Pregúntate esto: ¿sabes con certeza qué herramientas de inteligencia artificial usa hoy tu equipo? Si la respuesta es "más o menos" o "supongo que ChatGPT, algo", tu empresa tiene lo que se conoce como IA en la sombra (shadow AI) — y no eres una excepción. Es, con diferencia, la situación más habitual en las pymes españolas ahora mismo.
Es el uso de herramientas de inteligencia artificial por parte de empleados, sin que la empresa lo haya autorizado, documentado o siquiera sepa que ocurre. No es malintencionado: alguien de tu equipo descubre que ChatGPT le ahorra media hora redactando un email o resumiendo un documento, y simplemente empieza a usarlo. Nadie lo revisa, nadie sabe qué información se ha compartido con la herramienta.
El riesgo no está en usar IA — está en usarla sin control. Cuando alguien pega el contenido de un contrato, los datos de un cliente o información financiera interna en una herramienta pública para que se lo "mejore" o resuma, esa información sale de tu empresa y entra en sistemas de terceros sobre los que no tienes ningún control ni visibilidad.
Además del riesgo de fuga de datos, está el problema de la trazabilidad: si un cliente reclama por una respuesta incorrecta, o si AESIA pregunta qué sistemas de IA usa tu empresa, la respuesta no puede ser "no lo sabemos".
Marketing genera imágenes o textos publicitarios con herramientas gratuitas de dudosa procedencia sobre derechos de autor. Atención al cliente copia y pega datos de clientes en un chatbot público para redactar mejor una respuesta. Un responsable de selección usa una IA para "puntuar" currículums sin que nadie haya evaluado si eso introduce sesgos. Alguien sube una hoja de cálculo con cifras internas a una IA para que "la analice". Ninguno de estos casos es raro — es, de hecho, lo habitual.
La forma más rápida es preguntar directamente a tu equipo, sin generar sensación de "caza de brujas": qué herramientas de IA usan, para qué y con qué frecuencia. Casi siempre aparecen más usos de los que imaginabas. La alternativa más rigurosa es una auditoría breve que revise accesos, herramientas instaladas y flujos de trabajo habituales por departamento.
Primero, identifica qué se usa realmente — sin este paso, cualquier política es papel mojado. Segundo, define una política interna breve y clara: qué herramientas están permitidas, qué datos nunca deben salir de la empresa y a quién preguntar ante dudas. Tercero, forma a tu equipo en lo básico: la mayoría de los problemas se evitan simplemente explicando por qué importa, no prohibiendo sin más.
Este es exactamente el punto de partida de nuestro servicio de Cumplimiento AI Act: un Diagnóstico Express que identifica en días la IA en la sombra de tu empresa, incluida la que nadie ha declarado, y te deja con una política interna y un dossier de evidencias listos.
Cuéntanos qué te está costando más tiempo o qué te preocupa de tu seguridad. Te respondemos con una consultoría inicial, sin coste ni compromiso.