Política de uso de IA interna: plantilla de una página

Política de uso de IA interna en una página: herramientas permitidas, datos prohibidos, revisión humana, formación y responsable. Plantilla para copiar.

Política de uso de IA interna: plantilla de una página

Una política de uso de IA interna no tiene que ser un documento de cuarenta páginas ni pasar por el despacho de abogados. Cabe en una página y consiste en cinco decisiones claras: qué herramientas puede usar tu equipo, con qué datos nunca, quién revisa lo que sale, quién forma a la gente y quién es el responsable. En este artículo te doy esas cinco decisiones y una plantilla que puedes copiar hoy.

Empecemos por lo que una política de estas no hace. No elimina el riesgo de que alguien filtre datos de un cliente. No convierte a tu empresa en experta en inteligencia artificial. No te libra de tus obligaciones legales. Lo único que hace, y no es poco, es coger un riesgo que hoy está disperso e invisible y ponerlo por escrito para que sea visible y se pueda decidir. Eso ya cambia mucho.

¿Para qué sirve de verdad una política de uso de IA?

Sirve para que las decisiones dejen de tomarse una por una, en silencio, en el ordenador de cada empleado. Ahora mismo, alguien de tu equipo decide varias veces al día si pega un correo de un cliente en una herramienta gratuita para que se lo resuma. Lo decide solo, sin criterio común, y probablemente sin saber que eso puede ser un problema. Una política convierte esas decisiones sueltas en una regla compartida.

El problema que hay debajo tiene nombre: el shadow AI, el uso de herramientas de IA por parte del equipo sin que la empresa lo sepa ni lo controle. La política es la respuesta directa a ese problema. No lo elimina, pero saca a la luz qué está permitido y qué no, para que la gente pueda hacer bien su trabajo sin jugarse un disgusto.

Una aclaración de vocabulario, porque la usaré varias veces. Cuando digo “herramienta de IA” me refiero a cualquier programa al que le escribes algo en lenguaje normal (un correo, un contrato, una pregunta) y te devuelve un texto, un resumen o una respuesta. Por dentro, esa herramienta envía lo que le escribes a un ordenador que no está en tu oficina, propiedad de otra empresa. Ese detalle, que tus datos salen de tu control, es la razón de ser de casi toda la política.

Los cinco bloques de una política de una página

Cinco bloques. Ni uno más. Cada uno responde a una pregunta que tu equipo se hace de verdad.

Documento de una página titulado Política de uso de IA dividido en cinco bloques numerados y apilados: herramientas permitidas, datos que nunca se suben, revisión humana obligatoria, formación y responsable, cada uno con una frase breve que lo describe
Toda la política cabe aquí: cinco bloques, una página, ninguna sorpresa.

1. Herramientas permitidas

La primera decisión es qué se puede usar. La forma más práctica es una lista con tres columnas: permitido, requiere permiso y prohibido. “Permitido” son las herramientas que la empresa ha revisado y aprueba para el trabajo diario. “Requiere permiso” son las que hay que consultar antes de usar, normalmente porque tocan datos sensibles o cuestan dinero. “Prohibido” son las que no se usan, y conviene decir por qué, para que no parezca un capricho.

Un error habitual es dejar esta lista vacía “hasta que la estudiemos bien”. Mientras la estudias, tu equipo ya está usando algo. Es mejor una lista imperfecta hoy que una lista perfecta el mes que viene.

Esquema tipo semáforo que clasifica cada herramienta de IA nueva en tres columnas: permitido para uso diario aprobado, requiere permiso del responsable, y prohibido con su motivo, bajo la regla común de no subir nunca datos de clientes, financieros ni credenciales
Cada herramienta nueva cae en una de tres columnas. La duda se consulta, no se improvisa.

2. Datos que nunca se suben

Este es el bloque que más protege. Es la línea roja: la información que no se pega en ninguna herramienta de IA, esté permitida o no. Como mínimo entran aquí los datos personales de clientes o empleados (nombres, correos, teléfonos, direcciones), los datos financieros de la empresa, las credenciales de acceso (contraseñas, claves) y todo lo que esté cubierto por un acuerdo de confidencialidad con un tercero.

La regla tiene que ser tan concreta que un empleado con prisa pueda aplicarla en dos segundos. “Trata los datos con cuidado” no sirve. “No pegues el listado de clientes en ninguna herramienta de IA” sí sirve, porque no deja lugar a la interpretación.

3. Revisión humana obligatoria

Nada que haya generado una herramienta de IA sale hacia un cliente, un proveedor o un organismo oficial sin que una persona lo lea y responda por ello. Las herramientas de IA se equivocan con una seguridad total: inventan datos, citan cosas que no existen y suenan siempre convincentes. Esa invención con aplomo es una alucinación, y no se puede eliminar del todo. La única defensa fiable es que un humano revise antes de enviar.

Esto es especialmente importante en cualquier texto que comprometa a la empresa: presupuestos, condiciones, respuestas legales, comunicaciones oficiales. La revisión no es opcional ni “cuando haya tiempo”. Es parte del trabajo.

4. Formación

De nada sirve una política que nadie entiende. El cuarto bloque dice quién enseña qué y cada cuánto. No hace falta un plan de formación enorme: basta con una sesión corta cuando alguien entra, un recordatorio cuando la política cambia y una persona a la que preguntar. La formación del equipo en IA es lo que convierte un documento en una costumbre.

La formación también baja la tentación del shadow AI. Cuando la gente sabe qué puede usar y por qué, deja de buscar atajos por su cuenta.

5. Responsable

Una persona con nombre y apellidos, no “el departamento de informática” ni “la dirección”. Alguien a quien preguntar cuando aparece una herramienta nueva, alguien que revisa la política cada cierto tiempo y alguien que decide en los casos dudosos. Si la responsabilidad es de todos, no es de nadie, y la política se queda en un correo que nadie vuelve a abrir.

La plantilla, lista para copiar

Aquí la tienes. Copia este bloque, rellena lo que está entre corchetes y tendrás tu política en una página.

POLÍTICA DE USO DE IA · [Nombre de la empresa]
Versión [1.0] · Fecha [dd/mm/aaaa] · Responsable: [Nombre y apellidos]

1. HERRAMIENTAS PERMITIDAS
   - Permitido sin consultar: [herramienta A], [herramienta B]
   - Requiere permiso del responsable: [herramienta C]
   - Prohibido: [herramienta D] (motivo: [...])

2. DATOS QUE NUNCA SE SUBEN A UNA HERRAMIENTA DE IA
   - Datos personales de clientes o empleados
   - Datos financieros de la empresa
   - Contraseñas, claves y credenciales de acceso
   - Cualquier información bajo acuerdo de confidencialidad

3. REVISIÓN HUMANA
   - Todo texto generado por IA que salga a un cliente,
     proveedor u organismo lo revisa y firma una persona antes de enviarse.

4. FORMACIÓN
   - Cada persona recibe una sesión al incorporarse.
   - Ante dudas, se pregunta a: [Nombre del responsable].

5. RESPONSABLE
   - [Nombre y apellidos] mantiene esta política y la revisa cada [6] meses.

Ajústala a tu empresa. Una copia genérica de internet sin adaptar es casi peor que nada, porque da una falsa sensación de estar cubierto.

Errores al escribir la política

Prohibirlo todo. Es la reacción más tentadora y la más contraproducente. Si prohíbes cualquier uso de IA sin ofrecer una alternativa, la gente no deja de usarla: la usa a escondidas, y entonces pierdes hasta la poca visibilidad que tenías. Permitir con criterio protege más que prohibir a ciegas.

Copiar una plantilla sin adaptarla. Cada empresa maneja datos distintos y usa herramientas distintas. Una política que no menciona tus herramientas concretas ni tus datos concretos no la va a aplicar nadie.

Hacerla tan larga que nadie la lee. Si tu política tiene diez páginas, tu equipo leerá cero. La virtud de una página es que se lee de un tirón y se recuerda.

No nombrar responsable. Sin una persona detrás, la política envejece sola. Aparece una herramienta nueva, nadie decide, y cada uno vuelve a hacer lo que le parece.

Escribirla y no volver a mirarla. Las herramientas cambian cada pocos meses. Una política de hace un año puede estar recomendando algo que ya no tiene sentido. Ponle fecha de revisión.

El criterio para decidir qué entra en cada columna (qué permitir, qué condicionar, qué prohibir) es justo lo que trabajamos en el curso IA sin hype: cuándo (no) usarla en tu empresa, con casos reales y sin promesas de gurú.

Un concepto nuevo cada semana

¿Y el RGPD y el AI Act?

Una política interna no sustituye tus obligaciones legales, las complementa. En Europa hay dos normas que importan aquí. El RGPD (Reglamento (UE) 2016/679) protege los datos personales y te aplica siempre que trates información de una persona, así que el bloque 2 de la plantilla (los datos que nunca se suben) es en parte una forma de cumplirlo. El Reglamento Europeo de Inteligencia Artificial, conocido como AI Act (Reglamento (UE) 2024/1689), regula cómo se usan los sistemas de IA según su nivel de riesgo, y para la mayoría de las empresas que solo usan herramientas de terceros las obligaciones son ligeras.

Si quieres entender qué te aplica de verdad y qué no, lo explico con detalle en la guía de IA, RGPD y AI Act para empresas. Y una nota importante: esto no es asesoramiento jurídico. Para decisiones concretas, consulta con un profesional del derecho.

Checklist de la política

  • La política cabe en una página y cualquiera la lee en cinco minutos
  • La lista de herramientas distingue permitido, requiere permiso y prohibido
  • La lista de datos prohibidos es concreta, no genérica
  • Está escrito quién revisa lo que sale a un cliente antes de enviarlo
  • Hay una persona responsable con nombre y apellidos
  • La política tiene fecha y fecha de próxima revisión
  • El equipo sabe dónde está la política y a quién preguntar

Preguntas frecuentes

¿Necesito un abogado para escribir la política de uso de IA interna?

Para escribir la versión de una página, no. Es un documento operativo de sentido común que puede redactar la propia dirección con la plantilla de este artículo. Otra cosa es tu cumplimiento legal completo bajo el RGPD y el AI Act: para eso sí conviene una revisión profesional, sobre todo si manejas datos sensibles. La política interna y el cumplimiento legal son dos capas distintas que se apoyan la una en la otra.

¿Cada cuánto debo actualizar la política?

Cada seis meses es un buen ritmo por defecto, y siempre que aparezca una herramienta nueva relevante o cambie una ley. Las herramientas de IA evolucionan rápido, así que una política escrita y olvidada envejece mal. Ponle una fecha de revisión visible en la cabecera del documento para que no se te pase.

¿Sirve una política de uso de IA para una empresa de cinco personas?

Sirve, y quizá más que en una grande, porque en una empresa pequeña una sola filtración de datos hace más daño. No necesitas procesos complicados: la misma página de cinco bloques vale. La diferencia es que el responsable probablemente seas tú, y la formación puede ser una conversación de diez minutos en lugar de una sesión formal.

¿Qué hago si un empleado se salta la política?

Lo primero es entender por qué. Muchas veces el incumplimiento indica que la herramienta permitida no le servía y buscó una alternativa. Si es un descuido puntual, un recordatorio basta. Si se repite, revisa si la política es realista o si falta formación. Castigar sin entender la causa solo consigue que el shadow AI se esconda mejor.

¿Debo permitir solo herramientas de pago o también gratuitas?

No es una cuestión de precio, sino de qué pasa con tus datos. Algunas herramientas de pago ofrecen garantías de que no usan tu información para entrenar sus modelos, y muchas gratuitas no. Lo que importa es leer qué hace cada herramienta con lo que le das, y esa comprobación es parte del trabajo del responsable antes de meter una herramienta en la lista de permitidas.