TwinLadder Weekly
Numero #31 | Marzo 2026
Header Image: /images/newsletter-31-governance-delegation.jpg
Credit: Photo by RPA studio on Pexels (free license, no attribution required)
La gobernanza que usted no delego
Nota del editor
La semana pasada la dedique a leer dos hilos paralelos en LinkedIn que, entre ambos, sumaban mas de 200 comentarios de profesionales de gobernanza de IA. No marketeros. No ingenieros de prompts. Personas senior — asesores de consejos de administracion, responsables de cumplimiento, arquitectos de sistemas, un fiscal — debatiendo sobre donde reside realmente la gobernanza de la IA.
Lo llamativo no era que discreparan. Era que estaban manteniendo dos conversaciones diferentes sobre el mismo problema.
Un hilo trataba sobre la autoridad — quien es titular de la decision, quien responde del resultado y que ocurre cuando nadie puede decirlo. El otro trataba sobre la arquitectura — si el sistema puede ser detenido realmente y que ocurre cuando la salvaguarda es un documento de politica en lugar de una restriccion de ingenieria.
Ambos hilos convergieron en la misma conclusion incomoda: la mayoria de las organizaciones creen que tienen gobernanza de IA. Tienen politicas, formacion, cuadros de mando de monitorizacion y comites de cumplimiento. Pero ninguna de esas cosas puede responder a la pregunta que realmente importa en la aplicacion de la norma:
Cuando su sistema de IA ejecuto esa accion — ¿estaba autorizado para hacerlo?
Y si la respuesta depende de que una persona se acordara de comprobarlo — usted no tiene gobernanza. Tiene esperanza con documentacion.
Este boletin trata sobre lo que descubri cuando empece a mapear esa laguna frente al Articulo 4. [cite:eu-ai-act-article4]
— Alex
Los tres modelos de gobernanza que ya tiene (y cual funciona realmente)
Por Alex Blumentals, con Liga Paulina y Edgars Rozentals
El martes pasado le mostre a Edgars una prueba sencilla. Le pedi que clasificara las salvaguardas en un flujo de trabajo de revision de contratos — del tipo que un despacho de abogados de tamano medio ejecuta cada dia.
Un abogado utiliza una herramienta de IA para revisar un contrato con un proveedor. La herramienta senala posibles problemas. El abogado revisa las senales y envia el contrato al cliente.
"Existen tres modelos de gobernanza para este flujo de trabajo", dije. "Digame cual usaba su antiguo despacho".
Edgars no dudo. "El segundo. Obviamente".
Estos son los tres.
Modelo 1: Instrumentacion
La IA senala 15 clausulas como posibles problemas. El abogado ve las senales. Nada impide que el abogado ignore todas las senales y envie el contrato sin modificar. El sistema registro el riesgo. El riesgo acompano a la accion. Pero la accion nunca estuvo vinculada a el.
Si la clausula 7 era un limite de responsabilidad que nunca debio aceptarse — la senal existia. El sistema "lo sabia". El contrato se envio de todos modos.
Esto es monitorizacion. No es gobernanza.
Modelo 2: Salvaguarda comportamental
Las mismas senales. Pero la politica del despacho dice: "Todas las clausulas de alto riesgo senaladas por la IA deben ser revisadas y aprobadas antes del envio". El abogado esta formado en esto. Hay una lista de verificacion.
Viernes por la tarde. Presion de plazos. El abogado revisa 12 de 15, omite las 3 restantes, marca la lista de verificacion, envia el contrato. La politica existia. La formacion existia. La salvaguarda comportamental fallo porque dependia de que un humano fuera consistente bajo presion.
Se lo mostre a Liga. Ella abrio el Articulo 4. [cite:eu-ai-act-article4]
"El reglamento dice que las organizaciones deben garantizar una alfabetizacion en IA suficiente", dijo. "Pero ¿contra que defiende la alfabetizacion en el Modelo 2? El abogado estaba alfabetizado. Comprendia el riesgo. Conocia la politica. La omitio porque era humano, bajo presion, un viernes por la tarde".
"Entonces, ¿cual es la defensa de cumplimiento?", pregunte.
"Solo hay dos opciones", dijo Liga. "O el abogado no era competente — lo cual contradice los registros de formacion. O el abogado cometio un error de juicio a pesar de ser competente — lo cual demuestra que la formacion por si sola no previene el dano".
"En cualquier caso, se pierde".
Ese es el Modelo 2. La mayoria de las organizaciones viven aqui. Creen que tienen gobernanza porque tienen politicas y formacion. Tienen una salvaguarda comportamental que depende de que cada persona, cada vez, en cada condicion, haga lo correcto.
Modelo 3: Restriccion estructural
La IA senala 15 clausulas. El sistema no generara el documento final hasta que cada clausula senalada haya sido marcada como "aceptada", "modificada" o "escalada" — con el nombre del abogado y la marca temporal en cada una. Si tres senales permanecen sin resolver, el sistema se niega a producir el resultado.
El abogado no puede omitir la clausula 7. No porque le formaran para no hacerlo. Porque el sistema no permite que el contrato exista en forma enviable hasta que se resuelva.
Le pregunte a Edgars cuantos despliegues empresariales de IA ha visto que operen en el Modelo 3.
"¿En produccion? ¿Donde el sistema realmente se niega? Quiza uno de cada diez. Y ese suele estar en servicios financieros, donde el regulador ya ha preguntado".
El problema de los proveedores del que nadie habla
Aqui es donde la situacion se vuelve incomoda para las empresas europeas de tamano medio.
La mayoria de las organizaciones no construyen sus sistemas de IA. Los compran. Workday para RRHH. Salesforce para ventas. SAP para operaciones. Microsoft 365 para todo lo demas.
Estos proveedores integran funciones de IA que se activan por defecto o mediante un simple interruptor de configuracion. [cite:workday-ai-features] [cite:salesforce-einstein] [cite:sap-business-ai]
La IA en estos sistemas toma decisiones antes de que sus empleados vean nada.
| Sistema | Lo que la IA decide antes de que los humanos lo vean | Lo que el humano ve |
|---|---|---|
| Workday Recruiting | Filtra 500 candidatos → presenta 50 "recomendados" | Los 50. No los 450 que fueron eliminados. |
| Salesforce Einstein | Puntua y clasifica leads por "probabilidad de conversion" | Leads en orden clasificado. No el modelo de puntuacion. |
| SAP Procurement | Recomienda proveedores basandose en ponderacion de riesgo/coste/rendimiento | La recomendacion. No los proveedores eliminados. |
| Microsoft Copilot | Resume notas de reuniones, priorizando "decisiones clave" | El resumen. No lo que se omitio. |
Sus empleados estan formados. Comprenden el riesgo de la IA. Siguen la politica. Revisan lo que se les muestra.
Pero nunca se les mostro el panorama completo. El sistema tomo la decision de filtrado con consecuencias aguas arriba. La "revision" del humano esta aguas abajo de una decision que no autorizo, no puede ver y nunca le pidieron que evaluara.
Segun el Articulo 4, el responsable del despliegue — su organizacion — es responsable de garantizar la competencia suficiente. [cite:eu-ai-act-article4-context] Pero su proveedor diseno el sistema de manera que la competencia no pueda ejercerse en el punto donde importa. No hay ningun momento en el flujo de trabajo en el que una persona competente pueda evaluar la decision de filtrado, porque el filtrado ocurrio antes de que entrara en escena.
Eso no es una laguna de formacion. Es una laguna de arquitectura. Y la responsabilidad recae sobre usted, no sobre el proveedor.
Cuando el filtrado ya es ejecucion
Se lo plantee a Kamilla Harcej, que ha estado desarrollando lo que ella denomina el marco del "limite de ejecucion" — el punto arquitectonico donde una accion de IA propuesta debe ser autorizada o rechazada antes de convertirse en realidad.
Su respuesta cambio por completo mi forma de pensar sobre esto.
"Filtrar 500 candidatos a 50 no es solo preprocesamiento", dijo. "Ya es ejecucion. El sistema ha cambiado lo que es posible a continuacion".
Ese replanteamiento importa. Tendemos a pensar en la ejecucion como la accion final — el correo enviado, el contrato firmado, el candidato contratado. Pero en el momento en que el sistema reduce opciones, clasifica resultados o elimina alternativas, ya ha actuado. Ha cambiado la realidad disponible. Todo lo que viene despues opera sobre una version de la realidad que el sistema configuro.
Lo cual plantea una pregunta que creo que el sector necesita afrontar con honestidad:
Si el sistema ya ha cambiado lo que es posible antes de que un humano vea nada — y el humano no puede ver, interrogar ni ajustar el algoritmo que tomo esa decision — ¿cumple el responsable del despliegue con el Articulo 4?
Porque el Articulo 4 exige competencia "en el contexto en que los sistemas de IA van a ser utilizados". [cite:eu-ai-act-article4-context] Si el contexto incluye una decision de filtrado invisible que sus empleados no pueden evaluar, entonces la competencia no puede ejercerse en ese contexto. El reglamento exige algo que la arquitectura hace imposible.
Le pregunte a Liga si esto significa que todo sistema SaaS con filtrado opaco de IA es estructuralmente no conforme para los responsables de despliegue europeos.
Hizo una pausa mas larga de lo que esperaba.
"No automaticamente", dijo. "Pero significa que el responsable del despliegue tiene que demostrar que medidas compensatorias adopto. Y 'formamos a las personas para que revisaran el resultado' no es una medida compensatoria para una decision que nunca vieron. La medida compensatoria tendria que ser: auditamos la logica de filtrado, probamos los sesgos, obtuvimos transparencia del proveedor, o elegimos un proveedor que proporciona visibilidad".
"¿Y si el proveedor no proporciona visibilidad?"
"Entonces el responsable del despliegue ha elegido un sistema donde la competencia del Articulo 4 no puede ejercerse en la fase de filtrado. Ese es un riesgo que el responsable del despliegue debe documentar, mitigar y defender. Y la mayoria no lo ha hecho".
Edgars fue mas directo. "Si usted utiliza un sistema donde no puede ver lo que filtro, y no puede explicar por que se tomo una decision, y no puede anular el filtrado — usted no esta desplegando IA. La IA le esta desplegando a usted".
La cuestion de la competencia
Su equipo de RRHH utiliza una herramienta de reclutamiento con IA. El sistema examina 500 solicitudes para un puesto senior de cumplimiento. Presenta 50 candidatos como "recomendados".
Su directora de RRHH — formada, experimentada, conforme con el Articulo 4 — revisa los 50. Selecciona 8 para entrevistas. Contrata a uno.
Seis meses despues, un candidato rechazado presenta una reclamacion por discriminacion. Su solicitud estaba entre las 450 que el sistema filtro antes de que su directora de RRHH viera nada. El candidato tiene un CV solido. Cumple todos los requisitos indicados en la oferta de empleo.
El regulador pregunta a su directora de RRHH: "¿Por que se excluyo a este candidato?"
Ella dice: "Nunca vi su solicitud".
El regulador pregunta: "¿Quien decidio excluirle?"
Ella dice: "El sistema".
El regulador pregunta: "¿Quien autorizo al sistema a tomar esa decision?"
Silencio.
Su organizacion tiene registros de formacion, evaluaciones de alfabetizacion en IA, un comite de gobernanza y una politica que dice "revision humana de todas las decisiones de contratacion".
Pero la humana reviso 50 de 500.
El sistema reviso 500 de 500.
¿Quien gobernaba a quien?
Que significa esto para el cumplimiento del Articulo 4
Liga mapeo los tres modelos de gobernanza frente al reglamento. El resultado no es comodo.
| Modelo de gobernanza | Lo que demuestra a un regulador | Solidez de la defensa ante el Articulo 4 |
|---|---|---|
| Modelo 1: Instrumentacion | "Registramos el riesgo" | Ninguna. Registrar no es gobernar. |
| Modelo 2: Comportamental | "Formamos a nuestro personal y se suponia que debian comprobar" | Debil. Requiere demostrar que la formacion previene el dano — lo cual demostrablemente no ocurre bajo presion. |
| Modelo 3: Estructural | "El sistema no puede ejecutar la accion sin autorizacion humana en este punto de control especifico" | Solida. Se ha definido el limite, se ha construido la restriccion y se puede evidenciar que funciona. |
"El Articulo 4 no especifica que modelo utilizar", dijo Liga. "Pero la prueba de aplicacion es practica: ¿sus medidas previnieron realmente el dano? Si la respuesta es 'formamos a las personas pero el sistema ejecuto de todos modos', usted esta en territorio del Modelo 2. Y el Modelo 2 no sobrevive a la aplicacion de la norma".
El reglamento contempla multas de hasta 15 millones de euros o el 3% de la facturacion global. [cite:eu-ai-act-penalties]
Que hacer
-
Clasifique sus salvaguardas. Tome sus 5 flujos de trabajo mas importantes con IA integrada. Para cada salvaguarda (paso de revision, puerta de aprobacion, verificacion de cumplimiento), pregunte: ¿es instrumentacion (registrada), comportamental (se supone que alguien comprueba) o estructural (el sistema la impone)? Si mas del 80% son comportamentales, su gobernanza depende de la consistencia humana. Esa no es una posicion de cumplimiento defendible.
-
Mapee el filtrado previo a la visibilidad. Para cada sistema de IA de proveedor que utilice, pregunte: ¿que decide la IA antes de que nuestro personal vea el resultado? Escribalo. Si no puede responder — y la mayoria de las organizaciones no pueden — ha delegado autoridad que no sabia que habia delegado.
-
Haga a sus proveedores la pregunta dificil. "¿Puede nuestro personal ver lo que su sistema de IA filtro, clasifico o excluyo antes de presentar los resultados? Si no — ¿por que no, y que estan construyendo para cambiarlo?" Pongalo por escrito. Convirtalo en un punto de negociacion contractual en la renovacion.
-
Pruebe su gobernanza bajo presion. Realice la prueba del viernes por la tarde. Tome su flujo de trabajo mas critico con IA y pregunte: si nuestro empleado mas junior usara este sistema en su peor dia — ¿que impide un mal resultado? Si la respuesta es "se supone que debe revisarlo" — eso es comportamental. Fallara.
-
Empiece a medir la delegacion de autoridad. Para cada sistema de IA, pregunte: ¿quien autorizo el alcance de decision de este sistema? No "quien aprobo la adquisicion" — ¿quien definio lo que el sistema esta autorizado a decidir? Si nadie lo hizo, el sistema definio su propio alcance. Y usted es responsable de las consecuencias.
-
Construya la pista de evidencia ahora. Cuando el regulador pregunte "¿que hicieron para garantizar una alfabetizacion en IA suficiente?", su respuesta necesita ser mas que registros de formacion. Necesita demostrar que identifico donde las salvaguardas comportamentales eran insuficientes, donde se necesitaban controles estructurales y que hizo respecto a la laguna. Eso es una postura de gobernanza, no un programa de formacion.
Aprenda a mapear esto en su organizacion
Nuestros cursos Leadership y Mastery incluyen ahora un Taller de Descubrimiento de Delegacion — un ejercicio estructurado donde mapea sus flujos de trabajo de IA, clasifica cada salvaguarda como instrumentacion, comportamental o estructural, y somete su gobernanza a pruebas de estres.
Los participantes se llevan un Mapa de Autoridad de Flujos de Trabajo y una Matriz de Clasificacion de Modelos de Gobernanza — entregables tangibles que muestran exactamente donde su organizacion depende de la consistencia humana en lugar de la aplicacion sistematica.
Si este boletin le ha incomodado respecto a su postura de cumplimiento, este modulo le mostrara con precision donde estan las lagunas — y que hacer al respecto.
Explore nuestros cursos | Realice la evaluacion gratuita Quick Scan
Lecturas rapidas
- Texto completo del Articulo 4 del Reglamento Europeo de IA — La frase que creo una obligacion de 15 millones de euros. Leala, y luego vuelva a leerla.
- Kamilla Harcej y el Limite de Ejecucion — "Si un sistema no puede rechazar, no puede gobernar. Solo puede actuar". La articulacion mas precisa del Modelo 3 que he encontrado. Siga su newsletter "The Execution Boundary" en LinkedIn.
- Catherine Gunnell: AI Governance Starts with Mandate, Not Monitoring — "La autoridad de la IA rara vez avanza mediante aprobaciones formales. Migra silenciosamente a traves de configuraciones por defecto, umbrales, logica de enrutamiento". Lectura esencial para quien piense que la gobernanza se reduce a politicas.
- Catherine Gunnell: AI Governance Becomes Real in the Inner Rings — Donde la difusion de la responsabilidad, el teatro de clasificacion y las lagunas de visibilidad quiebran la gobernanza empresarial en la practica.
- Catherine Gunnell: Why Most Enterprise AI Programs Stall After the Pilot — "El modelo funciona. El flujo de trabajo no". Por que el exito del piloto crea una falsa sensacion de progreso.
- OWASP AI Security Verification Standard — Si esta evaluando las afirmaciones de proveedores de IA, esta es la referencia emergente de lo que "seguro" deberia significar.
- TwinLadder Standard v1.1 — Nuestro marco de evaluacion de competencias de codigo abierto. Siete pilares. Cuatro niveles de madurez. Metodologia libre, implementacion de pago.
- Articulo 4: Lo que los equipos juridicos necesitan saber ahora — Nuestro analisis en profundidad de lo que el reglamento realmente exige — palabra por palabra, frase por frase.
Una pregunta
Para su sistema de IA mas critico — el que afecta a clientes, empleados o decisiones reguladas — responda con honestidad:
Si ese sistema ejecutara una accion que causara dano manana, y el regulador preguntara "¿estaba el sistema autorizado para hacer eso?" — ¿seria su respuesta "si, definimos e impusimos el limite" o "formamos a las personas para que comprobaran"?
Si es la segunda respuesta, usted no tiene un problema de formacion.
Tiene un problema de arquitectura disfrazado de programa de cumplimiento.
TwinLadder Weekly | Numero #31 | Marzo 2026
Ayudando a los profesionales europeos a desarrollar competencia en IA mediante una educacion honesta.