¿Una nueva arquitectura en el compliance?: cómo la Inteligencia Artificial está redefiniendo el cumplimiento normativo

Cuando se habla de compliance o cumplimiento normativo, se está haciendo alusión a la función corporativa encargada de garantizar que una organización o empresa actúe conforme al marco normativo o disposiciones que le resulten aplicables para su correcto desempeño.

Durante muchos años, el oficial de cumplimiento, encargado de ejecutar las funciones del compliance, concentró su trabajo en la revisión documental, la investigación de hechos y la verificación periódica de procesos, apoyándose en herramientas manuales que, si bien resultaban funcionales, estaban limitadas a la capacidad humana y la propia disposición del oficial de cumplimiento para procesar la información y ejecutar los reportes.

Así pues, el avance y desarrollo de los datos generados por los entes sujetos a cumplimiento, sumado a la creciente innovación, incluida la innovación de los ilícitos, ha puesto en evidencia las limitaciones del modelo tradicional de compliance. Bajo la prerrogativa de que el modelo tradicional de compliance sea obsoleto para la actualidad, surge la idea de si la incorporación de la Inteligencia Artificial (IA) constituye una nueva arquitectura del compliance, transformando al oficial de cumplimiento de un investigador reactivo en un gestor predictivo del riesgo. La respuesta, como se expondrá a continuación, apunta hacia una transformación que excede el plano meramente instrumental y que incide directamente sobre la estructura funcional del compliance.

En relación con lo anterior, puede afirmarse que el modelo tradicional de compliance se caracteriza por operar bajo una lógica de investigación documental, en la cual el análisis se activa generalmente después de que el riesgo ya se ha materializado. El monitoreo, cuando se ejecuta, suele ser periódico y limitado por la capacidad operativa del oficial. Esta limitación estructural explica por qué buena parte de los hallazgos de cumplimiento pueden producirse de forma tardía, cuando el daño que se busca evitar ya es difícil de revertir.

Por otra parte, la IA cubre precisamente esa limitación en cuanto al monitoreo y proceso de información, actuando como una auténtica arquitecta de una nueva forma de cumplimiento. Su aplicación permite automatizar procesos de due diligence o debida diligencia sobre clientes, proveedores y entidades sujetas a cumplimiento, gracias a una integración de bases de datos junto con mecanismos de investigación, todo en un mismo plano, reduciendo tiempos de revisión que antes tomaban semanas a apenas minutos u horas. A esto se le añade la posibilidad de apoyar investigaciones internas mediante el análisis de correos electrónicos, comunicaciones y registros transaccionales, así como la actualización automática de las matrices de riesgo, que dejan de ser documentos estáticos para convertirse en instrumentos dinámicos que se ajustan conforme cambian las condiciones del cumplimiento.

Sin embargo, esta “nueva arquitectura” no está exenta de nuevos riesgos o preocupaciones que merecen especial atención. La dependencia excesiva en los sistemas de IA puede generar una falsa sensación de seguridad por parte de los que requieran que sea realizado el cumplimiento, dado a la idea de que el oficial de cumplimiento delegue en el algoritmo decisiones que requieran su juicio y expertiz.

Adicionalmente, por parte de los sujetos evaluados a cumplimiento, los modelos de IA pueden llegar a incorporar sesgos algorítmicos derivados de los datos con los que fueron entrenados, reproduciendo o incluso amplificando patrones discriminatorios. La falta de explicabilidad de ciertos modelos, particularmente aquellos basados en aprendizaje profundo, dificulta que el oficial de cumplimiento pueda justificar ante un regulador o una autoridad judicial las razones detrás de una alerta o una decisión sobre el sujeto evaluado. A esto se suman las obligaciones derivadas de la protección de datos personales, en la medida en que estos sistemas procesan información sensible de empleados, clientes y terceros, y la siempre compleja pregunta sobre la responsabilidad jurídica cuando una decisión automatizada genera un perjuicio: ¿responde la organización, el desarrollador del sistema, o ambos de manera solidaria?

La existencia de estos riesgos lleva a una conclusión clara: la adaptación a un nuevo perfil de Oficial de Cumplimiento. La función ya no puede limitarse a la interpretación de normas y la verificación de su cumplimiento formal. El oficial de cumplimiento contemporáneo debe comprender, al menos en sus aspectos esenciales, el funcionamiento de los algoritmos que apoyan su gestión, de manera que pueda identificar sus limitaciones y sesgos potenciales.

El Oficial debe asumir un rol activo en la supervisión de los modelos implementados, validar los resultados que estos arrojan antes de convertirlos en decisiones organizacionales, y coordinar de manera permanente con las áreas de tecnología, ciberseguridad y protección de datos, que dejan de ser departamentos ajenos a la función de cumplimiento para convertirse en aliados imprescindibles de esta.

La tesis central que se sostiene en este artículo es que la IA no es una herramienta sustitutita del oficial de cumplimiento sino que ha transformado su rol tradicional. El oficial de cumplimiento ha dejado de actuar principalmente como investigador de hechos consumados para convertirse en un gestor preventivo y predictivo de riesgos, apoyado en sistemas capaces de analizar grandes volúmenes de información en tiempo real. Este cambio, aunque incrementa significativamente la eficiencia de los programas de cumplimiento, también genera nuevas obligaciones relacionadas con la supervisión humana, la transparencia algorítmica, la protección de datos y la gobernanza de los sistemas de IA.

En conclusión, la Inteligencia Artificial no sustituye al compliance ni a quienes lo ejercen; sino que está rediseñando la base tradicional de esta área. De la convergencia entre la tecnología y la función de cumplimiento surge un nuevo paradigma, en el cual la predicción y la prevención adquieren un protagonismo que antes correspondía casi exclusivamente a la reacción posterior al hecho. Aun así, el elemento humano continúa siendo indispensable, pues solo el juicio profesional del oficial de cumplimiento puede ponderar el contexto, asumir la responsabilidad de las decisiones y garantizar que la tecnología se mantenga al servicio de la integridad del cumplimiento, y no al revés.