Guía de gobernanza y datos · El perímetro de confianza¶
Kit del alumno · 1 página · consúltala antes de pegar nada en una IA
1. ¿Qué datos puedo usar? El semáforo¶
Regla práctica para recordar: si no lo enviarías por correo a un tercero, no lo pegues en una IA pública sin revisar su configuración.
🟢 Público — úsalo sin restricción¶
- Contenido de la web corporativa, notas de prensa, memorias publicadas
- Información de mercado ya pública (informes sectoriales, prensa)
🟡 Interno — solo con la privacidad configurada (ver punto 2)¶
- Procedimientos y documentación interna no sensible
- Borradores de trabajo, actas sin datos personales ni cifras reservadas
- Correos propios sin terceros identificables
🔴 Confidencial / regulado — nunca en una IA pública¶
- Datos personales de empleados, clientes o candidatos (nóminas, CV, salud)
- Información financiera no publicada, planes estratégicos, precios de contratos
- Propiedad intelectual, código fuente propio, datos de clientes bajo acuerdo de confidencialidad
- Cualquier dato sujeto a regulación (protección de datos, sector financiero o sanitario)
2. Configura la privacidad (5 minutos, una sola vez)¶
Desactiva el uso de tus conversaciones para entrenar los modelos:
- Claude: Configuración > Privacidad > revisar el uso de tus datos para mejorar los modelos.
- ChatGPT: Configuración > Controles de datos > desactivar «Mejorar el modelo para todos» (o equivalente).
- Gemini: controles de actividad de tu cuenta de Google > «Conservar actividad» (renombrado en 2025; antes «Actividad en las apps de Gemini») > desactivar o ajustar. Para consultas sensibles puntuales: chats temporales.
- Repite la revisión cada pocos meses (rutas verificadas a 07/2026): los menús cambian con frecuencia y el nombre del ajuste puede variar.
3. Datos muy sensibles: los planes de empresa¶
Para trabajar con información 🔴 la vía correcta son las versiones de empresa de las mismas herramientas: Claude for Work/Enterprise, ChatGPT Team/Enterprise y Gemini para Google Workspace. Por contrato, tus datos no se usan para entrenar modelos, y TI dispone de controles de administración, auditoría y retención (⚠ verificar condiciones vigentes de cada plan). Regla simple: dato de la organización → cuenta de la organización; si tu empresa aún no tiene plan corporativo, pídelo antes de renunciar a usar IA con esos datos — no uses tu cuenta personal como atajo.
4. Humano en el bucle: la regla que no caduca¶
Las acciones de alto impacto exigen validación humana antes de ejecutarse, siempre:
- Enviar dinero, aprobar pagos o modificar condiciones económicas
- Borrar cuentas, registros o datos
- Comunicaciones externas en nombre de la organización (clientes, prensa, candidatos)
- Decisiones sobre personas (contratación, evaluación, despido)
Diseña tus automatizaciones para que en esos puntos la IA proponga y una persona apruebe. Y recuerda: la responsabilidad de lo que hace un agente automatizado es siempre de la organización. «Lo hizo la IA» no existe como defensa.
En una frase: clasifica el dato (🟢🟡🔴), configura la privacidad una vez, usa cuentas de empresa para lo sensible y pon un humano delante de todo lo irreversible.