Política de uso de IA en tu empresa: cómo redactarla en una página y que la gente la siga
Tu empresa tiene una política de uso de IA. Está en una carpeta de SharePoint, ocupa once páginas, la redactó el departamento legal y la última vez que alguien la abrió fue cuando se firmó. Mientras tanto, tu equipo comercial está pegando propuestas de cliente en ChatGPT con datos personales, tu director de producto está usando una IA externa para resumir actas del comité, y tu becario acaba de subir el dataset financiero del último trimestre a una herramienta gratuita que ni siquiera tiene servidores en Europa.
Eso no es ausencia de política. Es algo peor: es tener una política que nadie aplica porque no la entiende ni la recuerda. Y la diferencia entre las dos cosas, a efectos de riesgo real, es cero.
Una política de uso de IA solo sirve si cabe en una página, la entiende cualquiera del equipo en menos de dos minutos y se puede aplicar sin necesidad de consultar al equipo legal cada vez. Te voy a enseñar cómo se escribe una así.
Por qué las políticas largas no funcionan
El primer instinto cuando piensas en una política de IA es contratarlo a un despacho o a una consultora. Te van a entregar un documento exhaustivo: definiciones, marco regulatorio europeo, cláusulas de subcontratación, listas de proveedores certificados, anexos con clasificaciones de datos.
Ese documento está hecho para protegerte legalmente en un juicio, no para que tu equipo lo siga el martes a las once de la mañana cuando un comercial tiene que mandar una propuesta. Son objetivos distintos. El documento jurídico lo necesitas, pero no es la política operativa que usa tu equipo. Confundir las dos cosas es lo que mete a las empresas en problemas.
La política operativa, la que tu equipo usa, tiene que cumplir tres cosas: ser corta, ser clara y ser memorizable. Si no, no la van a leer. Y lo que no se lee, no se cumple.
Estructura mínima de una política de una página
Esta es la estructura que funciona en empresas medianas españolas. La he visto adoptada en distribuidoras, despachos profesionales, fábricas y agencias. La estructura no cambia, solo cambian los ejemplos.
1. Qué herramientas están aprobadas y para qué. Una lista cerrada. Tres o cuatro herramientas como mucho. Dejar abierto “cualquier herramienta que cumpla X” es lo mismo que no escribir nada, porque nadie va a comprobar X.
2. Qué datos NO pueden entrar nunca en una IA externa. Tres categorías como máximo, redactadas en lenguaje real, con ejemplos concretos. Datos personales de clientes con nombre y apellido. Información financiera no publicada. Documentación interna marcada como confidencial. Si tu equipo no puede recordar las tres categorías, tienes demasiadas.
3. Qué decisiones NO puede tomar una IA por sí sola. La IA propone, una persona decide. Aquí especificas qué tipo de decisiones requieren validación humana antes de ejecutarse. Comunicaciones a cliente, decisiones contractuales, contenidos publicados con la marca de la empresa, cualquier cosa que toque dinero.
4. Quién es el responsable de revisar el output cuando se usa IA. No es “el equipo”. Es una persona con nombre por área. Si no hay responsable concreto, la responsabilidad se diluye y nadie revisa nada.
5. Cómo se reportan los problemas. Un canal único. Email, Slack, Teams, da igual. Pero uno solo y conocido por todo el mundo. Si descubres que algo se ha hecho mal, sabes adónde escribir.
Cinco puntos. Esa es toda la política. Si te sale más larga, sobra.
El truco: redactar permisos antes que prohibiciones
Las políticas que fracasan empiezan listando todo lo que está prohibido. Eso convierte a tu equipo en sospechoso por defecto y, sobre todo, deja al lector sin saber qué SÍ puede hacer. La consecuencia es predecible: como no entienden lo permitido, asumen que está todo prohibido y hacen su trabajo como antes, ignorando la IA. O peor, la usan a escondidas.
La política tiene que empezar diciendo qué está permitido, ser explícita en los casos buenos, y luego cerrar con dos o tres líneas rojas claras. Esa estructura cambia la conversación. En lugar de leer un documento que dice “no, no, no, no”, el empleado lee algo que dice “puedes usar esta herramienta para esto, esto y esto, y la línea roja es esta otra cosa”. Lo asume y lo aplica.
Lo que debe pasar la primera vez que alguien la incumple
Tener política sin protocolo de incumplimiento es ornamental. La primera vez que alguien se la salta, hay que tener claro qué pasa. Y casi siempre la respuesta correcta no es disciplinaria.
La primera vez que un empleado incumple la política de IA en tu empresa, lo más probable es que sea porque la política no estaba clara, no se había comunicado bien, o el caso de uso del empleado no estaba contemplado. Castigar antes de aprender de eso te hace perder información valiosa.
El protocolo correcto la primera vez es: entender qué intentaba hacer la persona, evaluar si la política tiene un agujero, actualizarla si lo tiene, y comunicar el caso al resto del equipo de forma anónima. Esto convierte cada incidente en una mejora de la política, no en un caso de RRHH.
A partir de la tercera incidencia repetida con conocimiento previo, la conversación cambia. Pero esa fase de aprendizaje es donde tu política se convierte en algo vivo o en algo muerto.
Quién debe redactarla
No tu departamento legal. No tu CTO. No tu consultora externa.
Tu director de operaciones o el responsable del área que más esté usando IA. Es quien conoce los casos reales, las herramientas que la gente está pidiendo, los datos que circulan y los riesgos operativos. Legal y CTO revisan después, en dos vueltas como mucho.
Si el primer borrador lo escriben los abogados, te sale el documento de once páginas otra vez. Si lo escribe IT solo, te sale algo técnicamente correcto pero impracticable. Quien escribe primero define el tono, y el tono tiene que ser operativo.
Cierre
La mejor política de IA de tu empresa es la que tu becario puede leer en dos minutos, recordar en su tercer día y aplicar sin levantar la mano. Si la tuya no cumple esto, lo que tienes no es una política, es un seguro mal redactado contra una demanda futura. Y mientras tanto, tu equipo sigue usando IA como puede, donde puede y con los datos que tiene a mano.
Cabe en una página. Cinco puntos. Permisos antes que prohibiciones. Un responsable por área. Y un canal único para reportar. Esa es toda la complejidad real. El resto es papeleo legal que no protege a nadie de nada.