Shadow AI

El patrón ya lo conocemos del “shadow IT”: empleados que usaban Dropbox o WhatsApp antes de que la empresa ofreciera nada oficial. El shadow AI es la versión chatbot: un empleado tiene una cuenta personal de ChatGPT, con el chatbot el trabajo sale más rápido, y así informes, correos de clientes y fragmentos de documentos internos empiezan a circular por ahí sin que nadie lo sepa.

Casi nadie lo hace con mala intención. Piensa en la administrativa de una empresa de fontanería que pega la base de datos de clientes en un chatbot gratuito para preparar un mailing: está siendo práctica, no irresponsable. Pero esos datos acaban de salir de los sistemas controlados de la empresa hacia una cuenta consumer: posiblemente usados como datos de entrenamiento, invisibles para el empleador, guardados en un historial personal protegido por una sola contraseña, y tratados sin los acuerdos que el RGPD exige para los datos de clientes. En España, la AEPD (Agencia Española de Protección de Datos) puede sancionar a la empresa responsable del tratamiento, aunque el empleado actuara por su cuenta.

La solución honesta no es prohibir, porque las prohibiciones solo empujan el uso más hacia las sombras. Lo que funciona es darle a la gente un camino autorizado: una política de IA clara para la empresa, una herramienta aprobada en un plan de negocios y reglas compartidas sobre qué se puede pegar. Nuestro comprobador de privacidad es una forma rápida de desarrollar ese criterio.

Dónde te lo encontrarás

• Encuestas de TI y seguridad que miden lo extendido que está el uso no autorizado de IA
• Las políticas de IA empresariales, escritas habitualmente para sacar el shadow AI a la luz
• Los controles de red con los que algunas empresas detectan herramientas de IA consumer

Términos relacionados

• Política de empresa sobre IA →
• Datos confidenciales →
• Datos de entrenamiento →
• Plan empresarial →