8 Min. de lectura
Siete de cada diez empleados en empresas alemanas utilizan herramientas de IA que su departamento de TI nunca ha aprobado. Los secretos empresariales terminan en conjuntos de entrenamiento externos, las cuestiones de responsabilidad quedan sin resolver y el EU AI Act convierte, a partir de agosto de 2026, una falta de gobernanza en un riesgo de cumplimiento con sanciones de hasta 35 millones de euros. Tres medidas generan visibilidad inmediata, sin gran proyecto ni presupuesto adicional.
Lo más importante en resumen
¿Qué es Shadow AI? Shadow AI se refiere al uso de herramientas de IA por parte de los empleados sin el conocimiento o la autorización del departamento de TI – análogo a Shadow IT, pero con riesgos de datos y responsabilidad mucho mayores, ya que muchos sistemas pueden reutilizar los contenidos introducidos para entrenar modelos.
El Logicalis CIO Report 2024 ofrece una cifra aleccionadora: el 62 % de los CIO encuestados admiten que ya están haciendo concesiones en la gobernanza de IA. No porque no vean el problema, sino porque la operativa diaria avanza más rápido que cualquier iniciativa de gobernanza. Mientras tanto, los empleados han tomado su propia decisión: no esperan.
ChatGPT, Claude, Gemini, Perplexity, variantes de Copilot del App Store – la lista de herramientas no aprobadas que circulan a diario en las empresas crece más rápido de lo que cualquier herramienta de inventario puede registrar. Los datos de mercado actuales muestran: el 78 % de los trabajadores del conocimiento utilizan al menos una herramienta de IA que su departamento de TI nunca ha visto.
El verdadero peligro no reside en la herramienta en sí, sino en lo que los empleados introducen: extractos de contratos, datos de clientes, análisis internos, documentos estratégicos. Si un empleado carga un borrador de contrato en una IA de consumo para que lo resuma, ese contenido podría acabar en el conjunto de entrenamiento del próximo modelo o en servidores fuera de la UE.
78%
de los empleados usan herramientas de IA no aprobadas
14%
tienen la responsabilidad de gobernanza claramente definida
35 Mio.
EUR de multa máxima bajo el EU AI Act
El EU AI Act establece a partir de agosto de 2026 obligaciones vinculantes. Los sistemas de IA que caen en áreas de alto riesgo – decisiones de recursos humanos, evaluación crediticia, infraestructura crítica – están sujetos a estrictos requisitos de documentación y auditoría. Quien no tenga un inventario de su uso de IA para entonces no podrá demostrar qué sistemas pertenecen a qué categoría de riesgo.
Las sanciones no son una cifra teórica: hasta 35 millones de euros o el 7 % de la facturación anual mundial. Para una empresa con 500 millones de euros de facturación eso serían 35 millones de euros. Las autoridades de supervisión se centrarán inicialmente en las empresas que hayan llamado la atención por incidentes. Quien disponga de un inventario verificable y una política documentada no será el objetivo más evidente.
Al mismo tiempo vale: el Act no sanciona el uso de IA, sino el uso descontrolado de IA. Ese es el punto clave para una estrategia de gobernanza pragmática. La visibilidad precede a la regulación, no al revés.
Inventario de IA (semana 1‑2)
Una encuesta estructurada a 20‑30 empleados de diferentes departamentos captura, según la experiencia, el 80 % de las herramientas utilizadas. No se necesita ninguna herramienta de descubrimiento. El anonimato aumenta la sinceridad y muestra qué herramientas realmente aportan valor. Resultado: una lista clara con nombre de la herramienta, proveedor, tipo de datos y frecuencia estimada de uso. Esa es la base para cualquier paso posterior.
Modelo Policy‑Light (semana 3‑4)
No hay una directiva de 40 páginas. Una hoja DIN‑A4 con tres categorías: verde (aprobado sin restricciones), amarillo (utilizable con condiciones de protección de datos) y rojo (no utilizable con datos de la empresa). La semáforo puede desarrollarse en dos semanas por TI, Legal y un representante del negocio. Los empleados obtienen una orientación clara – sin prohibiciones que sólo fomenten conductas ocultas.
Ritmo de revisión trimestral (a partir del mes 2)
La gobernanza de IA no es un proyecto que se cierra. Nuevas herramientas aparecen más rápido de lo que pueden actualizarse las directrices. Una revisión de 90 minutos por trimestre – TI, protección de datos y un responsable de área del negocio – basta para mantener la lista de semáforos actualizada. La frecuencia de uso de una nueva herramienta decide si pasa a la lista de priorización.
Las empresas que apuestan por prohibiciones totales informan lo mismo: el uso de herramientas no autorizadas disminuye a corto plazo en el papel y vuelve a subir a medio plazo en el smartphone. Los empleados pasan a dispositivos privados y cuentas personales. El problema de gobernanza se vuelve menos visible, no más pequeño.
Enfoque de habilitación
Enfoque de prohibición
El argumento más frecuente contra la gobernanza de IA en medianas empresas: no hay presupuesto, no hay plantilla. Ambas cosas son comprensibles y, sin embargo, no son un obstáculo para las tres medidas descritas. El inventario cuesta tres días‑persona. La política de semáforo cuesta de cuatro a seis días‑persona en desarrollo, y después una hora por trimestre.
Esto no es un proyecto, es una decisión que el CIO puede impulsar en la próxima reunión de dirección. Lo que sí encarece: cumplir con las obligaciones de evidencia a partir de agosto de 2026 sin tiempo de preparación. Las tres medidas no sustituyen una estrategia completa de IA. Son la base sobre la que cualquier estrategia completa debe construirse. Visibilidad antes de que sea posible la gestión.
La mayoría de las disposiciones del EU AI Act entran en vigor de forma obligatoria a partir de agosto de 2026. Los sistemas de IA de alto riesgo estarán entonces sujetos a estrictas obligaciones de documentación y auditoría. Prácticas prohibidas como el Social Scoring ya estaban prohibidas desde febrero de 2025. Por lo tanto, las empresas aún disponen de un plazo limitado para crear inventario y política.
Se consideran de alto riesgo los sistemas de IA en ocho áreas definidas: infraestructura crítica, educación, empleo y recursos humanos (incluido el cribado de candidatos), servicios esenciales, aplicación de la ley, migración, justicia y procesos democráticos. Las herramientas de IA de consumo que se usan internamente para resumir textos o investigar no son automáticamente de alto riesgo; lo determinante es el caso de uso concreto.
El método más rápido es una encuesta anónima a los empleados con 10‑15 preguntas, complementada con registros DNS en los dispositivos corporativos y un análisis de extensiones de navegador utilizadas. Herramientas especializadas de detección de Shadow IT como Netskope o Microsoft Defender for Cloud Apps proporcionan datos más detallados, aunque no son imprescindibles para un inventario inicial.
Para comenzar sí, con una salvedad importante: cuando los sistemas de IA se empleen en procesos de recursos humanos o en el tratamiento de datos personales especialmente sensibles, es obligatoria una valoración legal. El modelo de semáforo crea una base documentable sobre la que la revisión legal puede basarse, sin tener que partir de cero.
El tono lo decide todo: “Regulamos lo que está permitido” genera más aceptación que “Prohibimos lo que es arriesgado”. Quien involucra a las unidades de negocio en el desarrollo del semáforo cuenta con un campeón interno al lanzar la política. Resulta útil comunicar explícitamente qué herramientas pueden usarse sin restricciones. La lista verde genera más confianza que la lista roja que genera desconfianza.
Fuente imagen principal: Pexels / Michael Pointner (px:18306898)
8 Min. de lectura NVIDIA ha anunciado el Agent Toolkit en la GTC 2026 y, al mismo tiempo, ha presentado ...
Leer artículo
8 Min. de lectura La Hannover Messe 2026 ha elaborado un mensaje que, en la mayoría de los informes ...
Leer artículo
8 Min. de lectura Siete de cada diez empleados en empresas alemanas utilizan herramientas de IA que ...
Leer artículo
6 min. de lectura El Deloitte Global Technology Leadership Study 2026 – 660 líderes tecnológicos ...
Leer artículo
6 min de lectura El miércoles, 29 de abril, Microsoft, Alphabet y Amazon publicarán sus resultados ...
Leer artículo
Deutsche Telekom y NVIDIA anunciaron a finales de abril de 2026 el lanzamiento de la Industrial AI Cloud. ...
Leer artículo