Cómo diseñar una política interna de uso de IA para tu equipo

aceleración por globalización

Tu equipo ya está usando IA. La pregunta es si lo está haciendo de forma segura y con criterio, o improvisando.

ChatGPT, Copilot, Gemini, Claude, herramientas de transcripción, resumen automático de correos, generación de propuestas… La inteligencia artificial ha entrado en las empresas a una velocidad que ha pillado a muchas empresas con el paso cambiado. No porque no quieran adoptarla, sino porque la adopción ha sido espontánea, sin orden ni criterio.

¿El resultado? Empleados que comparten información confidencial con herramientas que no conoces, procesos que dependen de tecnología que nadie ha evaluado, decisiones tomadas con borradores que la IA ha «inventado» sin que nadie los haya verificado, y una sensación de que «algo se te está escapando».

A esto se le llama shadow AI (IA en la sombra): el uso no autorizado y no supervisado de herramientas de inteligencia artificial dentro de la empresa. Y es, hoy mismo, uno de los principales riesgos operativos y legales para las pymes.

La solución no es prohibir la IA. Prohibirla es perder competitividad, frustrar al equipo y, sobre todo, ineficaz: la van a usar igual, solo que sin que tú lo sepas. La solución es ordenarla.

Por qué necesitas una política de uso de IA (aunque seas una pyme)

Hay una idea muy extendida de que las políticas internas son cosa de las grandes empresas. Error.

Las pymes son, en muchos casos, más vulnerables precisamente porque tienen menos recursos para gestionar los riesgos. Un empleado que introduce datos de clientes en una herramienta gratuita de IA puede estar vulnerando el RGPD sin saberlo. Un proceso que depende de una sola herramienta de IA sin alternativa se convierte en un punto de fallo crítico. Una propuesta enviada a un cliente con datos inventados por la IA puede costarte la cuenta y la reputación.

A los riesgos clásicos hay que sumarle ahora un marco regulatorio nuevo: el Reglamento Europeo de Inteligencia Artificial (EU AI Act), que entró en vigor el 1 de agosto de 2024 y será plenamente aplicable el 2 de agosto de 2027. Ya hay obligaciones que están vigentes hoy mismo, en abril de 2026, y que afectan también a las pymes que simplemente usan herramientas de IA, no solo a quienes las desarrollan.

En particular, desde el 2 de febrero de 2025 son aplicables las obligaciones relativas a las prácticas de IA prohibidas y a la alfabetización en IA. Esto último es importante: el reglamento exige que las empresas garanticen un nivel adecuado de formación en IA entre los empleados que la utilicen. Dicho de otro modo, formar a tu equipo en uso responsable de IA, buenas prácticas y de cumplimiento de la normativa ya no es opcional, es una obligación legal..

A esto hay que sumar el RGPD, que sigue plenamente vigente y cuya aplicación a sistemas de IA está siendo cada vez más fiscalizada por la AEPD (Agencia Española de Protección de Datos).

Una política de uso de IA no tiene que ser un documento legal de 40 páginas. Puede ser algo sencillo, claro y práctico que dé a tu equipo un marco de referencia para saber qué pueden hacer, qué no pueden hacer y con qué herramientas. Y que, además, te protege frente a la normativa.

Los riesgos reales: lo que puede pasar si no haces nada

Antes de pasar al «cómo», conviene tener claros los «porqués». Estos son los riesgos concretos a los que se expone una empresa que no ordena el uso de IA:

Fuga de información confidencial. El caso más mediático fue el de Samsung en 2023, cuando varios ingenieros pegaron código fuente propietario en ChatGPT para depurarlo y esa información pasó a formar parte de los datos que la herramienta podía procesar.

Incumplimiento del RGPD. Introducir datos personales (nombres, emails, DNIs, datos de salud) en una herramienta cuyo proveedor está fuera de la Unión Europea o cuyas condiciones de uso permiten el reentrenamiento del modelo con esos datos puede constituir una transferencia internacional indebida y un tratamiento ilícito. Las sanciones pueden alcanzar los 35 millones de euros.

Decisiones basadas en información inventada. Los modelos de lenguaje pueden «alucinar»: generar respuestas que parecen correctas, pero contienen datos falsos, citas inventadas o referencias inexistentes. Si nadie verifica los borradores antes de enviarlos, esos errores acaban en propuestas, informes o comunicaciones a clientes. Y, ellos son corresponsables también.

Dependencia operativa de una herramienta concreta. Cuando un proceso clave pasa a depender de una sola herramienta sin alternativa documentada, te conviertes en rehén de su política de precios, de su disponibilidad técnica y de los cambios de funcionalidad que el proveedor decida.

Pérdida de propiedad intelectual. En muchas herramientas gratuitas, los términos de uso reservan al proveedor derechos amplios sobre los inputs y outputs. Si tu equipo está generando con esas herramientas materiales sensibles para la empresa, no está claro de quién son.

Sesgos y discriminación. Si usas IA para filtrar candidatos, evaluar empleados o tomar decisiones que afectan a personas, los sesgos del modelo pueden traducirse en problemas legales y reputacionales muy serios.

Conflictos laborales y sindicales. El uso de IA para monitorizar o evaluar a empleados sin información previa ni acuerdo puede generar conflictos importantes, especialmente en empresas con representación sindical.

Empieza por saber qué está pasando ya

Antes de diseñar ninguna política, necesitas hacer una pequeña auditoría interna. Habla con los responsables de cada área y pregúntales directamente: ¿qué herramientas de IA estás usando? ¿Para qué? ¿Con qué frecuencia? ¿Qué información introduces en ellas? ¿Quién paga la suscripción, la empresa o tú?

Te sorprenderá lo que descubres. Es habitual encontrar que el equipo de ventas usa ChatGPT para redactar propuestas, marketing usa Canva con funciones de IA, el departamento de finanzas ha probado herramientas de análisis automático de Copilot o Gemini, y administración usa algún asistente de correo. A menudo todas estas suscripciones están pagadas con tarjetas personales y registradas con el correo personal del empleado.

No lo hagas desde una posición de control o sanción. El objetivo de este paso es entender la realidad para construir algo útil, no para penalizar iniciativas. Si tu equipo ha adoptado la IA de forma espontánea, eso es una señal positiva: hay apertura al cambio. Ahora necesitas encauzarla.

Una plantilla sencilla para esta auditoría puede recoger: nombre de la herramienta, área que la usa, finalidad, tipo de información que se introduce, plan (gratuito, de pago personal, corporativo), responsable y observaciones. Una hoja de cálculo en una mañana es suficiente para tener una foto inicial decente.

Define qué herramientas están aprobadas y cuáles no

No puedes evaluar y aprobar todas las herramientas de IA que existen, pero sí puedes crear una lista de herramientas verificadas para los usos más comunes en tu empresa.

Para cada herramienta aprobada, incluye: para qué está aprobada, qué nivel de información puede usarse con ella, quién es el responsable en caso de duda y, muy importante, qué versión de la herramienta está aprobada. La versión gratuita de ChatGPT y la versión empresarial (ChatGPT Enterprise o ChatGPT Team) tienen políticas de privacidad y uso de datos completamente distintas.

Ejemplo práctico:

  • ChatGPT (versión gratuita) → Aprobada solo para información pública. No introducir datos de clientes, proyectos en curso ni información interna.
  • ChatGPT Team o Enterprise (con licencia corporativa) → Aprobada para información interna y, según el caso, confidencial. Los datos no se usan para reentrenar el modelo.
  • Microsoft Copilot (con licencia corporativa) → Aprobada para información interna y pública. Consultar con el responsable antes de usar con información confidencial.
  • Claude (con licencia corporativa) → Aprobada para información interna y, según el caso, confidencial.
  • Herramientas de transcripción de reuniones → Aprobadas solo para reuniones internas. No grabar reuniones con clientes sin su consentimiento explícito.
  • Herramientas de generación de imágenes → Aprobadas para uso de marketing siempre que no se introduzcan imágenes de personas reales sin consentimiento.

Cómo evaluar si una herramienta es aceptable

Cuando aparezca una herramienta nueva (y aparecerán muchas), estas son las preguntas mínimas que tienes que poder responder antes de aprobarla:

  1. ¿Dónde se almacenan los datos? ¿Hay servidores en la UE o solo fuera?
  2. ¿La empresa proveedora utiliza los inputs para reentrenar sus modelos? ¿Se puede desactivar esa opción?
  3. ¿Qué obligaciones contractuales asume el proveedor en términos de protección de datos? ¿Firma un acuerdo de tratamiento de datos (DPA)?
  4. ¿Cuánto tiempo se guardan los datos y en qué condiciones se eliminan?
  5. ¿Quién es el propietario de los outputs generados?
  6. ¿Hay un plan de pago corporativo con condiciones distintas a las de la versión gratuita?
  7. ¿Qué pasa si la empresa proveedora cierra o cambia sus condiciones?

No necesitas ser abogado para hacer esta evaluación. Con leer la política de privacidad y los términos de uso de la herramienta, y con sentido común, llegas a una decisión razonable en la mayoría de los casos.

Esta lista no tiene que ser definitiva desde el primer día. Puede crecer y actualizarse. Lo importante es tener un punto de partida claro.

Define las prohibiciones claras

Tan importante como decir lo que se puede hacer es decir, sin ambigüedad, lo que no se puede hacer. Una buena política tiene una sección corta de «prohibiciones» redactada en lenguaje claro y sin matices.

Algunas prohibiciones que suelen aparecer en políticas bien diseñadas:

  • No introducir en herramientas no aprobadas datos personales de clientes, empleados o terceros.
  • No introducir en herramientas no aprobadas información financiera, contractual o estratégica de la empresa.
  • No usar IA para tomar decisiones automatizadas que afecten a personas (contrataciones, despidos, sanciones, evaluaciones) sin supervisión humana real y sin haberlo comunicado previamente al departamento responsable.
  • No publicar ni enviar contenido generado por IA sin haber sido revisado por un humano.
  • No grabar ni transcribir reuniones con terceros sin su consentimiento explícito.
  • No suplantar la voz, imagen o estilo de personas reales (compañeros, clientes, terceros) usando IA generativa.
  • No usar herramientas de IA con cuentas personales para tareas profesionales que impliquen información de la empresa.

Cuanto más concretas sean las prohibiciones, menos margen de interpretación queda y menos errores se cometen «por no saber».

Comunica la política de forma que se entienda y se use

Una política que se guarda en una carpeta compartida y nadie lee no sirve de nada. La comunicación es tan importante como el contenido.

Presenta la política en una reunión corta con los equipos. No como una imposición, sino como un marco de ayuda. Explica el porqué: proteger a la empresa, a los clientes y a los propios empleados. Recalca lo que sí pueden hacer, no solo las restricciones. Y muestra ejemplos concretos de errores típicos para que la gente vea de qué se está hablando en la práctica.

Un documento de una o dos páginas con los puntos clave es mucho más efectivo que un manual extenso. Si puedes resumirlo en una sola hoja con los niveles de información, las herramientas aprobadas y los casos de uso más comunes, mejor todavía. Imprímela y cuélgala donde la gente trabaja, o colócala como fondo de pantalla. Lo que no se ve, no se cumple.

Forma a tu equipo (no es opcional, es obligatorio)

Como mencionábamos al principio, la alfabetización en IA es ya una obligación legal en la UE. Pero, más allá del cumplimiento normativo, la formación es lo que de verdad hace que una política funcione.

Una buena formación inicial cubre cuatro bloques:

  1. Qué es la IA y cómo funciona a un nivel suficiente para entender por qué a veces se equivoca y por qué hay que verificar lo que produce.
  2. Riesgos típicos: alucinaciones, fugas de datos, sesgos, propiedad intelectual.
  3. La política de la empresa: clasificación de información, herramientas aprobadas, casos de uso, prohibiciones, a quién acudir.
  4. Buenas prácticas de uso: cómo escribir buenos prompts, cómo verificar resultados, cuándo confiar y cuándo no.

Con una sesión de 10 horas es suficiente para una pyme. No hace falta convertir esto en un máster.

Errores comunes al implementar una política de IA

Para terminar la parte práctica, algunos errores que se repiten en muchas empresas y que conviene evitar:

Copiar una política de internet sin adaptarla. Los modelos genéricos son un buen punto de partida, pero una política que no refleja cómo trabaja realmente tu equipo no la cumplirá nadie.

Hacerla demasiado restrictiva. Si todo está prohibido, los empleados volverán a usar las herramientas en la sombra. La política tiene que ser realista y dejar margen de uso productivo.

Hacerla demasiado vaga. «Usad la IA con sentido común» no es una política, es un deseo. La utilidad está en la concreción.

Lanzarla y olvidarla. Sin formación, sin recordatorios y sin revisiones periódicas, cualquier política se diluye en pocos meses.

No involucrar al equipo en su diseño. Una política impuesta desde arriba sin consultar a quienes van a aplicarla genera rechazo. Una política co-creada con los responsables de área tiene mucho más buy-in.

No medir su efectividad. Si no sabes cuántas herramientas nuevas se han evaluado, cuántos incidentes se han producido o qué porcentaje del equipo ha recibido formación, no puedes saber si la política está funcionando.

Para terminar

Las empresas que están sacando más partido de la IA no son necesariamente las que tienen más presupuesto ni las más tecnológicas. Son las que han sabido crear un marco claro para que sus equipos la usen bien.

Diseñar una política interna no es burocracia. Es una decisión estratégica que te protege de riesgos innecesarios, te pone en línea con la nueva regulación europea y, al mismo tiempo, da a tu equipo la confianza de que puede innovar sin miedo a cometer un error grave. Las dos cosas son compatibles, y de hecho se refuerzan: los equipos que tienen reglas claras experimentan más, no menos.

Con la entrada en vigor de la mayoría de obligaciones del AI Act prevista para agosto de 2027, este es además el momento natural para empezar. Llegar tarde no solo te expone a sanciones: te deja por detrás de competidores que ya han hecho los deberes.

Si todavía no tienes nada parecido en tu empresa, este es un buen momento para empezar. Y no tienes que hacerlo solo.

En Grupo Drakkar ayudamos a empresas B2B a modernizar sus procesos y herramientas de forma ordenada y con criterio estratégico, incluido el diseño e implantación de políticas de uso de IA adaptadas a la realidad de cada empresa. Si quieres orientación para adaptar esto a tu empresa, escríbenos y lo vemos juntos.

 

Imagen:Freepik

*Acción asistida por IA en todas o cualquiera de sus fases (planificación, segmentación, mensaje, etc.), con supervisión y aprobación humana, rigurosa y constante, para asegurar que cada palabra refleje nuestros valores.

Jesús Blanco

Sobre mí

Consultor y formador con  +25 años ayudando a PYMEs B2B a crecer mediante estrategia empresarial, innovación, modelos de negocio, Design Thinking e IA. CEO de Grupo Drakkar, profesor asociado en escuelas de negocio y autor de “De CERO a INFINITO”. Diseño planes y acciones para el crecimiento de PYMEs B2B.

Solicita una reunión conmigo

Cómo crear un sistema comercial que funcione sin salvavidas ni apaga fuegos

Si tu empresa solo vende bien cuando tú estás encima, no tienes un sistema comercial. Tienes un cuello de botella con tu nombre. Es el patrón más repetido en la gran mayoría de las PYMEs en...
Leer más

Automatización inteligente para mejorar la productividad (pero cumpliendo la ley)

Tu equipo no necesita trabajar más horas. Necesita dejar de hacer cosas que ya no debería hacer nadie. Esa es la diferencia entre digitalizar (incorporar tecnología) y automatizar con inteligencia...
Leer más

Convierte LinkedIn en tu principal canal para conseguir clientes y utiliza la IA para multiplicar los resultados

El 80% de tus posibles clientes se encuentran en LinkedIn. Y sin embargo, la mayoría de PYMEs lo usan como si fuera un tablón de anuncios: publican un enlace a su web, esperan clics… y no pasa nada....
Leer más