Hay dos tipos de empresas que dicen tener una política de uso de IA. Las que tienen un documento que alguien descargó de internet, tradujo, firmó y que el equipo desconoce. Y las que construyeron algo con sus propias manos, desde su realidad y que el equipo realmente usa.
La diferencia no está en el formato ni en la extensión, está en el proceso.
Esta guía explica qué es realmente una política de uso de IA, qué debe incluir para que sirva de algo y cómo construirla con el equipo para que no termine en un cajón.
Una política de IA que el equipo no conoce no es una política. Es un documento que protege a la empresa en papel pero no en la práctica. |
Qué es y qué no es una política de uso de IA
Una política de uso de IA es el documento que establece cómo tu organización ha decidido usar la inteligencia artificial: con qué herramientas, para qué, con qué datos, bajo qué responsabilidades y con qué límites.
No es un manual técnico sobre cómo funcionan los modelos de lenguaje. No es una lista de herramientas recomendadas. No es una declaración de valores corporativos sobre la IA. Y no es un documento que se firma una vez y no se toca en dos años.
Es, sobre todo, una posición. La empresa ha decidido algo sobre la IA, lo ha puesto por escrito y puede defenderlo ante su equipo, sus clientes o un regulador.
Por qué necesitas una política aunque tu empresa sea pequeña
La exposición al riesgo no desaparece por ser una empresa pequeña. Una PYME de veinte personas cuyos comerciales usan ChatGPT con datos de clientes tiene exactamente el mismo riesgo GDPR que una multinacional en esa práctica concreta.
Desde febrero de 2025, el Artículo 4 del AI Act obliga a cualquier organización que use sistemas de IA a garantizar que su personal tiene la alfabetización necesaria para hacerlo. Esa obligación no tiene umbral de tamaño.
Además, las organizaciones que pueden demostrar cómo gestionan el uso de IA empiezan a tener una ventaja diferencial ante clientes, socios e inversores que se lo preguntan. No tenerlo documentado ya es una respuesta y no es la que querrías dar.
Los 6 elementos que toda política de IA debe incluir
1. Alcance y propósito
A quién aplica la política (todo el personal, solo ciertos roles, proveedores externos), para qué tipo de sistemas de IA aplica (herramientas de IA generativa, sistemas de análisis de datos, automatizaciones) y cuál es el objetivo: no es una lista de prohibiciones, es un marco para tomar decisiones con criterio.
2. Herramientas aprobadas y proceso de aprobación
Qué herramientas de IA puede usar el equipo en su trabajo, con qué condiciones (versión enterprise vs gratuita, configuraciones de privacidad requeridas) y cómo se solicita la aprobación de una herramienta nueva. Sin este apartado, cada persona toma sus propias decisiones sobre herramientas que tienen implicaciones colectivas.
3. Clasificación de datos y restricciones
Qué datos pueden procesarse con herramientas de IA y cuáles no. Como mínimo: datos personales de clientes o empleados no pueden usarse con herramientas externas sin contrato de encargado del tratamiento; información confidencial de negocio requiere herramientas con garantías contractuales de confidencialidad. Este apartado es el que más directamente previene el tipo de incidente descrito en el artículo sobre datos de clientes y ChatGPT.
4. Responsabilidades sobre los outputs
Quién es responsable de verificar que el output de una herramienta de IA es correcto antes de usarlo. La política debe dejar claro que la IA puede cometer errores y que el uso de su output sin verificación es responsabilidad de quien lo usa, no de la herramienta. Esto incluye: no enviar propuestas generadas por IA sin revisión humana, no usar IA para decisiones que requieren criterio humano (sobre personas, estrategia, valores) sin supervisión.
5. Transparencia y declaración
Cuándo y cómo declara la empresa, o sus empleados, que han usado IA en un entregable. Esto varía según el contexto: un informe interno no requiere lo mismo que una propuesta a un cliente o una publicación externa. La política define esas líneas.
6. Gestión de incidentes
Qué hace la empresa si detecta un uso que no cumple con la política: quién lo reporta, quién decide y qué consecuencias existen. Sin este apartado, la política no tiene mecanismo de aplicación real.
Cómo construirla con el equipo y no solo para el equipo
Una política impuesta desde arriba que el equipo no comprende ni ha validado tiene una vida útil muy corta. Lo que funciona es un proceso participativo, aunque sea breve:
Paso 1 — Diagnóstico: antes de escribir nada, entender qué herramientas de IA usa ya el equipo, para qué y con qué datos. Eso da la base real sobre la que construir.
Paso 2 — Definir criterios con los responsables clave: un CEO, un responsable de IT y un responsable de negocio deberían poder responder juntos las preguntas de los seis apartados. La política surge de esa conversación, no de una plantilla.
Paso 3 — Redactar y validar: el documento se redacta, se comparte con quienes va a afectar y se da espacio para preguntas y ajustes antes de publicarlo.
Paso 4 — Comunicar e implementar: la política se presenta al equipo con contexto — por qué existe, qué cambia, qué no cambia. No como un aviso legal, sino como una decisión explicada.
Paso 5 — Revisar periódicamente: la IA cambia. La política debe tener una fecha de revisión ( al menos anual ) y un equipo de responsables de actualizarla cuando hay cambios relevantes en las herramientas que usa la empresa o en la normativa.
La política surge de la conversación con el equipo, no de una plantilla descargada de internet. |
Errores frecuentes al crear una política de IA
Copiar una plantilla genérica sin adaptarla a la realidad de la empresa. El resultado es un documento que no responde a los usos reales del equipo y que nadie puede aplicar.
Hacerla tan restrictiva que nadie la cumple: una política que prohíbe todo uso de IA en una empresa donde el equipo ya la usa a diario genera desobediencia silenciosa, no cumplimiento.
No asignar un responsable: si nadie sabe quién actualiza la política cuando cambian las herramientas o la normativa, la política envejece rápidamente.
Confundir la política con la formación: la política dice qué. La formación explica el por qué y el cómo. Las dos son necesarias y no se sustituyen.
Preguntas frecuentes
¿Qué debe incluir una política de uso de IA para una empresa?
Una política de uso de IA debe incluir: qué herramientas están aprobadas, qué datos pueden usarse con IA, quién puede aprobar nuevas herramientas, qué responsabilidades tiene cada persona sobre los outputs de IA que usa y cómo se gestiona un incidente. Sin estos elementos, el documento no es una política: es una declaración de intenciones.
¿Cuánto tiempo lleva crear una política de IA para una empresa?
Una política operativa básica, construida con el equipo directivo, puede estar lista en 2 a 4 semanas de trabajo real. Los proyectos que tardan meses suelen bloquearse porque no tienen un responsable claro ni un proceso definido.
¿Puede una PYME tener una política de IA o es solo para grandes empresas?
Cualquier organización que use herramientas de IA necesita tener un criterio sobre cómo lo hace. Para una PYME, la política puede ser más breve y directa, pero los elementos esenciales son los mismos. La exposición al riesgo no desaparece por ser pequeño.
