La irrupción de la inteligencia artificial en el ámbito de la seguridad privada y corporativa no es un fenómeno menor: constituye, en muchos sentidos, una mutación de fondo en la relación entre técnica, control y responsabilidad. Los sistemas de detección automática, los algoritmos de reconocimiento facial, la predicción de incidentes o la gestión de flujos de riesgo están transformando la práctica cotidiana del director de seguridad. Pero, a la vez, plantean una cuestión inédita: ¿hasta qué punto es responsable un profesional cuando las decisiones operativas o estratégicas dependen de sistemas que aprenden y actúan de manera autónoma?
Durante décadas, el desarrollo tecnológico en el campo de la seguridad se concibió como una extensión instrumental de la voluntad humana. Cámaras, sensores, alarmas o sistemas de control de accesos eran meros mediadores: herramientas sujetas a la dirección, la calibración y la decisión del responsable de seguridad. Con la inteligencia artificial, este paradigma cambia. Los sistemas ya no solo ejecutan órdenes, sino que analizan, interpretan y deciden dentro de ciertos márgenes predefinidos.
Esto altera profundamente la estructura de responsabilidad. En el modelo clásico, una negligencia técnica o una decisión defectuosa podían atribuirse al operador, al fabricante o al director que supervisaba el conjunto. En cambio, en los sistemas de IA se introduce un cuarto elemento: el propio algoritmo, capaz de generar resultados que no siempre son previsibles. Cuando un sistema de reconocimiento facial identifica erróneamente a una persona como intrusa o un software de análisis de comportamiento decide alertar a las fuerzas de seguridad sin supervisión humana, ¿de quién es la culpa?
El ordenamiento jurídico español aún no ofrece una respuesta cerrada a este problema. La legislación de seguridad privada (Ley 5/2014) establece que el Director de Seguridad tiene la obligación de planificar, dirigir e inspeccionar los servicios y medidas de seguridad de la entidad, así como garantizar su adecuación a la normativa vigente. Esta obligación implica una responsabilidad directa sobre la elección, implementación y control de los medios técnicos utilizados.
Sin embargo, el principio de culpabilidad en derecho penal exige dolo o negligencia humana. No se puede imputar responsabilidad penal a una máquina, y tampoco puede castigarse a una persona por un resultado que no era previsible ni controlable. De ahí el dilema: si el error del sistema deriva de un proceso de aprendizaje autónomo, sin intervención ni previsión razonable del director, ¿existe responsabilidad penal o solo una eventual responsabilidad civil o administrativa?
Las normativas introducen el principio de “rendición de cuentas” (accountability). Este principio no crea responsabilidad penal directa, pero sí exige que toda entidad que emplee IA en procesos sensibles pueda demostrar que ha evaluado los riesgos, adoptado medidas de mitigación y mantenido un control humano efectivo. En consecuencia, el director de seguridad podría ser penalmente responsable si, por omisión o imprudencia, permitiera la aplicación de sistemas sin verificar su fiabilidad o sin establecer protocolos de supervisión adecuados.
Podemos distinguir tres grandes grupos de riesgo penal vinculados al uso de IA en seguridad:
- Riesgo por error técnico previsible: si el director de seguridad implanta un sistema con deficiencias conocidas -por ejemplo, un software de reconocimiento facial con sesgos raciales o una tasa de error elevada- podría incurrir en responsabilidad por imprudencia. La clave estaría en si disponía de información suficiente sobre el defecto y, aun así, decidió utilizarlo.
- Riesgo por ausencia de control o supervisión: el principio de supervisión humana es esencial. Los sistemas de IA no deben operar sin revisión o posibilidad de intervención humana. Si el director delega completamente el control operativo en una máquina sin mecanismos de auditoría, podría considerarse que ha incumplido su deber de diligencia.
- Riesgo por uso indebido o vulneración de derechos: la aplicación de tecnologías de vigilancia implica el tratamiento de datos personales. Un uso excesivo, no proporcional o no informado puede vulnerar el derecho a la intimidad, la protección de datos o la presunción de inocencia. En este ámbito, las responsabilidades penales pueden extenderse si se demuestra dolo o negligencia grave en la configuración de los sistemas.
La jurisprudencia todavía es escasa, pero el principio de culpa in eligendo (culpa en la elección del medio o del colaborador) y culpa in vigilando (culpa por falta de control) podrían aplicarse por analogía. El director de seguridad, como responsable jerárquico, debe garantizar que las herramientas utilizadas sean idóneas y que su funcionamiento se someta a controles regulares.
En la práctica, los sistemas de IA en seguridad suelen depender de contratos con empresas tecnológicas. Aquí se añade otra capa de complejidad: la responsabilidad penal de las personas jurídicas, recogida en el artículo 31 bis del Código Penal español. Si una empresa implanta un sistema de IA que comete un error con consecuencias lesivas (por ejemplo, una detención indebida, una lesión o una discriminación), la empresa podría responder penalmente si no hubiera implementado programas de cumplimiento normativo adecuados.
El director de seguridad, como figura clave en esos programas, asume un papel dual: ejecutor de la política de compliance y garante de su eficacia. La IA se convierte así en un nuevo campo del cumplimiento penal corporativo. No se trata solo de prevenir delitos, sino de asegurar que las tecnologías empleadas no generen riesgos legales por su diseño o por su uso indebido.
El impacto de la inteligencia artificial no puede afrontarse solo desde el plano normativo; requiere un salto en la formación profesional. El director de seguridad del siglo XXI debe incorporar competencias tecnológicas y jurídicas que le permitan comprender los fundamentos de los sistemas automatizados, evaluar su fiabilidad y anticipar sus consecuencias éticas y legales.
Esa formación debería abarcar, al menos, cuatro ámbitos:
- Comprensión básica de algoritmos y aprendizaje automático. Sin necesidad de convertirse en programador, el director de seguridad debe entender cómo se entrenan los sistemas, qué sesgos pueden generar y cómo interpretar sus resultados.
- Conocimiento de normativa y estándares éticos de IA. Familiaridad con el RGPD, Ley de IA y normas ISO relacionadas.
- Evaluación de impacto y gestión de riesgos. Saber realizar auditorías de seguridad y privacidad en sistemas de IA, documentar decisiones y mantener trazabilidad de los procesos.
- Ética y derechos fundamentales. Comprender que el valor de la seguridad no puede desvincularse del respeto a la dignidad y a la libertad de las personas.
Solo con esta base podrá ejercer su función como garante de la seguridad jurídica y operativa en entornos tecnológicos complejos.
Europa avanza hacia una regulación de la IA basada en el riesgo. Los sistemas destinados a funciones de seguridad se consideran “de alto riesgo” y, por tanto, estarán sujetos a requisitos estrictos: certificación previa, transparencia, trazabilidad, intervención humana y responsabilidad clara. España, a su vez, deberá adaptar su normativa para incluir disposiciones específicas sobre el uso de sistemas automatizados.
Además, sería recomendable establecer un régimen de responsabilidad compartida entre fabricantes, integradores y usuarios profesionales, de modo que el peso penal no recaiga exclusivamente sobre el director de seguridad. El principio de corresponsabilidad, inspirado en el ámbito de la protección de datos, puede ofrecer un modelo útil: cada actor responde en la medida en que controla o puede controlar el riesgo.
Más allá del derecho, el desafío es cultural. La inteligencia artificial ha introducido un nuevo tipo de poder: invisible, técnico, aparentemente neutral. Frente a él, el director de seguridad debe reivindicar su papel humano: el de quien evalúa, interpreta y decide con criterio jurídico, técnico y ético. La responsabilidad penal es solo el último eslabón; antes de llegar a ella existe una responsabilidad moral y profesional más profunda: la de comprender que la seguridad sin justicia ni transparencia se convierte en vigilancia sin límite.
La inteligencia artificial puede ser aliada o amenaza, según el uso que se le dé. Su incorporación a los sistemas de seguridad no debe conducir a la despersonalización de la responsabilidad, sino a una conciencia más exigente del deber. En un tiempo donde la línea entre el error humano y el fallo algorítmico se difumina, el director de seguridad se convierte, paradójicamente, en garante último de lo que las máquinas no pueden tener: juicio.
