¿Sabes qué debe incluir un protocolo de uso de IA?
Una pyme puede empezar a usar inteligencia artificial de muchas formas.
Con una licencia corporativa.
Con una herramienta gratuita.
Con alguien del equipo que ya la usa en silencio.
Con una función nueva dentro del CRM, del correo o de una aplicación que ya estaba instalada.
La IA no siempre llega con una decisión formal. A veces llega por acumulación. Un día se usa para redactar un correo. Otro para resumir una reunión. Otro para preparar una propuesta. Y, cuando quieres darte cuenta, cada persona ha creado su propia manera de trabajar con IA.
Ahí aparece la pregunta importante:
¿Qué reglas tenemos para usar IA sin improvisar?
Un protocolo de uso de IA sirve para responder a esa pregunta. Tiene que ayudar a cualquier persona de la empresa a saber qué puede hacer, qué no debe hacer, qué debe revisar y a quién preguntar cuando tenga dudas.
En una pyme esto es todavía más importante, porque no suele haber un departamento jurídico, tecnológico y de cumplimiento revisándolo todo por detrás. La ventaja de una pyme es la agilidad. El riesgo es confundir agilidad con «cada uno que haga lo que vea».
Qué es un protocolo de uso de IA
Un protocolo de uso de IA es un conjunto de reglas prácticas para utilizar herramientas de inteligencia artificial dentro de una empresa. Define qué herramientas se pueden usar, con qué datos, para qué tareas, bajo qué límites y con qué supervisión humana.
Puede tener formato de documento interno, guía operativa, plantilla viva o página compartida en la intranet. El formato importa menos que su utilidad.
La prueba práctica es sencilla:
Si una persona del equipo no puede entenderlo en cinco minutos, no es un protocolo. Es literatura corporativa.
Y la literatura corporativa, ya lo sabemos, tiene una vida complicada: se aprueba, se guarda y nadie vuelve a mirarla.
Un buen protocolo vive cerca del trabajo diario. Resuelve dudas concretas:
- Si se puede usar ChatGPT para redactar un correo electrónico.
- Si se pueden pegar datos de clientes.
- Si se puede subir una propuesta comercial.
- Quién revisa una respuesta generada por IA antes de enviarla.
- Qué herramientas están aprobadas.
- Qué hacer cuando alguien quiere probar una herramienta nueva.
Por qué una pyme necesita un protocolo de uso de IA
Muchas pymes creen que un protocolo de IA es cosa de grandes empresas.
Lo entiendo.
Suena a comité, a cumplimiento, a documento largo, a «esto lo vemos cuando seamos más grandes».
Pero la realidad va por otro lado. Precisamente porque una pyme tiene menos capas de control, necesita reglas más claras. No más burocracia. Más claridad.
En una pyme, una sola persona puede tocar clientes, facturación, comunicación, proveedores y datos internos el mismo día. Si esa persona usa IA sin criterio común, el riesgo no se queda en un rincón técnico. Puede llegar a clientes, contratos, precios, datos personales o decisiones de negocio.
Un protocolo ayuda a evitar cuatro problemas muy habituales:
- Uso invisible de IA o Shadow AI.
- Fuga de datos sensibles.
- Respuestas o documentos generados con errores.
- Dependencia de herramientas que nadie ha evaluado.
También ayuda a algo más positivo: que el equipo use la IA con confianza.
Cuando la regla no existe, algunas personas se pasan de prudentes y no prueban nada. Otras prueban demasiado. El protocolo crea un terreno común.
1. Objetivo del protocolo
Todo protocolo empieza mejor con una frase sencilla: para qué existe.
Ejemplo:
Este protocolo define cómo puede usar el equipo herramientas de inteligencia artificial en tareas de trabajo, protegiendo los datos de la empresa, manteniendo supervisión humana y evitando usos que puedan generar riesgos legales, comerciales o reputacionales.
No lo escribas en lenguaje de abogado cansado.
Mejor claro.
El objetivo deja claras tres ideas:
- La IA se puede usar.
- No todo uso vale.
- La persona sigue siendo responsable del resultado.
Eso ya cambia la conversación. No se transmite miedo. Se transmite criterio.
2. Herramientas permitidas
El equipo necesita saber qué herramientas puede usar.
Decir «cuidado con la IA» ayuda poco. Decir «estas son las herramientas aprobadas para estas tareas» ayuda mucho más.
El protocolo puede empezar con una tabla sencilla:
| Herramienta | Uso permitido | Quién puede usarla | Datos permitidos | Revisión necesaria |
|---|---|---|---|---|
| ChatGPT / Copilot / Gemini / Claude | Borradores, ideas, resúmenes no sensibles | Equipo autorizado | Información pública o interna no confidencial | Sí, antes de enviar |
| Transcriptor de reuniones | Actas internas | Dirección / responsables | Reuniones no sensibles | Revisión del responsable |
| Herramienta de diseño con IA | Borradores visuales | Marketing / comunicación | Sin datos personales | Revisión de marca |
La primera versión no tiene que ser perfecta.
Hace falta que exista.
Y que alguien la revise cada cierto tiempo, porque las herramientas cambian a una velocidad simpática. Simpática por decirlo de alguna manera.
3. Herramientas no permitidas
Tan importante como decir qué se puede usar es dejar claro qué no se puede usar.
No por capricho. Por seguridad.
En una primera versión, una pyme puede bloquear de forma preventiva:
- Herramientas sin información clara sobre tratamiento de datos.
- Extensiones de navegador que acceden a correos, documentos o CRM sin revisión.
- Asistentes de reunión no aprobados.
- Herramientas que exigen subir bases de datos completas.
- Aplicaciones que prometen automatizar decisiones sensibles sin supervisión.
- Cuentas personales para trabajar con información de la empresa.
La lista puede cambiar, pero el criterio debe mantenerse: si una herramienta toca datos sensibles, clientes, empleados, contratos o sistemas internos, no se usa hasta revisarla.
4. Datos que no pueden compartirse
Esta es la parte que más protege a la empresa.
Un protocolo de uso de IA tiene que decir, sin rodeos, qué información no puede introducirse en herramientas no aprobadas.
Lista mínima:
- Datos personales de clientes, empleados, candidatos o proveedores.
- Contratos, presupuestos, precios, márgenes o condiciones comerciales.
- Información financiera no pública.
- Estrategias comerciales, planes internos o documentación confidencial.
- Reclamaciones, incidencias o conversaciones sensibles.
- Datos de salud, laborales, legales o especialmente protegidos.
- Claves, contraseñas, tokens, código fuente o accesos.
- Documentos de clientes sujetos a confidencialidad.
- Cualquier archivo que no enviarías a un proveedor externo sin acuerdo previo.
La última regla funciona muy bien en formación:
Si no se lo mandarías por email a una empresa que no conoces, no lo pegues en una IA no aprobada.
5. Usos permitidos de IA
Un protocolo útil no se queda en una lista de prohibiciones.
También marca qué sí se puede hacer.
Ejemplos de usos de bajo riesgo:
- Generar ideas para una reunión.
- Crear esquemas de documentos.
- Revisar la claridad de un texto no confidencial.
- Resumir información pública.
- Preparar preguntas para una entrevista o reunión.
- Traducir o adaptar textos internos sin datos sensibles.
- Crear borradores que luego revisará una persona.
Este bloque es importante porque convierte el protocolo en una herramienta de adopción, no en una barrera.
La IA bien usada ahorra tiempo, ordena el pensamiento y mejora muchos borradores. El protocolo no tiene que apagar esa ventaja. Tiene que hacerla más segura.
6. Usos que requieren autorización
Luego están los usos grises.
No son malos por definición, aunque piden una revisión previa.
Ejemplos:
- Resumir reuniones internas.
- Analizar documentos de trabajo.
- Preparar respuestas a clientes.
- Usar IA en procesos comerciales.
- Conectar una herramienta de IA con hojas de cálculo o CRM.
- Crear automatizaciones.
- Utilizar IA con datos internos no públicos.
- Probar una nueva aplicación con IA en un área de negocio.
La regla puede ser sencilla:
Si el uso afecta a clientes, datos internos, decisiones o sistemas de la empresa, pide autorización antes.
7. Usos prohibidos
Hay usos que una pyme necesita dejar fuera desde el principio, salvo evaluación formal muy clara.
Por ejemplo:
- Introducir datos personales o confidenciales en herramientas no aprobadas.
- Usar IA para tomar decisiones sobre personas sin supervisión.
- Usar IA para selección, evaluación laboral o despido sin revisión especializada.
- Automatizar respuestas sensibles a clientes sin control humano.
- Generar documentos legales, financieros o regulatorios sin revisión experta.
- Crear contenido engañoso, suplantaciones o materiales que puedan confundir a terceros.
- Conectar herramientas de IA a sistemas internos sin revisión técnica.
8. Supervisión humana
La supervisión humana no puede quedarse en una frase bonita al final.
Tiene que verse en el proceso.
El protocolo tiene que responder:
- Quién revisa el resultado.
- Cuándo debe revisarse.
- Qué criterios se usan para aprobarlo.
- Quién asume la responsabilidad final.
- Qué ocurre si se detecta un error.
Un ejemplo práctico:
Cualquier contenido generado con IA que vaya a enviarse a clientes debe ser revisado por la persona responsable de la cuenta antes de su envío. La IA puede ayudar a redactar, pero la responsabilidad del contenido enviado sigue siendo humana.
Esto conecta con el marco de workflow híbrido persona + IA: qué hace la herramienta, qué hace la persona y dónde se decide.
9. Roles y responsables
En una pyme no compensa montar una estructura enorme.
Pero alguien debe responder.
Como mínimo:
- Una persona responsable del protocolo.
- Una persona o pequeño comité que apruebe nuevas herramientas.
- Responsables por área para revisar usos concretos.
- Un canal de dudas.
- Una forma sencilla de reportar errores o usos no previstos.
Si todo el mundo es responsable, en realidad no lo es nadie.
Aquí merece la pena ser muy concreto:
Las dudas sobre uso de IA se enviarán a [persona/correo/canal]. Las nuevas herramientas deberán validarse antes de usarse con información interna.
10. Formación mínima del equipo
El AI Act europeo contempla obligaciones de alfabetización en IA y un enfoque basado en riesgo. La Comisión Europea explica que el reglamento busca una IA segura, fiable y centrada en las personas, con reglas distintas según el nivel de riesgo de los sistemas.
Traducido a una pyme: el equipo necesita formación básica para saber usar IA sin meterse en jardines.
El protocolo indicará:
- Quién debe recibir formación.
- Qué contenidos mínimos debe conocer.
- Cada cuánto se actualizará.
- Cómo se resuelven dudas.
- Qué ejemplos prácticos se usarán por departamento.
La formación mínima puede cubrir:
- Qué es IA generativa y qué límites tiene.
- Qué datos no se pueden compartir.
- Cómo revisar respuestas.
- Cómo detectar errores o invenciones.
- Cuándo pedir autorización.
- Cómo documentar un uso nuevo.
11. Registro de casos de uso
Un protocolo gana valor cuando la empresa empieza a registrar casos reales.
No se necesita un sistema complicado. Una hoja compartida con columnas simples puede ser suficiente:
| Caso de uso | Área | Herramienta | Datos usados | Riesgo | Responsable | Estado |
|---|---|---|---|---|---|---|
| Borrador de respuestas comerciales | Ventas | Herramienta aprobada | Sin datos sensibles | Medio | Responsable comercial | Permitido con revisión |
Este registro ayuda a ver qué funciona, qué se repite, qué merece escalar y qué hay que frenar.
También evita que cada persona reinvente el uso de IA desde cero.
12. Proveedores y herramientas externas
Muchas pymes no desarrollan IA propia. Usan herramientas de terceros.
Por eso el protocolo incluye una regla para proveedores.
Antes de contratar o usar una herramienta con IA, revisa:
- Qué datos procesa.
- Dónde se almacenan.
- Si usa los datos para entrenar modelos.
- Qué opciones de privacidad ofrece.
- Si permite borrar información.
- Qué condiciones contractuales aplica.
- Qué nivel de soporte ofrece.
- Si encaja con la política interna de la empresa.
13. Revisión periódica
Un protocolo de uso de IA envejece rápido.
Las herramientas cambian. Los equipos aprenden. Aparecen nuevos riesgos. La regulación evoluciona. Lo que en enero parecía prudente, en octubre puede haberse quedado corto.
Por eso necesita una fecha de revisión.
Para una pyme, una revisión trimestral puede ser suficiente al principio.
En esa revisión merece la pena preguntar:
- Qué herramientas nuevas se han probado.
- Qué dudas han aparecido.
- Qué errores se han detectado.
- Qué usos pasan a estar aprobados.
- Qué usos se retiran.
- Qué formación necesita el equipo.
Estructura mínima de una plantilla de protocolo de uso de IA
Si quieres convertirlo en documento, esta sería una estructura sencilla:
- Objetivo del protocolo.
- Alcance: a quién aplica.
- Herramientas permitidas.
- Herramientas no permitidas.
- Datos prohibidos.
- Usos permitidos.
- Usos que requieren autorización.
- Usos prohibidos.
- Supervisión humana.
- Roles y responsables.
- Formación mínima.
- Registro de casos de uso.
- Revisión periódica.
- Canal de dudas.
- Anexos con ejemplos por área.
Ejemplo breve de norma interna
Una norma sencilla podría decir:
El equipo puede usar herramientas de IA aprobadas para generar ideas, borradores, resúmenes de información pública y apoyo en tareas internas. No se permite introducir datos personales, información confidencial, contratos, precios, credenciales, datos de clientes ni documentación sensible en herramientas no aprobadas. Todo contenido generado con IA que vaya a clientes, proveedores o decisiones internas relevantes debe ser revisado por una persona responsable antes de su uso.
Qué errores evitar al crear el protocolo
Hay errores que se repiten mucho:
- Redactarlo en lenguaje legal imposible.
- Copiar una plantilla genérica sin adaptarla al trabajo real.
- Prohibirlo todo y pensar que así desaparece el uso.
- Permitirlo todo y confiar en la prudencia individual.
- No formar al equipo.
- No nombrar responsables.
- No revisar el protocolo.
- Olvidarse de proveedores y herramientas integradas.
- No conectar el protocolo con los procesos de la empresa.
Cómo conectar este documento con un Protocolo de Implantación IA
El protocolo de uso de IA es una pieza.
Importante, pero una pieza.
El paso siguiente es integrarlo dentro de un Protocolo de Implantación IA, donde también se trabajan diagnóstico, casos de uso, formación, workflows híbridos, gobernanza y medición.
La diferencia práctica es esta:
- El protocolo de uso responde a «qué se puede y no se puede hacer».
- El protocolo de implantación responde a «cómo integramos la IA en la empresa de forma ordenada».
Preguntas frecuentes sobre protocolos de uso de IA
¿Qué debe incluir un protocolo de uso de IA?
Debe incluir objetivo, alcance, herramientas permitidas, herramientas prohibidas, datos que no pueden compartirse, usos permitidos, usos que requieren autorización, usos prohibidos, supervisión humana, responsables, formación mínima, registro de casos de uso y revisión periódica.
¿Una pyme necesita un protocolo de uso de IA?
Sí. Una pyme necesita un protocolo de uso de IA precisamente porque suele tener menos capas de control. Un documento breve y claro ayuda a evitar fugas de datos, uso invisible de herramientas, errores en clientes y decisiones tomadas sin supervisión.
¿Un protocolo de IA es lo mismo que una política de IA?
Se parecen, pero no siempre son lo mismo. La política suele definir principios generales. El protocolo baja esos principios al trabajo diario: herramientas, datos, usos concretos, responsables y revisión humana.
¿Qué datos no deben compartirse con herramientas de IA?
No se deben compartir datos personales, información confidencial, contratos, precios, márgenes, credenciales, datos de clientes, documentación interna sensible, información financiera no pública ni datos laborales, legales o de salud en herramientas no aprobadas.
¿Cada cuánto debe revisarse un protocolo de IA?
Al principio tiene sentido revisarlo cada tres meses. Cuando el uso esté más asentado, puede revisarse cada seis meses o cuando cambien herramientas, procesos, regulación o riesgos relevantes.
