Qué deben preguntar los GP antes de adoptar IA que maneje datos de inversionistas

Hoy cada software que utiliza un GP viene con IA. El CRM de fundraising tiene un asistente de redacción. La herramienta de contabilidad categoriza las transacciones por su cuenta. El portal de inversionistas ofrece redactar las actualizaciones para los LP. La mayor parte es genuinamente útil. Lo que pasa es que el ritmo de adopción se ha adelantado a las preguntas, y esa brecha se cierra con una breve conversación con cada proveedor.

Esos datos son justamente lo que hace que valga la pena hacerlo con cuidado. Un GP que administra un fondo posee parte de la información personal más sensible que una pequeña empresa llega a manejar: números de seguro social y números de identificación fiscal de los inversionistas, números de cuenta y de ruta bancaria, datos financieros de inversionistas acreditados, copias de licencias de conducir y pasaportes de las verificaciones KYC, y el historial completo de distribuciones de cada persona que confió su capital al GP. Cuando una función de IA procesa cualquiera de estos datos, la información puede circular por más partes de las que sugiere la pantalla de inicio de sesión, y el GP es quien responde por esa cadena.

La gestión de inversiones está lo suficientemente cerca de la banca como para que aquí lo que está en juego sea mayor que en la mayoría de las industrias, y precisamente por eso los GP que adoptan la IA bien hoy se convierten en los operadores de confianza de su grupo. Esta guía explica cómo lograrlo: qué hacer, qué evitar y las preguntas específicas que debe plantear a cualquier proveedor cuyo producto incorpore IA.

Por qué la PII en las operaciones de fondos es un caso especial

La información de identificación personal (PII) es cualquier dato que puede identificar a una persona específica, ya sea por sí solo o combinado con otros datos. En el contexto de un fondo, los elementos obvios son los números de identificación fiscal, los datos bancarios y los documentos emitidos por el gobierno. Los elementos menos obvios también importan: el nombre de un inversionista vinculado al monto de su compromiso, una dirección de correo electrónico asociada a un cronograma de distribuciones o un número de teléfono ligado a un aviso de capital call. Todo ello puede identificar a una persona y revelar algo privado sobre sus finanzas.

Tres factores hacen que esta categoría sea sensible específicamente para los GP.

Primero, los datos están concentrados y son de alto valor. La lista de inversionistas de un solo fondo es un archivo compacto con exactamente la información que más desean los ladrones de identidad y los estafadores. No existe PII de bajo valor en un documento de suscripción.

Segundo, la relación es fiduciaria. Los LP consintieron invertir con un GP en quien confían, no que su número de identificación fiscal fuera procesado por servicios de los que nadie les avisó. La confianza es el activo en ambos lados de la mesa, y protegerla forma parte del deber fiduciario.

Tercero, la superficie regulatoria es real aunque se sienta lejana. Según la estructura del fondo, sus inversionistas y las jurisdicciones, un GP puede estar sujeto a obligaciones bajo leyes de privacidad como la GLBA en Estados Unidos, leyes estatales como la CCPA y el GDPR para cualquier inversionista europeo. Los administradores de fondos suelen mantener exámenes SOC 2 precisamente porque sus clientes necesitan garantías sobre el manejo de datos. Las funciones de IA no quedan exentas de nada de esto. Si una herramienta envía PII de inversionistas a un modelo, esa transferencia está sujeta a las mismas reglas que cualquier otro procesamiento de datos.

Cómo manejan realmente sus datos las herramientas de IA, y por qué importa

Para evaluar una herramienta, ayuda saber qué suele ocurrir cuando una función de IA procesa datos. Existen unos cuantos patrones, y conllevan riesgos muy distintos.

Algunas herramientas envían sus datos a la API del modelo de un proveedor externo para procesarlos, y no los retienen ni los usan para entrenamiento. Esto es común y puede hacerse de forma segura, pero significa que los datos de sus inversionistas salen del entorno del proveedor y viajan a otra empresa. Conviene saber quién es esa empresa y qué dicen sus términos.

Algunas herramientas ejecutan los modelos en su propia infraestructura, de modo que los datos nunca salen de su entorno. Esto reduce la cantidad de partes involucradas, aunque deposita más peso en la postura de seguridad de ese único proveedor.

Con menor frecuencia, algunas herramientas usan los datos de los clientes para entrenar o mejorar sus modelos. Este es el patrón al que hay que prestar más atención, porque puede significar que fragmentos de los datos de sus inversionistas pasen a formar parte de un modelo con el que interactúan otros clientes. Los proveedores empresariales de buena reputación suelen renunciar a esto por contrato, pero las herramientas gratuitas y de consumo masivo a menudo hacen lo contrario, con términos que otorgan amplios derechos para usar el contenido enviado.

El motivo por el que esta distinción importa: una función de IA rara vez es autónoma. Por lo general es una cadena. El software del proveedor llama a un proveedor de modelos, que puede ejecutarse en un host en la nube, que a su vez puede tener sus propios subprocesadores. Cada eslabón es un punto donde el manejo de datos importa. Evaluar la herramienta significa entender toda la cadena, no solo el logotipo de la pantalla de inicio de sesión.

Qué hacer

La buena noticia es que la evaluación es sencilla una vez que sabe qué preguntar. Ninguno de estos pasos requiere experiencia en seguridad; requieren la misma disciplina de operador que los GP ya aplican a la diligencia con prestamistas y a la selección de administradores de fondos.

Haga un inventario de por dónde fluye ya la PII. Antes de evaluar cualquier nueva función de IA, sepa cuáles de sus herramientas actuales ya manejan PII de inversionistas y cómo lo hacen. A la mayoría de los GP les sorprende la respuesta. El CRM, la herramienta de firma electrónica, el sistema de contabilidad, el portal del banco y el software del preparador de impuestos guardan partes de ella. No puede gobernar lo que no ha mapeado.

Lea los términos de procesamiento de datos, en especial la cláusula de IA. Cada vez más proveedores publican un acuerdo de procesamiento de datos (DPA) y, por separado, términos que cubren las funciones de IA. Encuentre la frase que indica si sus datos se usan para entrenar modelos. Si no puede encontrar esa frase, esa ausencia es en sí misma una respuesta, y debería preguntarle al proveedor directamente y por escrito.

Solicite la lista de subprocesadores. Cualquier proveedor B2B serio mantiene una lista de los terceros con los que comparte datos, incluidos los proveedores de modelos y los hosts en la nube. Pídala. La lista le indica quién está realmente en la cadena y le permite verificar si esas partes son a su vez de buena reputación.

Exija la minimización de datos. La PII más segura es la que la IA nunca ve. Prefiera herramientas que le permitan controlar a qué datos puede acceder una función, que oculten o tokenicen los campos sensibles antes de procesarlos y que mantengan las funciones de IA acotadas a la tarea en lugar de darles acceso general a toda su base de datos de inversionistas.

Verifique la línea base de seguridad. Para cualquier cosa cercana a la banca, un informe SOC 2 Type II es casi un requisito mínimo. Pídalo. El cifrado en tránsito y en reposo debería ser estándar. Para inversionistas europeos, confirme que el proveedor pueda cumplir las obligaciones del GDPR, incluida la residencia de datos si corresponde.

Mantenga a una persona en el proceso para todo lo que mueva dinero o llegue a los inversionistas. Un borrador de IA para una actualización a los LP es un buen punto de partida. Una transferencia bancaria iniciada por IA es una categoría de riesgo distinta. Cuanto más se acerque una función al movimiento de dinero o a la comunicación externa, más debería revisarla una persona antes de dar nada por definitivo.

Déjelo por escrito con sus inversionistas y en sus propias políticas. Actualice su política de privacidad y sus comunicaciones a los LP para reflejar cómo usa realmente la IA y qué protecciones tiene implementadas. Los inversionistas preguntan cada vez más. Poder responder con claridad es una ventaja competitiva en el fundraising.

Qué no hacer

No pegue PII de inversionistas en herramientas de IA de consumo masivo. El chatbot gratuito es el lugar más común donde los datos de inversionistas terminan fuera de los sistemas contratados. Soltar un documento de suscripción o una hoja de cálculo de distribuciones en un asistente de consumo masivo para "ordenarlo" puede significar que esos datos se retengan o se usen para entrenamiento bajo términos que nadie leyó. Mantenga la PII de inversionistas dentro de sistemas empresariales evaluados y contratados.

No suponga que un logotipo empresarial implica términos de datos empresariales. Un proveedor conocido puede tener igualmente un nivel gratuito o económico con términos de datos permisivos. Las protecciones suelen residir en el plan de pago o en el contrato negociado. Confirme qué términos aplican al plan en el que realmente está.

No trate el "usamos IA" como una función que celebrar sin preguntar cómo. Un proveedor que promociona la IA con fuerza pero no puede explicar a dónde van los datos le está diciendo algo. Los buenos proveedores encuentran estas preguntas fáciles de responder porque ya hicieron el trabajo.

No deje que se acumule la IA en la sombra. Cuando cada miembro del equipo adopta por su cuenta sus propias herramientas de IA sin revisión, el fondo termina con datos de inversionistas dispersos en servicios que nadie controla. Decida como organización qué herramientas se aprueban para qué datos.

No caiga en el extremo de no hacer nada. El fracaso opuesto también es real. Rechazar toda la IA para evitar la cuestión de los datos deja a un GP más lento y más manual que los pares que adoptaron con cuidado. La meta es la adopción gobernada, donde las funciones útiles se aprovechan y los datos se protegen al mismo tiempo.

Una lista de verificación práctica para software con IA integrada

Cuando esté evaluando una herramienta con funciones de IA, repase estas preguntas con el proveedor. Obtenga las respuestas por escrito siempre que pueda.

1. ¿A qué datos accede la función de IA y podemos limitar su alcance?
2. ¿Nuestros datos se envían a un proveedor de modelos externo y, de ser así, a quién?
3. ¿Nuestros datos se usan alguna vez para entrenar o mejorar algún modelo? (Quiere un no claro, en el contrato.)
4. ¿Se retienen los datos después de procesarlos? ¿Por cuánto tiempo y podemos exigir su eliminación?
5. ¿Quiénes son sus subprocesadores y podemos ver la lista actual?
6. ¿Cuentan con un informe SOC 2 Type II y podemos revisarlo?
7. ¿Los datos se cifran en tránsito y en reposo?
8. ¿Pueden cumplir los requisitos de GDPR y de residencia de datos para nuestros inversionistas europeos?
9. ¿Qué pasa con nuestros datos si nos vamos? ¿Cómo se devuelven o se destruyen?
10. ¿Existe un paso de revisión humana para cualquier acción de IA que mueva dinero o contacte a los inversionistas?

Un proveedor que responde estas preguntas con facilidad es uno en el que probablemente puede confiar con los datos de sus inversionistas. Un proveedor que las esquiva, las demora o trata las preguntas como algo inusual le está mostrando la respuesta de otra forma.

Cómo se traduce esto en la gestión de inversiones y la administración de fondos

La razón por la que estas preguntas pesan más en las operaciones de fondos que, por ejemplo, en una herramienta de marketing es que los datos y el dinero residen en los mismos sistemas. Una función de IA agregada en cualquier punto del stack hereda la exposición de datos de todo ese conjunto.

La mayoría de los stacks tecnológicos de los sponsors son de cuatro a seis proveedores desconectados: el fundraising en un lugar, la banca en otro, las distribuciones en una hoja de cálculo, los registros de inversionistas en un CRM. Cada conexión entre esos sistemas es un traspaso donde se mueve la PII, y cada traspaso es algo que gobernar. Los GP con los que trabajamos en Covercy One gestionan fundraising, registros de inversionistas, banca y distribuciones en una sola plataforma donde la banca y los pagos son nativos en lugar de añadidos. Menos sistemas que guarden la PII de los inversionistas significa menos proveedores que evaluar, menos listas de subprocesadores que perseguir y menos cadenas de partes por las que responder. Esto no elimina la necesidad de hacer las preguntas de este artículo: reduce la cantidad de proveedores a los que tiene que hacérselas.

El mismo principio moldea la forma en que integramos la IA en la plataforma. Neo, el Co-GP de IA dentro de Covercy One, se ejecuta en el mismo entorno gobernado que ya contiene los datos: bajo los mismos controles SOC 2, el mismo cifrado y los mismos permisos. Neo solo puede ver lo que ve el usuario que lo invoca. La cadena de partes no se alarga cuando activa la IA. Esa es la vara que creemos que debería cumplir toda función de IA en las operaciones de fondos.

Vale la pena adoptar la IA en las operaciones de fondos, y las firmas que la adopten con cuidado se moverán más rápido que las que la ignoran o la usan de forma imprudente. El factor decisivo es si el GP trata los datos de los inversionistas como la responsabilidad fiduciaria que son y le hace al proveedor las preguntas que esa responsabilidad exige. Las herramientas que merecen los datos de sus inversionistas tendrán buenas respuestas listas.

Vea cómo Neo maneja la IA dentro de una plataforma que ya contiene los registros de sus inversionistas, la banca y las distribuciones bajo un mismo conjunto de protecciones →