Política interna de uso de IA: qué debe contener y cómo redactarla
La política interna de uso de IA es el documento aprobado por la dirección de la empresa que establece qué sistemas están autorizados, con qué finalidades, qué datos pueden o no introducirse, quién supervisa el uso y qué consecuencias tiene su incumplimiento. Es la primera evidencia que pide la AESIA en una inspección.
Por qué tu PYME necesita una política, aunque sea pequeña
Aunque el AI Act no exige expresamente un documento llamado política, sí obliga a demostrar gobernanza, formación proporcional y supervisión humana. Sin una política escrita, aprobada y comunicada, es prácticamente imposible acreditar diligencia ante la AESIA o ante un cliente que pida due diligence.
Además, la política es la forma más eficaz de evitar incidentes habituales: empleados pegando datos personales de clientes en ChatGPT gratuito, comerciales generando propuestas con información confidencial en herramientas no autorizadas, o áreas que despliegan asistentes sin pasar por seguridad ni por privacidad.
Estructura mínima recomendada
Una política funcional incluye, como mínimo: (1) objeto y alcance (a quién aplica, incluidos colaboradores externos); (2) definiciones clave alineadas con el AI Act; (3) listado de sistemas autorizados y prohibidos, con la categoría de riesgo de cada uno; (4) reglas sobre qué datos pueden introducirse (nunca categorías especiales, nunca información sometida a secreto profesional o a NDA sin autorización); (5) deber de supervisión humana y de revisión de salidas antes de utilizarlas externamente; (6) obligación de formación previa al uso; (7) régimen disciplinario aplicable; (8) canal interno para consultar y notificar incidentes.
Cómo articular el listado de herramientas autorizadas
El listado debe ser dinámico y mantenerse en una intranet o en un documento controlado por versiones. Para cada herramienta indica: proveedor, finalidad permitida, áreas autorizadas, plan contratado (gratuito, business, enterprise) y si los datos se utilizan o no para entrenamiento por parte del proveedor.
La distinción entre planes es crítica: ChatGPT gratuito y ChatGPT Enterprise tienen tratamientos de datos muy distintos. Permitir el primero para uso corporativo equivale, en la práctica, a tolerar una fuga estructural de información.
Cómo aprobarla y comunicarla
La política debe aprobarse por la dirección (acta de consejo o resolución del administrador) y comunicarse a toda la plantilla con acuse de recibo. Conviene incorporarla al onboarding de nuevas incorporaciones y revisarla al menos una vez al año o ante cambios relevantes.
En empresas con representación legal de los trabajadores, es recomendable abrir un proceso de información previa, especialmente si la política afecta a herramientas usadas en RRHH o en supervisión del desempeño.
Errores frecuentes que conviene evitar
Copiar una plantilla genérica sin adaptarla al contexto: la política debe reflejar las herramientas reales y los flujos reales de la empresa. Otro error es redactarla como un código ético abstracto sin reglas operativas: si no dice qué se puede y qué no, no sirve. Por último, no comunicar la política o no exigir acuse de recibo deja sin efecto cualquier régimen disciplinario posterior.