El Compliance en la ética de la predicción, o “Predictive Compliance”, se sitúa en la intersección entre la gestión avanzada de riesgos, la tecnología de datos y la protección de derechos fundamentales.
La idea central es muy atractiva desde la perspectiva empresarial, en lo referente al hecho consistente en si una organización puede anticipar con suficiente probabilidad dónde, cuándo y en qué condiciones podrían producirse incumplimientos, es evidente que podrá prevenirlos antes de que el daño se materialice, orientando mejor sus controles, focalizando con más precisión sus auditorías. y destinando de una manera más eficiente sus recursos allí donde el riesgo es mayor.
Pero ese mismo potencial preventivo plantea, de manera simultánea, dilemas éticos muy profundos, que hacen referencia al peligro de etiquetar a las personas, a los equipos o a los territorios como “de alto riesgo”, la tentación de convertir la predicción en una forma de vigilancia permanente, y el riesgo de erosionar principios básicos, como pueden ser la presunción de inocencia, o la igualdad de trato.
El punto de partida del “Predictive Compliance” son los modelos analíticos con la función predictiva consistente en identificar futuros incumplimientos.
Estos modelos se alimentan de grandes volúmenes de datos internos y, en ocasiones, de otros externos.
Incorporan datos históricos de sanciones internas, de resultados de auditorías, de incidencias disciplinarias, de patrones de acceso a sistemas, de anomalías en transacciones económicas, de quejas y de reclamaciones de clientes, del uso del canal de denuncias, de indicadores de clima laboral, de métricas de rendimiento, de rotaciones de personal, y, en algunos casos, de datos contextuales sobre mercados, terceros, o incluso, sobre determinadas jurisdicciones.
A partir de estos datos, se construyen modelos estadísticos y de aprendizaje automático, que permiten estimar probabilidades de ocurrencia de conductas de riesgo en determinados procesos, productos, canales, unidades de negocio o colectivos.
El resultado práctico puede adoptar la forma de mapas de calor, o “mapas vivos de riesgo”, que se actualizan dinámicamente, y que permiten priorizar controles, diseñar planes de formación específicos, o, planificar auditorías en aquellos puntos donde la probabilidad de desviación y la generación de riesgos es consiguientemente mayor o tiene una mayor probabilidad.
Se pasa así de un modelo de cumplimiento fundamentalmente reactivo, a uno preventivo y anticipatorio.
Ética de la predicción
Sin embargo, el hecho de que estos modelos sean técnicamente posibles y útiles, no los hace automáticamente legítimos.
La ética de la predicción obliga a formular una batería de preguntas incómodas, que hacen referencia, por ejemplo, a qué datos se utilizan, y con qué base jurídica.
O, hasta qué punto la persona cuyos datos se procesan, conoce de manera efectiva y real ese uso.
O, si los datos son adecuados, pertinentes y no excesivos.
O, qué garantías de minimización, seguridad y conservación se aplican.
O, cómo se asegura la proporcionalidad entre los fines perseguidos y la intensidad del tratamiento.
Y, sobre todo, cómo se evita que la estadística se convierta en un sustituto del juicio humano, y del análisis contextual.
Un modelo puede ser muy preciso en términos cuantitativos y, sin embargo, profundamente injusto en términos cualitativos, si descansa sobre datos sesgados, decisiones históricas discriminatorias, o, interpretaciones simplistas de la realidad.
Uno de los puntos más delicados, es el que se refiere al paso de la predicción de procesos a la predicción de personas.
La predicción se hace operativa, en la práctica, mediante la elaboración de perfiles o profiling.
La organización no sólo identifica procesos, territorios o productos de riesgo, sino que puede verse tentada a elaborar perfiles de riesgo individuales, así: qué empleados, agentes, intermediarios o directivos presentan una mayor probabilidad de incurrir en supuestos de fraude, de corrupción, de fuga de información, de acoso en todas sus manifestaciones, de vulneraciones de protección de datos, o de otra índole.
Para construir esos perfiles se recurre a variables como pueden ser el historial disciplinario, la recurrencia en determinadas incidencias, los patrones de uso de aplicaciones, el acceso a información sensible, el entorno jerárquico, la exposición a presiones comerciales, las metas de rendimiento asignadas, o, la participación en operaciones catalogadas como de alto riesgo.
Listas negras internas
Desde una perspectiva ética y jurídica, este enfoque abre cuestiones muy problemáticas.
Inferir la “peligrosidad futura” de una persona a partir de su comportamiento pasado y de su contexto, puede derivar en etiquetados que funcionen, en la práctica, como listas negras internas.
Quien queda marcado como “empleado de alto riesgo” puede ver condicionadas sus oportunidades profesionales, su acceso a proyectos estratégicos, o su nivel de confianza percibida, incluso, aunque nunca haya cometido un incumplimiento grave.
Estos perfiles pueden consolidarse con el tiempo, volverse opacos, e inmunes a la revisión, reproduciendo y amplificando injusticias.
Además, cuando se utilizan datos históricos para entrenar modelos, existe un riesgo evidente de que sean los sesgos del pasado los que determinen las predicciones del futuro.
Los riesgos éticos del «profiling» se agravan cuando el modelo incorpora, de manera directa o indirecta, variables sensibles o «proxies» de variables sensibles.
Aunque normativamente no se utilicen datos relativos a la raza, la salud, la ideología o las afiliaciones, muchos patrones de comportamiento se correlacionan con estos factores, o con situaciones estructurales de desventaja.
Si el histórico de la organización refleja que determinados colectivos han sido sancionados con mayor frecuencia, no necesariamente porque incumplieran más, sino porque estaban más expuestos, eran más vigilados, o tenían menos capacidad de defensa, el modelo incorporará ese sesgo como si fuera un dato objetivo.
De esta forma, puede producirse un círculo vicioso, en donde el sistema “demuestra” que ciertos grupos son más proclive a la incursión en determinados riesgos, y consecuentemente con ello, se controla, precisamente, más a esos grupos, se detectan proporcionalmente más incidentes con relación a ellos, porque la vigilancia es mayor, y el modelo refuerza la conclusión inicial.
Fricción entre predicción y presunción de inocencia
La predicción se convierte, entonces, en un dispositivo que legitima y perpetúa desigualdades preexistentes.
La fricción entre predicción y presunción de inocencia es, en este contexto, uno de los conflictos conceptuales centrales.
La presunción de inocencia, entendida no sólo como principio procesal penal, sino como criterio general de trato digno, implica que nadie debe ser tratado como culpable, ni sufrir consecuencias negativas relevantes sin hechos probados.
Los sistemas predictivos, por definición, no hablan de hechos consumados sino de probabilidades.
No afirman “esta persona ha incumplido”, sino “esta persona es más probable que incumpla en el futuro”.
El problema reside en qué decisiones se toman sobre la base de esa probabilidad.
Si ser catalogado como “alto riesgo” supone únicamente recibir más formación, más acompañamiento, más supervisión constructiva, o un refuerzo de recursos para prevenir desbordamientos, la tensión con la presunción de inocencia es gestionable, siempre que se preserve la proporcionalidad y la transparencia.
Pero si esa etiqueta se traduce en restricciones de acceso injustificadas, exclusión sistemática de oportunidades, vigilancia invasiva, o incluso decisiones de desvinculación, la organización está aplicando una suerte de castigo preventivo incompatible con el principio de inocencia, y con la prohibición de aplicar medidas que sean arbitrarias.
Esta tensión se agrava cuando la predicción y la decisión se encapsulan en mecanismos opacos.
En muchos modelos de “Predictive Compliance”, la lógica interna del algoritmo es compleja, es difícil de explicar, y aún más difícil de cuestionar por parte de las personas afectadas.
Si, además, se presenta el resultado como algo “puramente técnico”, se produce una transferencia peligrosa de responsabilidad, ya que las decisiones se amparan en la autoridad del modelo, y se diluye la rendición de cuentas humana.
Desde una perspectiva de cumplimiento ético, esto es inaceptable.
Criterios generales de evaluación
Las personas deben poder conocer, al menos, los criterios generales por los que se las evalúa, disponer de cauces para aportar información contextual que el modelo no recogía, y tener la posibilidad de solicitar la revisión humana de decisiones relevantes basadas en perfiles de riesgo.
La predicción no puede erigirse en verdad absoluta, ni tampoco en una excusa para eludir responsabilidades.
La mitigación de sesgos predictivos se convierte, por tanto, en una obligación central del “Predictive Compliance”.
Todo modelo hereda la huella de los datos, y de las decisiones históricas que lo alimentan.
Si la organización ha tenido durante años una práctica sesgada en materia disciplinaria, de selección o de supervisión, ese sesgo quedará incrustado en los conjuntos de entrenamiento.
El sesgo puede tener múltiples dimensiones, ya que puede hacer referencia al género, a la edad, al origen, al nivel jerárquico, al tipo de contrato, al área de negocio, a la localización geográfica, o, incluso, al estilo de relación con los superiores.
Mitigar estos sesgos exige un sistema de gobernanza robusto, en el que es necesaria la revisión independiente de los modelos, la intervención de equipos multidisciplinares, que incorporen no sólo perfiles técnicos, sino también de Compliance, jurídico, ética, recursos humanos y protección de datos, auditorías algorítmicas periódicas, pruebas de equidad que comparen el comportamiento del modelo entre distintos colectivos, y la existencia de mecanismos de corrección cuando se detecten discriminaciones sistemáticas.
Esta gobernanza no puede limitarse al diseño inicial del modelo.
Sistemas predictivos dinámicos
Los sistemas predictivos son dinámicos, ya que los mismos se alimentan de nuevos datos, y de sus resultados pueden desviarse con el tiempo.
Esto obliga a mantener un ciclo de monitorización, de evaluación y de ajuste permanente.
Además, la mitigación de sesgos exige tomar decisiones de renuncia, ya que en la misma hay variables que, aunque añadan precisión estadística, incrementan de forma desproporcionada el riesgo ético, y consecuentemente con ello, deben ser descartadas.
Hay ámbitos de aplicación, donde el impacto en derechos es tan intenso, que no parece razonable introducir predicción individualizada.
Hay usos, que deben estar expresamente prohibidos, como la utilización exclusiva de una puntuación algorítmica para adoptar decisiones disciplinarias, o de despido sin contraste humano ni prueba suficiente.
Desde una visión madura, el “Predictive Compliance” debería orientarse menos a clasificar personas, y más a mejorar sistemas.
El foco ético no debería fijarse en construir listas de “sujetos problemáticos”, sino en identificar contextos problemáticos, materializados en estructuras de incentivos que empujan a la plantilla hacia el exceso, a diseños de procesos que hacen fácil el atajo y difícil el cumplimiento, a entornos de liderazgo donde se toleran prácticas de riesgo, a vacíos formativos en temas clave, a culturas departamentales donde se normalizan conductas grises.
Un modelo predictivo que detecta un aumento de señales de riesgo en un área debe servir, en primer lugar, para revisar cómo está diseñada la relación entre los objetivos, los recursos, la supervisión y la cultura, más que para estigmatizar a las personas que trabajan en esa área.
La intervención sobre el contexto protege mejor la dignidad individual, y, al mismo tiempo, contribuye a cambios estructurales más sostenibles.
El factor humano
El factor humano debe seguir ocupando un lugar privilegiado en la toma de decisiones.
Los modelos de predicción pueden ofrecer señales valiosas, pero no deben sustituir el juicio profesional.
El enfoque responsable es el de “humano en el circuito”, en el que las alertas generadas por los modelos se interpretan, contextualizan y, en su caso, validan o descartan por profesionales de Compliance, auditoría, riesgos, o la gestión de personas.
Estos profesionales pueden incorporar información, que el modelo no ve, como pueden ser los cambios recientes en la estructura de un equipo, los conflictos latentes, las mejoras de comportamiento, las circunstancias personales sobrevenidas, las actuaciones ejemplares no registradas, o los matices culturales relevantes.
El objetivo no es blindar al modelo, sino someterlo a escrutinio crítico, y utilizarlo como herramienta de apoyo, no como oráculo infalible.
En paralelo, la transparencia interna sobre la existencia y el uso de modelos predictivos, implica y representa un elemento esencial de legitimidad.
Cuando una organización introduce mecanismos de predicción sin comunicarlo, se arriesga a alimentar una sensación de vigilancia oculta, que erosiona la confianza.
Cuando, por el contrario, lo comunica de forma alarmista o fatalista, puede generar miedo, resignación o sensación de impotencia, frente a “lo que dice el algoritmo”.
El equilibrio pasa por explicar, que la predicción forma parte de un enfoque avanzado de gestión de riesgos, que su finalidad es preventiva, que respeta derechos fundamentales, que se somete a controles internos y externos, y, que nunca se utiliza de manera automática para tomar decisiones sancionadoras, o gravemente lesivas para las personas.
Esta transparencia debe acompañarse de información clara sobre los derechos de los empleados, frente a los tratamientos de datos asociados a estos sistemas, incluyendo el derecho a la información, a la rectificación, a la limitación, a la oposición en ciertos casos, y a la revisión de decisiones automatizadas.
La implantación del “Predictive Compliance” exige también una reflexión previa sobre el alcance y los límites de estos sistemas.
Usos de los modelos predictivos
No es lo mismo utilizar modelos predictivos para detectar anomalías transaccionales en grandes volúmenes de datos -por ejemplo, movimientos económicos sospechosos en el marco de la prevención de blanqueo-, que emplearlos para asignar una “puntuación de riesgo ético” a cada persona de la plantilla.
El primer uso se centra en procesos y transacciones y, si está bien diseñado, puede operar con un nivel de impacto directo sobre derechos individuales mucho menor, especialmente, si las decisiones relevantes siguen dependiendo de análisis humanos posteriores.
El segundo uso, en cambio, toca de lleno la esfera personal y profesional de individuos concretos, por lo que su legitimidad requiere una justificación especialmente sólida, y un entramado de garantías reforzado.
En último término, el “Predictive Compliance” obliga a plantearse qué modelo de organización se desea construir.
Una organización que se entrega acríticamente a la lógica de la predicción, corre el riesgo de convertirse en un espacio de sospecha generalizada, donde cada persona siente, que está permanentemente evaluada por sistemas, que no comprende.
Ello puede minar la confianza, deteriorar el clima ético, y favorecer estrategias defensivas, o de simulación de cumplimiento.
Por el contrario, una organización, que renuncia por completo a la predicción puede quedar ciega ante patrones de riesgo que se repiten, y que podrían haberse detectado a tiempo, condenándose a reaccionar siempre tarde.
El equilibrio razonable consiste en utilizar la predicción como instrumento de inteligencia preventiva al servicio de un cumplimiento más eficaz y más humano, no como mecanismo de control total, ni como una coartada para eludir el esfuerzo de trabajar la cultura ética.
Por todo ello, la ética de la predicción aplicada al Compliance no se limita a responder a la pregunta, de si la organización puede predecir, sino, sobre todo, a las preguntas de para qué quiere predecir, cómo diseña esos modelos, bajo qué límites los utiliza, y qué consecuencias permite que tengan para las personas concretas.
Por todo ello, la figura de un “Predictive Compliance” verdaderamente responsable combina capacidades técnicas avanzadas, con un marco de principios claro, donde ha de prevalecer el respeto a la presunción de inocencia, a la prohibición de discriminación, a la existencia de una transparencia razonable, a una supervisión humana significativa, a una mitigación organizada de sesgos, y, a la primacía de la dignidad humana sobre cualquier algoritmo.
Solo así, la predicción puede convertirse en una aliada de la integridad y de la buena gestión del riesgo, y no en una amenaza silenciosa contra los derechos fundamentales de quienes forman parte de la organización.
