Política de uso de IA en empresa: qué debe incluir (plantilla 2026)

Por qué la AESIA pedirá ver tu política interna de IA

El AI Act no obliga explícitamente a publicar una política interna de IA, pero la AESIA la considera evidencia documental clave en cualquier inspección. La razón: una política firmada por dirección demuestra que la empresa ha pensado en su uso de IA, ha definido reglas y ha asignado responsabilidades. Sin política, todo el cumplimiento queda en el aire.

En las primeras consultorías AI Act realizadas en España en 2025-2026, las empresas que tenían política interna pasaron las inspecciones con dos a cinco veces menos hallazgos formales que las que no la tenían. La política funciona como 'tarjeta de visita' del cumplimiento ante el inspector.

El coste de redactarla es bajo (1 a 2 días internos, o consultor externo por 300 a 800 euros) y la rentabilidad ante inspección es muy alta. Es el segundo documento más útil después del inventario.

Las 8 secciones que debe contener la política

Una política interna útil ante AESIA tiene aproximadamente entre 3 y 7 páginas y cubre estos 8 bloques.

• Propósito y ámbito: a qué herramientas IA aplica, qué empleados están incluidos, qué partes del negocio cubre.
• Herramientas autorizadas y prohibidas: lista cerrada de las herramientas con IA permitidas, con versión empresarial o individual aceptada, y herramientas explícitamente prohibidas.
• Datos permitidos y prohibidos: qué tipo de información se puede introducir en cada herramienta, con énfasis especial en datos personales, confidenciales del cliente, financieros propios y propiedad intelectual.
• Decisiones que requieren revisión humana: qué outputs de IA no se pueden publicar sin revisión humana firmada (propuestas comerciales, contratos, comunicaciones a cliente, decisiones de RRHH).
• Responsable interno IA: nombre, puesto, vía de contacto, autoridad para autorizar excepciones.
• Procedimiento ante incidente: qué hacer si hay leak de datos en ChatGPT, alucinación que llega a cliente, output IA con consecuencias legales.
• Sanción interna por incumplimiento: gradación de sanciones (amonestación verbal, formación obligatoria, sanción disciplinaria, separación de funciones).
• Vigencia y revisión: fecha de aprobación, fecha de próxima revisión (anual recomendado), procedimiento de actualización ante cambios.

Cómo comunicar la política al equipo y demostrar conocimiento

Publicar la política no es suficiente. La AESIA puede pedir evidencia de que el equipo la conoce. Las dos vías más comunes son: sesión presencial u online de 30 a 60 minutos donde se explica la política y los asistentes firman acuse de recibo; o envío individual con confirmación de lectura registrada por sistema (firma electrónica o email).

La política debe estar accesible en todo momento al equipo: intranet, gestor documental, drive corporativo. NO basta con enviarla por email una sola vez y olvidarla.

Cada año (o ante cambio de herramienta IA), la política se revisa, se firma de nuevo y se recomunica al equipo con nueva sesión o nuevo envío con acuse de recibo. La trazabilidad temporal es importante.

Errores frecuentes al redactar la política

Cinco errores que aparecen una y otra vez en las políticas redactadas por PYMEs sin asesoría especializada.

• Política genérica copiada de internet sin adaptar a las herramientas reales que la empresa usa.
• Lista de herramientas autorizadas que no refleja las que realmente usa el equipo.
• Sección de datos prohibidos demasiado abstracta ('no introducir datos sensibles') sin ejemplos concretos.
• Sanciones internas sin vinculación con el procedimiento disciplinario del convenio aplicable (riesgo de impugnación).
• Política firmada por dirección pero nunca comunicada al equipo (no se puede demostrar conocimiento).

Plantilla descargable adaptada al AI Act español

Si quieres partir de una plantilla validada para PYMEs españolas con las 8 secciones anteriores ya estructuradas, puedes solicitarla desde la página de recursos. La plantilla incluye apartados editables, ejemplos concretos por tipo de empresa (servicios, comercio, industria, tech) y la lista actualizada de herramientas IA con su versión recomendada en 2026.

Para PYMEs que prefieran no partir de plantilla y generar la política desde un wizard automatizado, el dashboard de AI Comply construye la política a partir del inventario de sistemas IA registrados, adapta las secciones por sector y guarda el documento firmado en el dossier de cumplimiento.