More in
Playbook de Preparación del Equipo para IA
Cómo Auditar la Preparación para IA de su Equipo de Ventas
abr. 14, 2026
Cómo Construir una Matriz de Habilidades de IA para su Departamento
abr. 14, 2026
Plan de 90 Días: de Curioso sobre IA a Fluido en IA
abr. 14, 2026
Playbook de Formación en Herramientas de IA para Equipos No Técnicos
abr. 14, 2026
Contratar vs Recapacitar para IA: Marco de Decisión para Directores
abr. 14, 2026
Cómo Configurar un Programa de AI Champions en su Departamento
abr. 14, 2026
Cómo Medir el ROI de Adopción de IA en su Equipo
abr. 14, 2026
Lista de Verificación de Onboarding de IA para Nuevas Contrataciones en 2026
abr. 14, 2026
Cómo Construir Workflows con IA para Equipos de Ventas
abr. 14, 2026
Cómo Construir Workflows con IA para Equipos de Marketing
abr. 14, 2026
Cómo Crear una Política de Gobernanza de IA para su Departamento: Una Guía para Directores
Una directora de ventas en una empresa SaaS de tamaño mediano realizó un experimento rápido hace seis meses. Pidió a tres representantes que le mostraran cómo usaban la IA en su día a día. En diez minutos, observó a un representante pegar una transcripción completa de una llamada (incluyendo el nombre del cliente, la empresa, el presupuesto y la posición de negociación) en una herramienta de IA pública gratuita para generar un resumen.
No había ninguna política de manejo de datos. Nadie le había dicho al representante que eso era un problema. El representante no estaba siendo descuidado. Estaba tratando de trabajar más rápido, usando la herramienta de la manera para la que fue diseñada. La brecha no era el juicio del representante. Era la ausencia de cualquier orientación.
Ahí es donde se encuentran la mayoría de los departamentos ahora mismo. No son imprudentes, pero no están gobernados. Y sin gobernanza funciona bien hasta que no funciona. Hasta que hay un incidente de datos de clientes, una pregunta de cumplimiento o una cláusula de contrato de proveedor sobre el procesamiento de datos que nadie leyó porque nadie sabía que debía buscarla. La gobernanza no comienza con un documento de política, comienza con saber qué herramientas de IA usa realmente su equipo. Las plantillas de evaluación de preparación para IA incluyen una matriz de brechas de herramientas que revela el uso no autorizado de IA antes de que se convierta en una responsabilidad.
Esta guía le proporciona un marco práctico para redactar una política de gobernanza de IA a nivel departamental. No necesita un equipo legal para comenzar. No necesita un proyecto de IT. Necesita algunas decisiones estructuradas, documentadas claramente, comunicadas una vez y revisadas trimestralmente.
Por Qué Importa la Gobernanza a Nivel Departamental
Las políticas de IA a nivel de empresa existen en muchas organizaciones. Pero están escritas en un nivel de abstracción que no ayuda a su equipo a tomar decisiones diarias. La gobernanza también necesita funcionar junto con su marco de colaboración interfuncional de IA: cuando ventas, marketing y operaciones comparten datos a través de herramientas de IA, una política a nivel departamental que no se alinee con los equipos adyacentes crea brechas en las transferencias. "Usar IA de manera responsable" no le dice a un manager de contenido si puede usar Claude para redactar un caso de estudio de cliente usando datos internos del proyecto. "Proteger la información confidencial" no le dice a un representante de ventas qué herramientas de IA están autorizadas para uso con datos de negocios.
Su equipo necesita especificidad. Qué herramientas. Qué categorías de datos. Quién aprueba las excepciones. Qué hacer cuando algo sale mal.
Y "consulte con IT" no es una política. Es un mecanismo de demora que forma a su equipo para que o bien pregunten constantemente (ralentizando todo) o no pregunten en absoluto (creando exactamente el comportamiento sin gobernanza que quiere prevenir).
Una política a nivel departamental llena el vacío entre las directrices amplias de la empresa y la práctica diaria. Es suya para redactar, suya para hacer cumplir y suya para actualizar a medida que evolucionan las herramientas y los hábitos del equipo.
Los Cinco Pilares de una Política de IA Departamental
Toda política de gobernanza de IA departamental necesita abordar cinco cosas:
- Herramientas aprobadas: Qué herramientas de IA puede usar su equipo, bajo qué condiciones y cuáles están prohibidas
- Reglas de clasificación de datos: Qué datos pueden y no pueden ponerse en herramientas de IA, basándose en el nivel de sensibilidad
- Estándares de revisión de resultados: Qué resultados de IA necesitan revisión humana antes de su uso y qué cubre esa revisión
- Requisitos de formación de empleados: Lo que cada miembro del equipo debe saber antes de usar herramientas de IA para el trabajo
- Proceso de escalación e incidentes: Qué constituye una violación de la política, cómo reportarla y cómo se resuelve
Las secciones a continuación explican cómo construir cada pilar. Al final, tendrá todo lo necesario para redactar un documento de política de una a dos páginas que su equipo pueda usar realmente.
Paso 1: Defina su Inventario de Herramientas de IA
La primera decisión es la lista de herramientas. No herramientas que su equipo teóricamente podría usar, sino herramientas que están usando ahora mismo, o que quiere aprobar formalmente.
Comience con una encuesta rápida. Pregunte a su equipo qué herramientas de IA usan actualmente para tareas de trabajo. Encontrará más de las que espera. La mayoría de los equipos tiene tres a cinco herramientas ya en rotación que nadie ha revisado formalmente.
Luego clasifique cada herramienta en uno de tres niveles:
Aprobada: Autorizada para uso con las categorías de datos definidas en su política. No se necesita aprobación adicional.
Condicional: Puede usarse, pero solo bajo condiciones específicas (por ejemplo, sin datos de clientes, sin datos financieros, solo para borradores internos).
Prohibida: No debe usarse para tareas de trabajo bajo ninguna circunstancia. Esto típicamente incluye herramientas de IA públicas sin acuerdo de procesamiento de datos.
Plantilla de Inventario de Herramientas de IA
| Herramienta | Caso de Uso | Nivel de Datos Permitido (ver Paso 2) | Aprobado Por | Fecha de Revisión |
|---|---|---|---|---|
| Claude (Anthropic — nivel empresarial) | Redacción, resumen, investigación | Interno, Seguro para uso público | Nombre del Director | 2026-07-01 |
| ChatGPT (OpenAI — nivel empresarial) | Redacción, análisis | Interno, Seguro para uso público | Nombre del Director | 2026-07-01 |
| ChatGPT (nivel gratuito / cuenta personal) | Ninguno | Prohibido | — | — |
| Otter.ai (plan empresarial) | Transcripción de reuniones | Interno | Nombre del Director | 2026-07-01 |
| Chatbot de IA genérico (sin DPA) | Ninguno | Prohibido | — | — |
| Grammarly (Business) | Edición y tono | Interno, Confidencial | Nombre del Director | 2026-07-01 |
La columna "Fecha de Revisión" no es opcional. Las herramientas cambian sus prácticas de manejo de datos. Una herramienta que era segura el año pasado puede haber actualizado sus términos. Establezca cada herramienta aprobada en un ciclo de revisión mínimo de seis meses.
Una nota práctica: la diferencia entre el "nivel empresarial" y el "nivel gratuito/personal" importa enormemente para el manejo de datos. La mayoría de los planes empresariales incluyen un Acuerdo de Procesamiento de Datos (DPA) que prohíbe al proveedor entrenar con sus datos. Los niveles gratuitos a menudo no. Sepa en qué nivel están sus herramientas aprobadas. La orientación de implementación de la Ley de IA de la UE de la Comisión Europea proporciona un marco de referencia útil para clasificar herramientas de IA por nivel de riesgo, que se corresponde estrechamente con el sistema de clasificación de sensibilidad de datos en esta guía.
Paso 2: Clasifique sus Datos por Riesgo de Exposición a IA
Su equipo maneja diferentes tipos de datos, y no todos tienen el mismo perfil de riesgo cuando ingresan a una herramienta de IA. Necesita un sistema de clasificación que sea lo suficientemente simple para que un manager no técnico lo aplique en el momento.
Use cuatro niveles. El Marco de Gestión de Riesgo de IA del NIST utiliza un enfoque similar por niveles para la clasificación de datos, fundamentando los niveles de riesgo en las consecuencias reales del mal uso de la IA en lugar de etiquetas abstractas de sensibilidad, un enfoque que se traduce bien al explicar los niveles de datos a un equipo no técnico.
Seguro para uso público: Información que ya está en el dominio público o sin expectativa de confidencialidad. Nombre de la empresa, descripciones públicas de productos, investigación de mercado general. Puede ir en cualquier herramienta aprobada.
Interno: Información que es confidencial dentro de la empresa pero no regulada ni específica del cliente. Documentos de estrategia interna, OKRs del equipo, planes de proyecto, notas de reuniones internas. Puede ir en herramientas aprobadas con un DPA, no en herramientas de nivel gratuito.
Confidencial: Nombres de clientes, valores de negocios, términos de contratos, información de contacto, datos financieros, evaluaciones de desempeño. Requiere una herramienta de nivel empresarial con un DPA firmado. No puede ir en herramientas de nivel gratuito, cuentas personales ni ninguna herramienta que no esté en la lista aprobada.
Regulado: Información de salud cubierta por HIPAA, PII sujeta al RGPD, datos de tarjetas de pago, comunicaciones con privilegio legal. Requiere revisión legal/de cumplimiento explícita antes de cualquier uso de herramienta de IA. En caso de duda, no use IA. Escale primero.
Guía de Clasificación de Datos de Una Página para su Equipo
Publique esto en un lugar visible (Notion, Slack publicación fijada, wiki del equipo):
- ¿Redactando un borrador de post de blog? Seguro para uso público. Use cualquier herramienta aprobada.
- ¿Resumiendo una reunión sobre el Roadmap de producto interno? Interno. Use solo herramientas aprobadas de nivel empresarial.
- ¿Generando correo de seguimiento usando el nombre de la empresa del cliente y el tamaño del negocio? Confidencial. Solo herramientas empresariales aprobadas con un DPA.
- ¿Trabajando con registros de salud o financieros de un cliente? Regulado. Detenga y pregunte antes de usar IA.
Si su equipo no está seguro de dónde cae un tipo de datos, la regla es: trátelo como un nivel más alto que su primer instinto. El costo de la sobre-cautela es un Workflow ligeramente más lento. El costo de la infra-cautela es un incidente de datos.
Paso 3: Establezca Estándares de Revisión de Resultados
No todos los resultados de IA conllevan el mismo riesgo. Una agenda interna rough generada por IA tiene un bajo costo si está mal. Una propuesta de cliente con precios incorrectos generada por IA tiene un alto costo.
Defina qué tipos de resultados requieren revisión humana antes de su uso y qué cubre esa revisión.
Matriz de Revisión de Resultados
| Tipo de Resultado | ¿Revisión Requerida? | Qué Verificar |
|---|---|---|
| Copia dirigida al cliente (propuestas, correos, informes) | Sí, obligatorio | Precisión factual, voz de marca, sin errores de datos de clientes, precios verificados |
| Documentos internos (resúmenes de reuniones, actualizaciones de proyectos) | Verificación puntual | Precisión factual, sin datos sensibles incluidos inadvertidamente |
| Resúmenes financieros o pronósticos | Sí, obligatorio | Números verificados contra la fuente, sin puntos de datos fabricados |
| Comunicaciones de RR.HH. (ofertas, Feedback de desempeño) | Sí, obligatorio | Revisión legal/de RR.HH. antes del envío |
| Resúmenes de investigación para uso interno | Verificación puntual | Fuentes citadas o verificables, sin estadísticas fabricadas |
| Contenido de primer borrador para edición posterior | Sin revisión obligatoria | Se aplica el proceso de edición estándar |
El nivel de revisión obligatoria no es negociable. Estas son las categorías donde la alucinación de IA tiene consecuencias reales: para los clientes, para el cumplimiento o para la exposición legal.
Incorpore el paso de revisión en el Workflow. No como una opción, sino como un punto de control nombrado con un revisor nombrado. Si no está en el Workflow, no ocurrirá de manera consistente.
Paso 4: Defina las Responsabilidades de los Empleados
Cada miembro de su equipo que usa IA para tareas de trabajo necesita saber tres cosas. Llegar ahí requiere formación intencional: el Playbook de formación en herramientas de IA para equipos no técnicos tiene un formato específicamente para comunicar reglas de datos y estándares de revisión de resultados a empleados que no tienen un bagaje técnico.
- Qué herramientas están aprobadas y cuáles están prohibidas
- Qué datos pueden y no pueden poner en herramientas de IA
- Qué hacer si cometen un error o no están seguros
Documente esto como una lista de verificación de reconocimiento. Cuando un nuevo miembro del equipo se incorpora, o cuando lanza esta política, haga que todos la firmen.
Lista de Verificación de Reconocimiento de Política de IA para Empleados
Al firmar a continuación, confirmo que he leído y comprendido la política de gobernanza de IA del departamento y acepto:
- Usar solo herramientas aprobadas del inventario de herramientas del departamento
- No usar cuentas personales o de nivel gratuito de IA para tareas de trabajo
- Seguir las reglas de clasificación de datos antes de ingresar cualquier dato en una herramienta de IA
- Completar la revisión humana para todos los tipos de resultados de revisión obligatoria antes de su uso
- Reportar cualquier presunta violación de la política o error de manejo de datos al [propietario designado] dentro de las 24 horas
- Completar la sesión de formación de IA del departamento antes de usar herramientas de IA para trabajo dirigido al cliente
- Revisar el inventario de herramientas y la guía de clasificación de datos cuando no esté seguro sobre un caso específico
Nombre: _______________ Fecha: _______________ Manager: _______________
Mantenga estos en archivo. Si ocurre una violación de la política, la lista de verificación de reconocimiento es parte del registro de que se proporcionó formación y las expectativas estaban claras.
Paso 5: Redacte el Proceso de Escalación de Incidentes
Las violaciones de política ocurren. El objetivo no es cero incidentes. Es la contención rápida y la responsabilidad clara cuando ocurren.
Defina tres cosas: qué constituye una violación, a quién notificar y cómo registrarla.
Qué constituye una violación de política:
- Usar una herramienta prohibida para cualquier tarea de trabajo
- Ingresar datos Confidenciales o Regulados en una herramienta no aprobada o cuenta personal
- Compartir resultados de IA dirigidos al cliente sin completar la revisión obligatoria
- No reportar una violación conocida o sospechada
Cuando se sospecha una violación:
- Deje de usar la herramienta inmediatamente
- Notifique a su manager directo y al propietario designado de la política dentro de las 24 horas
- Documente lo que sucedió: qué herramienta, qué datos, cuándo y cómo se descubrió el error
- No intente eliminar u ocultar el incidente
A quién notificar:
- Manager inmediato (siempre)
- Propietario de la política del departamento (siempre)
- Legal/cumplimiento (si se involucraron datos Regulados)
- Seguridad de IT (si hay razón para creer que los datos fueron expuestos externamente)
Cómo registrarlo: Mantenga un registro simple de incidentes en un documento compartido o sistema de tickets. Campos: fecha, miembro del equipo, herramienta involucrada, clasificación de datos, descripción del incidente, pasos de resolución tomados, fecha de resolución.
El registro importa por dos razones. Primero, crea responsabilidad y muestra la diligencia debida si el incidente alguna vez es revisado externamente. Segundo, revela patrones. Si la misma herramienta aparece en tres incidentes, esa es una señal para reevaluar su estado de aprobación.
Paso 6: Redacte la Política en Lenguaje Sencillo
El documento de política en sí debería tener una a dos páginas. No un brief legal. No un manual de cumplimiento de 20 páginas. Un documento que su equipo realmente leerá.
Plantilla de Política de Gobernanza de IA
Política de Gobernanza de IA del [Nombre del Departamento] Fecha de Entrada en Vigor: [Fecha] | Fecha de Revisión: [Fecha] | Propietario: [Nombre]
Propósito Esta política establece directrices para el uso de herramientas de IA en [Nombre del Departamento] para proteger los datos de los clientes, cumplir con los estándares de la empresa y garantizar que los resultados generados por IA cumplan los requisitos de calidad.
Herramientas Aprobadas Consulte el Inventario de Herramientas de IA [enlace]. Use solo herramientas listadas como Aprobadas o Condicionales. Las herramientas Prohibidas no pueden usarse para ninguna tarea de trabajo, independientemente de la razón.
Reglas de Manejo de Datos Antes de ingresar cualquier dato en una herramienta de IA, verifique la Guía de Clasificación de Datos [enlace]. No ingrese datos Confidenciales o Regulados en ninguna herramienta sin un Acuerdo de Procesamiento de Datos (DPA) firmado. En caso de duda, trate los datos como un nivel más sensible que su primer instinto.
Requisitos de Revisión de Resultados Los resultados generados por IA para contenido dirigido al cliente, resúmenes financieros y comunicaciones de RR.HH. requieren revisión humana antes de su uso. Consulte la Matriz de Revisión de Resultados [enlace] para más detalles.
Sus Responsabilidades Al usar herramientas de IA para tareas de trabajo, acepta seguir esta política. Complete la Lista de Verificación de Reconocimiento de Empleados antes de usar IA para trabajo dirigido al cliente.
Si Algo Sale Mal Reporte presuntas violaciones dentro de las 24 horas a [nombre del manager] y [nombre del propietario de la política]. Consulte el Proceso de Escalación [enlace] para los pasos completos.
Preguntas Contacte a [nombre del propietario de la política] en [contacto].
Manténgalo en menos de 500 palabras. Enlace a las plantillas detalladas en lugar de incrustarlas. El documento de política es el punto de entrada, no la enciclopedia.
Paso 7: Establezca una Cadencia de Revisión y Actualización
Esta política estará mal en seis meses. No porque la haya redactado mal, sino porque las herramientas cambian, los equipos cambian y las capacidades de IA cambian más rápido de lo que cualquier documento estático puede seguir. El marco de selección del stack de herramientas de IA incluye un proceso de auditoría trimestral del stack: ejecutar ambas revisiones con la misma cadencia evita que la deriva del inventario de herramientas cree brechas de gobernanza.
Incorpore una revisión trimestral:
Activadores de Revisión Trimestral:
- Cualquier herramienta nueva agregada o eliminada de la lista aprobada
- Cualquier incidente en el registro de incidentes
- Cualquier cambio en la política de IA de toda la empresa que afecte los aspectos específicos del departamento
- Cualquier actualización significativa a los términos de servicio o prácticas de manejo de datos de una herramienta
Cuando un empleado trae una nueva herramienta: Esto ocurre constantemente. Alguien encuentra una herramienta de productividad, comienza a usarla y la menciona en una reunión tres meses después. No espere la revisión trimestral. Establezca una expectativa de que las nuevas herramientas requieren una revisión del propietario de la política antes de su uso para tareas de trabajo, y haga que el proceso de revisión sea rápido (objetivo de 48 horas, no dos semanas).
Quién activa la revisión: El propietario de la política, con un recordatorio de calendario. No "cuando tengamos tiempo." Reserve 90 minutos trimestralmente.
Errores Comunes
Políticas que prohíben completamente la IA y generan uso no autorizado. Si su respuesta de política al riesgo de IA es una prohibición general, su equipo usará IA de todos modos, solo sin decírselo. La investigación de Gartner sobre gobernanza de IA en entornos empresariales encontró que las prohibiciones generales de IA aumentan el uso no autorizado en un 40% dentro de los 90 días, ya que los empleados encuentran soluciones alternativas mientras la organización pierde visibilidad sobre la exposición real al riesgo. El uso no autorizado de IA es más peligroso que el uso gobernado. Construya una lista aprobada permisiva y una lista de prohibiciones clara. Haga que sea fácil para las personas mantenerse dentro de los límites.
Niveles de datos demasiado vagos. "Datos sensibles" no es un nivel. "Nombres de clientes y valores de negocios" es un nivel. Cuanto más específico sea su lenguaje de clasificación de datos, más fácil será para los miembros del equipo aplicarlo sin preguntar cada vez.
Sin propietario de responsabilidad. Una política sin propietario nombrado es una política que nadie hace cumplir. Asigne a una persona que sea responsable del inventario de herramientas, el registro de incidentes y la revisión trimestral. No necesita ser un rol de tiempo completo, pero necesita ser una persona específica.
Tratar la primera versión como permanente. La primera versión de su política es un punto de partida. Espere actualizarla dentro de los 90 días a medida que aprenda cómo su equipo realmente usa la IA. Incorpore esa expectativa en cómo comunica la política en el lanzamiento.
Qué Hacer a Continuación
Antes de lanzar esto al equipo completo, comparta el borrador con dos personas: alguien de legal o cumplimiento y alguien de seguridad de IT. No para una revisión completa, sino para una conversación de alineación de 30 minutos. Hágales dos preguntas: "¿Hay algo aquí que entre en conflicto con la política de la empresa?" y "¿Hay reglas de manejo de datos que hayamos omitido?"
Esa conversación toma 30 minutos y previene una conversación mucho más larga después. Una vez que tenga su aporte, finalice la política, ejecute la sesión de lista de verificación de reconocimiento con su equipo y establezca su primera fecha de revisión trimestral.
Aprenda Más
- Playbook de Gestión del Cambio para el Lanzamiento de IA
- Stack de Herramientas de IA para Equipos del Mercado Medio: CRM, Productividad, Analítica
- Configurar un Programa de AI Champions en su Departamento
- Evaluación de Preparación para IA: Plantillas y Scorecards
- Marco de Decisión Ejecutiva para la Inversión en Fuerza Laboral con IA
- Mercado de Certificaciones de IA en 2026: Lo Que Realmente Importa
- El Costo Oculto de Retrasar la Recapacitación en IA: Análisis para CFOs
Co-Founder & CMO, Rework
On this page
- Por Qué Importa la Gobernanza a Nivel Departamental
- Los Cinco Pilares de una Política de IA Departamental
- Paso 1: Defina su Inventario de Herramientas de IA
- Paso 2: Clasifique sus Datos por Riesgo de Exposición a IA
- Paso 3: Establezca Estándares de Revisión de Resultados
- Paso 4: Defina las Responsabilidades de los Empleados
- Paso 5: Redacte el Proceso de Escalación de Incidentes
- Paso 6: Redacte la Política en Lenguaje Sencillo
- Paso 7: Establezca una Cadencia de Revisión y Actualización
- Errores Comunes
- Qué Hacer a Continuación
- Aprenda Más