No hubo anuncio.

No hubo email de IT.

No hubo aprobación de un comité.

No hubo debate estratégico.

Simplemente pasó.

Un manager copió datos de rendimiento del equipo en ChatGPT “para que sonara más profesional”.

Otra persona pegó resultados de una encuesta interna para “detectar patrones”.

Alguien subió un borrador de presupuesto “solo para revisar errores”.

Nada raro. Nada malintencionado. Todo práctico.

Y sin darse cuenta, la empresa empezó a contarle cosas a un tercero que no estaba en la conversación y que no tiene los mismos incentivos para cuidar de esos datos.

La conversación que nadie decidió tener

Nadie se saltó una norma.

Nadie ignoró una formación de seguridad.

Nadie hizo nada explícitamente incorrecto.

Porque no había reglas.

Así que la gente hizo lo que siempre hace: usar la herramienta que le ahorra tiempo y fricción.

Y estas herramientas son extraordinariamente buenas.

Redactan feedback en segundos.

Analizan encuestas.

Ayudan a encontrar el tono correcto en conversaciones delicadas.

Pero cada dato que se introduce sale del perímetro de la organización.

Esto ya pasó antes

Este debate no es nuevo.

Es el mismo que tuvimos con el cloud hace años.

Durante mucho tiempo, subir datos sensibles a servidores externos parecía una locura. Hoy nadie se pregunta si puede tener la facturación en un SaaS o el P&L en Google Drive.

¿Qué cambió?

No los datos.

El sistema.

Contratos. Responsables claros. Auditoría. Consecuencias legales.

La organización decidió qué herramientas merecían confianza.

Con los modelos de lenguaje, hoy, esa decisión todavía no la ha tomado la empresa.

La está tomando cada persona, en solitario.

Y ahí empieza el problema.

Tu posición no es cómoda

No decides la estrategia de ciberseguridad.

No defines la política de IA.

No eliges qué herramientas están aprobadas.

Pero sí lideras un equipo que gestiona información sensible.

Y eres responsable de lo que ese equipo hace con ella.

El problema es simple y desagradable: probablemente no sabes qué están usando.

Estas herramientas no requieren instalación.

No pasan por IT.

No dejan rastro visible.

No porque sean intrínsecamente peligrosas, sino porque no están institucionalizadas.

Alguien abre una pestaña, pega un texto, obtiene una respuesta y sigue con su día.

Mientras tú estás en otra reunión pensando que todo está bajo control.

Seamos honestos: tú también las has usado.

Estás redactando feedback y te bloqueas.

Necesitas decir que una actitud está afectando al equipo sin sonar acusatorio.

Una de esas herramientas te da tres versiones en diez segundos.

Funciona. Es rápido. Y nadie se entera.

Lo que realmente está en juego

Si te preguntan qué información no debería salir nunca de los sistemas bajo control de la empresa, dirías: estrategia, finanzas, datos personales.

Pero la información más dañina rara vez está en esa lista.

Está en:

• performance reviews

• conflictos no resueltos

• planes que aún no existen oficialmente

• análisis de quién está frustrado y por qué

• comparativas salariales

Esto no suele destruir la empresa.

Pero puede destruir la confianza.

Y la confianza no se recompone fácilmente.

¿Cómo le explicas a alguien de tu equipo que sus preocupaciones confidenciales han salido del sistema de la empresa porque necesitabas redactar más rápido?

El dilema

Desde arriba te piden eficiencia.

Desde abajo, tu equipo ha descubierto herramientas que ahorran horas.

Y tú estás en medio preguntándote:

• ¿Prohíbo algo que oficialmente no está prohibido?

• ¿Permito algo que sé que tiene riesgo?

• ¿Espero a que alguien de arriba decida?

Ninguna opción es cómoda.

La prohibición no funciona

“Queda prohibido usar ChatGPT o herramientas similares.”

Resultado previsible:

• Uso en la sombra

• Cero aprendizaje organizativo

• Falsa sensación de control

Prohibir es fácil. Gobernar sistemas es lo difícil.

Lo que puedes hacer hoy

No puedes esperar a la política perfecta de IT.

Lo que sí puedes hacer es tener una conversación explícita con tu equipo y crear un criterio compartido.

Tres preguntas para empezar:

• ¿Qué información gestionamos que no debería salir de nuestro ámbito?

• Si usamos herramientas externas, ¿qué precauciones tomamos?

• ¿Qué hacemos si alguien se equivoca?

Esto no resuelve el problema técnico.

Pero evita que el equipo opere con inconsciencia.

Lo que las organizaciones que lo hacen mejor entienden

Parten de una premisa incómoda: cualquier dato puede filtrarse.

Y diseñan desde ahí.

• Infraestructura: Herramientas internas con garantías contractuales, instancias enterprise para datos críticos, APIs con control sobre qué se guarda y qué no, políticas de retención claras.

• Cultura: Clasificación explícita de información sensible, conversaciones reales, auditorías sin castigo.

• Legal: Acuerdos y responsabilidades bien definidos.

La mayoría de las empresas no está aquí.

Y no lo estará a corto plazo.

El problema no es la IA.

El problema es que la gente necesita estas capacidades y la empresa no se las ofrece todavía de forma segura.

Mientras tanto, tú sigues siendo responsable de lo que pasa en tu equipo.

La pregunta

Alguien de tu equipo está usando un modelo de lenguaje con información sensible.

Y tú no lo sabes.

No tienes un problema de IA.

Tienes un problema de visibilidad.

Y eso no lo soluciona una política que aún no existe.

Lo soluciona una conversación honesta sobre qué información gestionamos, qué sistemas merecen confianza y qué riesgos asumimos sin darnos cuenta.

El futuro no es con IA o sin IA.

Es con herramientas individuales o con sistemas gobernados por la organización.

Y eso es un problema de management, no de IA.

PD: Uso IA a diario. Me parece extraordinariamente útil. Precisamente por eso merece ser usada con criterio, no prohibida por miedo ni adoptada a ciegas.

PD2: Otro día hablamos de cómo estos modelos tienen el riesgo de homogeneizar decisiones de management.

PD3: Si esto te ha hecho pensar, probablemente le sirva a otro manager que conozcas.

Compartir