Política de uso de IA en empresas: la plantilla mínima viable para 2026

En 2026 ya no es opcional. Una empresa que tenga equipo usando IA —y a estas alturas la inmensa mayoría— necesita una política interna de uso. Por AI Act, por RGPD, por exposición frente a clientes, por sentido común y porque, cuando alguien pega información sensible en ChatGPT, no sirve de excusa decir “no sabíamos”.

Lo malo es que casi todas las políticas de uso de IA que circulan por ahí son inútiles. O son un copy-paste de 40 páginas que nadie lee, o son cuatro buenas intenciones que no aterrizan en nada operativo. Este artículo es la plantilla mínima viable que usamos con nuestros clientes en Everglow cuando hacemos implantación de IA y necesitamos dejar el marco regulatorio resuelto sin convertirlo en un proyecto de seis meses.

Por qué una política corta funciona mejor que un manual largo

La métrica que importa de una política interna no es la calidad técnica del texto. Es cuánta gente la entiende, la recuerda y la aplica. Un manual de 60 páginas redactado por un despacho fallece en el cajón el primer día. Una política de 3 páginas, escrita en lenguaje claro, con ejemplos, sí sobrevive en el día a día.

Cuando el AI Act empezó a aterrizar en serio en España, muchas empresas reaccionaron contratando políticas extensas. Buena parte de esas políticas terminó causando dos problemas: bloqueo (la gente, ante la duda, dejó de usar la IA) y descrédito (la gente, al ver que no se aplicaba, dejó de tomar en serio cualquier política interna). Ninguno de los dos resultados es bueno.

Una política de IA que el equipo no lee es peor que no tener política. Lo que no se lee no se aplica, y lo que no se aplica genera incidentes que sí son denunciables.

La plantilla que proponemos a continuación cabe en 3-4 páginas, está pensada para ser leída por personas no técnicas y cubre los puntos que un inspector, un cliente exigente o un comité de dirección razonable van a mirar.

La plantilla mínima viable: 7 secciones

Una política de uso de IA en empresa para 2026 debería tener, como mínimo, estas siete secciones. Cada empresa luego añade lo que necesite para su sector (sanidad, financiero, legal y educación tienen anexos extra), pero este es el suelo.

1. Alcance y a quién aplica

Quién está obligado a cumplirla: empleados, becarios, proveedores externos que tengan acceso a datos internos, contratistas. Y a qué herramientas se aplica: cualquier sistema de IA generativa (ChatGPT, Claude, Gemini, Copilot, Perplexity), modelos integrados dentro de software (CRM, ERP, plataformas de marketing) y herramientas internas de la empresa basadas en IA.

Conviene que la primera frase deje claro algo importante: la política aplica también a herramientas gratuitas usadas con la cuenta personal. Es donde más se cuelan los problemas.

2. Herramientas autorizadas y no autorizadas

La lista corta y clara de qué se puede usar y qué no. Tres niveles:

• Autorizadas con datos internos: las que la empresa ha contratado en versión empresarial (típicamente ChatGPT Enterprise/Team, Claude Teams, Copilot for Business, Gemini Workspace, los modelos integrados en Notion, n8n, etc.).
• Autorizadas solo con datos públicos o anonimizados: lo demás que el equipo quiera probar para tareas que no implican datos internos sensibles.
• No autorizadas: cualquier servicio que la empresa haya identificado como riesgo (modelos open hosteados en regiones sin garantías, herramientas con políticas de uso de datos opacas, integraciones que envían datos a servicios desconocidos).

Es clave que esta sección sea viva: que cualquier responsable de área pueda solicitar añadir una herramienta nueva con un proceso corto (formulario interno, revisión, aprobación o rechazo). Si no, el equipo lo va a usar “por debajo” y la política se vuelve teatro.

3. Qué datos se pueden meter en cada nivel

Aquí es donde la política se gana el sueldo. Hay que escribir una clasificación de datos sencilla y conectar esa clasificación con qué herramientas se pueden usar.

Una clasificación que funciona bien y se entiende a la primera tiene cuatro niveles:

• Datos públicos: ya están publicados (web corporativa, prensa, redes). Se pueden usar en cualquier herramienta autorizada.
• Datos internos generales: no son confidenciales pero tampoco públicos (notas internas, manuales de procesos no críticos, ideas de marketing). Solo en herramientas autorizadas con datos internos.
• Datos confidenciales: códigos fuente, contratos, propuestas comerciales no firmadas, documentos financieros internos. Solo en herramientas autorizadas con cláusula de no entrenamiento y entornos privados.
• Datos personales o regulados: cualquier dato sujeto a RGPD (clientes, empleados), salud, financiero regulado, jurídico con expectativa de confidencialidad. Solo en herramientas con DPA firmado y procedimiento específico de tratamiento.

La regla de oro: ante la duda, sube el nivel. Es preferible que un empleado pida permiso de más a que filtre algo de menos.

4. Casos prohibidos taxativamente

Una lista corta pero rotunda. Lo que no se puede hacer bajo ningún concepto, en ninguna herramienta, en ninguna situación.

• Procesar datos personales sin base legal documentada en el registro de tratamientos.
• Usar IA para tomar decisiones que afecten a personas (selección, evaluación, sanción, despido, concesión de crédito) sin supervisión humana documentada y sin haber pasado por análisis del impacto previsto en el AI Act.
• Subir código propietario a herramientas no autorizadas.
• Generar contenido que se presente al exterior como producido por una persona cuando ha sido generado por IA sin revisión humana sustantiva.
• Usar IA para suplantar identidad, manipular contenido audiovisual de terceros o generar material engañoso.

El AI Act marca obligaciones específicas para sistemas de “alto riesgo” y para sistemas de IA de uso general. Esta sección es donde la política aterriza ese marco regulatorio europeo en frases que el equipo entiende.

5. Etiquetado y supervisión humana

Una sección práctica. Qué hay que etiquetar como generado o asistido por IA y qué hay que revisar antes de publicar o enviar.

Reglas prácticas que funcionan bien:

• Contenido publicado al exterior (web, redes, propuestas a clientes) con asistencia de IA: revisión humana obligatoria antes de publicar.
• Comunicación con clientes vía IA (chatbot, agente de soporte): el cliente debe saber que está hablando con una IA, con opción clara de escalar a una persona.
• Decisiones internas con apoyo de IA (criba de candidatos, scoring de leads, priorización de proyectos): registro de la decisión asistida y posibilidad de revisión humana a posteriori.
• Documentos legales y oficiales: revisión humana obligatoria por persona competente. La firma siempre la pone una persona.

Esto conecta directamente con lo que se decide en el cuadro de mando del proyecto. Si te interesa el detalle de cómo medir esto, lo trabajamos en cómo medir el ROI de implantar IA en una empresa.

6. Procedimiento de incidentes

Qué pasa si algo sale mal. Cuatro pasos cortos:

• Detectar: la persona que detecta el incidente (filtración, error grave, contenido inapropiado generado) lo reporta a un buzón concreto en menos de 24h. El buzón existe y alguien lo lee.
• Contener: la persona responsable —típicamente IT + compliance o, en pymes, dirección— decide qué se desactiva, qué se borra, a qué clientes hay que avisar.
• Documentar: se registra en el log de incidentes interno: qué pasó, cuándo, quién, qué herramienta, qué datos.
• Aprender: cada incidente revisa si la política necesita cambios. Si pasa dos veces el mismo error, la política está mal redactada o no se está comunicando.

En sectores regulados, este procedimiento conecta con la obligación de notificar a la autoridad correspondiente (AEPD para datos personales, autoridades sectoriales en sanidad, financiero, etc.).

7. Formación obligatoria y revisión periódica

La política funciona si la gente la conoce. Cuatro puntos finales:

• Formación inicial obligatoria para cualquier persona que vaya a usar IA en su trabajo. No basta con enviar un PDF. Una sesión corta —30 a 60 minutos— con ejemplos reales.
• Refresco anual o cuando cambie la política. Marcas la fecha y la gente repasa.
• Revisión de la política cada 6 meses como mínimo, o cada vez que entre una herramienta nueva o cambien las obligaciones regulatorias relevantes.
• Designación de responsables: una persona responsable de la política (típicamente compliance, RRHH o dirección en pymes), una responsable técnica (IT o el implantador externo) y un comité de IA que valida cambios.

Si quieres profundizar en cómo encaja la formación, escribimos una guía específica sobre cómo elegir una formación de IA para tu empresa en 2026.

Cómo conectar la política con la implantación real

Una política aislada del proyecto técnico es una política muerta. La integración mínima:

• Cada herramienta que se autorice tiene que tener documentación interna sobre qué datos se le pueden pasar y dónde no llegan los datos (geografía del servidor, política de entrenamiento del proveedor, DPA firmado).
• Cada agente o copiloto que se implante debe llevar al menos: un alcance funcional escrito, los datos a los que tiene acceso, el mecanismo de supervisión humana y el responsable interno asignado.
• Cuando se conecta un modelo a datos internos —típico de RAG sobre datos propios o de copilotos internos—, la política tiene que añadir una sección sobre los datos que entran al sistema, qué pasa con ellos y cómo se borran cuando se da de baja una persona.

Cuando hacemos implantación, todo este bloque va paralelo. La política se redacta —o se actualiza— a la vez que se monta el sistema, no después. Eso evita el efecto “política que llega tarde y bloquea lo que ya está en producción”.

Errores típicos al redactar una política de uso de IA en empresa

• Copiar una plantilla americana. Las plantillas que circulan en inglés mezclan referencias a leyes que no aplican aquí. AI Act y RGPD son el marco europeo; copiar HIPAA o CCPA introduce ruido y no protege.
• Hacerla muy larga. 25 páginas sirven para tranquilizar al despacho que la redacta, no a la empresa. La gente no la lee.
• Olvidar la versión personal. Lo más peligroso son las cuentas personales: alguien que pega información del trabajo en su ChatGPT free. La política tiene que cubrirlo y, sobre todo, las herramientas corporativas tienen que estar lo suficientemente accesibles para que no haya tentación.
• Hacerla teórica. Sin lista de herramientas autorizadas, sin ejemplos, sin formación, la política es decoración. Lo que protege es la práctica diaria.
• No tocarla en seis meses. Las herramientas cambian rápido. Una política sin revisión a los seis meses pierde sentido en proveedores, modelos y obligaciones.

Conclusión: corta, viva y conectada

Una política de uso de IA en empresa, para que sirva, tiene que ser corta (3-4 páginas), viva (revisada cada semestre, con mecanismo para añadir herramientas), conectada (integrada con la implantación real, no separada) y comunicada (con formación obligatoria, no con un PDF enviado por email). Si esos cuatro requisitos están, cumples lo que el AI Act y el RGPD esperan razonablemente de tu empresa, y proteges el día a día sin bloquear el uso productivo.

Si quieres que diseñemos esta política contigo —o que la rediseñemos si la actual no se está aplicando— en Everglow lo hacemos como parte de cualquier implantación seria. La política se queda en papel, sí, pero se ejecuta en el día a día. Que es donde de verdad importa.