
Cinco tareas para ordenar el uso de la inteligencia artificial en empresas
El uso de la inteligencia artificial en empresas exige algo más que contratar herramientas y permitir que los empleados las utilicen. Inventariar los sistemas, clasificar sus riesgos, asignar responsables, documentar las decisiones y formar a los equipos permite reducir errores, filtraciones de información y problemas regulatorios. Estas medidas cobran importancia ante la aplicación progresiva del Reglamento europeo de IA.
Las herramientas de inteligencia artificial se han incorporado a procesos como la redacción de documentos, la atención al cliente, la selección de personal, el análisis financiero, la programación o la gestión comercial. En muchas organizaciones, sin embargo, esta adopción se ha producido sin un registro centralizado ni unas reglas comunes.
Un departamento puede contratar una aplicación, un empleado utilizar una versión gratuita de un asistente generativo y otro equipo activar funciones de IA incluidas en programas que ya estaban instalados. Esta dispersión dificulta conocer qué información se comparte, dónde se procesa y qué decisiones dependen de los resultados obtenidos.
El Reglamento europeo de IA adopta un enfoque basado en el nivel de riesgo. No impone las mismas exigencias a un asistente utilizado para resumir textos que a un sistema que influye en la contratación de trabajadores o en la evaluación crediticia de personas físicas.
La mayoría de las disposiciones generales del Reglamento comenzará a aplicarse el 2 de agosto de 2026. Las obligaciones de alfabetización en inteligencia artificial están vigentes desde el 2 de febrero de 2025, mientras que la supervisión y el régimen de aplicación correspondiente comenzarán en agosto de 2026.
1. Inventariar el uso de la inteligencia artificial en empresas
La primera tarea consiste en elaborar un inventario que refleje las herramientas utilizadas realmente, no solo las contratadas por el departamento de tecnología.
El registro debe identificar el sistema, el proveedor, la versión, la finalidad, los usuarios autorizados, los departamentos que lo emplean y las aplicaciones con las que está integrado. También conviene recoger qué categorías de datos recibe, dónde se almacenan y si el proveedor puede utilizarlos para mejorar o entrenar sus modelos.
Este análisis permite detectar la denominada inteligencia artificial en la sombra: herramientas incorporadas por empleados o departamentos sin conocimiento de las áreas responsables de tecnología, seguridad o cumplimiento.
El inventario no constituye por sí mismo una obligación general e idéntica para todas las empresas, pero resulta una base práctica para determinar qué normativa se aplica, revisar contratos y controlar el acceso a información confidencial.
El registro debe actualizarse cuando se contrate un nuevo servicio, se active una funcionalidad adicional o cambien las condiciones del proveedor. Una herramienta inicialmente destinada a corregir textos puede pasar a integrarse en una base de datos comercial y asumir riesgos diferentes.
2. Clasificar los sistemas según su finalidad y riesgo
Una vez localizado cada sistema, la empresa debe analizar para qué se utiliza y qué consecuencias puede generar.
Un asistente destinado a crear borradores internos presenta un impacto diferente al de una herramienta que filtra candidaturas, puntúa entrevistas, evalúa el rendimiento laboral o participa en una decisión financiera.
El Reglamento europeo establece categorías diferentes, entre ellas los usos prohibidos, los sistemas de alto riesgo y determinadas aplicaciones sujetas a obligaciones de transparencia. Los sistemas utilizados para seleccionar trabajadores o evaluar la solvencia de personas físicas pueden entrar en la categoría de alto riesgo cuando cumplan las condiciones fijadas por la norma.
La clasificación no debe realizarse únicamente a partir de la descripción comercial del proveedor. Es necesario comprobar el uso concreto que hace la empresa, las personas afectadas y el peso que tiene el resultado de la herramienta en la decisión final.
También debe analizarse si la aplicación trata datos personales. Cuando lo hace, el Reglamento General de Protección de Datos continúa siendo aplicable y exige, entre otras cuestiones, disponer de una base jurídica, limitar los datos utilizados, informar a las personas y adoptar medidas de seguridad.
3. Asignar responsabilidades y canales de decisión
Ordenar la inteligencia artificial no significa trasladar toda la responsabilidad al departamento informático. Su utilización puede afectar a tecnología, ciberseguridad, protección de datos, recursos humanos, asesoría jurídica, compras, calidad y dirección.
La empresa debe determinar quién autoriza una herramienta, quién revisa al proveedor, quién analiza los riesgos y quién puede suspender su utilización cuando se detecte un incidente.
También resulta necesario establecer un canal para comunicar errores, respuestas discriminatorias, filtraciones de datos o comportamientos inesperados. Los empleados deben saber a quién dirigirse y qué información conservar para facilitar la investigación.
El Reglamento europeo no obliga de forma general a nombrar un responsable específico de inteligencia artificial ni a crear un comité independiente. Cada organización puede distribuir las funciones de acuerdo con su tamaño, actividad y estructura.
En una pyme, estas tareas pueden asignarse a responsables ya existentes, siempre que estén claramente definidas. Lo importante es evitar que la aprobación, el control y la respuesta ante incidentes queden sin propietario.
4. Documentar las decisiones y los controles aplicados
El cuarto bloque consiste en conservar información suficiente para explicar cómo y por qué se utiliza cada sistema.
La documentación puede incluir su finalidad, proveedor, usuarios, datos introducidos, resultados esperados, limitaciones conocidas, controles de seguridad y criterios para la intervención humana. También debe recoger las pruebas realizadas antes de ponerlo en funcionamiento y las incidencias detectadas posteriormente.
Cuando la herramienta participa en una decisión que afecta a una persona, resulta especialmente importante establecer qué capacidad tiene el empleado para revisar, corregir o rechazar el resultado.
La supervisión humana no debe limitarse a confirmar automáticamente lo que propone el sistema. La persona responsable necesita formación, autoridad y acceso a la información necesaria para identificar errores o resultados poco fiables.
Las obligaciones formales de documentación, conservación de registros y supervisión son más amplias para los sistemas clasificados como de alto riesgo. En el resto de los casos, mantener evidencias internas facilita las auditorías, la gestión contractual y la respuesta ante reclamaciones.
5. Formar a los equipos según las herramientas utilizadas
La alfabetización en inteligencia artificial es una obligación ya aplicable a proveedores y empresas que despliegan estos sistemas. La formación debe adaptarse a los conocimientos del personal, el contexto de utilización y los riesgos de cada herramienta.
No basta con distribuir las instrucciones del proveedor. Los empleados deben aprender a reconocer respuestas inventadas, sesgos, contenidos incorrectos, filtraciones de información y situaciones en las que una decisión debe volver a una persona.
Una formación básica también debe explicar qué datos no pueden introducirse, qué herramientas están autorizadas, cómo verificar los resultados y cuándo debe notificarse un incidente.
La Agencia Española de Protección de Datos recomienda no compartir con aplicaciones de IA información personal, financiera, contractual o sanitaria sin comprobar previamente la legitimidad y las condiciones del tratamiento. La precaución resulta especialmente relevante cuando se utilizan versiones públicas o gratuitas de servicios generativos.
Las acciones formativas pueden variar según las funciones. Un empleado que utiliza un asistente para redactar correos no necesita el mismo nivel de conocimiento que un responsable de recursos humanos que emplea una herramienta para clasificar candidaturas.
Un sistema proporcional para las pymes
Las pequeñas empresas no necesitan reproducir la estructura de cumplimiento de una gran corporación. Pueden comenzar con una relación sencilla de herramientas, una política de usos permitidos, un responsable interno y una revisión de los procesos con mayor impacto.
El objetivo es disponer de una visión real del uso de la inteligencia artificial y aplicar controles proporcionales. La ausencia de un inventario o de responsables definidos puede convertir una aplicación aparentemente sencilla en una fuente de riesgos legales, operativos y reputacionales.
La revisión deberá mantenerse en el tiempo. Los proveedores modifican sus condiciones, las funcionalidades evolucionan y una herramienta puede empezar a utilizarse para finalidades distintas de las autorizadas inicialmente.
