Según un informe publicado el 1 de junio por la empresa de privacidad de datos DataGrail, casi dos tercios de los proveedores de software empresarial que afirman tener capacidades de IA no revelan qué subprocesadores de IA de terceros manejan los datos de los usuarios.
El 2026 Privacy and AI Trends Report analizó a 2.400 proveedores y encontró que el 63,6% no mencionó ningún subprocesador en sus documentos legales.
IA Sombra: los datos fluyen en una cadena invisible
Los subprocesadores son modelos de IA de terceros de los que depende la herramienta de un proveedor. Una empresa puede comprar software del Proveedor A, que luego pasa los datos al modelo de lenguaje grande del Proveedor B, que a su vez puede usar al Proveedor C. El cliente solo firmó un contrato con A, sin conocer el resto.
DataGrail llama a este fenómeno "IA sombra". Cuando algo sale mal, las empresas no saben a quién exigir responsabilidades.
Otro hallazgo: el 32,8% de los sistemas de IA realizan al menos una operación de alto riesgo. Combinado con la opacidad de los subprocesadores, las empresas operan a ciegas.
La regulación se dispara mientras los equipos de cumplimiento se reducen
El informe pinta un panorama contradictorio. En 2025, los estados de EE. UU. aprobaron 145 leyes relacionadas con la IA, con más de 1.000 proyectos de ley pendientes. Las demandas colectivas relacionadas con píxeles de seguimiento superaron los 1.400 casos en un año.
Sin embargo, los equipos de cumplimiento de privacidad se están reduciendo. Algunos equipos sufrieron recortes de hasta el 33%. Más reglas, multas más grandes, menos personas para manejarlas.
El CEO de DataGrail, Daniel Barber, resumió el estado de la privacidad en 2026:
"Si hay una palabra que resume la privacidad de datos en 2026, es 'más': más regulación, más riesgo, más presión."
El 42% de las empresas detuvieron proyectos de IA por privacidad
El informe también encontró que el 42% de las empresas detuvieron proyectos de IA en 2025, citando preocupaciones de privacidad como motivo directo.
Después de dos años de apresurarse para integrar la IA en todo, muchas empresas se dieron cuenta de que no podían rastrear los flujos de datos, identificar subprocesadores ni mantenerse al día con regulaciones cada vez más estrictas. Casi la mitad optó por desconectar.
| Cifras Clave | Valor |
|---|---|
| Proveedores que no divulgan subprocesadores de IA | 63,6% |
| Sistemas de IA que realizan operaciones de alto riesgo | 32,8% |
| Proyectos de IA detenidos por privacidad en 2025 | 42% |
| Nuevas leyes estatales de IA aprobadas en 2025 | 145 |
| Reducción de personal en equipos de privacidad | Hasta el 33% |
El mensaje central del informe no es que deba evitarse la IA, sino que las empresas deben entender a dónde van sus datos antes de implementarla. Ese detalle aparentemente menor se está convirtiendo en un gran pasivo oculto.
Fuentes: CocoLoop; 145 AI laws passed in 2025 and privacy teams aren't catching a break (Help Net Security); DataGrail Privacy and AI Trends Report 2026 (DataGrail)