La IA que ya usas sin saberlo: por qué el inventario es el cimiento de todo

El primer paso de la gobernanza de IA no es comprar software. Es saber qué IA usas ya. Y la respuesta casi siempre es más larga de lo que la organización cree.

Cuando le preguntas a una PYME cuántos sistemas de IA usa, la respuesta suele ser un número bajo y seguro: "dos o tres". Cuando haces el inventario de verdad, el número se multiplica. No porque la empresa mienta, sino porque una parte enorme de la IA que ya opera dentro de una organización entró sin que nadie la registrara. Ese fenómeno tiene nombre: shadow AI, la IA en la sombra.

Y aquí está el problema práctico: no puedes gobernar lo que no sabes que tienes. El inventario no es una tarea administrativa previa al trabajo de verdad. Es el trabajo de verdad. Sobre él se apoya todo lo demás —la clasificación de riesgo, la política de uso, la transparencia, la evidencia—. Sin inventario, la gobernanza de IA es una declaración de intenciones.

De dónde sale la IA que no inventarías

La shadow AI llega por tres vías principales, y ninguna pasa por una decisión formal de compra.

El módulo que se activó solo. Es la vía más silenciosa. Tu CRM, tu ERP, tu suite de ofimática o tu software de gestión reciben una actualización que añade funciones de IA: un asistente que redacta, un scoring que prioriza, una recomendación automática. Nadie compró "una IA". El proveedor la incluyó en la versión nueva y se activó por defecto. La organización lleva meses usándola sin haberla clasificado.

La herramienta que trajo el empleado. Alguien empezó a usar un asistente generativo para redactar correos, resumir documentos o preparar propuestas. Funciona, ahorra tiempo, se extiende por el equipo. No pasó por IT ni por compras. Es el BYOAI —bring your own AI— y suele ser el punto ciego más grande, porque además puede estar sacando datos de la empresa a servicios que nadie ha evaluado.

La función escondida en un servicio contratado. El chatbot del software de citas, el filtro del sistema de reclutamiento, el optimizador de rutas del programa de logística. Se contrató el servicio, no "la IA". Pero la IA está ahí, procesando datos y, a veces, influyendo en decisiones.

Por qué esto es un problema regulatorio, no solo de orden

Un sistema de IA que la organización no ha inventariado sigue estando sujeto al AI Act y al RGPD igual que si lo hubiera comprado con un contrato de tres firmas. La ley no distingue entre la IA que decidiste usar y la que se te coló.

Eso significa que la shadow AI puede estar activando obligaciones sin que nadie se entere:

  • Un asistente de ofimática que procesa datos personales sin una base jurídica revisada.
  • Un chatbot que interactúa con clientes sin el aviso de transparencia que exige el Art.50 desde el 2 de agosto de 2026.
  • Una función de scoring de candidatos que empuja el sistema hacia la categoría de alto riesgo, con el calendario que eso implica.
  • Datos que salen de la empresa hacia un servicio fuera del Espacio Económico Europeo sin mecanismo de transferencia.

Ninguno de estos riesgos aparece en un cuadro de mando si el sistema no está en el inventario. Y ninguno desaparece por no mirarlo.

Cómo hacer un inventario que sirva

Un inventario útil no es una lista de nombres. Es un registro vivo que, para cada sistema, captura lo mínimo necesario para poder clasificarlo y gobernarlo:

  • Qué es y qué hace: nombre, proveedor, función concreta, departamento que lo usa.
  • Qué datos toca: si procesa datos personales y de qué tipo (identificativos, de salud, de empleados). Aquí es donde se decide media clasificación.
  • Qué papel juega tu organización: en casi todos los casos, el de desplegador (deployer). Distinguirlo del papel de proveedor es esencial, porque muchas obligaciones —documentación técnica, registro— son exclusivas del proveedor.
  • Origen de los datos y del proveedor: dónde se procesan, si hay transferencia internacional.

Con eso, cada sistema puede clasificarse por su nivel de riesgo y encajarse en el calendario correcto. Sin eso, todo lo demás flota.

El inventario nunca se termina

Un error común es tratar el inventario como un proyecto con fecha de cierre. No lo es. La shadow AI no deja de llegar: cada actualización de software puede añadir una función nueva, cada equipo puede adoptar una herramienta nueva. El inventario que estaba completo en marzo está desactualizado en junio.

Por eso tiene sentido tratarlo como un registro permanente, no como un documento. Añadir un sistema debería ser fácil; revisar periódicamente qué ha cambiado, una rutina. La gobernanza de IA que funciona no es la que hizo un inventario perfecto una vez, sino la que mantiene el suyo vivo.

Empieza por ahí. Antes de comprar nada, antes de escribir una política, antes de clasificar riesgos: pregunta honestamente qué IA usa ya tu organización. La respuesta es el cimiento de todo lo que viene después.

Este artículo tiene carácter informativo y no constituye asesoramiento jurídico.