Shadow AI: tu equipo ya usa IA sin que lo sepas
Qué es el shadow AI, por qué tu equipo ya usa herramientas de IA sin permiso y cómo gobernarlo clasificando cada uso en permitir, condicionar o prohibir.
Alguien de tu equipo pegó ayer un listado de clientes en una herramienta de inteligencia artificial gratuita para que se lo resumiera. No lo hizo con mala intención. Quería terminar antes y volver a casa a una hora decente. Y lo más probable es que tú no te enteraras. Eso es el shadow AI, y no es un problema del futuro: ya está pasando dentro de tu empresa.
En este artículo lo explico sin dramatismo y sin promesas de gurú. Qué es exactamente, por qué tu equipo ya lo hace, cuál es el riesgo que de verdad importa y qué puedes hacer esta semana sin necesidad de tener un departamento técnico.
¿Qué es exactamente el “shadow AI”?
El shadow AI es el uso de herramientas de inteligencia artificial por parte de los empleados sin que la empresa lo conozca, lo apruebe o lo controle. La palabra “shadow” significa “en la sombra”: la actividad existe, produce resultados, pero ocurre fuera de la vista de quien dirige.
Si el término te suena, es porque hay un hermano mayor: el shadow IT. Durante años, los empleados se instalaban programas o abrían cuentas en servicios online por su cuenta, sin pasar por informática, para hacer su trabajo más rápido. El shadow AI es lo mismo, pero con una diferencia que lo hace más delicado: aquí lo que sale de la empresa no es una aplicación, son tus datos.
Una herramienta de IA como las que tu equipo usa a diario (un asistente de escritura, un generador de textos, un resumidor de documentos) funciona enviando lo que le escribes a un ordenador que no está en tu oficina. Ese ordenador, propiedad de otra empresa, procesa el texto y devuelve una respuesta. Cuando un empleado pega ahí el contrato de un cliente, esa información ha viajado fuera de tu control. Ese es el corazón del asunto.
Por qué tu equipo ya lo hace (y no es rebeldía)
Tu equipo usa IA por su cuenta porque le funciona. Le ahorra tiempo real en tareas que antes le comían la mañana: redactar un correo difícil, resumir un documento largo, traducir una propuesta, ordenar unas notas. No es una moda ni una travesura. Es gente intentando llegar a todo.
Y aquí está la parte incómoda: si la empresa no ofrece una herramienta aprobada, el empleado usa la que encuentra gratis en internet. No pregunta si puede, porque para él es como usar una calculadora. La consecuencia es que la decisión sobre qué tecnología entra en contacto con tus datos la está tomando, sin saberlo, la persona con menos información sobre el riesgo legal y comercial.
Por eso el primer error es asumir que “en mi empresa no usan IA porque nadie me lo ha dicho”. El silencio no es una respuesta. Casi siempre significa que sí la usan y que no ven motivo para comentarlo.
El riesgo que de verdad importa: adónde van tus datos
El mayor riesgo del shadow AI es la fuga de datos. Cuando un empleado pega información confidencial en una herramienta gratuita, esa información sale de tu empresa y llega al servidor de un tercero. A partir de ahí pierdes el control sobre tres cosas concretas.
Primero, dónde se guarda. Muchos de esos servidores están fuera de la Unión Europea, en países con reglas distintas sobre protección de datos. Si en ese texto había datos personales de clientes, puedes estar incumpliendo tus obligaciones sin saberlo.
Segundo, para qué se usa. Algunas herramientas gratuitas guardan lo que escribes y lo utilizan para mejorar sus propios sistemas. Es decir, el borrador de tu estrategia comercial puede acabar formando parte del material con el que otra empresa entrena su producto. No porque haya un espía, sino porque nadie leyó las condiciones.
Tercero, quién puede verlo. Una vez fuera, no sabes qué personas de esa otra compañía tienen acceso ni durante cuánto tiempo se conserva.
Aquí conviene una aclaración legal. En Europa, el Reglamento General de Protección de Datos (RGPD) te obliga a saber dónde están y cómo se tratan los datos personales que gestionas, y existe además un marco europeo específico para la inteligencia artificial, el Reglamento de IA. Los detalles de ambos los desarrollo en el artículo sobre IA, RGPD y AI Act para empresas. Este texto no es asesoramiento jurídico: para tu caso concreto, consulta con un profesional.
Prohibirlo todo no funciona (y por qué)
Prohibir cualquier uso de IA por escrito y quedarte tranquilo es la salida más tentadora y la menos eficaz. Si prohíbes sin dar una alternativa, el uso no desaparece. Se esconde mejor. El empleado que antes te lo habría contado ahora lo hace desde el móvil personal y no deja rastro. Has convertido un problema visible en uno invisible, que es peor.
La razón es sencilla: la IA le sigue ahorrando tiempo, y su jefe le sigue pidiendo resultados. Entre una norma abstracta y el trabajo que tiene que entregar hoy, gana el trabajo. Tu objetivo no es perseguir a la gente. Es gobernar el uso para que ocurra donde puedes verlo y con las herramientas adecuadas.
Gobernar no significa decir que sí a todo. Significa decidir tú, de forma consciente, qué usos permites, cuáles pones bajo condiciones y cuáles cierras del todo.
Cómo gobernarlo: permitir, condicionar o prohibir
La forma más práctica de gobernar el shadow AI es clasificar cada uso en tres grupos: permitir, condicionar o prohibir. En lugar de una regla general imposible de aplicar, tomas decisiones concretas sobre situaciones concretas. La pregunta que decide en qué grupo cae cada uso es siempre la misma: ¿qué datos entran en la herramienta?
- Permitir: usos sin datos sensibles. Redactar un correo genérico, generar ideas para una campaña, resumir un artículo público. Si lo que entra en la herramienta no revelaría nada grave publicado en un periódico, adelante.
- Condicionar: usos útiles pero con datos delicados, que solo autorizas con una herramienta aprobada por la empresa y unas reglas claras. Analizar cifras internas, redactar sobre un proyecto en marcha, trabajar con documentos de clientes anonimizados.
- Prohibir: usos donde el dato es demasiado sensible o el riesgo demasiado alto. Pegar datos personales de clientes identificables, información financiera confidencial, contraseñas o material sujeto a un acuerdo de confidencialidad.
La tabla siguiente lo resume con ejemplos que reconocerás de tu día a día.
| Uso | Ejemplo | Qué datos entran | Decisión |
|---|---|---|---|
| Redactar un correo general | Responder a una consulta comercial estándar | Ninguno sensible | Permitir |
| Generar ideas de marketing | Lluvia de ideas para una campaña | Información ya pública | Permitir |
| Resumir un informe interno | Sintetizar el acta de una reunión de equipo | Datos internos, no personales | Condicionar (herramienta aprobada) |
| Analizar datos de clientes | Sacar patrones de una hoja de ventas | Datos de clientes | Condicionar (anonimizar primero) |
| Revisar un contrato firmado | Buscar cláusulas en un acuerdo con nombres | Datos personales y confidenciales | Prohibir en herramientas abiertas |
Esta clasificación es el esqueleto de lo que después se convierte en un documento sencillo que todo el mundo entiende. Cómo redactarlo sin caer en las veinte páginas que nadie lee lo cuento en cómo escribir una política de uso de IA interna. Y el mejor antídoto contra el shadow AI no es una norma, es dar a tu equipo una alternativa buena y enseñarle a usarla, algo que trato en formar al equipo en IA.
Este criterio para decidir qué gobiernas y qué sueltas es justo lo que trabajamos con calma en el curso de IA sin hype, pensado para que un directivo entienda la tecnología lo justo para decidir bien, sin convertirse en técnico.
Errores comunes al abordar el shadow AI
Prohibir sin dar alternativa. Ya lo hemos visto: empuja el uso a la clandestinidad. Una prohibición sin una herramienta aprobada al lado es una invitación a esconderse.
Creer que la versión de pago te protege automáticamente. Pagar suele mejorar las condiciones de privacidad, pero no siempre, y no en todos los planes. La protección viene de leer qué hace la herramienta con tus datos, no del precio.
Tratarlo como un problema solo de informática. Quién puede usar qué con los datos de tus clientes es una decisión de negocio y de responsabilidad legal. Informática ayuda a aplicarla, pero la decisión la tomas tú.
Escribir una política enorme que nadie lee. Un documento de veinte páginas con lenguaje jurídico no cambia lo que hace la gente. Una regla clara de tres grupos con ejemplos concretos, sí.
Primeros pasos realistas esta semana
No necesitas un proyecto de seis meses ni un consultor caro para empezar. Necesitas media hora y honestidad. Este es el orden que funciona:
- Pregunta a tu equipo, sin tono de reproche, qué herramientas de IA usa ya y para qué
- Haz una lista de los tres o cuatro usos más frecuentes que aparezcan
- Clasifica cada uso en permitir, condicionar o prohibir según los datos que entran
- Elige una herramienta aprobada para los usos que quieras condicionar
- Escribe la decisión en una sola página con ejemplos concretos
- Comunica que el objetivo es usar la IA con cabeza, no perseguir a nadie
Si quieres que te avise cuando publique las plantillas y guías del curso para hacer esto paso a paso, déjame tu correo:
Un concepto nuevo cada semana
Preguntas frecuentes
¿Es ilegal que mi equipo use ChatGPT u otra herramienta de IA?
Usar una herramienta de IA no es ilegal en sí mismo. El problema aparece cuando se introducen en ella datos personales de clientes o información confidencial sin las garantías adecuadas, porque ahí sí pueden entrar en juego tus obligaciones de protección de datos. Lo que marca la diferencia es qué datos introduces y bajo qué condiciones, más que la herramienta en sí.
¿Basta con prohibir el uso de IA por escrito?
No. Una prohibición escrita sin alternativa suele empujar el uso a la clandestinidad, donde ya no puedes verlo ni controlarlo. Funciona mucho mejor decidir qué usos permites, cuáles condicionas y cuáles cierras, y ofrecer una herramienta aprobada para los casos útiles.
¿Las versiones de pago son más seguras que las gratuitas?
A menudo ofrecen mejores garantías de privacidad, como no usar tus datos para entrenar sus sistemas, pero no es automático ni universal. Lo que importa es leer las condiciones concretas del plan que contratas y confirmar dónde se guardan los datos y para qué se usan.
¿Esto lo tiene que resolver el departamento de informática?
Informática te ayuda a elegir y configurar las herramientas, pero la decisión de qué datos pueden tocar la IA es de negocio y de responsabilidad legal. Delegarlo entero en el área técnica deja fuera a quien mejor conoce el valor y la sensibilidad de cada dato.
¿Por dónde empiezo si somos una pyme pequeña sin equipo técnico?
Empieza por preguntar a tu equipo qué usa ya, sin reproche, para tener una foto real. Con esa lista, clasifica los usos en permitir, condicionar o prohibir y escribe la decisión en una sola página. Es un trabajo de una tarde que te evita sustos mucho mayores.