Back to Blog
Sanitized AI Team

Por qué su política de uso aceptable de IA probablemente no esté funcionando

La mayoría de las organizaciones implementaron una política de uso aceptable de IA en algún momento de los últimos 18 meses. La mayoría de ellas no funcionan, y la razón no es la que la gente piensa.

No es que los empleados no hayan leído la política. Es que la política vive en un lugar que el empleado nunca visitará en el momento en que realmente la necesite.

Considere un típico martes por la tarde. Una gerente de producto se está preparando para una actualización de la junta. Tiene tres semanas de comentarios de clientes en una hoja de cálculo, incluidos nombres, correos electrónicos y algunas citas poco halagadoras sobre un competidor. Pega todo en ChatGPT y pide temas. La respuesta es exactamente lo que necesitaba. Vuelve a su día.

En algún lugar del wiki interno de la empresa, hay una política que dice que no debería haber hecho eso. Ella sabe que existe. Incluso podría haber completado la capacitación. Pero la política no la alcanzó en el teclado, a las 2:47 p.m., con una fecha límite en 90 minutos.

La brecha que nadie presupuesta

Esta es la brecha que la mayoría de los programas de gobernanza de IA subestiman. Las políticas se escriben para momentos de reflexión. El uso de la IA ocurre en momentos de urgencia. Los dos rara vez se cruzan.

Unos pocos patrones que vemos una y otra vez:

  • La política es demasiado amplia para ser procesable. "No comparta información confidencial con herramientas de IA" suena claro en una reunión. En el teclado, le pide al empleado que clasifique mentalmente cada documento, fragmento y conversación en tiempo real. La mayoría de la gente no lo hace, y aquellos que lo intentan se equivocan a menudo.
  • La política asume que los empleados saben lo que cuenta como riesgoso. La línea entre el nombre de pila de un cliente y un registro PII completo de un cliente parece obvia en una plataforma de capacitación. Dentro de una especificación de producto o una transcripción de soporte, es una cuestión de criterio, y las cuestiones de criterio van rápido bajo la presión de la fecha límite.
  • La política trata a la IA como una sola herramienta. No lo es. Ahora está integrado en navegadores, IDE, aplicaciones para tomar notas, CRM y una lista cada vez mayor de productos SaaS que agregaron discretamente una función de "asistente de IA" el trimestre pasado. Una política que nombra a ChatGPT y Gemini a mano pierde la mayor parte de la superficie real.

El control tiene que moverse hacia donde vive el riesgo

La solución no es otra actualización de la política. Es reconocer que el riesgo se ha movido del límite de la red al momento del mensaje (prompt), y que los controles tienen que seguirlo allí.

Los programas más efectivos que hemos visto combinan su política con algo que interviene a nivel de pulsación de teclas: una verificación que se ejecuta localmente, antes de que el prompt salga del dispositivo, y le da al empleado una oportunidad rápida para redactar, anonimizar o reconsiderar. No un bloqueo. No un sermón. Un pequeño empujón bien sincronizado que convierte la política en algo sobre lo que el empleado realmente puede actuar.

Esa es la parte que la mayoría de los programas de gobernanza todavía extrañan. La política está bien. El entrenamiento está bien. Lo que falta es la presencia, estar ahí, en el momento en que se toma realmente la decisión.