El gobierno de datos para IA no empieza con el modelo. Empieza con una pregunta más básica: qué información puede usarse, por quién, con qué propósito y bajo qué límites.

Si esa respuesta no existe, conectar IA a documentos o sistemas internos puede crear exposición, errores y decisiones difíciles de auditar.

Capas de gobierno de datos para IA: clasificación, permisos, retención, registros y responsables

Clasifica antes de conectar

No todos los datos tienen el mismo riesgo.

Una clasificación inicial puede separar:

  • información pública;
  • información interna;
  • información confidencial;
  • información restringida;
  • secretos, llaves, tokens y credenciales.

La IA no debe recibir todo porque “está disponible”. Debe recibir solo lo necesario para el caso de uso.

Define fuentes aprobadas

Un asistente o automatización necesita saber qué fuentes son válidas.

Por ejemplo:

  • manuales vigentes;
  • políticas internas aprobadas;
  • documentación técnica revisada;
  • tickets cerrados con resolución confirmada;
  • bases de conocimiento con dueño;
  • datos de sistemas autorizados.

Si una fuente no tiene responsable o está desactualizada, debe tratarse como riesgo.

Permisos por rol

La IA debe respetar permisos del sistema original.

Si una persona no puede ver contratos, reportes financieros o tickets de otra área, el asistente tampoco debería usarlos para responder.

Esto requiere:

  • identidad clara del usuario;
  • roles definidos;
  • filtros por fuente;
  • trazabilidad de consultas;
  • pruebas de acceso;
  • manejo de excepciones.

Los permisos no deben depender solo de instrucciones en el prompt.

Registros y retención

Los registros ayudan a investigar errores, medir uso y mejorar calidad.

Pero también pueden convertirse en una nueva fuente sensible si guardan prompts completos, respuestas, documentos o datos personales.

Define:

  • qué se registra;
  • quién puede revisar registros;
  • cuánto tiempo se conservan;
  • qué datos se enmascaran;
  • cómo se eliminan registros;
  • qué eventos se consideran sensibles.

Revisión humana

No todos los flujos requieren el mismo nivel de revisión.

Conviene mantener aprobación humana cuando la IA:

  • recomienda acciones de seguridad;
  • modifica datos;
  • responde sobre contratos;
  • resume información sensible;
  • envía comunicaciones externas;
  • impacta una operación crítica;
  • toca permisos o accesos.

La revisión humana debe ser parte del proceso, no un paso improvisado cuando algo falla.

Responsables claros

Un proyecto de IA necesita dueños:

  • dueño del proceso;
  • dueño de datos;
  • responsable técnico;
  • responsable de seguridad;
  • usuarios piloto;
  • responsable de medición.

Sin responsables, nadie actualiza fuentes, revisa errores o decide cuándo detener una automatización.

Cómo iniciar

Empieza con un caso de uso acotado.

Documenta:

  • objetivo;
  • datos necesarios;
  • datos prohibidos;
  • fuentes autorizadas;
  • permisos;
  • métricas;
  • riesgos;
  • criterios para pasar de piloto a producción.

Este trabajo suele hacerse antes de construir un chatbot con IA, una automatización con IA o una integración de IA en software.

La IA puede acelerar procesos, pero solo si los datos tienen reglas. Sin gobierno, el riesgo crece más rápido que el beneficio.