ai-strategy
12 min read
View as Markdown

Crear políticas de IA que sí funcionen

Por qué la mayoría de las políticas de IA fracasan, qué debería cubrir la tuya de verdad y cómo redactar directrices que la gente siga en lugar de ignorar.

Robert Soares

Tus empleados están usando IA ahora mismo. Algunos tienen permiso. La mayoría probablemente no.

La investigación cuenta una historia consistente: los trabajadores adoptan herramientas de IA más rápido de lo que las empresas pueden escribir políticas sobre ellas, y el 68% de los empleados que usan ChatGPT en el trabajo lo hacen sin decírselo a su supervisor. Esto crea una situación en la que las organizaciones se enfrentan a una responsabilidad real mientras fingen que el problema no existe.

El instinto es prohibirlo todo. Bloquearlo. Problema resuelto.

Salvo que ese enfoque nunca ha funcionado con ninguna tecnología, y aquí tampoco va a funcionar. La gente encuentra atajos porque las herramientas son demasiado útiles como para ignorarlas, y la TI en la sombra se convierte en una IA en la sombra que opera completamente fuera de tu visibilidad.

Así que necesitas una política. Pero aquí va la verdad incómoda que la mayoría de las guías no te dirán: la política en sí importa mucho menos que si la gente la va a cumplir de verdad. Un documento perfecto que queda ignorado en SharePoint no protege nada.

Los extremos de política que fracasan por igual

Las organizaciones tienden a oscilar entre dos polos. Ninguno funciona.

La prohibición total

Samsung prohibió de forma famosa todas las herramientas de IA generativa en toda la empresa después de que empleados filtraran accidentalmente código fuente confidencial al pedirle a ChatGPT que lo revisara. El incidente llegó a los titulares y desató pánico corporativo en todas las industrias.

Las prohibiciones se sienten seguras. Crean reglas claras y eliminan zonas grises que ponen nerviosos a los abogados. También empujan el uso de IA a la clandestinidad, donde se vuelve invisible e inmanejable.

Un comentarista de Hacker News capturó esta tensión de forma directa: “We are forcing non-use because of compliance. There is a fear that the models will scan and steal our proprietary code.”

Ese miedo es real. Pero la prohibición general crea sus propios riesgos cuando los empleados usan dispositivos personales y herramientas de IA de consumo para saltarse las restricciones, generando una exposición de datos que tu equipo de TI ni siquiera puede ver.

El vale todo

El extremo opuesto es no tener política en absoluto. Que la gente se las apañe sola, confiar en su criterio, moverse rápido y adaptarse luego.

Este enfoque trata la IA como una elección personal de productividad, no como un riesgo organizativo. Ignora que los empleados toman decisiones sobre manejo de datos cada vez que pegan información en un prompt, y que la mayoría nunca ha pensado en políticas de datos de entrenamiento o en dónde podrían acabar sus entradas.

Algunas empresas han ido más lejos que el laissez-faire. Otro usuario de Hacker News contó el mandato de su empleador: “At least 20% of code must be AI generated with the goal of at least 80% by the end of the year.”

Los objetivos agresivos de adopción sin barandillas correspondientes crean presión para usar IA en todas partes, independientemente de si toca. Cuando la métrica es el uso de IA en lugar de la calidad del resultado, la gente encuentra maneras de llegar al número, tenga sentido o no para su trabajo concreto.

Lo que las políticas deberían cubrir de verdad

Las políticas de IA eficaces comparten elementos comunes, pero el énfasis varía según tu industria, tu tolerancia al riesgo y la cultura de tu organización. Empieza por estas cinco áreas y personaliza a partir de ahí.

Herramientas aprobadas y acceso

Sé específico sobre qué herramientas de IA están autorizadas para uso de la empresa. Las versiones empresariales de las herramientas de IA suelen tener términos de manejo de datos distintos a los de las versiones de consumo, y esa distinción importa.

La versión gratuita de ChatGPT y la versión empresarial tienen garantías de privacidad fundamentalmente distintas. La versión gratuita puede usar tus entradas para entrenar modelos futuros. La versión empresarial normalmente no. Tu política debería reflejar qué versiones son aceptables y cuáles están prohibidas.

Incluye un proceso para solicitar nuevas herramientas. Las capacidades de la IA cambian rápidamente, y tu lista de aprobadas necesitará actualizaciones. Crea un proceso de evaluación ligero en vez de obligar a la gente a usar herramientas desactualizadas o a esquivar las restricciones.

Clasificación de datos

Aquí es donde la mayoría de las políticas triunfan o fracasan. Necesitas reglas claras y específicas sobre qué información se puede compartir con herramientas de IA y cuál no.

Directrices vagas como “usa el buen juicio con los datos sensibles” no aportan ninguna guía real. La gente necesita categorías concretas que pueda aplicar sin llamar a legal cada vez que quiera redactar un correo.

Considera un enfoque por niveles: datos que nunca se pueden compartir con IA, independientemente de la herramienta (datos personales identificables (PII) de clientes, credenciales, finanzas no publicadas), datos que solo se pueden compartir con herramientas empresariales aprobadas (documentos internos, información general del negocio) y datos que se pueden compartir libremente (información pública, preguntas de conocimiento general).

El objetivo no es eliminar todo riesgo. El objetivo es hacer que el cálculo de riesgo sea lo bastante simple como para que la gente pueda seguir las reglas sin fricción excesiva.

Casos de uso aceptables

¿Qué tareas puede apoyar la IA y qué está fuera de límites?

La IA destaca redactando, resumiendo, generando ideas y manejando manipulación rutinaria de texto. Se le da mal la precisión factual, el juicio matizado y cualquier cosa que requiera una comprensión real de tu contexto específico de negocio.

La mayoría de las políticas deberían prohibir que la IA tome decisiones que afecten a personas individuales: contratar, despedir, evaluaciones de desempeño, decisiones de crédito. La combinación de la tendencia de la IA a cometer errores con seguridad y las consecuencias de estas decisiones crea un riesgo inaceptable.

Del mismo modo, los documentos legales, las presentaciones regulatorias y cualquier comunicación en la que necesites garantizar precisión deberían requerir creación humana en lugar de asistencia de IA. La IA puede ayudar a investigar y a redactar, pero los humanos deben ser responsables del resultado final.

Estándares de calidad

Toda política debería abordar el hecho de que la IA se equivoca. Las alucinaciones no son errores que los proveedores acabarán arreglando. Son inherentes a cómo funcionan los modelos de lenguaje grandes.

Define requisitos de revisión según lo que esté en juego en la salida. Notas internas de lluvia de ideas quizá solo necesiten auto-revisión. Comunicaciones de cara al cliente deberían requerir revisión de un par o de un responsable. Cualquier cosa con implicaciones legales o de cumplimiento normativo necesita verificación por un experto en la materia.

Sé explícito: estadísticas, citas y referencias generadas por IA deben verificarse de forma independiente. La IA inventa con seguridad fuentes que no existen y estadísticas que nunca se publicaron. Cualquiera que haya verificado una salida de IA sabe que esto pasa constantemente.

Requisitos de divulgación

¿Cuándo debe reconocerse el uso de IA? Esta pregunta no tiene una respuesta universal, pero tu política debería dar una para tu organización.

Algunos contextos exigen divulgación de forma clara: cualquier situación en la que alguien razonablemente esperaría estar interactuando con un humano, cualquier contenido en el que la atribución importe, cualquier comunicación regulada en la que la divulgación pueda ser legalmente obligatoria.

Otros contextos no necesariamente requieren divulgación: IA usada como herramienta de borrador con mucha edición humana, IA usada para investigación o preparación que informa el trabajo humano, uso rutinario de productividad donde el resultado final refleja juicio humano.

La línea entre estas categorías implica decisiones de criterio en las que tu política debería ayudar a la gente a orientarse.

Los errores que matan las políticas

Las buenas intenciones producen malas políticas todo el tiempo. Vigila estos patrones de fallo.

Escribir para abogados en vez de para usuarios

Las políticas redactadas por equipos legales a menudo suenan como documentos legales. Cubren cada caso límite, usan terminología precisa y proporcionan protección integral frente a la responsabilidad.

También se quedan sin leerse porque los empleados normales no pueden extraer guía accionable de un lenguaje jurídico denso. Si tu política requiere interpretación por alguien con un título en derecho, será ignorada por todos los que no lo tengan.

Escribe para la persona que necesita tomar una decisión rápida sobre si puede pegar algo en ChatGPT. Haz que esa decisión sea fácil. Reserva el marco legal exhaustivo para la documentación interna que mantiene tu equipo legal.

Fingir que la tecnología se queda quieta

Las capacidades de la IA cambian cada mes. Claude, GPT, Gemini y docenas de otras herramientas publican actualizaciones constantemente. Funciones que eran experimentales se vuelven estándar. Surgen riesgos nuevos mientras los viejos se van abordando.

Las políticas escritas para ChatGPT en 2023 quizá no encajen con el panorama de IA en 2026. Incorpora ciclos de revisión en tu política y asigna la responsabilidad a alguien que de verdad vaya a hacer esas revisiones. Una vez al año probablemente es demasiado lento. Trimestral puede ser apropiado para organizaciones que se mueven rápido.

Saltarse la formación por completo

Una política que existe solo en documentación es una política que no existe. La gente necesita formación para entender reglas, contexto para entender por qué y práctica para aplicar directrices en situaciones reales.

Investigación de SHRM encontró que el 75% de los trabajadores espera que sus funciones cambien por la IA en los próximos cinco años, pero solo el 45% ha recibido reciclaje reciente. Esa brecha entre expectativa y preparación crea confusión, miedo y violaciones de política nacidas de la ignorancia, no de la malicia.

Presupuesta tiempo para la formación. Hazla interactiva en vez de solo distribuir un documento. Incluye escenarios reales con los que la gente realmente se topará.

Crear reglas que nadie aplica

Las políticas sin consecuencias son sugerencias. Decide antes de publicar cómo se gestionarán las infracciones y comunícalo con claridad.

Esto no significa tratar cada error como motivo de despido. Las respuestas proporcionales funcionan mejor: corrección informal para infracciones menores, documentación formal para problemas repetidos, consecuencias serias para exposiciones intencionales de datos.

Lo que mata la credibilidad de una política es la inconsistencia. Si los directivos ignoran reglas que aplican a todo el mundo, o si las infracciones se gestionan de forma distinta según quién las cometa, tu política pierde toda autoridad.

Ignorar la realidad de la IA en la sombra

Fingir que los empleados no usan herramientas personales de IA no lo vuelve cierto. Cualquier política honesta reconoce esta realidad y ofrece caminos que la aborden.

Si tus herramientas aprobadas son significativamente peores que las alternativas de consumo, la gente usará las alternativas de consumo. Si tu proceso de aprobación tarda meses, la gente lo esquivará. Si tus restricciones crean fricción excesiva para tareas rutinarias, la gente encontrará formas de reducir esa fricción.

La política que necesitas es una que haga que el comportamiento conforme sea el camino de menor resistencia, no una que dependa de que la gente elija el camino más duro porque un documento se lo dijo.

Mantener las políticas prácticas

Las mejores políticas de IA comparten una cualidad difícil de especificar pero fácil de reconocer: se sienten razonables. Reconocen preocupaciones legítimas sin crear obstáculos burocráticos que no sirven a ningún propósito real.

Empieza con principios y luego añade reglas

Antes de escribir reglas específicas, articula los principios que las sustentan. La gente puede aplicar principios a situaciones nuevas que las reglas no pueden anticipar.

El principio podría ser: queremos que nuestra gente se beneficie de la IA mientras protegemos datos que podrían dañar a clientes o a la empresa si se expusieran. Ese principio guía la toma de decisiones cuando el reglamento no tiene respuesta.

Las reglas pasan a ser ejemplos de los principios en acción, en lugar de una lista exhaustiva que implica que todo lo que no esté prohibido está permitido.

Haz fácil el cumplimiento

Cada punto de fricción en tu política es una oportunidad de infracción. Cada vez que alguien tiene que parar, pensar, navegar un proceso de aprobación o usar una herramienta peor, creas incentivo para saltarse las reglas.

Audita tu política desde la perspectiva del usuario. ¿Qué hace falta de verdad para cumplirla? Si el cumplimiento requiere un esfuerzo significativo, pregunta si ese esfuerzo produce una reducción de riesgo proporcional. A veces la respuesta es sí. A menudo no lo es.

Crea bucles de retroalimentación

Tu política tendrá huecos y errores. La gente que vive bajo ella sabe dónde están esos problemas. Crea formas para que los señalen sin miedo.

Encuestas regulares, canales de feedback anónimos, horas de oficina donde la gente pueda hacer preguntas sin juicio: estos mecanismos detectan problemas antes de que provoquen incidentes y hacen que la gente se sienta escuchada, no vigilada.

Acepta la imperfección

Ninguna política elimina todo el riesgo. El cumplimiento perfecto no es alcanzable ni necesariamente deseable si el coste es destruir la productividad.

El objetivo es reducir el riesgo a niveles aceptables, no eliminarlo. Define qué significa aceptable para tu organización y diseña una política que lo logre sin exigir perfección de todo el mundo, todo el tiempo.

Empezar sin empezar de cero

Si no tienes política, empieza pequeño. Cubre primero los escenarios de mayor riesgo: qué datos nunca se pueden compartir, qué decisiones la IA no puede tomar, qué revisión se requiere para comunicaciones externas. Puedes ampliar desde ahí.

Si tienes una política que no funciona, resiste el impulso de reconstruir desde cero. Habla con la gente sobre qué está fallando. A menudo los problemas se pueden arreglar sin reemplazo total.

La política no es un documento. Es una conversación continua entre la organización y las personas que trabajan allí sobre cómo usar herramientas potentes de forma responsable. El documento solo captura dónde ha aterrizado esa conversación hasta ahora.

Las organizaciones que hacen bien la política de IA la tratan como algo vivo: revisada con regularidad, discutida abiertamente, ajustada según la experiencia. Las que lo hacen mal producen un documento y se olvidan de él hasta que un incidente obliga a prestarle atención.

Tu equipo ya está usando IA. La pregunta es si lo está haciendo de forma segura y si has hecho que la opción segura sea la opción fácil. Eso es lo que logra una buena política. No restricciones por sí mismas, sino barandillas que permiten moverse rápido sin salirse del camino.

¿Qué tipo de política tienes?

Ready For DatBot?

Use Gemini 2.5 Pro, Llama 4, DeepSeek R1, Claude 4, O3 and more in one place, and save time with dynamic prompts and automated workflows.

Top Articles

Come on in, the water's warm

See how much time DatBot.AI can save you