Durante los �ltimos a�os, las empresas han incorporado herramientas de inteligencia artificial con una l�gica sencilla: el usuario preguntaba y la m�quina respond�a. Esa etapa empieza a quedarse atr�s. La nueva frontera es la inteligencia artificial ag�ntica: sistemas capaces de recibir un objetivo, planificar pasos, consultar fuentes, interactuar con aplicaciones y ejecutar acciones.La diferencia no es menor. No hablamos solo de un asistente que redacta un correo o resume un contrato, sino de un agente que puede acceder al buz�n corporativo, revisar el CRM, consultar documentaci�n interna, preparar una respuesta a un cliente, abrir una incidencia o actualizar una base de datos. La inteligencia artificial deja de ser una herramienta pasiva y se convierte en un actor activo dentro de la empresa.La reciente publicaci�n por la Agencia Espa�ola de Protecci�n de Datos de unas orientaciones sobre inteligencia artificial ag�ntica sit�a el debate en el lugar adecuado: no basta con preguntarse qu� puede hacer la tecnolog�a, sino bajo qu� l�mites puede hacerlo. Y, sobre todo, qui�n responde cuando lo hace mal.Hasta ahora, muchas organizaciones han abordado la inteligencia artificial como una cuesti�n de autorizaci�n de herramientas. Se aprobaba o prohib�a el uso, se incorporaban cl�usulas contractuales, se impart�a formaci�n interna y se realizaba una evaluaci�n de Impacto en materia de protecci�n de datos personales. Ese enfoque ya no es suficiente (si es que lo era antes). Cuando un sistema act�a de forma aut�noma sobre datos personales, accede a informaci�n corporativa y desencadena efectos jur�dicos, comerciales o reputacionales, el cumplimiento no puede limitarse a decir: "esta herramienta est� permitida".Lo relevante ahora es a qu� datos puede consultar el agente, para qu� finalidad, durante cu�nto tiempo, con qu� autonom�a, bajo qu� supervisi�n, con qu� trazabilidad y con qu� posibilidad de detenci�n inmediata. La empresa debe dejar de pensar solo en autorizar herramientas y empezar a dise�ar un sistema de gobierno granular.El riesgo m�s evidente aparece en los accesos a los sistemas de la empresa. Un agente conectado al correo, al gestor documental o al CRM puede encontrarse con datos de clientes, empleados, proveedores, candidatos, informaci�n financiera, datos sensibles o secretos empresariales. Si accede a m�s informaci�n de la necesaria, el principio de minimizaci�n queda comprometido. Y si conserva memoria, genera perfiles o reutiliza informaci�n para fines distintos, el problema deja de ser t�cnico para convertirse en responsabilidad jur�dica.Que una decisi�n haya sido sugerida o ejecutada por un agente de IA no desplaza la responsabilidad a la m�quina, sin perjuicio de lo pactado con el proveedor. En protecci�n de datos, quien determina los fines y medios del tratamiento seguir� siendo el responsable; y quien trate datos por cuenta de este, el encargado.Precisamente por ello, la trazabilidad se convierte en una pieza central. Si un agente consulta un expediente, env�a una comunicaci�n, modifica un registro o extrae informaci�n de una fuente interna, la organizaci�n debe poder reconstruir qu� ha ocurrido. Sin registro no hay control, y sin control no hay responsabilidad efectiva. La trazabilidad debe identificar la instrucci�n inicial, las fuentes consultadas, los datos tratados, las acciones ejecutadas y la intervenci�n humana.El segundo gran elemento es la supervisi�n. La intervenci�n humana no puede ser un tr�mite est�tico. No basta con validar una decisi�n si quien supervisa no entiende el sistema, carece de tiempo para revisar el resultado o acepta por inercia lo que propone la herramienta. La supervisi�n debe ser efectiva, cualificada y proporcionada al riesgo. En decisiones con efectos relevantes har�n falta controles previos, reglas de escalado y, en determinados casos, doble validaci�n.El tercer elemento es la revocaci�n. Una empresa que despliega agentes de IA debe poder retirar permisos con rapidez. Si un agente se comporta de forma an�mala, accede a informaci�n indebida o ejecuta acciones no previstas, debe existir un cortocircuito operativo: suspensi�n inmediata, bloqueo de credenciales, aislamiento del entorno y revisi�n de los registros.Tambi�n ser� imprescindible revisar los contratos con proveedores. La contrataci�n de soluciones ag�nticas no puede descansar en f�rmulas gen�ricas sobre confidencialidad o seguridad. Deber�n concretarse roles en protecci�n de datos, ubicaci�n y transferencias internacionales, uso para entrenamiento, conservaci�n de registros, auditor�as, incidentes, desconexi�n del servicio y responsabilidades por errores.La cuesti�n, en definitiva, no es si la empresa puede utilizar IA ag�ntica, sino si est� preparada para gobernarla. El salto de la IA que responde a la IA que act�a obliga a redise�ar las pol�ticas internas de protecci�n de datos, seguridad de la informaci�n, compliance, contrataci�n tecnol�gica y gesti�n de riesgos.La empresa que entienda este cambio llegar� antes. La que se limite a "autorizar herramientas" llegar� tarde. Cumplir no ser� tener una pol�tica de uso aceptable almacenada en el CRM, ser� definir l�mites, asignar responsabilidades, registrar actuaciones, supervisar decisiones y poder detener al agente cuando sea necesario.Porque cuando el algoritmo act�a solo, la responsabilidad no desaparece. Simplemente vuelve, con m�s fuerza, a quien decidi� ponerlo en marcha.---* Gerard Espuga, abogado y socio de Beta Legal.