Gobernar la tecnología también incluye a las terceras partes

Últimamente he notado una escena que se repite en las reuniones virtuales. Entras y ya hay un asistente de inteligencia artificial conectado. Graba, transcribe y resume todo. Cuando pregunto quién lo invitó, nadie sabe. Esto pasa porque estos asistentes pueden activarse cuando alguien usa una herramienta de transcripción o porque la plataforma permite el acceso sin mayor control.

En la práctica, funcionan como un participante más y pueden quedar asociados y “arrastrarse” de una reunión a otra, sin que muchas veces sepamos cuándo se incorporaron ni bajo qué condiciones operan. 

Y cuando en esas conversaciones hay contenido sensible o confidencial, vale la pena preguntarse ¿quién tiene acceso a lo que se está registrando?

Justamente este tipo de situaciones ilustra cómo la información ya no se gestiona solo dentro de la organización, y que puede circular y ser procesada fuera de su control directo.

Hoy la tecnología es parte integral de la operación de las empresas (y de quienes la integran). Usan la nube, inteligencia artificial y digitalizan casi todos sus procesos, lo que ha traído eficiencia y ha transformado la forma de trabajar. Pero, en ese mismo proceso, muchas han dejado de saber qué está pasando realmente con sus datos. 

Y ahí está el nuevo desafío: el riesgo de las terceras partes en la era digital. Porque ya no basta con adoptar nuevas tecnologías; es fundamental gobernarlas.

Esto cambia también la forma en que entendemos a los terceros. Durante años, la gestión de proveedores, clientes o subcontratistas se ha centrado en realizar procesos de due diligence o de revisión de antecedentes para prevenir delitos como el soborno o el lavado de activos. Ahora el reto es distinto. El riesgo ya no está solo en conocer al proveedor, sino también en cómo gestiona la información, dónde la almacena, qué tecnologías utiliza para procesarla o qué otros actores participan sin que la empresa lo sepa. 

Y esas terceras partes no son solo empresas tecnológicas. Pueden ser consultoras, estudios de abogados, empresas de recursos humanos, logística, auditoras o cualquier proveedor que, para cumplir su trabajo, utilice herramientas digitales o inteligencia artificial. 

Por ejemplo, si se le confía información estratégica a cualquier empresa de servicios, y esta la analiza y procesa con herramientas de IA -o la discute en reuniones donde se utilizan asistentes de IA-, ese contenido puede terminar expuesto fuera del control de la organización, ignorando dónde queda o quién accede a ella.

Entonces, saber qué ocurre con los datos corporativos no es un asunto menor. Y si antes la conversación sobre tecnología se concentraba en quienes la desarrollan y en quienes la utilizan, hoy también es esencial incorporar esa red de intermediarios que participa en el tratamiento de data relevante y que con frecuencia queda fuera de la visibilidad directa -y del control- de la organización. 

Por eso, entender cómo se utiliza la información no es un asunto técnico, sino estratégico. Cuando se pierde trazabilidad, transparencia y no hay claridad sobre quién es responsable de los datos, también se diluye la rendición de cuentas. ¿Quién responde ante una filtración o un uso indebido?

Ahí es donde entra la gobernanza. No se trata solo de proteger los datos a nivel interno, sino también de exigir los mismos estándares éticos, de seguridad, control y prevención a todos quienes intervienen en su gestión, ya sean proveedores o herramientas que forman parte de sus propios procesos. Sus estándares deben alinearse con los de la empresa, sin excepciones ni zonas grises.

Por lo mismo, la discusión sobre IA o nuevas tecnologías no puede centrarse solo en qué tan avanzada o eficiente es. La pregunta clave es qué nivel de control mantiene la organización, qué mecanismos de prevención implementa y cómo se resguarda el uso de la información por parte de terceros. Porque la confianza, la reputación y la resiliencia dependen cada vez más de esos actores externos.

En la era digital, gobernar la tecnología implica asumir que su gestión ya no es completamente interna. Y si durante años dijimos que los datos eran el oro del futuro, ese futuro ya llegó. Hoy, el verdadero riesgo es no saber quién los está gestionando y cómo lo está haciendo.