IA Book
06 · Gobernanza y seguridad

Política de uso de IA

Cómo escribir una política de uso de IA que tu equipo entienda, siga y no necesite un abogado para interpretar.

Paso 2 de 5

El inventario del paso anterior te muestra el estado actual. La política de uso define el estado deseado: qué está permitido, qué no, y qué necesita aprobación.

Una buena política de uso de IA no es un documento de 40 páginas que nadie lee. Es un acuerdo claro, en lenguaje llano, que cualquier persona de tu empresa puede seguir sin consultar al área legal.

Por qué necesitas una política escrita

El 63% de las empresas que no tienen política de uso de IA reportan que sus empleados comparten datos sensibles con herramientas de IA regularmente. No porque sean descuidados, sino porque nadie les dijo qué estaba bien y qué no.

Sin política escrita:

  • Cada persona define sus propios límites. Algunos son muy conservadores y no usan IA aunque les ayudaría. Otros son muy liberales y pegan datos de clientes en cualquier chat.
  • No hay forma de hacer responsable a nadie. Si no hay regla, no hay incumplimiento.
  • Cuando ocurre un incidente, no tienes marco de referencia para responder.

Estructura de una política efectiva

Una política de uso de IA enterprise necesita cubrir seis áreas. No más.

1. Alcance

Quién está cubierto y qué herramientas aplican.

  • La política aplica a todos los empleados, contratistas y proveedores que usen herramientas de IA en el contexto del trabajo.
  • Cubre tanto herramientas provistas por la empresa como herramientas personales usadas para tareas laborales.
  • Incluye IA generativa (ChatGPT, Claude, Gemini), IA embebida en productos existentes (Notion AI, Copilot, Grammarly) y cualquier API de IA integrada en flujos internos.

2. Clasificación de herramientas

Tres categorías simples:

CategoríaSignificadoEjemplos
AprobadasUso libre dentro de las guías de datos. Tienen contrato enterprise.ChatGPT Team/Enterprise, Claude for Work, GitHub Copilot Business.
RestringidasUso permitido solo para ciertos equipos o tareas, con condiciones específicas.Herramientas de IA para análisis de datos que requieren configuración de seguridad.
ProhibidasNo se pueden usar para tareas laborales bajo ninguna circunstancia.Herramientas sin contrato de procesamiento de datos, bots de Telegram, extensiones no verificadas.

3. Reglas de datos

Qué información puede entrar a cada categoría de herramienta. Este es el corazón de la política. El siguiente paso lo detalla, pero la política necesita al menos un resumen claro:

  • Nunca entra: datos personales de clientes, información financiera no pública, código fuente propietario, secretos comerciales, credenciales de acceso.
  • Con precaución: datos internos no sensibles, borradores de documentos sin información confidencial.
  • Libre: información pública, contenido de marketing ya publicado, preguntas genéricas de conocimiento.

4. Responsabilidades

Quién hace qué:

  • Cada empleado es responsable de verificar qué categoría tiene la herramienta antes de usarla y de no ingresar datos prohibidos.
  • Los líderes de equipo son responsables de que su equipo conozca la política y de reportar herramientas nuevas.
  • El comité de gobernanza (ver paso 4) aprueba herramientas nuevas, revisa incidentes y actualiza la política.
  • IT/Seguridad mantiene el inventario técnico y configura los controles.

5. Proceso de aprobación

Qué pasa cuando alguien quiere usar una herramienta que no está en la lista:

  1. Solicitud al comité de gobernanza con: nombre de la herramienta, para qué se usaría, qué datos entrarían.
  2. Evaluación de riesgo (máximo 5 días hábiles para riesgo bajo, 15 para riesgo alto).
  3. Decisión: aprobada, restringida o prohibida. Con justificación.
  4. Comunicación al solicitante y actualización del inventario.

Haz que pedir aprobación sea fácil

Si el proceso de aprobación toma semanas o requiere llenar formularios de 20 campos, la gente no va a pedir permiso. Va a usar la herramienta en silencio. Un formulario corto y un tiempo de respuesta razonable hacen la diferencia entre una política que funciona y una que se ignora.

6. Consecuencias e incidentes

Qué pasa cuando se viola la política:

  • Primer incumplimiento involuntario: conversación con el líder directo y refuerzo de la capacitación.
  • Incumplimiento repetido o negligente: consecuencias según el código disciplinario existente.
  • Filtración de datos sensibles: activación del protocolo de respuesta a incidentes de seguridad.

Importante: las consecuencias deben existir, pero el énfasis de la política es prevención, no castigo. Si la mayoría de los incumplimientos son involuntarios, el problema es la capacitación, no la disciplina.

Cómo desplegar la política

Escribir la política es la mitad del trabajo. La otra mitad es que la gente la conozca y la entienda.

  • Sesión de lanzamiento. No mandes un correo con un PDF adjunto. Haz una sesión en vivo donde expliques las reglas principales, muestres ejemplos concretos de qué está bien y qué no, y respondas preguntas.
  • Resumen de una página. Además del documento completo, crea un resumen visual de una página que la gente pueda tener a mano. Las tres categorías de herramientas, los tres niveles de datos, y a quién contactar.
  • Incluir en onboarding. Todo empleado nuevo recibe la política como parte de su ingreso. No como un documento más en una pila, sino con una explicación.
  • Revisión semestral. Las herramientas de IA cambian cada mes. Una política que no se actualiza pierde relevancia rápido. Revisa al menos cada seis meses.

Resumen de una página: formato sugerido

Divide la página en tres columnas: Herramientas aprobadas (verde), Herramientas restringidas (amarillo), Herramientas prohibidas (rojo). Debajo, tres filas: Datos que pueden entrar, Datos que requieren aprobación, Datos que nunca entran. En la esquina inferior: contacto del comité de gobernanza y link al formulario de solicitud.

Señales de que funciona

  • El equipo puede nombrar al menos dos herramientas aprobadas y una prohibida sin consultar el documento.
  • Las solicitudes de aprobación de herramientas nuevas llegan de forma regular. Eso significa que la gente pregunta antes de actuar.
  • Los incidentes de filtración de datos bajan trimestre a trimestre.
  • La política se ha actualizado al menos una vez desde que se publicó.

Inventario y clasificación de riesgo

Descubrir qué herramientas de IA usa tu equipo hoy, evaluar el riesgo de cada una y priorizar las acciones urgentes.

Datos y límites

Qué información puede entrar a un LLM y cuál no. Criterios prácticos de clasificación para que tu equipo tome buenas decisiones sin consultar al área legal.

En esta página

Paso 2 de 5Por qué necesitas una política escritaEstructura de una política efectiva1. Alcance2. Clasificación de herramientas3. Reglas de datos4. Responsabilidades5. Proceso de aprobación6. Consecuencias e incidentesCómo desplegar la políticaSeñales de que funciona