What AI tools need to go through a formal approval process?

Any AI tool that will be used for work purposes should go through some level of approval. At a minimum, any tool that will process company data, even non-sensitive internal data, should be approved by IT Security. Tools that will process personal data, customer data, financial data, or regulated information require full committee-level review. Tools used only with publicly available, non-company data (e.g. a public AI search tool used for general research) may be handled via a lighter-touch delegated approval process.

What is a data processing agreement (DPA) and why is it required for AI tools?

A data processing agreement (DPA) is a contractual arrangement between your organisation (as data controller) and an AI vendor (as data processor) that governs how the vendor processes personal data on your behalf. Under GDPR Article 28, a DPA is legally required whenever a third party processes personal data for you. For AI tools, the DPA should specifically address: whether the vendor uses your input data to train their models; how long they retain your data; what happens to your data if you terminate the contract; and whether your data is used for purposes other than providing the contracted service.

How long should the AI tool approval process take?

Standard AI tool approval requests should be processed within 10 business days of a complete submission. Requests requiring CISO approval (for restricted or personal data) typically take 15 business days. Complex requests requiring full vendor due diligence, legal review, or a data processing agreement negotiation may take 30 business days or more. Communicating clear timelines to requestors and providing a request tracking mechanism reduces shadow AI adoption, employees adopt unapproved tools when they don't know when or if their request will be processed.

What happens if an employee uses an AI tool that hasn't been approved?

Using unapproved AI tools for work purposes (shadow AI) is a policy violation that should be addressed through your disciplinary process. The severity depends on what data was entered into the unapproved tool: if only non-sensitive internal data was involved, a formal warning and re-training is typically appropriate; if personal, confidential, or restricted data was entered, the incident should be treated as a potential data breach and investigated under your data breach response procedure, which may require regulatory notification under GDPR Article 33.

Prueba gratuita de 30 días para descubrir riesgos de IA generativa -30 días de prueba de riesgos de IA generativa -Empezar ahora

Solicitar una demo

Plantilla gratuita

Formulario de solicitud de aprobación
de herramientas de IA

Un formulario estructurado para que los empleados soliciten nuevas herramientas de IA. Cubre la justificación de negocio, la clasificación de datos, la evaluación de seguridad y un flujo de aprobación de varios niveles.

Descargar plantilla Solicitar una demo

0 secciones

cobertura completa de la solicitud

0 niveles

flujo de aprobación por nivel de riesgo

0 días

SLA de aprobación objetivo

Gratis

de usar y personalizar

Por qué es esencial un proceso formal de aprobación de herramientas de IA

El Shadow AI es la fuente de riesgo de datos empresariales que crece más rápido. Los empleados adoptan herramientas de IA sin revisión de TI, introducen datos confidenciales y personales en servicios no aprobados y crean una exposición regulatoria invisible. Un proceso de aprobación estructurado es el primer control de un programa serio de gobernanza de la IA.

65 %

de las herramientas de IA en la empresa no están aprobadas

La mayor parte de la adopción de herramientas de IA ocurre fuera de la visibilidad de TI, exponiendo a las organizaciones a la pérdida de datos, el robo de propiedad intelectual y la responsabilidad regulatoria.

RGPD

Exige un DPA antes de tratar datos personales

Los empleados que envían datos de clientes o de empleados a herramientas de IA sin un DPA conforme al artículo 28 del RGPD crean una infracción regulatoria, se produzca o no una filtración.

ISO 27001

A.5.8 exige la gestión de riesgos de proveedores

Las herramientas de IA son proveedores de software. El Anexo A.5.8 de la ISO 27001 exige a las organizaciones gestionar el riesgo de seguridad de la información en las relaciones con proveedores.

→ Modelo

Entrenado con sus datos propietarios

Sin una cláusula de no entrenamiento en el contrato con el proveedor, los modelos de IA pueden entrenarse con sus datos confidenciales, dejándolos prácticamente irrecuperables.

El formulario de solicitud

Haga clic en cada sección para desplegarla. Personalice los umbrales y los niveles de aprobación para su organización.

Datos del solicitante

Nombre completo

________________________________

Puesto

________________________________

Departamento / equipo

________________________________

Dirección de correo electrónico

________________________________

Responsable directo

________________________________

Fecha de la solicitud

________________________________

Información de la herramienta

Nombre de la herramienta / del producto

________________________________

Proveedor / fabricante

________________________________

Sitio web / URL de la herramienta

________________________________

Modelo de precios y coste anual estimado

________________________________

Tipo de despliegue solicitado

Cloud SaaS / en las instalaciones / API / extensión de navegador

Número de usuarios que solicitan acceso

________________________________

Justificación de negocio

Describa el caso de uso de negocio concreto de esta herramienta de IA

¿Para qué tarea o flujo de trabajo se usará esta herramienta? ¿Qué problema resuelve?

¿Qué beneficio de negocio medible espera?

Tiempo ahorrado, reducción de costes, mejora de la calidad, reducción de riesgos; aporte estimaciones cuando sea posible.

¿Existe ya una alternativa aprobada en el registro de herramientas de IA de la organización?

Si la respuesta es sí, explique por qué la herramienta aprobada existente no satisface sus necesidades.

Descargar el formulario completo

Cómo funciona el proceso de aprobación de herramientas de IA

Siga estos cinco pasos para tramitar las solicitudes de aprobación de herramientas de IA de forma coherente y mantener un registro auditable de cada decisión de aprobación.

El empleado completa y envía el formulario de solicitud

El solicitante rellena las cuatro secciones de fondo: justificación de negocio, clasificación de datos, preguntas de seguridad y requisitos de integración. Los formularios incompletos se devuelven. Seguridad de TI fija un SLA objetivo de 10 días hábiles desde la recepción de una solicitud completa.

El responsable directo revisa y aprueba el caso de negocio

El responsable confirma que la herramienta es necesaria para un fin de negocio legítimo, que no existe una alternativa aprobada y que las respuestas del empleado sobre la clasificación de datos parecen exactas. La aprobación del responsable condiciona la entrada en la cola de Seguridad de TI.

Seguridad de TI evalúa el riesgo de los datos y la seguridad del proveedor

Seguridad de TI verifica la clasificación de datos, comprueba las certificaciones de seguridad del proveedor, revisa las capacidades de registro de auditoría y determina si la herramienta requiere un DPA. Puede enviar al proveedor un cuestionario de seguridad complementario para los proveedores nuevos.

El CISO o el DPO revisan las solicitudes de alto riesgo

Las solicitudes que implican datos personales, información restringida o despliegues de IA orientados al cliente se escalan al CISO y al DPO. El DPO determina si se requiere una DPIA. El CISO puede imponer condiciones (p. ej. DPA obligatorio, configuración de RBAC) antes de aprobar.

Provisionar el acceso y actualizar el registro de herramientas aprobadas

Una vez obtenidas todas las aprobaciones requeridas, TI provisiona el acceso según la lista de usuarios aprobada, configura el SSO y el registro de auditoría, añade la herramienta al registro de herramientas de IA y notifica al solicitante. El registro de la aprobación se conserva con fines de auditoría.

FAQ

Preguntas frecuentes

Cualquier herramienta de IA que vaya a usarse con fines laborales debe pasar por algún nivel de aprobación. Como mínimo, cualquier herramienta que vaya a tratar datos de la empresa, incluso datos internos no sensibles, debe ser aprobada por Seguridad de TI. Las herramientas que vayan a tratar datos personales, datos de clientes, datos financieros o información regulada requieren una revisión completa a nivel de comité. Las herramientas usadas únicamente con datos disponibles públicamente y no pertenecientes a la empresa pueden gestionarse mediante un proceso de aprobación delegado más ligero.

Empezar

Agilice la gobernanza de herramientas de IA con Aona

Aona sustituye los formularios en papel de aprobación de herramientas de IA por flujos de trabajo automatizados. Haga seguimiento de cada solicitud, aplique el enrutamiento de aprobaciones, detecte el Shadow AI en tiempo real y mantenga una pista de auditoría completa de cada herramienta aprobada o rechazada, todo en una sola plataforma.

Solicitar una demo

Recursos relacionados

Plataforma Aona AI Marco de gobernanza de la IA Todas las plantillas

Formulario de solicitud de aprobaciónde herramientas de IA

Agilice la gobernanza de herramientas de IA con Aona

Formulario de solicitud de aprobación
de herramientas de IA