¿Por qué no la puede escribir Tecnología sola la política de uso aceptable de la IA?

Cuando la política la redacta solo el equipo de Tecnología, sale un documento operativo pero sordo a tres capas que IT no domina: el régimen legal del dato, el impacto sobre el proceso de negocio y el régimen disciplinario. Una política defendible requiere cuatro perfiles en la mesa de redacción: Seguridad (clasificación de datos y controles técnicos), Legal y Compliance (RGPD, EU AI Act, propiedad intelectual), Negocio (procesos e impacto) y Recursos Humanos (régimen disciplinario, formación, comunicación). Si falta una pata, esa pata es exactamente la sección que se romperá primero.

Política de uso aceptable de la IA: la que recomiendo

Cualquier empresa con empleados que usan IA tarde o temprano va a tener que enseñar su política de uso aceptable a alguien externo: un auditor, un cliente B2B en due diligence, una autoridad de protección de datos o un inversor.

Si esa política no responde en dos minutos a las preguntas que te hagan, no es tu política. Es un PDF que comprasteis.

Esta es la versión que aplico yo cuando me piden el primer borrador. No la plantilla de la consultora. Lo que firma un CISO que se juega el riesgo si esto se rompe.

¿Qué es una política de uso aceptable de la IA?

Una política de uso aceptable de la IA -AI Acceptable Use Policy, AUP IA si quieres el nombre en versión normativa- es un documento interno que define qué pueden y qué no pueden hacer los empleados de tu organización con sistemas de inteligencia artificial. Quién decide, con qué datos, sobre qué procesos y bajo qué supervisión.

No es una declaración ética. No es un manifiesto. No es una cláusula en el contrato. Es el documento operativo que responde a tres preguntas que tu equipo se hace todos los días:

¿Puedo subir este dato a ChatGPT para que me ayude a resumirlo?
¿Puedo conectar este agente IA a nuestro Drive corporativo?
¿Puedo dejar que un sistema automatizado decida si aprueba o rechaza esta solicitud?

Si tu política no responde a esas tres preguntas con un sí, un no o un depende razonado, no es una política. Es un PDF.

¿Por qué no la puede escribir Tecnología sola?

En la mayoría de empresas españolas que veo, la política de uso aceptable de la IA acaba en el equipo de Tecnología por una razón razonable: la IA es tecnología, y Tecnología es quien firma las herramientas. El problema viene después.

Cuando la redacta solo Tecnología, sale un documento operativo bien intencionado pero sordo a tres cosas que decidir mal cuesta caro: el régimen legal del dato que se mueve por la herramienta, el impacto sobre el proceso de negocio que esa herramienta toca, y el régimen disciplinario si alguien se la salta. Tres capas que IT no domina ni tiene que dominar.

Una política defendible necesita cuatro patas en la mesa de redacción: Seguridad (clasificación de datos, controles técnicos, evaluación de proveedor), Legal y Compliance (RGPD, EU AI Act, propiedad intelectual), Negocio (qué procesos toca y con qué impacto) y Recursos Humanos (régimen disciplinario, formación, comunicación interna). Si falta una pata, la pata que falta es exactamente la sección que se va a romper primero.

El gap más común que veo es Seguridad. Y el síntoma se detecta en treinta segundos de lectura: la política habla mucho de "uso ético" y muy poco de "qué datos se pueden mover, a qué herramienta y con qué controles técnicos". Si la tuya está así, no es que esté incompleta. Está vacía.

Cover de la plantilla descargable: Política de uso aceptable de la IA con sistema semáforo en una página

La plantilla operativa, hecha

Para ahorrarte la primera tarde frente al folio en blanco, tienes ya montada la plantilla que aplica todo lo anterior: política de uso aceptable de la IA en una sola página. Sistema semáforo con 17 escenarios concretos, las cuatro reglas generales operativas y la cláusula de incumplimiento. Alineada con NIST AI RMF, ISO/IEC 42001 y EU AI Act. Es la misma que uso de punto de partida. Gratuita, solo necesitas tu email.

Descargar la plantilla

¿Qué secciones tiene que tener una política de uso aceptable de la IA?

Si comparas las políticas públicas de referencia -la de la Cámara de Comercio de España, la de la AEPD, o las de empresas cotizadas como Iberdrola, Prisa o Técnicas Reunidas- aparece un núcleo mínimo de cinco secciones que se repite en todas las que funcionan. Y un puñado de ampliaciones que son innecesarias en una pyme pero imprescindibles cuando la organización crece.

Empiezo por el núcleo, que es lo que entra en una sola página y lo que vas a encontrar en la plantilla que enlazo al final. Las ampliaciones van después.

1. Objetivo y alcance

Las dos primeras secciones de cualquier política son la declaración de objeto -para qué existe el documento- y el alcance -a quién y a qué herramientas aplica-. Parecen burocracia. No lo son. El alcance es lo que zanja discusiones del tipo "esto no me aplica porque soy un contratista". La plantilla lista explícitamente empleados, contratistas y colaboradores, y nombra ejemplos de herramientas (ChatGPT, Microsoft Copilot, Claude, Gemini, Midjourney, herramientas de transcripción) para que nadie pueda decir "yo no sabía que esto contaba como IA".

2. Clasificación de uso: el sistema semáforo

El núcleo operativo de la política. No describe la IA en abstracto: describe escenarios concretos y los clasifica en tres niveles: permitido, restringido (necesita aprobación) y prohibido. Sin esta sección, todo lo demás es decoración. Más abajo desarrollo cómo se construye y qué entra en cada caja.

3. Reglas generales

El bloque de comportamiento transversal que aplica a todo uso, sea de la categoría que sea. Cuatro reglas que funcionan en el 90% de los casos: verifica siempre el output antes de usarlo en producción o externamente, no asumas que las conversaciones con IA son privadas, si dudas pregunta antes, y reporta cualquier incidente o error a un canal definido. Una buena política no necesita más de cuatro líneas aquí.

4. Régimen de incumplimiento

Qué pasa si alguien se salta la política. Sanciones laborales, ciclo disciplinario, responsabilidad civil si procede. Aquí es donde Recursos Humanos sí es indispensable. Y aquí es donde se ve si la organización está dispuesta a hacer cumplir lo que firma. Política sin consecuencias igual a política sin efecto.

5. Marco normativo y responsable de la política

En el pie del documento aparecen tres datos no negociables: quién es el propietario de la política (debe ser una persona con nombre y cargo, no un departamento abstracto), la versión y fecha del documento, y a qué normativa responde. En España, esa lista mínima es:

EU AI Act - clasificación de sistemas, obligaciones por categoría de riesgo, deadline de aplicación general en agosto 2026.
ISO/IEC 42001:2023 - sistema de gestión de IA. La norma sobre la que vas a tener que certificarte si quieres venderle a una administración pública.
NIST AI Risk Management Framework - el marco operativo. Voluntario, pero cada vez más exigido en compras corporativas.
RGPD - siempre. La IA no exime.

Si tu política no nombra explícitamente estos cuatro marcos, no es defendible en auditoría.

Ampliaciones recomendadas cuando la organización crece

El núcleo mínimo entra en una sola página y funciona para una empresa de hasta unos doscientos empleados. A partir de ahí -o cuando el negocio empieza a integrar IA en producto, no solo en operaciones internas- hay tres bloques que se suelen sacar fuera de la política base y vivir en documentos asociados:

Inventario de herramientas aprobadas - lista cerrada, con versión, contrato y responsable. Vive como anexo porque cambia mucho más rápido que la política.
Procedimiento detallado de reporte - buzón concreto, SLA, escalado al CISO. Una página adicional que el empleado tiene en cualquier momento.
Ciclo de revisión - cada cuánto se revisa la política y qué la dispara antes de tiempo. Mi recomendación es revisión semestral mientras la organización todavía esté madurando el uso de IA, y pasar a anual cuando los procesos estén estabilizados. Dos disparadores extraordinarios siempre activos: nueva normativa relevante o incidente material relacionado con IA.

El siguiente paso natural en esta línea es auditar el cumplimiento del propio EU AI Act -dónde estás hoy frente a los plazos que vienen- y lo cuento con la checklist completa en la guía de auditoría del EU AI Act paso a paso para CISOs.

¿Cómo se construye el sistema semáforo de la política IA?

El sistema semáforo es la parte que de verdad usa el empleado. La que mira cuando tiene dudas. La que copia su jefe cuando hay que decidir si aprobar un caso nuevo. Si lo haces bien, el resto de la política puede tener defectos y la empresa funciona. Si lo haces mal, da igual lo bonita que esté la introducción.

Las tres categorías son simples. Lo difícil es asignar bien cada escenario.

Permitido	Restringido	Prohibido
Usos sin riesgo material para la organización. No requieren aprobación previa. Se documentan como buena práctica.	Usos con riesgo controlado. Requieren autorización previa documentada del responsable de Seguridad IA o del CISO.	Usos vetados por riesgo legal, reputacional o de seguridad. No se aprueban en ningún caso. Saltarse esto es falta grave.
Consultas con datos públicos o no sensibles Borradores de textos genéricos (emails, presentaciones) Resumen de documentos públicos Asistencia en programación con código no propietario Búsqueda de información general Uso de herramientas corporativas aprobadas	Análisis de datos confidenciales internos Revisión de código propietario Información pre-publicación (financiera, producto, estratégica) Herramientas de IA fuera de la lista de aprobadas Creación de contenido para publicación externa	Introducir datos personales (PII) de clientes o empleados Subir datos regulados (salud, financieros, secreto profesional) Compartir credenciales, contraseñas o tokens Decisiones automatizadas sobre personas sin supervisión humana Desactivar controles DLP o de seguridad Generar contenido engañoso o manipulador

Esa es exactamente la tabla que vas a ver en la plantilla descargable. Diecisiete escenarios concretos en una página, ordenados por color y sin ambigüedad. La empresa puede ampliar la lista para adaptarla a su contexto -debería-, pero el esqueleto es operativo desde el día cero.

Tres reglas para construir el semáforo:

Cada categoría se define por escenario, no por herramienta. La misma herramienta puede estar en las tres según qué datos manejes. ChatGPT Enterprise con un resumen de prensa pública es verde. ChatGPT Enterprise con datos de RRHH de un empleado identificable es ámbar o rojo. La herramienta no es el riesgo. El dato sí.
El ámbar tiene que tener un responsable con nombre y un SLA. "Requiere aprobación" sin decir quién la da y en cuánto tiempo es lo mismo que no tener proceso. La gente no espera y va al verde por su cuenta.
El rojo se nombra explícitamente. Una lista de cinco a diez prohibiciones concretas. No "usos que vulneren la normativa". "No se puede usar IA para evaluar candidatos sin intervención humana en la decisión final". Concreto. Verificable. Sancionable.

El error más frecuente que veo es lo contrario: políticas con un solo escenario rojo enorme y abstracto, sin verdes ni ámbares operativos. El empleado las lee y deduce -correctamente- que todo es ámbar y nadie va a contestar el correo de aprobación. Así que actúa por libre. Y se acaba el control.

Los 6 errores que veo cuando reviso una política IA ajena

Cuando reviso una política IA ajena, suelo encontrar los mismos seis errores con regularidad de manual. Si la tuya tiene tres o más, está rota.

Error 1: confundir principios con reglas

La política habla de "uso ético, responsable y transparente". Bonito. Inutilizable. Un empleado no puede contrastar su acción contra "ético". Sí puede contrastarla contra "no subir datos clasificados como confidenciales a herramientas no aprobadas". Una política sin reglas verificables es un discurso, no un instrumento de control.

Error 2: lista de herramientas en lugar de criterios

"Solo se permiten ChatGPT, Copilot y Gemini." Tres meses después sale otra herramienta y la política está obsoleta. La política tiene que listar los criterios de aprobación (DPA firmado, datos en UE, control de retención, auditoría disponible) y que el inventario lo mantenga otro documento que cambia más rápido.

Error 3: no diferenciar uso individual del corporativo

El empleado que abre ChatGPT en su navegador para redactar un correo y la empresa que integra una API de OpenAI dentro de un CRM no son el mismo riesgo. La política tiene que tener al menos dos modos: uso asistido individual (con su lista de herramientas y reglas) y integración corporativa (con su proceso de evaluación de proveedor, contrato, pen-test).

Error 4: silencio sobre los agentes IA

Los agentes IA ejecutan acciones sin supervisión humana paso a paso, encadenan llamadas a herramientas y toman decisiones de forma autónoma. Si la política solo habla de "uso de herramientas de IA generativa", se queda corta. Tiene que mencionar explícitamente los agentes autónomos: quién aprueba el despliegue de un agente, qué herramientas puede invocar (least privilege), qué decisiones puede tomar sin humano en el loop y cómo se auditan sus acciones.

Error 5: olvidarse del shadow AI que ya está dentro

Una política de uso aceptable no se publica en el vacío. Se publica en una organización donde -según los datos que mejor conozco- entre el cuarenta y el sesenta por ciento de los empleados usan ya alguna herramienta de IA sin autorización explícita. Si tu política no incluye un proceso de amnistía y regularización para lo que ya está dentro, lo único que estás haciendo es criminalizar al equipo. La gente esconde lo que usa y pierdes visibilidad. Eso es lo mismo que pasa con los OAuth grants no aprobados, un patrón que cuento en detalle en Shadow AI 2.0: el problema de los OAuth scopes.

Error 6: aprobación una vez y olvido

La política se aprueba en comité, se sube al portal del empleado y nadie la vuelve a tocar. Doce meses después la realidad ha cambiado tres veces. El régimen mínimo de revisión periódica es semestral mientras el uso de IA evoluciona rápido, con dos disparadores extraordinarios: nueva regulación publicada (el EU AI Act publica actos delegados de forma continua) e incidente material relacionado con uso de IA en la organización.

Curso · Ciberseguridad de la IA para CISOs

Si los seis errores anteriores te suenan, el curso entra en cada uno con detalle operativo. 5 módulos disponibles ya: La IA como nuevo dominio de riesgo · Amenazas y vulnerabilidades · Gobernanza y cumplimiento (EU AI Act, NIST, ISO 42001) · Operación segura · Caso práctico integrador. 100% online, vídeos + manual completo + autoevaluación. Acceso durante un año. Diploma al finalizar.

Ver el curso

¿Cómo desplegar la política de uso aceptable de la IA en 30 días?

Si me preguntas por dónde empezar, este es el calendario que aplicaría. Treinta días naturales. No requiere consultora externa.

Semana 1 - Mapa

Inventario del uso real de IA en la organización. Logs de proxy, DNS, CASB. Encuesta corta y honesta al equipo (anónima si hace falta). Salida: lista de las diez herramientas más usadas, los cinco procesos más expuestos y los tres equipos con más adopción.

Semana 2 - Borrador

Redacción de la política sobre la plantilla. La escribe Seguridad con input documentado de Legal, Negocio y Recursos Humanos. Salida: borrador v0 con sistema semáforo aplicado a los procesos detectados en el mapa de la semana 1.

Semana 3 - Validación cruzada

Revisión por los cuatro perfiles. No en comité - uno a uno. Comité es para aprobar, no para escribir. Salida: borrador v1 con conflictos resueltos y régimen de incumplimiento acordado con Recursos Humanos.

Semana 4 - Aprobación, comunicación y formación

Comité aprueba la v1. Se publica en el portal del empleado con resumen ejecutivo de una página. Sesión de quince minutos por equipo durante esa semana -no opcional, no diferida-. Se abre el buzón de reporte. Se anuncia la fecha de la primera revisión semestral.

Si el día treinta no tienes la política publicada y al menos el 70% del personal formado, el problema no es la política. Es la organización. Y entonces el siguiente paso no es escribir mejor - es escalar el bloqueo.

¿Cuándo sabes que tu política de uso aceptable de la IA está lista?

La política de uso aceptable de la IA no es el documento que te salva de la sanción regulatoria. Es el documento que te permite tomar decisiones rápidas cuando alguien viene a preguntar si puede hacer X con Y. Si la tuya no responde a esa pregunta en dos minutos, no es tu política. Es el PDF que le comprasteis a la consultora.

La pregunta para tu próximo comité: "¿Cuántas herramientas de IA tienes en uso real, y cuántas pasaron por tu proceso de evaluación de proveedor?"

Si las dos cifras no coinciden -y no van a coincidir- ya sabes cuál es la primera línea de tu inventario.

Y la segunda pregunta es para ti, hoy: si te pido la política de uso aceptable de IA de tu empresa esta tarde, ¿me la puedes mandar? Y si te la mando yo y te pido que me digas si la puedo aplicar mañana, ¿pasa de la página tres?

El lunes empieza otra vez.

¿Quieres este tipo de análisis cada lunes?

Newsletter semanal con análisis CISO como este, lecciones aprendidas de revisiones reales, herramientas prácticas y los movimientos de regulación de IA en España y la UE. Sin patrocinadores. Sin relleno.

Suscribirme a la newsletter

Fuentes

EU AI Act - sitio oficial del Reglamento Europeo de Inteligencia Artificial. Marco normativo de referencia para clasificación de sistemas y obligaciones por categoría de riesgo. Aplicación general en agosto 2026.
Política General para el Uso de IA Generativa en Procesos · Agencia Española de Protección de Datos (Plan Estratégico AEPD 2025-2030). Caso real de política IA publicado por la autoridad española de protección de datos.
ISO/IEC 42001:2023 - Information technology, Artificial Intelligence, Management system. Norma internacional para sistemas de gestión de inteligencia artificial.
NIST AI Risk Management Framework (AI RMF 1.0). Marco operativo del National Institute of Standards and Technology para gestión de riesgo IA.
Política de Uso de Tecnologías de Inteligencia Artificial · Cámara de Comercio de España. Ejemplo de política corporativa pública, útil como referencia comparativa.