El gobierno de datos para IA no empieza con el modelo. Empieza con una pregunta más básica: qué información puede usarse, por quién, con qué propósito y bajo qué límites.

Si esa respuesta no existe, conectar IA a documentos o sistemas internos puede crear exposición, errores y decisiones difíciles de auditar.

Capas de gobierno de datos para IA: clasificación, permisos, retención, registros y responsables

Clasifica antes de conectar

No todos los datos tienen el mismo riesgo.

Una clasificación inicial puede separar:

  • información pública;
  • información interna;
  • información confidencial;
  • información restringida;
  • secretos, llaves, tokens y credenciales.

La IA no debe recibir todo porque “está disponible”. Debe recibir solo lo necesario para el caso de uso.

Define fuentes aprobadas

Un asistente o automatización necesita saber qué fuentes son válidas.

Por ejemplo:

  • manuales vigentes;
  • políticas internas aprobadas;
  • documentación técnica revisada;
  • tickets cerrados con resolución confirmada;
  • bases de conocimiento con dueño;
  • datos de sistemas autorizados.

Si una fuente no tiene responsable o está desactualizada, debe tratarse como riesgo.

Permisos por rol

La IA debe respetar permisos del sistema original.

Si una persona no puede ver contratos, reportes financieros o tickets de otra área, el asistente tampoco debería usarlos para responder.

Esto requiere:

  • identidad clara del usuario;
  • roles definidos;
  • filtros por fuente;
  • trazabilidad de consultas;
  • pruebas de acceso;
  • manejo de excepciones.

Los permisos no deben depender solo de instrucciones en el prompt.

Registros y retención

Los registros ayudan a investigar errores, medir uso y mejorar calidad.

Pero también pueden convertirse en una nueva fuente sensible si guardan prompts completos, respuestas, documentos o datos personales.

Define:

  • qué se registra;
  • quién puede revisar registros;
  • cuánto tiempo se conservan;
  • qué datos se enmascaran;
  • cómo se eliminan registros;
  • qué eventos se consideran sensibles.

Revisión humana

No todos los flujos requieren el mismo nivel de revisión.

Conviene mantener aprobación humana cuando la IA:

  • recomienda acciones de seguridad;
  • modifica datos;
  • responde sobre contratos;
  • resume información sensible;
  • envía comunicaciones externas;
  • impacta una operación crítica;
  • toca permisos o accesos.

La revisión humana debe ser parte del proceso, no un paso improvisado cuando algo falla.

Responsables claros

Un proyecto de IA necesita dueños:

  • dueño del proceso;
  • dueño de datos;
  • responsable técnico;
  • responsable de seguridad;
  • usuarios piloto;
  • responsable de medición.

Sin responsables, nadie actualiza fuentes, revisa errores o decide cuándo detener una automatización.

Cómo iniciar

Empieza con un caso de uso acotado.

Documenta:

  • objetivo;
  • datos necesarios;
  • datos prohibidos;
  • fuentes autorizadas;
  • permisos;
  • métricas;
  • riesgos;
  • criterios para pasar de piloto a producción.

Este trabajo suele hacerse antes de construir un chatbot con IA, una automatización con IA o una integración de IA en software.

Si la empresa todavía no tiene reglas claras, empieza con una política interna de uso de IA y una checklist antes de usar IA con datos sensibles.

La IA puede acelerar procesos, pero solo si los datos tienen reglas. Sin gobierno, el riesgo crece más rápido que el beneficio.