Plantilla: Política interna de uso de inteligencia artificial

Cómo usar esta plantilla: Copia el texto que sigue a tu editor de Word, Google Docs o similar. Sustituye todas las etiquetas marcadas con [CORCHETES] por los datos de tu empresa. Revisa las secciones marcadas con [OPCIONAL] y elimina las que no apliquen. Imprime, firma y archiva con la fecha de entrada en vigor. Entrega una copia firmada a cada empleado que use IA y conserva las copias firmadas durante al menos 5 años.

Tipo de documento: Plantilla editable para cumplimiento del artículo 4 del AI Act y del RGPD · Autora: Ana María González · Directora de CiberAula · Licencia: Texto marco CC BY-SA 4.0. Las cláusulas legales se dedican al dominio público para permitir su uso sin atribución obligatoria.

Cómo usar esta plantilla

Lee el documento completo antes de editarlo para entender su estructura.
Sustituye los campos [CORCHETES] por tus datos.
Revisa las secciones marcadas [OPCIONAL] y decide cuáles aplican.
Adapta las listas de sistemas permitidos a la realidad de tu empresa.
Haz firmar el documento a la dirección, comunícalo formalmente a la plantilla y recoge firma de cada empleado.
Archívalo junto con el inventario de sistemas IA y los registros de formación.
Actualiza anualmente o cuando cambien las herramientas IA utilizadas.

POLÍTICA INTERNA DE USO DE INTELIGENCIA ARTIFICIAL

EN [NOMBRE DE LA EMPRESA]

Versión: 1.0

Fecha de entrada en vigor: [FECHA]

Ámbito de aplicación: todo el personal, colaboradores externos y terceros que utilicen sistemas de inteligencia artificial bajo la autoridad o en nombre de [NOMBRE DE LA EMPRESA].

Responsable del documento: [NOMBRE DEL RESPONSABLE DE CUMPLIMIENTO]

Próxima revisión: [FECHA — recomendado un año desde entrada en vigor]

1. Objeto y finalidad

La presente política establece las normas de uso de sistemas de inteligencia artificial (en adelante, “IA”) por parte de [NOMBRE DE LA EMPRESA] (en adelante, “la empresa”) y de todas las personas que trabajan para ella o en su nombre.

Su finalidad es asegurar que el uso de IA en la empresa se realiza de forma segura, responsable, ética, conforme a la normativa vigente —especialmente al Reglamento (UE) 2024/1689 (AI Act), al RGPD (UE 2016/679) y a la legislación española aplicable— y alineada con los valores y objetivos de la empresa.

2. Ámbito de aplicación

Esta política se aplica a:

Todo el personal en plantilla de la empresa, independientemente de su categoría, tipo de contrato o antigüedad.
Autónomos, becarios, consultores externos, agencias y cualquier otra persona que utilice sistemas IA en el marco de un servicio prestado a la empresa.
Todo uso profesional de IA que se realice con medios de la empresa o en el marco de las funciones laborales, incluyendo el que se haga con cuentas personales cuando tenga finalidad laboral.

Quedan fuera del ámbito de esta política los usos estrictamente personales y no profesionales de IA que hagan los empleados en su tiempo libre con sus propios medios.

3. Definiciones

A efectos de esta política, se entiende por:

Sistema de IA: cualquier software basado en inteligencia artificial, incluyendo pero no limitándose a: modelos de lenguaje (LLMs) como ChatGPT, Claude, Gemini, Copilot; generadores de imagen, audio o vídeo; sistemas de recomendación; herramientas de análisis predictivo; chatbots; asistentes virtuales; sistemas de decisión automatizada.
Uso responsable de IA: utilización de sistemas IA respetando la normativa legal, los principios éticos, la confidencialidad de la información y los límites definidos en esta política.
Supervisión humana: intervención consciente y cualificada de una persona sobre los resultados producidos por un sistema IA, con capacidad efectiva de descartar, corregir o modificar dichos resultados antes de su uso final.
Datos confidenciales: cualquier información perteneciente a la empresa, sus clientes, proveedores o empleados que no sea de dominio público, incluyendo información financiera, comercial, técnica, personal, estratégica u operativa.

4. Sistemas de IA autorizados

Los sistemas de IA que el personal puede utilizar en el desempeño de sus funciones son exclusivamente los siguientes:

Sistema	Plan contratado	Finalidad autorizada	Restricciones
[Ej: ChatGPT Team]	[Plan]	[Ej: redacción, análisis, traducción]	[Ej: sin datos de clientes]
[Ej: Claude for Work]	[Plan]	[Ej: análisis de documentos largos]	[Ej: sin información financiera]
[Ej: Copilot M365]	[Plan]	[Ej: productividad Office]	[Ej: validación humana obligatoria]

Cualquier sistema IA no incluido en esta lista requiere autorización expresa del [CARGO RESPONSABLE: p. ej. CIO, DPO, dirección]. El uso de IA con cuentas personales para fines profesionales (shadow AI) está expresamente prohibido salvo autorización formal.

5. Principios de uso responsable

Todo uso de IA en la empresa debe respetar los siguientes principios:

5.1. Principio de supervisión humana

Los resultados producidos por sistemas IA nunca se usan directamente sin revisión humana consciente y cualificada. El empleado que utiliza IA es responsable del resultado final que entrega o publica.

5.2. Principio de confidencialidad

No se introducirán en ningún sistema IA datos confidenciales de la empresa, de sus clientes, proveedores o empleados, salvo en plataformas expresamente autorizadas con garantías contractuales de no-entrenamiento sobre dichos datos. En caso de duda, anonimizar previamente o consultar al responsable designado.

5.3. Principio de transparencia

Cuando el contenido producido sea significativamente el resultado de IA, el empleado debe hacer constar este hecho en los casos en que los destinatarios tengan derecho a saberlo (clientes, autoridades, tribunales). El contenido totalmente generado por IA se etiqueta como tal cuando pueda confundirse con contenido humano.

5.4. Principio de no discriminación

Está prohibido utilizar IA para tomar decisiones que afecten a personas (selección de personal, evaluación, promoción, acceso a servicios) sin supervisión humana significativa y sin revisar activamente los sesgos que pueda estar introduciendo el sistema.

5.5. Principio de proporcionalidad

El uso de IA se adecua al tipo de tarea. No se utiliza IA para tareas que requieran juicio humano cualificado, especialmente en ámbitos éticos, legales o relacionales con impacto significativo.

5.6. Principio de trazabilidad

Cuando la IA contribuye a una decisión o producto significativo, el empleado deja constancia interna del uso de IA, del sistema utilizado y de la supervisión realizada.

6. Prohibiciones absolutas

El personal de [NOMBRE DE LA EMPRESA] tiene absolutamente prohibido:

a) Introducir en sistemas IA públicos datos personales de clientes, empleados o terceros (nombres completos, emails, teléfonos, DNI, datos bancarios, datos médicos, datos salariales, etc.) sin anonimización previa y sin autorización formal.

b) Introducir en sistemas IA información confidencial o estratégica de la empresa (planes financieros, listados de clientes, contratos, información de negociación, código fuente propietario, información previa a su publicación oficial).

c) Utilizar IA para generar contenido fraudulento, engañoso o ilegal: documentos falsificados, deepfakes no consentidos de personas reales, contenido difamatorio, discriminatorio o que incite al odio.

d) Utilizar IA para tomar decisiones automatizadas sobre personas (contratación, despido, evaluación, acceso a servicios) sin cumplir las garantías del artículo 22 del RGPD y el AI Act.

e) Utilizar sistemas IA clasificados como prohibidos bajo el AI Act (nivel de riesgo inaceptable): puntuación social generalizada, manipulación explotando vulnerabilidades, reconocimiento de emociones en el lugar de trabajo, categorización biométrica de datos sensibles, identificación biométrica remota en tiempo real en espacios públicos.

f) Permitir que IA sustituya el juicio humano en decisiones sensibles, incluyendo decisiones laborales, relaciones con clientes críticos, respuestas a autoridades o comunicación pública corporativa.

g) Copiar-pegar en IA fragmentos sustanciales de obras con derechos de autor de terceros sin autorización, especialmente cuando el propósito sea obtener una reproducción funcional de la obra.

h) Utilizar IA para labores que requieran colegiación o titulación oficial específica en sustitución del profesional correspondiente (asesoramiento jurídico formal, diagnóstico médico, auditoría financiera).

7. Obligaciones del personal

El personal que utilice IA en la empresa tiene las siguientes obligaciones:

a) Haber completado la formación obligatoria en alfabetización en IA (artículo 4 del AI Act) correspondiente a su perfil, con certificado acreditativo.

b) Conocer y cumplir esta política y firmar el documento de aceptación.

c) Supervisar activamente los resultados de los sistemas IA que utiliza antes de darlos por buenos.

d) Respetar las listas de sistemas autorizados y los casos de uso definidos.

e) Notificar al responsable designado cualquier incidente: leak de datos, resultado erróneo con impacto significativo, sospecha de sesgo o mal funcionamiento, solicitud del cliente relacionada con el uso de IA.

f) Mantener actualizada su formación en los reciclajes formativos que la empresa ofrezca.

g) Consultar en caso de duda antes de utilizar IA en situaciones no claramente cubiertas por esta política.

8. Obligaciones de la empresa

[NOMBRE DE LA EMPRESA] se compromete a:

a) Proporcionar formación adecuada al personal sobre uso responsable de IA, con periodicidad al menos anual para usuarios intensivos y bianual para usuarios ocasionales, financiada por la empresa y/o bonificada con FUNDAE.

b) Proporcionar sistemas IA con garantías adecuadas (licencias corporativas de ChatGPT, Claude, Copilot u otros) cuando sea necesario para el trabajo.

c) Actualizar esta política conforme evolucionen las herramientas y la normativa.

d) Designar un responsable del cumplimiento accesible para consultas del personal.

e) No sancionar al empleado que notifique de buena fe un incidente relacionado con IA, siempre que no haya actuado con dolo o negligencia grave.

f) Revisar anualmente los contratos con proveedores de IA para verificar que mantienen las garantías exigidas (no-entrenamiento sobre datos, ubicación de servidores, soporte regulatorio).

9. Incumplimiento

El incumplimiento de esta política puede dar lugar a:

Medidas disciplinarias según el régimen laboral aplicable, graduadas en función de la gravedad (amonestación, suspensión, despido en casos graves).
Responsabilidad civil del empleado frente a la empresa y frente a terceros afectados en casos de dolo o negligencia grave.
Responsabilidad penal en los casos en que el uso indebido de IA constituya un delito (revelación de secretos, falsedad documental, etc.).

La empresa podrá asimismo rescindir relaciones con colaboradores externos que incumplan esta política.

10. Responsable del cumplimiento y canal de consultas

Responsable del cumplimiento IA: [NOMBRE Y CARGO]
Email de contacto para consultas: [EMAIL]
Canal interno para notificar incidentes: [ESPECIFICAR]
[OPCIONAL] Delegado de Protección de Datos (DPO): [NOMBRE Y EMAIL]

11. Vigencia y revisión

Esta política entra en vigor el [FECHA] y permanece vigente hasta su revisión o sustitución por una versión actualizada. La empresa se compromete a revisarla al menos anualmente y siempre que se produzcan cambios significativos en:

La normativa aplicable (AI Act, RGPD, desarrollos normativos).
Las herramientas IA utilizadas por la empresa.
Los sistemas de IA disponibles en el mercado relevantes para la actividad.

12. Marco normativo de referencia

Esta política se dicta en cumplimiento y en desarrollo de:

Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024 (AI Act).
Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos — RGPD).
Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Real Decreto 729/2023, por el que se crea la Agencia Española de Supervisión de la IA.
Directiva (UE) 2024/2853 sobre responsabilidad por productos defectuosos que incluyen IA [OPCIONAL — incluir cuando entre en vigor su transposición].
[Normativa sectorial aplicable a tu empresa: financiera, sanitaria, educativa, etc.]

Firma de la dirección

Por [NOMBRE DE LA EMPRESA]:

Firmado en [CIUDAD], a [FECHA].

[NOMBRE DEL REPRESENTANTE LEGAL] [CARGO]

Firma: ___________

Sello de la empresa:

Hoja de aceptación individual del empleado

Por la presente, yo, [NOMBRE COMPLETO DEL EMPLEADO] con DNI/NIE [DOCUMENTO], en mi calidad de [PUESTO] en [NOMBRE DE LA EMPRESA]:

☐ He recibido y leído la Política de uso de inteligencia artificial, versión [VERSIÓN], con fecha de entrada en vigor [FECHA].

☐ He completado la formación en alfabetización en IA conforme al artículo 4 del AI Act, el [FECHA DEL CERTIFICADO].

☐ Me comprometo a cumplirla en el desempeño de mis funciones y a consultar al responsable designado en caso de duda.

☐ Soy consciente de que el incumplimiento de esta política puede acarrear medidas disciplinarias.

Firmado en [CIUDAD], a [FECHA].

Nombre: ___________

Firma del empleado: ___________

Firma del responsable de la empresa: ___________

Notas sobre uso de esta plantilla

Esta plantilla está diseñada para cumplir con las obligaciones del artículo 4 del AI Act y con los requisitos básicos del RGPD en su intersección con la IA. No sustituye el asesoramiento jurídico especializado para casos complejos o sectores regulados específicamente (financiero, sanitario, educativo, etc.).

Recomendaciones complementarias:

Hacer revisar la versión final por un asesor legal especializado en protección de datos antes de implementarla.
Coordinar la implementación con el DPO si la empresa lo tiene designado.
Comunicar la política formalmente mediante reunión o comunicación oficial, no solo por email.
Recoger las firmas físicamente o con firma electrónica cualificada.
Archivar las firmas junto con el inventario de sistemas IA y los registros de formación.

Recursos relacionados

📘 El AI Act explicado para empresas españolas — guía general del reglamento.
📗 El artículo 4 en detalle — obligación de alfabetización.
✅ Checklist de cumplimiento AI Act — verifica tu estado.
📋 Plantilla de registro de sistemas IA — inventario obligatorio.
🎓 Formación bonificada FUNDAE

Plantilla publicada bajo licencia CC BY-SA 4.0 para el texto marco. Las cláusulas legales (secciones 1-12) se dedican al dominio público para facilitar su uso por cualquier empresa sin obligación de atribución.