10 min de lectura · 15 Jun 2026

La política de IA de una página para una empresa DACH de 5 a 50 personas

Su plantilla ya usa IA. La única cuestión es si lo hace de forma coherente y segura, o improvisa en herramientas de consumo que usted no ve. Para una empresa de 5 a 50 personas en Austria, Alemania o Suiza, no necesita un manual de gobernanza de 27 páginas. Necesita una página que de verdad se lea, que cubra: las herramientas aprobadas y cómo solicitar nuevas, qué datos nunca deben entrar en qué herramientas, una expectativa básica de formación (su punto de anclaje a la alfabetización del Reglamento de IA de la UE), una regla de revisión humana del resultado, la divulgación de chatbots y contenido de IA, y una persona responsable con nombre y apellido. Más abajo encontrará una plantilla lista para copiar. El objetivo es habilitar de forma segura, no prohibir, porque una prohibición solo traslada el uso de IA a cuentas privadas que usted no puede ver.

Esta es una guía práctica, no asesoramiento legal. Los detalles normativos están actualizados a mediados de 2026 y algunos están cambiando; verifíquelos contra las fuentes oficiales antes de confiar en ellos, y haga revisar cualquier punto crítico por su propio asesor legal.

¿Quiere esto adaptado a sus herramientas y aprobado en una semana?

Reservar consulta gratuita

Por qué una empresa pequeña sí la necesita

No por miedo, solo por realidad. Las encuestas sitúan el uso de IA entre los trabajadores del conocimiento en torno a tres cuartas partes, y la mayoría trae sus propias herramientas, más aún en las pequeñas y medianas empresas. Eso es IA en la sombra, y es el estado por defecto a menos que usted ofrezca a cambio una vía conocida y aprobada. Los riesgos son concretos: hay empleados que han pegado código confidencial y datos de clientes en chatbots de consumo, y resultados de IA sin verificar han llegado a clientes y a tribunales con consecuencias reales. Una sola página no añade burocracia. Sustituye el uso invisible e improvisado por una vía que la gente puede seguir de verdad.

También hay un empujón legal. El deber de alfabetización en IA del Reglamento de IA de la UE (Artículo 4) se aplica desde el 2 de febrero de 2025 tanto a proveedores como a responsables del despliegue, es decir, a casi cualquier empresa cuyo personal use IA. El listón es deliberadamente flexible: formación básica documentada y ajustada al rol, no un programa de certificación, y no existe una multa específica del Artículo 4, con una aplicación canalizada a través de las autoridades nacionales a partir de agosto de 2026. En 2026 circulaba una propuesta para suavizar el Artículo 4 (el Digital Omnibus), pero aún no se ha adoptado, así que trate el deber actual como vigente.

Qué debe contener la política

Ocho secciones breves, cada una con su razón de ser.

Sección	Qué dice
Alcance y principios	A quién y a qué cubre, más unos pocos principios claros: una persona sigue siendo responsable, proteger los datos, ser transparente, verificar antes de confiar.
Herramientas aprobadas	Una lista con nombre de las herramientas permitidas por caso de uso, y una vía de una línea para solicitar una nueva. Esto es lo que elimina la IA en la sombra: una vía del sí.
Tratamiento de datos	Qué nunca debe entrar en qué herramientas. Los planes de consumo y gratuitos no son para datos de empresa; un plan de empresa con un DPA o AVV firmado (acuerdo de tratamiento de datos) es la vía aprobada.
Alfabetización en IA	Una expectativa breve y documentada de que el personal reciba formación básica. Este es su punto de anclaje al Artículo 4.
Reglas de resultados	Revisión humana obligatoria; ningún resultado de IA sin verificar en contextos de cara al cliente, legales o financieros. Una regla de cuatro ojos (Vier-Augen-Prinzip) para los resultados críticos.
Divulgación	Avise a la gente cuando hable con un bot; etiquete el contenido de IA donde sea obligatorio, con la excepción del control editorial humano señalada más abajo.
Escalado y responsable	Una persona responsable con nombre y un contacto. Sin un responsable, la política y la realidad se distancian.
Ritmo de revisión	Revisar al menos cada seis meses. Las herramientas y la ley avanzan rápido.

La parte de protección de datos en la región DACH

Cuando un empleado introduce datos personales o de clientes en una herramienta, su empresa decide la finalidad y los medios, por lo que es el responsable del tratamiento y asume los deberes del RGPD. Usar un proveedor de IA externo para tratar datos personales suele requerir un acuerdo de tratamiento de datos (un AVV conforme al Artículo 28), que los planes gratuitos de consumo no suelen ofrecer y que además podrían entrenarse con sus entradas, mientras que los planes de empresa normalmente sí lo ofrecen y no entrenan con sus datos por defecto. La ley de protección de datos revisada de Suiza (revDSG) se aplica en paralelo y se considera tecnológicamente neutra, por lo que cubre también el tratamiento por IA. Un detalle cambiante que conviene señalar: las condiciones de los proveedores cambian rápido, así que cite el DPA vigente de cada proveedor en lugar de dar nada por supuesto. Cubrimos cómo se solapan estos regímenes en cómo se combinan el RGPD y el Reglamento de IA para un SaaS de la región DACH.

La plantilla de una página lista para copiar

Péguela, rellene los corchetes y borre lo que no aplique. Está hecha para una empresa de 5 a 50 personas, no para una gran corporación.

Política de uso de IA, [Nombre de la empresa]
Versión [1.0] · Responsable: [nombre o rol] · Última revisión: [fecha] · Próxima revisión: [+6 meses]

1. Alcance y principios. Esto se aplica a todo el personal y los contratistas que usen herramientas de IA para el trabajo de [Empresa]. Nuestros principios: una persona sigue siendo responsable de cada resultado; protegemos los datos de clientes, personales y confidenciales; somos transparentes sobre el uso de IA; verificamos antes de confiar.

2. Herramientas aprobadas. Use solo: [por ejemplo ChatGPT Team o Enterprise, Microsoft 365 Copilot, Claude for Work]. No use cuentas personales ni gratuitas para el trabajo de la empresa. Para solicitar una herramienta nueva, pregunte a [responsable] antes de usarla.

3. Reglas de datos. Nunca introduzca en ninguna herramienta no aprobada: datos personales o de clientes, información confidencial o contractual, credenciales o código fuente. Las herramientas de empresa aprobadas con un DPA o AVV firmado, y sin entrenamiento con nuestros datos, pueden tratar datos de trabajo según su plan. Si tiene dudas, pregunte a [responsable].

4. Formación. Todo el que use IA completa [onboarding breve o enlace] y un repaso [anual]. Pregunte a [responsable] si no tiene claro cómo funciona una herramienta o dónde están sus límites.

5. Reglas de resultados. El resultado de IA es un borrador, nunca una respuesta final. Una persona cualificada revisa cada resultado en cuanto a exactitud y contexto antes de usarlo. Para contenido de cara al cliente, legal o financiero, aplique el principio de cuatro ojos (Vier-Augen-Prinzip). Nunca envíe resultados de IA sin verificar a clientes ni a autoridades.

6. Divulgación. Avise a la gente cuando interactúe con un chatbot de IA. Etiquete el contenido generado por IA donde sea obligatorio; el contenido que una persona ha revisado y del que ha asumido la responsabilidad no necesita una etiqueta por elemento.

7. Preguntas y escalado. Responsable: [nombre, rol, contacto]. Comunique de inmediato cualquier fuga de datos, cualquier resultado erróneo que haya llegado a un cliente o cualquier pregunta del tipo "¿esto está permitido?". No se reprocha preguntar.

8. Revisión. Revisada al menos cada seis meses y siempre que las herramientas o la ley cambien de forma sustancial. Confirmado: [firma o aprobación].

"Una política de una página que la gente de verdad lee y sigue le gana a un documento de 27 páginas que se queda en una carpeta. El objetivo no es parecer conforme. Es darle a su equipo un sí seguro en vez de un atajo invisible."

Qué dejar fuera, a propósito

Aquí el enemigo es el teatro. Olvídese del lenguaje vago y aspiracional ("usar la IA de forma responsable" sin nada concreto), que solo crea una falsa sensación de cumplimiento. Olvídese de una certificación ISO 42001 completa o de un despliegue íntegro de gestión de riesgos de IA según el NIST; ambos son de nivel corporativo y desproporcionados para un equipo pequeño, aunque sirven como vocabulario de referencia si crece más adelante. Olvídese de las largas taxonomías de riesgos y los catálogos exhaustivos de casos de uso que nadie mantiene. Y nunca publique una política sin responsable con nombre o sin fecha de revisión, porque ambas cosas garantizan que acabe convertida en ficción. Limítese a la página que se lee.

Preguntas frecuentes

¿Necesita una empresa pequeña una política de IA?

Sí, en la práctica. Su personal ya usa IA, a menudo con sus propias herramientas, y el deber de alfabetización del Reglamento de IA de la UE (Artículo 4) se aplica desde febrero de 2025. Una sola página basta para una empresa de 5 a 50 personas.

¿Qué debe incluir una política de IA según el Reglamento de IA de la UE?

El Reglamento no prescribe una plantilla, pero el Artículo 4 espera que el personal tenga suficiente alfabetización en IA, y el Artículo 50 espera transparencia sobre chatbots y contenido de IA a partir de agosto de 2026. Cubra formación básica más divulgación y estará alineado.

¿Pueden los empleados usar ChatGPT en el trabajo?

Sí, en un plan de empresa o enterprise aprobado que no se entrene con sus datos y ofrezca un DPA. Evite las cuentas gratuitas o personales para datos de empresa o personales.

¿El ChatGPT gratuito cumple el RGPD para datos de clientes?

Por lo general no. Los planes de consumo Free y Plus pueden entrenarse con las entradas por defecto y no ofrecen un DPA ni AVV, así que no son adecuados para datos personales o de clientes.

¿Cuál es la diferencia entre los planes de IA de consumo y de empresa?

Los planes de empresa no se entrenan con sus datos por defecto, ofrecen un DPA con cláusulas contractuales tipo y dan control sobre la retención. Eso es lo que los hace adecuados para los datos de empresa. Los valores por defecto de los proveedores cambian, así que revise las condiciones vigentes.

¿Tenemos que etiquetar el contenido generado por IA?

A partir de agosto de 2026 cierto contenido de IA debe divulgarse, pero el texto que una persona revisa y por el que asume responsabilidad editorial está exento. Los borradores internos no necesitan etiquetas.

¿Quién debería ser responsable de la política de IA en una empresa pequeña?

Una persona con nombre y apellido, a menudo el propietario, el responsable de operaciones o el contacto de TI. Una política sin responsable se distancia de la realidad.

¿Qué es la obligación de alfabetización en IA del Reglamento de IA de la UE (Artículo 4)?

Desde el 2 de febrero de 2025, los proveedores y los responsables del despliegue deben asegurar que el personal tenga un nivel suficiente de alfabetización en IA, ajustado al rol y al contexto. No existe una multa específica del Artículo 4; la aplicación se canaliza a través de las autoridades nacionales a partir de agosto de 2026. Existe una propuesta de suavización, pero aún no es ley.

¿Hay una plantilla gratuita de política de IA en alemán (KI-Richtlinie Vorlage)?

Sí. La WKO ofrece una plantilla gratuita para rellenar pensada para pymes, y organismos alemanes también publican guías. La plantilla de una página de arriba es un punto de partida DACH listo que puede adaptar.

¿De verdad basta con una política de una página?

Para 5 a 50 personas, sí. Una política breve que se lee y se sigue le gana a una larga que se ignora, y siempre puede ampliarla a medida que crece.

Reflexiones finales

Una política de IA para una pequeña empresa de la región DACH no es un proyecto de cumplimiento. Es un acuerdo de una página que le da a su equipo una forma segura y conocida de usar las herramientas que ya está usando.

Nombre las herramientas aprobadas, trace una línea firme en torno a los datos, fije una regla de revisión humana, apunte a una formación básica, nombre un responsable y revíselo dos veces al año. Eso basta para cumplir las obligaciones que de verdad le afectan y para impedir que datos confidenciales se filtren a una cuenta personal. Escriba la página que se lee y luego manténgala al día a medida que avanzan las herramientas y la ley.

¿Quiere ayuda para convertir esto en su política real y aprobada?