La República Dominicana actualizó una ley de 140 años, lo que ha llevado a muchas empresas a cuestionar sus políticas tecnológicas, algunas de las cuales no han sido revisadas en más de una década. A partir de agosto de 2026, entrará en vigencia el nuevo Código Penal dominicano, que sustituye al de 1884, lo que resalta la necesidad de adaptación a los cambios legales y tecnológicos.

La realidad tecnológica de una empresa en 2026 es muy diferente a la de hace diez o quince años. Sin embargo, muchas políticas internas, procesos de onboarding y procedimientos operativos no reflejan esta evolución. Las políticas corporativas, una vez aprobadas, a menudo quedan olvidadas en archivos compartidos o manuales de recursos humanos, mientras la empresa evoluciona y adopta nuevas tecnologías.

La inteligencia artificial es un claro ejemplo de este desajuste. Actualmente, es común que los empleados utilicen herramientas como ChatGPT o Copilot para diversas tareas, pero muchas organizaciones no han definido qué información es segura para compartir con estas plataformas. Esto ha llevado a situaciones donde empleados copian información sensible sin considerar las implicaciones de seguridad.

El problema radica en que la tecnología ha avanzado más rápido que las políticas existentes. El nuevo Código Penal no solo representa una reforma legal, sino que también sirve como un recordatorio de que muchas empresas aún operan con criterios y procesos obsoletos, diseñados para una realidad tecnológica que ya no existe.

Desde la perspectiva de la gobernanza de TI, es fundamental entender que tener acceso a información no implica tener autorización para revisarla. Los departamentos de tecnología manejan niveles de acceso que les permiten realizar funciones específicas, pero esto no debe interpretarse como un permiso para acceder a información por curiosidad o conservar datos innecesarios.

Las organizaciones deben establecer procedimientos claros sobre cómo actuar cuando surgen situaciones donde se accede a información sensible. Esto incluye definir quién puede acceder a qué información, qué debe registrarse y cuándo se debe escalar un incidente. Sin estas reglas, las decisiones pueden depender del criterio individual, lo que rara vez resulta en un desenlace positivo.

La falta de claridad en las políticas se manifiesta desde el primer día de trabajo, cuando los nuevos empleados reciben herramientas tecnológicas sin una explicación adecuada sobre las reglas de uso. Es crucial que se les informe sobre la propiedad de la información, las actividades que se registran por motivos de seguridad y las limitaciones en el uso de herramientas de inteligencia artificial.

El país ha reconocido la necesidad de revisar leyes que ya no se ajustan a la realidad actual. Las empresas, por su parte, deben preguntarse si sus políticas y procesos tecnológicos también requieren una actualización, ya que no solo las leyes han envejecido.