El auge de la IA generativa ha multiplicado la productividad… y también los riesgos.
Muchos empleados utilizan modelos de IA sin control corporativo —lo que se conoce como Shadow AI— introduciendo datos sensibles, prompts con información confidencial o incluso secretos empresariales.
Este escenario exige políticas internas sólidas, cláusulas disciplinarias claras y un sistema fiable de registro de prompts para prevenir (y acreditar) infracciones.
¿Por qué el Shadow AI es ya un riesgo jurídico real?
El uso no autorizado de modelos de IA en el trabajo genera tres problemas principales:
- Riesgo de fuga de secretos empresariales. Si un empleado introduce información estratégica en un modelo externo sin garantías de privacidad, podría perderse la protección del secreto (Ley 1/2019 de Secretos Empresariales).
- Infracción de políticas de seguridad y RGPD. Tratamientos no autorizados y transferencias de datos sin base jurídica.
- Responsabilidad contractual y disciplinaria. El empleado vulnera deberes de confidencialidad, diligencia y obediencia.
La prioridad de la empresa hoy no es prohibir la IA, sino regularla con precisión.
Elementos clave de una política corporativa de “Shadow AI”
A continuación, se muestra un ejemplo práctico de estructura que ya aplican empresas que buscan blindarse:
Definiciones operativas
Conviene crear un glosario interno que evite ambigüedades:
- Modelo de IA no autorizado: cualquier herramienta no aprobada formalmente por TI o Compliance.
- Prompt sensible: aquel que contiene datos personales, información estratégica, código fuente o documentación interna.
- Shadow AI: uso de herramientas de IA sin conocimiento ni supervisión de la empresa.
Marco de uso permitido
- Prohibición expresa de introducir datos personales sin autorización del DPO.
- Lista blanca vinculante de modelos autorizados.
- Check-list de uso seguro para empleados (no introducir X, no subir Y…).
Obligación de registro de prompts
La compañía debe documentar la actividad para prevenir incidencias y acreditar su diligencia:
- Registro automático mediante herramientas MDM o proxy corporativo.
- Logs que incluyan: fecha, modelo usado, contenido del prompt pseudonimizado, archivo subido, salida generada.
- Conservación limitada (por ejemplo, 12 meses) en cumplimiento del principio de minimización.
Esto no supone vigilancia desproporcionada si se documenta en la política interna, se informa al trabajador y se usa con fines estrictos de seguridad y cumplimiento.
Advertencia de riesgos legales
La política debe explicar, en lenguaje sencillo:
- Riesgo de pérdida del secreto empresarial.
- Posible infracción de propiedad intelectual al introducir código.
- Uso de outputs no verificados: alucinaciones, errores y sesgos.
Responsabilidades disciplinarias
Incorporar un régimen graduado de faltas, con ejemplos y sanciones orientativas:
- Uso de IA no autorizada sin datos sensibles → infracción leve.
- Introducción negligente de información protegida → infracción grave.
- Revelación deliberada de secretos empresariales mediante IA → infracción muy grave, potencial despido disciplinario.
Cláusulas laborales y disciplinarias recomendables
Para reforzar la política interna, puede añadirse un anexo contractual que el trabajador firme expresamente.
Las cláusulas más habituales incluyen:
- Prohibición expresa de uso no autorizado
- Obligación de diligencia tecnológica
- Confidencialidad reforzada aplicada a prompts
- Sanciones por uso ilícito
Tabla práctica: responsabilidades y consecuencias
| Conducta del empleado | Riesgo para la empresa | Nivel disciplinario orientativo | Ejemplo de respuesta interna |
| Uso puntual de IA no autorizada sin datos sensibles | Bajo | Leve | Formación obligatoria y advertencia por escrito |
| Introducir información interna en modelos no aprobados | Medio/Alto | Grave | Suspensión breve + refuerzo formativo |
| Subida de secretos empresariales o datos protegidos | Muy alto | Muy grave | Despido disciplinario + acciones legales |
| Filtración deliberada o maliciosa de información | Crítico | Muy grave | Despido + reclamación de daños y penales si procede |
Preguntas frecuentes (FAQs)
Depende de la gravedad, la intención y el daño causado. La empresa debe valorar:
Existencia de política expresa.
Información previa al trabajador.
Naturaleza de la información expuesta (documentos internos vs. secreto empresarial).
Reiteración o dolo.
Como regla general:
Negligencias leves → advertencia o sanción leve.
Exposición de información estratégica o datos personales → sanción grave.
Revelación de secretos empresariales o conducta dolosa → despido disciplinario.
Sí, siempre que se obtengan de forma proporcional y transparente.
Los tribunales ya aceptan como prueba válida:
Registros de actividad informática.
Logs generados por sistemas corporativos.
Evidencias digitales custodiadas correctamente.
Requisitos esenciales:
Información previa en la política.
Finalidad legítima (seguridad y cumplimiento).
Minimización de datos.
Cadena de custodia documentada.
Sí, siempre que:
Lo comunique en la política de IA o en el anexo laboral.
Limite la monitorización a fines de seguridad.
Garantice la pseudonimización cuando sea posible.
Sí.
La Ley 1/2019 exige que la información esté sujeta a medidas razonables para mantener su secreto.
Subirla a un modelo público sin control puede considerarse pérdida de esa protección, lo que impide reclamar judicialmente su uso por terceros.
Un cierre para empresas que buscan seguridad sin renunciar a la IA
Regular la IA ya no es una cuestión de innovación, sino de responsabilidad.
Un solo prompt mal gestionado puede comprometer secretos empresariales construidos durante años.
La clave está en combinar políticas claras, cláusulas laborales sólidas, formación práctica y sistemas de registro proporcionados.
Las empresas que actúen ahora no sólo evitarán sanciones o fugas: también construirán una cultura tecnológica madura, capaz de integrar la IA con seguridad, eficiencia y visión estratégica.
RRYP Global, abogados de empresas tecnológicas.
