La inteligencia artificial ya se usa dentro de muchas empresas aunque todavia no exista una iniciativa formal. Alguien resume correos, otro prepara propuestas, soporte redacta respuestas, administracion revisa documentos y un equipo tecnico prueba asistentes para ahorrar tiempo.

El problema no es que el equipo use IA. El problema es que la use sin reglas claras sobre que informacion puede compartir, que herramientas estan permitidas, que salidas requieren revision y quien responde si algo sale mal.

Una politica interna de uso de IA ayuda a ordenar esa adopcion sin frenar el valor. No tiene que ser un documento enorme. Debe ser una guia operativa que el equipo pueda entender y aplicar.

Que debe resolver una politica de IA

La politica debe responder preguntas practicas:

  • que herramientas de IA estan permitidas;
  • que datos se pueden usar y cuales no;
  • que actividades requieren aprobacion;
  • que respuestas deben revisarse antes de enviarse;
  • que registros deben conservarse;
  • quien administra accesos y excepciones;
  • que hacer si alguien expuso informacion por error.

Si la politica solo dice “usar IA con cuidado”, no sirve. Debe convertir el cuidado en reglas concretas.

Clasifica informacion antes de escribir reglas

La politica debe partir de una clasificacion simple de datos. No todas las empresas necesitan un modelo complejo, pero si necesitan distinguir niveles de riesgo.

Una base practica puede ser:

  • Publica: informacion disponible en el sitio, folletos, materiales comerciales o documentacion publica.
  • Interna: procedimientos, minutas, plantillas, manuales y conocimiento operativo que no debe publicarse sin revision.
  • Confidencial: informacion de clientes, contratos, precios, reportes internos, tickets, datos personales, estados financieros o documentacion tecnica sensible.
  • Restringida: contrasenas, tokens, llaves, secretos, datos regulados, credenciales, expedientes sensibles o informacion que nunca debe copiarse a una herramienta general.

Con esa clasificacion, la empresa puede definir que tipo de informacion puede usarse en cada herramienta y bajo que condiciones.

Define usos permitidos y usos prohibidos

Una buena politica no solo prohibe. Tambien dice donde si conviene usar IA.

Usos generalmente razonables:

  • resumir informacion publica;
  • preparar borradores internos sin datos sensibles;
  • mejorar redaccion de documentos no confidenciales;
  • generar ideas para capacitacion;
  • clasificar tickets anonimizados;
  • crear listas de verificacion;
  • apoyar documentacion tecnica de bajo riesgo.

Usos que deben restringirse o prohibirse:

  • copiar credenciales, llaves o tokens;
  • subir contratos completos sin autorizacion;
  • pegar datos personales de clientes o empleados;
  • pedir decisiones legales, fiscales o laborales sin revision profesional;
  • permitir que la IA envie correos a clientes sin aprobacion;
  • conectar IA a documentos internos sin permisos por rol;
  • usar respuestas generadas como verdad sin evidencia.

El objetivo es que el equipo sepa que puede hacer sin pedir permiso cada vez y que debe escalar antes de avanzar.

Separa herramientas publicas de integraciones internas

No es lo mismo usar una herramienta publica para redactar un borrador que integrar IA dentro de un sistema interno.

La politica debe distinguir:

  • herramientas publicas o de uso individual;
  • herramientas empresariales con configuracion administrada;
  • asistentes internos conectados a documentos;
  • automatizaciones con IA dentro de procesos;
  • integraciones de IA en software propio.

Mientras mas cerca este la IA de sistemas, documentos privados o acciones operativas, mas controles necesita: permisos, registros, aprobaciones y pruebas.

Establece revision humana por nivel de impacto

No todo resultado generado por IA requiere el mismo nivel de revision.

Puedes definir niveles:

  • Bajo impacto: borradores internos, resumen de informacion publica o ideas preliminares.
  • Impacto medio: respuestas a clientes, reportes internos, documentos de soporte o analisis que afectan decisiones.
  • Alto impacto: cambios en sistemas, decisiones financieras, acciones sobre cuentas, informacion legal, seguridad, datos sensibles o comunicaciones criticas.

La regla debe ser clara: mientras mayor sea el impacto, mayor revision humana antes de usar la salida.

Define responsabilidades

Una politica sin responsables termina siendo decorativa.

Como minimo define:

  • quien aprueba herramientas nuevas;
  • quien administra accesos;
  • quien revisa excepciones;
  • quien valida casos de uso con datos sensibles;
  • quien atiende incidentes de exposicion;
  • quien actualiza la politica;
  • como se reporta un uso inseguro.

No tiene que existir un comite grande. Pero alguien debe poder decir “esto si”, “esto no” y “esto necesita revision”.

Incluye reglas de registro y retencion

Las soluciones de IA pueden generar registros: prompts, respuestas, fuentes consultadas, archivos usados, usuarios y acciones.

Eso ayuda a auditar, pero tambien puede crear otra fuente de exposicion. La politica debe decir:

  • que se registra;
  • por cuanto tiempo;
  • quien puede consultar registros;
  • que datos no deben guardarse;
  • como se borran conversaciones o archivos;
  • que hacer con prompts que contienen datos sensibles.

Si no se controla, el registro de IA puede terminar guardando informacion mas sensible que la tarea original.

Capacita con ejemplos reales

La politica debe venir con ejemplos. El equipo necesita reconocer casos concretos:

  • “Puedo pedirle a la IA que mejore este correo sin datos de cliente”.
  • “No puedo pegar una base de datos de prospectos”.
  • “Puedo resumir una politica interna si la herramienta esta aprobada”.
  • “No puedo subir un contrato completo sin autorizacion”.
  • “Puedo pedir ideas para una capacitacion”.
  • “No puedo pedir que decida si un empleado incumplio una politica”.

La capacitacion funciona mejor cuando baja la regla a situaciones del dia a dia.

Como empezar

Una empresa puede empezar con una politica ligera:

  1. Lista de herramientas permitidas.
  2. Clasificacion simple de datos.
  3. Usos permitidos, restringidos y prohibidos.
  4. Reglas de revision humana.
  5. Procedimiento para reportar errores.
  6. Responsable de aprobar nuevos casos de uso.
  7. Calendario de revision de la politica.

Despues puede madurar hacia gobierno de datos para IA, integracion de IA en software y automatizaciones con controles mas robustos.

Enlaces internos utiles

Una politica interna de IA no debe nacer del miedo. Debe ayudar a usar IA con mas claridad: datos correctos, herramientas aprobadas, limites visibles y responsabilidad operativa.