Blog AI Act y compliance Política de uso de IA en la empresa: guía y plantilla

Política de uso de IA en la empresa: guía y plantilla

Qué debe incluir una política de uso de IA en la empresa y cómo implantarla. Plantilla práctica con criterios del AI Act y el RGPD para equipos.

Política de uso de IA en la empresa y plantilla interna

Con carácter general, ninguna norma obliga a una empresa a aprobar un documento llamado «política de IA». El artículo 4 del AI Act exige medidas de alfabetización para las personas que utilizan estos sistemas y el artículo 32 del RGPD exige medidas técnicas y organizativas apropiadas cuando se tratan datos personales. Una política escrita, comunicada y conectada con formación, inventario y registros ayuda a aplicar y acreditar esas medidas. El documento aislado no demuestra cumplimiento.

Claves en 30 segundos

  • La política debe decir qué herramientas se pueden usar, con qué cuentas, para qué tareas y con qué datos.
  • El tamaño de la empresa cambia la forma de implantarla, pero no determina por sí solo si resulta necesaria.
  • Una plantilla sirve como punto de partida. La actividad, los sistemas y los riesgos de cada organización deciden el contenido final.
  • La política debe ir acompañada de formación, instrucciones por puesto, revisión humana y evidencias.
  • El umbral de 50 trabajadores pertenece, con carácter general, al Sistema interno de información de la Ley 2/2023. No es el umbral de aplicación de una política de IA.

¿Es obligatoria una política de IA en la empresa?

La obligación jurídica recae sobre las medidas que adopta la organización, no sobre el título del documento que las recoge.

El artículo 4 del Reglamento (UE) 2024/1689 establece que proveedores y responsables del despliegue deben procurar un nivel suficiente de alfabetización en IA para su personal y para otras personas que utilicen sistemas de IA por cuenta de la organización. La medida debe adaptarse al conocimiento, la experiencia, la formación y el contexto de uso.

La Comisión Europea aclara dos puntos útiles. El artículo 4 no exige un certificado concreto ni una estructura de gobernanza determinada. La empresa puede conservar registros internos de formación y de otras iniciativas de orientación para acreditar lo que ha hecho.

Cuando el uso de IA implica datos personales, el artículo 32 del RGPD obliga al responsable y al encargado a aplicar medidas técnicas y organizativas apropiadas al riesgo. También exige que las personas con acceso a esos datos sigan las instrucciones del responsable. Una política de IA puede convertir esa obligación general en reglas operativas sobre cuentas, herramientas, información permitida y supervisión.

Esto hace que la política sea muy recomendable para la mayoría de empresas donde varias personas usan ChatGPT, Copilot, Gemini, Claude u otras funciones de IA integradas en el software de trabajo. Su valor probatorio depende de la implantación: comunicación, formación, inventario, autorizaciones, controles y revisión periódica.

El marco europeo está además a punto de cambiar. El paquete conocido como Digital Ómnibus recibió la luz verde definitiva del Consejo el 29 de junio de 2026, tras el aval del Parlamento Europeo, y queda pendiente de publicación en el Diario Oficial de la Unión Europea. Entre otras medidas, aplaza la aplicación de las obligaciones para los sistemas de alto riesgo (a diciembre de 2027 los independientes y a agosto de 2028 los integrados en productos) e introduce facilidades para pymes. Hasta que el texto se publique y entre en vigor, sigue aplicándose la redacción vigente del Reglamento. Para los sistemas de alto riesgo, el artículo 26 contiene obligaciones específicas sobre competencia y supervisión humana.

Qué problemas debe resolver la política

Una política útil permite saber qué herramienta puede utilizarse, qué información admite, qué tareas necesitan autorización, quién revisa el resultado y dónde comunicar un incidente. Estas preguntas aparecen porque la IA ya está en cuentas individuales, suites ofimáticas, CRM y software de selección.

El shadow AI crece cuando cada empleado resuelve esas dudas por su cuenta. La política debe partir del inventario real y fijar límites que la organización pueda cumplir. Un veto general contradicho por las licencias contratadas aporta poca protección.

Qué debe incluir una política de uso de IA

La Cámara de España estructura su política pública alrededor del objeto, el alcance, la privacidad, la verificación de resultados, los usos aceptables y la monitorización. La política interna de la AEPD añade selección de soluciones, tratamiento de información sensible, diseño de casos de uso, decisiones automatizadas, contratación, recursos humanos, incidentes y supervisión.

Una empresa de 10-200 empleados puede condensar ese marco en seis decisiones.

Alcance, responsables e inventario

El documento debe explicar a quién se aplica: plantilla, dirección, personal temporal, becarios y terceros que utilicen IA por cuenta de la empresa. También debe cubrir el uso laboral desde dispositivos personales cuando la organización lo permita.

La política debe distinguir quién aprueba herramientas, quién resuelve dudas jurídicas o de seguridad y quién responde de cada resultado. El inventario asociado registra la finalidad, el tipo de cuenta, las categorías de datos permitidas y la persona responsable. Una herramienta nueva entra por un cauce de aprobación, sin obligar a reescribir toda la política.

Información y usos

La regla «no introduzcas datos sensibles» resulta demasiado imprecisa. El equipo necesita ejemplos de su trabajo cotidiano y una clasificación que pueda aplicar antes de abrir la herramienta.

Tipo de información Regla orientativa Ejemplos
Pública Uso permitido en herramientas autorizadas Web corporativa, catálogo público, normativa publicada
Interna Uso sujeto a cuenta corporativa y finalidad aprobada Procedimientos, borradores, actas internas sin datos personales
Confidencial Autorización y garantías contractuales previas Estrategia, precios no publicados, contratos, información de clientes
Datos personales o categorías especiales Evaluación jurídica y técnica específica CV, nóminas, salud, evaluaciones, expedientes, datos de menores

La tabla debe adaptarse al sector y a los contratos de la empresa. Anonimizar un documento tampoco resuelve siempre el riesgo: los datos pueden seguir siendo identificables al combinarse con otra información.

Una lista por niveles aterriza esas categorías:

  • Permitidos: resumir documentos públicos, generar un primer esquema, traducir contenido no confidencial o preparar ideas sobre información abierta.
  • Condicionados: analizar documentación interna, preparar comunicaciones externas, trabajar con información contractual o conectar una IA con repositorios corporativos.
  • Sujetos a evaluación específica: selección de personal, evaluación de empleados, decisiones sobre clientes, sanidad, educación, crédito o cualquier uso que pueda afectar a derechos.

La clasificación jurídica depende de la finalidad y del contexto. Utilizar IA en Recursos Humanos, por ejemplo, puede activar el régimen de alto riesgo del Anexo III. Ese análisis está desarrollado en nuestra guía sobre IA en Recursos Humanos y AI Act.

Revisión humana y decisiones sensibles

La política debe asignar una persona responsable del resultado. Un texto, una fórmula o una recomendación generados por IA siguen necesitando revisión antes de incorporarse a una decisión, un contrato, una comunicación a cliente o un entregable profesional.

La intensidad de la revisión cambia con el riesgo. Corregir el tono de un correo interno tiene un impacto limitado. Filtrar candidaturas, interpretar una cláusula o preparar una respuesta sanitaria exige controles mayores y, en algunos casos, un análisis jurídico previo.

Cuentas, proveedores y contratos

La empresa debe decidir qué cuentas pueden utilizarse y con qué condiciones. La revisión comprende contrato, tratamiento de datos, transferencias internacionales, conservación, subencargados y posible uso de entradas o resultados para mejorar modelos.

La política puede fijar una regla sencilla: el trabajo se realiza con cuentas corporativas y herramientas aprobadas. Las excepciones se documentan antes del uso.

Propiedad intelectual y confidencialidad

El equipo necesita instrucciones sobre secretos empresariales, derechos de autor, marcas, imagen, voz y documentación de terceros. También debe saber cuándo puede reutilizar un resultado y quién comprueba sus fuentes.

Copiar una respuesta generada no elimina el deber de verificarla. La responsabilidad sobre el documento final sigue dentro de la empresa.

Incidentes, formación y evidencias

La política debe indicar dónde comunicar una filtración, un resultado discriminatorio, una decisión incorrecta o el uso de una herramienta no aprobada. Puede ser un correo interno, un formulario o el sistema de tickets de IT, siempre que tenga responsable y procedimiento.

Una comunicación de IA puede revelar una brecha de datos personales. En ese caso se activan también los procedimientos del RGPD, incluida la valoración de si procede notificarla a la autoridad de control conforme al artículo 33.

La política debe conectarse con la alfabetización en IA. Comunicar el documento y formar por perfiles permite que cada persona entienda la regla y la aplique a su trabajo.

Como evidencia conviene conservar versiones aprobadas, comunicaciones, acuses de recibo, temarios, asistentes, evaluaciones, decisiones sobre herramientas e incidentes. La Comisión Europea admite registros internos de formación y de otras iniciativas de orientación. El conjunto debe mostrar una actuación real, no una carpeta creada para una inspección.

Plantilla básica de política de uso de IA

El siguiente modelo cubre el mínimo operativo. Los campos entre corchetes necesitan adaptación y revisión antes de su aprobación.

1. Objeto

Esta política establece las reglas para seleccionar y utilizar sistemas de inteligencia artificial en [EMPRESA]. Su finalidad es permitir usos útiles, proteger la información, cumplir las obligaciones aplicables y mantener supervisión humana sobre los resultados.

2. Alcance

Se aplica a la plantilla, dirección, personal temporal y terceros que utilicen sistemas de IA por cuenta de [EMPRESA], con independencia del dispositivo desde el que accedan.

3. Herramientas autorizadas

Solo podrán utilizarse las herramientas incluidas en [ANEXO/REGISTRO]. El alta de una nueva herramienta requiere aprobación de [RESPONSABLE] tras revisar finalidad, datos, condiciones contractuales, seguridad y necesidad de formación.

4. Información permitida

La información pública puede tratarse en herramientas autorizadas. La información interna, confidencial o personal seguirá la matriz de datos de [EMPRESA]. La introducción de datos personales, secretos empresariales o documentación de clientes requiere autorización y garantías adecuadas.

5. Usos y revisión

Los resultados de IA se consideran borradores. La persona que los incorpora a una decisión, comunicación o entregable debe comprobar exactitud, fuentes, sesgos, confidencialidad y derechos de terceros. Los usos que afecten a personas requieren evaluación previa de [LEGAL/COMPLIANCE/RRHH].

6. Cuentas y accesos

El uso profesional se realizará mediante cuentas corporativas aprobadas. Queda prohibido eludir controles internos mediante cuentas personales, extensiones, conectores o integraciones no autorizadas.

7. Incidentes

Cualquier filtración, error relevante, resultado discriminatorio o uso no autorizado se comunicará a [CANAL] en cuanto se detecte. [RESPONSABLE] evaluará las medidas técnicas, jurídicas y organizativas necesarias.

8. Formación y aceptación

Las personas incluidas en el alcance recibirán formación proporcionada a sus funciones y a los sistemas que utilicen. [EMPRESA] conservará evidencia de la comunicación de esta política y de las acciones formativas realizadas.

9. Aprobación y revisión

La política ha sido aprobada por [ÓRGANO/RESPONSABLE] y se revisará cuando cambien los sistemas, las finalidades, los riesgos, la normativa o se produzca un incidente relevante.

Esta plantilla no sustituye el inventario ni el análisis de cada caso de uso. Una empresa que utiliza IA para seleccionar candidatos necesita controles distintos de otra que la limita a resumir documentos públicos.

Cómo implantar la política sin crear burocracia inútil

Paso 1. Inventariar el uso real

Pregunta por herramientas, cuentas, departamentos, tareas y datos. Incluye funciones de IA dentro de programas que la empresa ya utiliza. El objetivo es conocer la práctica, también cuando se aparta de lo que la dirección cree que ocurre.

Paso 2. Clasificar y decidir

Separa usos permitidos, condicionados y sujetos a evaluación específica. Asigna una persona responsable de aprobar herramientas y otra, si procede, de revisar privacidad, seguridad o impacto laboral.

Paso 3. Adaptar y aprobar

Redacta la política con ejemplos de la empresa. La dirección debe aprobarla con participación de las áreas afectadas. Los controles que impliquen monitorización laboral o cambios relevantes en las condiciones de trabajo requieren una revisión jurídica específica antes de implantarse.

Paso 4. Comunicar y formar por perfiles

Una sesión general puede cubrir principios comunes. Después conviene trabajar ejemplos de cada función: RRHH, administración, marketing, operaciones, legal o dirección. El artículo 4 del AI Act exige precisamente atender al conocimiento y al contexto de uso.

Paso 5. Registrar y revisar

Conserva decisiones, versiones, asistentes, incidencias y cambios. Reabre la política cuando entra una herramienta, cambia una finalidad o aparece un uso que no estaba previsto. Como criterio de Iacta Studio, una revisión anual sirve de control mínimo, siempre que los cambios relevantes se gestionen cuando ocurren.

El umbral de 50 trabajadores y el canal de denuncias

El número de trabajadores no define la audiencia de una política de IA. Una empresa de 12 personas puede necesitar reglas si su equipo utiliza IA con datos de clientes. Otra de 180 puede requerir un modelo más distribuido, con responsables por área y controles adicionales.

El umbral de 50 aparece en otro lugar. El artículo 10 de la Ley 2/2023 obliga, con carácter general, a las entidades privadas con cincuenta o más trabajadores a disponer de un Sistema interno de información. Algunos sectores están obligados con independencia de su tamaño.

El artículo 7.4 permite que el Sistema interno de información reciba otras comunicaciones, aunque las que queden fuera del ámbito material de la ley no reciben su protección. La empresa también puede habilitar un cauce operativo separado para dudas e incidentes de IA. Un correo de soporte y el sistema protegido por la Ley 2/2023 cumplen funciones jurídicas diferentes.

Preguntas frecuentes

¿Es obligatoria una política de IA para empresas?

Ninguna norma exige con carácter general un documento que se llame «política de IA». El AI Act, el RGPD y otras normas sí pueden exigir medidas de formación, seguridad, instrucciones, supervisión y documentación. Una política bien implantada ayuda a organizar y acreditar esas medidas.

¿Una plantilla de política de IA sirve para cualquier empresa?

Sirve como base. La versión final debe adaptarse al sector, las herramientas, los datos, los casos de uso y la estructura de decisión. Sanidad, educación, RRHH y servicios profesionales suelen necesitar controles más específicos.

¿Quién debe aprobar la política?

La dirección u órgano con capacidad para establecer reglas internas. RRHH, IT, seguridad, protección de datos, legal y compliance deben intervenir según los usos existentes. El artículo 4 del AI Act no obliga a nombrar un AI Officer ni a crear un comité concreto.

¿Toda la plantilla tiene que firmarla?

La norma no establece una firma general obligatoria para una política de IA. La empresa debe poder acreditar que la comunicó y que dio instrucciones y formación adecuadas. El acuse de recibo puede formar parte de esa evidencia. Las consecuencias laborales y los mecanismos de control requieren revisión según el caso.

¿Afecta solo a empresas con más de 50 trabajadores?

El umbral de 50 trabajadores se refiere, con carácter general, al Sistema interno de información regulado por la Ley 2/2023. Las necesidades de gobernanza, seguridad y alfabetización en IA dependen de los sistemas y del contexto de uso, también en empresas más pequeñas.

Una reflexión antes de cerrar

Una buena política se reconoce el lunes siguiente a su aprobación. El equipo sabe qué herramienta puede abrir, qué información queda fuera, quién revisa el resultado y dónde preguntar. Si el documento no permite tomar esas decisiones, todavía necesita trabajo.

Iacta Studio ayuda a las empresas a convertir estas reglas en una política aplicable, formación por perfiles y evidencias útiles dentro de su sistema de compliance de IA.

Aviso legal: este artículo ofrece información general y un modelo orientativo. La política debe adaptarse a la actividad, la estructura, los tratamientos de datos y los sistemas de IA de cada organización. Para asesoramiento personalizado, consulta con un profesional cualificado.


Sobre el autor

Claudia Taracena Calonge

Cofundadora de Iacta Studio. Formada en Derecho y especializada en AI Act, compliance digital y políticas de inteligencia artificial para empresas y pymes.

Logo de Impulsa ICE Castilla y Leon y Junta de Castilla y Leon