🛡️ Guía gratuita

10 reglas para usar IA con criterio
sin poner en riesgo tu empresa

Aplicables estés donde estés con la IA — desde herramientas personales sueltas hasta un plan corporativo integrado.

Las 10 reglas

Haz click en cada regla para ver el contenido

Cada regla explica el porqué detrás de lo que pides a tu equipo y, cuando aplica, una nota práctica de cómo aplicarlo en el día a día.

01
No uses herramientas personales con datos de clientes
Cuando alguien de tu equipo abre una cuenta gratuita o personal de ChatGPT, Gemini, Claude o Copilot, no hay ningún contrato firmado entre tu empresa y esa herramienta. El RGPD exige que cualquier proveedor que procese datos personales de tus clientes — un nombre, un email, un DNI, un historial de pedidos — esté bajo un acuerdo de tratamiento de datos (DPA). Sin ese contrato, tú no estás autorizado a meter esa información ahí, da igual si la herramienta es buena o mala.

El problema no es solo lo que la herramienta haga con esos datos hoy: es que no tienes ninguna garantía contractual sobre dónde acaban, quién los puede ver, cuánto tiempo se guardan ni si se usan para entrenar futuros modelos. Y si un cliente te pone una reclamación porque su información apareció en una conversación de IA, no tienes nada que enseñar para defenderte.
⚙️ La regla en la práctica
Antes de meter cualquier información de un cliente en una IA, hazle esta pregunta a tu equipo: ¿está firmado el DPA con esta herramienta? Si la respuesta es "no" o "no lo sé", no se usa para esa tarea. En cuentas personales la respuesta es siempre no. Si tu equipo necesita IA para gestionar correos, resúmenes de reuniones, propuestas o cualquier flujo con datos de clientes, lo que toca es pasar a un plan corporativo (Microsoft 365 Copilot, ChatGPT Business/Enterprise, Gemini en Google Workspace). Para entender esto en profundidad — qué planes protegen y cuáles no, qué es un DPA y cómo verificar si lo tienes — tienes la Guía de datos IA.
02
No copies documentos confidenciales en herramientas sin plan corporativo
Datos de clientes no son lo único sensible que circula en una empresa. Márgenes, proyecciones financieras, planes de negocio, propuestas comerciales, contratos, documentación técnica propietaria — todo eso es información estratégica que no debería entrar en una herramienta de IA personal, ni siquiera "solo para resumirla" o "solo para traducirla".

La razón principal es que las herramientas personales pueden usar lo que introduces para mejorar sus modelos. En sectores con poca información pública disponible — industria, servicios B2B especializados, nichos técnicos — el modelo aprende de datos escasos: tu información puede aflorar cuando otra persona del mismo sector le hace preguntas similares. Y aunque la herramienta diga que "no usa tus datos para entrenar", lo que sí queda almacenado es el registro completo de lo que tu equipo ha escrito — accesible ante un incidente de seguridad, una orden judicial o un cambio de política de la herramienta.
⚙️ La regla en la práctica
Establece una regla simple para el equipo: cualquier documento marcado como "interno" o "confidencial" no entra en una IA personal — ni resumido, ni traducido, ni reformulado. Si en tu empresa no hay todavía esa clasificación, empieza por la lista corta: contratos, propuestas comerciales, datos financieros, planes de producto, documentación interna de procesos. Para trabajar con ese tipo de información el equipo tiene que usar una herramienta con plan corporativo (Microsoft 365 Copilot, ChatGPT Enterprise, Gemini en Workspace), donde lo que introduces no se usa para entrenamiento y queda contractualmente protegido. Para saber qué herramientas te protegen y cuáles no, tienes la Guía de datos IA.
03
Si solo tienes herramientas personales, al menos configúralas bien
La mayoría de herramientas de IA tienen activado por defecto que tus conversaciones se usen para entrenar sus modelos. No es algo que hayas decidido — es la configuración que viene de serie cuando te registras con una cuenta personal. La buena noticia es que casi todas permiten desactivarlo, y hacerlo lleva menos de dos minutos por herramienta.

Esto no sustituye tener un plan corporativo con DPA — sin ese acuerdo no tienes protección contractual ni garantías sobre dónde van tus datos. Pero si todavía estás en la fase de herramientas personales, deshabilitar el entrenamiento es el mínimo que puedes hacer mientras ordenas el resto.
⚙️ La regla en la práctica
Revisa las herramientas que usa tu equipo y asegúrate de que cada persona ha desactivado la opción de entrenamiento en su cuenta personal. En ChatGPT, Claude, Gemini, Copilot, Canva, LinkedIn, Perplexity y Grammarly hay un ajuste concreto que lo controla — algunos están bien escondidos, pero existen. Para saber exactamente dónde está en cada herramienta, tienes la Guía rápida de configuración de privacidad →
04
Antes de meter IA, entiende bien la tarea
La IA no es la solución a todo. Antes de introducirla en cualquier proceso, hay que tener muy claro cómo se hace esa tarea normalmente — a mano, paso a paso. Sin eso, lo que haces es automatizar el caos.

Una vez entiendes bien la tarea, la pregunta es qué tipo de solución necesita. Si el proceso es muy repetitivo y siempre sigue los mismos pasos — enviar un email cuando llega un formulario, mover un archivo a una carpeta, generar un informe con los mismos datos cada semana — lo que necesitas es automatización, no IA. La automatización te garantiza que el resultado va a ser siempre el mismo. La IA es un modelo de probabilidades: puede equivocarse, puede dar resultados distintos ante la misma entrada. Meter IA donde basta con automatización es añadir variabilidad donde no la necesitas.

La IA tiene sentido donde el proceso no es totalmente repetitivo y requiere interpretar contexto, tomar una decisión o generar algo diferente cada vez — redactar una respuesta a un cliente, resumir un documento distinto, preparar una propuesta adaptada a cada caso.
⚙️ La regla en la práctica
Antes de implementar cualquier herramienta de IA, hazte estas dos preguntas: ¿entiendo bien cómo se hace esta tarea hoy? ¿Siempre sigue los mismos pasos o requiere criterio cada vez? Si siempre sigue los mismos pasos, empieza por automatización. Si requiere criterio, ahí es donde la IA aporta de verdad — y ahí toca elegir bien la herramienta. ChatGPT, Claude, Copilot, Gemini, Perplexity, NotebookLM y Notion AI tienen fortalezas distintas y casos de uso distintos. Para ver cuándo encaja cada una, tienes la Guía: cuándo usar cada una de las 7 herramientas de IA →

Y si tienes una tarea concreta sobre la mesa pero no acabas de ver si te conviene IA, automatización o una mezcla de las dos, esa es una de las decisiones que aterrizo contigo en una sesión de Diagnóstico IA — sales con la respuesta clara y un plan de acción para ese proceso.
05
Pon el criterio tú, la IA solo ejecuta
La IA no tiene criterio propio — genera respuestas que suenan bien basándose en patrones, no en conocimiento verificado. No duda, no avisa, no distingue entre lo que sabe y lo que está inventando. Eso no la hace inútil: la hace dependiente de que tú pongas el criterio — qué preguntar, cómo interpretar la respuesta y qué validar antes de usar el resultado.

Esto explica por qué los documentos del tipo "los 1000 mejores prompts para X" funcionan tan limitadamente. Sirven cuando no tienes criterio sobre la tarea — al menos te dan un punto de partida razonable. Pero usar bien la IA no es encontrar el prompt mágico: es saber qué quieres, reconocer cuándo el resultado no encaja, entender por qué falla y darle el contexto que le faltaba para que la siguiente respuesta sea mejor. Eso no te lo da ningún prompt enlatado — solo te lo da el criterio profesional sobre la tarea que estás haciendo.
⚙️ La regla en la práctica
Usa la IA para ir más rápido — borradores, estructuras, resúmenes — pero sé tú quien guía y quien firma. Cuando un resultado no encaje, no lo descartes sin más: pregúntate qué le falta saber a la IA para hacerlo bien. Quizá no conoce el tono que usas con tus clientes, cómo se hacen las cosas en tu sector, o los datos concretos del caso. Dale ese contexto y vuelve a pedir. Cada iteración te enseña qué partes de tu trabajo puede ayudarte a hacer la IA — y cuáles van a seguir necesitando tu juicio. Y cualquier dato, estadística o referencia que vaya a salir de la empresa necesita verificación humana antes; si tienes dudas, contrasta el resultado con otro modelo — no todos cometen los mismos errores.
📊 El 40% de las interacciones de empleados con herramientas de IA incluyen información sensible de la empresa — en muchos casos sin ser conscientes de ello. (Cyberhaven, 2026)
06
Una herramienta corporativa de IA — conectada a tus datos
Las reglas anteriores se centraban en usar herramientas personales solo cuando no hay alternativa corporativa. Pero si tu equipo usa IA de forma habitual — y probablemente ya lo hace — eso no puede ser la situación permanente. No se construye un negocio sobre herramientas que no garantizan dónde van tus datos. Las personales son útiles para salir del paso; no son una base sobre la que operar.

La pregunta, sin embargo, no es solo "¿cuál es nuestra herramienta corporativa?", sino ¿está conectada al sitio donde viven los datos reales de la empresa? Una IA potente vive sobre datos estructurados — tus correos, tus documentos, tu CRM, tus carpetas compartidas. ChatGPT Enterprise sin acceso a tus datos es un asistente genérico; Copilot dentro de Microsoft 365, o Gemini dentro de Google Workspace, trabaja sobre lo que tu equipo ya tiene. Ahí es donde la IA pasa de ser un truco que va más rápido a ser productividad real.

Esto se nota incluso a escala personal. Yo, por ejemplo, uso Claude conectado a Notion para organizar todas mis investigaciones, notas y bases de datos. Cada nueva petición construye sobre lo que ya tengo estructurado, no parte de cero. Si solo tienes conversaciones sueltas con la IA, sin un sistema que las acumule, estás perdiendo la mayor parte de su potencial — la IA sin contexto persistente es solo un chat ingenioso.
⚙️ La regla en la práctica
Antes de elegir herramienta corporativa, mira dónde viven tus datos. Si tu empresa funciona sobre Microsoft 365, lo natural es Copilot en M365. Si trabajáis en Google Workspace, Gemini integrado. Si Notion es vuestra base de conocimiento, conectar Claude o ChatGPT a Notion. La herramienta sigue al ecosistema, no al revés. Si no tienes claro qué stack te conviene o cómo conectar bien lo que ya usas, en una sesión de Diagnóstico IA reviso tu situación y sales con un plan concreto de qué tiene sentido implementar primero.
07
No delegues en la IA las decisiones sobre personas
La IA puede ayudarte a organizar, filtrar o resumir información. Pero si antes tomabas decisiones sobre una persona solo mirando un CV, un perfil o un historial, la IA va a hacer eso mismo — más rápido y con más confianza aparente. La pregunta es si eso es lo que quieres.

Esto no aplica solo a contratación. Elegir un proveedor, decidir si seguir trabajando con un cliente, evaluar a alguien del equipo — en todos estos casos hay información que no cabe en un documento: cómo trabaja alguien bajo presión, si un proveedor cumple cuando las cosas se complican, si una relación comercial tiene recorrido más allá de los números. Ese criterio no lo tiene ningún modelo.

Además, los modelos pueden reproducir sesgos sin que nadie lo haya decidido. Si la IA filtra candidatos y alguien del equipo nota que sistemáticamente descarta perfiles con ciertos nombres, cierta formación o cierta procedencia — eso hay que decirlo, no guardárselo. Parte de trabajar bien con IA es detectar cuando algo no cuadra y reportarlo.
⚙️ La regla en la práctica
Usa la IA para organizarte — clasificar, resumir, preparar preguntas, comparar opciones. Pero que ninguna decisión importante sobre una persona quede tomada sin que tú hayas puesto el criterio encima. El EU AI Act lo dice claro en selección de personal: usar IA para filtrar o evaluar candidatos entra dentro de la categoría "de alto riesgo" — la que pide controles más estrictos. En la práctica significa que la decisión final tiene que pasar por una persona, siempre. No por miedo a multas, sino porque es lo que pide la norma para esta clase de decisiones.
08
Sé transparente con el cliente sobre cómo usas la IA
Usar IA para trabajar mejor no es señal de menor calidad — al contrario. Un documento redactado con IA y revisado en profundidad por alguien con criterio combina lo mejor de los dos: la velocidad y la estructura que da la herramienta, más el juicio y el conocimiento que pones tú. Eso no es algo que tengas que ocultar.

Donde sí importa ser explícito es cuando el contenido se genera de forma automática y no pasa por una revisión individual cada vez — un reporte mensual de estado de servicio, un resumen automático de métricas, un informe periódico que se crea sin que nadie lo revise específicamente antes de enviarlo. El EU AI Act distingue entre contenido "asistido por IA" — con supervisión humana y responsabilidad editorial — y contenido "generado por IA" sin esa revisión.
⚙️ La regla en la práctica
Si revisas el documento antes de enviarlo y pones tu criterio encima, no necesitas disculparte por haber usado IA. Si el contenido se genera y se envía de forma automática sin revisión individual, indícalo — una línea al pie es suficiente. A partir de agosto de 2026 esa línea al pie deja de ser buena práctica y pasa a ser lo que la norma pide para ese segundo caso.
09
El EU AI Act no se resuelve con un documento — se resuelve con infraestructura
La tentación cuando aparece una nueva normativa es redactar un documento que diga que estás en regla. El problema es que ese documento no impide que mañana alguien del equipo pegue datos de un cliente en una herramienta sin DPA, ni que una automatización esté moviendo información a un servidor fuera de la UE sin que nadie lo sepa. Un papel no protege — una infraestructura bien configurada sí. Cuando los datos son seguros por defecto, estar en regla es una consecuencia de cómo está montado todo, no algo que tengas que demostrar cada vez.
⚙️ La regla en la práctica
Si todavía no tienes esa infraestructura montada desde la base, el primer paso es saber dónde estás. Un inventario de las herramientas que usa tu equipo — qué plan tienen, qué datos manejan, si hay DPA firmado — no te pone automáticamente en regla, pero sí te muestra dónde están los riesgos reales y qué tiene sentido resolver primero. Para empezar tú mismo, tienes la Guía de datos IA →. Si prefieres que alguien externo revise tu situación de forma continua y te avise cuando algo se desalinea con la normativa, esa es la función del Responsable de IA externo.
10
La IA en tu empresa no es un proyecto que se termina, es algo que evoluciona
Las herramientas de IA actualizan sus condiciones, aparecen opciones nuevas, y el equipo va descubriendo usos que nadie había anticipado al principio. Lo que tenías montado en enero puede quedarse obsoleto en marzo sin que nadie lo haya decidido. No porque alguien lo haya hecho mal — sino porque el ritmo al que evoluciona todo esto es alto, y nadie tiene la foto cerrada.

Esto no significa que tengas que estar pendiente de cada novedad. Significa que necesitas un hábito de revisión periódica: ¿sigue siendo válido lo que tienes montado? ¿hay herramientas nuevas que el equipo esté usando fuera del inventario? ¿alguna ha cambiado sus términos?
⚙️ La regla en la práctica
Una revisión trimestral de 30 minutos es suficiente para mantenerse al día en la mayoría de casos. Pero hay algo más allá del mantenimiento: a medida que tu equipo gana confianza con la IA, aparecen oportunidades de automatizar procesos que antes hacían a mano. Ahí es donde el acompañamiento marca la diferencia — no solo para asegurarse de que todo sigue en orden, sino para ayudarte a identificar qué tiene sentido implementar y hacerlo bien desde el principio. Eso es exactamente lo que cubren los servicios de Implementación de flujos con IA y Responsable de IA externo: pasar de las reglas a la operativa real, sin perder el control.

Recursos gratuitos

¿Te ha sido útil esta guía?

Suscríbete y recibe más materiales como este: guías prácticas, checklists y recursos sobre IA segura para empresas.

    Sin spam. Puedes darte de baja cuando quieras.

    Responsable de los datos: Marcos Losa Torviso. Finalidad: suscripción a la newsletter y envío de información comercial. Legitimación: tu consentimiento. Destinatarios: tus datos no se ceden a terceros, aunque pueden alojarse en mi plataforma de email marketing. Derechos: puedes ejercer tu derecho de acceso, rectificación, supresión, oposición, portabilidad y limitación enviando un email a marcos@nubiate.com o ante la autoridad de control. Información adicional: puedes consultar información detallada sobre protección de datos en mi política de privacidad.

    📬

    ¿Quieres más recursos como este?

    Las 10 reglas son tuyas, no necesitas suscribirte para leerlas. Pero si quieres recibir más materiales prácticos sobre IA segura para pymes — guías, comparativas, checklists — déjame tu email. Sin spam.