Hay un patrón que se repite en casi todas las empresas con las que hablamos últimamente. Alguien del equipo descubre ChatGPT, empieza a usarlo para redactar emails. Otro lo usa para resumir reuniones. Marketing lo mete en sus campañas. Ventas lo usa para cualificar leads. Y de repente, sin que nadie lo haya decidido formalmente, tu empresa está usando IA en todas partes — sin reglas, sin supervisión, sin saber qué datos están saliendo por la puerta.
Esta semana ha circulado en Hacker News un artículo titulado Have a Coherent AI Policy que ha generado bastante debate. La tesis es sencilla pero incómoda: la mayoría de las organizaciones están adoptando IA sin haberse parado a pensar qué quieren que la IA haga (y qué no) dentro de su negocio. El resultado es una mezcla de entusiasmo descontrolado y prohibiciones reactivas que no protege a nadie y frustra a todos.
Vamos a desgranar por qué esto importa, qué pasa cuando no tienes una política clara, y cómo construir una que funcione de verdad.
El problema: la IA ya está en tu empresa, lo sepas o no
Según estudios recientes, más del 75% de los empleados de oficina usan IA generativa en su trabajo. De ese porcentaje, una mayoría aplastante lo hace sin que su empresa lo sepa oficialmente. Esto se conoce como "Shadow AI" — el primo hermano del Shadow IT de los años 2010, pero con consecuencias potencialmente mucho peores.
¿Por qué peores? Porque cuando un empleado pegaba un archivo en una herramienta no aprobada, el riesgo era principalmente operativo. Cuando pega información confidencial en un modelo de IA público, ese contenido puede:
- Quedar incorporado en los datos de entrenamiento del modelo
- Aparecer en respuestas a otros usuarios
- Ser almacenado en servidores fuera de tu jurisdicción legal
- Violar GDPR, contratos de confidencialidad o cláusulas con clientes
Y mientras tanto, tú no tienes ni idea de qué está pasando.
Las dos reacciones equivocadas
Cuando los directivos se dan cuenta de la situación, suelen reaccionar de una de estas dos maneras. Ambas son malas.
Reacción 1: "Prohibido todo"
Se bloquea el acceso a ChatGPT, Claude, Gemini y compañía desde la red corporativa. Se manda un email diciendo que está prohibido usar IA para tareas del trabajo. Caso cerrado.
Problema: tus empleados siguen usándolo desde sus móviles personales, desde casa, o desde cuentas privadas. Solo que ahora lo hacen escondidos, sin posibilidad de que tú les ayudes a hacerlo bien. Además, pierdes toda la ventaja competitiva que la IA bien aplicada puede darte.
Reacción 2: "Barra libre"
"La IA es el futuro, todos a usarla." Sin formación, sin guías, sin límites. "Que cada uno experimente."
Problema: alguien acabará pegando el contrato con tu mayor cliente en una herramienta gratuita. Alguien usará IA para tomar una decisión importante sin verificar los resultados. Alguien automatizará un proceso crítico con una herramienta que dejará de funcionar la semana que viene.
Qué es realmente una política de IA coherente
Una política de IA no es un documento de 40 páginas escrito por el departamento legal que nadie lee. Es un conjunto claro de reglas y principios que responden a tres preguntas básicas:
- ¿Para qué queremos usar IA en nuestra empresa?
- ¿Dónde están los límites?
- ¿Quién decide qué se implementa y cómo?
Eso es todo. Si tu política responde estas tres preguntas con claridad, ya estás por delante del 90% de las empresas.
Los componentes de una política sensata
Vamos al grano. Esto es lo que debería incluir tu política de IA:
1. Clasificación de datos
No todos los datos de tu empresa tienen el mismo nivel de sensibilidad. Una política coherente distingue entre:
| Categoría | Ejemplos | Uso con IA |
|---|---|---|
| Datos públicos | Material de marketing, blogs, info web | Libre uso |
| Datos internos | Procesos, plantillas, comunicaciones internas | IA aprobada, con cuidado |
| Datos confidenciales | Información de clientes, financieros, estrategia | Solo IA on-premise o privada |
| Datos regulados | Datos personales, salud, finanzas | Restricciones específicas según normativa |
2. Herramientas aprobadas
Define qué herramientas de IA están permitidas para qué casos de uso. No tiene que ser una lista cerrada eternamente — debe poder crecer — pero sí debe existir un proceso para aprobar nuevas herramientas antes de que se usen.
3. Casos de uso permitidos y prohibidos
Sé específico. "Usar IA con sentido común" no es una política. Esto sí lo es:
✅ Permitido: redactar borradores de emails internos, resumir reuniones públicas, generar ideas para campañas, traducir contenido no confidencial, analizar datos públicos.
⚠️ Permitido con supervisión: generar código que vaya a producción, redactar comunicaciones a clientes, analizar datos internos no sensibles.
❌ Prohibido: introducir datos personales de clientes en herramientas públicas, tomar decisiones automatizadas sobre personas sin revisión humana, usar IA para generar contenido sin verificación de hechos.
4. Supervisión humana obligatoria
Define claramente en qué procesos la salida de la IA debe pasar por revisión humana antes de tener efecto. Esta es una de las partes más importantes y una de las que más se ignora.
5. Responsabilidad
¿Quién es responsable cuando algo sale mal? ¿El empleado que usó la herramienta? ¿Su responsable? ¿El departamento de IT? Si no está claro, nadie será responsable y todos serán responsables a la vez — que es lo mismo.
6. Formación
Una política sin formación es papel mojado. Tu equipo necesita entender no solo qué pueden y qué no pueden hacer, sino por qué. Cuando la gente entiende los riesgos, toma mejores decisiones que cuando solo memoriza reglas.
El error que cometen las grandes consultoras
Muchas empresas contratan a una Big Four para que les escriba una política de IA. Reciben un documento de 60 páginas, lleno de marcos de referencia, comités de gobernanza, matrices de riesgo y diagramas de procesos.
Nadie lo lee. Nadie lo aplica. Y seis meses después, siguen igual que al principio — solo que con un PDF guardado en algún SharePoint.
Una política de IA que funciona tiene tres características:
- Es corta. Si no cabe en 5 páginas, nadie la va a leer.
- Es específica. "Usar IA de forma ética" no le dice nada a nadie. "No pegar contratos en ChatGPT gratis" sí.
- Es viva. La IA cambia cada semana. Tu política debe revisarse cada trimestre, no cada cinco años.
La conexión entre política y arquitectura
Aquí hay algo que muchos pasan por alto: tu política de IA y tu arquitectura técnica están más conectadas de lo que parece.
Si tu política dice "los datos de clientes no salen de nuestros sistemas", entonces no puedes depender de APIs públicas de OpenAI para procesar esos datos. Necesitas o bien modelos open-source corriendo en infraestructura controlada, o bien acuerdos contractuales muy específicos con tus proveedores.
Si tu política dice "todo proceso automatizado debe tener supervisión humana en puntos críticos", entonces no puedes implementar flujos de IA monolíticos sin puntos de control. Necesitas arquitecturas modulares donde la intervención humana esté integrada en el diseño.
Esto es, precisamente, una de las razones por las que en Studio SmartWork construimos sobre herramientas open-source como n8n. Cuando diseñamos un flujo de IA para un cliente, podemos controlar exactamente qué datos van a qué modelo, qué pasos requieren aprobación humana, y dónde se almacenan los registros. No estás atado a las decisiones que tome un proveedor SaaS sobre tu información.
Una plantilla de partida
Si todavía no tienes nada, aquí tienes un esqueleto mínimo para empezar hoy mismo:
1. Propósito
Por qué nuestra empresa adopta IA y qué esperamos conseguir.
2. Alcance
A quién aplica esta política (todos los empleados, contratistas, etc.).
3. Principios generales
- Supervisión humana en decisiones importantes
- Verificación de hechos antes de uso externo
- Protección de datos confidenciales
- Transparencia con clientes cuando se usa IA
4. Clasificación de datos
[Tabla de tres o cuatro niveles]
5. Herramientas aprobadas
[Lista actualizable]
6. Casos de uso
- Permitidos sin restricciones
- Permitidos con supervisión
- Prohibidos
7. Responsabilidades
Quién aprueba, quién supervisa, quién forma.
8. Proceso de revisión
Cada cuánto se revisa esta política y cómo se proponen cambios.
Personaliza, recorta y publica. En serio — una política imperfecta y publicada hoy vale infinitamente más que una política perfecta que sigue siendo un borrador dentro de seis meses.
El verdadero coste de no tener política
Volvamos a la pregunta práctica: ¿qué pasa si sigues sin política de IA?
A corto plazo, probablemente nada visible. La gente seguirá usando las herramientas, las cosas seguirán funcionando, y tendrás la sensación de que estás "siendo ágil".
A medio plazo, empezarás a notar inconsistencias. Diferentes departamentos usando diferentes herramientas. Resultados que no se pueden replicar. Trabajo que se rehace porque la IA generó algo que no debía. Decisiones tomadas con información que nadie verificó.
A largo plazo — y esto es lo que asusta — descubrirás una filtración. O un cliente descubrirá que generaste su informe con IA pública sin decírselo. O un regulador llamará a tu puerta preguntando por el cumplimiento de normativa. O un empleado se irá y descubrirás que la mitad de tus procesos críticos dependían de prompts que solo él conocía.
La pregunta correcta no es "si" sino "cómo"
La conversación sobre IA en tu empresa ya está pasando, con o sin ti. La pregunta no es si tu equipo va a usar inteligencia artificial — ya la está usando. La pregunta es si lo va a hacer de forma coordinada, segura y rentable, o de forma caótica, arriesgada y duplicada.
Una política coherente no es un freno a la innovación. Es exactamente lo contrario: es el marco que permite a tu equipo experimentar con confianza, sabiendo dónde están las líneas y qué puede hacer sin miedo.
Y cuando llegue el momento de implementar soluciones de IA reales en tu negocio — no juguetes individuales, sino sistemas que de verdad eliminen trabajo repetitivo — tener una política clara hará que el proceso sea diez veces más rápido. Porque ya sabrás qué datos pueden ir dónde, qué procesos pueden automatizarse, y qué supervisión necesitas mantener.
Esa es la diferencia entre una empresa que adopta IA con criterio y una que la adopta por inercia. Y a los seis meses, esa diferencia se nota en los resultados.