Tu equipo usa más IA de la que crees
Pregúntate: ¿sabes exactamente qué herramientas de inteligencia artificial usa tu equipo hoy? La respuesta honesta, en la mayoría de las empresas, es no.
Alguien de marketing pega el borrador de un contrato en ChatGPT. Un desarrollador tiene Copilot activado en su editor. El equipo de ventas resume llamadas con una herramienta de transcripción con IA. Producto probó Claude para redactar la documentación. Nadie lo registró, nadie lo aprobó formalmente, y probablemente nadie lo ha revisado desde el punto de vista de cumplimiento.
Eso es Shadow AI: el uso de sistemas de IA dentro de tu organización sin conocimiento ni control del responsable. Y con el EU AI Act, ha dejado de ser un problema teórico.
Por qué el EU AI Act te hace responsable
Aquí está la clave que mucha gente no entiende: el EU AI Act no solo regula a quien desarrolla IA (el provider), sino también a quien la usa en su actividad profesional (el deployer o responsable del despliegue). Y en la práctica, casi todas las empresas son deployers.
Como deployer tienes obligaciones reales, incluso usando herramientas de terceros:
- Transparencia (Art. 50): si usas IA que interactúa con personas o genera contenido, debes informarlo.
- Supervisión humana: no puedes delegar decisiones que afectan a personas en un sistema sin control.
- Alfabetización en IA (AI literacy): tu equipo debe tener formación básica sobre la IA que usa — obligatorio desde febrero de 2025.
- Y si algún uso cae en alto riesgo (por ejemplo, IA en selección de personal), las obligaciones se disparan.
No puedes cumplir ninguna de estas obligaciones sobre una herramienta que ni siquiera sabes que se está usando. Por eso el primer paso de cualquier programa de cumplimiento serio es el mismo: saber qué IA hay en tu casa.
Los riesgos concretos del Shadow AI
Más allá del cumplimiento, el Shadow AI trae riesgos muy tangibles:
- Fuga de datos: un empleado pega datos de clientes o código propietario en una herramienta cuyos términos permiten usar esos datos para entrenar modelos.
- Decisiones no auditables: si un sistema influye en una contratación o un precio y no está documentado, no puedes justificarlo ante un cliente, un regulador o un tribunal.
- Incoherencia con tu propia política: puede que tengas una política de uso de IA... que nadie sigue porque nadie sabe qué herramientas se usan realmente.
Cómo detectar la Shadow AI (paso a paso)
1. Inventaría lo que ya sabes. Empieza por lo obvio: pregunta a cada equipo qué herramientas de IA usa. Es un buen comienzo, pero incompleto — la gente olvida o no menciona lo "no oficial". 2. Mira dónde deja rastro la IA. Las herramientas de IA se mencionan constantemente en el trabajo diario:- En Slack/Teams: "lo pasé por ChatGPT", "usa Copilot para esto".
- En Google Drive/Dropbox: documentos, actas, borradores generados con IA.
- En GitHub: dependencias (
openai,anthropic), manifiestos, integraciones.
Automatizar la detección con Fencia
Hacer esto a mano, cada mes, en una empresa que crece, es inviable. Por eso lo construimos dentro de Fencia:
- Conecta Slack, Google Drive y GitHub con OAuth en un clic.
- Fencia barre el contenido real y detecta las herramientas de IA que menciona tu equipo, con la ubicación y el número de menciones.
- Las compara automáticamente con tu política de uso de IA que hayas subido: cada herramienta no cubierta aparece como un hallazgo, no como una fila más en un Excel.
- Cada sistema detectado entra en tu inventario de IA, listo para clasificar y documentar.
Y todo se ejecuta también en modo automático: programas un barrido periódico y Fencia te avisa cuando aparece una herramienta nueva.
El primer paso, hoy
El EU AI Act premia a quien puede demostrar que gestiona su IA con responsabilidad — y castiga a quien no sabe ni lo que tiene. Empezar es sencillo:
Haz tu primer barrido de Shadow AI gratis en fencia.co. Conecta una fuente y ve, en minutos, qué IA usa realmente tu equipo. Sin tarjeta.
Fencia es una herramienta de apoyo al cumplimiento (RegTech). No sustituye el asesoramiento legal profesional.