Contenido
- 1. Abril de 2023 — Samsung prohibió la IA en 20 días
- 2. Por qué necesitas directrices ya — tres presiones
- 3. La plantilla de siete puntos — rellénala y estarás cubierto
- 4. Cinco categorías de datos prohibidos como entrada — con ejemplos
- 5. EU AI Act — la fecha límite del 2 de agosto de 2026
- 6. Hoja de ruta de implementación en cinco fases
- 7. Tres trampas que debes evitar
- Resumen
- Preguntas frecuentes
En abril de 2023, Samsung Electronics filtró datos confidenciales a través de ChatGPT tres veces en 20 días — código fuente de semiconductores, código de corrección para equipos defectuosos y una transcripción completa de una reunión interna — todo enviado a los servidores de OpenAI en el momento en que los empleados lo pegaron, imposible de recuperar. Samsung prohibió de inmediato ChatGPT, Bing y Bard en toda la empresa. JPMorgan, Goldman Sachs, Citi, Bank of America y Wells Fargo aplicaron prohibiciones similares en la misma ventana.
Tres años después, "prohibirlo" ya no funciona en 2026. Los empleados usan ChatGPT en sus móviles, los ingenieros escriben con Claude Code, marketing arma presentaciones en Gemini — si lo prohíbes solo alimentas la shadow AI (uso no autorizado). Encima, las reglas para sistemas de alto riesgo del EU AI Act entran plenamente en vigor el 2 de agosto de 2026, y las infracciones acarrean sanciones de hasta €35M o el 7% de los ingresos globales. No puedes prohibir y no puedes ignorar. El único camino que queda es "poner un marco con directrices y habilitar activamente el uso seguro."
Mi postura por adelantado. "Nadie lee una directriz en PDF gruesa" suena correcto, pero es una conclusión equivocada. El propósito de las directrices no es que se lean — es hacer explícita la responsabilidad cuando ocurre un incidente y grabar en la cabeza de los empleados los mínimos innegociables. Este artículo cubre los siete puntos obligatorios, las cinco categorías de datos prohibidos como entrada, la fecha límite del EU AI Act, la hoja de ruta de implementación en cinco fases y las trampas — todo con el detalle práctico que necesitarás a fecha de mayo de 2026.
Prohibir o ignorar — ambas pierden. Las directrices son el tercer camino
— Prevenir fugas × impulsar productividad × mantener el cumplimiento
Modelo de 2023: "prohibición en toda la empresa" para esquivar el riesgo →
Modelo de 2026: "operación segura dentro de un marco" para prevención de fugas + productividad + cumplimiento, los tres a la vez.
No necesitas un PDF grueso. Dos páginas A4 más una lista aprobada funciona.
1. Abril de 2023 — Samsung prohibió la IA en 20 días
La secuencia es simple. En marzo, la división de semiconductores de Samsung aprobó el uso interno de ChatGPT. En los siguientes 20 días de abril, se sucedieron tres fugas confidenciales seguidas. ① El empleado A pegó el código fuente completo de una base de datos defectuosa de semiconductores en ChatGPT y pidió una corrección. ② El empleado B hizo lo mismo con código de corrección para equipos de fabricación con fallos. ③ El empleado C pegó una transcripción completa de una reunión interna y pidió un acta. Los tres, en ese instante, llegaron a los servidores de OpenAI y pueden haber sido usados como datos de entrenamiento.
Samsung bloqueó de inmediato ChatGPT, Bing y Bard en todos los dispositivos propiedad de la empresa, y en dispositivos personales cuando se conectaban a la red corporativa. Por la misma época, grandes firmas financieras — JPMorgan, Goldman Sachs, Citi, Bank of America, Wells Fargo, Deutsche Bank — emitieron prohibiciones similares. Ese fue el momento en que arrancó la tendencia de "las empresas están prohibiendo la IA".
A fecha de 2026, Samsung sigue prohibiendo ChatGPT y ha construido su propio LLM interno llamado "Samsung Gauss". Es una ruta legítima, pero la escala de inversión es demasiado grande para copiarla en empresas medianas y de menor tamaño. Para todos los demás, el único camino es "usar de forma segura los servicios de IA comerciales dentro de una directriz."
2. Por qué necesitas directrices ya — tres presiones
De las tres, la shadow AI es en realidad la más grave, en mi opinión. Samsung casi tuvo suerte en que "la fuga ocurrió en un canal aprobado por la empresa, así que pudieron verla." En la mayoría de las empresas, un empleado pegando notas de reunión con nombres de clientes en ChatGPT desde su móvil nunca queda registrado. "No poder verlo" es el peor tipo de riesgo, y la única forma de arreglarlo es construir un canal oficial que la empresa pueda observar — lo que significa directrices.
3. La plantilla de siete puntos — rellénala y estarás cubierto
No un PDF grueso — una plantilla de siete puntos que cabe en dos páginas A4. El objetivo es un nivel de detalle con el que puedas empezar hoy y distribuir antes del fin de semana.
De estos, "② datos prohibidos" y "⑤ reporte de incidentes" son los dos puntos que deciden si la directriz realmente funciona. ①③④⑥⑦ son cosas que cualquier redactor razonable puede rellenar. Pero escribir "qué no se puede introducir" con ejemplos concretos, y declarar por escrito "no castigaremos las entradas accidentales" — eso requiere decisión. Elige una cultura de castigo y los empleados encubren cosas, y entonces ya no podrás ver las fugas en absoluto.
4. Cinco categorías de datos prohibidos como entrada — con ejemplos
"No introduzcas información confidencial" es demasiado vago para aterrizar. Escribe cinco categorías, cada una con ejemplos.
| Categoría | Ejemplos (no introducir) | Alternativa |
|---|---|---|
| ① PII | Nombres, direcciones, teléfonos, correos, IDs de empleado, IDs nacionales | Sustituir por "Cliente A", "Usuario B" antes de introducir |
| ② Información confidencial | Resultados financieros no anunciados, estrategia, M&A, datos de RR. HH. | Abstraer las cifras ("ingresos +XX% interanual", etc.) |
| ③ Sujetos a NDA | Datos de cliente bajo NDA, claves API, credenciales SSO | No introducir en absoluto. Usar LLM interno o API business con contrato no-train |
| ④ Propiedad intelectual | Código fuente no publicado, diseños de patente previos a la presentación, algoritmos propietarios | La lección de Samsung: abstraer las partes relevantes o limitarse a LLM interno |
| ⑤ Datos regulados | Datos médicos identificables, detalles de transacciones financieras, datos de investigación no publicados | Usar IA on-prem específica del sector (compatible con HIPAA/GxP) |
El detalle crítico es que siempre emparejas "alternativas" con las prohibiciones. Escribe solo "no introducir" y los empleados deciden "no puedo trabajar con IA", y entonces empiezan a usarla en las sombras. Proporciona una alternativa como "sustituye los nombres personales por 'Cliente A' y puedes introducirlo" y usarán el camino sancionado. Esta es la palanca práctica para suprimir la shadow AI.
5. EU AI Act — la fecha límite del 2 de agosto de 2026
El EU AI Act regula los sistemas de IA en cuatro niveles de riesgo. Las reglas para "sistemas de alto riesgo" entran plenamente en vigor el 2 de agosto de 2026, tras lo cual la operación conlleva obligaciones estrictas.
| Nivel de riesgo | Ejemplos | Obligaciones | Sanción |
|---|---|---|---|
| Prohibido | Puntuación social, manipulación subliminal, reconocimiento de emociones en el lugar de trabajo | Uso prohibido | Hasta €35M o el 7% de los ingresos |
| Alto riesgo | Decisiones de contratación, puntuación crediticia, evaluación educativa, diagnóstico médico, fallos judiciales | Documentación técnica, gestión de riesgos, supervisión humana, retención de registros (Art. 9/11/12) | Hasta €15M o el 3% de los ingresos |
| Riesgo limitado | Chatbots, deepfakes | Obligación de transparencia (revelar generación por IA) | Hasta €15M o el 3% de los ingresos |
| Riesgo mínimo | Filtros antispam, NPCs de IA en juegos | Ninguna (mejores prácticas recomendadas) | — |
Malentendido común: incluso sin operación en la UE, si procesas datos de ciudadanos de la UE, estás dentro del alcance. Las empresas japonesas con clientes europeos deben cumplir con el EU AI Act. Por otro lado, "un empleado usando ChatGPT para traducir" es claramente riesgo mínimo y no tiene obligaciones particulares. "Decisiones automatizadas de contratación sobre materiales de candidatura" o "decidir automáticamente aprobaciones de préstamo con IA" es inequívocamente alto riesgo; después del 2 de agosto de 2026, la documentación técnica, la supervisión humana y la retención de registros se convierten en obligaciones legales. Si tienes ese tipo de trabajo, añade a la directriz interna: "cualquier uso de alto riesgo requiere aprobación legal antes del despliegue."
6. Hoja de ruta de implementación en cinco fases
Redactar la directriz no es el final. Una hoja de ruta que lleva 2–3 meses en una empresa mediana (hasta 200 empleados) y alrededor de 6 meses en una gran empresa.
Dentro de esto, la FASE 1 (la encuesta) va absolutamente primero. Construye una directriz partiendo de la base de "prohíbelo y nadie lo usa" y acabarás con algo desconectado de la realidad. Lanza una encuesta anónima preguntando "¿qué servicios de IA has usado el último mes? ¿qué tipos de datos has introducido para trabajar?" y la shadow AI resultará ser aproximadamente tres veces lo que esperabas. Conocer la realidad antes de escribir reglas es el orden correcto de operaciones.
7. Tres trampas que debes evitar
Trampa ①: Prohibirlo en toda la empresa
Para cualquier empresa que no sea Samsung, esto casi siempre provoca una explosión de shadow AI. Los empleados usan ChatGPT Personal en sus móviles, la empresa no tiene visibilidad y cuando ocurre una fuga nadie la reporta. El coste real de una prohibición es "perder visibilidad." Samsung pudo construir Samsung Gauss internamente porque tenía la fuerza interna de una empresa de semiconductores de primer nivel. Para el segmento medio y por debajo, "proporcionar un canal sancionado a través de directrices" es la respuesta práctica.
Trampa ②: Diseñar en torno al castigo
"Cualquier empleado que introduzca datos confidenciales se enfrenta a sanciones disciplinarias" significa que cualquier empleado que introduzca accidentalmente datos confidenciales lo encubre. La fuga ocurre, la empresa no se entera, los datos del cliente acaban fuera, el cliente lo reporta y tu reputación se desploma — el peor camino posible. Pon por escrito: "las infracciones de la directriz no se castigan si se reportan." Luego haz que "solo no reportar sea motivo de disciplina", y el reporte de incidentes empieza a funcionar, paradójicamente.
Trampa ③: Escribirla una vez y olvidarte
La industria de la IA cambia sus supuestos cada seis meses. Una directriz de 2024 que diga "el uso de ChatGPT está prohibido" tiene ingenieros ejecutando Claude Code que razonan hasta llegar a "esto no es ChatGPT, así que está bien". Los productos y modelos nombrados deben revisarse cada 6 a 12 meses. Si un nuevo servicio (Cursor / Perplexity / Notion AI) está aprobado o prohibido debe ser explícito para que los empleados no estén adivinando. Incluyendo el caso Wayfair del artículo anterior (077), trata "la directriz como un documento vivo."
Resumen
Tres años después de las fugas de Samsung de 2023, el uso corporativo de IA ha pasado del binario "prohibir o permitir" a la fase de implementación de "cómo poner un marco y operar dentro de él." Acorralado por tres frentes — riesgo legal (EU AI Act), riesgo de fuga (la lección de Samsung) y riesgo competitivo (brecha de productividad del 30–50%) —, no hay tiempo para escribir un PDF grueso, y "ninguna directriz en absoluto" tampoco funciona. La plantilla de siete puntos más la hoja de ruta de cinco fases de este artículo permitirán a una empresa mediana desplegar en 2–3 meses. "Operación segura máxima con el marco mínimo" — esa es la respuesta práctica de gobernanza de IA para 2026.
Preguntas frecuentes
¿Deberíamos prohibir la IA dentro de la empresa?
Por defecto, no, no deberías prohibirla. A menos que seas una empresa al nivel de Samsung que puede construir su propio LLM interno, prohibirla solo hace crecer el volumen de shadow AI (empleados usándola por su cuenta), y el riesgo de fuga sube como consecuencia. Poner un marco con una directriz y proporcionar planes business (Team/Enterprise) por contrato de empresa es la respuesta práctica.
¿Se aplica el EU AI Act a las empresas japonesas?
Sí, si procesas datos de ciudadanos de la UE o prestas servicios de IA dentro de la UE. El trabajo contenido por completo dentro de Japón (como la traducción solo para personal interno) es riesgo mínimo y prácticamente no conlleva obligaciones, pero si ejecutas aprobaciones de préstamo, decisiones de contratación o diagnósticos médicos sobre clientes europeos vía IA, la documentación técnica, la supervisión humana y la retención de registros se convierten en obligaciones legales después del 2 de agosto de 2026. Sanciones de hasta €35M o el 7% de los ingresos globales.
¿Cuántas páginas debería tener la directriz?
Dos páginas A4 para el cuerpo más unas pocas páginas de anexos (lista aprobada, ejemplos de datos prohibidos) funciona bien. "Nadie lee un PDF grueso" es cierto, así que mantén el cuerpo como un resumen y empuja el detalle a los anexos para reducir la carga del lector. Lo que importa no es el número de páginas — es que "② datos prohibidos" y "⑤ reporte de incidentes" sean concretos y psicológicamente seguros.
¿Cuál es la diferencia entre los planes personales y los business?
Los planes business (ChatGPT Team / Claude Enterprise / Microsoft Copilot Business y similares) se contratan por defecto para no usar tus datos de entrada en el entrenamiento del modelo (no-train). Los planes personales (ChatGPT Plus y similares) pueden usarse para entrenamiento. Especifica en la directriz "el uso para negocio se limita solo a planes business" y reduces drásticamente el riesgo de fuga estilo Samsung. El precio ronda los $20–60 por usuario al mes.
¿De verdad — no castigar las entradas accidentales está bien?
Sí, ese es el corazón del asunto. Castiga y los empleados encubrirán, la empresa perderá visibilidad y esa fuga invisible desencadena los peores resultados (reportes de clientes, fugas en redes sociales, intervención del regulador). Diséñalo como "si reportas no te castigan; los encubrimientos sí se sancionan" y, paradójicamente, el reporte de incidentes sube y puedes intervenir pronto. Es la misma lógica que la cultura de seguridad en la aviación.
¿También la necesita una pequeña startup?
Sí. Las pequeñas empresas deberían en realidad hacerlo antes — integrada en la cultura desde el principio, se asienta mejor que algo añadido más tarde. Con 10–30 empleados puedes coger la plantilla de siete puntos de este artículo tal cual y redactar el cuerpo en un día y completar el despliegue en una semana. "Directriz de uso de IA implantada" también se está convirtiendo en un punto básico de checklist en la due diligence cuando firmas con inversores o grandes clientes (especialmente clientes de la UE).
