Politica de Uso de IA para Empresas: Plantilla y Guia Completa [2026]
TL;DR
- Solo el 43% de las empresas tiene una politica de gobernanza de IA. Otro 30% esta desarrollandola. Si tu empresa no tiene una, estas en la mitad que asume riesgos legales sin darse cuenta.
- El 77% de los empleados pega datos corporativos en herramientas de IA y el 49% usa herramientas no autorizadas (Shadow AI). Sin politica, cada empleado toma sus propias decisiones de seguridad.
- Este articulo es una plantilla lista para copiar. 10 secciones que cubren desde el inventario de herramientas hasta el comite de etica. Cada seccion tiene texto modelo que puedes adaptar en una tarde.
- Cumple con RGPD y EU AI Act. La plantilla integra las obligaciones del Reglamento Europeo de IA (en vigor desde agosto 2024, con aplicacion plena en agosto 2026) y la normativa de proteccion de datos.
- En Espana, AESIA ha publicado 16 guias (diciembre 2025) y la AEPD acumula 147 investigaciones relacionadas con IA. El regulador no va a esperar a que te prepares.
- Incluye tabla de herramientas aprobadas vs prohibidas, matriz de decisiones y plan de implementacion en 30 dias.
Por Que tu Empresa Necesita una Politica de IA (Ahora)
Porque tus empleados ya usan IA, tengas politica o no. La diferencia es si lo hacen con reglas o sin ellas.
Los datos no dejan margen a la interpretacion:
| Estadistica | Dato | Fuente |
|---|---|---|
| Empresas con politica de gobernanza de IA | 43% | Gartner, 2025 |
| Empresas desarrollando una politica | 30% | Gartner, 2025 |
| Empleados que pegan datos en herramientas de IA | 77% | CybSafe, 2025 |
| Empleados que usan herramientas de IA no autorizadas | 49% | Salesforce, 2025 |
| Organizaciones en EE.UU. con directrices de IA para empleados | 30% | Pew Research, 2024 |
| Investigaciones abiertas por la AEPD relacionadas con IA | 147 | AEPD, enero 2026 |
Eso significa que ahora mismo, probablemente, alguien de tu equipo esta pegando un informe financiero en ChatGPT Free, enviando datos de clientes a una herramienta sin DPA (Data Processing Agreement) o usando una IA que entrena con todo lo que recibe. Y tu no lo sabes.
El Contexto Regulatorio en Espana
La presion regulatoria no es teorica. Es concreta y tiene calendario:
| Fecha | Hito regulatorio |
|---|---|
| Agosto 2024 | Entrada en vigor del EU AI Act (Reglamento UE 2024/1689) |
| Febrero 2025 | Prohibicion de sistemas de riesgo inaceptable. Obligacion de AI Literacy (Articulo 4) |
| Diciembre 2025 | AESIA publica 16 guias de implementacion para empresas espanolas |
| Agosto 2025 | Obligaciones de transparencia para modelos GPAI (proposito general) |
| Agosto 2026 | Aplicacion plena para sistemas de IA de alto riesgo. Multas de hasta 35M EUR o 7% de facturacion global |
En mi guia sobre el EU AI Act para empresas espanolas analizo en detalle cada obligacion y plazo. Aqui me centro en lo practico: la plantilla que necesitas para cumplir.
"Las organizaciones que adopten marcos de gobernanza de IA antes de la aplicacion plena del EU AI Act tendran una ventaja competitiva significativa frente a las que reaccionen despues de las primeras sanciones." -- Javier Santos Criado, consultor de IA y automatizacion.
Los 4 Marcos de Referencia que Usa Esta Plantilla
Esta plantilla no esta inventada desde cero. Se apoya en cuatro marcos internacionales:
| Marco | Organizacion | Que aporta |
|---|---|---|
| EU AI Act | Union Europea | Obligaciones legales vinculantes, clasificacion de riesgo, regimen sancionador |
| NIST AI RMF | NIST (EE.UU.) | Framework de gestion de riesgos con funciones: Govern, Map, Measure, Manage |
| ISO/IEC 42001 | ISO | Estandar certificable para sistemas de gestion de IA |
| OECD AI Principles | OCDE | Principios eticos: transparencia, rendicion de cuentas, robustez, equidad |
La Plantilla: 10 Secciones de tu Politica de IA
Lo que viene a continuacion es la plantilla completa. Cada seccion incluye que debe contener, por que importa y un texto modelo que puedes copiar y adaptar a tu empresa. Si quieres ver un enfoque complementario mas orientado al proceso, tambien escribi una guia sobre como crear una politica de uso de IA.
Seccion 1: Inventario de Sistemas de IA
Que incluir: Un registro actualizado de todas las herramientas de IA que se usan o se planean usar en la empresa, incluyendo nombre, proveedor, version, departamento, tipo de datos procesados y clasificacion de riesgo.
Por que importa: No puedes gobernar lo que no conoces. El EU AI Act exige un registro de sistemas de IA de alto riesgo (Articulo 49). Y el 49% de empleados usa herramientas sin autorizacion, asi que probablemente tu inventario actual esta incompleto.
Texto modelo:
"La empresa mantendra un inventario centralizado de todos los sistemas y herramientas de inteligencia artificial utilizados en cualquier departamento. Este inventario incluira: nombre de la herramienta, proveedor, version, tipo de datos procesados, departamento usuario, fecha de aprobacion, clasificacion de riesgo segun el EU AI Act y responsable asignado. El inventario sera revisado trimestralmente por el Comite de IA. Cualquier empleado que identifique el uso de una herramienta no registrada debera notificarlo al responsable de su departamento en un plazo maximo de 48 horas."
Seccion 2: Clasificacion de Riesgos
Que incluir: Un sistema de clasificacion alineado con el EU AI Act (riesgo inaceptable, alto, limitado, minimo) aplicado a cada herramienta del inventario, con criterios claros para cada nivel.
Por que importa: La clasificacion de riesgo determina las obligaciones legales. Un chatbot interno de FAQ tiene riesgo minimo. Un sistema de seleccion de personal tiene riesgo alto. Las obligaciones y controles son radicalmente diferentes.
Texto modelo:
"Cada sistema de IA registrado en el inventario sera clasificado segun los niveles de riesgo establecidos por el EU AI Act:
>
- Riesgo inaceptable: uso prohibido (puntuacion social, manipulacion subliminal, vigilancia biometrica masiva).
- Riesgo alto: sistemas de seleccion de personal, evaluacion crediticia, acceso a servicios esenciales. Requieren evaluacion de conformidad, documentacion tecnica completa y supervision humana permanente.
- Riesgo limitado: chatbots de atencion al cliente, generadores de contenido. Requieren obligaciones de transparencia (informar al usuario que interactua con IA).
- Riesgo minimo: filtros de spam, correctores ortograficos, asistentes de codigo. Sin obligaciones especificas mas alla de esta politica.
>
La clasificacion sera realizada por el CTO en coordinacion con el DPO y revisada con cada actualizacion del inventario."
Seccion 3: Politica de Uso Aceptable
Que incluir: Reglas claras sobre que usos estan permitidos, cuales requieren autorizacion y cuales estan prohibidos. Debe cubrir tanto las herramientas como los datos que se pueden enviar.
Por que importa: Esta es la seccion que tus empleados van a consultar en el dia a dia. Si es ambigua, no servira de nada.
Tabla de herramientas aprobadas vs prohibidas (ejemplo):
| Herramienta | Plan | Estado | Motivo |
|---|---|---|---|
| ChatGPT Enterprise | Enterprise | Aprobada | DPA firmado, no entrena con datos, SOC 2 Type II, data residency EU |
| Microsoft Copilot 365 | Business / Enterprise | Aprobada | Integrado en ecosistema M365, DPA de Microsoft, datos en tenant propio |
| Claude Team | Team / Enterprise | Aprobada | No entrena con datos comerciales, SOC 2 Type II, DPA disponible |
| Google Gemini Enterprise | Workspace Enterprise | Aprobada | DPA de Google Cloud, datos en EU, no entrena con datos de workspace |
| GitHub Copilot Business | Business | Aprobada con restricciones | No retiene codigo, 19 USD/usuario/mes. Solo para codigo no critico |
| ChatGPT Plus | Plus (20 USD/mes) | Restringida | Entrena por defecto. Opt-out manual. Solo datos publicos |
| ChatGPT Free | Gratuito | Prohibida | Entrena con datos. Sin DPA. Sin controles empresariales |
| Claude Free | Gratuito | Prohibida | Puede usar conversaciones para entrenamiento. Sin DPA |
| Gemini Free | Gratuito | Prohibida | Retencion hasta 18 meses. Sin controles empresariales |
| DeepSeek | Cualquiera | Prohibida | Servidores en China. Sin DPA compatible con RGPD. Sin garantias de privacidad |
| Apps de IA moviles sin verificar | N/A | Prohibida | Sin politica de privacidad verificable. Riesgo maximo |
"Los empleados podran utilizar unicamente las herramientas clasificadas como 'Aprobadas' para procesar datos empresariales. Las herramientas 'Restringidas' solo podran usarse para tareas con datos estrictamente publicos y previa autorizacion del responsable de departamento. Las herramientas 'Prohibidas' no podran usarse en ningun dispositivo corporativo ni para ningun fin laboral. Queda prohibido enviar a cualquier herramienta de IA, incluidas las aprobadas: datos personales de clientes, credenciales de acceso, informacion financiera no publicada, codigo fuente critico o datos de categorias especiales del RGPD (Art. 9)."
Para un analisis en profundidad de que hace cada herramienta con tus datos, lee mi articulo sobre Shadow AI: el peligro oculto en tu empresa.
Seccion 4: Gobernanza de Datos
Que incluir: Reglas especificas sobre que tipos de datos se pueden enviar a herramientas de IA, cuales estan prohibidos, como se clasifican y quien autoriza excepciones.
Por que importa: El RGPD responsabiliza a tu empresa (no al proveedor de IA) de cualquier dato personal que un empleado envie a una herramienta. Y el 77% de los empleados pega datos sin pensarlo.
Texto modelo:
"Se establecen cuatro niveles de clasificacion de datos en relacion con herramientas de IA:
>
1. Publico: datos ya disponibles al publico (informes publicados, documentacion tecnica publica, precios publicados). Uso permitido en cualquier herramienta aprobada.
2. Interno: datos de uso general dentro de la empresa (procedimientos internos, borradores, notas de reunion sin datos personales). Uso permitido solo en herramientas aprobadas con DPA.
3. Confidencial: datos de clientes, estrategia comercial, informacion financiera no publicada. Uso prohibido en herramientas de IA externas. Solo permitido en herramientas desplegadas on-premise o con data residency verificada en la UE.
4. Restringido: datos personales de categorias especiales, secretos industriales, informacion bajo secreto profesional. Uso absolutamente prohibido en cualquier herramienta de IA.
>
El DPO realizara una Evaluacion de Impacto en Proteccion de Datos (EIPD/DPIA) antes de aprobar cualquier herramienta de IA que procese datos de nivel 2 o superior."
Seccion 5: Supervision Humana
Que incluir: Reglas sobre cuando se requiere revision humana antes de actuar sobre un resultado generado por IA, quien es responsable de esa revision y que nivel de verificacion se exige.
Por que importa: El EU AI Act exige supervision humana en sistemas de alto riesgo. Pero incluso en sistemas de riesgo minimo, el output de la IA puede contener errores, alucinaciones o sesgos que ningun algoritmo detecta de forma fiable.
Matriz de decisiones: cuando se requiere revision humana
| Tipo de output | Revision humana | Nivel de verificacion | Ejemplo |
|---|---|---|---|
| Comunicacion externa a clientes | Obligatoria | Verificacion factual + revision de tono | Email comercial, propuesta, informe |
| Codigo que va a produccion | Obligatoria | Code review por otro desarrollador | Pull request con codigo generado por IA |
| Decision que afecta a personas | Obligatoria | Revision por responsable de area + DPO | Seleccion de personal, evaluacion de rendimiento |
| Documento legal o contractual | Obligatoria | Revision por asesoria juridica | Contratos, condiciones generales, politicas |
| Contenido para publicacion | Obligatoria | Verificacion de hechos, sesgos y atribucion | Blog, redes sociales, comunicados de prensa |
| Borrador interno / brainstorming | Recomendada | Revision de razonabilidad | Notas internas, lluvia de ideas, borradores |
| Resumen de documentacion publica | No requerida | Lectura rapida | Resumenes de articulos publicos |
"Todo output generado por herramientas de IA debera ser revisado por un profesional cualificado antes de: (a) enviarse a clientes o terceros, (b) publicarse en cualquier medio, (c) usarse como base para decisiones que afecten a personas, (d) incorporarse a documentacion legal o contractual, o (e) desplegarse en produccion como codigo. La persona que revisa y aprueba el output asume la responsabilidad sobre su contenido. Queda prohibido atribuir decisiones a 'la IA dijo que...' como eximente de responsabilidad."
Seccion 6: Evaluacion de Proveedores
Que incluir: Criterios minimos que debe cumplir cualquier proveedor de IA antes de ser aprobado, incluyendo certificaciones de seguridad, politicas de datos, localizacion de servidores y existencia de DPA.
Por que importa: No todas las herramientas de IA son iguales. ChatGPT Enterprise y ChatGPT Free son productos radicalmente distintos en cuanto a seguridad y tratamiento de datos.
Checklist de evaluacion de proveedor:
| Criterio | Requerido | Deseable |
|---|---|---|
| DPA (Data Processing Agreement) compatible con RGPD | Si | -- |
| Certificacion SOC 2 Type II o ISO 27001 | Si | -- |
| Data residency en la UE (o configurable) | Si | -- |
| Politica clara de no-entrenamiento con datos del cliente | Si | -- |
| Cifrado en transito y en reposo | Si | -- |
| Capacidad de eliminar datos bajo solicitud | Si | -- |
| SSO y control de acceso granular | -- | Si |
| Logs de auditoria accesibles | -- | Si |
| Cumplimiento declarado del EU AI Act | -- | Si |
| Historial limpio de brechas de seguridad | -- | Si |
"Ningun proveedor de herramientas de IA sera aprobado sin cumplir los siguientes requisitos minimos: (1) Data Processing Agreement compatible con el RGPD firmado y vigente, (2) certificacion SOC 2 Type II o ISO 27001, (3) data residency en la UE o configurable, (4) politica explicita de no-entrenamiento con datos del cliente, (5) cifrado en transito (TLS 1.2+) y en reposo (AES-256 o equivalente), (6) capacidad demostrada de eliminar datos bajo solicitud del cliente. El CTO y el DPO evaluaran conjuntamente a cada proveedor antes de su inclusion en el inventario de herramientas aprobadas."
Seccion 7: Respuesta ante Incidentes
Que incluir: Protocolo de actuacion cuando se detecta un uso inadecuado de IA, una fuga de datos a traves de herramientas de IA o cualquier incidente relacionado.
Por que importa: Cuando un empleado pega datos de 500 clientes en ChatGPT Free por error, necesitas un protocolo claro. No es momento de improvisar.
Texto modelo:
"Se establece el siguiente protocolo de respuesta ante incidentes de IA:
>
1. Deteccion y notificacion: el empleado o el sistema de monitorizacion detecta el incidente y lo comunica al DPO en un plazo maximo de 4 horas.
2. Evaluacion inicial: el DPO clasifica el incidente como leve, grave o critico en un plazo maximo de 24 horas.
3. Contencion: el CTO bloquea el acceso a la herramienta afectada y solicita la eliminacion de datos al proveedor si procede.
4. Notificacion regulatoria: si el incidente implica una brecha de datos personales, se notificara a la AEPD en un plazo maximo de 72 horas segun el Art. 33 del RGPD.
5. Investigacion: el Comite de IA investiga la causa raiz y documenta el incidente.
6. Medidas correctivas: se implementan cambios en la politica, herramientas o formacion para evitar la recurrencia.
7. Comunicacion: se informa a los afectados cuando sea requerido por la normativa.
>
Todo incidente quedara documentado en el registro de incidentes de IA con fecha, descripcion, clasificacion, acciones tomadas y responsable."
Seccion 8: Formacion Obligatoria
Que incluir: Plan de formacion en IA para todos los empleados, con contenido minimo, frecuencia, sistema de evaluacion y registro de asistencia.
Por que importa: El Articulo 4 del EU AI Act (AI Literacy) obliga a todas las empresas que usan o despliegan IA a garantizar que sus empleados tienen un nivel suficiente de alfabetizacion en IA. Esta obligacion esta en vigor desde febrero de 2025.
Texto modelo:
"Todos los empleados deberan completar una formacion basica en IA dentro de los primeros 30 dias desde la aprobacion de esta politica (o desde su incorporacion a la empresa). La formacion cubrira como minimo: (a) contenido de esta politica, (b) herramientas aprobadas y su uso correcto, (c) datos que no se pueden enviar a IA, (d) como detectar errores y alucinaciones, (e) procedimiento de notificacion de incidentes. Se realizara una sesion de actualizacion cada 6 meses. La asistencia y superacion de la evaluacion final seran registradas y forman parte del cumplimiento del Articulo 4 del EU AI Act (AI Literacy)."
Si necesitas recursos gratuitos para disenar el programa de formacion, revisa mi seleccion de mejores cursos de IA gratis en espanol.
Seccion 9: Registro y Auditoria
Que incluir: Mecanismos para registrar el uso de herramientas de IA, mantener trazabilidad de decisiones y facilitar auditorias internas y externas.
Por que importa: Sin registros, no puedes demostrar cumplimiento ante un regulador. Y cuando la AEPD pida evidencia de que cumples el RGPD en tu uso de IA, necesitas tener algo mas que buenas intenciones.
Herramientas de monitorizacion y gobernanza:
| Herramienta | Funcion | Uso principal |
|---|---|---|
| IBM watsonx.governance | Gobernanza integral de modelos | Grandes empresas con IA propia o de terceros |
| Bifrost | Observabilidad y evaluacion de LLMs | Equipos tecnicos que monitorean rendimiento y calidad |
| Nightfall | DLP (prevencion de perdida de datos) para IA | Detectar y bloquear envio de datos sensibles a herramientas de IA |
| CloudEagle.ai | Gestion de licencias SaaS + IA | Controlar que herramientas de IA se usan y por quien |
| LayerX | Seguridad del navegador para IA | Bloquear pegado de datos en herramientas no aprobadas |
"La empresa implementara mecanismos de registro que permitan identificar que herramientas de IA se utilizan, por que departamento, con que frecuencia y para que tipo de tareas. Los logs incluiran: usuario, herramienta, fecha, tipo de tarea (sin registrar el contenido de los prompts por privacidad del empleado). Se realizara una auditoria interna semestral del cumplimiento de esta politica. Los resultados se presentaran al Comite de IA y a la Direccion General."
Seccion 10: Comite de Etica e IA
Que incluir: Composicion, funciones, frecuencia de reunion y autoridad del organo responsable de supervisar la politica de IA.
Por que importa: Una politica sin un organo que la mantenga viva caduca en tres meses. El ecosistema de IA cambia cada semana. Alguien tiene que decidir si la nueva herramienta que acaba de lanzar OpenAI se aprueba, se restringe o se prohibe.
Texto modelo:
"Se constituye un Comite de IA compuesto por: CTO (presidente), DPO, un representante de RRHH, un representante de asesoria juridica y un representante de cada area de negocio que use IA activamente. El Comite se reunira con periodicidad mensual y tendra las siguientes funciones:
>
1. Revisar y actualizar el inventario de herramientas de IA.
2. Evaluar nuevas herramientas y decidir su clasificacion.
3. Supervisar el cumplimiento de la politica y analizar los informes de auditoria.
4. Gestionar solicitudes de excepcion a la politica.
5. Proponer actualizaciones de la politica al Consejo de Direccion.
6. Evaluar riesgos eticos emergentes (sesgo, discriminacion, transparencia).
7. Supervisar el plan de formacion y su ejecucion.
>
Las decisiones del Comite seran vinculantes y se documentaran en actas firmadas por todos los miembros. El Comite reportara trimestralmente a la Direccion General."
Como Implementar la Politica en 30 Dias
No necesitas 90 dias ni un proyecto de consultoria de seis cifras. Si sigues este calendario, puedes tener la politica operativa en un mes.
| Semana | Accion | Responsable |
|---|---|---|
| Semana 1 | Realizar inventario de herramientas de IA en uso (incluida Shadow AI). Encuesta a todos los departamentos. | CTO + Responsables de area |
| Semana 1 | Nombrar al Comite de IA (aunque sea provisional). | Direccion General |
| Semana 2 | Clasificar herramientas (aprobadas, restringidas, prohibidas). Revisar DPAs existentes. | CTO + DPO |
| Semana 2 | Adaptar la plantilla de este articulo a tu empresa. Sustituir nombres, roles y herramientas especificas. | Comite de IA |
| Semana 3 | Revision legal de la politica. Validacion contra EU AI Act y RGPD. | Asesoria juridica + DPO |
| Semana 3 | Preparar materiales de formacion basados en la politica. | RRHH + CTO |
| Semana 4 | Aprobacion formal por Direccion General. Comunicacion a toda la empresa. | CEO + RRHH |
| Semana 4 | Sesion de formacion inicial para todos los empleados. Firma de aceptacion de la politica. | RRHH + Comite de IA |
5 Errores Comunes al Crear una Politica de IA
Error 1: Prohibir toda la IA
Prohibir es la opcion mas comoda para legal y la peor para el negocio. Las empresas que prohiben toda la IA no eliminan el riesgo: lo hacen invisible. Los empleados siguen usando herramientas de IA desde sus moviles personales, sin ninguna supervision. Lo que necesitas es regular, no prohibir.
Error 2: Hacer una politica generica que no nombra herramientas
"Se prohibe el uso de herramientas de IA sin autorizacion" no es una politica. Es una declaracion de intenciones. Tu empleado necesita saber que ChatGPT Enterprise esta aprobado, que ChatGPT Free no lo esta y por que. Si no nombras herramientas concretas, cada departamento interpretara la politica a su manera.
Error 3: No asignar un responsable
Si nadie es responsable de mantener la politica, nadie la mantiene. En tres meses salen herramientas nuevas, cambian las condiciones de servicio de los proveedores y la politica se queda obsoleta. Necesitas un Comite de IA con reuniones periodicas y un presupuesto, aunque sea minimo.
Error 4: Olvidar la formacion
El Articulo 4 del EU AI Act no es una sugerencia. Si tu empresa usa IA y no forma a sus empleados, estas incumpliendo una obligacion legal vigente desde febrero de 2025. Ademas, una politica que los empleados no entienden no se cumple.
Error 5: No revisar la politica periodicamente
El ecosistema de IA cambia cada mes. En enero de 2026, DeepSeek no existia como opcion empresarial seria. En febrero, empleados de medio mundo la estaban usando. Si tu politica no tiene un ciclo de revision trimestral, estara desactualizada permanentemente.
Preguntas Frecuentes
Necesitan las pymes una politica de IA?
Si. El EU AI Act no distingue por tamaño de empresa. Si tu pyme usa ChatGPT, Copilot o cualquier herramienta de IA, necesitas una politica. No tiene que ser un documento de 50 paginas, pero si debe cubrir las 10 secciones de esta plantilla, aunque sea de forma resumida. Para pymes, te recomiendo mi guia practica sobre como usar IA de forma segura en la empresa.
Que pasa si un empleado incumple la politica?
La politica debe incluir un regimen sancionador interno, alineado con el convenio colectivo y el Estatuto de los Trabajadores. Tipicamente: aviso verbal, aviso escrito, suspension temporal del acceso a herramientas de IA, y en casos graves (fuga masiva de datos), sancion disciplinaria. Lo importante es que las consecuencias esten documentadas antes de que ocurra el incidente.
Puedo usar esta plantilla directamente?
Puedes y debes adaptarla. El texto modelo de cada seccion es un punto de partida solido. Sustituye los nombres de herramientas, roles y clasificaciones por los de tu empresa. Haz que asesoria juridica la revise (especialmente si operas en sectores regulados como sanidad, finanzas o educacion). Y apruebala formalmente en un acta de Direccion.
Cada cuanto debo actualizar la politica?
Minimo cada trimestre para la tabla de herramientas aprobadas (salen herramientas nuevas constantemente). La politica completa deberia revisarse al menos cada 6 meses, o inmediatamente cuando haya un cambio regulatorio relevante (como la aplicacion plena del EU AI Act en agosto de 2026).
Necesito un DPO para implementar la politica?
Si tu empresa tiene la obligacion legal de designar un DPO (empresas publicas, tratamiento a gran escala de datos sensibles, o monitorizacion sistematica de personas a gran escala), ya deberia estar designado. Si no tienes obligacion legal, puedes asignar la funcion de "responsable de privacidad en IA" a alguien del equipo legal o de IT, aunque no tenga el titulo formal de DPO.
Como detecto Shadow AI en mi empresa?
Tres formas complementarias: (1) Encuesta anonima a empleados preguntando que herramientas de IA usan. (2) Revision de logs de red y DNS para detectar trafico a dominios de herramientas de IA. (3) Herramientas como CloudEagle.ai o LayerX que monitorizan automaticamente el uso de SaaS y IA en navegadores corporativos. Profundizo en esto en mi articulo sobre Shadow AI en la empresa.
Las herramientas gratuitas de IA son siempre inseguras?
No necesariamente, pero en contexto empresarial si. El problema no es la calidad del modelo, sino las condiciones de servicio. Las versiones gratuitas de ChatGPT, Claude y Gemini pueden usar tus datos para entrenamiento, no ofrecen DPA y no tienen controles empresariales (SSO, logs, permisos). Para uso personal con datos publicos son perfectamente validas. Para datos empresariales, necesitas planes Team o Enterprise.
Que relacion tiene esta politica con ISO/IEC 42001?
ISO/IEC 42001 es el estandar internacional certificable para sistemas de gestion de IA. Esta plantilla cubre los aspectos operativos que ISO 42001 exige (inventario, riesgos, gobernanza, formacion, auditoria), pero la certificacion requiere un sistema de gestion formal mas amplio. Si tu empresa busca certificarse, esta politica es un excelente punto de partida que cubre el 60-70% de los requisitos operativos.
En Resumen
- Solo el 43% de las empresas tiene politica de IA. Si no la tienes, estas asumiendo riesgos legales, reputacionales y de seguridad que puedes eliminar en 30 dias.
- La plantilla tiene 10 secciones: inventario, clasificacion de riesgos, uso aceptable, gobernanza de datos, supervision humana, evaluacion de proveedores, respuesta ante incidentes, formacion, auditoria y comite de etica.
- El EU AI Act ya es obligatorio (AI Literacy desde febrero 2025, aplicacion plena en agosto 2026). AESIA ha publicado 16 guias y la AEPD acumula 147 investigaciones. El regulador no va a esperar.
- Nombra herramientas concretas. No digas "herramientas no autorizadas". Di "ChatGPT Free esta prohibido porque entrena con tus datos y no tiene DPA".
- Forma a tus empleados. No es opcional: es una obligacion legal del Articulo 4 del EU AI Act.
- Revisa trimestralmente. El ecosistema de IA cambia cada semana. Una politica que no se actualiza esta muerta en tres meses.
- Empieza con la version 1.0. Una politica imperfecta hoy vale mas que una politica perfecta en septiembre.
Si prefieres que te prepare una politica personalizada para tu empresa en lugar de adaptarla tu, escribeme a javier@javadex.es. Te la entrego en 5 dias laborables.
Necesitas formar a tu equipo sobre la nueva politica? Tambien ofrezco sesiones de formacion. Contacta en javier@javadex.es.
Fuentes y Referencias
- Gartner (2025). "AI Governance Survey: Only 43% of Organizations Have AI Policies."
- CybSafe (2025). "2025 Annual Cybersecurity Attitudes and Behaviors Report." 77% de empleados pegan datos en herramientas de IA.
- Salesforce (2025). "Generative AI Snapshot Research." 49% de empleados usa herramientas de IA no autorizadas.
- Pew Research Center (2024). "AI in the Workplace." 30% de organizaciones en EE.UU. con directrices de IA para empleados.
- EU AI Act - Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo. Articulo 4 (AI Literacy), Articulo 49 (Registro), Articulo 6-7 (Clasificacion de riesgo).
- AESIA (diciembre 2025). 16 guias de implementacion del EU AI Act para empresas espanolas.
- AEPD (enero 2026). Informe anual: 147 investigaciones relacionadas con IA en Espana.
- NIST (2023). "AI Risk Management Framework (AI RMF 1.0)." NIST AI 100-1.
- ISO/IEC 42001:2023. "Information technology -- Artificial intelligence -- Management system."
- OECD (2019, actualizado 2024). "OECD Principles on AI."
- IBM (2025). "watsonx.governance: AI governance platform."
- Nightfall (2025). "DLP for GenAI: Prevent sensitive data exposure in AI tools."
Ultima actualizacion: 29 de marzo de 2026.
