¡Nos hemos trasladado! 

  • Oficina nueva en Torre Millenium – Av. Francesc Macià 60, Planta 7, Sabadell

¡Nos hemos trasladado! 

Oficina nueva en Torre Millenium
Av. Francesc Macià 60, Planta 7, Sabadell

Logo de beta legal, soluciones jurídicas y asesoramiento legal
Portal Cliente
93 745 16 14

Shadow AI en la empresa: riesgos jurídicos, operativos y de ciberseguridad

Shadow AI en la empresa

La expansión de la inteligencia artificial generativa ha traído ventajas evidentes: permite redactar, resumir, programar, analizar y automatizar tareas a gran velocidad. Pero también ha abierto numerosos frentes de riesgo en la empresa, entre ellos, el uso de IA en la sombra o Shadow AI en la empresa.

El Shadow AI en la empresa supone el uso de herramientas de IA por empleados, directivos o colaboradores al margen de los canales, políticas y controles corporativos, pudiendo encajarlo dentro del concepto “shadow IT”, esto es, soluciones tecnológicas de hardware o software no autorizadas por la empresa que se incorporan al trabajo diario porque son cómodas, rápidas o más eficaces que los procesos internos.

La diferencia es que, en el caso de la IA, el impacto puede ser mucho más elevado porque esas herramientas no solo almacenan datos, sino que los reinterpretan, generan nuevos contenidos, los utilizan para fines no previstos, extraen patrones y pueden integrarse con flujos críticos de negocio.

Desde una perspectiva jurídica y empresarial, el Shadow AI en la empresa, además de constituir una infracción disciplinaria con la consiguiente sanción para el trabajador, es una cuestión de gobernanza tecnológica, de protección de datos, de ciberseguridad, de confidencialidad y, en determinados casos, de cumplimiento del Reglamento Europeo de Inteligencia Artificial, que impone determinadas obligaciones y prohibiciones en función del nivel de riesgo del sistema.

Qué es exactamente el Shadow AI en la empresa

En la práctica, existe Shadow AI en la empresa cuando una persona de la organización utiliza un sistema de IA sin validación corporativa previa, fuera del inventario tecnológico autorizado o sin estar previsto en un procedimiento aprobado y política de uso.

Por ejemplo:

  • Subir contratos a un chatbot para resumirlos
  • Usar un modelo generativo para revisar código fuente interno
  • Alimentar una IA con datos de clientes para redactar ofertas comerciales
  • Conectar asistentes externos a repositorios, correo o CRM sin intervención de IT, seguridad, compliance o legal
  • Subir contenido sujeto a derechos de propiedad industrial o intelectual.

Esa conducta puede producirse incluso con buena fe y con la finalidad de optimizar e incrementar la productividad. Sin embargo, dicho uso no autorizado puede convertir las ventajas pretendidas en un problema legal para la compañía por la ausencia de control sobre datos, finalidad, seguridad, trazabilidad y responsabilidad.

Riesgos principales del Shadow AI en la empresa

Protección de datos personales

El primer riesgo es, con frecuencia, el más inmediato: la introducción de datos personales en herramientas no autorizadas.

Si un usuario vuelca en una IA pública nombres, correos, historiales, documentación laboral, información sanitaria, evaluaciones del desempeño o datos de clientes, se pueden estar realizando tratamientos de datos sin base jurídica suficiente, sin información adecuada a los interesados, sin análisis de necesidad y proporcionalidad (EIPD) y, en algunos casos, sin garantías suficientes sobre transferencias, conservación o reutilización de la información.

Revelación de secretos empresariales y know-how

El Shadow AI en la empresa también es una amenaza para la información corporativa confidencial.

La subida de contratos, bases de datos, pricing, estrategia comercial, documentación técnica o códigos a una herramienta no autorizada puede comprometer secretos empresariales o activos intangibles de alto valor.

En el ordenamiento español, la Ley 1/2019 protege frente a la obtención, uso o revelación ilícita de secretos empresariales, y contempla como ilícita la utilización o revelación sin autorización cuando se incumplen deberes de confidencialidad o de no divulgación.

Si la organización no establece reglas claras ni controles efectivos, el riesgo no es solo de revelación no autorizada, sino también de debilitamiento de la propia posición jurídica de protección del secreto.

Riesgos en materia de ciberseguridad y superficie de ataque

Las herramientas de IA pueden ampliar la superficie de exposición tecnológica de la empresa.

ENISA ha advertido que la IA abre nuevas vías de manipulación, nuevos vectores de ataque y desafíos adicionales en materia de privacidad y seguridad. En un entorno en que el uso de herramientas de IA no está autorizado por la empresa, esos riesgos se agravan por la falta de control y evaluación previa.

Pensemos, por ejemplo, en la utilización de agentes de IA y todos los riesgos asociados:

  • Accesos no autorizados y escalada de privilegios, ya que los agentes pueden operar sobre múltiples sistemas y datos
  • Extracción o fuga de datos, al poder consultar, combinar y transferir información entre entornos de forma autónoma
  • Manipulación del agente mediante instrucciones maliciosas o del entorno, lo que puede alterar su comportamiento y provocar acciones inseguras o no previstas
  • Problemas de falta de trazabilidad y control, que dificultan auditar decisiones, detectar incidentes y responder a brechas de seguridad
  • Riesgo derivado de integraciones, actualizaciones y herramientas externas no verificadas, que amplían la superficie de ataque y pueden comprometer la confidencialidad, integridad y disponibilidad de los sistemas.

Esto conecta directamente con la lógica de la Directiva NIS 2, que refuerza las medidas de gestión de riesgos de ciberseguridad y las obligaciones de gobernanza y seguridad para entidades dentro de su ámbito de aplicación. Aunque no toda empresa está sujeta a NIS 2, su estándar regulatorio es una referencia muy útil: seguridad por defecto, gestión de incidentes, control de la cadena de suministro, continuidad y responsabilidad de la dirección.

Posible incumplimiento del RIA

El Shadow AI en la empresa puede generar también incumplimientos específicos del AI Act.

El Reglamento prohíbe determinadas prácticas de IA, establece reglas de transparencia para ciertos sistemas y fija obligaciones más estrictas para sistemas de alto riesgo, en el ámbito laboral o educativo, por ejemplo, y para determinados operadores.

Además, el propio Reglamento impone deberes de alfabetización en IA a quienes proporcionan o utilizan sistemas de IA por cuenta de organizaciones, lo cual, evidentemente, se ve dificultado si se desconoce qué herramientas se están utilizando y para qué finalidades.

Medidas de control de los trabajadores

La reacción de la empresa para hacer frente a este fenómeno tampoco puede improvisarse.

La empresa tiene facultades de dirección y control, pero el uso de medidas de supervisión tecnológica sobre los trabajadores debe respetar la intimidad y los derechos de estos. El Estatuto de los Trabajadores reconoce derechos en relación con el entorno digital, y la LOPDGDD articula garantías específicas sobre privacidad y uso de dispositivos digitales en el ámbito laboral.

Por tanto, la política corporativa sobre IA debe ser clara, previa, proporcionada y coherente con el marco laboral y de protección de datos. Lo mismo puede decirse respecto a la proporcionalidad (test Bărbulescu II) e información previa de los mecanismos de control de la empresa.

Shadow AI en la empresa

Fiabilidad, sesgo y responsabilidad contractual

No todo riesgo es normativo. También existe un riesgo evidente en el plano del negocio: decisiones internas, informes, respuestas a clientes, análisis financieros o entregables jurídicos generados por herramientas no controladas pueden contener errores, sesgos de automatización o confirmación, alucinaciones o vulneraciones en materia de propiedad intelectual e industrial.

Cuando los resultados generados por sistemas de IA se incorporan a un servicio o producto, el problema deja de ser solo interno y puede convertirse en un incumplimiento contractual por una deficiente prestación del servicio, un incumplimiento deontológico y derivar en un daño reputacional.

El enfoque del RIA pivota precisamente en la trazabilidad, la supervisión humana y la fiabilidad como elementos centrales de una IA confiable.

¿Qué debería hacer la empresa para abordar el fenómeno del Shadow AI en la empresa?

La respuesta adecuada no debería ser prohibir indiscriminadamente toda IA. Esa estrategia suele fracasar y empuja aún más el uso clandestino. La solución razonable es una gobernanza de IA proporcional, útil y ejecutable.

1. Realizar un análisis estratégico de necesidades y procesos

Lo primero que debe realizarse es un análisis estratégico de las necesidades y procesos empresariales en los que pueden incorporarse herramientas de IA.

2. Aprobar una política corporativa sobre el uso de IA

Una vez enfocado lo anterior, debería aprobarse una política corporativa sobre el uso de IA.

Dicha política debe definir:

  • Qué herramientas están permitidas
  • Qué usos están prohibidos
  • Qué datos nunca pueden introducirse
  • Qué aprobaciones son necesarias
  • Qué áreas asumen la supervisión, incluida la supervisión humana.

3. Elaborar un inventario de casos de uso y de herramientas

Debe elaborarse un inventario de casos de uso y de herramientas.

Conviene identificar:

  • Qué departamentos pretenden usar IA y con qué finalidades.
  • Qué datos e información puede tratarse.
  • Si hay decisiones automatizadas.
  • Si hay impacto en clientes o empleados.

Este análisis permite priorizar riesgos y decidir qué casos deben abordarse en primer lugar, realizando siempre un procedimiento de evaluación previa de cada herramienta sobre:

  • El proveedor;
  • Las condiciones de servicio
  • La ubicación de los datos
  • Las garantías contractuales
  • Las configuraciones de privacidad
  • Los controles de acceso
  • El logging
  • El régimen de subencargados
  • La posibilidad de desactivar usos secundarios de los datos.

Cuando existan datos personales y un riesgo significativo, debe analizarse también la necesidad de realizar una evaluación de impacto.

4. Establecer controles técnicos y de ciberseguridad

Una vez realizadas las anteriores evaluaciones, deben establecerse controles técnicos y de ciberseguridad, como por ejemplo:

  • autenticación robusta
  • gestión de identidades y privilegios
  • DLP
  • segmentación
  • sandboxing, si procede
  • limitación de conectores
  • bloqueo de herramientas no autorizadas
  • monitorización de exfiltración de datos.

5. Formar de forma especializada

Por último, debe abordarse la formación especializada en función del uso y los usuarios. No solo sobre cómo usar la IA, sino sobre cómo no usarla.

Conclusión

El Shadow AI en la empresa es una manifestación concreta del desajuste entre la velocidad de adopción de la IA y la capacidad de gobernanza de muchas organizaciones.

La empresa que ignore este fenómeno corre un doble riesgo: perder el control sobre sus datos, información y procesos; descubrir demasiado tarde que el problema no es solo tecnológico, sino jurídico y organizativo.

La buena noticia es que el Shadow AI en la empresa se puede gestionar. No exige frenar el uso, sino encauzarlo y normativizarlo. Política interna, inventario, evaluación previa, seguridad, formación y control documental siguen siendo las piezas esenciales.

Articulo revisado por Gerard Espuga, abogado especialista en Derecho Digital y Protección de Datos

Gerard Espuga
Abogado. Socio. DPO.
Linkedin

Tabla de contenidos

Compartir:

Despachos · Asesorías · Bufetes

¿Buscas una solución que simplifique la gestión del Plan de Igualdad para ofrecer un servicio óptimo a tus clientes?

Nuestra metodología y herramienta te ofrecen:

  • Importación masiva datos en una base de datos única y centralizada.
  • Facilidad de análisis, segmentación y correlación rápida y precisa de datos.
  • Incorporación de la metodología del Ministerio de Igualdad para valoración de puestos.
  • Posibilidad de elaborar y enviar encuestas anónimas y recopilar las respuestas.
  • Análisis las formaciones por tipología, sesiones, horas y asistentes.