Shadow AI: el problema que tu despacho ya tiene y aún no se ha enterado

Tres despachos esta semana. Tres. Sin saber muy bien lo que me contaban, los tres titulares han mencionado de pasada que su equipo «le pregunta cosas a ChatGPT» cuando se atasca con un cliente. De pasada, como quien comenta el tiempo. Y son despachos serios: no de los del archivador del ochenta, no del titular de sesenta y pico que se jubila en cuatro años. Despachos modernos, con CRM, firma electrónica y reuniones por Teams. Lo que ninguno de los tres había hecho es preguntarle al equipo qué datos pega exactamente en ChatGPT cuando se atasca. Porque ninguno quería saber la respuesta.

El dato grande es del MIT, no del café del lunes. El 90% de las plantillas usa IA personal para tareas del trabajo. Solo el 40% de las empresas la tiene contratada en serio. La diferencia entre las dos cifras tiene un nombre técnico: shadow AI. La IA que el despacho no ha contratado, ni regulado, ni mirado, pero que ya está dentro. Trabajando todo el día. Con tus datos. El problema no empieza el 2 de agosto. El problema es de hoy. Y no se llama AI Act. Se llama RGPD.

Voy a deletrearlo despacio. Cada vez que un empleado le pega a ChatGPT la hoja de un cliente con nombre, NIF, situación familiar, datos de salud o el desglose de la nómina, está mandando esos datos a un servidor que no tiene contrato de encargado del tratamiento con tu despacho. En cristiano: estás cediendo datos personales de un tercero sin amparo jurídico. Y eso, en castellano de la AEPD, se llama infracción. Sin matices, sin medias tintas, sin «pero como solo lo hace una vez al mes». A la AEPD no le interesa cuántas veces. Le interesa que ha pasado. Y ya está sancionando en otros sectores con cifras que arrancan en cinco dígitos.

Aquí viene la parte que escuece. La responsabilidad no es del empleado. Es tuya. Tú abres el despacho, tú firmas las cuentas, tú vas a recoger el premio cuando llega y la sanción cuando viene. Cuando la AEPD venga a leerte la cartilla no te va a preguntar qué hizo Marisa de nóminas el martes pasado. Te va a preguntar qué política tienes escrita. Y si no tienes ninguna, te la apunta como agravante.

A partir del 2 de agosto de 2026, además, el RGPD se queda corto. Entra en juego el Reglamento Europeo de IA -el denominado AI Act- y trae munición nueva. Y un nuevo sheriff en la ciudad: la AESIA, la Agencia Española de Supervisión de la Inteligencia Artificial.

Lo que ahora es un problema de protección de datos suma una capa más: alfabetización obligatoria del personal (que tu equipo sepa qué herramienta de Inteligencia Artificial usa, para qué y con qué límites), supervisión humana exigida en determinadas tareas, y un régimen sancionador específico que va a hacer ruido cuando caigan las primeras.

Tranquilidad: el AI Act no va a llegar el día tres con un certificado debajo del brazo. Pero igual que pasó con el RGPD en 2018, las primeras inspecciones llegarán cuando los despachos hayan tenido tiempo razonable para moverse. Un año, en términos de Bruselas, es tiempo razonable. Y el reloj empezó a correr en agosto del año pasado, no esta semana.

La primera reacción del titular que se entera tarde, casi siempre, es la peor: prohibir. Correo el lunes a las ocho: «queda prohibido el uso de ChatGPT en horario laboral». Bien. Mal.

Lo único que consigues con eso es que el equipo deje de usar el ordenador del despacho y se pase al móvil personal. Misma IA, mismos datos del cliente, pero ahora sin que tú veas absolutamente nada. Has pasado de tener un problema controlable a tener un problema invisible. Y, encima, te has cargado tú mismo la trazabilidad por la que te iba a sancionar la inspección. Felicidades.

La otra opción es no hacer nada. «Tampoco será para tanto». Esa frase también me la sé. Te quedas exactamente como estás: en infracción del RGPD hoy, y en infracción del AI Act en agosto. Misma película, distinta multa.

La tercera vía, que es la única que funciona, es gobernarla. No prohibir. No mirar a otro lado. Gobernar.

Y gobernarla, en un despacho de tamaño normal, no es lo que la consultora de turno te quiere cobrar. No te hace falta un proyecto de seis meses ni un comité de cumplimiento con cuatro miembros y reunión los jueves. Te hacen falta cuatro cosas. Concretas. Aburridas. Eficaces.

Una. Pocas herramientas. Las que sean, pero contratadas en versión profesional, con compromiso de no entrenamiento sobre los datos del cliente, y con el contrato de encargado del tratamiento firmado por escrito. Lo último es exactamente lo que el cuarenta por ciento se está saltando, porque «ya con la suscripción es suficiente». No, no lo es.

Dos. Una política interna escrita en una hoja. Una. Qué se puede usar, qué no, con qué datos y con qué supervisión. Si te pasas de la primera página, ya has empezado a complicarlo.

Tres. Media tarde de formación al equipo. Esa media tarde es exactamente la «alfabetización en IA» que te exige Bruselas. No te están pidiendo un máster. Te están pidiendo que tu gente sepa qué datos le está soltando a la herramienta y qué no.

Cuatro. Un responsable con nombre y apellido. Aunque seas tú mismo. Si la pelota queda repartida entre todos, no la lleva nadie. Y cuando llegue la inspección, alguien tiene que descolgar el teléfono.

Esas cuatro cosas se hacen en media docena de tardes. Las que vienen, antes del 2 de agosto. Lo que no quepa ahí es venta de la consultora; lo que sí cabe es trabajo del titular.

El 2 de agosto la AESIA no va a llamar a la puerta de tu despacho. Tampoco la AEPD. Eso llega en 2027. La pregunta no es si llegará: la pregunta es qué les vas a contar entonces.

El que dedicó este verano media docena de tardes a poner orden va a contestar al teléfono con cara de tranquilidad. El que se fue a la piscina pensando que esto se arreglaría solo, va a contestar con otra cara muy distinta.

Decide bien. Que la fuerza te acompañe.