El optimismo generado por los notables avances en el ámbito de la Inteligencia Artificial (IA), unido al temor a “quedarse atrás” en un escenario cada vez más competitivo, ha llevado a muchos profesionales a incorporar en sus tareas diarias el uso de herramientas basadas en modelos de lenguaje para el procesamiento y la generación automatizada de contenidos, los conocidos chatbots.
Superada la comprensible euforia inicial ante las múltiples promesas de optimización del tiempo y potenciación de resultados que aportan estas tecnologías, resulta esencial que el entorno corporativo pase a analizarlas con mayor sobriedad, considerando no solo sus beneficios, sino también los riesgos asociados al intercambio indiscriminado de información con dichas plataformas.
En la práctica, empresarios y empleados han comenzado a recurrir a estas herramientas para redactar correos electrónicos, resumir documentos, organizar información, revisar textos y automatizar tareas rutinarias, por lo general sin una percepción clara de las implicaciones jurídicas involucradas.
Aunque en muchas ocasiones este movimiento es fomentado de manera difusa por las propias organizaciones, en general se produce de forma espontánea y descentralizada, al margen de proyectos tecnológicos formales y, con frecuencia, sin el acompañamiento de directrices institucionales específicas.
El resultado es la consolidación de un riesgo jurídico silencioso, ampliamente subestimado por las empresas.
Esto se debe a que la introducción de información en herramientas de IA no es una actividad neutral desde el punto de vista jurídico: al incorporar documentos y datos internos en sistemas de terceros –especialmente en sus versiones gratuitas–, la persona empleada termina transmitiendo dichos datos a infraestructuras que, en muchos casos, se encuentran ubicadas fuera del país.
Según las políticas de la plataforma utilizada, los datos introducidos pueden incorporarse a los registros operativos internos del sistema, pasando a circular fuera del entorno controlado por la persona usuaria y quedando, en última instancia, expuestos a riesgos de accesos indebidos y filtraciones de información. En síntesis, se trata de una falla relevante en la gestión de la información.
De conformidad con la Ley nº 13.709/2018 (Ley General de Protección de Datos Personales – LGPD)[1], la mera introducción de información en dichas herramientas ya configura un tratamiento de datos personales, en la medida en que implica, como mínimo, actividades de transmisión, procesamiento y, en determinados casos, almacenamiento de datos en sistemas de terceros.
En este contexto, aun cuando el uso de las herramientas sea realizado de forma espontánea por la persona empleada, la empresa puede seguir siendo jurídicamente considerada responsable del tratamiento de los datos, en la medida en que se beneficia del tratamiento efectuado, integra los resultados en su actividad económica y omite establecer límites claros en cuanto a las finalidades y a los medios empleados.
Es imprescindible que las empresas comiencen a gestionar los riesgos jurídicos derivados del uso temerario de las herramientas de IA. Aunque deseable e inevitable, la innovación no puede vulnerar obligaciones legales relevantes, especialmente en lo que se refiere a la seguridad de la información.
Gobernar el uso de plataformas de tratamiento automatizado de la información implica, en primer lugar, impartir formación a las personas empleadas y definir con claridad qué herramientas pueden utilizarse en el entorno corporativo, para qué finalidades y bajo qué condiciones. Estas medidas deben ir acompañadas de instrucciones expresas sobre la prohibición de compartir datos sensibles, información estratégica y documentos confidenciales, así como del apoyo de profesionales especializados en compliance y protección de datos.
Hechas estas consideraciones, es importante destacar que no se pretende prohibir ni desalentar indiscriminadamente el uso de las nuevas tecnologías, que de forma inevitable tenderán a incorporarse cada vez más al contexto profesional. Se trata, más bien, de garantizar que la innovación avance de manera responsable, en consonancia con las exigencias legales y con la preservación de la seguridad jurídica y de la información.
[1] Ley nº 13.709/2018, art. 5, X: «tratamiento de datos personales: toda operación realizada con datos personales, como las que se refieren a la recogida, producción, recepción, clasificación, utilización, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción