE E INTELIGENCIA ARTIFICIAL

Anticipando riesgos en entornos digitales cambiantes

Los nuevos avances en la aplicación de la inteligencia artificial (IA) que vivimos hoy en día están transformando cómo las organizaciones toman decisiones, gestionan su información y desarrollan nuevos modelos de negocio. Hasta hace algunos años la IA era percibida como una tecnología experimental, pero hoy ya forma parte de operaciones cotidianas en diversos sectores clave como banca, salud, educación y sobre todo en servicios digitales.

En este contexto, nuestras inquietudes sobre el uso de la IA ya no se limitan solo a la innovación, sino que con mayor frecuencia nos asaltan preguntas relacionadas con qué tan transparente es su accionar, la privacidad a la que estamos sujetos, si es que existe supervisión humana y a quién reclamar e imputar la responsabilidad frente a decisiones automatizadas que pudieran perjudicarnos.

Frente a ello, las funciones de Compliance están tomando un rol distinto al tradicional. Ya no se trata solamente de verificar el cumplimiento normativo cuando se implementa una herramienta tecnológica, sino de participar activamente en la gobernanza de los sistemas basados en IA desde etapas tempranas de diseño, desarrollo e implementación, pero involucrando a los equipos clave (Legal, TI, Ciberseguridad, etc.).

En el caso peruano, el Decreto Supremo Nº 115-2025-PCM (el Reglamento) que aprueba el Reglamento de la Ley Nº 31814 – Ley que promueve el uso de la inteligencia artificial en favor del desarrollo económico y social del país, establece disposiciones orientadas a promover el uso seguro, responsable, ético y transparente de la IA, privilegiando el respeto de los derechos fundamentales y el desarrollo económico y social del país.

Muchas veces, la IA dentro de las organizaciones se analiza únicamente desde el lado tecnológico o de innovación; pero en la práctica, sus efectos van más allá. Por ejemplo, un sistema basado en IA puede influir en decisiones de contratación laboral, evaluaciones crediticias, acceso a servicios, priorización de atenciones o procesamiento masivo de datos personales. Por ello, los riesgos no son exclusivamente operativos, sino también legales, reputacionales, éticos y regulatorios.

Es por estas consideraciones que el Artículo 7 del Reglamento incorpora, entre otros, principios rectores como transparencia, supervisión humana, protección de derechos fundamentales, privacidad de datos personales, no discriminación y rendición de cuentas. Estas disposiciones reflejan que el uso de IA no puede analizarse únicamente desde la conveniencia, sino también desde sus impactos potenciales sobre las personas y las organizaciones, las cuales son sujetos de protección.

Es así que, desde la práctica corporativa, esto plantea un desafío importante para el Compliance, el cual es comprender que la IA no constituye solamente una herramienta tecnológica, sino también un nuevo espacio de gestión de riesgos.

En algunas empresas, la adopción de la IA en procesos de negocio o de organización normalmente suele producirse desde áreas como TI, operaciones o comercial, mientras que el equipo de Compliance interviene recién cuando el proyecto ya se encuentra avanzado o próximo a implementarse. En esos escenarios, la participación termina enfocándose en validar cláusulas, revisar políticas o advertir contingencias regulatorias cuando buena parte de las decisiones técnicas ya fueron adoptadas. El problema no es exactamente la falta de controles, sino el momento en que se implementan.

Por ejemplo, una empresa podría usar herramientas automatizadas para seleccionar personal sin haber evaluado antes posibles sesgos o criterios discriminatorios en el sistema. De la misma manera, podrían utilizarse modelos predictivos sobre clientes sin revisar adecuadamente cómo se manejan los datos personales o sin poder explicar claramente cómo se toman determinadas decisiones automatizadas. Cuando estas situaciones se identifican tardíamente, se expone a la organización a diversos riesgos, que van desde tener que gastar horas en reprocesos, ajustes operativos, observaciones regulatorias o incluso impactos reputacionales. En ese sentido, el principal aporte del Compliance consiste en contribuir a que la organización incorpore criterios de gobernanza y gestión de riesgos desde el diseño de las soluciones basadas en IA.

En esa línea, el Reglamento contempla la necesidad de adoptar medidas preventivas y mecanismos de gestión de riesgos en función del nivel de impacto que pueda generar un sistema basado en IA. Por ejemplo, se establecen categorías vinculadas a usos indebidos y sistemas de riesgo alto, especialmente cuando se pueda afectar derechos fundamentales, servicios esenciales, acceso a salud, educación, empleo, servicios financieros o decisiones con impacto significativo sobre las personas. Asimismo, el Reglamento incorpora obligaciones relacionadas con transparencia algorítmica, supervisión humana, gestión de riesgos, auditorías y documentación de decisiones; obligaciones que guardan relación directa con las funciones que tradicionalmente se asocian al Compliance:

  • identificación y evaluación de riesgos,
  • implementación de controles,
  • monitoreo,
  • documentación,
  • capacitación interna,
  • trazabilidad de decisiones,
  • y fortalecimiento de una cultura organizacional ética.

El reto que identificamos es que estos procesos requieren una interacción más estrecha entre áreas legales, tecnológicas, operativas y de negocio. Por ello, el Compliance ya no es solo un control que revisa después lo que pasó, sino que pasa a tener un rol más activo en cómo se organiza y se toma decisiones dentro de la empresa frente a las nuevas tecnologías.

¿Cómo nos preparamos para este nuevo escenario?

La incorporación de la IA en las organizaciones probablemente va a seguir acelerándose en los años siguientes. Frente a ello, nuestro reto desde el compliance es fortalecer las capacidades internas para implementarla de forma responsable, con algunas medidas clave como:

  • realizar evaluaciones tempranas de riesgos en los proyectos de IA;
  • desarrollar políticas internas realistas para el uso responsable de la IA;
  • capacitar a los equipos sobre riesgos regulatorios y éticos;
  • implementar controles con supervisión humana y trazabilidad;
  • y establecer revisiones periódicas sobre el impacto y funcionamiento de los sistemas.

Reflexión final

La IA es una gran oportunidad para mejorar procesos, ganar eficiencia y crear nuevas soluciones. Pero cuanto más influye en las decisiones de una organización, más importante se vuelve contar con buenos mecanismos de control. En ese contexto, el Compliance no debería entrar cuando el problema ya ocurrió, sino participar desde el inicio, ayudando a que la innovación avance de forma ordenada, transparente y alineada con principios éticos y regulatorios.

Comparte este artículo
Albert Moncada Gasco
Albert Moncada Gasco