TL;DR
- Eurostat 2025: el 17% de las pequeñas empresas de la UE usan IA frente al 55% de las grandes — una brecha de adopción de factor 3
- MIT NANDA 2025: en más del 90% de las empresas, los empleados usan herramientas IA personales para trabajar, independientemente de la política oficial
- La Garante italiana impuso en diciembre 2024 una multa de 15 M€ a OpenAI — la aplicación del RGPD a la IA ya no es teórica
- El Artículo 4 del Reglamento IA (alfabetización en IA) es legalmente obligatorio desde el 2 de febrero de 2025; las obligaciones de alto riesgo se aplican desde el 2 de agosto de 2026, salvo aplazamiento por el Digital Omnibus
- Un marco operativo sintetiza NIST AI RMF + ISO 42001 + Reglamento IA en 7 pilares, implementable en cinco días laborables
El martes por la mañana que todo fundador teme
Es un martes de noviembre. Una consultoría de 28 personas en Valencia recibe un correo de un antiguo cliente. Asunto: «Solicitud de acceso a datos personales en virtud del Artículo 15 RGPD.»
El cliente quiere saber exactamente qué datos personales suyos se han tratado, por qué sistemas, y compartidos con qué terceros. Una solicitud estándar. El tipo al que toda empresa europea debería poder responder en 30 días.
Pero la fundadora se da cuenta de algo que la deja helada: la mitad de su equipo usa ChatGPT. Dos personas usan Claude. Una usa Perplexity para investigación de clientes. Ninguna de esas herramientas tiene un Acuerdo de Procesamiento de Datos con la empresa. Nadie registra qué prompts se enviaron. Nadie sabe si el nombre del cliente, los detalles del proyecto o sus datos financieros fueron alguna vez pegados en un chatbot gratuito.
Tiene 30 días para escribir una respuesta veraz. No tiene forma de reconstruir la verdad.
Para eso sirve la gobernanza IA. No para un PDF de 40 páginas en una carpeta de SharePoint. Sino para un conjunto operativo de controles que garantiza que una pregunta como esta tenga una respuesta real.
Si ya has leído otros tres artículos sobre gobernanza IA, probablemente te han dicho que «establezcas un comité IA interfuncional» y «desarrolles políticas exhaustivas». Ese consejo no es incorrecto. Tampoco es útil para una empresa de 20 personas sin departamento de cumplimiento.
Esta guía es diferente. Extrae lo que NIST, ISO y el Reglamento IA exigen realmente, elimina lo que no aplica a las PYME, y te proporciona un marco de 7 pilares implementable en una semana — con una política copia-y-pega adaptable en 30 minutos.
¿Qué es realmente la gobernanza IA?
La gobernanza IA es el conjunto de políticas, controles y estructuras de responsabilidad que garantizan que la IA utilizada dentro de tu empresa es segura, legal, trazable y alineada con lo que te comprometiste a hacer.
Esa es la definición operativa. Las normas internacionales dicen aproximadamente lo mismo en lenguaje más formal:
- ISO/IEC 42001:2023, la primera norma internacional de sistema de gestión de IA, describe la gobernanza como la forma estructurada en que una organización gestiona «los riesgos y oportunidades asociados a la IA, equilibrando innovación y gobernanza» mediante un ciclo Plan-Do-Check-Act.
- NIST AI Risk Management Framework 1.0 (publicado en enero de 2023) la describe como cuatro funciones interconectadas: Govern, Map, Measure, Manage — aplicadas continuamente a lo largo del ciclo de vida del sistema IA.
- El Reglamento IA no define «gobernanza» como un término único, pero los Artículos 9, 10, 13, 14 y 17 la prescriben de facto: sistemas de gestión de riesgos, gobernanza de datos, transparencia, supervisión humana y gestión de la calidad.
La gobernanza no es un documento. Es una máquina operativa que produce evidencias.
Si un regulador, un auditor o un cliente pregunta «¿qué IA utilizaste para tratar mis datos y cómo lo controlaste?» — tu gobernanza es lo que te permite responder con veracidad y rapidez. Todo lo demás es decoración.
Por qué la mayoría de las políticas IA fracasan antes del primer audit
La mayoría de las empresas que intentan implementar gobernanza IA fracasan de una de estas cinco formas. Reconocer tu propio patrón aquí es más útil que leer otra lista de verificación genérica.
Fracaso 1: La política de 40 páginas que nadie lee. Una consultora contrató a un abogado para redactar una política IA exhaustiva. Cubría ética, sesgos, minimización de datos, transparencia, equidad. Tenía 41 páginas. Ninguno de los 24 empleados había leído más de la primera página. Cuando la DPO realizó una auditoría, la brecha entre la política y lo que la gente hacía en realidad era enorme.
Fracaso 2: Una prohibición que se convierte en Shadow AI. Una empresa financiera prohibió ChatGPT tras una noticia de filtración de código al estilo Samsung. En tres meses, el 70 % del personal usaba cuentas personales en teléfonos personales. La prohibición no produjo cumplimiento — solo invisibilidad. Según una encuesta empresarial de Lenovo de 2026, el 31 % de los empleados que usan IA no reciben formación y operan completamente fuera de la supervisión de TI. El informe MIT NANDA «State of AI in Business 2025» encontró que los empleados en más del 90 % de las empresas usan regularmente herramientas IA personales para el trabajo, independientemente de la política oficial.
Fracaso 3: Cuestionarios de proveedores como sustituto del control. Una empresa envía un cuestionario de seguridad de 200 preguntas a OpenAI, lo recibe de vuelta, lo archiva y considera la gobernanza completada. El cuestionario describe lo que hace OpenAI. No dice nada sobre lo que tu equipo de ventas pegó en una cuenta gratuita de ChatGPT el jueves pasado a las 23:00 h.
Fracaso 4: El comité que se reúne trimestralmente. Se forma un «comité de gobernanza IA interfuncional» de siete líderes senior. Se reúne cada tres meses, revisa presentaciones y produce actas. El uso real de la IA cambia semanalmente. El comité siempre informa sobre una realidad que ya no existe.
Fracaso 5: Confundir seguridad de datos con gobernanza IA. ISO 27001, SOC 2, cifrado en reposo, MFA — todo bien, nada suficiente. La IA introduce una superficie de riesgo diferente: lo que los empleados transmiten voluntariamente a un modelo de terceros en un prompt, y lo que vuelve como output e influye en las decisiones. Las herramientas DLP tradicionales, que buscan números de tarjetas de crédito y DNIs, no detectan a un director de marketing pegando la hoja de ruta de producto del próximo trimestre en un chatbot.
La razón honesta por la que las políticas fracasan es que están escritas para una organización que no existe — una con un responsable de riesgos IA dedicado, un equipo MLOps y presupuesto para una auditoría externa. La mayoría de las PYME europeas no tienen eso. La pregunta es: ¿qué aspecto tiene la gobernanza para la empresa que realmente existe?
Los 7 pilares: un marco que cabe en una página
Este marco sintetiza los controles en los que NIST AI RMF, ISO 42001 y el Reglamento IA convergen. Eliminando redundancias y agrupando solapamientos, obtienes siete pilares. Ninguno es inventado. Todos se mapean directamente a normas citables.
Pilar 1: Ética y principios de IA responsable
Escribes, en lenguaje sencillo, para qué sirve la IA en tu empresa y para qué no.
Esto no es filosofía. Es la restricción upstream que determina todo lo que viene después. Sin ella, cada decisión posterior (qué modelo, qué caso de uso, qué datos) se vuelve ad hoc.
El contenido mínimo de una declaración de principios IA es: equidad, transparencia, responsabilidad, privacidad y seguridad. ISO 42001 los llama requisitos de «política IA» (Cláusula 5.2). NIST AI RMF los integra en la función Govern. El Reglamento IA los presupone a lo largo de todo el texto.
Para una empresa de 20 personas, esto es una página. Tres a cinco principios, dos frases cada uno. Firmados por el fundador. Publicados en un lugar donde los empleados realmente miren. Revisados anualmente.
Pilar 2: Roles y responsabilidades
Alguien es el propietario de esto. No un comité. Un nombre.
ISO 42001 requiere que «la alta dirección demuestre liderazgo y compromiso» (Cláusula 5.1) y que «las responsabilidades y autoridades para los roles pertinentes sean asignadas y comunicadas» (Cláusula 5.3). NIST AI RMF hace de la responsabilidad la característica central de la función Govern.
Para una empresa pequeña, la estructura es simple: un responsable de IA (fundador, CTO o director de operaciones — responsable del marco, con autoridad), aprobadores funcionales (quien dirige ventas, RRHH, jurídico, finanzas aprueba las herramientas IA usadas en esa función) y cada empleado responsable de usar solo herramientas aprobadas y reportar incidentes.
El Reglamento IA añade un requisito específico en el Artículo 26(2): para los sistemas IA de alto riesgo, los desplegadores deben «asignar la supervisión humana a personas físicas que tengan las competencias, la formación y la autoridad necesarias». Esto aplica si despliegas IA de alto riesgo; para la mayoría de las PYME que usan IA para redactar, resumir y analizar, no es el caso. Pero el principio — personas competentes con autoridad — aplica independientemente.
Pilar 3: Gestión de riesgos a lo largo del ciclo de vida
Identificas qué puede salir mal, y sigues comprobándolo.
El bucle Map-Measure-Manage del NIST AI RMF es la versión más clara de esto. ISO 42001 Cláusula 6.1 lo llama «acciones para abordar riesgos y oportunidades». El Artículo 9 del Reglamento IA prescribe un «sistema de gestión de riesgos» para la IA de alto riesgo: continuo, iterativo, documentado a lo largo de todo el ciclo de vida.
Para una PYME que usa modelos comerciales (GPT, Claude, Gemini, Mistral vía API), los riesgos se dividen en cinco categorías:
- Fuga de datos — información confidencial que sale de la empresa en un prompt.
- Desbordamiento de costes — consumo API no monitoreado que genera facturas sorpresa.
- Errores de output — el modelo fabrica un hecho, nombre o cita que acaba en trabajo de cliente.
- Dependencia o fallo del proveedor — tu único proveedor IA sube precios, cambia condiciones o tiene una interrupción.
- Deriva de cumplimiento — la regulación cambia, tus controles no.
Cada uno obtiene una persona responsable nombrada, una mitigación documentada y una revisión trimestral. Eso es el sistema completo de gestión de riesgos para la mayoría de las PYME.
Pilar 4: Gobernanza de datos
Malos datos en entrada, mal output IA. Y peor: malos datos en entrada, infracción del RGPD en salida.
ISO 42001 Anexo A trata la gobernanza de datos como un control fundamental. El Artículo 10 del Reglamento IA lo hace explícito para los sistemas de alto riesgo: los datos de entrenamiento, validación y prueba deben cumplir criterios de calidad, ser pertinentes, suficientemente representativos y libres de errores en la medida de lo posible.
Para una PYME que usa modelos de terceros, no entrenas datos — pero sí controlas qué fluye hacia las herramientas IA. El mínimo:
- Categoriza qué pueden y no pueden introducir los empleados en las herramientas IA. Tres niveles: verde (cualquier cosa), ámbar (con aprobación, solo en herramientas aprobadas), rojo (nunca). Los datos personales del cliente son ámbar o rojo. Los secretos comerciales son rojos. La información pública es verde.
- Elige proveedores IA que se comprometan contractualmente a no usar tus prompts para entrenamiento. El ajuste «zero data retention» o «sin entrenamiento con datos del cliente». Los niveles gratuitos no lo garantizan.
- Firma un Acuerdo de Procesamiento de Datos con cada proveedor IA que toque datos personales. RGPD Artículo 28. No es opcional.
- Registra qué datos cruzan la frontera. Como mínimo: qué usuario, qué sistema, qué marca de tiempo, qué categoría de datos.
Pilar 5: Transparencia
Tu equipo, tus clientes y (cuando sea relevante) el regulador pueden ver qué hace la IA dentro de tu empresa.
El Artículo 13 del Reglamento IA requiere que los sistemas IA de alto riesgo estén «diseñados y desarrollados de manera que garanticen que su funcionamiento sea suficientemente transparente». El Artículo 50 añade obligaciones de divulgación: los chatbots deben informar a los usuarios de que son IA; el contenido generado por IA debe ser etiquetado.
Dentro de tu empresa, la transparencia son tres cosas: una lista actualizada de las herramientas IA en uso (una hoja de cálculo, una fuente de verdad, actualizada mensualmente); divulgación por herramienta a los clientes cuando la IA contribuye sustancialmente a una entrega; y explicabilidad interna — cuando la IA se usa en una decisión que afecta a una persona, el humano que toma la decisión final entiende qué sugirió la IA y por qué, y puede contradecirla.
Pilar 6: Supervisión humana
El Artículo 14 del Reglamento IA es la articulación más clara de la supervisión humana en cualquier regulación. Exige tres cosas de todo sistema IA de alto riesgo:
- Observabilidad — un humano puede monitorear el sistema en operación, detectar anomalías, entender los outputs.
- Consciencia del sesgo de automatización — el humano está formado para reconocer la dependencia excesiva de las sugerencias de la IA.
- Controlabilidad — el humano puede ignorar, contradecir o detener la IA en cualquier momento, sin aprobación del manager, soluciones técnicas alternativas ni tiempo de inactividad.
El tercero es la prueba práctica. Si tu equipo no puede apagar, contradecir o rechazar la sugerencia de la IA en tiempo real, no tienes supervisión humana. Tienes un sello de goma.
Para las PYME que no usan sistemas «de alto riesgo» bajo el Reglamento IA, esto no es legalmente obligatorio. Aplícalo de todos modos. Es el único control que previene la peor categoría de fallo de IA: una respuesta errónea y confiada que se trata como verdad.
Pilar 7: Cumplimiento, auditoría y respuesta a incidentes
Tienes evidencias, y tienes un plan para cuando las cosas salen mal.
ISO 42001 Cláusula 9 (Evaluación del desempeño) y Cláusula 10 (Mejora) cubren esto. NIST AI RMF lo integra en Manage. Los Artículos 17, 19 y 26 del Reglamento IA hacen partes de esto legalmente vinculantes para la IA de alto riesgo.
Para una PYME, la versión operativa es: un registro IA (una fila por sistema en uso, columnas: nombre, proveedor, finalidad, categoría de datos tratados, aprobador, fecha de última revisión, referencia al DPA); un procedimiento de respuesta a incidentes (a quién notificar si datos confidenciales se envían a una herramienta IA pública, qué hacer en la primera hora, cuándo notificar a la AEPD — el RGPD te da 72 horas desde el conocimiento, Artículo 33); y una revisión trimestral (30 minutos con el responsable de IA y uno o dos responsables funcionales).
Estos siete pilares son lo que comparten NIST AI RMF, ISO 42001 y el Reglamento IA, expresado a la escala que una empresa de 20 personas puede realmente operar.
Cómo encajan NIST, ISO 42001 y el Reglamento IA
Estos tres marcos se presentan a menudo como alternativas. No lo son. Sirven finalidades diferentes.
| Marco | Tipo | ¿Obligatorio? | Qué te aporta |
|---|---|---|---|
| NIST AI RMF 1.0 | Guía voluntaria de gestión de riesgos | No | Vocabulario flexible para el riesgo: Govern, Map, Measure, Manage |
| ISO/IEC 42001:2023 | Norma certificable de sistema de gestión | No (pero certificable) | Sistema de gestión repetible; certificación auditable (4–9 meses para PYME) |
| Reglamento IA | Reglamento europeo vinculante | Sí | Obligaciones específicas por clase de riesgo; multas de hasta 35 M€ o el 7 % de la facturación mundial |
La relación pragmática: NIST AI RMF te da el lenguaje y el modelo mental. ISO 42001 te da la estructura del sistema de gestión. El Reglamento IA es la ley — el cumplimiento no es negociable para los sistemas en su ámbito de aplicación.
Una empresa que implementa bien ISO 42001 satisfará la mayoría de los resultados del NIST AI RMF y la mayoría de los requisitos organizativos del Reglamento IA. Se refuerzan mutuamente, no compiten.
Lo que el Reglamento IA exige realmente de tu empresa en 2026
El Reglamento IA entró en vigor el 1 de agosto de 2024 y se aplica por fases:
- 2 de febrero de 2025 — Las prácticas IA prohibidas y las obligaciones de alfabetización en IA del Artículo 4 se volvieron aplicables. Toda empresa que despliega IA debe garantizar que su personal tenga «un nivel suficiente de alfabetización en IA».
- 2 de agosto de 2025 — Las obligaciones para los proveedores de modelos IA de uso general (OpenAI, Anthropic, Google, Mistral, Meta) se volvieron aplicables. Las autoridades nacionales competentes debían estar designadas.
- 2 de agosto de 2026 — La mayoría de las disposiciones restantes se vuelven aplicables, incluidas las obligaciones para la IA de alto riesgo del Anexo III, las obligaciones de transparencia del Artículo 50 y los espacios de prueba regulatorios de IA.
- 2 de agosto de 2027 — Las normas para la IA de alto riesgo integrada en productos regulados (dispositivos médicos, vehículos) se aplican.
Una advertencia crítica para 2026: el 19 de noviembre de 2025, la Comisión Europea publicó el «Digital Omnibus on AI» — una propuesta para aplazar el plazo de cumplimiento de alto riesgo del 2 de agosto de 2026 al 2 de diciembre de 2027. A mayo de 2026, las negociaciones en trílogo han producido un acuerdo político, pero el Omnibus no ha sido formalmente adoptado. Hasta que lo sea, el plazo original del 2 de agosto de 2026 se aplica.
Traducción práctica para tu empresa:
- La alfabetización en IA ya es legalmente obligatoria. El Artículo 4 está en vigor desde febrero de 2025. Todo empleado que use IA necesita formación documentada proporcional a su función.
- La mayoría de las PYME no despliegan IA de alto riesgo. La lista del Anexo III es específica: IA en infraestructuras críticas, acceso a la educación, selección de empleo, servicios esenciales, aplicación de la ley, migración, justicia. Redactar correos, resumir documentos, generar textos de marketing no es IA de alto riesgo bajo el Reglamento.
- Las sanciones son escalonadas. Hasta 35 millones de euros o el 7 % de la facturación mundial anual por prácticas prohibidas. Hasta 15 millones de euros o el 3 % por infracciones de alto riesgo. Las PYME se benefician de la proporcionalidad (Artículo 99(6)) — las multas deben tener en cuenta el tamaño de la PYME.
Si construyes el marco de 7 pilares anterior, el cumplimiento del Reglamento IA para IA no-de-alto-riesgo se da automáticamente.
El plan de implementación de una semana para un equipo de 20 personas
Este plan es para una empresa que no ha hecho nada en materia de gobernanza IA y quiere estar en una posición defendible para el viernes. Cinco días laborables. Una persona asignada. Un promedio de dos horas al día.
Día 1 — Inventario. Envía una pregunta a cada empleado: «Lista todas las herramientas IA que has usado para el trabajo en los últimos 90 días, incluyendo las gratuitas.» No penalices la divulgación. Compila la lista. Según el estudio MIT NANDA de 2025, los empleados del 90 % de las empresas usan herramientas IA que su empleador desconoce. Tu cifra no será menor.
Día 2 — Categorizar. Clasifica cada herramienta en tres categorías: aprobar y estandarizar (plan de pago, DPA firmado), reemplazar (herramienta gratuita que realiza trabajo necesario — actualizar o migrar), prohibir (sin nivel empresarial, sin opción de DPA, condiciones inaceptables).
Día 3 — Redactar los principios y los niveles de datos. Una página. Cinco principios con tu propia voz. Tres niveles de datos (verde/ámbar/rojo) con ejemplos. El fundador lo firma. Publicado en la wiki de la empresa.
Día 4 — Construir el registro y la regla de anulación. Abre una hoja de cálculo. Una fila por herramienta aprobada: nombre, proveedor, finalidad, nivel de datos permitido, aprobador, DPA en archivo (sí/no/enlace), fecha de última revisión. Para cada herramienta, escribe la regla de anulación.
Día 5 — Formar y anunciar. Reunión de 45 minutos para todo el equipo. Recorre los principios, el sistema de niveles, la lista de herramientas aprobadas, el procedimiento de respuesta a incidentes. Documenta la asistencia — esa es tu evidencia de alfabetización en IA según el Artículo 4.
Para el viernes por la tarde tendrás una declaración de principios IA firmada, un inventario categorizado, criterios de aprobación escritos, un registro IA, un procedimiento de anulación y respuesta a incidentes documentado, y personal formado con registros de asistencia.
Eso es más gobernanza IA que la que opera actualmente el 80 % de las PYME europeas.
Copia y pega: el marco de gobernanza IA en una página
A continuación encontrarás un marco completo que puedes copiar en un Google Doc, una página de Notion o la wiki de tu empresa y adaptar en 30 minutos. Reemplaza los marcadores de posición entre corchetes. Edita la lista de herramientas IA para que coincida con tu inventario del Día 1. Fírmalo, compártelo, revísalo trimestralmente.
Esto no es un documento legal. Es una política operativa. Si operas en un sector regulado (finanzas, sanidad, servicios jurídicos) o despliegas IA de alto riesgo bajo el Anexo III del Reglamento IA, haz que un abogado lo revise antes de publicarlo.
[NOMBRE DE TU EMPRESA] — Marco de gobernanza IA
Versión 1.0 · Vigente desde [FECHA] · Responsable: [NOMBRE, CARGO] · Próxima revisión: [FECHA + 3 meses]
1. Objeto
Este documento establece cómo [EMPRESA] utiliza la inteligencia artificial en su trabajo, quién es responsable de ello y cómo mantenemos ese uso seguro, legal y alineado con nuestros compromisos hacia clientes, empleados y socios.
2. Principios
Usamos la IA en nuestra empresa bajo cinco principios:
- Potenciación, no sustitución. La IA asiste el juicio humano en el trabajo con clientes e interno. Una persona revisa y es responsable de cada output que sale de la empresa.
- Tratamiento legal de datos. No introducimos datos personales, información confidencial de clientes ni secretos comerciales en herramientas IA que no tengan un Acuerdo de Procesamiento de Datos con nosotros.
- Transparencia. Mantenemos un registro actualizado de cada herramienta IA usada en la empresa e informamos a los clientes cuando la IA contribuye materialmente a una entrega.
- Disciplina de costes. Cada herramienta IA con precios basados en uso tiene un límite presupuestario estricto. Ningún empleado puede incurrir en costes IA por encima de su límite mensual sin aprobación escrita.
- Revisión continua. Este marco se revisa trimestralmente. El registro IA se actualiza mensualmente. Los incidentes se registran y se aprende de ellos.
3. Roles
- Responsable de IA: [NOMBRE, CARGO]. Responsable de este marco. Aprueba nuevas herramientas IA. Gestiona el registro IA. Informa a la dirección trimestralmente.
- Aprobadores funcionales: Cada responsable de departamento aprueba las herramientas IA usadas dentro de su función.
- Cada empleado: Usa solo las herramientas aprobadas de la Sección 6. Reporta incidentes conforme a la Sección 9 en un día laborable.
4. Clasificación de datos
La información en [EMPRESA] se divide en tres niveles. Cada nivel define qué herramientas IA pueden tratarla.
| Nivel | Ejemplos | Herramientas IA permitidas |
|---|---|---|
| Verde | Información pública, textos de marketing, investigación genérica | Cualquier herramienta aprobada en la Sección 6 |
| Ámbar | Documentos internos, borradores de trabajo cliente, cifras financieras aún no publicadas | Solo herramientas con DPA firmado y compromiso contractual de no entrenamiento |
| Rojo | Datos personales identificables del cliente, información sanitaria, secretos comerciales, código fuente, registros financieros sin redactar, asesoramiento jurídico | Ninguna herramienta IA sin aprobación explícita caso por caso del Responsable de IA |
En caso de duda, trata los datos como un nivel superior al que crees.
5. Herramientas IA — criterios de aprobación
Una herramienta solo puede añadirse a la lista aprobada si cumple todos los siguientes criterios:
- Acuerdo de Procesamiento de Datos firmado bajo el Artículo 28 del RGPD
- Compromiso documentado de que los prompts de clientes no se usan para entrenar modelos
- Alojamiento en la UE o país adecuado confirmado por escrito, o mecanismo de transferencia SCC en vigor
- Autenticación mediante SSO o, como mínimo, credenciales únicas por empleado
- Cláusula de notificación de incidentes en el contrato del proveedor — el proveedor debe notificar brechas en 72 horas
- Límite de coste configurable o suscripción de tarifa fija
6. Registro de herramientas IA aprobadas
| Herramienta | Proveedor | Finalidad | Nivel de datos permitido | Aprobador | DPA en archivo | Última revisión |
|---|---|---|---|---|---|---|
| [Herramienta 1] | [Proveedor] | [Finalidad] | Verde / Ámbar | [Nombre] | [Sí — enlace] | [Fecha] |
| [Herramienta 2] | [Proveedor] | [Finalidad] | Verde | [Nombre] | [Sí — enlace] | [Fecha] |
Este registro es la única fuente de verdad. Una herramienta que no figure en esta lista no está aprobada.
7. Usos prohibidos
Lo siguiente está prohibido independientemente de la herramienta: introducir datos de nivel Rojo en cualquier sistema IA; usar cuentas IA de consumo gratuitas para cualquier tarea laboral con datos Ámbar o Rojos; actuar sobre output IA en una decisión regulada (contratación, despido, crédito) sin revisión humana documentada y autoridad de anulación; deshabilitar o eludir cualquier control de este marco.
8. Supervisión humana
Para cada herramienta IA de la Sección 6, el aprobador define por escrito: quién revisa el output antes de que salga de la empresa; qué verifica (exactitud factual, citas alucinadas, tono, confidencialidad del cliente); cómo se registran las anulaciones.
9. Respuesta a incidentes
Si datos confidenciales, de nivel Ámbar o Rojo, han sido introducidos en una herramienta IA no aprobada, o en una herramienta aprobada en violación de su nivel de datos:
- En 1 hora: notificar al Responsable de IA ([NOMBRE, EMAIL]).
- En 4 horas: el Responsable de IA evalúa el alcance. Datos personales afectados → notificar al DPO.
- En 24 horas: decisión sobre si el incidente desencadena una notificación de brecha de datos personales bajo el Artículo 33 del RGPD (72 horas a la AEPD).
- En 5 días laborables: resumen escrito del incidente añadido al registro de incidentes.
Los empleados que reporten sus propios errores de forma oportuna no serán sancionados disciplinariamente por el error en sí.
10. Formación y alfabetización en IA
De acuerdo con el Artículo 4 del Reglamento IA, todo empleado que use herramientas IA en [EMPRESA] recibe: onboarding inicial (45 minutos, documentado), actualización anual (30 minutos, documentada) y formación específica de rol cuando su función cambia la forma en que se usa la IA.
11. Revisión y control de versiones
Este marco es revisado trimestralmente por el Responsable de IA. El registro IA se actualiza mensualmente. La versión actual está siempre disponible en [ENLACE INTERNO].
Firmado: [NOMBRE DEL FUNDADOR, CARGO] Fecha: [FECHA]
Ese es el marco completo. Una página, once secciones, listo para copiar. No ganará premios literarios. Sí superará un cuestionario de compras de un cliente enterprise, satisfará una auditoría DPO y dará a tu equipo una respuesta clara a «¿qué tenemos permitido usar, y para qué?»
Úsalo como punto de partida, no como punto final. El punto final es el hábito de cuatro trimestres que lo mantiene verdadero.
Una plataforma multi-LLM que implementa los pilares 3, 4, 5 y 7 por defecto.
Custos AI es una plataforma conforme al RGPD que da a tu equipo acceso a GPT, Claude, Gemini y Mistral a través de una única interfaz — con límites presupuestarios estrictos por usuario, alojamiento UE en Frankfurt y Amsterdam, DPAs firmados con cada proveedor y un registro de auditoría de cada prompt. Traes tus propias claves API (BYOK), por lo que no hay margen de IA ni facturas sorpresa. El marco de 7 pilares anterior no requiere Custos. Pero si lo estás construyendo, Custos cubre cuatro de los siete pilares por defecto — gestión de riesgos, gobernanza de datos, transparencia y auditoría. Los otros tres (principios, roles, supervisión) siguen siendo tu responsabilidad organizativa.
Prueba gratuita 14 días
Siguiente: Lo que el Reglamento IA exige realmente de una empresa de 20 personas
La lista de alto riesgo del Anexo III, la obligación de alfabetización en IA del Artículo 4 y la lista de verificación de cumplimiento práctica para PYME que no despliegan sistemas de alto riesgo pero igualmente necesitan demostrar su conformidad.
Leer: El Reglamento IA para empresas de 20 personas →
Frequently asked questions
¿Qué es la gobernanza IA en términos sencillos?›
¿Necesita realmente una PYME un marco formal de gobernanza IA?›
¿Cómo se aplica el Reglamento IA a mi empresa en 2026?›
¿Cuál es la diferencia entre NIST AI RMF, ISO 42001 y el Reglamento IA?›
¿Cuánto tarda la certificación ISO 42001 en una PYME?›
¿Cómo aborda Custos AI la gobernanza IA?›
Custos AI
The Custos AI team
Custos AI is a GDPR-proof multi-LLM platform for European businesses. We write about AI governance, GDPR compliance and safe AI use for small and medium companies.