Como Crear una Politica de Uso de IA en tu Empresa: Plantilla Completa y Guia Paso a Paso [2026]
Necesitas implantar una politica de uso de IA en tu organizacion? En mi servicio de formacion para empresas ayudo a equipos directivos a disenar e implementar politicas de IA adaptadas a su sector, con cumplimiento normativo incluido.
TL;DR - Lo Que Necesitas Saber
- El 47% de los empleados en empresas tecnologicas ya usa herramientas de IA sin autorizacion formal (Salesforce, 2024). Si tu empresa no tiene una politica de uso de IA, ya estas asumiendo riesgos legales y de seguridad sin saberlo.
- Una multa GDPR por uso inadecuado de IA cuesta entre 10.000 y 20.000.000 EUR. Una politica de uso de IA cuesta 0 EUR y 2 horas de redaccion. El retorno de inversion es infinito.
- El EU AI Act obliga desde febrero de 2025 a que todas las empresas que usen IA formen a sus empleados (Articulo 4, AI Literacy). Desde agosto de 2026, las multas por incumplimiento de alto riesgo llegan a 35 millones de euros o el 7% de facturacion global.
- Este articulo incluye una plantilla completa con las 10 secciones que toda politica de uso de IA debe tener: herramientas aprobadas, datos prohibidos, responsabilidades, revision de output, propiedad intelectual, proveedores, formacion, reporting, sanciones y revision periodica.
- La AEPD publico en 2025 su propia politica interna de uso de IA generativa, el primer documento de este tipo en el sector publico espanol, que sirve como referencia directa para empresas privadas.
- La clave del exito no es prohibir la IA, sino regularla. Las empresas que prohiben toda IA pierden competitividad. Las que la adoptan sin politica asumen riesgos innecesarios. La politica de uso es el punto medio.
En Resumen
- Toda empresa que use herramientas de IA necesita una politica de uso escrita y aprobada por direccion, independientemente de su tamaño. No es una recomendacion: el EU AI Act exige formacion y gobernanza, y el GDPR responsabiliza al responsable del tratamiento de cualquier dato personal procesado por IA.
- Una politica de uso de IA efectiva tiene 10 secciones minimas: herramientas aprobadas, clasificacion de datos prohibidos, responsabilidades, revision de outputs, propiedad intelectual, proveedores aprobados, formacion obligatoria, mecanismo de reporting, regimen de sanciones internas y calendario de revision periodica.
- La AEPD ha publicado su politica interna de IA generativa y un resumen de obligaciones (enero 2026) que cualquier empresa puede usar como base para su propia politica.
- El coste de no tener politica es exponencialmente mayor que el de tenerla: brechas de datos, multas GDPR, sanciones del EU AI Act, perdida de clientes y daño reputacional.
- Las herramientas de IA no son iguales en seguridad: ChatGPT Free entrena con tus datos, mientras que Claude Team no. Tu politica debe clasificar cada herramienta y plan como aprobado, restringido o prohibido.
- La formacion no es opcional: el Articulo 4 del EU AI Act (AI Literacy) obliga a todas las empresas a garantizar que sus empleados tienen un nivel suficiente de alfabetizacion en IA.
- Una politica que no se revisa esta muerta. El ecosistema de herramientas de IA cambia cada trimestre. Establece un ciclo de revision minimo trimestral.
Cada dia, empleados de tu empresa copian datos de clientes, codigo propietario, estrategias internas y documentos confidenciales en herramientas de inteligencia artificial. Y cada dia, la mayoria de estos empleados lo hace sin ninguna guia formal sobre que pueden y que no pueden enviar.
No es una exageracion. Segun un informe de Salesforce publicado en febrero de 2025, el 47% de los empleados en empresas tecnologicas utiliza herramientas de IA generativa sin que su empresa haya aprobado formalmente su uso. Este fenomeno, conocido como "Shadow AI", es actualmente el mayor punto ciego de ciberseguridad y cumplimiento legal para las empresas.
El problema no es la IA en si misma. La IA generativa es una de las tecnologias mas transformadoras de esta decada y las empresas que no la adopten perderan competitividad. El problema es usarla sin reglas claras. Y las consecuencias de no tener reglas van desde brechas de datos hasta multas millonarias.
"Las organizaciones deben evaluar el impacto en la proteccion de datos antes de implementar cualquier sistema de inteligencia artificial que procese datos personales. La responsabilidad es del responsable del tratamiento, no del proveedor tecnologico." -- AEPD, Guia sobre el uso de la IA y el RGPD, actualizada en diciembre de 2025.
Como consultor de IA que ha ayudado a empresas a implementar estas herramientas de forma segura, he redactado esta guia para que puedas crear la politica de uso de IA de tu empresa hoy mismo, sin necesidad de contratar un bufete de abogados ni una consultora Big Four. Incluye una plantilla completa con las 10 secciones obligatorias, un checklist de cumplimiento del EU AI Act, una tabla de clasificacion de herramientas y los errores mas comunes que debes evitar.
"La politica de uso de IA no es un documento defensivo: es una herramienta de competitividad. Las empresas que definen reglas claras adoptan IA mas rapido y con menos incidentes que las que improvisan." -- Javier Santos Criado, consultor de IA y automatizacion.
Por Que tu Empresa Necesita una Politica de Uso de IA Ahora
No tener una politica de uso de IA en 2026 es el equivalente a no tener una politica de proteccion de datos en 2018 cuando entro en vigor el GDPR. En ambos casos, la ley ya existe, las multas ya son reales y el periodo de gracia se ha terminado.
Estas son las razones concretas por las que necesitas actuar ahora:
Razon 1: El EU AI Act Ya Es Obligatorio
El Reglamento Europeo de Inteligencia Artificial (EU AI Act, Reglamento UE 2024/1689) entro en vigor el 1 de agosto de 2024 y su aplicacion es escalonada:
| Fecha | Obligacion |
|---|---|
| Febrero 2025 | Prohibicion de sistemas de IA de riesgo inaceptable. Obligacion de AI Literacy (Articulo 4): todas las empresas deben formar a sus empleados en IA. |
| Agosto 2025 | Obligaciones de transparencia para modelos de proposito general (GPAI). Regimen sancionador aplicable. |
| Agosto 2026 | Aplicacion plena de obligaciones para sistemas de IA de alto riesgo. |
Para un analisis completo del EU AI Act y su impacto en empresas espanolas, consulta mi guia detallada sobre el Reglamento IA Europeo en Espana: multas, plazos y obligaciones.
Razon 2: El GDPR Responsabiliza a tu Empresa
Cuando un empleado pega datos de clientes en ChatGPT, eso constituye un "tratamiento de datos personales" segun el GDPR. El responsable del tratamiento no es OpenAI: eres tu. Si no tienes una politica que defina que datos se pueden enviar y cuales no, estas incumpliendo los principios de minimizacion de datos y proteccion desde el diseno (Privacy by Design) del GDPR.
Las multas del GDPR llegan hasta 20 millones de euros o el 4% de la facturacion global. Y las autoridades de proteccion de datos europeas ya estan investigando activamente el uso de IA en empresas. En enero de 2026, la AEPD abrio una investigacion sobre el uso de herramientas de IA generativa en el sector sanitario espanol por posibles transferencias no autorizadas de datos de pacientes.
Razon 3: Shadow AI Es un Riesgo Real
El termino Shadow AI describe el uso no autorizado de herramientas de IA por parte de empleados sin conocimiento ni aprobacion de la empresa. Es el equivalente al Shadow IT de la decada anterior, pero con un riesgo exponencialmente mayor porque las herramientas de IA procesan y pueden almacenar cualquier dato que se les envie.
Los numeros son claros:
| Estadistica | Fuente |
|---|---|
| 47% de empleados usa IA sin autorizacion | Salesforce, 2024 |
| El coste medio de una brecha de datos en Espana es 3,6M EUR | IBM Cost of a Data Breach, 2024 |
| 68% de empresas espanolas con IA no han empezado a adaptarse al EU AI Act | Observatorio Nacional de IA, enero 2026 |
| Meta exige dominio de IA como criterio de evaluacion de empleados desde 2026 | Infobae, noviembre 2025 |
Razon 4: Las Multas por No Cumplir Son Desproporcionadamente Altas
| Regulacion | Multa Maxima | % Facturacion Global |
|---|---|---|
| EU AI Act (prohibiciones) | 35M EUR | 7% |
| EU AI Act (alto riesgo) | 15M EUR | 3% |
| GDPR | 20M EUR | 4% |
| NIS2 (Ciberseguridad) | 10M EUR | 2% |
Las 10 Secciones Que Debe Tener tu Politica de Uso de IA
A continuacion te presento la plantilla completa. Cada seccion incluye el texto modelo que puedes adaptar directamente a tu empresa.
Seccion 1: Herramientas Aprobadas, Restringidas y Prohibidas
Esta es la seccion mas importante de toda la politica. Sin una clasificacion clara de herramientas, cada empleado tomara sus propias decisiones, y la mayoria elegira la opcion mas comoda, no la mas segura.
Tu politica debe clasificar cada herramienta en tres categorias:
| Herramienta y Plan | Clasificacion | Justificacion |
|---|---|---|
| Claude Team / Enterprise (Anthropic) | Aprobada | No entrena con datos comerciales desde marzo 2023. SOC 2 Type II. DPA disponible. |
| ChatGPT Team (OpenAI) | Aprobada | No entrena con datos por defecto. SOC 2 Type II. DPA disponible. 25 USD/usuario/mes. |
| ChatGPT Enterprise (OpenAI) | Aprobada | Maximo nivel de seguridad. ZDR disponible. Data residency configurable. |
| GitHub Copilot Business | Aprobada | No retiene ni entrena con codigo. 19 USD/usuario/mes. |
| ChatGPT Plus (OpenAI) | Restringida | Entrena con datos por defecto. Opt-out manual requerido. Sin DPA. Solo para datos publicos. |
| ChatGPT Free (OpenAI) | Restringida | Entrena con datos por defecto. Sin opt-out completo. Solo investigacion con datos publicos. |
| Claude Free (Anthropic) | Restringida | Puede usar conversaciones para entrenamiento. Sin DPA. Solo para datos no sensibles. |
| GitHub Copilot Individual | Restringida | Puede retener fragmentos de codigo. Solo para proyectos open source. |
| Cursor (sin Privacy Mode) | Restringida | Envia codigo a servidores de terceros sin restricciones. Activar Privacy Mode obligatorio. |
| Gemini Free (Google) | Restringida | Utiliza conversaciones para entrenamiento. Retencion hasta 18 meses. |
| Cualquier IA sin DPA | Prohibida | Herramientas sin Data Processing Agreement no pueden procesar datos empresariales. |
| IA de origen desconocido | Prohibida | Aplicaciones moviles o web sin politica de privacidad verificable. |
| Deepfake generators | Prohibida | Herramientas de generacion de deepfakes para uso corporativo estan prohibidas por el EU AI Act sin etiquetado. |
"Los empleados solo podran utilizar herramientas de IA clasificadas como 'Aprobadas' para el tratamiento de datos empresariales. Las herramientas 'Restringidas' solo podran usarse para tareas con datos publicos y previa autorizacion del responsable de departamento. Las herramientas 'Prohibidas' no podran usarse en ningun contexto laboral. El incumplimiento de esta clasificacion se considerara una falta grave segun el regimen sancionador interno."
Para una comparativa detallada de las politicas de datos de cada herramienta, consulta mi analisis sobre donde van tus datos en ChatGPT, Claude, Cursor y Copilot.
Seccion 2: Datos Prohibidos -- Que No Se Puede Enviar Nunca
Ninguna herramienta de IA, por segura que sea, debe recibir ciertos tipos de datos. Esta seccion debe ser absolutamente clara y no dejar margen a la interpretacion.
Datos cuyo envio a herramientas de IA queda terminantemente prohibido:
- Datos personales de clientes: nombres, DNI, direcciones, correos electronicos, telefonos, datos bancarios, historiales medicos o cualquier dato que identifique o pueda identificar a una persona fisica.
- Credenciales y secretos: contraseñas, tokens de API, claves SSH, certificados digitales, credenciales de acceso a sistemas internos.
- Informacion financiera no publicada: resultados trimestrales antes de su publicacion, proyecciones financieras internas, estrategias de pricing no comunicadas.
- Codigo fuente critico: algoritmos propietarios que constituyan el nucleo competitivo de la empresa, sistemas de seguridad, codigo relacionado con criptografia o autenticacion.
- Estrategia corporativa confidencial: planes de adquisicion, informacion sobre fusiones, estrategias competitivas documentadas como confidenciales.
- Datos de categorias especiales (GDPR Art. 9): datos de salud, orientacion sexual, afiliacion sindical, datos biometricos, opiniones politicas o creencias religiosas.
- Informacion sujeta a secreto profesional: datos cubiertos por secreto de abogado-cliente, secreto medico o cualquier otra obligacion de confidencialidad legal.
Texto modelo para tu politica:
"Queda estrictamente prohibido el envio de datos personales de clientes, credenciales de acceso, informacion financiera no publicada, codigo fuente critico, datos de categorias especiales del GDPR (Art. 9) e informacion sujeta a secreto profesional a cualquier herramienta de inteligencia artificial, independientemente de su clasificacion como aprobada. En caso de duda, el empleado debera consultar con el responsable de proteccion de datos (DPO) antes de proceder."
Seccion 3: Responsabilidades -- Quien Hace Que
Una politica sin responsabilidades asignadas es un documento decorativo. Cada rol de la organizacion debe saber exactamente que le corresponde.
| Rol | Responsabilidades |
|---|---|
| Direccion General / CEO | Aprobar la politica, asignar presupuesto para formacion y herramientas enterprise, revisar anualmente. |
| CTO / Director de Tecnologia | Evaluar y aprobar herramientas tecnicas, gestionar licencias enterprise, configurar controles tecnicos. |
| DPO / Responsable de Privacidad | Realizar evaluaciones de impacto (DPIA), supervisar cumplimiento GDPR, gestionar DPA con proveedores. |
| Responsable de Cumplimiento | Supervisar cumplimiento del EU AI Act, coordinar con AESIA si es necesario, gestionar el registro de sistemas de IA. |
| Responsables de Departamento | Autorizar el uso de herramientas restringidas en su equipo, supervisar que los empleados cumplen la politica. |
| Todos los Empleados | Cumplir la politica, completar la formacion obligatoria, reportar incidentes, no usar herramientas prohibidas. |
| Comite de IA (si existe) | Revisar la politica trimestralmente, evaluar nuevas herramientas, gestionar solicitudes de excepcion. |
"El CTO sera responsable de la evaluacion tecnica y aprobacion de herramientas de IA. El DPO sera responsable de la evaluacion de impacto en proteccion de datos (DPIA) de cada herramienta aprobada. Los responsables de departamento autorizaran el uso de herramientas restringidas en su ambito. Todos los empleados seran responsables de cumplir la politica y reportar cualquier incidente o duda al DPO."
Seccion 4: Revision de Output -- Verificacion Obligatoria Antes de Usar Resultados
La IA genera contenido que puede contener errores factuales, alucinaciones, sesgos o informacion desactualizada. Ningun output de una herramienta de IA debe publicarse, enviarse a un cliente o usarse en una decision empresarial sin revision humana.
Reglas de revision de output:
- Revision obligatoria: Todo contenido generado por IA debe ser revisado por un humano cualificado antes de su uso, publicacion o envio a terceros.
- No copiar y pegar directamente: Ningun output de IA debe usarse tal cual en comunicaciones con clientes, documentos legales, informes financieros o materiales publicos sin revision.
- Verificacion de hechos: Los datos, cifras, citas y referencias generados por IA deben verificarse contra fuentes primarias.
- Deteccion de sesgos: El revisor debe evaluar si el output contiene sesgos de genero, raza, edad u otros criterios protegidos, especialmente en contextos de seleccion de personal o evaluacion.
- Etiquetado de contenido: Todo contenido generado con asistencia de IA que se publique externamente debe etiquetarse como tal cuando sea requerido por el EU AI Act (sistemas de riesgo limitado y transparencia de contenido generado).
- Responsabilidad: La persona que revisa y aprueba el output asume la responsabilidad sobre su contenido, no la herramienta de IA.
Texto modelo para tu politica:
"Todo output generado por herramientas de inteligencia artificial debera ser revisado por un profesional cualificado antes de su uso en comunicaciones externas, documentacion contractual, informes financieros o decisiones que afecten a personas. El revisor sera responsable de verificar la exactitud factual, detectar posibles sesgos y garantizar que el contenido cumple con la normativa aplicable. El contenido generado con IA que se publique externamente debera etiquetarse como tal cuando la normativa lo requiera."
Seccion 5: Propiedad Intelectual -- A Quien Pertenece lo que Genera la IA
La propiedad intelectual del contenido generado por IA es una de las areas legales mas complejas y menos definidas de 2026. Tu politica debe establecer reglas claras mientras la legislacion se consolida.
Principios para tu politica:
- El output de la IA no es automaticamente propiedad de la empresa en todas las jurisdicciones. En la UE, la proteccion por derechos de autor requiere un grado de creatividad humana. El output puro de una IA puede no estar protegido.
- El input si puede estar protegido: si un empleado pega codigo propietario en una herramienta de IA que entrena con datos de usuarios, la empresa puede estar cediendo derechos inadvertidamente.
- Riesgo de infraccion: el output de la IA puede reproducir fragmentos de contenido protegido incluido en sus datos de entrenamiento. La empresa que publica ese output puede ser responsable de la infraccion.
- Regla practica: todo output de IA debe tratarse como un borrador que requiere aportacion creativa humana significativa para generar derechos de autor.
Texto modelo para tu politica:
"El contenido generado exclusivamente por herramientas de inteligencia artificial no se considerara propiedad intelectual de la empresa hasta que haya sido sustancialmente modificado por un empleado. Los empleados que utilicen IA como herramienta de apoyo creativo deberan documentar su aportacion original. Queda prohibido enviar codigo fuente o contenido protegido por propiedad intelectual de la empresa a herramientas de IA que entrenen con datos de usuarios."
Seccion 6: Proveedores Aprobados -- Criterios de Evaluacion
No basta con aprobar una herramienta: debes aprobar al proveedor. Cada proveedor de IA debe cumplir unos criterios minimos de seguridad y compliance.
Criterios minimos para aprobar un proveedor de IA:
| Criterio | Requisito Minimo | Ideal |
|---|---|---|
| DPA (Data Processing Agreement) | Obligatorio | Con clausulas especificas de IA |
| Certificacion SOC 2 Type II | Recomendado | Obligatorio para datos sensibles |
| ISO 27001 | Recomendado | Obligatorio para grandes empresas |
| GDPR compliance | Obligatorio | Con representante en UE |
| Politica de no-entrenamiento | Plan de pago con opt-out | No-entrenamiento por defecto |
| Cifrado en transito | TLS 1.2+ | TLS 1.3 |
| Cifrado en reposo | AES-256 | AES-256 con BYOK |
| Data residency EU | Recomendado | Obligatorio para datos regulados |
| Audit logs | Recomendado | Obligatorio |
| Retencion de datos | Maxima 30 dias | Zero Data Retention |
"Todo proveedor de herramientas de inteligencia artificial debera disponer, como minimo, de un Data Processing Agreement (DPA) compatible con el GDPR, politica de no-entrenamiento con datos de clientes en el plan contratado, y cifrado TLS 1.2+ en transito y AES-256 en reposo. Los proveedores que no cumplan estos criterios no seran aprobados. El CTO y el DPO evaluaran conjuntamente cada nuevo proveedor antes de su aprobacion."
Seccion 7: Formacion Obligatoria -- AI Literacy (Articulo 4 EU AI Act)
El Articulo 4 del EU AI Act entro en vigor el 2 de febrero de 2025 y obliga a todas las empresas que usen IA a garantizar que sus empleados tienen un nivel suficiente de alfabetizacion en IA. No es una recomendacion: es una obligacion legal.
Segun la Comision Europea, las medidas minimas que debe tomar tu empresa son:
- Garantizar la comprension general de la IA: los empleados deben entender que es la IA, como funciona, que sistemas de IA se usan en la empresa y los riesgos y oportunidades asociados.
- Adaptar la formacion al contexto: la formacion debe adaptarse al nivel tecnico del empleado, su rol en la empresa y el tipo de sistemas de IA que utiliza.
- Incluir a contratistas y colaboradores: la obligacion no se limita a empleados internos. Se extiende a "otras personas que operen o usen sistemas de IA en nombre de la empresa", incluyendo contratistas, proveedores y clientes que interactuen con tus sistemas de IA.
- Documentar la formacion: aunque el Articulo 4 no especifica sanciones directas, la falta de formacion puede generar responsabilidad civil si un empleado no formado causa daño a terceros usando IA.
Plan de formacion recomendado:
| Frecuencia | Contenido | Publico |
|---|---|---|
| Onboarding | Politica de uso de IA, herramientas aprobadas, datos prohibidos | Todos los nuevos empleados |
| Trimestral | Actualizacion de herramientas, nuevas funcionalidades, casos de uso | Todos los empleados |
| Semestral | Compliance EU AI Act, GDPR, novedades regulatorias | Responsables de departamento, legal, IT |
| Anual | Revision completa de la politica, simulacros de incidentes | Direccion, comite de IA |
| Bajo demanda | Formacion especifica cuando se aprueba una nueva herramienta | Equipos afectados |
Para cumplir con esta obligacion de forma practica, puedes consultar mi checklist de adopcion de IA para empresas que incluye un plan de formacion detallado.
Texto modelo para tu politica:
"Todos los empleados que utilicen o interactuen con sistemas de inteligencia artificial deberan completar un programa de formacion obligatorio en AI Literacy, en cumplimiento del Articulo 4 del Reglamento (UE) 2024/1689. La formacion incluira: comprension basica de la IA, politica de uso de la empresa, herramientas aprobadas, tipos de datos prohibidos y procedimiento de reporte de incidentes. La formacion se impartira en el onboarding y se actualizara trimestralmente. La participacion sera registrada y documentada."
Seccion 8: Mecanismo de Reporting -- Como Reportar Incidentes y Dudas
Los empleados necesitan un canal claro para reportar incidentes de seguridad relacionados con IA y para consultar dudas antes de cometer un error. Si el proceso es complicado, nadie lo usara.
Tipos de incidentes que deben reportarse:
- Envio accidental de datos prohibidos a una herramienta de IA.
- Descubrimiento de que un compañero esta usando herramientas prohibidas.
- Output de IA que contiene datos personales de terceros no esperados.
- Sospecha de que una herramienta de IA ha sido comprometida.
- Recepcion de un output que parece reproducir contenido protegido por propiedad intelectual de terceros.
Protocolo de respuesta:
| Gravedad | Ejemplo | Tiempo de Respuesta | Accion |
|---|---|---|---|
| Critica | Datos de clientes enviados a IA no aprobada | Inmediata (< 1 hora) | Notificar DPO y CISO. Evaluar notificacion a AEPD (72h GDPR). |
| Alta | Uso de herramienta prohibida con datos internos | < 4 horas | Notificar DPO. Evaluar alcance del incidente. |
| Media | Uso de herramienta restringida sin autorizacion | < 24 horas | Notificar responsable de departamento. Formacion adicional. |
| Baja | Duda sobre si un dato se puede enviar | < 48 horas | Consultar con DPO. Documentar para FAQ interna. |
"Los empleados deberan reportar cualquier incidente de seguridad relacionado con herramientas de IA a traves de [canal: email dedicado, formulario intranet, Slack/Teams]. El DPO evaluara la gravedad del incidente y coordinara la respuesta segun el protocolo establecido. No se aplicaran sanciones por el reporte de buena fe de incidentes propios. El ocultamiento deliberado de un incidente se considerara falta grave."
Seccion 9: Regimen de Sanciones Internas
Una politica sin consecuencias es una sugerencia, no una norma. Las sanciones deben ser proporcionales y progresivas.
| Tipo de Infraccion | Ejemplo | Sancion |
|---|---|---|
| Leve | Usar herramienta restringida sin autorizacion para datos publicos | Amonestacion verbal + formacion adicional obligatoria |
| Grave | Enviar datos internos no sensibles a herramienta prohibida | Amonestacion escrita + formacion obligatoria + restriccion temporal de acceso a herramientas de IA |
| Muy grave | Enviar datos personales de clientes o credenciales a herramienta no aprobada | Expediente disciplinario segun convenio colectivo + notificacion a DPO + evaluacion de impacto + posible notificacion a AEPD |
- Proporcionalidad: la sancion debe ser proporcional a la gravedad del incidente y la intencionalidad.
- Progresividad: primera infraccion leve = formacion; reincidencia = medidas disciplinarias.
- No represalias: reportar un incidente de buena fe nunca puede ser sancionado.
- Documentacion: toda sancion debe documentarse y comunicarse al empleado.
Texto modelo para tu politica:
"El incumplimiento de esta politica dara lugar a las medidas disciplinarias previstas en el convenio colectivo aplicable y la legislacion laboral vigente. Las sanciones seran proporcionales a la gravedad de la infraccion y tendran caracter progresivo. El reporte de buena fe de incidentes propios no sera objeto de sancion. Las infracciones que impliquen la exposicion de datos personales de clientes seran comunicadas al DPO para evaluar la obligacion de notificacion a la AEPD."
Seccion 10: Revision Periodica -- Calendario de Actualizacion
El ecosistema de herramientas de IA cambia cada mes. Una politica de enero puede estar obsoleta en abril. Establece un calendario fijo de revision.
Calendario de revision recomendado:
| Frecuencia | Alcance | Responsable |
|---|---|---|
| Mensual | Revision de nuevas herramientas en el mercado, actualizacion de clasificacion si es necesario | CTO |
| Trimestral | Revision completa de la tabla de herramientas aprobadas/restringidas/prohibidas, actualizacion de proveedores | CTO + DPO |
| Semestral | Revision del regimen sancionador, evaluacion de eficacia de la formacion, audit de cumplimiento | Comite de IA o Direccion |
| Anual | Revision integral de toda la politica, alineacion con cambios regulatorios (EU AI Act, GDPR), aprobacion por direccion | Direccion General |
| Extraordinaria | Cuando se produzca un incidente grave, un cambio regulatorio significativo o la adopcion de una nueva herramienta critica | DPO + CTO |
"Esta politica sera revisada trimestralmente por el CTO y el DPO, y anualmente de forma integral por la Direccion General. Toda actualizacion sera comunicada a los empleados y requerira la repeticion de la formacion cuando los cambios afecten a la tabla de herramientas aprobadas o a los tipos de datos prohibidos. La version vigente de la politica estara siempre disponible en [ubicacion: intranet, wiki interna, carpeta compartida]."
Checklist de Cumplimiento EU AI Act para tu Politica de IA
Antes de dar por terminada tu politica, verifica que cumple con estos requisitos del EU AI Act.
Obligaciones Ya Vigentes (febrero 2025+)
- [ ] AI Literacy (Art. 4): programa de formacion documentado para todos los empleados que usen o interactuen con IA.
- [ ] Prohibiciones (Art. 5): verificacion de que ningun sistema de IA utilizado por la empresa cae en la categoria de riesgo inaceptable (scoring social, manipulacion subliminal, vigilancia biometrica masiva).
- [ ] Transparencia GPAI (Art. 52-56): los modelos de proposito general (ChatGPT, Claude, Gemini) que uses estan sujetos a obligaciones de transparencia del proveedor, y tu como deployer debes informar a los usuarios cuando interactuan con IA.
Obligaciones desde Agosto 2025
- [ ] Regimen sancionador activo: las autoridades nacionales (AESIA en Espana) ya pueden imponer sanciones.
- [ ] Obligaciones GPAI completas: los proveedores de modelos de proposito general deben cumplir con documentacion tecnica, politica de derechos de autor y transparencia.
Obligaciones desde Agosto 2026
- [ ] Alto riesgo (Anexo III): si tu empresa despliega IA en seleccion de personal, credito, educacion, infraestructuras criticas u otras areas del Anexo III, debes tener: evaluacion de conformidad, evaluacion de impacto en derechos fundamentales, supervision humana, logs de actividad durante 5 años y documentacion tecnica completa.
- [ ] Registro en la base de datos EU: los sistemas de alto riesgo deben registrarse en la base de datos de la UE antes de su comercializacion o puesta en servicio.
- [ ] Evaluacion de impacto (DPIA): obligatoria para sistemas de alto riesgo que procesen datos personales (doble obligacion EU AI Act + GDPR).
Especifico para Espana
- [ ] AESIA como autoridad competente: la Agencia Espanola de Supervision de IA (sede en A Coruña) es tu interlocutor. Consultar sus guias disponibles en su web.
- [ ] Sandbox regulatorio: si desarrollas IA innovadora, puedes solicitar acceso al sandbox de AESIA (segunda convocatoria prevista para abril 2026).
- [ ] AEPD para datos personales: la AEPD sigue siendo la autoridad competente para proteccion de datos. Si tu uso de IA implica datos personales, ambas autoridades (AESIA y AEPD) pueden intervenir.
- [ ] Referencia AEPD: consultar la politica interna de IA generativa publicada por la AEPD como modelo de referencia.
Errores Comunes al Crear una Politica de Uso de IA
Error 1: No Tener Politica
Es el error mas grave y el mas extendido. El 68% de las empresas espanolas que usan IA no tienen ningun documento formal que regule su uso (Observatorio Nacional de IA, enero 2026). Esto significa que cada empleado toma sus propias decisiones sobre que herramientas usar, que datos enviar y como verificar los resultados.
Consecuencia real: Samsung tuvo que prohibir ChatGPT en toda la empresa en 2023 despues de que varios ingenieros pegaran codigo fuente confidencial en conversaciones con el chatbot. Si hubieran tenido una politica preventiva, el incidente no habria ocurrido.
Solucion: Crear una politica minima viable en 2 horas siguiendo las 10 secciones de esta guia. No tiene que ser perfecta para ser util.
Error 2: Politica Demasiado Restrictiva
Prohibir todas las herramientas de IA es tan peligroso como no regular ninguna. Si la politica dice "queda prohibido el uso de cualquier herramienta de inteligencia artificial", los empleados seguiran usandolas a escondidas (Shadow AI), pero ahora sin ninguna guia sobre como hacerlo de forma segura.
Consecuencia real: las empresas que prohiben la IA pierden talento (los profesionales quieren trabajar con herramientas modernas), pierden productividad y no eliminan el riesgo, solo lo ocultan.
Solucion: Clasificar herramientas en aprobadas, restringidas y prohibidas. Dar a los empleados opciones seguras para que no necesiten buscar alternativas no autorizadas.
Error 3: No Formar al Equipo
Una politica que nadie lee ni entiende es papel mojado. El Articulo 4 del EU AI Act (AI Literacy) no exige que tengas un documento: exige que tus empleados tengan un nivel suficiente de alfabetizacion en IA.
Consecuencia real: un empleado que no sabe que ChatGPT Free entrena con sus conversaciones puede enviar datos de clientes pensando que es seguro. La formacion previene esto.
Solucion: Formacion obligatoria en el onboarding, actualizacion trimestral y documentacion verificable. Consulta mi guia sobre seguridad de Claude Code para empresas para un ejemplo practico de formacion en herramientas especificas.
Error 4: No Actualizar la Politica
Una politica de enero de 2026 que no se ha revisado puede estar obsoleta en marzo de 2026. En ese periodo, OpenAI puede haber cambiado sus politicas de entrenamiento, Anthropic puede haber lanzado nuevos planes, o AESIA puede haber publicado nuevas directrices.
Consecuencia real: una empresa aprueba ChatGPT Plus como herramienta segura en su politica. Tres meses despues, OpenAI modifica sus terminos de servicio. La politica sigue diciendo que es segura, pero ya no lo es bajo los nuevos terminos.
Solucion: Revision trimestral obligatoria de la tabla de herramientas. Revision anual completa de toda la politica.
Error 5: Ignorar la Propiedad Intelectual
Muchas politicas cubren la seguridad de datos pero ignoran por completo la propiedad intelectual. Si un empleado genera un articulo completo con ChatGPT y lo publica como contenido propio de la empresa, podria estar infringiendo derechos de autor de terceros (si el modelo reprodujo contenido protegido) o podria no tener proteccion de derechos de autor sobre el contenido generado.
Solucion: Incluir la Seccion 5 de esta guia (Propiedad Intelectual) en tu politica y exigir aportacion creativa humana significativa en todo contenido que se publique.
Modelo Completo: Texto Base de la Politica
A continuacion te presento el documento completo que puedes copiar, adaptar y hacer aprobar por tu direccion. Sustituye los corchetes por la informacion especifica de tu empresa.
POLITICA DE USO DE HERRAMIENTAS DE INTELIGENCIA ARTIFICIAL
[Nombre de la Empresa]
Version: 1.0 Fecha de aprobacion: [Fecha] Proxima revision: [Fecha + 3 meses] Aprobado por: [Nombre y cargo] Responsable: [CTO / DPO]
1. OBJETO Y ALCANCE
Esta politica establece las normas y directrices para el uso de herramientas de inteligencia artificial por parte de todos los empleados, contratistas y colaboradores de [Nombre de la Empresa]. Se aplica a todas las herramientas de IA generativa (ChatGPT, Claude, Gemini, Copilot, Cursor, entre otras), modelos de lenguaje, asistentes de codigo y cualquier otro sistema de IA utilizado en el ambito laboral.
2. HERRAMIENTAS APROBADAS
[Insertar tabla de la Seccion 1 adaptada a tu empresa]
3. DATOS PROHIBIDOS
[Insertar listado de la Seccion 2]
4. RESPONSABILIDADES
[Insertar tabla de la Seccion 3]
5. REVISION DE OUTPUT
[Insertar reglas de la Seccion 4]
6. PROPIEDAD INTELECTUAL
[Insertar principios de la Seccion 5]
7. PROVEEDORES APROBADOS
[Insertar criterios de la Seccion 6]
8. FORMACION OBLIGATORIA
[Insertar plan de la Seccion 7]
9. REPORTE DE INCIDENTES
[Insertar protocolo de la Seccion 8]
10. REGIMEN SANCIONADOR
[Insertar tabla de la Seccion 9]
11. REVISION Y ACTUALIZACION
[Insertar calendario de la Seccion 10]
ANEXO A: Listado completo de herramientas evaluadas y su clasificacion. ANEXO B: Registro de formaciones realizadas. ANEXO C: Registro de incidentes. ANEXO D: DPA firmados con proveedores de IA.
Preguntas Frecuentes
Es obligatorio tener una politica de uso de IA en mi empresa?
No existe una ley que exija explicitamente un "documento de politica de uso de IA". Sin embargo, el Articulo 4 del EU AI Act obliga a garantizar la AI Literacy de los empleados, el GDPR obliga a documentar las medidas de proteccion de datos, y la AEPD recomienda politicas internas de uso de IA generativa. En la practica, una politica escrita es la forma mas eficiente de cumplir con estas tres obligaciones simultaneamente.
Cuanto tiempo lleva crear una politica de uso de IA?
Entre 2 y 8 horas, dependiendo del tamaño de la empresa. Una PYME de 20 empleados puede adaptar esta plantilla en 2 horas. Una empresa de 500 empleados con multiples departamentos y sistemas de IA de alto riesgo puede necesitar 1-2 semanas para un documento completo, incluyendo la evaluacion de impacto.
Que pasa si un empleado incumple la politica?
Depende de la gravedad de la infraccion y del regimen sancionador que hayas definido. Las infracciones leves (usar una herramienta restringida sin autorizacion) se resuelven con formacion. Las graves (enviar datos de clientes a herramientas no aprobadas) pueden derivar en expediente disciplinario y, si hay brecha de datos personales, en la obligacion de notificar a la AEPD en un plazo de 72 horas.
Mi empresa es pequeña y solo usamos ChatGPT. Necesito todo esto?
Necesitas una version simplificada, pero si, la necesitas. Aunque tu empresa tenga 5 empleados, si alguno pega datos de clientes en ChatGPT Free, tu empresa es la responsable del tratamiento de esos datos. Una politica de 2 paginas que diga "usamos ChatGPT Team, no enviamos datos de clientes, y revisamos todo antes de enviarlo" es suficiente para empezar.
Que diferencia hay entre el EU AI Act y el GDPR en relacion con la politica de IA?
El GDPR regula los datos personales que se envian a las herramientas de IA. El EU AI Act regula los propios sistemas de IA, independientemente de si procesan datos personales o no. En la practica, la mayoria de usos empresariales de IA caen bajo ambas regulaciones. Tu politica debe cubrir ambos marcos: que datos se pueden enviar (GDPR) y como se puede usar la IA (EU AI Act).
La AEPD ha publicado algun modelo de politica que pueda usar como referencia?
Si. La AEPD publico su propia Politica General para el Uso de IA Generativa en Procesos, que es el primer documento de este tipo en el sector publico espanol. Incluye un documento principal de politica, un anexo de implementacion con casos de uso y un resumen de obligaciones y recomendaciones actualizado a enero de 2026. Puedes descargarlo gratuitamente desde la web de la AEPD.
Quien debe firmar y aprobar la politica?
La Direccion General o el CEO. Una politica aprobada solo por el departamento de IT no tiene la autoridad necesaria. Debe ser un documento corporativo respaldado por la direccion, igual que la politica de proteccion de datos o la politica de seguridad de la informacion.
Glosario de Terminos Legales
| Termino | Definicion |
|---|---|
| AI Literacy | Obligacion establecida por el Articulo 4 del EU AI Act que exige a las empresas garantizar que sus empleados tienen un nivel suficiente de conocimiento sobre inteligencia artificial. En vigor desde febrero de 2025. |
| AEPD | Agencia Espanola de Proteccion de Datos. Autoridad competente en Espana para supervisar el cumplimiento del GDPR/RGPD. |
| AESIA | Agencia Espanola de Supervision de Inteligencia Artificial. Autoridad competente en Espana para supervisar el cumplimiento del EU AI Act. Sede en A Coruña. |
| DPA (Data Processing Agreement) | Acuerdo de tratamiento de datos. Contrato entre el responsable del tratamiento (tu empresa) y el encargado del tratamiento (proveedor de IA) que regula como se procesan los datos personales. Obligatorio bajo el GDPR. |
| DPIA (Data Protection Impact Assessment) | Evaluacion de impacto en proteccion de datos. Analisis obligatorio bajo el GDPR cuando un tratamiento de datos presenta un alto riesgo para los derechos y libertades de las personas. |
| DPO (Data Protection Officer) | Delegado de proteccion de datos. Persona encargada de supervisar el cumplimiento del GDPR en la organizacion. Obligatorio para empresas que tratan datos a gran escala o datos de categorias especiales. |
| EU AI Act | Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, por el que se establecen normas armonizadas en materia de inteligencia artificial. Primera ley integral del mundo que regula la IA. |
| GDPR / RGPD | Reglamento General de Proteccion de Datos (Reglamento UE 2016/679). Norma europea que regula el tratamiento de datos personales. En vigor desde mayo de 2018. |
| GPAI (General Purpose AI) | Modelos de IA de proposito general, como GPT-5, Claude 4 Opus o Gemini 2.5. Tienen obligaciones especificas de transparencia y documentacion bajo el EU AI Act. |
| Shadow AI | Uso no autorizado de herramientas de IA por parte de empleados sin conocimiento ni aprobacion de la empresa. Uno de los mayores riesgos de seguridad en 2026. |
| SOC 2 Type II | Certificacion de seguridad que verifica que un proveedor cumple con controles de seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad durante un periodo de tiempo. |
| Zero Data Retention (ZDR) | Configuracion en la que el proveedor de IA no retiene ninguna conversacion ni dato despues de generar la respuesta. Disponible solo en algunos planes enterprise. |
Posts Relacionados
- Donde Van tus Datos en ChatGPT, Claude, Cursor y Copilot: Guia de Privacidad - Comparativa completa de las politicas de datos de cada herramienta de IA para saber exactamente que plan y configuracion necesitas en tu politica.
- Reglamento IA Europeo en Espana: Multas de Hasta 35M euros para Empresas - Analisis completo del EU AI Act: clasificacion de riesgo, obligaciones, AESIA, plazos y sanciones. La base regulatoria de tu politica de IA.
- Checklist de Adopcion de IA para Empresas: Cumplimiento y Guia Practica - Checklist paso a paso para implementar IA en tu empresa cumpliendo con el EU AI Act y el GDPR. Complemento perfecto a la politica.
- Claude Code Security para Empresas: Privacidad, Datos y Buenas Practicas - Guia especifica de seguridad para empresas que usan Claude Code: .claudeignore, permisos, SOC 2 y configuracion enterprise.
- Formacion de IA para Empresas - Servicio de formacion in-company para implantar politicas de IA, cumplir con AI Literacy y capacitar a equipos directivos.
Fuentes
- AEPD - Politica General para el Uso de IA Generativa en Procesos: https://www.aepd.es/documento/politica-iag-aepd.pdf
- AEPD - Anexo de Implementacion: https://www.aepd.es/documento/anexo-implementacion-politica-iag-aepd.pdf
- AEPD - Resumen de Obligaciones y Recomendaciones para IA Generativa (Enero 2026): https://www.aepd.es/guias/sumario-recomendaciones-iag-aepd.pdf
- EU AI Act - Articulo 4 (AI Literacy): https://artificialintelligenceact.eu/article/4/
- EU AI Act - Articulo 99 (Sanciones): https://artificialintelligenceact.eu/article/99/
- EU AI Act - High-level Summary: https://artificialintelligenceact.eu/high-level-summary/
- Comision Europea - AI Literacy Q&A: https://digital-strategy.ec.europa.eu/en/faqs/ai-literacy-questions-answers
- AESIA - Guias de Cumplimiento: https://www.lamoncloa.gob.es/serviciosdeprensa/notasprensa/transformacion-digital-y-funcion-publica/paginas/2025/111225-lopez-empresas-guias-ia.aspx
- Salesforce State of IT Report 2024: https://www.salesforce.com/resources/research-reports/state-of-it/
- IBM Cost of a Data Breach Report 2024: https://www.ibm.com/reports/data-breach
- OpenAI Business Data Privacy: https://openai.com/business-data/
- Anthropic Privacy Policy: https://www.anthropic.com/privacy
- RGPD - Reglamento General de Proteccion de Datos: https://eur-lex.europa.eu/eli/reg/2016/679/oj/spa
- Samsung ChatGPT ban (2023): https://www.bloomberg.com/news/articles/2023-05-02/samsung-bans-chatgpt-and-other-generative-ai-use-by-staff
