¿Y si la regulación no fuera un obstáculo para la transformación con IA, sino una ventaja estratégica? Galen conversa con Lauren Wallace—ex Directora Jurídica en RadarFirst y veterana en áreas legales, de producto y gobernanza de IA—para explorar cómo las industrias reguladas pueden aprovechar su músculo de cumplimiento existente para liderar con responsabilidad en la era de la inteligencia artificial.
Abordan la practicidad de construir estrategias de IA centradas en la privacidad, establecer bases éticas claras y crear impulso interno entre equipos interfuncionales. Si te encuentras navegando la transformación digital en un entorno de alta exigencia y cumplimiento, este episodio te brinda consejos concretos y aprendizajes valiosos con aplicación inmediata.
Lo que aprenderás
- Por qué las industrias reguladas pueden ya tener la infraestructura para hacer una transformación con IA de calidad y cómo apoyarse en ella.
- Los componentes clave de una estrategia de IA centrada en la privacidad: desde los valores hasta la gobernanza y los equipos interfuncionales.
- Cómo operacionalizar principios éticos como la transparencia, la rendición de cuentas y la mitigación de sesgos en proyectos reales, y no solo en carteles.
- Formas prácticas para lograr el alineamiento interno, crear un vocabulario común entre los equipos e instaurar una cultura en la que «todos somos responsables» cuando se trata de riesgos en datos e IA.
- Una mirada realista al futuro: regulación, litigios, zonas grises—y qué deberías priorizar ahora en vez de esperar una claridad perfecta.
Conclusiones clave
- Reflexiona sobre la base de tu estrategia de datos: ¿consideras la información personal de tus usuarios como algo de lo que sacar valor o como algo que custodiar en su nombre? Cambiar esa mentalidad redefine las reglas de cómo construir una IA responsablemente.
- No trates el “cumplimiento” como una simple lista de verificación—se trata de convertir la gobernanza existente (privacidad, seguridad, protección al consumidor) en tu plataforma de lanzamiento para la IA. Si ya tienes los controles, úsalos.
- Incluye a todo el equipo (producto, ingeniería, legal, marketing, éxito del cliente, seguridad) en las discusiones sobre IA desde el principio. No es solo una iniciativa «tecnológica»; es una conversación empresarial sobre valor, riesgo y confianza.
- Al evaluar una herramienta o modelo de IA: pregunta “¿Cuál es el caso de uso? ¿Cuál es el ROI? ¿Quién es el responsable? ¿Entendemos este modelo? ¿Podemos defender esta decisión?” Si la respuesta es no, tal vez debas decir no.
- La cultura y la educación importan. Sesiones regulares—“almuerzos formativos” sobre IA ética, experiencias pasadas, fallas de transparencia—ayudarán a crear vocabulario y conciencia compartida para que los equipos no trabajen aislados o tengan que ponerse al día.
- El futuro no esperará a que la legislación sea perfecta. Actúa ahora según tus valores. Define tus umbrales de riesgo, marca el ejemplo desde arriba y prepárate para los cambios regulatorios o litigiosos en vez de solo reaccionar a ellos.
Capítulos
- 00:00 – La privacidad como derecho humano
- 00:04 – ¿La regulación es un obstáculo o una ventaja?
- 00:08 – Privacidad desde el diseño como base
- 00:13 – Modelos globales de propiedad de datos
- 00:16 – Componentes de una estrategia de IA centrada en la privacidad
- 00:26 – Casos de uso: internos vs orientados al producto
- 00:30 – Construyendo responsabilidad en todos los equipos
- 00:34 – Colaboración interfuncional y cultura
- 00:46 – Perspectivas a futuro: regulación y riesgos
- 00:48 – Cierre y reflexiones finales
Conoce a nuestra invitada

Lauren Wallace es una experimentada abogada tecnológica y de privacidad y ejecutiva de negocios que actualmente actúa como Asesora Estratégica y anteriormente como Directora Jurídica en RadarFirst, aportando más de 20 años de experiencia en la intersección de la tecnología, el derecho y los negocios. Ha ocupado cargos de liderazgo en grandes empresas tecnológicas y startups innovadoras—including funciones de asesora y abogada interna en software empresarial global, SaaS y asuntos de gobernanza de privacidad. Como Certified Information Privacy Professional (CIPP/US), Lauren ha sido fundamental en la definición de la estrategia legal, regulatoria y comercial de RadarFirst, y sigue participando activamente en la comunidad empresarial y sin fines de lucro de Portland.
Recursos de este episodio:
- Únete a la comunidad Digital Project Manager
- Suscríbete al boletín para recibir nuestros últimos artículos y pódcast
- Conecta con Lauren en LinkedIn
- Visita RadarFirst
- NOYB – None of Your Business (organización de derechos de privacidad de Max Schrems)
- AI Incident Database
Artículos y pódcast relacionados:
Lauren Wallace: La privacidad es un derecho humano fundamental. Es una expectativa base que nos permite vivir nuestras vidas de forma autodeterminada. En EE. UU., históricamente, hemos tratado el valor de esa información personal como propiedad de la empresa que la recopila. En la UE, la privacidad es un derecho humano fundamental y el derecho de autodeterminación sobre el uso de tu información personal pertenece al titular de los datos, es decir, la persona.
Galen Low: ¿La regulación es esa burocracia que frenará a las industrias reguladas en su transformación con IA?
Lauren Wallace: Creo que las empresas altamente reguladas tienen realmente una ventaja a la hora de diseñar e implementar programas de IA conformes. Ya están integradas en los marcos regulatorios existentes. Hace aproximadamente año y medio, lanzamos una serie de reuniones mensuales tipo “lunch and learn” sobre IA ética. Hablamos de transparencia, de responsabilidad. Esto es lo más divertido. A todos nos encantan las historias de guerra, ¿verdad? Saqué ejemplos impactantes, recién salidos del horno, que han implicado estos principios de transparencia o mitigación de sesgos.
Galen Low: Bienvenidos al pódcast de The Digital Project Manager, el programa que ayuda a líderes de entregas a trabajar de forma más inteligente, entregar más rápido y liderar mejor en la era de la IA. Soy Galen, y cada semana profundizamos en estrategias del mundo real, nuevas herramientas, marcos comprobados y alguna que otra historia desde las trincheras de los proyectos. Ya sea que lideres grandes proyectos de transformación, gestiones flujos de trabajo de IA o simplemente intentes mantener el caos bajo control, estás en el lugar correcto. Vamos a ello.
Hoy destapamos la transformación IA en industrias reguladas y cómo un enfoque de privacidad como prioridad puede realmente acelerar la innovación, impulsar la colaboración transversal y allanar el camino hacia un impacto sostenible. Hoy me acompaña Lauren Wallace, asesora estratégica y antigua Directora Jurídica de RadarFirst.
Lauren tiene una amplia experiencia que abarca desarrollo legal de negocios y cargos ejecutivos en marcas como Apple, Microsoft, Nike, así como startups respaldadas por capital de riesgo y private equity. Es conocida por sus consejos prácticos y accesibles para equipos legales, de producto, marketing y desarrollo sobre el uso responsable de IA. Y es toda una fuerza de la naturaleza gestionando el cumplimiento en entornos regulados.
¡Lauren, muchas gracias por acompañarme hoy!
Lauren Wallace: Gracias por la invitación. Es un placer estar aquí.
Galen Low: Yo también estoy muy emocionado. Acabábamos de tener una charla animada antes de entrar. Ojalá hubiera grabado esa parte. Estoy muy interesado en esto.
Tenemos una buena conexión de energías. Coincidimos en varias cosas, y en otras quizás no tanto. Me fascina tu trayectoria porque tienes esa mezcla de cultura startup y lo que podría considerarse un ritmo menos acelerado en industrias reguladas como los servicios financieros. Creo que hoy podremos saltar de un tema a otro, pero aquí está la hoja de ruta que he trazado para nosotros.
Para comenzar, quería quitar de en medio una de esas grandes preguntas candentes, esa cuestión paradójica que todos quieren ver resuelta. Pero luego quiero que ampliemos un poco la perspectiva y hablemos de tres cosas. Primero, quería hablar de cómo es realmente, a nivel de componentes, una estrategia de IA que prioriza la privacidad y qué deben implementar los ejecutivos en industrias reguladas para lograrla, así como los beneficios potenciales.
Después, deseo explorar algunos ejemplos prácticos de lo que supone el enfoque de “privacidad desde el diseño” y cómo los líderes departamentales que convierten en realidad la visión de IA de su compañía pueden prepararse para evitar problemas dolorosos en el futuro. Y finalmente, analizar cómo será el panorama competitivo tras cinco años de organizaciones de distintos tamaños impulsando sus estrategias de IA. Vaya, eso fue largo. ¿Qué te parece?
Lauren Wallace: Bueno, excepto por la parte de la perspectiva a cinco años, Galen. Creo que podemos abarcar mucho.
Galen Low: De acuerdo. Sacaremos la bola de cristal y podemos hablar de 3, 5 o 10 años. Ya veremos.
Pensé empezar con esa gran pregunta complicada, pero la voy a preparar primero. Cuando pensamos en industrias muy reguladas como servicios financieros, salud, energía, telecomunicaciones, etc., la mayoría piensa en limitaciones que hacen que las organizaciones se muevan lentamente.
Y después de ese pensamiento, uno asume que la transformación IA en esas industrias también avanzará despacio, dejando a esos sectores en la “Edad Media” mientras el resto acelera sus propias estrategias IA. Así que mi gran pregunta es: ¿es la regulación la cinta roja que frenará a las industrias reguladas en su transformación IA?
¿O es la base que podría beneficiar a todos al final, o es algo completamente distinto?
Lauren Wallace: Sí. Me voy a decantar por algo completamente distinto. O, bueno, comenzar en un punto intermedio de las opciones que diste. Lo plantearía hacia el medio y diría que las empresas altamente reguladas realmente tienen una ventaja en el diseño e implantación de programas de IA conformes.
Y eso es porque los principios que subyacen a la gobernanza de IA, como transparencia, responsabilidad, monitoreo y prevención de sesgos, son elementos esenciales de un programa de gobernanza IA. Ya están integrados en los marcos regulatorios existentes. Y esto es de mayor alcance de lo que muchos piensan.
Porque abarca cosas como el RGPD, que independientemente del sector en el que estés, probablemente te resulta familiar. Pero si trabajas en banca, estás sujeto a leyes de préstamos justos. Si contratas personal, a leyes de igualdad de oportunidades. Hay otros muchos marcos civiles y de protección al consumidor que, en particular, pueden prohibir o restringir la toma de decisiones algorítmicas.
Normativas como las de gestión de modelos, que bancos han usado durante años, llevan vigentes mucho tiempo. Se llama “toma de decisiones algorítmicas”, y se traduce fácilmente en lo que vemos hoy con tantas herramientas de IA. Así que estas grandes instituciones de sectores que mencionaste ya tienen programas de cumplimiento robustos para esos marcos.
Y ya cuentan con recursos asignados a la gestión de esos marcos. Disponen de controles y herramientas para asegurar el cumplimiento. No digo que sea fácil sumar la gobernanza de IA, pero al menos partes con una base desde la que añadir el cumplimiento IA.
He trabajado con muchas de esas grandes instituciones en sus programas de cumplimiento IA. Hay de todo: algunas inician frescas, otras tienen una “alergia institucional” a la IA y hay que superarla, pero también abundan las sofisticadas.
Tienen programas existentes y sólo buscan ampliarlos. ¿Cómo incorporar el talento y experiencia necesarios? ¿Cómo involucrar a la comunidad en la gestión IA a gran escala? Además –y esto lo conozco muy bien– han tenido que cumplir una compleja maraña de normas de notificación de incidentes de seguridad.
Ahora, mi comunidad, la gente de RadarFirst, los veo. Me encanta que usen RadarFirst. Tenemos ese producto, del cual soy una gran fan, que suma alrededor de 500 reglas globales de notificación de incidentes de privacidad y seguridad que puedes usar para revisar tus incidentes. Hay que entender que no importa cómo surja el incidente, ya sea por un fax mal enviado o por una IA que trata datos personales.
Un incidente es un incidente. Si hay información personal involucrada, aplican esas reglas de notificación. Así que hay que saberlo y no pensar que los incidentes IA puedan separarse. Y desde luego no se puede culpar sólo a la IA. Se ha intentado y no sale bien.
Así que hay que tener un proceso para gestionar incidentes, pero ahora hay que optimizarlo. No partes de cero. En resumen, y esa fue una respuesta larga a tu pregunta, creo que el mayor reto es para las medianas empresas. Puede que se enfrenten por primera vez a esa regulación al implementar IA en sus procesos, ¿y entonces por dónde empiezan?
Quizás nunca hayan contado con herramientas para analizar datos a gran escala. Las nuevas –algunas asequibles y bastante accesibles– soluciones de IA pueden permitírselo. Pero, de repente, ejecutan procesos y usan datos de formas antes inexploradas, exponiendo esa información a nuevos riesgos.
Para quienes inician la gobernanza desde cero, les digo: tienen mucho trabajo por delante. Esa fue mi respuesta larga a tu pregunta corta.
Galen Low: Esperaba la parte esperanzadora después. Es mucho trabajo, pero…
Lauren Wallace: Vamos a la parte esperanzadora, entonces. Creo que siempre puedes empezar por los principios básicos de privacidad desde el diseño y aplicar esos principios para proteger no sólo la información personal, sino también la información propietaria de la empresa.
Porque surgen muchos nuevos riesgos cuando se sube información interna a ChatGPT o similares. Es importante evaluar y reforzar la postura de seguridad. Con la IA hay una nueva superficie de ataque impresionante. Hay que asegurarse de blindar la seguridad. Y lo más importante, y espero que pasemos la mayor parte de la conversación en esto, es empezar el diálogo interno para entender qué se quiere lograr con la IA, qué se cree que se puede lograr, y cuál es el verdadero ROI que esperan alcanzar como comunidad.
Me gusta separar en dos vectores: uno es cómo se usa la IA internamente –para productividad, sustituir herramientas existentes, mejoras funcionales– y otro, los casos de uso en el desarrollo de producto.
Galen Low: Mmm-hm.
Lauren Wallace: Y son consideraciones muy diferentes para cada caso.
Galen Low: Quiero profundizar ahí. Me alegra que mencionaras la memoria muscular y el RGPD porque vengo del mundo digital y hay dos cosas que habitualmente nos han hecho correr con el tema de regulación: una fue el RGPD y otra, antes, la accesibilidad, cuando la Ley ADA nos hizo correr sin cabeza por no saber qué proceso seguir, cómo informar, sanciones, incidentes, visibilidad de los datos. No teníamos nada preparado. Había agencias que sí lograron adelantarse, sobre todo en accesibilidad.
Fue un requisito y tuvimos que ponernos al día rápido. Aquellas agencias que ayudaron a sus clientes construyendo soluciones web accesibles tomaron la delantera, pero en general fue una carrera frenética porque estábamos del lado contrario que mencionaste:
Tipo: probemos todas las herramientas, avancemos rápido. ¿Qué más da? Es digital, es tecnología. No nos atan las reglas. Hasta que comprobamos que sí.
Lauren Wallace: ¿Reglas? Sí, muchas reglas, y muchas con principios complementarios.
Pero pueden aplicarse de forma muy distinta. Así que si comparas el RGPD con la CCPA de California y la posterior CPRA, vienen de un buen principio, pero su implementación varía mucho. Y lo que hacen muchos de mis clientes es buscar el “nivel más alto”, el estándar más estricto.
Identifican qué es común entre todas las regulaciones y tratan de aplicar ese principio elevado para todos. Intentar cumplir sólo al mínimo te puede ahorrar exposición regulatoria, pero sale mucho más caro luego en implementación y en “espacio mental” si intentas hacer cosas innovadoras.
Así que elige la mejor manera y hazlo bien. Mencionaste accesibilidad, un tema muy cercano a mi corazón y con el que estoy colaborando activamente, y me encantaría conversar contigo en otra ocasión sobre accesibilidad en IA, porque estamos asumiendo que pautas como la WCAG, donde sólo marcas casillas de tu web, funcionan también para una carga cognitiva muy diferente que se da con la IA, donde las personas pueden o no tener acceso.
Ya sea en una interacción directa con, por ejemplo, un copiloto, o en el mundo físico usando IA. Personas con discapacidad han sido realmente empoderadas por asistentes como Alexa y HomeKit para mejorar su entorno cotidiano.
Pero ahí la IA modera todo en segundo plano, así que tus hipótesis sobre el entorno las toma otro, y esto es muy potente, y la gente merece mucho más. Me entusiasma hablar algún día de accesibilidad en IA contigo.
Galen Low: Me encantaría. El concepto de equidad y acceso igualitario ha surgido mucho en estas charlas y concuerdo con lo del estándar más alto. También estuve involucrado en proyectos de accesibilidad web con WCAG, donde en verdad fue una simple formalidad para evitar sanciones, y muchas veces era sólo cumplir justo lo mínimo, lo que terminaba añadiendo más riesgos y generando más trabajo luego. Y parece que hacer lo mínimo, en realidad, termina saliendo más caro.
Lauren Wallace: Exacto, luego tienes que ir corrigiendo punto a punto más adelante.
Y además, seleccionar un estándar alto fomenta un enfoque ético. Así, aunque no haya una obligación regulatoria específica que citar, puedes sentir que es la mejor manera de hacerlo.
Eso es importante porque queremos ser buenas empresas y poder decirle a nuestros hijos que actuamos bien en nuestro trabajo. Además, nunca sabes de dónde surgirán los desafíos: tal vez no sea un regulador estatal o europeo, sino una demanda colectiva o un competidor. Así que sólo cumplir con lo básico de la regulación no basta.
Hay que demostrar que la organización opera con directrices éticas internas. Sé que queremos hablar de lograr ese engagement, y como gestor de proyectos eso es tu día a día: poner a todos en sintonía, pero ¿cómo comunicar esa visión compartida?
¿Cuáles son las herramientas y vocabulario que tienes?
Galen Low: Me encanta. ¿Podríamos profundizar ahí? He visto que hablas de desarrollar una estrategia de transformación de IA con la privacidad como prioridad. Y lo de comunicar la ética me conecta. ¿Podrías quizás desglosar para la audiencia los componentes clave de un enfoque de IA con la privacidad primero? Quizá ejemplos o los beneficios. Y si quieres ampliar el foco más allá de la privacidad estricta, adelante.
Lauren Wallace: Primero voy a centrarme, quizás de forma personal y algo controvertida. Para mí, la privacidad es un derecho humano fundamental. Una expectativa que permite una vida autodeterminada.
Las organizaciones y los estados deberían participar en su limitación sólo con mucha cautela. O mejor, ni deberían. Pero si van a hacerlo, que sea con muchísimo cuidado. Donde quizás soy más controvertida es al mirar el panorama global: En la UE, que es referente en tratar la privacidad como derecho humano fundamental, lo explicitan claramente en el RGPD y ahora en la Ley de IA. La privacidad es derecho fundamental, y el derecho de decisión sobre los datos es del titular, la persona. En EE. UU., tradicionalmente el valor de la información personal se trata como propiedad de quien la recopila y extrae valor de ella.
Eso, en cierta forma, es menos polémico que decir que en otras jurisdicciones el valor e incluso el contenido de la información personal pertenece al Estado, bajo el supuesto de que el Estado empleará esos datos en beneficio del ciudadano.
Son tres teorías de base muy distintas sobre quién es dueño y se beneficia de la información personal. A partir de ahí, analiza qué directrices éticas tiene tu empresa y dónde encajas. Eso es lo primero. No una lista de principios como equidad, responsabilidad, mitigación de sesgo.
Son palabras útiles para armar la plantilla sobre vuestros valores, pero, en esencia, ¿crees que como organización sirves extrayendo valor de la información personal? ¿O que sirves ayudando a tus clientes a usar esa información en beneficio del titular? En EE.UU., puedes elegir. Yo quiero ayudar a quienes quieren servir al titular de los datos.
Galen Low: Claro. Mencionaste el modelo europeo como referente de privacidad como derecho individual.
Como norteamericano, lo he aceptado: mis datos son como moneda de cambio, son transaccionales. Cuando dijiste que quien extrae el valor posee los datos, me pareció lógico, porque normalmente lo acepto al no pagar dinero. Siento que al usuario final esto lo lleva a permitir una gestión laxa de sus datos porque dice: “toma mi correo electrónico y luego enriquece los datos”. Vengo del mundo media, he visto mucho de eso, y en algunos casos su valor supera al del dinero, pero la cuestión de propiedad realmente me impacta. Eso siempre me llamó la atención del RGPD: el control y agencia sobre la información propia, pero luego la realidad de que pocos tenemos tiempo para ejercer ese derecho. Apenas tengo tiempo de borrar fotos en mi teléfono, menos de rastrear dónde están mis datos o pedir que los eliminen. Hay quien lo hace, pero yo no.
Lauren Wallace: Mérito para organizaciones como NOYB (None Of Your Business), la fundación de Max Schrems. Porque pueden ejercer ese derecho a escala. Para nosotros, es difícil ejercerlo individualmente.
Ahora, muchos estados –y este es un avance de la regulación IA que faltaba en la de privacidad– están incluyendo la obligación de informar y requerir consentimiento, que este sea informado. En privacidad, el consentimiento se ha entendido como implícito en muchas transacciones.
Al aceptar las cookies o rellenar formularios, nunca olvidemos ese principio básico: “Si el producto es gratis, el producto eres tú”.
Galen Low: Sí.
Lauren Wallace: Pero es muy fácil dejarse seducir por la funcionalidad que te venden.
Y pensar: sólo soy yo, desde aquí en Portland, Oregon, ¿cuánto valen realmente mis datos? Pero en conjunto, y en ambientes enriquecidos como los que describes, surge uno de los nuevos riesgos de privacidad de la IA: la capacidad de enriquecimiento y las inferencias sobre datos enriquecidos. Eso que diste a un proveedor, en específico, para comprar algo, puede tener poco valor aislado, apenas unos céntimos, pero al agruparse, enriquecerse y revenderse, el valor de tu “dossier” sube.
Como titular de los datos no puedes ir a cada proveedor. No puedes remediarlo. Por eso admiro a las empresas que quieren ser éticas y tienen gran conciencia sobre sus datos y el consentimiento obtenido para usarlos. ¿Se usan conforme a ese consentimiento? ¿Podrían defender que ese uso extendido se ajusta a la intención original? ¿El titular fue informado en el momento de dar el dato? No querrás revisar tu viejo conjunto de datos legacy para buscar esto.
Ahora vas y adquieres una empresa, ¿la compras por sus datos? Reflexionaba sobre esto tras una noticia reciente: un gran banco compró una startup que ofrecía servicios a estudiantes buscando financiamiento. El banco vio valiosos los 4 millones de nombres que la startup reportaba tener, para atraerlos como clientes. El costo de adquisición de cliente para el banco era de unos 150 dólares por cliente. Así que estaba dispuesto a pagar 175 millones por esos 4 millones de nombres –unos 40$ por nombre– lo que tenía sentido considerando el ahorro frente a campañas convencionales.
Resultó que esos 4 millones de nombres eran falsos, generados sintéticamente mediante algún programa de IA. Cuando los probaron, todos fallaron. Así la compra de 175 millones fracasó y el banco demandó, retiró la adquisición... puede que recuperaran el dinero. Lo interesante es que compraron la empresa sólo por la lista de nombres, ni por la tecnología ni por personas. En la información pública podía verse el valor atribuido a cada nombre. La empresa no valía nada si esos nombres no eran reales. Así que piensa: si tú o tu hijo están en ese pipeline de valor desde muy jóvenes hasta abrir una cuenta de banco, tu decisión aparentemente mínima (“aceptar” para comprar algo) a lo largo de tu vida vale bastante más.
Galen Low: Hay mucho ahí: es un buen paralelismo a lo que decías de la transformación IA en el trabajo. No siempre se percibe lo que sucede tras bastidores después de dar un dato, hacer un prompt, etc. Pensamos en muchos “black box” como modelos opacos, pero aquí el verdadero “caja negra” es lo que ocurre tras bambalinas. ¿A dónde va toda esa información? ¿Cómo se agrega y se transfiere? Y volviendo al modelo: si decides como compañía que quieres obtener valor, aún hay mucho trabajo por hacer para entender a dónde va toda la información y la responsabilidad ética real.
No sé si tenemos que resolverlo hoy, pero podríamos intentarlo.
Lauren Wallace: Es una gran cuestión. Hay tantas preguntas gigantes al adentrarse en este terreno como ciudadanos, padres, consumidores, empleados… que querer abarcarlo todo es como intentar hervir el océano con un encendedor. Por eso prefiero partir de un caso de uso: ¿qué quieres lograr con esta aplicación concreta y el conjunto de datos que procesará? ¿Cuál es el ROI? ¿Vas a ahorrar o ganar dinero? ¿Agregar clientes? Y de ahí desglosarlo más.
Es demasiado para verlo a nivel macro. En el mundo del cumplimiento hablamos mucho de “tono en la cúspide” (tone at the top). Es valioso ver cómo los líderes difunden los valores, pero eso sólo llega hasta cierto punto. Al nivel de proyecto, debes desglosarlo: ¿qué se busca, qué caso de uso, qué ROI real? ¿Cómo se alinean los principios éticos con lo que vas a hacer?
Y si no sabes, ¿es seguro proceder? Yo he contestado que no, siendo Directora Jurídica, te diré. Hemos analizado cientos de proveedores, hice un informe: hubo muchos rechazados. O no dan suficiente información, o no publican una “trust center” o usan modelos que no revelan. A veces tras investigar encontramos que incluso usan herramientas no validadas, así que decir “no” debe ser aceptable a veces, es ahí donde ayuda el marco ético: si uno de tus principios es la responsabilidad, ¿quién será realmente responsable si no tienes toda la información? No puedes alegar “era cosa del proveedor”. La responsabilidad es aspiracional, pero ¿a quién se refiere: junta, directivos, equipo? Desde el enfoque de proyecto, ayuda mucho crear equipos responsables unos delante de otros.
Al formar un equipo para un proyecto IA, deben estar todos: producto, ingeniería, seguridad y también atención al cliente (¿tienen guiones para explicar funcionalidad?), marketing, legal (puede haber contratos que prohíben IA, aunque lo llamen “toma de decisiones algorítmica” o “modelos”), y desde el punto de vista regulatorio. Ahora, sí hay responsabilidad entre pares y puedes mantener diálogos sinceros.
Galen Low: Me alegra que lo menciones. A veces, la privacidad es tan fuerte como el eslabón más débil. Sólo hace falta que una persona en el equipo diga: “no importa, subo todo a una IA pública” o simplemente pase por alto reglas por entregar rápido. Hay que crear cultura para que todos se responsabilicen de ese valor.
Lauren Wallace: Y por eso me gusta la privacidad como principio rector en muchos aspectos.
A diferencia de otras consideraciones en diseño y desarrollo, la privacidad es personal. Basta con preguntar en tu organización si alguien o alguien cercano fue víctima de una filtración de datos personales. Todos recibimos cartas avisando de filtraciones, y a veces es una pesadilla cuando ves que tus datos han sido mal usados. Yo lo viví personalmente. No es por eso que elegí la privacidad, pero tampoco sucede por casualidad.
Galen Low: Cierto. Te entiendo.
Lauren Wallace: Hace poco hablé con una persona que tuvo que reconstruir su vida tras haber sido hackeada su cuenta bancaria, y a partir de ahí todo se complicó. Así que si buscas fomentar responsabilidad y cuidado mutuo dentro de un proyecto, cuando traes la privacidad y comprendes lo personal que es, lo ves claro: ¿quieres realmente que la información de tus hijos, tu hogar, etc., esté disponible a cualquiera en el futuro? Esa información puede valer mucho más dentro de cinco o diez años, y ahora puedes evitarlo.
Galen Low: Podemos ver todo esto desde perspectiva de proyecto o producto. Mencionaste “tono en la cúspide” y lo comparto, pero no lo es todo. Si pensamos en desarrollar un producto con IA, hay varias piezas: educación interna, tener todos presentes (sé que algunos pensarán “no se puede tener a todos siempre, es caro”), y finalmente, si alguien falla en ese valor, ¿cómo repararlo? Eso quiero analizar.
Lauren Wallace: Lo abordo diferente. Creo que hay mal uso intencional de la información personal, lo cual es delito, pero siempre ocurre el uso inadvertido. Y ahí sí podemos ser proactivos defensivamente. Muchas de estas herramientas ofrecen configuraciones para proteger tus datos y la información confidencial corporativa. Hay que implementarlas desde el principio, mitigando el mal uso inadvertido. Queda luego el uso intencional o descuidado.
Galen Low: Correcto, sí.
Lauren Wallace: Por ejemplo, cuando aparecen las prisas por entregar. Has dicho antes que a veces hay que decir “no”, y mi esposa trabaja en seguros –muy regulado en Canadá– y allí se rechazan negocios por riesgo, algo que no es común en otros sectores, donde suele pesar más el ingreso inmediato que el riesgo de fondo. Me alegra lo que dices, porque decir “no” es una habilidad difícil, incluso si es parte formal del cargo. Y cuando no es estrictamente tu responsabilidad, ¿cómo señalas el riesgo?
Lauren Wallace: No es ningún placer, desde luego. Pero ayuda remitirse al vocabulario y herramientas organizativas para estructurar el debate, como la clásica matriz de riesgos: probabilidad y severidad. Así pueden ubicar juntos el riesgo y decidir colectivamente dónde está el umbral. No tiene que ser una decisión individual: como organización definen su política, la creen los directivos, los inversores y los reguladores. Si no la mantienen en el día a día, después será peor. Y si se saltan los límites porque no saben qué compraban y el proceso sigue siendo caja negra, la ignorancia nunca es excusa ante la ley. El tono desde arriba, valores compartidos y la implicación personal en la privacidad es un buen cierre.
Galen Low: Me encanta, y pensaba si al hablar de construir la “musculatura” ética y de privacidad se trataría de crear equipos tipo gran empresa aunque seas startup, que resultaría imposible. Pero en realidad, lo que propones es que el tono de arriba es importante y, aunque no tengas un director legal a tiempo completo, basta con tener vocablo y cultura para abrir la conversación y frenarla si es necesario. Para IA, ahora mismo sí hace falta tener a todos en la mesa, pues los riesgos no son conocidos y eso ayuda más allá de completar trabajo, es cuestión de cultura.
Lauren Wallace: Coincido. No conozco ninguna organización que no esté pensando en la transformación IA. Y hay muchas personas que temen la proliferación de la IA en sus vidas y se sienten inseguros. No se puede pedir a esa gente que apaguen esas alarmas mientras tu plan es solo avanzar con IA. Puedes lanzar tu iniciativa, pero si no das ese tiempo para la comprensión cultural, se desinflará. Te cuento algo que hicimos en RadarFirst: hace año y medio lanzamos unos almuerzos educativos mensuales sobre IA ética.
Eran foros abiertos, cada sesión con un tema de 60-90 minutos: agencia y control humanos, transparencia, accountability. Usé como guía las bases éticas de la UE, previo a la Ley de IA. Era material disponible. Así dimos educación sobre los principios, el contexto, y creamos vocabulario. Mostramos ejemplos –eso es lo mejor, historias de guerra– usando recursos como la “AI Incident Database”. Analizamos casos actuales, debatíamos qué salió mal y cómo se pudo evitar o corregir, y tras ese foro, cada quien, aunque no cambiara su posición, volvía a su trabajo con algo: marco de referencia, vocabulario para dialogar dudas con el equipo o derivarlas a legal, compliance o producto. Fue una gran experiencia, lo recomiendo mucho, y refuerza que estamos hablando de valores humanos. El impacto en nosotros, nuestras familias y el planeta.
Galen Low: ¿Quién debería liderar esas sesiones si no hay una Lauren Wallace?
Lauren Wallace: Buena pregunta. Lo mismo ocurre con los comités de dirección: quizá no tengas uno, pero es ideal que sea multifuncional y que participen empleados de distintos niveles. Algunos aportes clave vendrán de gente nueva o junior. ¿Quién debería liderarlo? Podría ser gente de producto, por cercanía al tema, o de administración, por conocer bien los gastos y ahorros implicados. Debes contar con el apoyo ejecutivo, pero incluso podrías rotar la responsabilidad cada mes y obtener diferentes valores.
Galen Low: Lo veo y me gusta cómo usas el término “comunidad” y cómo emerge aquí, más allá de la tradicional “comunidad de práctica”, esa actividad de compartir información y alinear discusiones, armarse de vocabulario para que fluya el debate día a día. Porque muchos pensarán: para hablar de IA y privacidad necesitamos un experto, cuando, en realidad, basta con tono desde arriba, un patrocinador ejecutivo y los propios implicados para decidir juntos. Es una labor multifuncional y, hoy por hoy, de carácter transversal en cualquier organización.
Lauren Wallace: Ha llegado rápido.
Galen Low: Sin duda, y me gusta que lo digas porque las instituciones reguladas ya tenían esa memoria para manejar riesgos y dialogar internamente sobre cumplimiento.
Lauren Wallace: Han tomado antes decisiones sobre umbral de riesgo.
Así que conseguir el compromiso institucional y la autoridad para decir “no” es complicado si no tienes ya una perspectiva de riesgo madura. Sobre quién debe liderar, no hay problema en contratar consultores para establecer el marco de esas conversaciones –si no, puedes pasar horas sin avanzar.
Galen Low: Es verdad.
Lauren Wallace: Pero la gente interna es experta para alimentar el marco y decidir salidas.
Galen Low: Para cerrar, hablemos un poco del futuro. No haré conjeturas, pero hemos hablado de regulaciones tipo RGPD y cómo la ley suele ir por detrás de tecnologías como redes sociales. Las empresas en sectores regulados tienen la memoria de manejar riesgos, notificaciones, comprender el perímetro de ataque. Pero no quieres tener que rehacer todo después, aunque la regulación todavía no ha alcanzado el ritmo de la IA. ¿Vamos entonces a operar en una zona gris por décadas esperando que la ley alcance, o la conducta empresarial influirá en cómo se legisla?
Lauren Wallace: Excelente pregunta, Galen.
Galen Low: Para rematar el episodio…
Lauren Wallace: Es de esas que hacen explotar la mente.
Pensemos en la ley por un segundo. La ley es solo una forma de plasmar nuestros principios éticos compartidos y dejar por escrito lo que la comunidad espera. Puede que no estés de acuerdo con todo, pero sabrás dónde buscar lo que piensa la comunidad y qué se espera de ti. Los procesos judiciales existen para casos nuevos que tardan en resolverse legislativamente. Así que analizar la casuística es interesante: puedes ver a los grandes proveedores de modelos de frontera a veces ganar y a veces perder. Estas sentencias se retroalimentan en la legislación, pero el proceso es lento. Decimos que “las ruedas de la justicia giran lentamente pero muelen fino”, por eso acaba habiendo leyes larguísimas que intentan anticiparse a todo para no dejar cabos sueltos que acaban en juicio, proceso caro, largo y agotador. Por eso, tampoco queremos que los legisladores se precipiten: Colorado sacó rápido su ley inspirada en la UE, pero luego tuvo que retirarla porque no podían aplicarla, dejando a muchas empresas con programas de cumplimiento en pausa. Así que intentar aplicar el cumplimiento de forma punto por punto puede ser un “latigazo” si no estableces tu visión ética y umbral de riesgo primero. Así podrás situar los riesgos legislativos a la derecha de ese eje y decidir si aceptas ese riesgo. Ahora quizá no lo sepas todo, pero sí sabes lo que es correcto y lo que tus clientes esperan de ti. Y puedes actuar ya con eso.
Galen Low: Una respuesta fabulosa. Muchísimas gracias. ¿Tienes alguna pregunta para mí sólo por diversión?
Lauren Wallace: Sí Galen. Tuvimos una conversación interesante y profunda durante unos 45 minutos sobre un trabajo arduo y relevante. Quisiera saber sobre tu bienestar: ¿cuándo fue la última vez que te tomaste vacaciones? ¿Y adónde fuiste?
Galen Low: Fue hace un año, en México, y fue un gran viaje familiar con la familia de mi esposa, su hermana, mi hijo. No el perro, ese se quedó. Pero fue muy agradable, sentados, disfrutando buen clima, recargando energías y reflexionando sobre la familia.
Lo bueno y lo malo. La vida pasa rápido y uno no siempre puede elegir hacia dónde van las cosas en cuanto a salud, carrera, etc. Pero sí, fue el último viaje. Ya va tocando otro. Incluso al hablar ahora de transformación IA, realmente pocas organizaciones no están lidiando con esto hoy: unas obligadas, otras con ilusión, pero siempre sumando cosas en un mundo rápido. Es mucho por manejar, cuesta encontrar equilibrios. A menudo el impacto pasa desapercibido, pero deberíamos debatirlo más: qué supone en nuestra vida este momento de “traga-fuegos” tecnológico.
Lauren Wallace: Carga cognitiva imponderable; a veces sólo queda llevarse a los tuyos, ir a un sitio cálido y disfrutar el momento. Me alegro que lo hayas hecho.
Galen Low: Y fugarse temporalmente.
Lauren Wallace: Así es.
Galen Low: Genial. Lauren, muchísimas gracias por estar hoy conmigo. Disfruté mucho la charla. Para quienes quieran saber más sobre ti, ¿dónde pueden encontrarte?
Lauren Wallace: Búscame en LinkedIn y seguimos desde ahí.
Galen Low: Perfecto. Incluyo el enlace a su perfil en las notas del episodio, así como los textos legales y NOYB. Revisa esos enlaces. Y creo que con eso terminamos.
Lauren Wallace: Gracias, Galen.
Galen Low: Esto es todo en este episodio de The Digital Project Manager Podcast. Si disfrutaste este diálogo, suscríbete donde sea que escuches esto. Y si quieres más tácticas, estudios de caso y guías prácticas, visita thedigitalprojectmanager.com.
Hasta la próxima y gracias por escuchar.
