La Zona Gris del Analista de Datos: Cuando la Autoridad te Pide Cruzar la Línea

Sobre la responsabilidad ética del desarrollador en el manejo de información sensible

Antes de que hablemos de IA, ChatGPT, o LLMs, necesitamos tener una conversación incómoda sobre algo más fundamental: el manejo ético de datos en equipos de análisis. Porque la verdad es que muchos de los problemas que atribuimos a la “era de la IA” existen desde mucho antes, enraizados en prácticas cotidianas que hemos normalizado peligrosamente.

Esta conversación es para desarrolladores, analistas de datos, científicos de datos, ingenieros de BI. Para quienes tienen acceso privilegiado a información sensible. Y para quienes, en algún momento de su carrera, han recibido una solicitud que los hizo pausar incómodamente antes de ejecutar una query.

El escenario cotidiano que nadie discute

Trabajas en un equipo de Advanced Analytics, Data Science, o Business Intelligence. Tienes acceso a bases de datos con información de usuarios: nombres, correos, comportamientos de navegación, historial de compras, datos demográficos, quizá incluso información financiera o médica.

Un día, tu Product Owner, Project Manager, o algún stakeholder con autoridad organizacional te solicita: “Necesito que cruces estos datos de la plataforma A con los datos de la plataforma B para generar un reporte de segmentación. Es para una campaña de marketing urgente.”

Tú sabes—o sospechas—que ese cruce no está contemplado en las políticas de privacidad que los usuarios aceptaron. Que esa información probablemente fue recolectada bajo diferentes contextos de consentimiento. Que ese “enriquecimiento de datos” cruza una línea ética, si no legal.

¿Qué haces?

Si trabajas en una organización con gobierno de datos maduro, políticas claras de compliance, y equipos legales accesibles, la respuesta es obvia: escalas, consultas, documentas.

Pero la mayoría no trabajamos en ese tipo de organizaciones.

La realidad: Gobierno de datos como aspiración, no como práctica

La verdad incómoda es que muchas empresas—incluso grandes corporaciones—operan en zonas grises regulatorias. El gobierno de datos es una “iniciativa en desarrollo”. Compliance existe, pero está desconectado de los equipos técnicos. Las políticas de privacidad se redactan con lenguaje legal ambiguo que permite interpretaciones convenientes.

Y en ese vacío normativo, los equipos técnicos toman decisiones éticas todos los días sin supervisión, sin guía, y frecuentemente sin ser conscientes de las implicaciones de esas decisiones.

Trabajamos con:

  • Bases de datos sin ofuscamiento adecuado
  • Información personal identificable (PII) accesible sin controles robustos
  • Datos sensibles manejados en archivos locales (ese Excel en tu laptop)
  • Extractos compartidos con contratistas externos sin auditoría
  • Ambientes de desarrollo con datos de producción reales
  • Credenciales compartidas entre equipos

¿Esto está mal? Objetivamente, sí. ¿Es ilegal? Depende. ¿Es común? Absolutamente.

La falsa justificación de la desconexión

“Los equipos técnicos están muy desconectados de los equipos legales y regulatorios.”

Esa frase la he escuchado—y usado—innumerables veces. Como si la desconexión organizacional justificara la falta de diligencia ética.

No la justifica.

La estructura organizacional disfuncional no es excusa para manejar datos sin protocolos de seguridad. No justifica compartir información sensible porque “así se hace aquí”. No absuelve al analista o desarrollador de responsabilidad cuando esos datos terminan filtrados, vendidos, o mal utilizados.

Porque aquí está la verdad que nadie quiere admitir: cuando esos datos se filtran, cuando aparecen en el dark web, cuando hay una brecha de seguridad, el “no sabía” no es defensa suficiente.

Los titulares que empiezan en nuestras laptops

Vivimos constantemente con noticias de filtraciones masivas:

  • “Se filtra base de datos de X empresa con contraseñas y números de tarjetas”
  • “Roban información médica de millones de pacientes”
  • “Base de datos de afiliados políticos termina a la venta en dark web”

Y nuestra reacción habitual es pensar en hackers sofisticados, ataques de día cero, vulnerabilidades técnicas complejas.

Pero muchos de estos escenarios no requieren hackeos expertos.

Empiezan con:

  • Un analista que exporta una base de datos completa “para trabajar más rápido localmente”
  • Un desarrollador que comparte credenciales de producción con un contratista
  • Un data scientist que sube datos sensibles a un repositorio sin cifrado
  • Un equipo que cruza información sin verificar consentimiento de usuarios
  • Un Excel con PII que se adjunta a un email sin controles

Vulnerabilidades internas. No malicia necesariamente, pero sí negligencia. Normalización de prácticas riesgosas. Desconocimiento convertido en proceso estándar.

Y a veces—seamos honestos—dolo. Conciencia plena de que lo que se está haciendo viola políticas, pero se hace igual porque “el jefe lo pidió”, “todos lo hacen”, o “es más rápido así”.

El factor humano antes del factor algorítmico

Noten que hasta ahora no he mencionado IA ni una sola vez en contexto de uso.

Porque este problema existe antes de que alguien decida subir esos datos a ChatGPT, Gemini, o cualquier LLM. Como discutí en artículos anteriores, la IA amplifica riesgos existentes—no los crea de la nada.

Si tu organización ya maneja datos sensibles irresponsablemente, la IA solo va a magnificar ese problema.

Pero el problema raíz no es tecnológico. Es humano. Es cultural. Es de educación, conciencia, y—sobre todo—de responsabilidad individual y colectiva.

Necesitamos adquirir mayor conciencia sobre las implicaciones y el alcance de nuestras acciones dentro de las empresas donde laboramos. Para proteger la información de los usuarios y clientes que, consciente o inconscientemente, nos la confiaron.

La pregunta incómoda: ¿Qué haces cuando tu jefe te pide cruzar la línea?

Volvamos al escenario inicial. Tu superior te pide algo que sabes—o sospechas—que no debería hacerse.

Opciones:

A) Lo haces sin cuestionar

  • Rápido, sin fricción organizacional
  • Evitas conflicto con autoridad
  • Pero comprometes integridad de datos y usuarios
  • Y asumes responsabilidad personal si algo sale mal

B) Te niegas rotundamente

  • Éticamente correcto
  • Pero puede costarte políticamente, o incluso laboralmente
  • Requiere privilegio y estabilidad que no todos tienen

C) Cuestionas y escalas

  • Pides clarificación sobre políticas de privacidad
  • Consultas con equipos de compliance o legal
  • Documentas la solicitud y tu preocupación
  • Propones alternativas que cumplan el objetivo sin violar normas

D) Lo haces, pero con controles

  • Implementas anonimización o agregación
  • Limitas acceso y vida útil de los datos
  • Documentas propósito y alcance
  • Estableces controles de auditoría

La respuesta “correcta” depende de contexto, cultura organizacional, legislación local, y tu propia situación laboral.

Pero lo que NO es aceptable es hacerlo sin ninguna reflexión ética.

Responsabilidad del desarrollador vs. responsabilidad de la organización

Aquí está el dilema real: ¿Dónde termina la responsabilidad individual y empieza la responsabilidad organizacional?

La respuesta honesta es: ambas coexisten y se refuerzan.

Responsabilidad de la organización:

  • Establecer políticas claras de manejo de datos
  • Proveer capacitación sobre privacidad y compliance
  • Crear canales seguros para reportar preocupaciones éticas
  • Implementar controles técnicos (ofuscamiento, encriptación, auditorías)
  • Proteger a empleados que cuestionan prácticas riesgosas

Responsabilidad individual del desarrollador/analista:

  • Educarse sobre legislación aplicable (GDPR, CCPA, leyes locales)
  • Entender las políticas de privacidad de tu organización
  • Cuestionar solicitudes que parezcan problemáticas
  • Implementar mejores prácticas incluso cuando no sean requeridas
  • Documentar decisiones y justificaciones
  • Negarse a participar en prácticas claramente ilegales

No podemos esperar a que la organización sea perfecta para empezar a actuar éticamente. Pero tampoco podemos cargar toda la responsabilidad sobre individuos en posiciones vulnerables.

¿Qué acciones concretas puedes tomar?

Como desarrollador o analista individual:

  1. Edúcate sobre leyes de privacidad relevantes para tu jurisdicción
  2. Lee las políticas de privacidad de tu propia organización (sí, en serio)
  3. Pregunta antes de asumir que algo está permitido
  4. Documenta solicitudes que te parezcan problemáticas
  5. Implementa controles básicos: no trabajes con PII cuando datos agregados sirven, usa cifrado, limita acceso
  6. Cuestiona la necesidad real de acceder a datos sensibles
  7. Propón alternativas menos invasivas para lograr objetivos

Como líder técnico:

  1. Establece estándares de equipo sobre manejo de datos sensibles
  2. Capacita a tu equipo sobre privacidad y seguridad
  3. Crea procesos de revisión para solicitudes de datos
  4. Protege a tu equipo de presiones para violar políticas
  5. Comunica claramente a stakeholders qué es y no es aceptable
  6. Implementa controles técnicos: ambientes separados, ofuscamiento, auditorías
  7. Fomenta cultura donde cuestionar decisiones éticas es valorado, no penalizado

Como organización:

  1. Invierte en gobierno de datos (no solo en tecnología de datos)
  2. Conecta equipos técnicos con equipos legales/compliance
  3. Clarifica políticas y haz que sean accesibles
  4. Audita prácticas reales, no solo políticas en papel
  5. Reconoce que la privacidad es ventaja competitiva, no obstáculo
  6. Protege a empleados que reportan preocupaciones éticas

La zona gris entre países

Mencioné que este es un problema tanto en países desarrollados como en países en desarrollo, pero por razones diferentes.

En países con legislación robusta (GDPR en Europa, CCPA en California):

  • Las reglas existen, pero el enforcement es inconsistente
  • Las multas son significativas, pero el riesgo se percibe como bajo
  • La tentación de “interpretación creativa” de normas es alta

En países con legislación emergente o laxa:

  • Las normas son ambiguas o inexistentes
  • El enforcement es prácticamente nulo
  • La tentación es hacer “lo que sea técnicamente posible”
  • Se asume que “si no está explícitamente prohibido, está permitido”

Pero el principio ético es universal: Tenemos responsabilidad sobre información que otros nos confiaron, explícita o implícitamente. Esa responsabilidad no depende de si existe una ley que nos obligue a cumplirla.

El costo de normalizar la negligencia

Cada vez que:

  • Exportamos una base de datos completa cuando solo necesitábamos datos agregados
  • Compartimos credenciales porque “es más rápido”
  • Cruzamos información sin verificar consentimiento
  • Guardamos PII en archivos locales sin cifrado
  • Ignoramos solicitudes problemáticas porque “mi jefe lo aprobó”

Estamos normalizando negligencia. Y esa normalización se convierte en cultura. Y esa cultura se convierte en vulnerabilidad sistémica.

No necesitamos esperar a que la IA amplifique estos problemas. Ya son problemas críticos hoy.

Una llamada a la profesionalización ética

Como profesionales de datos—desarrolladores, analistas, científicos de datos, ingenieros—tenemos poder significativo. Acceso a información que puede afectar vidas reales. Capacidad de tomar decisiones con consecuencias de largo alcance.

Ese poder demanda responsabilidad.

No podemos seguir escondiéndonos detrás de “la organización no tiene políticas claras”, “mi jefe me lo pidió”, o “todos lo hacen así”.

Necesitamos madurar como profesión. Desarrollar estándares éticos comparables a los de médicos, abogados, o ingenieros civiles—profesiones donde la negligencia tiene consecuencias claras y los códigos de ética son tomados en serio.

Porque al final del día, cuando esos datos se filtran, cuando aparecen en dark web, cuando alguien sufre consecuencias reales por nuestras decisiones de diseño o implementación:

La pregunta no será si teníamos políticas claras.
Será si actuamos con la diligencia ética que nuestra posición demandaba.

Para reflexión:

¿Has estado en situaciones donde te pidieron hacer algo que te generó dudas éticas sobre manejo de datos?
¿Cómo las manejaste?
¿Tu organización tiene canales claros para plantear estas preocupaciones?
Como líder, ¿cómo proteges a tu equipo de presiones para violar principios éticos?

Abramos esta conversación. Porque hasta que no normalicemos hablar de estos dilemas, seguiremos normalizando las prácticas que los generan.

The Data Analyst’s Gray Zone: When Authority Asks You to Cross the Line

On the ethical responsibility of developers in handling sensitive information

Before we talk about AI, ChatGPT, or LLMs, we need to have an uncomfortable conversation about something more fundamental: the ethical handling of data in analysis teams. Because the truth is that many of the problems we attribute to the “AI era” have existed long before, rooted in everyday practices we’ve dangerously normalized.

This conversation is for developers, data analysts, data scientists, BI engineers. For those who have privileged access to sensitive information. And for those who, at some point in their career, have received a request that made them pause uncomfortably before executing a query.

The everyday scenario nobody discusses

You work on an Advanced Analytics, Data Science, or Business Intelligence team. You have access to databases with user information: names, emails, browsing behaviors, purchase history, demographic data, perhaps even financial or medical information.

One day, your Product Owner, Project Manager, or some stakeholder with organizational authority requests: “I need you to cross-reference data from platform A with data from platform B to generate a segmentation report. It’s for an urgent marketing campaign.”

You know—or suspect—that this cross-reference isn’t covered in the privacy policies users agreed to. That this information was probably collected under different consent contexts. That this “data enrichment” crosses an ethical line, if not a legal one.

What do you do?

If you work in an organization with mature data governance, clear compliance policies, and accessible legal teams, the answer is obvious: escalate, consult, document.

But most of us don’t work in that type of organization.

The reality: Data governance as aspiration, not practice

The uncomfortable truth is that many companies—even large corporations—operate in regulatory gray zones. Data governance is an “initiative in development.” Compliance exists, but it’s disconnected from technical teams. Privacy policies are written with ambiguous legal language that allows convenient interpretations.

And in that normative vacuum, technical teams make ethical decisions every day without supervision, without guidance, and frequently without being aware of the implications of those decisions.

We work with:

  • Databases without adequate obfuscation
  • Personally identifiable information (PII) accessible without robust controls
  • Sensitive data handled in local files (that Excel on your laptop)
  • Extracts shared with external contractors without audit
  • Development environments with real production data
  • Credentials shared between teams

Is this wrong? Objectively, yes. Is it illegal? It depends. Is it common? Absolutely.

The false justification of disconnection

“Technical teams are very disconnected from legal and regulatory teams.”

I’ve heard—and used—that phrase countless times. As if organizational disconnection justified lack of ethical diligence.

It doesn’t.

Dysfunctional organizational structure is no excuse for handling data without security protocols. It doesn’t justify sharing sensitive information because “that’s how it’s done here.” It doesn’t absolve the analyst or developer of responsibility when that data ends up leaked, sold, or misused.

Because here’s the truth nobody wants to admit: when that data is leaked, when it appears on the dark web, when there’s a security breach, “I didn’t know” isn’t sufficient defense.

The headlines that start on our laptops

We constantly live with news of massive leaks:

  • “X company database leaked with passwords and credit card numbers”
  • “Medical information of millions of patients stolen”
  • “Political party affiliate database ends up for sale on dark web”

And our usual reaction is to think of sophisticated hackers, zero-day attacks, complex technical vulnerabilities.

But many of these scenarios don’t require expert hacking.

They start with:

  • An analyst who exports a complete database “to work faster locally”
  • A developer who shares production credentials with a contractor
  • A data scientist who uploads sensitive data to an unencrypted repository
  • A team that cross-references information without verifying user consent
  • An Excel with PII attached to an email without controls

Internal vulnerabilities. Not necessarily malice, but negligence. Normalization of risky practices. Ignorance converted into standard process.

And sometimes—let’s be honest—intent. Full awareness that what’s being done violates policies, but it’s done anyway because “the boss asked for it,” “everyone does it,” or “it’s faster this way.”

The human factor before the algorithmic factor

Notice that so far I haven’t mentioned AI once in a usage context.

Because this problem exists before someone decides to upload that data to ChatGPT, Gemini, or any LLM. As I discussed in previous articles, AI amplifies existing risks—it doesn’t create them from scratch.

If your organization already handles sensitive data irresponsibly, AI will only magnify that problem.

But the root problem isn’t technological. It’s human. It’s cultural. It’s about education, awareness, and—above all—individual and collective responsibility.

We need to gain greater awareness of the implications and reach of our actions within the companies where we work. To protect the information of users and clients who, consciously or unconsciously, entrusted it to us.

The uncomfortable question: What do you do when your boss asks you to cross the line?

Let’s return to the initial scenario. Your superior asks you for something you know—or suspect—shouldn’t be done.

Options:

A) You do it without questioning

  • Fast, no organizational friction
  • Avoid conflict with authority
  • But compromise data integrity and users
  • And assume personal responsibility if something goes wrong

B) You refuse flatly

  • Ethically correct
  • But can cost you politically, or even professionally
  • Requires privilege and stability not everyone has

C) You question and escalate

  • Ask for clarification on privacy policies
  • Consult with compliance or legal teams
  • Document the request and your concern
  • Propose alternatives that meet the objective without violating norms

D) You do it, but with controls

  • Implement anonymization or aggregation
  • Limit access and data lifespan
  • Document purpose and scope
  • Establish audit controls

The “correct” answer depends on context, organizational culture, local legislation, and your own employment situation.

But what is NOT acceptable is doing it without any ethical reflection.

Developer responsibility vs. organizational responsibility

Here’s the real dilemma: Where does individual responsibility end and organizational responsibility begin?

The honest answer is: both coexist and reinforce each other.

Organizational responsibility:

  • Establish clear data handling policies
  • Provide training on privacy and compliance
  • Create safe channels to report ethical concerns
  • Implement technical controls (obfuscation, encryption, audits)
  • Protect employees who question risky practices

Individual developer/analyst responsibility:

  • Educate yourself about applicable legislation (GDPR, CCPA, local laws)
  • Understand your organization’s privacy policies
  • Question requests that seem problematic
  • Implement best practices even when not required
  • Document decisions and justifications
  • Refuse to participate in clearly illegal practices

We can’t wait for the organization to be perfect to start acting ethically. But we also can’t load all responsibility onto individuals in vulnerable positions.

What concrete actions can you take?

As an individual developer or analyst:

  1. Educate yourself about privacy laws relevant to your jurisdiction
  2. Read your own organization’s privacy policies (yes, seriously)
  3. Ask before assuming something is permitted
  4. Document requests that seem problematic to you
  5. Implement basic controls: don’t work with PII when aggregated data serves, use encryption, limit access
  6. Question the real need to access sensitive data
  7. Propose less invasive alternatives to achieve objectives

As a technical leader:

  1. Establish team standards on sensitive data handling
  2. Train your team on privacy and security
  3. Create review processes for data requests
  4. Protect your team from pressure to violate policies
  5. Communicate clearly to stakeholders what is and isn’t acceptable
  6. Implement technical controls: separate environments, obfuscation, audits
  7. Foster culture where questioning ethical decisions is valued, not penalized

As an organization:

  1. Invest in data governance (not just data technology)
  2. Connect technical teams with legal/compliance teams
  3. Clarify policies and make them accessible
  4. Audit actual practices, not just policies on paper
  5. Recognize that privacy is competitive advantage, not obstacle
  6. Protect employees who report ethical concerns

The gray zone between countries

I mentioned this is a problem in both developed and developing countries, but for different reasons.

In countries with robust legislation (GDPR in Europe, CCPA in California):

  • Rules exist, but enforcement is inconsistent
  • Fines are significant, but risk is perceived as low
  • Temptation for “creative interpretation” of norms is high

In countries with emerging or lax legislation:

  • Norms are ambiguous or nonexistent
  • Enforcement is practically nil
  • Temptation is to do “whatever is technically possible”
  • Assumption that “if not explicitly prohibited, it’s allowed”

But the ethical principle is universal: We have responsibility over information others entrusted to us, explicitly or implicitly. That responsibility doesn’t depend on whether a law exists to compel us to fulfill it.

The cost of normalizing negligence

Every time we:

  • Export a complete database when we only needed aggregated data
  • Share credentials because “it’s faster”
  • Cross-reference information without verifying consent
  • Store PII in local files without encryption
  • Ignore problematic requests because “my boss approved it”

We’re normalizing negligence. And that normalization becomes culture. And that culture becomes systemic vulnerability.

We don’t need to wait for AI to amplify these problems. They’re already critical problems today.

A call for ethical professionalization

As data professionals—developers, analysts, data scientists, engineers—we have significant power. Access to information that can affect real lives. Capacity to make decisions with far-reaching consequences.

That power demands responsibility.

We can’t keep hiding behind “the organization doesn’t have clear policies,” “my boss asked me to,” or “everyone does it this way.”

We need to mature as a profession. Develop ethical standards comparable to those of doctors, lawyers, or civil engineers—professions where negligence has clear consequences and ethical codes are taken seriously.

Because at the end of the day, when that data is leaked, when it appears on the dark web, when someone suffers real consequences from our design or implementation decisions:

The question won’t be whether we had clear policies.
It will be whether we acted with the ethical diligence our position demanded.

For reflection:

Have you been in situations where you were asked to do something that generated ethical doubts about data handling?
How did you handle them?
Does your organization have clear channels to raise these concerns?
As a leader, how do you protect your team from pressure to violate ethical principles?

Let’s open this conversation. Because until we normalize talking about these dilemmas, we’ll keep normalizing the practices that generate them.