Lo esencial
- Una política de IA es el documento interno que fija las reglas sobre cómo su organización construye, compra y utiliza inteligencia artificial. No es una presentación de estrategia ni una página de principios aspiracionales.
- La política ha dejado de ser una buena práctica opcional: ISO/IEC 42001 la exige de forma explícita (cláusula 5.2) y el deber de alfabetización en IA del EU AI Act (artículo 4) obliga a proveedores y responsables del despliegue desde febrero de 2025.
- Una política solo funciona cuando se conecta a un modelo operativo: un inventario de sistemas de IA, controles que hacen cumplir las reglas y evidencias que demuestran que se cumplieron.
- Prohibir herramientas sin ofrecer alternativas autorizadas es la vía más rápida para generar shadow AI. Una buena política canaliza el comportamiento en lugar de limitarse a prohibirlo.
- La diferencia entre una política que supera una auditoría y otra que no la supera es la exigibilidad: responsables con nombre y apellidos, una cadencia de revisión y una línea trazable entre cada regla y un control.

Qué es y qué no es una política de IA
Una política de IA es el documento rector que establece cómo una organización puede desarrollar, adquirir y utilizar inteligencia artificial, y quién responde cuando esas reglas se incumplen. Una política de IA convierte compromisos abstractos sobre IA responsable en instrucciones que un empleado, un contratista o un responsable de compras puede seguir un martes cualquiera por la mañana. Conviene separar tres documentos que suelen confundirse:
- Una estrategia de IA describe qué quiere conseguir la organización con la IA. Es direccional y aspiracional.
- Una política de IA describe las reglas que limitan cómo puede usarse la IA para llegar hasta allí. Es prescriptiva y vinculante.
- Las directrices o normas de IA describen el cómo detallado. Se sitúan por debajo de la política y explican, por ejemplo, cómo clasificar los datos antes de introducirlos en un modelo.
El error más común es redactar una política que se lee como una presentación de estrategia. Afirmaciones del tipo «usaremos la IA de forma ética» no son reglas, porque nadie puede ser hallado en incumplimiento de ellas. Una regla establece quién puede hacer qué, con qué sistemas, con qué datos, bajo qué supervisión y qué ocurre en caso contrario. El alcance de una política de IA es más amplio de lo que asume la mayoría de los primeros borradores. Debe cubrir a empleados y contratistas, la IA que la organización construye y la que se limita a usar, los modelos integrados en software de terceros y los datos que entran y salen de esos sistemas. ISO/IEC 42001, la norma internacional de sistema de gestión para la IA, trata la política como la declaración de intención de máximo nivel que el resto del sistema de gestión implementa. Una política que solo vincula al personal en plantilla, o solo a las herramientas construidas internamente, deja sin cubrir la mayor exposición. Para situar la política junto a los demás artefactos de gobierno, consulte nuestra guía de gobernanza de la IA.
Por qué una política de IA es ya un requisito de cumplimiento
Durante años, una política de IA fue una cuestión de higiene organizativa. Eso ha cambiado: tres fuerzas regulatorias convierten hoy una política de IA documentada y aplicada en algo que un auditor, un regulador o un cliente corporativo puede exigirle.
El EU AI Act convierte la alfabetización y la transparencia en obligatorias
El artículo 4 del EU AI Act exige a proveedores y responsables del despliegue garantizar un nivel suficiente de alfabetización en IA entre su personal y cualquiera que opere sistemas de IA en su nombre. Este deber se aplica desde el 2 de febrero de 2025 y rige con independencia de que los sistemas sean de alto riesgo o de riesgo mínimo. No puede demostrar que su plantilla usa la IA de forma responsable sin una declaración escrita de qué significa ese uso. La política es donde vive esa declaración y el vehículo natural para la formación que el artículo 4 espera. Otros dos artículos determinan qué debe decir la política. El artículo 50 fija obligaciones de transparencia, incluida la de informar a las personas cuando interactúan con un sistema de IA y la de marcar el contenido sintético. El artículo 5 enumera las prácticas prohibidas que ninguna organización puede desplegar. Una política seria bloquea de raíz las prácticas del artículo 5 y codifica las divulgaciones del artículo 50 como reglas permanentes, no como decisiones caso por caso. Lo que está en juego es concreto: las sanciones del artículo 99 alcanzan hasta 15 millones de euros o el 3 por ciento de la facturación anual global para la mayoría de las obligaciones, y hasta 35 millones de euros o el 7 por ciento para las prácticas prohibidas del artículo 5, según Latham and Watkins. Nuestra guía del EU AI Act para operadores recorre las obligaciones en orden.
ISO/IEC 42001 exige una política de IA documentada
Si el EU AI Act es el palo, ISO/IEC 42001 es la certificación que demuestra que su sistema de gobierno merece confianza. La norma, publicada en diciembre de 2023, es la primera norma certificable de sistema de gestión de IA. Su cláusula 5.2 exige que la alta dirección establezca una política de IA documentada que encaje con el propósito de la organización, fije un marco para los objetivos y se comprometa con la mejora continua. Dicho de otro modo, bajo 42001 la política no es una evidencia opcional: es un requisito con nombre que un auditor verifica. Nuestra explicación de la norma ISO 42001 (AIMS) cubre la estructura de cláusulas más amplia.
El NIST AI RMF y las leyes estatales elevan el listón
En Estados Unidos, el NIST AI RMF sitúa su función Govern en el centro de la alineación de políticas, procedimientos y principios organizativos, y el propio crosswalk del NIST con ISO 42001 mapea esa función directamente sobre las cláusulas de liderazgo y política de la norma. En Europa, el ecosistema regulador español ya cuenta con actores que un programa de IA no puede ignorar: la Agencia Española de Protección de Datos (AEPD) para el tratamiento de datos personales y la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) como autoridad de referencia para la vigilancia del EU AI Act. Al otro lado del Atlántico, la ley avanza deprisa: el Colorado AI Act impone deberes a desarrolladores y responsables del despliegue de sistemas de alto riesgo usados en decisiones relevantes, y las reglas de auditoría de sesgo de la ciudad de Nueva York para las herramientas de contratación automatizada ya exigen un gobierno documentado. Una política que mapea sus secciones sobre estos regímenes viaja bien entre jurisdicciones. Nuestra guía del NIST AI RMF explica las funciones Govern, Map, Measure y Manage en la práctica.
Qué debe contener una política de IA sólida
Las plantillas corporativas convergen en un índice reconocible. Lo que separa una política que sobrevive a una auditoría de otra que no lo hace es si cada sección se ata a una obligación y a un control. Estas son las secciones que lleva una política madura.
- Propósito y alcance. Declare por qué existe la política y a quién y a qué vincula exactamente: personal, contratistas, sistemas construidos, sistemas comprados y los datos implicados.
- Principios. Codifique los valores de la organización y la base legal. Manténgalos breves y comprobables, y ligue cada uno a una regla posterior en lugar de dejarlos como lemas. Son los principios que nuestra guía de IA ética convierte en práctica.
- Uso permitido y prohibido. Nombre las herramientas autorizadas y los casos de uso aprobados, y también los vetados. Aquí es donde las prácticas prohibidas del artículo 5 se convierten en bloqueos firmes.
- Datos, confidencialidad y propiedad intelectual. Fije reglas sobre qué datos pueden entrar en un modelo, cómo se tratan los datos de clientes y personales, y quién es titular de los resultados.
- Supervisión humana y rendición de cuentas. Defina dónde debe permanecer una persona dentro o sobre el bucle de decisión, y quién responde por cada clase de decisión.
- Transparencia y divulgación. Codifique los deberes del artículo 50: revelar la interacción con IA, etiquetar los medios sintéticos y documentar el uso de modelos cuando proceda.
- Compras y IA de terceros. Exija que los modelos comprados y los proveedores con IA se evalúen antes de su uso, de modo que los sistemas de terceros hereden las mismas reglas.
- Notificación de incidentes. Dé a las personas una vía definida para reportar un resultado dañino, una fuga de datos o un uso indebido, con plazos.
- Roles y responsabilidades. Asigne un responsable de la política, un aprobador y el directivo que rinde cuentas, idealmente con una RACI simple.
- Aplicación y consecuencias. Establezca las consecuencias de un incumplimiento para que la política tenga dientes.
- Cadencia de revisión y versionado. Fije un intervalo de revisión y un historial de versiones, porque una política estática queda desactualizada en un trimestre.
Una política que lleva estas once secciones, cada una mapeada sobre una regulación y un control, deja de ser un memorándum de recursos humanos: es la cúspide de un sistema de gobierno.
Del documento a la aplicación: cómo hacer auditable la política
Esta es la verdad incómoda que las guías corporativas mejor posicionadas evitan: una política que no puede hacer cumplir es teatro. Un auditor no califica la prosa: le pide que demuestre que las reglas se cumplieron, en un sistema concreto y en una fecha concreta. Esa prueba requiere tres cosas que el documento por sí solo no puede aportar. La primera es un inventario. No puede aplicar una regla a sistemas de IA que no ve. Un registro de IA, es decir, un registro vivo de cada modelo, caso de uso, conjunto de datos e integración de la organización, es el sustrato que hace operable una política. Sin él, «todo uso de IA debe estar aprobado» es un deseo inexigible, porque nadie sabe qué IA está en uso. Por eso la política es también el control principal frente al shadow AI: las herramientas no autorizadas que el personal adopta en silencio son justamente las que una política más un inventario están destinados a sacar a la luz. La segunda son los controles. Cada regla de la política debe mapearse sobre un control que la operacionalice. «Se requiere supervisión humana en las decisiones de contratación» se convierte en un control con un responsable, un procedimiento y un punto de verificación. La política declara la intención; el control la hace realidad. La tercera es la evidencia. Cada control debe producir un registro: una aprobación, un log, una revisión completada. La evidencia transforma una afirmación en una posición defendible cuando un regulador o un comprador corporativo pregunta. Una plataforma como AI Sigil existe para cerrar este bucle, conectando la política con un registro de IA, con controles fundacionales y con la evidencia que genera cada control. La política es el punto de entrada; el modelo operativo es lo que una auditoría inspecciona de verdad.
Cómo redactar e implantar una política de IA en 8 pasos
No necesita un programa de seis meses para publicar una primera versión. Necesita una secuencia disciplinada y un responsable con nombre.
- Mapee a las partes interesadas. Reúna a los equipos legal, de seguridad, de protección de datos, de recursos humanos y a las unidades de negocio que construyen o compran IA. Una política escrita solo por el equipo legal será ignorada por ingeniería.
- Inventaríe el uso actual de IA. Antes de escribir reglas, averigüe qué está ya en juego, incluidas las herramientas que el personal adoptó sin preguntar. Ese inventario es la realidad que su política tiene que gobernar.
- Fije principios y la base legal. Ancle la política a sus valores y a los regímenes que le aplican: el EU AI Act, ISO 42001, el NIST AI RMF y cualquier ley sectorial o estatal.
- Redacte las secciones. Use el esqueleto de once secciones anterior y escriba reglas, no aspiraciones. Mapee cada sección sobre una obligación y un control.
- Defina el uso permitido y prohibido de forma concreta. Nombre las herramientas autorizadas y los casos de uso aprobados. Las prohibiciones vagas empujan a la gente hacia el shadow AI.
- Asigne responsables y una RACI. Cada regla necesita a alguien que rinda cuentas, y la política necesita un único responsable que la mantenga.
- Forme y comunique. Despliegue la política junto con la formación en alfabetización de IA que el artículo 4 espera, para que el personal entienda no solo las reglas sino el razonamiento. Nuestra guía para construir un marco de gobernanza de la IA cubre cómo encaja la formación en el programa más amplio.
- Fije una cadencia de revisión y mida. Establezca un intervalo de revisión, siga la adopción y los incidentes, y actualice la política a medida que cambian las herramientas y la ley.
Errores frecuentes en las políticas de IA
La mayoría de las políticas débiles fallan en el mismo puñado de formas.
- Copiar y pegar sin inventario. Una plantilla adoptada sin saber qué IA está realmente en uso gobierna una ficción.
- Prohibir herramientas sin alternativas. Si el camino autorizado es más lento que el camino en la sombra, el personal toma el camino en la sombra. Ofrezca herramientas aprobadas, no solo prohibiciones. Este patrón alimenta directamente el shadow AI.
- Sin responsable designado. Una política que nadie mantiene queda desactualizada en cuanto se despliega un nuevo modelo.
- Sin cadencia de revisión. La capacidad de la IA y la regulación se mueven cada trimestre. Una revisión anual ya llega tarde.
- Sin evidencia. Una política sin controles detrás no produce nada que un auditor pueda inspeccionar, lo que significa que falla justo cuando importa.
Preguntas frecuentes
¿Es obligatoria por ley una política de IA? Depende de dónde opere y de qué haga, pero la dirección es única. ISO/IEC 42001 hace obligatoria una política de IA documentada para la certificación, y el deber de alfabetización del artículo 4 del EU AI Act, en vigor desde febrero de 2025, le obliga en la práctica a declarar y enseñar el uso responsable. Leyes estatales de Estados Unidos como el Colorado AI Act añaden deberes de gobierno documentado para usos de mayor riesgo. Incluso sin una ley que la nombre, no puede demostrar el cumplimiento de estos regímenes sin ella. ¿Cuál es la diferencia entre una política de IA y un marco de gobernanza de la IA? La política es el reglamento de máximo nivel: qué está permitido, quién rinde cuentas, qué ocurre ante un incumplimiento. El marco de gobernanza de la IA es el modelo operativo más amplio que la implementa, incluidos el inventario, los controles, los comités y la evidencia. Una política sin marco es inexigible, y un marco sin política carece de norte. ¿Quién debe ser responsable de la política de IA? Un único responsable que rinda cuentas, apoyado por un grupo transversal. En la práctica suele situarse en el área legal, de cumplimiento o en una función dedicada de gobernanza de la IA, con aportaciones de seguridad, protección de datos, recursos humanos e ingeniería. Lo que importa es que una persona con nombre mantenga la política y que un directivo con nombre responda de ella. ¿Con qué frecuencia debe revisarse una política de IA? Al menos trimestralmente en organizaciones que se mueven rápido, e inmediatamente cuando se adopta una herramienta nueva importante o cambia una ley relevante. La IA y la regulación se mueven mucho más deprisa que el ciclo anual habitual. Incorpore el intervalo de revisión y un historial de versiones a la propia política. ¿Cómo ayuda una política de IA frente al shadow AI? El shadow AI es el uso no gobernado de herramientas de IA que TI y gobernanza desconocen. Una política lo aborda de dos formas: define herramientas autorizadas y casos de uso aprobados para que el personal tenga un camino legítimo y, unida a un inventario de IA, da a la organización una manera de detectar y recuperar el uso no autorizado. Una prohibición sin alternativa autorizada empeora el shadow AI, no lo mejora. ¿Qué debe incluir una política de IA para satisfacer el EU AI Act? Como mínimo: una declaración de uso responsable y el compromiso de alfabetización en IA que respalda el artículo 4, las reglas de transparencia y divulgación del artículo 50, prohibiciones firmes sobre las prácticas del artículo 5 y un mapeo de los usos de IA a su categoría de riesgo, de modo que los sistemas de mayor riesgo reciban la supervisión que la norma exige. Ate cada elemento a un control y a un responsable para que los compromisos sean verificables.
Conclusión
Una política de IA es el artefacto más pequeño que hace real la gobernanza de la IA y el más fácil de equivocar. Escrita como una página de principios, no cambia nada. Escrita como un conjunto de reglas, mapeada sobre el EU AI Act, ISO 42001 y el NIST AI RMF, y conectada a un inventario, controles y evidencia, se convierte en el punto de entrada a un sistema de gobierno en el que un auditor y un cliente pueden confiar. Si quiere que la política haga algo más que descansar en una unidad compartida, constrúyala sobre un modelo operativo capaz de hacerla cumplir. Vea cómo AI Sigil convierte una política en gobernanza de la IA que puede evidenciar.