La inteligencia artificial puede detectar irregularidades en la contabilidad y las compras antes de que causen daños. Pero, ¿cómo concilian las empresas las obligaciones de cumplimiento con la protección de datos y los derechos de los trabajadores?
De la reacción a la prevención
Durante mucho tiempo, el compliance significaba descubrir infracciones de normas después de que ya se hubieran producido. Los auditores internos revisaban muestras, los auditores externos analizaban las cuentas anuales, y cuando se descubría un fraude, el daño generalmente ya se había producido. Este modelo reactivo alcanza sus límites ante volúmenes de datos crecientes y métodos de fraude cada vez más sofisticados.
El Compliance predictivo (Predictive Compliance) invierte este enfoque: en lugar de documentar infracciones pasadas, la inteligencia artificial identifica patrones y anomalías en tiempo real – y alerta antes de que se produzca el daño. La tecnología analiza datos de transacciones, procesos de adquisición, liquidaciones de gastos de viaje y patrones de comunicación para detectar desviaciones sospechosas del comportamiento normal. Para las empresas, esto abre enormes oportunidades – pero al mismo tiempo plantea complejas cuestiones jurídicas.
¿Cómo funciona la detección de fraude asistida por IA?
Detección de anomalías en datos de transacciones
El núcleo de los sistemas modernos de detección de fraude es la detección de anomalías (Anomaly Detection). Un modelo de IA aprende primero los patrones normales de transacciones de una empresa – importes típicos de transferencias, horarios, destinatarios y cadenas de aprobación. Cada transacción que se desvía significativamente de este patrón se marca como potencialmente sospechosa.
Los ámbitos de aplicación típicos incluyen:
- Contabilidad: Facturas duplicadas, importes redondeados inusuales, pagos justo por debajo de los umbrales de aprobación (denominado threshold splitting)
- Compras: Concentraciones sospechosas de proveedores, contratos adjudicados a sociedades pantalla, elusión sistemática de obligaciones de licitación
- Gastos de viaje y dietas: Patrones de justificantes inverosímiles, gastos de representación excesivos, inconsistencias temporales
- Tráfico de pagos: Transferencias a cuentas desconocidas en jurisdicciones de alto riesgo, horarios de pago inusuales
Análisis de redes y detección de relaciones
Los sistemas avanzados van más allá del análisis de transacciones individuales y crean redes de relaciones. Identifican, por ejemplo, si un empleado del departamento de compras mantiene vínculos familiares o comerciales con un proveedor frecuentemente contratado – un patrón clásico de corrupción.
Procesamiento del lenguaje natural para análisis de comunicaciones
Algunos sistemas emplean procesamiento del lenguaje natural (NLP) para analizar patrones de comunicación. Los correos electrónicos, historiales de chat y notas internas se examinan en busca de formulaciones sospechosas – como instrucciones para eludir la cadena jerárquica habitual o avisos de confidencialidad inusuales. Este análisis es técnicamente potente, pero especialmente sensible desde la perspectiva de la protección de datos.
Marco jurídico: deber y límite a la vez
Las obligaciones de compliance como base legal
Las empresas están legalmente obligadas a implementar medidas de compliance adecuadas. Para el sector financiero, las exigencias específicas se derivan de los Requisitos Mínimos de Gestión de Riesgos (MaRisk) de la BaFin (la Autoridad Federal de Supervisión Financiera alemana). La Ley contra el Blanqueo de Capitales (Geldwäschegesetz, GwG) obliga a numerosos sectores a ejercer la diligencia debida, realizar análisis de riesgo y establecer medidas de seguridad internas.
El IDW PS 980, como norma de auditoría reconocida, define los principios para la auditoría adecuada de los sistemas de gestión de compliance. Exige, entre otras cosas, un sistema de supervisión y mejora adecuado – un requisito que puede cumplirse de manera particularmente eficiente mediante herramientas asistidas por IA.
Prevención del blanqueo de capitales según el GwG
El GwG obliga a las entidades obligadas en el sentido del § 2 GwG – incluyendo entidades de crédito, compañías de seguros, abogados, asesores fiscales y auditores – a obligaciones integrales de diligencia debida. Estas incluyen:
- Know Your Customer (KYC): Identificación y verificación de socios comerciales
- Monitorización de transacciones: Supervisión continua de las relaciones comerciales
- Comunicaciones de sospecha: Obligación de comunicar a la Financial Intelligence Unit (FIU) ante sospecha de blanqueo
Los sistemas de IA pueden cumplir estas obligaciones de manera significativamente más eficiente que los procesos manuales. Detectan patrones típicos de blanqueo – como el pitufeo (división de grandes importes en muchas transacciones pequeñas), el layering (ocultación mediante cadenas de transacciones complejas) o intensidades de efectivo inusuales – en tiempo real y sobre grandes volúmenes de datos.
RGPD: el límite de la protección de datos
El uso de IA para la supervisión del compliance afecta inevitablemente a los datos personales de los empleados. El Reglamento General de Protección de Datos (RGPD, conocido en Alemania como Datenschutz-Grundverordnung, DSGVO) establece límites claros.
El art. 6 del RGPD exige una base jurídica para cada tratamiento de datos. Para la supervisión del compliance, las bases principales son:
- Art. 6, apdo. 1, letra c) del RGPD: Cumplimiento de una obligación legal (p. ej., obligaciones del GwG)
- Art. 6, apdo. 1, letra f) del RGPD: Intereses legítimos del responsable del tratamiento (prevención del fraude), siempre que prevalezcan sobre los intereses de los interesados
El art. 22 del RGPD es especialmente relevante: los interesados tienen derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos sobre ellos. Un sistema de IA que clasifique automáticamente a un empleado como sospechoso y del que se deriven consecuencias debe, por tanto, incluir siempre un paso de revisión humana.
§ 26 BDSG: protección de datos de los empleados
El § 26 de la Ley Federal de Protección de Datos (BDSG) permite el tratamiento de datos personales de los empleados cuando sea necesario para la ejecución de la relación laboral o para la detección de infracciones penales, siempre que exista una sospecha fundada en hechos. Una vigilancia generalizada y sin causa de todos los empleados sería, por el contrario, desproporcionada e ilegal.
Consecuencia práctica: Los sistemas de compliance asistidos por IA deben configurarse para operar inicialmente a un nivel agregado y anonimizado. Solo cuando exista una sospecha estadísticamente significativa puede desglosarse el análisis al nivel individual – y aun entonces, solo con la participación del departamento de compliance y, en su caso, del comité de empresa.
Protección del denunciante según el HinSchG
La Ley de Protección del Denunciante (Hinweisgeberschutzgesetz, HinSchG), en vigor desde julio de 2023, obliga a las empresas con 50 o más empleados a establecer canales de denuncia internos. Los denunciantes que informen sobre irregularidades están protegidos contra represalias.
La detección de fraude asistida por IA y los sistemas de denuncia se complementan: mientras que la IA detecta patrones sistemáticos, los denunciantes aportan información contextual que un algoritmo no puede captar – como el conocimiento de acuerdos informales o motivaciones personales. Un enfoque integrado que combine ambos canales aumenta significativamente la tasa de detección.
Es importante tener en cuenta que cuando un sistema de IA identifica a un empleado como sospechoso, esto no debe dar lugar a represalias mientras la sospecha no haya sido confirmada mediante revisión humana. El umbral para la adopción de medidas laborales debe estar claramente definido y documentado.
Implementación en la práctica
Fase 1: Análisis de riesgos y alcance
Toda implementación comienza con un exhaustivo análisis de riesgos: ¿qué escenarios de fraude son especialmente relevantes para su empresa? ¿Dónde se encuentran los mayores riesgos de fuga de valor? ¿Qué fuentes de datos están disponibles? Los resultados determinan el alcance y las prioridades del sistema.
Fase 2: Evaluación de impacto en la protección de datos
Antes de desplegar un sistema de compliance asistido por IA, es obligatoria una evaluación de impacto relativa a la protección de datos (EIPD) conforme al art. 35 del RGPD. Esta debe evaluar en particular:
- ¿Qué datos personales se tratan?
- ¿Sobre qué base jurídica se realiza el tratamiento?
- ¿Cómo se implementa el principio de minimización de datos?
- ¿Qué medidas de protección están en vigor?
- ¿Cómo se garantiza la transparencia hacia los empleados afectados?
Fase 3: Participación del comité de empresa
En empresas con obligación de cogestión, el comité de empresa tiene un derecho de cogestión en la introducción de instalaciones técnicas capaces de supervisar el comportamiento y el rendimiento de los trabajadores (§ 87, apdo. 1, n.° 6 de la Ley de Organización de Empresas, BetrVG). Se recomienda encarecidamente un acuerdo de empresa que regule la finalidad, el alcance, los derechos de acceso y los plazos de supresión del sistema de IA.
Fase 4: Implementación técnica
Durante la implementación técnica deben aplicarse los siguientes principios:
- Privacy by Design: La protección de datos se integra en la arquitectura del sistema desde el inicio
- Explicabilidad: El sistema debe poder explicar de forma transparente por qué una transacción fue marcada como sospechosa
- Human in the Loop: Cada informe de sospecha generado por la máquina es revisado por un responsable de compliance humano
- Pista de auditoría: Todas las decisiones del sistema se registran de forma verificable
Fase 5: Operación continua y mejora
Un sistema de compliance predictivo no es un proyecto puntual, sino un proceso continuo. Las revisiones periódicas incluyen:
- Calibración de los modelos de detección (optimización de la tasa de falsos positivos)
- Formación del personal de compliance en el manejo de informes de sospecha generados por IA
- Documentación de todas las medidas para la auditoría externa según el IDW PS 980
- Actualizaciones en respuesta a cambios en los requisitos regulatorios
El AI Act como nuevo marco
El Reglamento europeo sobre Inteligencia Artificial (AI Act), plenamente aplicable a partir de agosto de 2026, clasifica los sistemas de IA por nivel de riesgo. Los sistemas de supervisión de compliance que influyen en decisiones sobre empleados serán previsiblemente clasificados como IA de alto riesgo. Esto conlleva requisitos adicionales:
- Obligaciones de transparencia hacia las personas afectadas
- Requisitos de calidad para los datos de entrenamiento
- Supervisión humana de las salidas del sistema
- Obligaciones de documentación y registro
Las empresas que inicien ahora la implementación deberían tener ya en cuenta estos requisitos.
Conclusión: aprovechar las oportunidades, respetar los límites
El Compliance predictivo ofrece a las empresas la posibilidad de detectar fraudes e infracciones normativas mucho antes y evitar daños considerables. La tecnología está madura, los campos de aplicación son diversos. Sin embargo, la implementación no es automática: el RGPD, el BDSG, el HinSchG y el AI Act establecen un marco jurídico estricto que debe observarse cuidadosamente. Quienes mantengan el equilibrio entre la obligación de compliance y la protección de la privacidad obtendrán un instrumento poderoso – quienes lo ignoren arriesgan no solo sanciones, sino también la confianza de sus propios empleados.
En compleneo le asistimos en la implementación conforme a derecho de sistemas de compliance asistidos por IA – desde el análisis de riesgos, pasando por la evaluación de impacto en la protección de datos, hasta el acuerdo de empresa. Hable con nosotros.
