La Inteligencia Artificial dejó de ser una promesa futurista reservada a laboratorios de investigación para convertirse en una herramienta instalada en las organizaciones de todo tipo y tamaño. Desde la irrupción masiva de ChatGPT en noviembre de 2022 hasta ahora, su adopción fue tan vertiginosa que generó un fenómeno doble: la misma tecnología que deslumbra, también atemoriza. En ese apuro, las empresas se lanzaron a usarla. Pero muchas no se detuvieron a pensar cómo gestionar los procesos que la soportan. Y eso está trayendo problemas.
Hoy, la IA se encuentra integrada en la mayoría de las tareas cotidianas, desde los sistemas de selección de currículums, pasando por los asistentes conversacionales que atienden clientes y los modelos predictivos que anticipan consumos, hasta las plataformas de análisis que alimentan decisiones, tanto operativas como estratégicas. No es menor pensar que se encuentra instalada en los procesos clave de las empresas. Y esa “omnipresencia” trae una pregunta que parece todavía no tener una respuesta clara y sincera (siempre con la desventaja de un avance que no frena): ¿estamos realmente preparados para gestionar la Inteligencia Artificial de manera responsable en todos los espacios, procesos, productos y servicios donde ya está? Todavía, situados en 2026, su utilización en muchas organizaciones no se transparenta totalmente.
Este artículo intenta abordar ese desafío, a partir de una mirada crítica y pensando en un modelo de gestión, como lo es la ISO/IEC 42001:2023, con apenas tres años desde su lanzamiento. Por un lado, intentaremos deconstruir algunas de las narrativas que envuelven a la IA y por el otro, tomar como marco de referencia la norma, lo cual permite tener unos lineamientos asociados a la gestión de la IA, que muchas organizaciones todavía no poseen.
Deconstruyendo nuestro entendimiento sobre la IA
A partir del libro Ok, Pandora, cuya publicación fue en 2024, y cuyos autores aportan una mirada interdisciplinaria sobre diferentes aspectos de la Inteligencia Artificial, tomamos como punto de partida para el ámbito empresarial el cuestionamiento de mitos extendidos: que la IA es realmente inteligente, que es completamente artificial y que está al alcance de todos.
Consuelo López (2024), en su capítulo «Breve historia de la IA», plantea de manera clara (y que todavía dos años más tarde nos debería interpelar) lo siguiente:
“Sin embargo, no es cierto que “la máquina hace”. Más bien, “a través de la máquina, hacemos”. Claro, aunque estemos deslumbrados por lo rápido que una computadora nos ayuda a resolver una tarea, seguimos siendo nosotros quienes tomamos la decisión. Y deberíamos tener conciencia de que si la decisión no la estamos tomando nosotros, la está tomando, indirectamente, otro agente. Aunque digamos que lo hizo “la computadora”, en realidad hay personas creando esos algoritmos y generando esos datos.”
Ese pequeño corrimiento de la “máquina hace” a “nosotros hacemos a través de ella”, es tan sutil pero muchas veces difícil de realizar. Quedándonos en la primera parte, nos olvidamos de que detrás de cada modelo no solo se encuentran programadores, sino también personas que clasifican datos, que deciden qué información incluir o excluir (lo cual no es inocente), que definen y ponen los límites del sistema. La IA no es un oráculo objetivo ni un ente autónomo. Y sin embargo, muchas organizaciones la “tratan” como si lo fuera. Por lo tanto, denominarla como inteligente y como artificial, hace que se corran grandes riesgos.
En segunda instancia, la idea de que la tecnología, una vez desarrollada, inevitablemente se extiende y recae su uso en la sociedad. Sin ir más lejos pensemos en la escritura como una tecnología que apareció en sus primeras formas en el 3500-3000 a. C. aproximadamente, según Max Roser y Esteban Ortiz-Ospina (2013):
“durante siglos la alfabetización siguió siendo una tecnología muy restringida, estrechamente ligada al ejercicio del poder. Fue solo durante la Edad Media cuando la producción de libros comenzó a crecer, y la alfabetización entre la población general empezó a adquirir importancia en el mundo occidental.”
Existen, hoy en día, en el mundo moderno desigualdades. Ahora bien, volviendo al tema que nos compete, si lo traducimos a la gestión, es importante entender que quienes primero adoptan y controlan las tecnologías de IA son los actores con mayores recursos. Por lo tanto, y volviendo a su masividad, dicha asimetría no puede ignorarse. Y focalizando en las organizaciones, debemos planificar cómo haremos visible el uso de esta tecnología en nuestra organización, qué impacto ha tenido, tiene y tendrá, y cómo la gestionaremos.
La IA como caja negra y la ilusión de imparcialidad
Por otra parte, no debemos olvidar la cuestión de que la IA se presenta como una “caja negra” (cfr. López, 2024). Es decir que la transparencia y la imparcialidad no es lo que caracteriza esta tecnología. Siguiendo con las palabras de Consuelo López:
“La idea de que esta omnipresencia de la IA pueda llevarse adelante con procesos absolutamente transparentes es, además, utópica. Recordemos que no hay una única caja negra. Hay una multitud de sistemas entrelazados, cada uno con sus desafíos técnicos y sus políticas, y la transparencia completa es una meta inalcanzable. Por eso es necesario incorporar criterios y miradas al desarrollo de estos sistemas —que son muy prometedores en términos de modernización, pero que rara vez son neutrales—, y al mismo tiempo cuidar el proceso de implementación de estos sistemas en los diferentes organismos públicos”
Y agregamos, en todas las organizaciones también. Ya que, como dijimos anteriormente, la Inteligencia Artificial se construye a partir de personas que deciden una serie de datos a incluir como a excluir. Por lo tanto, se presentan sesgos y, con ellos, la dificultad para reconocerlos.
A su vez, esto refuerza el carácter poco transparente que presenta esta tecnología. Por ello, para cualquier organización esto significa construir un Sistema que, al menos, tenga la mayor cantidad de restricciones, responsabilidades, márgenes de desvíos, entre otros muchos elementos a fuerza de construir procesos, productos o servicios claros y, así, evitar futuros problemas.
Tomás Balmaceda (2024), en su capítulo sobre IA generativa, advierte contra una idea muy instalada: el determinismo tecnológico, esa creencia de que las tecnologías avanzan de manera autónoma y moldean a la sociedad sin que podamos intervenir. Frente a esto, Balmaceda postula que:
«Las tecnologías no determinan unidireccionalmente ni cambios ni formas sociales, sino que sus efectos dependen precisamente de las configuraciones sociales y culturales en que tienen lugar».
Si lo pensamos en el ámbito organizacional, esto implica que una organización no puede escudarse en la supuesta inevitabilidad del avance tecnológico para desentenderse de sus decisiones. Por el contrario, es cuando mayor debe ser el control, a raíz de todo lo expuesto. Por lo que, cuando le sacamos la responsabilidad a la máquina y asumimos que los efectos de la Inteligencia Artificial dependen de cómo decidimos gobernarla, por lo menos, desde nuestra parte, buscaremos la mayor transparencia en nuestra gestión.
Una mirada desde un marco normativo
La norma ISO/IEC 42001:2023 proporciona un marco de referencia para comenzar a gestionar, mejor tarde que nunca, la IA. Publicada en diciembre de 2023, es el primer estándar internacional que especifica los requisitos para establecer, implementar, mantener y mejorar el Sistema de Gestión de Inteligencia Artificial. A diferencia de otras normas centradas en aspectos técnicos de productos o en seguridad de la información, ISO 42001 se enfoca en los procesos de gestión, en cómo la organización planifica, opera, analiza, evalúa y mejora la utilización de la IA.
La norma se estructura en diez cláusulas (de la 4 a la 10), similares a la estructura de ISO 9001, siguiendo el ciclo de mejora continua Planificar-Hacer-Verificar-Actuar (PHVA). Los controles específicos, detallados en el Anexo A, abarcan desde la gestión de datos hasta las relaciones con proveedores, pasando por la documentación de recursos y la evaluación de impactos.
Ahora bien, realizado este pequeño resumen, a continuación, presentamos un pequeño recorrido por los puntos mencionados anteriormente.
Cuestiones centrales para la gestión de IA
Comprensión del contexto y necesidades de las partes interesadas
Antes de implementar cualquier sistema de gestión, la organización debe entender su entorno: factores externos e internos, expectativas de clientes, empleados, entes reguladores, proveedores y la comunidad. Sin ese diagnóstico inicial, cualquier gestión de riesgos será incompleta y cualquier política de IA será sólo una declaración de buenas intenciones sin anclaje en la realidad.
Liderazgo y asignación de responsabilidades
La alta dirección debe demostrar un compromiso activo, establecer una política documentada, asignar roles claros y revisar periódicamente el sistema. Como recuerda Consuelo López (2024), la responsabilidad es siempre humana.
Gobernanza de datos
El sistema de controles exige documentar el origen, la calidad, el propósito, las limitaciones y el consentimiento asociado a cada conjunto de datos utilizado. También incluyen la documentación de herramientas, recursos de cómputo y recursos humanos involucrados en los sistemas de IA.
Evaluación y tratamiento de riesgos
La organización debe identificar y evaluar sistemáticamente los riesgos asociados a sus sistemas de IA, tales como sesgos algorítmicos, desvío del modelo con el tiempo (model drift), falta de explicabilidad de las decisiones, problemas de seguridad y dependencia de proveedores externos.
Operación y evaluación del desempeño
La norma exige una supervisión continua del ciclo de vida de los sistemas de IA: entrenamiento, despliegue, monitoreo en producción, reentrenamiento y mejora. Esta supervisión debe ser documentada y analizada mediante auditorías internas y revisiones por la Dirección.
Transparencia y documentación técnica
Los controles exigen comunicar de manera clara el propósito del modelo, sus limitaciones conocidas, los mecanismos de supervisión humana y los canales para apelar decisiones automáticas.
Planificación operacional y relaciones con terceros
Cuando la Organización utiliza APIs (Interfaz de Programación de Aplicaciones) o servicios de IA provistos por terceros como, por ejemplo, ChatGPT, Gemini u otras plataformas similares, la responsabilidad sigue siendo de la Organización. La norma exige evaluar la confiabilidad de los proveedores, documentar las restricciones de uso, monitorear su desempeño y contar con planes de contingencia.
Conclusiones
La inteligencia artificial no es una fuerza autónoma que avanza al margen de nuestras decisiones. Como advierte Consuelo López (2024), seguimos siendo nosotros quienes actuamos a través de la máquina, y reconocerlo es el primer paso para una gestión responsable. Tomás Balmaceda (2024) refuerza esa idea al señalar que la tecnología no determina unilateralmente los cambios sociales ni organizacionales, sino que sus efectos dependen de las configuraciones en las que se inserta.
Por eso, hace falta en las organizaciones una gobernanza sobre la IA. No existen soluciones mágicas, rápidas y efectivas. Por el contrario, se debe empezar por algún lado. Sobre todo para las organizaciones que ya tienen la IA instalada tanto en sus procesos clave, como en sus productos o servicios y que necesitan demostrar, con evidencia, que la están gestionando con seriedad.
Los textos sobre los cuales hemos soportado este recorrido poseen más de dos años de antigüedad, y marcar esto, lo cual parece absurdo, ante el avance de la Inteligencia Artificial, no es menor. Si bien el conocimiento se construye a partir de las dinámicas colectivas y se va actualizando a medida que pasa el tiempo, respecto de la IA, siempre queda ese dejo de que seguimos corriendo detrás de algo que tuvo su base primitiva hace más de cien años, sucede que no tiene límite, como cualquier avance tecnológico.
Sin embargo, esta tecnología genera constantemente por un lado admiración pero, por el otro, un agotamiento en términos cognitivos, económicos, emocionales, entre otros, puesto que ha desplazado a miles de personas de sus puestos de trabajo. Y cuando hablamos de organizaciones, estamos hablando de una red construida a partir de personas y sostenida por cada una de ellas. Por eso, el ahínco de realizar un distanciamiento para comenzar a pensar qué lugar ocupa en nuestras empresas y comenzar a trazar los diferentes lineamientos para gobernarla.
Bibliografía
• Balmaceda, T. (2024). IA generativa y disrupciones. En Ok, Pandora. El Gato y la Caja. https://elgatoylacaja.com/libros/ok-pandora
• ISO/IEC. (2023). *ISO/IEC 42001:2023 Information technology — Artificial intelligence — Management system*. International Organization for Standardization.
• López, C. (2024). Breve historia de la IA. En Ok, Pandora. El Gato y la Caja. https://elgatoylacaja.com/libros/ok-pandora
• Ortiz Ospina, E., & Roser, M. (2013). Literacy. Our World in Data. https://ourworldindata.org/literacy