De asistente a ejecutor: consideraciones para la IA agéntica
El 9 de marzo de 2026, la Competition and Markets Authority (CMA) del Reino Unido publicó un documento que merece mucha más atención de la que ha recibido en América Latina. Se titula Agentic AI and consumersy articula un principio que cualquier organización que esté desplegando (o considerando desplegar) agentes de inteligencia artificial debería tener escrito en la pared: las empresas responden por cómo interactúan con sus clientes, independientemente de si esa interacción ocurre a través de personas o de sistemas de IA.
Es una redefinición operativa del perímetro de responsabilidad corporativa en la era de la IA autónoma, que llega justo cuando muchas organizaciones están entendiendo que la IA que usan hoy ya no es la misma que usaban hace dieciocho meses.
Generativa no es lo mismo que agéntica
La confusión empieza con el lenguaje. Llamamos "IA" a cosas muy distintas y eso tiene consecuencias prácticas.
La IA generativa (ChatGPT, Claude, Gemini y compañía) es fundamentalmente reactiva. Recibe un prompt y produce una respuesta. Redacta correos, resume documentos, propone borradores de políticas. Quien decide qué hacer con esa respuesta sigue siendo una persona. El sistema es un asistente, no un ejecutor.
La IA agéntica opera de manera diferente. Siguiendo la definición del propio documento británico, son sistemas capaces de "recibir instrucciones en lenguaje natural para alcanzar un objetivo de forma autónoma, navegando cierta complejidad del entorno, planeando, coordinando y tomando acciones". El agente percibe, decide y actúa. Puede ejecutar transacciones, encadenar varios pasos sin supervisión humana continua, guardar memoria de lo que hizo antes y coordinar acciones entre plataformas.
Trasladado al día a día de una organización: una IA generativa te sugiere las preguntas para una entrevista. Una IA agéntica agenda la entrevista, filtra las candidaturas, envía los correos de rechazo, actualiza el ATS y, en ocasiones, incluso inicia la primera conversación con la persona candidata.
Lo que dijo el Reino Unido (y por qué debería de importarnos en América Latina)
La CMA no inventó obligaciones nuevas: lo que hizo fue aclarar que las obligaciones ya existentes se aplican sin excepción. El argumento es sencillo: si una empresa no puede eximirse de la ley de protección al consumidor cuando un empleado comete un error, tampoco puede eximirse cuando lo comete un agente algorítmico que la propia empresa desplegó.
De ese principio se desprenden varias obligaciones concretas que el documento enumera y que conviene traducir al lenguaje operativo de cualquier área de cumplimiento:
Entrenamiento alineado con el marco legal. Los sistemas deben entrenarse para reflejar los requerimientos de la ley del consumidor (y de competencia). No basta con que funcionen; tienen que funcionar dentro del marco.
Monitoreo continuo con supervisión humana. Se deben vigilar errores, sesgos, quejas y resultados no deseados, con revisión humana regular. No es un requisito de lanzamiento, es de operación permanente.
Responsabilidad clara, incluyendo por desbordes del agente. Si el agente actúa fuera de las instrucciones del cliente, la empresa responde. Esto implica mantener logs de auditoría sólidos y evaluaciones de riesgo documentadas.
Transparencia sobre límites e incentivos. La empresa debe revelar las limitaciones del agente (por ejemplo, a qué datos tiene acceso) y también sus incentivos y afiliaciones comerciales.
Para un área de cumplimiento en una empresa mexicana o latinoamericana que opera con proveedores globales de IA, lo relevante es que este principio (responsabilidad organizacional por la conducta del agente) es transferible y, de hecho, es consistente con la dirección que están tomando la Unión Europea con el AI Act y varios marcos regulatorios emergentes en la región.
El punto ciego: cuando el agente amplifica lo que ya estaba mal
Hay una parte del documento británico que no ha sido suficientemente comentada y que, vista desde una óptica de cumplimiento y gestión de riesgos, es la más importante. La CMA reconoce explícitamente que la IA agéntica "puede amplificar sesgos existentes en los datos o en los procesos de decisión, particularmente cuando los resultados emergen de razonamientos complejos y multi-paso difíciles de observar o explicar".
Además, el documento advierte que las fricciones de mercado "afectan desproporcionadamente a hogares con menos tiempo, confianza o capacidad para interactuar, contribuyendo a peores resultados, especialmente para consumidores vulnerables", y que la hiperpersonalización puede agravar prácticas manipulativas de diseño (los llamados dark patterns).
Traducido al operativo: un agente mal gobernado no comete solo errores aleatorios. Tiende a cometerlos de manera sistemática contra los mismos grupos. En procesos de reclutamiento, evaluación de desempeño, aprobación de crédito o personalización de ofertas, eso se parece mucho a un riesgo legal y reputacional. Y aquí el propio documento lo nombra con claridad: la falta de transparencia hace más difícil que las personas afectadas entiendan o cuestionen resultados injustos, lo que "aumenta el riesgo bajo los marcos de protección al consumidor y de igualdad".
Antídoto contra los riesgos por falta de gobernanza
Una organización que no tenga gobernanza de IA con algo más que buenas intenciones va a tener problemas para cumplir, no por mala fe, sino por incapacidad de documentar que cumple. Estas son las piezas mínimas que este protocolo exige, para tomar nota de lo que viene:
Inventario de sistemas de IA en uso, distinguiendo entre generativos y agénticos. Muchas organizaciones no saben siquiera cuántos agentes ya operan a través de sus plataformas de reclutamiento, atención al cliente o ventas.
Evaluaciones de riesgo documentadas por caso de uso, con énfasis en impactos diferenciados sobre grupos vulnerables. No es un ejercicio de compliance teórico; es la evidencia que respalda la defensa de la organización si algo sale mal.
Protocolos de supervisión humana con umbrales claros sobre qué decisiones no puede tomar un agente sin revisión, qué señales activan el escalamiento y con qué periodicidad se auditan los logs.
Políticas de transparencia para las personas usuarias sobre cuándo interactúan con un agente, qué datos utiliza y qué límites tiene.
Responsabilidades asignadas por persona, no solo por área sobre el desempeño del sistema y la respuesta ante incidentes.
Estos requisitos ya existen, en algún grado, en los marcos de gestión de riesgos, protección de datos y gobierno corporativo. Lo que cambia es la necesidad de integrarlas en una arquitectura específica para IA.
El Reino Unido adoptó un enfoque pro-innovación: no prohibió la IA agéntica, no le puso trabas regulatorias nuevas y no creó una ley ad hoc. Hizo algo muy sensato: recordó que ya son responsables conforme a la normativa vigente. Que si despliegan un agente que trata mal a una persona clienta, discrimina a una persona candidata o explota a una consumidora vulnerable, no van a poder pueden escudarse en "así lo decidió el sistema" porque la IA es también parte de la empresa.
Conviene decirlo en términos sencillos: cuando un agente de IA se equivoca, alguien dentro de la organización tiene que poder explicar qué pasó y mitigar el impacto. Eso requiere, en orden, saber qué agentes están operando, saber qué se les permitió hacer y saber cómo se revisa lo que hicieron. Nada de esto es ajeno a la gestión de cumplimiento que ya hacen muchas áreas; lo único nuevo es reconocer que los agentes autónomos forman parte del nuevo mapa y que su comportamiento, igual que el de cualquier otra pieza del sistema, es responsabilidad de la casa.
