Gobernanza de IA para instituciones y empresas.
Una guía práctica con los principios que aplicamos en proyectos públicos y privados para que la IA genere valor sin exponer a su organización. Descárguela gratis.
7 principios y un checklist accionable.
- Empiece por el problema, no por la herramienta.
- Conozca sus datos y qué es sensible.
- Ponga límites claros de alcance.
- Mantenga supervisión humana donde importa.
- Exija trazabilidad y auditoría.
- Proteja la privacidad por diseño.
- Evalúe a sus proveedores con criterio.
- Checklist final de 10 puntos, listo para usar.
7 principles and an actionable checklist.
- Start with the problem, not the tool.
- Know your data and what is sensitive.
- Set clear scope limits.
- Keep human oversight where it matters.
- Require traceability and audit.
- Protect privacy by design.
- Evaluate your providers with rigor.
- A final 10-point checklist, ready to use.
✓ Guía desbloqueada. También le enviamos una copia por correo.✓ Guide unlocked. We also sent a copy to your email.
Descargar en PDFDownload as PDF ↓ ⟡ Guía prácticaGobernanza de IA para instituciones y empresas
La gobernanza no es burocracia: es lo que permite que la IA genere valor sin exponer a la organización. Estos son los principios que aplicamos en proyectos públicos y privados.
01Empiece por el problema, no por la herramienta
La IA no es un objetivo; es un medio. Antes de elegir modelo o plataforma, defina el problema de negocio, quién se beneficia y cómo medirá el resultado. Un caso de uso sin métrica es un experimento caro. Priorice 2–3 casos con impacto claro y comience por el de mayor retorno y menor riesgo.
En la práctica:
- Escriba cada caso de uso en una frase: "para [quién], que [problema], con [métrica]".
- Estime el retorno esperado (horas, dinero o riesgo evitado) antes de invertir.
- Señal de alerta: "queremos usar IA" sin un problema concreto detrás.
02Conozca sus datos y qué es sensible
La IA rinde con datos confiables y falla con datos dispersos. Clasifique su información en pública, interna y sensible; defina quién accede a qué; y decida qué datos nunca deben salir de su entorno. Para casos con requisitos de soberanía, considere despliegues on-premise o en su propia nube. La calidad importa tanto como la disponibilidad: datos incompletos o duplicados producen respuestas incompletas o duplicadas.
En la práctica:
- Haga un inventario simple: qué datos tiene, dónde viven y qué tan sensibles son.
- Defina una regla clara para los datos que no pueden salir de su perímetro.
- Señal de alerta: información crítica que solo vive en hojas de cálculo y correos.
03Ponga límites claros de alcance
Un asistente debe saber qué puede y qué no puede hacer. Defina el alcance por escrito: temas permitidos, acciones permitidas y qué hacer cuando no sabe la respuesta —decir "no está en mi base de conocimiento", en lugar de inventar—. Un asistente que improvisa respuestas destruye la confianza; uno que reconoce sus límites la construye.
En la práctica:
- Documente el alcance como un contrato: dentro / fuera de alcance, y el mensaje para lo que no sabe.
- Fundamente las respuestas en su base de conocimiento (RAG), con las fuentes citadas.
- Señal de alerta: el asistente responde con seguridad sobre temas para los que no tiene datos.
04Mantenga supervisión humana donde importa
La IA propone; la persona decide. Para acciones con consecuencias (enviar, cobrar, publicar, borrar), use un flujo propone → aprueba → ejecuta. Automatice lo repetitivo y escale a un humano lo crítico. La supervisión no es un freno: es lo que hace la automatización segura y lo que permite escalar sin perder el control.
En la práctica:
- Clasifique las acciones por consecuencia: reversibles (auto) vs. irreversibles (requieren aprobación).
- Deje siempre visible qué hizo la IA y qué queda pendiente de aprobar.
- Señal de alerta: la IA ejecuta acciones con impacto sin que nadie las revise.
05Exija trazabilidad y auditoría
Todo lo que la IA hace debe quedar registrado: qué se pidió, qué respondió, con qué fuentes y quién aprobó. Sin bitácora no hay confianza, ni aprendizaje, ni cumplimiento. La trazabilidad también le permite mejorar el sistema con evidencia real y responder ante una auditoría o un incidente.
En la práctica:
- Registre cada interacción y acción con fecha, usuario, fuentes y resultado.
- Revise periódicamente los registros para detectar errores y oportunidades de mejora.
- Señal de alerta: no puede reconstruir por qué la IA hizo lo que hizo.
06Proteja la privacidad por diseño
La privacidad no es un añadido posterior: se diseña desde el inicio. Cifrado en reposo y tránsito, aislamiento de datos por área o cliente, control de accesos por rol y un proceso claro para las solicitudes de titulares de datos (ARCO / DSR). En el sector público, documente todo y prevea la trazabilidad que exigirá cualquier revisión.
En la práctica:
- Aplique el mínimo privilegio: cada persona y cada agente ve solo lo que necesita.
- Tenga listo el procedimiento para solicitudes de acceso, rectificación y eliminación.
- Señal de alerta: "la privacidad la resolvemos después de lanzar".
07Evalúe a sus proveedores con criterio
No todos los proveedores son iguales. Antes de firmar, pregunte: ¿dónde viven mis datos? ¿se usan para entrenar modelos? ¿puedo usar mi propio modelo y mis propias llaves (BYOK)? ¿hay trazabilidad y control de accesos? ¿qué pasa con mis datos si decido irme (portabilidad)? Las respuestas revelan el nivel de gobernanza real —no el del folleto—.
En la práctica:
- Pida por escrito: residencia de datos, uso para entrenamiento, portabilidad y certificaciones.
- Prefiera arquitecturas que le permitan cambiar de modelo sin rehacer todo (BYOK).
- Señal de alerta: respuestas vagas sobre dónde y cómo se procesan sus datos.
Checklist final
- Cada caso de uso tiene un objetivo de negocio y una métrica.
- Los datos sensibles están identificados y protegidos.
- El alcance de cada asistente está definido por escrito.
- Las acciones con consecuencias pasan por aprobación humana.
- Existe bitácora de cada interacción y acción.
- Hay control de accesos por rol.
- La privacidad está en el diseño, no como parche.
- Se evaluó al proveedor (datos, entrenamiento, portabilidad).
- Hay un responsable de la gobernanza de IA.
- Se revisa y ajusta periódicamente.