Semana 8: Modelos operativos, roles clave, políticas y cultura de gobernanza
Microcredencial en Inteligencia Artificial y Análisis de Datos
Universidad Latinoamericana de Ciencia y Tecnología
Marzo 2026
Contenidos de la sesión
Cifras que revelan la urgencia de estructurar la gobernanza
El 98.4% de las organizaciones están aumentando inversión en datos e IA, pero solo el 23% tiene visibilidad completa sobre sus datos de entrenamiento de IA. El 59% considera "abrumadora" la cantidad de trabajo necesario para preparar datos para IA generativa (AWS CDO Study / McKinsey).
"El modelo ideal integra gobernanza de IA y datos bajo una única estructura, habilitando transparencia completa, políticas ejecutables, eliminación de datasets duplicados, y entrega de valor tangible." -- KPMG, 2025
Centralizado, descentralizado y federado: ventajas y limitaciones
Un equipo central controla creación, verificación y aprobación de datos. Garantiza consistencia y cumplimiento regulatorio. Puede generar cuellos de botella y limitar la agilidad de las unidades de negocio.
Ejemplo: Georgia-Pacific opera con un squad único que controla datos de producto de extremo a extremo.
Cada unidad de negocio gestiona sus propios datos de forma autónoma. Ofrece máxima agilidad pero puede generar inconsistencias e ineficiencias si la organización carece de madurez.
Advertencia BCG: organizaciones con insuficiente madurez que adoptan este modelo pueden "exacerbar inconsistencias e ineficiencias."
Combina un cuerpo central que define estándares con stewards descentralizados en cada unidad. Equilibra consistencia regulatoria con agilidad operativa. Frecuentemente emparejado con data mesh.
60% de adopción en 2025 según Gartner. KPMG recomienda iniciar centralizado y evolucionar hacia federado.
Un modelo operativo completo en 2025 incluye: derechos de decisión claros, roles nombrados, foros de decisión, KPIs de calidad, workflows de resolución con SLAs, y cadencia regular de limpieza de defectos.
La tendencia más significativa de 2025-2026
Las organizaciones están transitando de políticas estáticas y auditorías periódicas a gobernanza habilitada por IA en tiempo real. Esto incluye: monitoreo automatizado de cumplimiento, clasificación inteligente de datos, detección de anomalías, y la transición de RBAC (control de acceso basado en roles) a ABAC y PBAC (basados en atributos y políticas).
Embebida en pipelines de datos desde su concepción, no añadida después. Los controles de gobernanza se automatizan como parte integral de la infraestructura de datos.
Las políticas se implementan como código ejecutable, automatizando su aplicación en lugar de depender de procesos manuales. Motores de políticas dinámicas ajustan permisos en tiempo real.
Uso de IA para mejorar la propia gobernanza: gestión automatizada de metadatos, detección de anomalías, clasificación de datos, y trazas de auditoría inmutables a nivel forense.
DAMA-DMBOK: DMBOK 3.0 lanzado junio 2025, añade gobernanza de IA y cloud. ISO/IEC 42001: 76% planea adoptarlo. NIST AI RMF: en revisión con perfiles complementarios. COBIT 2019: nuevas guías de IA de ISACA (febrero 2025). EU AI Act: implementación gradual desde febrero 2025. CDMC: reporta reducción de silos del 30%.
Data owner, data steward y data custodian: responsabilidades que se reinventan con la IA
Líder de negocio senior (director, VP) responsable del éxito global de un dominio de datos. Define dirección estratégica, clasificación, protección, políticas de uso y estándares de calidad.
Principio clave: puede delegar responsabilidades, pero la accountability siempre permanece con el owner.
En 2025: autoriza qué datos pueden usarse para entrenamiento de IA, aprueba su uso en aplicaciones GenAI, y establece límites éticos.
Gestiona día a día la calidad de datos dentro de dominios definidos. Es un Subject Matter Expert que entiende significado, importancia y uso correcto de los datos. Sirve como puente entre negocio y TI.
En 2025: asume curación de datos de entrenamiento de IA, vetea fuentes, excluye contenido dañino, implementa detección de sesgos, y "cura prompts sancionados, tal como cura métricas" (Atlan, 2025).
Guardián técnico que implementa controles de seguridad, infraestructura de almacenamiento y gestión de acceso. El perfil más técnico de los tres.
En 2025: gestiona infraestructura de pipelines de IA, monitorea telemetría de modelos para alertas de drift en tiempo real, y maneja encriptación de artefactos de modelos.
Tres niveles de responsabilidad que se complementan
| Dimensión | Data owner | Data steward | Data custodian |
|---|---|---|---|
| Nivel | Estratégico (C-suite / VP) | Táctico (experto de dominio) | Operacional (técnico) |
| Enfoque | Qué datos y por qué | Calidad y significado de los datos | Cómo se almacenan y protegen |
| Accountability | Responsable final (no delegable) | Responsable de calidad diaria | Responsable de infraestructura |
| Relación con IA (2025) | Autoriza datos para entrenamiento | Cura datos de entrenamiento | Gestiona pipelines de IA |
| Analogía | Dueño de una biblioteca | Bibliotecario experto | Equipo de mantenimiento |
María C. Villar (ex-CDO) publicó en CDO Magazine sobre stewards potenciados por IA agéntica. Los agentes de IA aumentan capacidades de los stewards en: estrategia de datos, gestión de calidad, gobernanza de metadatos, gestión de retención y master data management. Un 87% de organizaciones que adoptaron GenAI esperan mayor inversión, requiriendo fundaciones más fuertes de data stewardship.
Charter (establecer responsabilidades para riesgos de IA) → Classify (etiquetado de metadatos para datos sensibles) → Control (permisos de acceso específicos para IA) → Monitor (linaje continuo y auditoría de modelos).
Entre la consolidación y la amenaza existencial
El 47.6% describe el rol como "naciente, en evolución o puerta giratoria", un retroceso respecto al 51% de éxito en 2024. MIT Sloan reporta que "los líderes de datos están perdiendo sus empleos a una tasa alarmante." Solo el 70.8% cree que el CDO será permanente en C-Suite.
Gartner identifica dos arquetipos emergentes: el "Connector CDAO" que orquesta conexiones entre CxOs y datos/analytics/IA, y el "Pioneer CDAx" como agente de transformación. El 70% de CDAOs tiene responsabilidad primaria sobre la estrategia y modelo operativo de IA de su organización.
Nuevos roles y la maduración del liderazgo de datos en la región
El 33.1% de organizaciones ha nombrado un CAIO, y el 43.9% cree que debería nombrarse uno. Esto potencialmente diluye el rol del CDO.
Hitos: Trump (abril 2025) requirió que todas las agencias federales de EE.UU. nombren CAIOs. UBS nombró su CAIO inaugural en enero 2026. Salesforce nombró Chief AI & Transformation Officer en agosto 2025.
Se proyecta que para 2026, más del 40% de las Fortune 500 tendrá un CAIO.
La pregunta clave: si se necesita un CDO y un CAIO por separado, o si deben converger bajo un solo liderazgo integrado de datos e IA. El debate está abierto y la respuesta depende de la madurez organizacional.
Del papel al código: el paisaje regulatorio se acelera
El EU AI Act comenzó a aplicar prohibiciones sobre prácticas de riesgo inaceptable desde febrero 2025. El EU Data Act se hizo aplicable en septiembre 2025: primer marco comprehensivo para acceso y compartición de datos de productos conectados. California AB 2013 (transparencia de datos de entrenamiento de GenAI) entró en vigor en enero 2026. La US Copyright Office concluyó que ciertos usos no autorizados de materiales con copyright para entrenar IA no son fair use.
Transición de RBAC a ABAC/PBAC. Controles contextuales que evalúan quién, qué, cuándo, dónde y por qué. Permisos específicos para uso de datos en entrenamiento de IA.
Encriptación end-to-end, trazas de auditoría inmutables, monitoreo en tiempo real. Seguridad específica para artefactos de modelos de IA y pipelines de datos.
La IA introduce complejidades sin precedente: los modelos pueden retener características de datos incluso después de eliminación ("memorización"). El EU AI Act especifica retención de 10 años para IA de alto riesgo.
El nuevo elemento esencial en la gobernanza organizacional
Salesforce: prohíbe uso de IA en decisiones automatizadas con efectos legales sin supervisión humana.
Google Cloud: enfatiza gestión de shadow AI y listas de herramientas aprobadas.
Estado de Iowa: requiere que código generado por IA sea "aislado" con comentarios identificatorios.
CPSC: distingue entre herramientas in-tenant (Microsoft Copilot) y públicas (ChatGPT, Gemini).
El 63% de organizaciones no tiene política de gobernanza de IA o la está desarrollando. Las organizaciones que no implementan AUPs se exponen a fugas de datos, generación de contenido incorrecto con consecuencias legales, y pérdida de propiedad intelectual a través de herramientas de IA.
Datos del IBM 2025 Cost of a Data Breach Report
El 65% de las brechas de shadow AI afectó PII de clientes. El costo promedio global de una brecha de datos alcanzó $4.44 millones. Los empleados usan herramientas de IA no autorizadas para aumentar productividad, pero sin controles, cada prompt puede contener datos sensibles de la organización.
Implementar inventario de herramientas de IA aprobadas. Monitorear tráfico de red hacia servicios de IA. Establecer sandboxes seguros donde empleados puedan experimentar. Capacitar sobre riesgos específicos de compartir datos con herramientas de IA. Integrar detección de shadow AI en programas de seguridad existentes.
Estructura, composición y mejores prácticas
Un comité de gobernanza efectivo debe ser un grupo senior cross-funcional, no exclusivamente de TI. Este es el punto de falla más común según IANS Research (noviembre 2025). Nicola Askham (Directora DAMA UK) enfatiza que un Data Governance Council es "esencial para gobernanza exitosa porque clarifica roles, mantiene la gobernanza viva como práctica de negocio, y soporta la cultura -- las políticas solas no cambiarán el comportamiento."
Ejecutivo: patrocinio y financiamiento del programa de gobernanza.
Estratégico: política, dirección y priorización.
Táctico: estándares, procedimientos y coordinación.
Operacional: implementación diaria y resolución de problemas.
Éxitos, fracasos y lecciones aprendidas
Google ATEAC: se disolvió una semana después de su formación por controversias sobre los miembros seleccionados.
Axon: su ethics board se desintegró cuando la empresa ignoró sus recomendaciones sobre tecnología de reconocimiento facial en drones.
Lección: los consejos asesores sin poder real de decisión o veto pierden credibilidad rápidamente.
Microsoft AETHER: proporciona guía sobre IA responsable integrada directamente en el desarrollo de productos.
OneTrust (octubre 2025): documentó su comité interno con representantes de Legal, Ética y Compliance, Privacy, Security, Engineering y Product.
Lección: los comités integrados en la estructura de decisión organizacional generan impacto real.
Capgemini enfatiza que la gobernanza ética de IA es un "deporte de equipo" que requiere un equipo mínimo bien balanceado para contrarrestar sesgos cognitivos individuales.
El paradójico estado de la cultura data-driven en 2025
El 48% de organizaciones afirma haber "creado una organización impulsada por datos e IA" (frente al 24% el año anterior).
El 43% dice haber "establecido una cultura data-driven" (frente al 21%).
La IA generativa parece haber catalizado estos avances al democratizar el acceso a insights y reducir barreras técnicas.
El 34% de empresas toma decisiones parcial o totalmente basadas en datos (frente al 14% previo).
El 92% de líderes sigue citando los desafíos culturales y de gestión del cambio como barrera principal, una cifra prácticamente sin cambio en 5 años.
Davenport y Bean advierten: "la IA generativa por sí sola no es suficiente para hacer a las organizaciones data-driven."
El mayor punto de dolor sigue siendo la falta de compromiso de la alta dirección.
"La tecnología por sí sola no construye gobernanza. La gobernanza se construye con personas, roles, políticas y cultura." -- Data & AI Leadership Exchange, 2025
El impacto cuantificable de la alfabetización de datos
Implementar programas formales de data literacy a todos los niveles. Incluir AI literacy como componente obligatorio. Medir y trackear el progreso con métricas claras. Vincular la alfabetización de datos con objetivos de desempeño. Crear comunidades de práctica internas.
Una región con digitalización de clase mundial pero gobernanza en desarrollo
Chile: ahorró cientos de millones mediante analytics de salud. Guatemala: redujo deserción escolar en 9%. Ecuador y Perú: recaudaron millones adicionales en impuestos usando datos.
La digitalización gubernamental de LAC es de clase mundial: el 79% de ingresos gubernamentales se rastrean digitalmente.
Costa Rica: la ENIA 2024-2027, primera en Centroamérica, se alinea con ISO 42001 y marcos de la OCDE.
Gobiernos de LAC desperdician un estimado del 4% del PIB por ineficiencias en procurement, transferencias y gestión de RRHH (World Bank, 2025).
Solo el 12% de administraciones públicas ofrece trayectorias de carrera dedicadas para analistas de datos.
El 42% de empresas latinoamericanas sufrió filtraciones de datos. Brasil cuadruplicó incidentes de fuga entre 2023 y 2024.
La lección de Perú: regulación de IA sin gobernanza de datos robusta es como construir un edificio sin cimientos. La velocidad de digitalización en América Latina supera la madurez de gobernanza.
Fallas de gobernanza con consecuencias millonarias (2024-2026)
Desde 2020, multas por gobernanza de datos deficiente. Infraestructura fragmentada: 30+ plataformas de contenido, 70+ procesadores de productos solo en wealth management. La deuda técnica de datos se convirtió en crisis de compliance. $135.6M adicionales en julio 2024 por no cumplir hitos de remediación.
Transferencia ilegal de datos de usuarios europeos a China, después de asegurar falsamente que no almacenaba datos europeos en servidores chinos. La mayor multa GDPR de 2025. Demuestra la importancia de políticas de transferencia cross-border honestas.
Colombia (cierre permanente, ~2M usuarios afectados), Brasil (prohibición de tokens-por-datos-biométricos), Argentina (multa de ~$1.15M), Chile (investigación sobre menores). La lección: incentivos financieros para recolección de datos biométricos pueden invalidar el consentimiento.
Fintech uruguaya con Azure Blob Storage sin autenticación exponiendo datos en República Dominicana, México, Ecuador, El Salvador, Bolivia y Costa Rica. Los proveedores pueden ser un "caballo de Troya" cuando carecen de roles de gobernanza claros.
Más de 1,200 millones EUR en multas GDPR durante 2025. Notificaciones de brechas aumentaron 22% interanual (promedio 443/día). Multas adicionales: Google (325M EUR), SHEIN (150M EUR), Clearview AI (30.5M EUR), OpenAI (15M EUR), Netflix (4.75M EUR).
De la teoría a la práctica de roles, políticas y cultura
Sin data owners con responsabilidad clara, sin stewards que cuiden la calidad diaria, y sin custodians que implementen controles técnicos, la gobernanza es solo un documento. En 2025, estos roles se reinventan para la era de la IA: los stewards ahora curan datos de entrenamiento y los owners autorizan su uso en modelos.
La transición de "policy-on-paper" a "policy-as-code" es imperativa. Las Acceptable Use Policies para GenAI son ahora esenciales. Shadow AI causa brechas $670K más costosas, y el 97% de organizaciones comprometidas carecían de controles de acceso de IA.
El 92% de líderes cita la cultura como barrera principal -- cifra sin cambio en 5 años. Los comités de gobernanza y la data literacy son los vehículos para transformar la cultura. La tecnología es condición necesaria pero no suficiente.
El CDO enfrenta un momento existencial: consolidarse o ser reemplazado por el CAIO. América Latina emerge como actor relevante con Perú, Chile y Brasil liderando, pero la velocidad de digitalización supera la madurez de gobernanza. Los casos de Citigroup, TikTok y Worldcoin demuestran que la falta de roles claros no es un problema teórico, sino una ruta directa a multas millonarias y pérdida de confianza.
Repaso de semanas 1-8 y actividad práctica
Realizaremos una actividad de repaso integrando los conceptos de las ocho semanas: desde ética fundamental (FATE), sesgo y discriminación, privacidad (GDPR, Ley 8968), transparencia y XAI, responsabilidad, hasta gobernanza de datos y los roles y políticas vistos hoy.
Después de esta presentación, trabajaremos en equipos un caso de análisis ético-crítico donde aplicarán los conceptos de gobernanza de datos, roles, políticas y cultura organizacional que hemos discutido hoy.