What is an AI policy template and what should it include?

An AI policy template is a pre-built document organisations adapt to govern how employees use artificial intelligence tools at work. A complete AI policy template covers: scope (who the policy applies to), a list of approved AI tools and the approval process for new tools, data classification rules that specify which data can and cannot be entered into AI systems, prohibited uses such as generating discriminatory content or exfiltrating sensitive data, accountability and incident reporting procedures, and a review schedule. This template is designed to be customised with your organisation's specific tools, data tiers, and contact details before distribution.

What should an AI acceptable use policy cover?

An AI acceptable use policy should cover: the scope of who it applies to (employees, contractors, third parties); a list of approved AI tools and the process for getting new tools approved; data classification rules specifying what data can and cannot be entered into AI tools; prohibited uses such as generating discriminatory content, creating deepfakes, or circumventing security controls; accountability and incident reporting obligations; and a review schedule. Without these elements the policy cannot be enforced and provides no legal basis for action.

What is the difference between an AI acceptable use policy and an AI policy?

An AI policy is the broad governing document that sets your organisation's overall position on AI: principles, roles, risk appetite, procurement standards, and how AI decisions are made and overseen. An AI acceptable use policy (AUP) is the narrower, employee-facing rulebook that sits inside that programme and tells staff exactly what they can and cannot do with AI tools day to day: which tools are approved, what data is allowed, and what is prohibited. In practice the AUP is the part employees sign and the part you actually enforce. Many organisations publish one combined document, but the acceptable use rules are the operative section.

How often should you update an AI acceptable use policy?

Review an AI acceptable use policy at least annually, and sooner whenever something material changes: a new AI tool is approved or banned, a vendor changes its data handling or training terms, your data classification scheme changes, or a regulation such as the EU AI Act reaches a new compliance milestone. Because the approved tools list and data rules move faster than the rest of the document, keep them in an appendix you can revise without reissuing the whole policy. Record a version number, the review date, and the owner so auditors can see the policy is actively maintained.

Do I need a separate policy for ChatGPT?

You do not need a separate ChatGPT policy if your AI acceptable use policy includes a clear approved tools list and data handling rules. Reference ChatGPT by name in your approved or prohibited tools list as appropriate. If ChatGPT Enterprise is approved for internal use, specify which version, which data tiers are permitted, and whether your contract with OpenAI includes a no-training clause. A single comprehensive policy that names specific tools is cleaner to enforce than multiple tool-specific documents.

Is an AI acceptable use policy required under the EU AI Act?

The EU AI Act does not prescribe an acceptable use policy by name, but it does require deployers of high-risk AI systems to implement appropriate governance measures, conduct fundamental rights impact assessments, and maintain human oversight. ISO 42001 (AI Management Systems) and NIST AI RMF both explicitly require documented AI use policies as part of a compliant AI governance programme. Regulators and auditors increasingly expect to see a documented AI policy as baseline evidence of AI governance maturity.

How do I enforce an AI acceptable use policy?

Enforcing an AI acceptable use policy requires both technical controls and procedural measures. Technical controls include blocking unapproved AI tools at the network or endpoint level, deploying data loss prevention (DLP) tools that detect sensitive data being sent to AI services, and using an AI security platform to monitor which AI tools employees are accessing. Procedural measures include requiring employees to sign the policy, training staff on their obligations, logging violations, and having a clear disciplinary process. A policy without technical enforcement is aspirational, not operational.

Prueba gratuita de 90 días para descubrir riesgos de IA generativa -90 días de prueba de riesgos de IA generativa -Empezar ahora

Solicitar una demo

Plantilla gratuita de política de IA

Plantilla de política de uso
aceptable de la IA

Plantilla gratuita de política de IA para empleados que cubre las herramientas permitidas, las reglas de clasificación de datos, los usos prohibidos y los requisitos de cumplimiento. La plantilla de gobernanza de IA más descargada por los equipos de seguridad empresarial.

Descargar plantilla Solicitar una demo

Última actualización: 23 de junio de 2026

Una política de uso aceptable de la IA es el reglamento dirigido a los empleados que define cómo el personal puede usar las herramientas de IA en el trabajo: qué herramientas están aprobadas, qué datos se pueden introducir en ellas y qué usos están prohibidos. En 2026, una política utilizable tiene que cubrir seis cosas: el alcance (a quién se aplica), una lista de herramientas aprobadas y el proceso para añadir nuevas herramientas, reglas de clasificación de datos sobre lo que puede y no puede introducirse en la IA, los usos prohibidos, la responsabilidad y la notificación de incidentes, y un ciclo de revisión.

Para implementar una, inventaríe las herramientas de IA que ya se usan (incluido el Shadow AI), asocie sus niveles de clasificación de datos a reglas claras de permiso y prohibición, nombre al responsable y al contacto de notificación, y luego distribúyala para que los empleados la acusen. La plantilla siguiente está lista para rellenar. La parte que la mayoría de las políticas omite es la aplicación: un documento por sí solo no impide que datos sensibles lleguen a una herramienta de IA, por lo que la sección posterior a la plantilla muestra cómo cada cláusula se corresponde con un control técnico que realmente puede ejecutar.

0 %

de los empleados usa IA en el trabajo

0 secciones

cobertura completa de la política

0 marcos

EU AI Act, ISO 42001, NIST

Gratis

de usar y personalizar

Por qué necesita una política de uso aceptable de la IA

La mayoría de las organizaciones han desplegado herramientas de IA sin una política formal que regule cómo pueden usarlas los empleados. Esto crea un riesgo legal, regulatorio y reputacional real, especialmente a medida que los reguladores comienzan a aplicar los requisitos de gobernanza de la IA.

78 %

Los empleados usan herramientas de IA sin la aprobación de TI

La mayor parte de la adopción de IA ocurre fuera de los canales autorizados, creando una exposición de datos no controlada.

La mayoría de las organizaciones no tiene una política de IA formal

Sin una política documentada, no hay base legal para aplicar las reglas de uso de IA ni para tomar medidas disciplinarias.

Los marcos regulatorios ahora exigen gobernanza de la IA

El EU AI Act, la ISO 42001 y el NIST AI RMF exigen una gobernanza de la IA documentada que incluya políticas de uso.

24 h

La respuesta a incidentes requiere una política de referencia

Sin una política, no puede determinar si un incidente de datos relacionado con la IA constituye una infracción ni evaluar la responsabilidad.

La plantilla de política

Haga clic en cada sección para desplegar el texto de la política. Personalice los marcadores de posición resaltados para su organización.

Esta política rige el uso de las herramientas y servicios de inteligencia artificial (IA) por parte de todos los empleados, contratistas y terceros que actúen en nombre de [Organisation Name]. Se aplica a todas las herramientas de IA utilizadas con fines laborales, ya sea que se acceda a ellas mediante dispositivos de la empresa o dispositivos personales.

Descargar la política completa

Cómo adaptar esta plantilla a su organización

La plantilla anterior es un punto de partida. Siga estos pasos para convertirla en una política aplicable adaptada a su entorno específico.

Añada el nombre de su organización

Reemplace todas las apariciones de [Organisation Name] por el nombre de su entidad legal.

Cree su lista de herramientas aprobadas

Complete el Apéndice A con herramientas de IA concretas, versiones y cualquier restricción de caso de uso aprobada. Nombre al contacto de Seguridad de TI para las solicitudes de nuevas herramientas.

Asocie sus niveles de clasificación de datos

Alinee la Sección 3 con su política de clasificación de datos existente. Añada los nombres de los niveles (p. ej. Restringido, Confidencial, Interno, Público) y cualquier regla específica de cada herramienta.

Nombre a sus contactos de notificación

Reemplace [IT Security Contact] por una persona nombrada o un alias de equipo. Incluya una ruta de escalada para incidentes que puedan implicar una notificación regulatoria.

Defina su ciclo de revisión

Defina la frecuencia de revisión (anual como mínimo), nombre al responsable de la política y añada una tabla de historial de versiones para que los auditores puedan rastrear los cambios.

De la política a la aplicación

Un PDF de política no impide que nadie pegue datos de clientes en un chatbot. Cada cláusula de la plantilla anterior se corresponde con un control que puede ejecutar. Esta es la parte que la mayoría de las guías de política de IA omiten, y es lo que convierte una regla escrita en algo que puede demostrar.

Cláusula de la política

Cómo la aplica Aona

Lista de herramientas aprobadas (Sección 2)

Aona descubre cada herramienta de IA en uso mediante un plugin de navegador para Chrome, Edge y Firefox y una aplicación nativa de endpoint para Windows y macOS, comparando el uso con un catálogo de más de 5.600 herramientas de IA. Ve quién usa qué herramienta, incluido el Shadow AI que nadie aprobó, y recibe alertas cuando aparece una herramienta no aprobada, de modo que las listas de permitidos y de bloqueo de su política se respaldan con visibilidad real.

Reglas de clasificación de datos (Sección 3)

Cuando un empleado envía un prompt o sube un archivo, Aona inspecciona el contenido del lado del servidor antes de que llegue al modelo, clasifica cualquier dato sensible (PII, registros financieros, código fuente, documentos confidenciales) y aplica su política. Los datos que su política prohíbe introducir en una herramienta de IA se interceptan en el momento del envío, no se descubren más tarde en una auditoría.

Usos prohibidos (Sección 4)

Cuando un prompt o un archivo infringe las reglas, Aona lo bloquea de forma estricta con una ventana modal sin opción de «aceptar y continuar», o redacta la parte sensible antes de que la solicitud pase, según la política que defina por equipo, herramienta y tipo de dato. La prohibición se aplica en el momento del uso, en lugar de depender de que el personal la recuerde.

Responsabilidad y notificación (Sección 5)

Cada inspección, bloqueo y redacción queda registrado, lo que ofrece a su equipo de seguridad la pista de auditoría de la que dependen la notificación de incidentes y los procesos disciplinarios. Los datos permanecen residentes en la región que elija entre 7 regiones activas, y Aona cuenta con la certificación SOC 2 Type II.

Vea cómo funciona esto para toda su plantilla en Workforce AI Security, o explore la plataforma Aona. Esta página es informativa y no constituye asesoramiento legal.

FAQ

Preguntas frecuentes

Una política de uso aceptable de la IA debe cubrir: el alcance de a quién se aplica (empleados, contratistas, terceros); una lista de herramientas de IA aprobadas y el proceso para obtener la aprobación de nuevas herramientas; reglas de clasificación de datos que especifiquen qué datos pueden y no pueden introducirse en las herramientas de IA; usos prohibidos como generar contenido discriminatorio, crear deepfakes o eludir los controles de seguridad; obligaciones de responsabilidad y notificación de incidentes; y un calendario de revisión. Sin estos elementos, la política no puede aplicarse y no proporciona base legal para actuar.

Empezar

Aplique su política de IA automáticamente

Una política escrita es solo el primer paso. Aona aplica su política de uso aceptable de la IA en tiempo real, bloqueando las herramientas no aprobadas, detectando los datos sensibles que entran en los servicios de IA y generando la pista de auditoría que su equipo de cumplimiento necesita.

Solicitar una demo

Plantillas de gobernanza de la IA relacionadas

Acta del comité de gobernanza de la IA Plantilla de evaluación de riesgos de IA Guía de clasificación de datos de IA Evaluación de madurez de la gobernanza de la IA Rastreador de cumplimiento regulatorio de IA Plataforma Aona AI Marco de gobernanza de la IA Todas las plantillas de gobernanza de la IA

Plantilla de política de usoaceptable de la IA

Aplique su política de IA automáticamente

Plantilla de política de uso
aceptable de la IA