Política de uso de IA generativa: walkthrough de cada cláusula
Qué debe contener una política interna de uso de IA generativa, cláusula por cláusula: alcance, datos prohibidos, revisión humana, sesgo, roles y sanciones, con su mapeo a la Ley 21.719 chilena.
Una política de uso de IA generativa es el documento que define qué pueden y qué no pueden hacer tus colaboradores con herramientas como ChatGPT, Claude o Gemini. No es burocracia: es la diferencia entre adoptar IA con control y exponer a la empresa a fugas de datos, decisiones sesgadas y problemas de propiedad intelectual. En Cognitiva, agencia chilena de IA, vemos que las políticas que funcionan comparten doce cláusulas esenciales, y que prohibir todo no sirve, porque cerca de la mitad de los empleados usa herramientas de IA igual, con o sin permiso. Este artículo recorre cada cláusula —qué contiene y qué riesgo mitiga— y la conecta con la Ley 21.719 de protección de datos, que entra en plena vigencia el 1 de diciembre de 2026. Si quieres un borrador de partida, puedes usar el Generador de Política de IA del sitio y luego ajustar cada cláusula con esta guía.
Por qué prohibir no funciona
La reacción instintiva ante el riesgo de la IA generativa es prohibirla. No funciona. Cerca de la mitad de los empleados usa herramientas de IA no autorizadas por la empresa, y buena parte declara que seguiría usándolas aunque se prohíban. Prohibir solo empuja el uso a la clandestinidad —el llamado shadow AI— donde no hay control de qué datos se suben ni a dónde.
El caso canónico es Samsung (abril de 2023): a los pocos días de habilitar ChatGPT, ingenieros filtraron código fuente confidencial en varios incidentes. La empresa terminó bloqueando las IA generativas externas. La lección no fue "prohibir antes", sino "gobernar el uso": una política clara, herramientas aprobadas y capacitación funcionan mejor que un veto que nadie respeta.
Fundamentos: alcance, herramientas y datos
1. Alcance y propósito
Define a quién aplica (empleados, contratistas, terceros), qué herramientas y casos de uso cubre y por qué existe la política. Mitiga las zonas grises del tipo "no sabía que me aplicaba".
2. Herramientas autorizadas y prohibidas (lista blanca)
Un inventario de IA aprobada por la empresa y un proceso para evaluar nuevas. Mitiga el shadow AI y el uso de herramientas sin vetar por TI y legal. Es la cláusula que hace operativa toda la política.
3. Datos permitidos y prohibidos
La cláusula más importante: prohibición explícita de ingresar datos personales, confidenciales, propiedad intelectual o información regulada a LLMs públicos o de consumo. Mitiga la fuga de datos, que es el riesgo número uno. Bajo la Ley 21.719, subir datos personales a una herramienta pública sin base de licitud es además una infracción.
Protección: confidencialidad, revisión humana y transparencia
4. Confidencialidad y propiedad intelectual
Trata los outputs como potencialmente sujetos a derechos de terceros y exige aprobación legal antes de usar IA en trabajos que buscan protección de patente o marca. Mitiga la infracción de PI ajena y un punto poco conocido: en EE. UU. el Copyright Office (enero de 2025) concluyó que los outputs puramente generados por IA no son protegibles por copyright. Implicación: el contenido generado sin intervención humana sustantiva puede no ser un activo defendible de la empresa.
5. Revisión humana obligatoria
Todo output se trata como borrador: verificación independiente de hechos, citas y cifras antes de cualquier uso o decisión. Mitiga las alucinaciones —que NIST clasifica formalmente como categoría de riesgo de la IA generativa— usadas como si fueran información verificada.
6. Transparencia y divulgación de uso
Define cuándo y cómo se declara que un contenido o decisión usó IA, interna y externamente. Mitiga la erosión de confianza y se anticipa a futuros requisitos legales de etiquetado.
Personas y control: sesgo, seguridad, roles, capacitación y sanciones
7. Sesgo y no discriminación
Prohíbe decisiones automatizadas sobre personas (selección, evaluación, crédito) sin supervisión humana y control de sesgo. Mitiga la discriminación algorítmica con exposición legal real: el caso Mobley v. Workday (EE. UU.) avanzó como demanda colectiva por discriminación vía herramientas de selección con IA. La Ley 21.719 reconoce el derecho a oponerse a decisiones basadas únicamente en tratamiento automatizado.
8. Seguridad de la información
Cuentas empresariales (no de consumo), controles de acceso, registro de uso y prohibición de desactivar protecciones. Mitiga la fuga por canales no controlados.
9. Roles y responsabilidades
Quién aprueba herramientas, quién supervisa y a quién se escala un incidente. ISO/IEC 42001 lo formaliza con roles y rutas de escalamiento claras.
10. Capacitación y alfabetización en IA
Formación obligatoria sobre capacidades, límites, manejo de datos y ética. Mitiga errores por desconocimiento. En la UE ya es obligación legal desde febrero de 2025; es señal de hacia dónde va la regulación.
11. Sanciones por incumplimiento
Consecuencias disciplinarias claras. Sin sanciones, la política es una recomendación; con ellas, es exigible.
12. Vigencia y actualización
Mecanismo de revisión periódica. El campo cambia rápido; una política sin fecha de revisión envejece en meses.
Cómo cada cláusula se conecta con la Ley 21.719
La diferencia entre una política importada y una útil en Chile es el anclaje a la ley local. Este es el mapeo que aplicamos:
| Cláusula | Obligación de la Ley 21.719 |
|---|---|
| Datos permitidos/prohibidos | Base de licitud, finalidad y proporcionalidad |
| Revisión humana | Derecho frente a decisiones automatizadas |
| Sesgo y no discriminación | Impugnación de decisiones automatizadas |
| Roles y responsabilidades | Delegado de Protección de Datos (DPO) |
| Seguridad de la información | Deber de seguridad y notificación de brechas |
| Casos de uso de alto riesgo | Evaluación de impacto (DPIA) |
Para los tratamientos de alto riesgo, la ley exige una evaluación de impacto (DPIA). Si clasificas tus casos de uso por riesgo en la política, sabes cuáles disparan ese requisito. Nuestro artículo de DPIA paso a paso y el generador de DPIA del sitio cubren ese flujo.
Riesgos reales que la política mitiga
- **Fuga de datos** a LLMs públicos (caso Samsung, 2023): la cláusula de datos prohibidos es la primera defensa.
- **Alucinaciones usadas sin verificar**: la cláusula de revisión humana obligatoria.
- **Propiedad intelectual del output** (criterio del Copyright Office, 2025): la cláusula de PI y confidencialidad.
- **Discriminación algorítmica** (caso Workday): la cláusula de sesgo y no discriminación.
- **Shadow AI**: la lista blanca de herramientas más capacitación, no la prohibición.
Marcos que respaldan tu política
No inventes el marco desde cero. Tres referencias dan estructura y credibilidad:
- **NIST AI RMF.** Cuatro funciones (Govern, Map, Measure, Manage); Govern es transversal y da el lenguaje de gobernanza.
- **NIST AI 600-1 (perfil de IA generativa).** Mapea las funciones a doce categorías de riesgo específicas de IA generativa: útil para clasificar tus casos de uso por riesgo dentro de la política.
- **ISO/IEC 42001.** Primer estándar internacional de sistema de gestión de IA; convierte la política en parte de un sistema certificable con ciclo de mejora continua.
De la plantilla a la política viva
Una política en un PDF que nadie lee no mitiga nada. Lo que la vuelve operativa: un comité de gobernanza que la mantenga, una lista blanca de herramientas que se actualice, capacitación recurrente y registro de uso. La política es el documento; la gobernanza es la práctica.
Un camino práctico: parte por un borrador con el Generador de Política de IA del sitio, ajústalo cláusula por cláusula con esta guía, hazlo aprobar por el comité de gobernanza y fija una fecha de revisión. Cognitiva acompaña tanto la redacción como la implementación técnica y de cumplimiento.
Este artículo no constituye asesoría legal. Para casos específicos, consulta a un abogado especializado en protección de datos.
Cómo redactar y poner en marcha tu política de IA
De borrador a política viva en cuatro pasos.
- Semana 1
Borrador
Punto de partida concreto.
- Generar un borrador base (generador de política de IA)
- Inventariar herramientas de IA ya en uso
- Clasificar casos de uso por nivel de riesgo
- Semana 2
Ajuste de cláusulas
Aterrizar a tu realidad y a la ley.
- Definir datos prohibidos y lista blanca
- Mapear cláusulas a la Ley 21.719
- Definir roles, revisión humana y sanciones
- Semana 3
Aprobación
Validez interna.
- Revisión legal
- Aprobación del comité de gobernanza
- Comunicación a toda la organización
- Semana 4 y continuo
Vigencia
Mantenerla viva.
- Capacitación obligatoria
- Registro y monitoreo de uso
- Fijar fecha de revisión periódica
Preguntas frecuentes
Da el siguiente paso
Hablemos
Cuéntanos sobre tu negocio. Respondemos en 24 horas.
Otros canales
Escríbenos por WhatsApp o agenda una llamada de 30 minutos.