Tu equipo ya está usando inteligencia artificial. Lo sepas o no. La pregunta no es si la usa, sino si lo hace con reglas o sin ellas. Y mientras no exista una política de uso de IA clara, tarde o temprano alguien pegará datos de un cliente donde no debe.
La buena noticia: no necesitas un documento legal de veinte páginas ni un comité de seis meses. Necesitas una página que tu equipo lea de verdad, y la puedes tener redactada esta misma tarde. Te enseño cómo hacerla con Claude, paso a paso.
Qué es una política de uso de IA
Una política de uso de IA es el documento corto que fija, para tu empresa, qué se puede y qué no se puede hacer con herramientas de inteligencia artificial: qué datos se pueden introducir, qué herramientas están aprobadas y quién revisa el trabajo antes de darlo por bueno. No es un manual técnico; es un acuerdo de sentido común por escrito.
Dicho en lenguaje de pyme: es la diferencia entre "mi equipo usa la IA" y "mi equipo usa la IA sin meterme en un lío". Y es responsabilidad de la dirección, igual que lo es definir cómo se firman los contratos o quién aprueba un gasto.
Por qué una página, y no veinte
Aquí es donde se cae casi todo el mundo. Hay dos formas habituales de equivocarse, y las dos salen caras.
La primera es no tener nada. El equipo improvisa: uno usa la IA con criterio, otro le pega el balance entero a la primera web que encuentra, y un tercero entrega al cliente algo que la IA se inventó sin que nadie lo revisara. En una empresa de servicios eso no es una anécdota: es un riesgo de fuga de datos, de incumplimiento de protección de datos y de credibilidad delante de tus clientes. Y cuando salta, ya es tarde.
La segunda es el documento de veinte páginas. Queda muy serio en una carpeta, pero no lo lee nadie. Como ex-director financiero te lo digo claro: un control que nadie aplica no es un control, es papel. Una política larga da una falsa sensación de seguridad, que muchas veces es peor que la inseguridad reconocida.
La que funciona es corta, concreta y memorizable. Si cabe en una página y se entiende a la primera, tu equipo la cumple. Si no, la ignora. Así de simple.
Qué debe incluir tu política de IA
Una buena política responde a tres preguntas, y nada más. Si añades una cuarta, ya empiezas a perder al lector.
1. Qué datos sí y cuáles no
La regla práctica: no metas en la IA nada que no pondrías en un correo a alguien de fuera sin pensártelo. Datos personales de clientes, nóminas, contratos confidenciales, información financiera sensible… esa es la zona prohibida salvo que uses una versión con control empresarial. Define tus categorías en lenguaje claro, no jurídico, para que cualquiera de tu equipo sepa al instante si puede o no.
2. Qué herramientas están aprobadas
Decide con qué herramientas trabaja la empresa y deja fuera el resto. No por capricho, sino porque cada herramienta tiene sus condiciones de privacidad y su nivel de control. Tener una o dos aprobadas evita que cada uno meta los datos de la empresa en la primera app que ve en redes.
3. Quién revisa qué
La IA propone; una persona dispone. La política debe dejar claro que nada sale al cliente, a Hacienda o a una decisión importante sin que un humano lo haya revisado. Y conviene nombrar a un responsable al que preguntar cuando haya dudas. Sin esa figura, las dudas se resuelven solas… y normalmente mal.
Cómo redactarla con Claude paso a paso
Aquí está la parte buena: no tienes que escribirla desde cero ni pagar a nadie para que la redacte. Le das a Claude tu contexto y te devuelve un borrador en una página que tú solo tienes que ajustar. Cuatro pasos.
Reúne el contexto de tu empresa
Antes de pedir nada, ten claras cuatro cosas: tu sector, cuánta gente sois, qué tipo de datos manejáis (clientes, nóminas, financieros) y qué herramientas usáis ya o queréis usar. Es lo que hará que la política sea tuya y no genérica.
Pídele a Claude el borrador de una página
En el chat, escríbelo concreto: "Eres mi asesor; redáctame una política de uso de IA de una sola página para una asesoría de 15 personas. Tres apartados: qué datos se pueden usar y cuáles no, qué herramientas están aprobadas y quién revisa el trabajo. Lenguaje claro, sin jerga legal, para que lo entienda cualquiera." En segundos tienes el esqueleto.
Ajústala a tu realidad
El borrador es un punto de partida, no el destino. Léelo con tu mirada de negocio: corrige lo que no encaje, nombra tus herramientas reales, marca tus datos prohibidos concretos y pon el nombre del responsable. Pídele a Claude que reescriba lo que quieras hasta que suene a tu empresa. Aquí mandas tú, no la IA.
Repártela y mantenla viva
Una página solo sirve si llega al equipo. Compártela, coméntala en una reunión corta y déjala donde todos la vean. Y ponle fecha de caducidad: revísala cada pocos meses, porque las herramientas y las normas cambian. Una política que no se revisa envejece y deja de proteger.
Estimaciones direccionales basadas en proyectos reales, no en estudios citados.
De "que cada uno se apañe" a una página que todo el equipo cumple
Una asesoría de unas 18 personas tenía a medio equipo usando IA por su cuenta, sin reglas. Nadie sabía qué datos de clientes se podían meter ni en qué herramienta. El gerente lo veía venir, pero no encontraba el momento de "ponerse con la política".
Le dimos a Claude el contexto (sector, tamaño, tipo de datos) y en una sesión salió un borrador de una página. Lo ajustamos a sus herramientas reales, nombraron a una responsable de dudas y lo repartieron en una reunión de quince minutos. Desde entonces, las dudas se preguntan en vez de resolverse a ciegas.
política que el equipo entiende
del borrador al documento repartido
datos de cliente en herramientas sin aprobar
¿Tu equipo usa IA sin una sola regla por escrito?
En 30 minutos revisamos cómo se está usando hoy la IA en tu empresa, qué datos están en riesgo y cómo dejar una política clara y aplicable. Primera conversación de 30 minutos sin coste y sin presentación de ventas.
Preguntas frecuentes sobre la política de uso de IA
¿Qué debe incluir una política de uso de IA?
Tres cosas: qué datos se pueden introducir en la IA y cuáles no, qué herramientas están aprobadas en la empresa, y quién revisa el trabajo antes de darlo por válido. Con esos tres apartados, claros y en una página, cubres lo esencial. Todo lo demás suele ser relleno que nadie lee.
¿Por qué una sola página y no un documento largo?
Porque un control que nadie aplica no protege. Una política larga queda bien en una carpeta, pero el equipo no la lee ni la recuerda, así que en la práctica es como no tenerla. Corta y concreta gana siempre: si cabe en una página y se entiende a la primera, se cumple.
¿Una política de IA sustituye al RGPD o a otras normativas?
No. La política de IA es interna y ordena cómo usáis estas herramientas en el día a día; no reemplaza tus obligaciones de protección de datos ni ninguna normativa. Ambas conviven: la política ayuda a cumplir esas normas, pero para tu caso concreto consulta con un profesional.
¿Cada cuánto debo revisar la política?
Cada pocos meses, y siempre que cambies de herramienta o aparezca una novedad relevante. La IA evoluciona rápido y una política que no se revisa envejece y deja de proteger. Ponle fecha de revisión, igual que harías con cualquier procedimiento interno.
Contenido informativo sobre gestión y gobernanza de IA en la empresa. No constituye asesoramiento legal ni de protección de datos; las obligaciones en materia de RGPD y normativa aplicable varían según tu caso, consúltalo con un profesional. Las cifras son estimaciones direccionales basadas en proyectos reales.