ANÁLISIS: La gobernanza de IA como dimensión del deber fiduciario de los administradores

Imagen

José Daniel Sánchez Quiñones
Director del Área en Gobernanza de IA en Cremades & Calvo-Sotelo
Profesor de Derecho Digital en la Pontificia Universidad Javeriana y en la Universidad Externado de Colombia

La discusión regulatoria sobre la inteligencia artificial (IA) en Colombia suele plantearse como un problema de vacío normativo. Se cree que no hay nada que le aplique, pero esta premisa es errada, porque hay un ordenamiento vigente que nos da luces sobre cómo innovar con seguridad jurídica. Mientras se debate la conveniencia de una ley especial sobre IA, una interpretación del régimen vigente sobre los deberes fiduciarios de los administradores de sociedades nos conduce a considerar la implementación de mecanismos de gobernanza a las empresas que implementan IA.

El artículo 23 de la Ley 222 de 1995 ordena a los administradores a actuar con la diligencia de un buen hombre de negocios. Esta es una norma de conducta que se mide contra lo que un administrador profesional razonable haría en circunstancias comparables. En este contexto, cuando una compañía despliega sistemas de IA que tienen impactos concretos en asuntos como los créditos, la contratación de personal, la atención al usuario, un diagnóstico médico u otros, la pregunta que persiste es si la decisión de adoptarla y operarla fue diligente para los intereses de la sociedad en particular y en general.

La gobernanza de IA se confunde a menudo con la gestión de riesgos y por eso conviene distinguirlas. La gestión de riesgos identifica, mide y mitiga la probabilidad de que ocurra un hecho aseverado, mientras que la gobernanza de IA es una estructura para tomar decisiones confiables y éticas sobre la IA.

Es una arquitectura de decisión que opera en tres niveles.

- En el nivel estratégico y de liderazgo, se define cómo se alinea el uso de IA con el interés social, qué casos de uso requieren aprobación del máximo órgano y bajo qué criterios.

- En el nivel de diseño y adopción de la gobernanza, se establece el inventario de sistemas, la clasificación por nivel de impacto, la evaluación previa de cada despliegue y la documentación del proceso decisorio.

- En el nivel operativo, se fija el monitoreo continuo, las métricas de desempeño y sesgo, las rutas de escalamiento ante incidentes y los responsables específicos de cada sistema.

Es una disciplina emergente en el mundo que tiene una naturaleza interdisciplinaria y de construcción de conocimiento colectivo. La gobernanza de IA no reemplaza la gestión de riesgo, sino que la antecede y la organiza. Sin gobernanza, la gestión de riesgos opera reactivamente, lo que contradice el estándar de anticipación que la diligencia exige.

Ahora bien, la objeción previsible es que el estándar del buen hombre de negocios resulta demasiado abierto para sustentar exigencias concretas sobre IA. Pero dicha objeción no resiste a la jurisprudencia de la Superintendencia de Sociedades, como la Sentencia 801-72 de 2013, en donde la Delegatura para Procedimientos Mercantiles ha precisado el contenido operativo del deber de diligencia mediante cuatro elementos verificables.

(I) La información suficiente: el administrador debe acreditar que adoptó la decisión con base en datos, análisis y opiniones técnicas adecuadas a la complejidad del asunto.

(II) La deliberación documentada: la actuación debe constar en actas con razonamiento explícito, no en aprobaciones formales.

(III) La ausencia de conflicto de interés: el administrador no debe tener interés personal, directo o indirecto, en la decisión.

(IV) El procedimiento de decisión adecuado: la decisión debe seguir un proceso proporcional al riesgo y a la materialidad del asunto.

Bajo la óptica de las mejores prácticas de gobernanza de IA, estos cuatro elementos son directamente aplicables a las decisiones sobre IA y no requieren una ley nueva para exigirlos.

La experiencia internacional confirma esta lectura. Por ejemplo, en EE UU, la doctrina Caremark (In re Caremark International, Del. Ch. 1996) estableció que los administradores incumplen sus deberes fiduciarios cuando fallan en implementar sistemas de información y control que permitan detectar riesgos legales relevantes, o cuando ignoran conscientemente las señales de alarma que esos sistemas generan. La doctrina fue reformulada en Stone v. Ritter (Del. 2006), que la reubicó dentro del deber de lealtad y, por tanto, la excluyó de las cláusulas estatutarias de exculpación, lo que aumentó significativamente la exposición personal de los directores. Marchand v. Barnhill (Del. 2019) e In re Boeing (Del. Ch. 2021) extendieron la doctrina a los llamados mission-critical risks: cuando una actividad es central para el negocio, el deber de supervisión del consejo debe ejercerse con especial rigor.

La literatura académica reciente, particularmente los trabajos de Stephen Bainbridge (2024) sobre IA y supervisión de juntas, sostiene que los sistemas de IA materiales para el negocio activan plenamente este estándar. Este andamiaje fiduciario opera con tal solidez que constituye una de las razones por las cuales EE UU no ha legislado a nivel federal sobre IA: el deber de los administradores ya disciplina la conducta corporativa sin necesidad de una norma sectorial.

La pregunta para los administradores en Colombia no es cuándo habrá una ley de IA. Es, en realidad, si su consejo o junta puede demostrar hoy que el diseño, adopción y operación de los sistemas de IA de la compañía obedecen a un proceso de decisión diligente, documentado y auditable.

Pero además el asunto no se agota en el plano legal. La gobernanza y la diligencia tienen una función que trasciende la prevención del litigio: construyen la confianza interna y la legitimidad de las decisiones sobre IA. Una organización puede tener la mejor estrategia de adopción tecnológica, pero sin una cultura que sostenga esas decisiones, sin procesos que las legitimen frente a empleados, clientes y reguladores, no llegará lejos. Como advirtió Peter Drucker, el padre del management moderno “la cultura desayuna estrategia”. La gobernanza de IA es, en última instancia, el mecanismo que permite que la innovación tecnológica encuentre suelo firme. Sin ese suelo, la estrategia no resiste.

Siga nuestro canal de WhatsApp

Gracias por leernos. Si le gusta estar informado, suscríbase y acceda a todas nuestras noticias, los datos identificadores y los documentos sin límites.