Álvaro Ruipérez Candón, abogado experto en derecho digital y negocios tecnológicos, sostiene que la inteligencia artificial ya no es una promesa de futuro, sino una realidad plenamente integrada en el presente empresarial español. Según explica, primero llegó como herramienta puntual de productividad, con empleados utilizando asistentes para redactar informes o resumir reuniones. Sin embargo, de forma casi imperceptible, ha evolucionado hacia algo mucho más estructural, con sistemas conectados al correo corporativo, al CRM, a repositorios documentales, a recursos humanos o incluso a procesos financieros.
Y es precisamente en ese salto donde empiezan las contingencias.
A juicio del experto, muchas organizaciones creen que están probando soluciones de IA cuando, en realidad, ya han incorporado procesos automatizados que afectan a datos personales, secretos empresariales e incluso a la toma de decisiones internas con impacto real. El riesgo no radica en utilizar inteligencia artificial. El verdadero riesgo consiste en hacerlo sin un marco de gobernanza claro.
Existe además una percepción equivocada. Pensar que por utilizar herramientas Enterprise como Microsoft Copilot u otras soluciones corporativas los riesgos desaparecen. Ruipérez subraya que no es así. Las versiones empresariales pueden ofrecer mayores garantías técnicas, pero no eximen a la compañía de sus obligaciones jurídicas. La responsabilidad sobre el tratamiento de datos, la evaluación de riesgos, la eventual necesidad de una evaluación de impacto, la información a empleados o clientes y el control sobre las decisiones automatizadas siguen recayendo en la empresa usuaria.
En el despacho, explica, es frecuente encontrar compañías que ya han integrado herramientas de inteligencia artificial sin haber realizado previamente un análisis de riesgos, sin delimitar qué información puede introducirse en estos sistemas o sin haber establecido protocolos internos claros de supervisión. Esta situación, señala, no siempre responde a una voluntad de incumplimiento, sino a una falsa sensación de seguridad tecnológica.
En paralelo, el Reglamento Europeo de Inteligencia Artificial avanza hacia su plena aplicabilidad. Este marco normativo introduce obligaciones concretas, entre ellas la necesidad de garantizar un nivel adecuado de alfabetización en materia de IA para el personal que participe en su desarrollo, implementación o supervisión. No se trata de una recomendación formativa, sino de una exigencia jurídica que obliga a las empresas no solo a analizar los sistemas que utilizan, sino también a formar a quienes los manejan.
En la práctica, continúa el experto, se siguen observando situaciones como la subida de datos sensibles a plataformas externas sin análisis previo, el uso de versiones gratuitas para tratar información corporativa crítica o la integración automatizada de sistemas sin revisión contractual suficiente. A ello se suman transferencias internacionales de datos que la propia organización desconoce.
Todo ello ocurre en un entorno donde el RGPD continúa plenamente vigente y donde la inteligencia artificial no sustituye las obligaciones ya existentes, sino que las amplifica.
Y aquí es donde el impacto deja de ser exclusivamente regulatorio.
Si bien existen posibles sanciones económicas relevantes, limitar el debate a las multas es, en su opinión, simplificar el problema. Una brecha derivada de un uso inadecuado de IA puede implicar la pérdida inmediata de confianza por parte de clientes. Una decisión automatizada mal supervisada puede derivar en conflictos laborales o reclamaciones reputacionales. Una filtración de información estratégica puede erosionar la posición competitiva en cuestión de días.
En mercados digitales, advierte, la confianza constituye el núcleo del negocio.
Además, inversores y socios estratégicos están incorporando la gobernanza de datos y la gestión de la IA como variable en sus procesos de due diligence. No se trata únicamente de cumplir con la normativa, sino de demostrar control sobre los activos digitales que sostienen la organización. Una empresa que no sabe qué datos introduce en sus sistemas de IA, dónde se almacenan o qué uso potencial puede hacerse de ellos, no está gestionando adecuadamente uno de sus principales activos.
La cuestión concluye, no es tecnológica, sino estructural. La inteligencia artificial ya está dentro de las organizaciones. La pregunta es si están preparadas para gobernarla.
