Carta de IA en la empresa: guía práctica 2026 (RGPD + Reglamento IA)
Quick Answer: ¿qué es una carta de IA en empresa?
Una carta de uso de IA en empresa es un documento corto, oponible (la organización puede invocarla en caso de litigio con un empleado) y pedagógico. Encuadra el uso de las herramientas de IA generativa por los colaboradores. No reemplaza la política IA global de la organización — es su cara usuario, traducida en reglas concretas del día a día.
Una carta eficaz en 2026 contiene como mínimo 8 secciones:
- Ámbito — quién está concernido y sobre qué herramientas.
- Herramientas autorizadas — distinción entre herramientas de consumo, herramientas empresa e instalación local («on-premise»).
- Datos autorizados — tipología clara (públicos, negocio, personales, sensibles).
- Verificación obligatoria — reglas de revisión y validación.
- Confidencialidad — prohibiciones explícitas (secretos, datos clientes, información financiera no pública).
- Propiedad intelectual — reglas sobre contenidos generados y atribución.
- Notificación de incidente — procedimiento de escalada en caso de fuga o error.
- Sanciones y actualización — carácter oponible disciplinario y frecuencia de revisión.
Es el documento oponible que materializa la conformidad Reglamento IA (artículo 4 — alfabetización IA) y sirve de primer escudo RGPD en caso de inspección AEPD. Sin carta, el uso IA es sufrido, no pilotado.
Por qué una carta de uso IA se ha vuelto indispensable en 2026
Tres cambios acumulados hacen la carta IA innegociable para toda organización de más de 20 empleados.
Cambio regulatorio — el Reglamento IA impone alfabetización. El artículo 4 del Reglamento (UE) 2024/1689, en aplicación desde febrero de 2025, exige que las organizaciones aseguren que las personas que utilizan un sistema IA en el marco profesional dispongan de un «nivel de alfabetización suficiente» — adaptado al contexto de uso y al tipo de sistema. La carta es la herramienta más simple para materializar esta obligación: un documento firmado, fechado, difundido, que prueba que la organización ha explicado las reglas a los usuarios.
Cambio de usos — la IA está en todas partes, sin marco. Las encuestas 2025-2026 (McKinsey, BCG, INE-encuesta TIC) convergen: 65 a 80% de los empleados de cuello blanco en España usan ChatGPT o un equivalente al menos una vez por semana. Pero la mayoría de este uso se hace vía cuentas personales, sin marco, con datos que no deberían salir hacia un LLM de consumo. Sin carta = sin límite = riesgo permanente de fuga o error.
Cambio jurisprudencial — caen las primeras sanciones. Garante (Italia) sancionó a OpenAI con 15 millones de euros en diciembre de 2024 por ausencia de marco transparente. La AEPD ha anunciado públicamente la IA como prioridad de control en 2026, y ya ha sancionado en 2024-2025 varios casos de uso IA sin base jurídica adecuada (sanciones publicadas en aepd.es). Las jurisdicciones europeas esperan ya ver una carta IA en toda organización auditada — su ausencia será tratada como un fallo de gobernanza, no como una simple laguna documental.
Para el marco jurídico completo, ver nuestra guía IA y RGPD y nuestra guía EIPD para proyecto IA.
Las 8 secciones de una carta IA eficaz
1. Ámbito de aplicación
Quién está concernido, sobre qué herramientas, en qué marco. Una carta ambigua sobre el ámbito es inoponible. A precisar:
- Qué poblaciones: todos los empleados (indefinidos, temporales, ETT), prestadores externos, becarios, FP-Dual, freelances con acceso al SI
- Qué herramientas: LLM conversacionales (ChatGPT, Claude, Gemini, Mistral), asistentes integrados (Copilot, Notion AI, Gemini for Workspace), generadores de imágenes (DALL-E, Midjourney), herramientas de transcripción (Whisper, Otter), agentes IA internos
- En qué marco: uso profesional sobre las herramientas puestas a disposición por la empresa — la carta no cubre generalmente el uso estrictamente personal sobre cuenta privada fuera del horario laboral
2. Herramientas autorizadas y niveles de uso
Distinción crítica a transmitir. Una tabla en la carta vale más que un párrafo.
| Categoría | Herramientas típicas | Datos autorizados |
|---|---|---|
| Consumo | ChatGPT.com, Claude.ai, Gemini gratuito, Mistral Le Chat Pro | Ningún dato profesional no público |
| Empresa (con encargo de tratamiento) | ChatGPT Team / Enterprise, Claude para Empresas, Mistral Le Chat Enterprise, Microsoft Copilot con licencia adecuada | Datos de negocio, ciertos datos personales con seudonimización |
| On-premise / soberano | Mistral on-prem (vLLM), Llama 3 self-hosted, infraestructura interna | Datos sensibles, secretos, M&A, RRHH nominativo, salud |
Las condiciones de uso de consumo no cubren el uso comercial conforme. Esta distinción debe ser explícita con ejemplos — no «según el contexto».
Ver nuestra guía LLM local en empresa para el aspecto on-premise.
3. Datos autorizados — la tipología central
El corazón operativo de la carta. Cuatro categorías, a ilustrar concretamente.
| Tipo de dato | Ejemplos | Herramientas autorizadas |
|---|---|---|
| Pública | Contenido ya publicado, comunicación externa, doc pública | Todas |
| Negocio no sensible | Notas internas, borradores, proyectos no confidenciales, código no propietario | Herramientas empresa (con encargo) |
| Personal | Clientes, empleados, prospectos, partes identificables | Herramientas empresa con encargo + seudonimización si pertinente. EIPD si tratamiento de riesgo |
| Sensible / estratégica | Salud, biometría, secreto profesional, secreto industrial, M&A, contencioso, financiero no público | Solo on-premise |
Dar ejemplos concretos para cada categoría. Una tipología abstracta es inutilizable en el día a día.
4. Reglas de verificación obligatoria
La IA alucina — produce afirmaciones plausibles pero falsas sin señal de duda. La carta debe imponer:
- Verificación sistemática de cifras, fechas, referencias jurídicas, citas, biografías antes de cualquier uso externo
- Cruce de fuentes sobre temas sensibles (jurídico, médico, financiero)
- Mención «contenido generado con asistencia IA» sobre comunicaciones externas cuando sea pertinente (coherente con el artículo 50 del Reglamento IA sobre transparencia)
- Sin decisión automatizada sin revisión humana sobre cualquier tema con efecto jurídico o impacto significativo (artículo 22 RGPD)
5. Confidencialidad — prohibiciones explícitas
La sección que previene las fugas más graves. Lista explícita de lo que nunca debe ser copiado en un prompt, incluso en las versiones empresa:
- Secreto profesional (abogado, médico, asesor fiscal)
- Datos clientes identificables sin seudonimización
- Contraseñas, claves API, identificadores
- Documentos marcados como confidencial o estratégico
- Comunicaciones M&A, acuerdos de confidencialidad, contenciosos en curso
- Información financiera no pública (resultados antes de publicación, proyecciones — atención obligaciones de información privilegiada bajo Ley del Mercado de Valores)
- Información RRHH nominativa (evaluaciones, salarios, situaciones individuales)
Cuanto más explícita e ilustrada esté la lista, más aplicable es.
6. Propiedad intelectual
Tres temas a clarificar:
- Contenidos generados pertenecientes a la empresa — clarificación de que las salidas producidas en el marco profesional son propiedad de la empresa, no del usuario individual
- Riesgo de infracción — un contenido generado puede reproducir sustancialmente una obra protegida presente en los datos de entrenamiento; obligación de revisar y adaptar
- Cita de fuentes cuando el contenido generado se apoya en una búsqueda IA (Perplexity, ChatGPT con búsqueda web, Gemini Search) — verificar las fuentes y citarlas
7. Notificación de incidente
Procedimiento claro para lo que puede pasar:
- Fuga involuntaria (envío por error de datos sensibles a un LLM de consumo)
- Alucinación pasada a producción (información falsa difundida a un cliente o internamente)
- Sospecha de sesgo o discriminación en una decisión automatizada
- Incidente de seguridad (cuenta comprometida, acceso no autorizado)
A precisar: a quién contactar (DPD, CISO, responsable IA), en qué plazo (24-72 h según gravedad — atención plazo 72 h notificación AEPD), con qué elementos (prompt, salida, contexto).
8. Sanciones y actualización
Oponibilidad disciplinaria — mención de que el incumplimiento puede acarrear sanción al amparo del reglamento interno o convenio colectivo aplicable. Sin esto, la carta no tiene alcance jurídico real.
Ciclo de revisión — anual como mínimo, más rápido si el ecosistema IA evoluciona sustancialmente. Fecha de la versión actual visible.
Especificidades ES: Comité de empresa, Estatuto de los Trabajadores y LOPDGDD art. 87
España presenta un marco doble que hay que respetar al desplegar una carta IA: representación de los trabajadores y obligación específica LOPDGDD.
Comité de empresa y Estatuto de los Trabajadores art. 64
El Comité de empresa (en empresas de 50 o más trabajadores) o los Delegados de personal (en empresas de 10 a 49) tienen, en virtud del artículo 64 del Estatuto de los Trabajadores, derecho a:
- Información sobre la implantación o revisión de sistemas de organización y control del trabajo (art. 64.5.f).
- Consulta previa sobre las decisiones del empresario que pudieran provocar cambios relevantes en cuanto a la organización del trabajo y los contratos de trabajo (art. 64.5).
- Vigilancia del cumplimiento de la normativa de protección de datos (art. 64.7.a).
Las herramientas IA que monitorizan la productividad, transcriben reuniones, criban CV o asisten al management entran de lleno en este perímetro. Una implantación sin consulta previa al comité de empresa es atacable por la representación legal y puede dar lugar a un conflicto colectivo ante el Juzgado de lo Social.
Buena práctica: integrar la carta IA en el convenio colectivo o, en su defecto, en un acuerdo de empresa firmado con el comité. Esto le da el máximo anclaje disciplinario.
LOPDGDD art. 87 — política de uso de dispositivos digitales
El artículo 87 de la LOPDGDD (Ley Orgánica 3/2018) impone una obligación específica:
«Los trabajadores y los empleados públicos tendrán derecho a la protección de su intimidad en el uso de los dispositivos digitales puestos a su disposición por su empleador. El empleador podrá acceder a los contenidos derivados del uso de medios digitales facilitados a los trabajadores a los solos efectos de controlar el cumplimiento de las obligaciones laborales o estatutarias y de garantizar la integridad de dichos dispositivos. Los empleadores deberán establecer criterios de utilización de los dispositivos digitales (…) con participación de los representantes de los trabajadores.»
En la práctica, la carta IA es el vehículo natural para implementar esta política específica para los dispositivos IA. La AEPD ha confirmado en su Guía de protección de datos en las relaciones laborales que el artículo 87 LOPDGDD se aplica a toda nueva tecnología de productividad — lo que cubre los asistentes IA.
Consecuencia operativa: una carta IA en España debe explícitamente:
- Listar las herramientas IA proporcionadas por la empresa.
- Definir los criterios de uso aceptable.
- Especificar las modalidades de control (logs, auditorías) y sus límites.
- Haber sido objeto de consulta previa con los representantes de los trabajadores.
Una carta que no cumpla con este artículo 87 LOPDGDD se expone a:
- Una sanción AEPD (hasta 20 millones de euros o 4% del volumen de negocios mundial — RGPD art. 83).
- Una nulidad de pleno derecho de las sanciones disciplinarias basadas en logs IA mal-encuadrados.
Modelo de cláusulas AEPD
La AEPD ha publicado en 2024-2025 modelos de cláusulas para la información a los empleados sobre los tratamientos basados en IA. Recomendamos integrar estos modelos en los anexos de la carta — sirven de plantilla validada que la AEPD reconocerá en caso de control.
Carta vs política IA vs guía de uso: ¿cómo articular?
Tres documentos complementarios, a no confundir.
| Documento | Público | Formato | Longitud | Frecuencia actualización |
|---|---|---|---|---|
| Política IA | Dirección, gobernanza | Estratégico | 10-20 páginas | Anual |
| Carta de uso | Todos los empleados | Oponible, firmable | 3-5 páginas | Anual o + |
| Guía de uso | Todos los empleados | Pedagógica, ejemplos | 20-50 páginas | Continua |
La política IA de empresa es el documento estratégico de gobernanza. Aborda: por qué la organización usa IA, qué objetivos, qué marco ético, qué procesos de validación de casos de uso, qué presupuesto, qué gobernanza (comité IA, sponsor ejecutivo). Es un documento de organización, no de usuario.
La carta de uso IA es el documento oponible de usuario. Traduce la política en reglas concretas para los empleados. Legible en 10 minutos, firmable.
La guía de uso IA es el documento pedagógico. Explica cómo usar concretamente las herramientas, da ejemplos de prompts, casos de uso, buenas prácticas (cf. formación IA en empresa). Es formación continua, no normativa.
Una organización madura dispone de los tres. Una organización que empieza puede comenzar por la carta (la más urgente jurídicamente) y completar después.
Esquema de articulación
[Política IA] ──► gobernanza, estrategia, comité IA
│
▼
[Acuerdo con comité de empresa] ──► consulta art. 64 ET / art. 87 LOPDGDD
│
▼
[Carta de uso] ──► reglas oponibles del día a día
│
▼
[Guía de uso / Formación] ──► cómo hacerlo concretamente
│
▼
[Práctica de campo] ◄──── retorno de incidente, revisión anualDespliegue: consulta, firma, actualización
Cinco etapas para que una carta viva más allá del PDF.
Etapa 1 — Consulta previa (4-6 semanas). Implicar DPD, CISO, jurídico, RRHH, IT y los principales departamentos. Obligatorio: consulta del comité de empresa al amparo del art. 64 ET. Una carta redactada solo por el DPD sin concertación es ignorada por los operativos. Una carta redactada solo por los operativos pasa de largo de los riesgos jurídicos.
Etapa 2 — Validación y oponibilidad. La carta debe estar anexada al reglamento interno o ser objeto de un acuerdo de empresa con el comité (cf. art. 87.3 LOPDGDD). Sin anclaje formal, su oponibilidad es débil. Para los grupos con convenio colectivo aplicable, integración recomendada en la próxima negociación colectiva.
Etapa 3 — Firma. Difusión a todos los empleados concernidos con acuse de lectura. Para las organizaciones de alto riesgo, firma electrónica vía herramienta de gestión documental. Trazabilidad conservada para auditoría.
Etapa 4 — Formación asociada. La carta no reemplaza la formación. La acompaña. Un despliegue exitoso incluye un módulo corto (30-60 min) que explicita la carta con ejemplos concretos. Ver nuestra guía formación IA en empresa. Nota: el artículo 4 del Reglamento IA hace de la formación una obligación.
Etapa 5 — Revisión periódica. Anual como mínimo. Más frecuente si:
- Nueva herramienta IA desplegada
- Evolución regulatoria mayor (siguiente fase Reglamento IA, jurisprudencia TS o TJUE)
- Incidente interno revelando una laguna
En cada revisión: número de versión, fecha, resumen de cambios, redifusión. En España, en caso de cambio sustancial: nueva consulta del comité de empresa.
Errores típicos que vuelven la carta inoperante
Seis errores recurrentes — cada uno solo basta para vaciar la carta de su valor.
Error 1 — Demasiado general. «Use la IA de manera responsable» no dice nada. Una carta útil es precisa hasta el punto de poder ser opuesta concretamente a un comportamiento.
Error 2 — Demasiado restrictiva sin alternativa. Prohibir ChatGPT sin alternativa no funciona — el uso continúa en shadow IT. Siempre proponer una alternativa oficial (cuenta ChatGPT Enterprise, acceso Mistral Le Chat Enterprise, etc.).
Error 3 — Sin actualización. Una carta redactada en 2024 y nunca tocada es obsoleta. El ecosistema evoluciona demasiado rápido. Ciclo anual mínimo.
Error 4 — Sin formación asociada. Una carta sin formación queda como un documento no leído. La difusión por correo solo es insuficiente — y discutible bajo el Reglamento IA art. 4.
Error 5 — No oponible. Una carta no anclada al reglamento interno o convenio colectivo no tiene alcance disciplinario. En caso de incidente, la organización no puede apoyarse en ella para sancionar.
Error 6 — Sin consulta del comité. Error específico ES: carta desplegada sin consulta previa del comité de empresa. Es una violación del art. 64 ET y del art. 87 LOPDGDD que puede dar lugar a un conflicto colectivo y a la nulidad de las sanciones disciplinarias basadas en la carta.
Error 7 — Copiada-pegada de modelo genérico. Cada organización tiene datos, riesgos, herramientas distintas. Una carta genérica falla los desafíos propios del oficio (salud, finanzas, jurídico, sector público).
Modelo mínimo v1 — por dónde empezar
Para las organizaciones que quieren empezar rápidamente, un modelo mínimo en una página puede servir de v1, a enriquecer después. Estructura sugerida:
1. Ámbito: aplicable a todos los empleados y prestadores de [Organización].
2. Herramientas autorizadas:
- Sobre datos de negocio: [lista de herramientas empresa aprobadas]
- Sobre datos sensibles: [herramienta on-premise o prohibición salvo autorización]
- Herramientas de consumo: prohibidas sobre datos profesionales.
3. Reglas de uso:
- Sin datos clientes identificables sobre herramientas no aprobadas
- Verificación obligatoria de cifras, fechas y referencias
- Sin decisión automatizada sin revisión humana
- Confidencialidad: nunca copiar secretos, contraseñas, M&A, RRHH nominativo
4. En caso de incidente:
- Contacto: [DPD + dirección]
- Plazo: 24 horas para fuga sospechada (72 h notificación AEPD)
5. Actualización: versión 1.0 — [fecha]. Revisión anual.
Leído y aceptado: [firma]
[Anexo: criterios de uso de dispositivos digitales conforme a art. 87 LOPDGDD,
consultados con el comité de empresa el (fecha)]Este modelo mínimo es legalmente operativo — prueba la existencia de un marco, lo que es la exigencia Reglamento IA. Deberá enriquecerse (8 secciones completas) en los siguientes 6-12 meses.
Sanciones por ausencia de carta / formación IA
Riesgos concretos en España 2026:
- Reglamento IA art. 99: hasta 15 millones de euros o 3% del volumen de negocios mundial por incumplimiento del art. 4 (alfabetización IA).
- RGPD art. 83 + LOPDGDD: hasta 20 millones de euros o 4% del volumen de negocios mundial. La AEPD ha sancionado en 2024-2025 varios casos por uso IA sin política de uso adecuada.
- Estatuto de los Trabajadores: nulidad de las sanciones disciplinarias basadas en una carta no consultada con el comité de empresa.
- LOPDGDD art. 87: sanción AEPD específica por incumplimiento de la obligación de política de uso participativa con los representantes de los trabajadores.
La realidad económica es clara: una carta cuesta 6-10 semanas de proyecto; la ausencia cuesta órdenes de magnitud más en riesgo de sanción y caos operativo.
Lo que rechazamos prometer
Tres antipatrones recurrentes que evitamos en DPLIANCE cuando trabajamos con una organización cliente sobre sus casos de uso IA.
«Le vamos a entregar una carta llave en mano universal.» No. Una carta universal es inaplicable. Cada organización tiene un sector (salud, finanzas, jurídico, público), datos, herramientas, una cultura interna. Un modelo genérico sirve de punto de partida — no basta para producir una carta robusta. La redacción seria pasa por una consulta interna (DPD, CISO, jurídico, RRHH, departamentos, comité de empresa en España), o sea varias semanas.
«La carta va a resolver el shadow IT.» No. Una carta sin alternativa oficial solo empuja el shadow IT más discreto. Regla práctica: antes de poner en marcha una carta que prohíbe, suministrar la alternativa autorizada (ChatGPT Enterprise, Mistral Le Chat Enterprise, o solución on-premise).
«Carta firmada y ya está.» No. La carta no es un amuleto. Solo funciona combinada con: la formación (al menos un módulo corto), la documentación de las herramientas autorizadas, un punto de contacto identificado para los incidentes, y un ciclo de revisión anual. En España además: consulta del comité de empresa válida y respeto del art. 87 LOPDGDD. Sin estos complementos, la carta es un papel jurídico inerte.
DPLIANCE es editor de software. Cuando concebimos una solución IA a medida para una organización, nos alineamos con su carta de uso existente: elección de modelo compatible (Mistral, on-premise), nivel de supervisión, registro, alimentación de los registros. El DPD y el CISO siguen siendo dueños de la carta; nosotros la operacionalizamos.
FAQ
¿Es obligatoria una carta de IA en 2026?
No es literalmente obligatoria — no existe en 2026 una norma que diga «toda empresa española debe tener una carta de IA». Pero el artículo 4 del Reglamento IA exige alfabetización IA de los usuarios, el RGPD impone documentar tratamientos e informar a los interesados, y el artículo 87 de la LOPDGDD obliga a establecer una política de uso de los dispositivos digitales puestos a disposición de los empleados, con consulta del comité de empresa o representantes de los trabajadores. La carta IA es la forma más simple, oponible y económica de cumplir estas tres obligaciones de forma coherente. Sin ella, en una inspección de la AEPD o un control conforme al Reglamento IA, la organización tendrá que producir pruebas alternativas — más difícil, dispersas y mucho menos creíbles.
¿Se aplica la carta IA a proveedores externos?
Sí, siempre que se incluya en los contratos de prestación. Una carta que solo cubre a empleados deja un hueco para subcontratistas, ETT, freelances y becarios. Debe anexarse a los contratos con proveedores y a los convenios de prácticas. En auditoría, la AEPD examina el perímetro exacto de los compromisos; un hueco contractual con prestadores es un incumplimiento clásico señalado en sus resoluciones.
¿Cuánto se tarda en redactar una carta IA en España?
Para un modelo mínimo v1 (1 página operativa, oponible, firmable): 2 a 3 días-persona — redacción, revisión jurídica, validación por DPD y CISO. Para una carta completa concertada con el comité de empresa (consulta del artículo 64 del Estatuto de los Trabajadores) y despliegue con formación: 6 a 10 semanas de ciclo. La redacción no es la parte más larga; lo es la consulta de las partes interesadas (DPD, CISO, jurídico, RRHH, negocios y representantes) y la validación formal. Regla práctica: desplegar un v1 mínimo rápido, enriquecerlo en los siguientes 6-12 meses.
¿Hay que hacer firmar la carta a los empleados?
Sí, muy recomendable. Una carta firmada individualmente (o con acuse de lectura electrónico trazado) es claramente más oponible que una carta solo difundida por correo o intranet. En caso de incidente grave (fuga, mal uso), la firma individual prueba que el usuario fue informado de las normas. Sin esa trazabilidad, la carta pierde su valor disciplinario — se convierte en una simple política interna sin alcance efectivo. Importante: en España, integrar la carta en el reglamento interno o el convenio colectivo aplicable da el anclaje disciplinario más fuerte.
¿Debe ser la carta idéntica para todas las funciones?
El tronco común (prohibiciones de confidencialidad, herramientas autorizadas por tipo de dato, procedimiento de denuncia, sanciones, actualización) debe ser uniforme para asegurar la oponibilidad y coherencia. Las reglas específicas pueden variar mediante anexos por departamento: RRHH (vigilancia sobre artículo 22 RGPD y no-discriminación en el cribado de CV), finanzas (restricciones M&A y información privilegiada reforzadas por la Ley del Mercado de Valores), I+D (reglas sobre código fuente y propiedad intelectual), jurídico (secreto profesional regulado por el EGAE), salud (datos de salud, secreto sanitario). Una carta sin anexos por departamento es demasiado genérica; una carta sin tronco común es ingobernable.
¿Quién redacta la carta IA?
En la práctica, el DPD (Delegado de Protección de Datos) y el CISO co-lideran la redacción. Jurídico valida. RRHH co-firma para la oponibilidad como anexo al reglamento interno o convenio colectivo. Los principales departamentos (comercial, operaciones, I+D, soporte) son consultados. La dirección general avala formalmente. El comité de empresa interviene en virtud del artículo 64 del Estatuto de los Trabajadores y del artículo 87.3 LOPDGDD. Ningún actor solo puede producir una carta robusta — un trabajo cruzado de 6-10 semanas.
¿Con qué frecuencia revisar la carta IA?
Anual como mínimo. Más rápido si: nueva herramienta IA desplegada, evolución regulatoria mayor (siguiente fase del Reglamento IA, jurisprudencia del Tribunal Supremo o TJUE sobre IA en el trabajo), incidente interno revelando una laguna, o ampliación sustancial de casos de uso. Una carta sin evolución desde hace 18 meses es casi siempre obsoleta — el ecosistema IA se mueve demasiado rápido (nuevos modelos, nuevos proveedores, nuevas regulaciones sectoriales).
¿Una carta redactada en 2024 sigue siendo válida?
A revisar. El Reglamento IA se aplica progresivamente desde febrero de 2025, con fases sucesivas en 2025-2027. Las recomendaciones de la AEPD sectoriales se publicaron en 2024-2025 (uso de chatbots, decisión automatizada). Los principales proveedores LLM (Mistral, OpenAI, Anthropic) han evolucionado sus ofertas empresa y sus encargos de tratamiento. Una carta de 2024 debe como mínimo ser revisada y actualizada en cuatro puntos: marco Reglamento IA actualizado, lista de herramientas autorizadas, cláusulas con proveedores, procedimiento de denuncia.
Fuentes: Reglamento (UE) 2024/1689 (Reglamento IA), particularmente artículo 4 sobre alfabetización IA y artículo 50 sobre transparencia; Reglamento (UE) 2016/679 (RGPD), particularmente artículos 5, 22, 32, 35; Ley Orgánica 3/2018 (LOPDGDD), particularmente artículo 87; Estatuto de los Trabajadores (Real Decreto Legislativo 2/2015), particularmente artículo 64; AEPD — recomendaciones sobre IA y RGPD (aepd.es) y Guía de protección de datos en relaciones laborales; modelos de cláusulas AEPD para tratamientos basados en IA; CEPD, opinión 28/2024 sobre los modelos de IA y el RGPD; jurisprudencia Garante (Italia) — decisiones OpenAI 2023 y 2024.
Para encuadrar la redacción y el despliegue de una carta IA en su organización — articulación con su política IA, elección de herramientas alineadas, formación asociada, consulta del comité — ver nuestra guía IA y RGPD, nuestra guía formación IA en empresa, nuestra guía de IA soberana, o contáctenos vía nuestras soluciones IA a medida.