En algún momento de los últimos doce meses, un empleado de su organización probablemente pegó el contenido de un contrato, una factura o un legajo de personal en ChatGPT. No lo hizo con intención de filtrar información: lo hizo porque necesitaba un resumen rápido, porque tenía que extraer totales de cincuenta documentos antes del cierre del mes, o porque la herramienta es más rápida que cualquier proceso interno aprobado. Este es el fenómeno que la industria llama Shadow AI: la adopción no gobernada de herramientas de inteligencia artificial generativa por empleados bien intencionados, operando al margen de los controles de TI, con documentos corporativos sensibles como materia prima.
La diferencia con el insider threat clásico es fundamental. No hay intención maliciosa, no hay extracción de datos para venderlos ni para perjudicar a la organización. El riesgo está en otro lugar: en el flujo de procesamiento. Cuando un documento con datos personales de clientes viaja a un servicio de IA generativa consumer —sin acuerdo de tratamiento de datos, que potencialmente retiene los inputs para mejorar sus modelos, y cuyos servidores están fuera del control de la empresa— la Ley N° 29733 ya se ha activado, independientemente de la buena fe del empleado. La empresa es responsable del tratamiento, y el tratamiento ocurrió en un servidor de terceros no autorizado.
Este artículo no aborda la prevención técnica de fuga de datos en el sentido clásico del DLP, aunque el DLP aparece como capa de último recurso. Trata del espacio anterior: cómo identificar qué herramientas IA están usando realmente sus empleados para procesar documentos corporativos, cómo extender el gobierno de datos al pipeline de IA, y cómo construir un marco de control que no paralice la productividad sino que la canalice hacia herramientas con las garantías contractuales y técnicas que exige la normativa peruana.
El fenómeno Shadow AI en gestión documental
El perfil real del usuario de Shadow AI no es el técnico avanzado. Es el contador que tiene que extraer los totales de IVA de ochenta facturas escaneadas y descubre que puede pegar el texto en un chatbot en dos minutos. Es la asistente legal que necesita un resumen ejecutivo de un contrato de cincuenta páginas para una reunión en una hora. Es el analista de RRHH que usa un chatbot para redactar cartas de desvinculación personalizadas a partir de datos de planilla. En todos los casos, la herramienta funciona, el resultado es útil, y el empleado desconoce que está transfiriendo datos personales de terceros a una plataforma sin las garantías que exige la ley.
Estudios de mercado de 2025 de Gartner e IBM estiman que entre el 40% y el 65% de los empleados en empresas medianas y grandes de países en desarrollo usan herramientas IA generativa consumer en el trabajo sin aprobación formal de TI. Estas estimaciones, aunque no son datos peruanos directos, son consistentes con la velocidad de adopción observada en el mercado local. Empresas de digitalización, estudios jurídicos, clínicas privadas y áreas de RRHH en Lima reportan un uso extendido de ChatGPT Free, Gemini Free y herramientas de OCR online en flujos de trabajo que procesan documentos de clientes o trabajadores a diario.
El Shadow AI documental no es un problema de seguridad perimetral —los datos no salen a través de un canal de red que el firewall pueda inspeccionar directamente— sino un problema de gobernanza del flujo de procesamiento. El documento sale del repositorio interno, va al navegador del empleado, y desde ahí viaja al servidor del proveedor de IA. Sin visibilidad sobre ese movimiento, y sin una política que establezca qué puede y qué no puede procesarse de esa manera, el control es imposible.
Marco normativo peruano: la activación automática de la Ley 29733
Responsabilidad del tratante bajo Ley 29733 y DS 003-2013-JUS
La Ley N° 29733 y su reglamento establecen que el responsable del tratamiento de datos personales —la empresa— es responsable de garantizar que todo procesamiento realizado con esos datos, incluyendo el que realizan herramientas de terceros, cumpla con los principios de seguridad y confidencialidad. Esto incluye el procesamiento que ocurre cuando un empleado autorizado envía datos personales a un servicio externo no contratado por la organización. La empresa no puede alegar que fue el empleado quien tomó la decisión: la responsabilidad es de la organización como tratante.
DS 016-2024-JUS: notificación de 48 horas y el Oficial de Datos Personales
La modificatoria del reglamento introducida por el DS 016-2024-JUS eleva significativamente las obligaciones operativas. Cuando se produce una brecha de datos personales —y el envío no autorizado a una plataforma IA consumer puede calificar como tal— la empresa tiene 48 horas para notificar a la Autoridad Nacional de Protección de Datos Personales (ANPDP, adscrita al MINJUS). Adicionalmente, se exige mantener logs de auditoría de acceso por un mínimo de dos años, y se establece la figura del Oficial de Datos Personales (ODP) para entidades de cierta dimensión, con responsabilidad expresa de supervisar usos no autorizados. El incumplimiento puede generar sanciones de hasta 100 UIT —aproximadamente S/ 535,000 con la UIT 2026— o el 10% de los ingresos anuales para infracciones muy graves.
Responsabilidad automática sin importar la intención del empleado
El punto crítico para la dirección legal y de cumplimiento es que la buena fe del empleado no exime a la organización. La Ley 29733 no requiere demostrar intención maliciosa para que se active la responsabilidad del tratante. Basta con que los datos personales de clientes, trabajadores o terceros hayan sido procesados en condiciones que no cumplen los requisitos de seguridad adecuados —y un servicio consumer sin DPA no los cumple.
Regulaciones sectoriales: el riesgo se multiplica por industria
| Sector | Regulador | Riesgo adicional |
|---|---|---|
| Financiero (bancos, AFP, seguros) | SBS | Riesgo operacional tecnológico; datos de clientes KYC |
| Salud (clínicas, EsSalud, MINSA) | MINSA / SIS | Datos sensibles de salud con protección reforzada bajo Ley 29733 |
| RRHH y planilla | SUNAFIL | Datos de remuneraciones, condición sindical, estado de salud |
| Comercio exterior | SUNAT / VUCE | Información comercial sensible, datos de proveedores extranjeros |
| Registros notariales y societarios | SUNARP | Actas, escrituras públicas con valor legal |
| Entidades públicas | SGTD-PCM | DS 098-2025-PCM exige control sobre herramientas cloud |
Nota sobre microformas: cuando los documentos procesados con herramientas IA no autorizadas son microformas producidas bajo el D.L. 681 y la NTP 392.030-2:2015 —con valor legal equivalente al original—, el riesgo se amplifica. Una brecha que involucre microformas certificadas puede afectar la integridad probatoria de los documentos y generar responsabilidad adicional para el organismo productor. Por ello, los documentos microformados deben clasificarse en el nivel de sensibilidad más alto del inventario de activos de información.
Taxonomía de riesgos: cinco vectores del Shadow AI documental
No todo el Shadow AI funciona igual. La siguiente tabla resume los cinco vectores de riesgo específicos del entorno documental, su mecanismo y la técnica de detección más adecuada para cada uno.
| Vector de riesgo | Mecanismo | Técnica de detección |
|---|---|---|
| LLM con entrenamiento activado | El input se usa para mejorar el modelo por defecto | CASB + análisis de tráfico HTTPS hacia dominios de IA |
| Almacenamiento personal en cloud | Documentos corporativos sincronizados en Drive/Dropbox/OneDrive personal | CASB + bloqueo de cuentas personales en servicios cloud |
| OCR online gratuito | Archivos escaneados subidos y retenidos por el proveedor del servicio | Análisis de proxy; inventario de servicios OCR usados |
| Extensiones de navegador | Capturan portapapeles mientras el empleado copia texto para pegar en un chatbot | Auditoría de extensiones instaladas en endpoints gestionados |
| APIs de IA en macros Excel/Word | Procesos automatizados envían datos a servicios externos sin registro | Auditoría de macros; inspección de tráfico de aplicaciones |
El vector OCR online es especialmente subestimado en empresas en proceso de digitalización de archivos físicos. Un operador que escanea contratos o expedientes de clientes y los sube a un servicio OCR gratuito para extraer texto no percibe esta acción como una “filtración”, pero el archivo queda en los servidores del proveedor sin garantía contractual de eliminación ni confidencialidad.
Herramientas consumer vs. enterprise: la brecha del DPA
¿Qué es un DPA y por qué importa bajo la Ley 29733?
Un Data Processing Agreement (DPA) es el contrato entre la empresa usuaria y el proveedor de tecnología que define cómo se tratan los datos personales procesados en la plataforma: qué datos se retienen, por cuánto tiempo, si se usan para entrenar modelos, cómo se aíslan de otros clientes, y qué derechos tiene la empresa usuaria sobre ellos. Bajo la Ley 29733, contratar a un tercero para procesar datos personales exige que ese tercero ofrezca garantías equivalentes a las que la propia empresa debe cumplir. Las versiones consumer de las principales herramientas IA generativa no ofrecen ese contrato.
Comparativa de herramientas: consumer vs. enterprise
| Herramienta | Costo consumer | Costo enterprise | DPA incluido | Aislamiento de datos | Retención para entrenamiento |
|---|---|---|---|---|---|
| ChatGPT (OpenAI) | Gratis / USD 20/mes | USD 30/usuario/mes | No (consumer) / Sí (enterprise) | No (consumer) / Sí (enterprise) | Sí por defecto (consumer); No (enterprise) |
| Gemini (Google) | Gratis / USD 20/mes | Incluido en Workspace | No (consumer) / Sí (Workspace) | No (consumer) / Sí (Workspace) | Sí por defecto (consumer); No (Workspace) |
| Claude (Anthropic) | Gratis / USD 20/mes | USD 30+/usuario/mes | No (consumer) / Sí (for Work) | No (consumer) / Sí (for Work) | Configurable (consumer); No (for Work) |
| Microsoft Copilot | Incluido en M365 personal | USD 30/usuario/mes (M365 E3+) | No (personal) / Sí (enterprise) | No (personal) / Sí (enterprise) | No en ambos (pero DPA solo en enterprise) |
La diferencia de costo entre versiones consumer y enterprise es manejable para la mayoría de organizaciones medianas: el rango de USD 20 a USD 60 por usuario al mes en versiones enterprise representa un gasto que, comparado con el costo de una infracción muy grave bajo la Ley 29733, es marginal. El argumento de “es demasiado caro para usar la versión enterprise” no resiste un análisis de riesgo básico cuando el repositorio documental incluye datos personales de clientes o trabajadores.
Alternativas on-premise
Para organizaciones con requisitos de residencia de datos estrictos —entidades financieras bajo supervisión SBS, hospitales con historias clínicas, o empresas con secreto comercial relevante— existen modelos de lenguaje de código abierto que pueden desplegarse en infraestructura propia (on-premise o nube privada). La ventaja es que los datos nunca salen del entorno controlado. La limitación es el costo de infraestructura GPU, la necesidad de un equipo técnico para mantener el despliegue, y que el rendimiento de los modelos open source más accesibles es generalmente inferior al de los modelos frontier en versiones enterprise. Es una alternativa válida para casos de uso de alta sensibilidad, no una solución universal.
Gobierno de datos extendido al pipeline de IA
Más allá del inventario de activos de almacenamiento
El gobierno de datos tradicional gestiona quién tiene acceso a qué documentos en el repositorio. El Shadow AI revela que ese enfoque es insuficiente: el riesgo no está solo en quién accede al documento en reposo, sino en qué hacen los usuarios autorizados con él una vez que lo tienen. El inventario de activos de información debe extenderse para incluir metadatos de procesamiento: ¿puede este documento procesarse con una herramienta IA consumer? ¿Requiere herramienta con DPA? ¿Está prohibido cualquier procesamiento IA externo?
La Política de Uso Aceptable de IA (AI AUP)
Una Política de Uso Aceptable de IA no es una política de seguridad de la información ni una política de uso aceptable de internet adaptada. Es un documento diferenciado que establece:
- Qué herramientas IA están aprobadas y para qué tipos de documentos (whitelist activa)
- Qué herramientas están prohibidas y por qué (con explicación, no solo prohibición)
- Cómo solicitar la aprobación de nuevas herramientas sin paralizar la adopción
- Qué niveles de sensibilidad documental pueden procesarse con qué categoría de herramienta
- Las consecuencias del incumplimiento, tanto para el empleado como para la organización
La AI AUP debe ser un documento vivo, actualizado trimestralmente como mínimo dado el ritmo de aparición de nuevas herramientas. Una política publicada en 2024 puede estar desactualizada respecto a herramientas que se masificaron en 2025.
Matriz de decisión: documento x clasificación x herramienta
| Clasificación del documento | Herramienta consumer sin DPA | Herramienta enterprise con DPA | On-premise / procesamiento interno |
|---|---|---|---|
| Público o interno no sensible | Permitido con restricciones | Permitido | Permitido |
| Datos personales de terceros (Ley 29733) | Prohibido | Condicionado (requiere aprobación de ODP) | Permitido |
| Datos sensibles (salud, sindical, religioso) | Prohibido | Prohibido sin evaluación formal | Preferido |
| Microformas certificadas (D.L. 681) | Prohibido | Prohibido sin evaluación formal | Preferido |
| Secreto comercial o legal privilegiado | Prohibido | Condicionado | Preferido |
Checklist para evaluar una herramienta IA antes de aprobarla
Antes de incluir una herramienta IA en la whitelist de la AI AUP, el ODP o el equipo de TI debe verificar:
- ¿El proveedor ofrece un DPA firmable para la versión que se va a usar?
- ¿Los datos procesados quedan aislados de los de otros clientes del proveedor?
- ¿El proveedor confirma por contrato que no usará los inputs para entrenar sus modelos?
- ¿La herramienta ofrece logs de acceso exportables para auditoría?
- ¿La residencia de los datos es compatible con los requisitos de la organización?
- ¿Existe un proceso de eliminación de datos documentado y verificable?
- ¿El costo y la funcionalidad justifican la aprobación frente a alternativas ya aprobadas?
Un sistema de gestión documental con controles de acceso y auditoría, como el software ePaper que opera sobre repositorios de microformas y documentos digitales, cumple un rol complementario en este marco: permite que el área de TI habilite búsqueda, extracción y flujo de información de forma controlada y con trazabilidad, reduciendo el incentivo de los usuarios de recurrir a herramientas externas no aprobadas para tareas de recuperación de información.
Detección de Shadow AI: CASB, DNS y análisis de proxy
Sin visibilidad, no hay control posible. Según reportes de industria, las organizaciones sin herramientas de monitoreo especializadas detectan el uso sistemático de herramientas IA no autorizadas entre tres y seis meses después de que se ha generalizado. Para entonces, el volumen de datos personales procesados fuera de control puede ser significativo.
CASB como herramienta central
Un Cloud Access Security Broker (CASB) es la herramienta más efectiva para detectar Shadow AI en el tráfico de usuarios. Un CASB inspecciona el tráfico HTTPS hacia servicios cloud —incluyendo plataformas IA generativa— identifica qué herramientas se están usando, qué volumen de datos se transfiere, y puede aplicar políticas de bloqueo o alerta granulares por herramienta, usuario o tipo de contenido. A diferencia del DLP de endpoint, que actúa cuando el dato ya está saliendo del sistema, el CASB actúa en el flujo de comunicación antes de que la transferencia se complete.
Inspección de DNS y análisis de proxy
Para organizaciones sin un CASB desplegado, el análisis de logs de proxy y la inspección de consultas DNS es una alternativa de menor costo. Identificar consultas frecuentes a dominios como api.openai.com, generativelanguage.googleapis.com, claude.ai, o servicios OCR online permite mapear qué herramientas están en uso real sin invertir en infraestructura CASB completa. Este enfoque tiene menor granularidad pero es suficiente para la Fase 1 de visibilidad.
Monitoreo sin vigilancia excesiva
El diseño de la detección debe equilibrar la visibilidad de amenazas con el respeto a la privacidad del empleado. El monitoreo debe enfocarse en patrones de tráfico —qué dominios se consultan, qué volumen de datos sale— no en el contenido específico de las conversaciones de cada usuario. Las políticas de monitoreo deben estar documentadas, comunicadas a los empleados, y alineadas con el reglamento interno de trabajo para no generar conflictos laborales bajo el marco de SUNAFIL.
Errores comunes en la estrategia de control de Shadow AI
Error 1: Prohibir todo sin ofrecer alternativa. Cuando TI bloquea todas las herramientas IA sin habilitar una alternativa aprobada, los empleados no dejan de usarlas: las usan desde dispositivos personales con conexión de datos móvil, eludiendo completamente los controles de red corporativa. El Shadow AI se vuelve más sofisticado y más invisible.
Error 2: Aplicar DLP sin política previa. Un sistema DLP configurado antes de que exista una clasificación de documentos y una AI AUP genera bloqueos masivos de falsos positivos, frustra a los usuarios y genera presión para desactivar los controles. El DLP es la red de seguridad, no el primer control.
Error 3: Tratar Shadow AI como problema exclusivo de TI. El Shadow AI es un problema de negocio y de cultura organizacional. Si las áreas de negocio no participan en el diseño de las políticas y no entienden el riesgo, la AI AUP se convierte en un documento de cumplimiento que nadie lee. El ODP y la dirección legal deben liderar el proceso junto con TI.
Error 4: Ignorar las herramientas OCR online. Las plataformas OCR gratuitas online son el vector más subestimado. Los equipos de digitalización que procesan documentos físicos de clientes con estos servicios transfieren archivos completos —no solo texto— a servidores de terceros sin ningún control contractual. Este riesgo existe incluso en organizaciones que tienen políticas estrictas sobre el uso de chatbots.
Error 5: Intentar controlar herramientas antes de clasificar los datos. Sin saber qué documentos son sensibles y cuáles no, cualquier control es arbitrario. La clasificación documental por nivel de sensibilidad es el fundamento del que dependen todos los demás controles.
Casos por sector: dónde se concentra el riesgo
Sector financiero (SBS): Analistas de crédito que pegan extractos bancarios, declaraciones juradas de ingresos o fichas KYC en herramientas IA para generar resúmenes de riesgo crediticio. Los datos de clientes financieros están bajo supervisión SBS y cualquier procesamiento externo no autorizado constituye una brecha de confidencialidad con implicaciones regulatorias adicionales.
Sector salud (MINSA / clínicas privadas): Personal administrativo que sube historias clínicas escaneadas a servicios OCR online o pega diagnósticos en chatbots para generar informes médicos. Los datos de salud son datos sensibles con protección reforzada bajo la Ley 29733; su exposición no autorizada puede generar las sanciones más altas del régimen.
RRHH y planilla (SUNAFIL): Jefes de área que procesan legajos, liquidaciones de beneficios o evaluaciones de desempeño con herramientas IA para automatizar redacción. Involucran datos de remuneración, condición sindical y estado de salud de trabajadores —todos datos sensibles bajo la Ley 29733 con implicaciones laborales adicionales.
Sector legal: Abogados junior que suben contratos, actas de directorio o expedientes judiciales a herramientas de resumen IA. Además de la Ley 29733, violan obligaciones de confidencialidad profesional. En operaciones de M&A o due diligence, la exposición puede ser materialmente relevante para las partes.
Logística y comercio exterior (SUNAT / VUCE): Operadores que procesan manifiestos de carga, Declaraciones Únicas de Aduanas (DUA) o certificados de origen con herramientas IA online para extraer datos. Involucran información comercial sensible de proveedores extranjeros y compromisos contractuales con terceros.
Empresas de digitalización y BPO documental: Operadores que escanean documentos físicos de clientes y los procesan con herramientas OCR gratuitas en lugar de soluciones on-premise o enterprise. Transfieren documentos de terceros a servidores externos sin consentimiento del propietario de los datos ni DPA con el proveedor.
Hoja de ruta de control en 4 fases
Fase 1: Visibilidad (Meses 1-2)
Desplegar análisis de proxy y, donde sea posible, un CASB básico para inventariar qué herramientas IA están en uso real en la organización. Complementar con encuestas anónimas a las áreas para identificar casos de uso comunes. Métrica de éxito: inventario completo de herramientas IA detectadas en tráfico de red.
Fase 2: Clasificación y mapeo (Meses 2-3)
Clasificar el repositorio documental por nivel de sensibilidad usando la taxonomía de la Ley 29733 (datos personales, datos sensibles, información confidencial, información pública). Mapear qué niveles documentales se están procesando con qué herramientas detectadas en Fase 1. Métrica de éxito: porcentaje del repositorio clasificado; mapa de riesgo Shadow AI por área.
Fase 3: Habilitación de alternativas (Meses 3-4)
Procurar versiones enterprise con DPA de las herramientas más solicitadas por los usuarios. Publicar la AI AUP con whitelist activa y proceso de solicitud de nuevas herramientas. Capacitar a los equipos con mayor uso identificado en Fase 1. Métrica de éxito: porcentaje de usuarios que migran de herramientas consumer a aprobadas; reducción de alertas CASB en dominios no aprobados.
Fase 4: Controles y monitoreo (Mes 4 en adelante)
Implementar controles técnicos (bloqueos de URL en proxy para herramientas prohibidas, alertas para herramientas condicionadas). Establecer ciclo trimestral de actualización de AI AUP. Integrar el monitoreo de Shadow AI en el proceso de gestión de riesgos tecnológicos. Métrica de éxito: reducción sostenida de alertas CASB; puntuación de madurez de AI AUP en revisiones internas.
El Shadow AI documental no desaparecerá: las herramientas IA generativa seguirán mejorando, su costo consumer seguirá siendo cero, y la presión productiva sobre los empleados no disminuirá. La respuesta efectiva no es la prohibición sino la gobernanza: clasificar los documentos, definir qué puede procesarse con qué herramienta, habilitar alternativas enterprise donde los datos personales lo requieran, y obtener visibilidad sobre el flujo de procesamiento antes de que el regulador tenga que notificarse de una brecha. Las organizaciones que implementen este marco no solo reducen su exposición bajo la Ley 29733 —reducen también el incentivo de sus empleados de buscar soluciones no aprobadas, porque les ofrecen alternativas que funcionan dentro de los controles.
