Gobernanza de IA sin ley, el riesgo de cumplimiento que el CIO no puede postergar

La paradoja que revelan los datos

Brasil no solo está adoptando la IA; la está normalizando. Siete de cada diez profesionales brasileños ya utilizaron al menos una herramienta de inteligencia artificial en los últimos doce meses, frente a un promedio global que apenas llega al 54 %, según PwC, que entrevistó a casi 50.000 trabajadores en 48 países para su encuesta “Global Hopes and Fears 2025”. Uno de cada cuatro brasileños ya usa IA todos los días, cifra que duplica la media mundial, y 79 % de los profesionales que ya adoptaron la tecnología reportan ganancias de productividad.

Logicalis buscó la otra cara de esa estadística. En asociación con Stratica, entrevistó a 129 ejecutivos de TI de medianas y grandes empresas brasileñas y encontró que tres de cada cuatro organizaciones operan sin ninguna política específica de gobernanza para IA, según su reporte “IT Trends Snapshot 2025”. Y la paradoja se confirma y se profundiza: el 87 % de esos mismos ejecutivos reconoce que el impacto real de la IA depende más de la cultura organizacional que de la tecnología, pero esa cultura todavía no se tradujo en ninguna estructura formal de control.

Parte del problema es invisible: una porción significativa del uso ocurre sin que el área de TI se entere, con colaboradores que conectan herramientas externas por su cuenta, lo que se conoce como Shadow AI. Eso refleja que Brasil está adoptando la IA al ritmo de un líder, pero la gobierna al ritmo de un principiante.

El vacío que la ley aún no ha llenado

Desde marzo de 2025, el PL 2.338/2023 –proyecto de ley que regula el uso de inteligencia artificial en Brasil– aguarda dictamen en la Comisión Especial de la Cámara de Diputados. Son más de 12 meses de vacío regulatorio y contando. Lo que el Senado aprobó en diciembre de 2024 no es menor: el texto establece que quien usa un sistema automatizado para tomar decisiones sobre personas responde legalmente por los efectos, aunque la herramienta haya sido contratada a un proveedor externo.

Mientras tanto, avanza por separado el PL 2.688/2025, centrado en auditabilidad y responsabilidad de sistemas de IA, cuya Comisión de Comunicación emitió dictamen el 13 de marzo de 2026, aunque el texto todavía recorre otras instancias antes de convertirse en ley. Lo que gobierna hoy el uso corporativo de IA en Brasil es una mezcla de la Ley General de Protección de Datos (LGPD), normas sectoriales dispersas y, en la mayoría de los casos, criterios internos que nadie ha escrito en ningún documento. Para el CIO, eso significa operar en un territorio normativo donde las obligaciones de cumplimiento son, por ahora, interpretativas.

Inversión creciente y control decreciente

El dinero ya se está moviendo. IDC calcula que las inversiones brasileñas en IA en software, servicios e infraestructura superarán los 3.400 millones de dólares en 2026, lo que representa un salto de más del 30 % frente al año anterior. Luciano Ramos, country manager de IDC en Brasil, enfatizó los equipos de TI necesitan evolucionar en controles, gobernanza y observabilidad para garantizar la seguridad y confiabilidad de las soluciones de IA integradas.

Gartner llegó a una conclusión parecida después de escuchar a más de 2.500 ejecutivos de TI: la gobernanza digital es hoy uno de los tres ejes que concentran la agenda de los líderes tecnológicos en 2026, junto con la adopción de la IA y la modernización de la arquitectura, de acuerdo con su análisis “CIO and Technology Executive Agenda 2026”. El problema es que la mayoría aún no llegó ahí: solo el 22 % de las empresas brasileñas se declara totalmente preparada en gobernanza de IA y, entre las demás, la mayor parte ni siquiera empezó, según datos del TEC.Institute con Peers Consulting.

Riesgo invisible que trae consecuencias tangibles

Casi siete de cada diez líderes empresariales brasileños pusieron la gestión de riesgo cibernético entre sus prioridades de inversión para 2026, seis puntos por encima del promedio global, según PwC Brasil. La misma encuesta revela que la IA agéntica –sistemas capaces de encadenar decisiones sin esperar instrucción humana en cada paso, ejecutando acciones directas en entornos corporativos– es justo el tipo de recurso que más están priorizando para este año.

Es una combinación que merece atención. A mayor autonomía del sistema, más difícil es rastrear el origen de un error y más complicado es identificar quién responde por él. El relevamiento de TEC.Institute y Peers Consulting cuantifica el problema: apenas el 34 % de las empresas brasileñas practica monitoreo continuo de sesgos y seguridad en sus sistemas de IA, y el 44 % admite abiertamente que está expuesto a riesgos legales, reputacionales y operativos por el uso de la tecnología.

La ventana que aún está abierta

El vacío regulatorio no equivale a ausencia de obligación. Significa que la responsabilidad de construir la gobernanza recae hoy íntegramente sobre las organizaciones, con el CIO como protagonista ineludible de ese proceso. El sector financiero ya lo entendió: las instituciones reguladas por el Banco Central de Brasil avanzan en sus propios marcos de gobernanza de IA, presionadas por la Resolución CMN 4.557, que exige una estructura formal de gestión de riesgos operativos y tecnológicos. Para los demás sectores, la ventana aún está abierta, pero no por mucho tiempo.

Tres movimientos son urgentes. El punto de partida es el inventario: mapear todos los sistemas de IA en producción, clasificar los de alto riesgo –aquellos que toman decisiones sobre personas, contratos o recursos financieros– y documentar los criterios de cada decisión automatizada. A partir de ahí viene la estructura:

• definir roles internos de responsabilidad,
• crear pistas de auditoría y
• establecer ciclos de revisión periódica.

Hay todavía un tercer movimiento con plazo definido: el período de contribuciones al PL 2.338/2023 se extiende hasta el 9 de mayo de 2026, lo que significa que las organizaciones tienen aproximadamente siete semanas para –a través de asociaciones sectoriales como ABES, Febraban o ABFintechs– influir en el texto de la ley antes de que las obligaciones queden fijadas sin la voz del mercado.

El escenario global ya cotiza la gobernanza de IA como activo estratégico. En Brasil, mientras la ley sigue en los pasillos del Congreso, quien construye los cimientos ahora llega al primer ciclo de fiscalización de la Autoridad Nacional de Protección de Datos (ANPD) con la casa en orden, y con menos riesgo de tropezar cuando el regulador finalmente aparezca.