Una política de uso de IA para PyMEs es, en mayo de 2026, la diferencia entre una organización que aprovecha ChatGPT, Claude o Gemini para ser más productiva y otra que esta semana descubre que su lista de clientes terminó dentro del entrenamiento de un modelo público. El reporte de IBM Cost of a Data Breach 2025 y el análisis publicado el 13 de mayo por MarkTechPost coinciden en un dato durísimo: el 63% de las organizaciones todavía no tiene política formal de inteligencia artificial, y las brechas asociadas a "shadow AI" (uso de IA sin aprobación) suman 670.000 dólares extra al costo promedio. Para una PyME argentina o latinoamericana, esto deja de ser una preocupación corporativa lejana y pasa a ser una decisión esta semana: o escribís una política simple, o seguís rezando.

De qué hablamos cuando hablamos de shadow AI

El término shadow AI describe el uso de herramientas de inteligencia artificial generativa —ChatGPT, Claude, Gemini, Copilot, Perplexity, decenas más— por parte de empleados sin que el área de IT o la dirección hayan aprobado, evaluado o documentado ese uso. No es un fenómeno marginal: el Microsoft Work Trend Index 2026 estima que más del 75% de los trabajadores del conocimiento ya usa IA todos los días, y un buen porcentaje lo hace con cuentas personales.

El patrón es el mismo en todos lados. Un comercial le pega a ChatGPT Free el último listado de precios para que se lo reformule en una propuesta. Una persona de RRHH le sube currículums a Gemini para resumirlos. Un developer le pasa código propietario a Copilot personal para que lo "optimice". Cada una de esas interacciones, individualmente, parece inofensiva. Sumadas, son una hemorragia silenciosa de información sensible que ningún firewall corporativo detecta, porque sucede dentro del navegador.

¿Qué dice el reporte de esta semana y por qué importa para tu PyME?

El reporte IBM Cost of a Data Breach 2025, retomado el 13 de mayo por MarkTechPost en su análisis sobre gobernanza empresarial, encuestó a 600 organizaciones y entrevistó a 3.470 ejecutivos. Los hallazgos que más te van a tocar como PyME LATAM:

• 20% de las organizaciones ya sufrió una brecha por shadow AI. Una de cada cinco. Y solo el 13% se enteró en tiempo real.
• El costo promedio de esas brechas fue de 4,63 millones de dólares, contra 3,96 millones de una brecha "normal". Diferencia: 670.000 dólares.
• El 65% de las brechas con shadow AI expuso datos personales de clientes (PII). En Argentina eso te activa la Ley 25.326 y obliga a notificar a la AAIP.
• El 97% de las organizaciones que sufrieron una brecha relacionada a IA no tenían controles de acceso a esas herramientas.

Una respuesta que sintetiza qué es esto en pocas palabras: shadow AI es lo que pasa cuando la velocidad de adopción de la IA por parte de los empleados supera la velocidad con la que la empresa se sienta a definir reglas. Y en una PyME, donde no hay departamento de IT, ese gap es estructural.

Cita "Las organizaciones que no gobiernan el uso de IA generativa por parte de sus empleados están asumiendo un nivel de riesgo comparable a no tener política de protección de datos. La diferencia es que con la IA, la filtración ocurre en un solo prompt." — Gartner, Predicts 2026: AI Risk and Governance, diciembre 2025

¿Por qué las PyMEs argentinas están más expuestas que las multinacionales?

Una PyME de 5 a 50 personas tiene tres desventajas estructurales frente a una corporación: menos controles formales, menos tiempo para escribir políticas y, en general, ningún área de seguridad informática dedicada. Un estudio de Microsoft citado por SoSafe encontró que mientras el 78% de las empresas grandes muestra signos de uso no autorizado de IA, en PyMEs la cifra trepa al 80%. No te quedaste atrás: estás expuesta antes.

Sumá el contexto regulatorio argentino. La Ley 25.326 de Protección de Datos Personales ya obliga a notificar incidentes con datos personales a la AAIP. El proyecto de ley de IA presentado en el Congreso en 2025 y la convergencia regulatoria con la UE hacen que, si tu PyME exporta servicios a Europa, vas a tener que cumplir con el AI Act europeo a partir de agosto de 2026. Las multas pueden llegar al 3% de la facturación anual global.

El error más común: prohibir sin alternativa

El reflejo más extendido —y más improductivo— es prohibir el uso de ChatGPT en la red WiFi de la oficina. ¿El resultado? El empleado lo sigue usando con datos móviles, desde su celular personal, y vos perdés toda la visibilidad. Investigaciones del sector salud citadas por Healthcare Brew muestran que cuando se ofrecen alternativas aprobadas, el uso no autorizado cae un 89%. Cuando solo se prohíbe, no baja casi nada: solo se vuelve invisible.

Las 7 cláusulas mínimas de una política de uso de IA para PyMEs

Una política de uso de IA para PyMEs no necesita ser un documento de 40 páginas escrito por abogados. Necesita ser un texto de 2 a 4 carillas que cualquier empleado pueda leer en 10 minutos, firmar y aplicar mañana. Estas son las 7 cláusulas que no pueden faltar:

1. Definición clara de "datos prohibidos". Listá explícitamente qué información no puede salir nunca de la empresa hacia una IA externa: datos personales de clientes, contratos firmados, estados contables, código fuente propietario, contraseñas, planes estratégicos.
2. Lista blanca de herramientas aprobadas. Decí qué versiones podés usar y cuáles no. Por ejemplo: "Sí: ChatGPT Team, Claude Team, Gemini Workspace. No: cualquier cuenta gratuita o personal".
3. Casos de uso permitidos por rol. Marketing puede usar IA para redactar borradores. Ventas puede usarla para resumir notas. RRHH no puede subirle CVs completos. Definí el detalle.
4. Obligación de revisión humana. Ninguna respuesta de IA va al cliente, al cierre contable o al código de producción sin que una persona la revise y firme.
5. Protocolo ante incidente. Qué hacer si un empleado se da cuenta que pegó algo sensible: a quién avisar, en qué plazo, con qué formulario.
6. Capacitación obligatoria al ingreso. Toda persona nueva firma la política y hace una capacitación corta antes de tener acceso a herramientas corporativas.
7. Revisión trimestral. Las herramientas cambian cada 3 meses. La política tiene que ser un documento vivo, no un PDF guardado en una carpeta.

Con esas 7 cláusulas tenés el 90% del valor que te daría una política armada por un estudio de abogados. El 10% restante lo agregás cuando crezcas.

Plan Free vs Team vs Enterprise: cuál te conviene

Otra parte central de la política es definir qué versión de cada herramienta podés usar. Acá la diferencia no es solo precio: es legalidad y propiedad intelectual.

Si tu PyME tiene entre 5 y 30 personas, la respuesta es casi siempre "Team" o equivalente: pagás 20 dólares por usuario, cortás el entrenamiento con tus datos y empezás a tener algo de control. Es el cambio más barato y de mayor impacto que podés hacer este mes.

¿Cómo aplicar todo esto en menos de una semana?

Una política sin ejecución es un PDF inútil. Estos son los pasos concretos para pasar de cero a una política operativa en cinco días hábiles, sin contratar consultoras carísimas:

1. Día 1 — Relevá. Mandá una encuesta anónima de 5 preguntas: ¿qué herramientas de IA usás?, ¿con cuenta personal o corporativa?, ¿qué datos le pasás?, ¿cada cuánto?, ¿con qué fin? Vas a flashear con las respuestas.
2. Día 2 — Decidí stack. Elegí una herramienta principal (probablemente ChatGPT Team o Claude Team) y dos secundarias. Pagá las licencias para todos los que las necesiten. No discutas el precio: 25 dólares por persona es menos que un café por día.
3. Día 3 — Escribí. Tomá las 7 cláusulas de arriba, adaptalas a tu realidad, redactalas en una página. No más. Si te sale más, sacá.
4. Día 4 — Capacitá. Reunión de una hora con todo el equipo. Mostrás casos reales (Samsung, los datos de IBM), explicás la política, abrís preguntas. Después todos firman.
5. Día 5 — Monitoreá. Activá los logs de las herramientas Team/Enterprise. Marcá fecha de revisión en el calendario para dentro de 90 días.

¿Qué viene en los próximos seis meses?

Tres cosas van a cambiar el panorama antes de fin de año, y conviene que tu PyME esté preparada. Primero, el AI Act europeo entra en plena aplicación para sistemas de alto riesgo el 2 de agosto de 2026. Si exportás servicios a la UE, te aplica. Segundo, los agentes autónomos —software que no solo conversa sino que ejecuta acciones en tu nombre, como mandar mails o crear facturas— se están volviendo mainstream. Una política que solo cubre "no pegues datos sensibles" no alcanza: hay que cubrir también "qué permisos le doy a un agente". Tercero, las herramientas de DLP (Data Loss Prevention) específicas para IA bajaron mucho de precio; en seis meses van a ser accesibles para PyMEs.

El piso de exigencia se está moviendo rápido. Lo que hoy es "buena práctica" en seis meses va a ser estándar mínimo, y en doce meses puede ser obligación legal en tu jurisdicción.

SEO Reflexión: la ventana se cierra rápido

El año pasado se podía argumentar que escribir una política de uso de IA para una PyME era una buena práctica anticipada. Hoy ya no: con los números de IBM en la mano y el AI Act entrando en vigor en agosto, es una decisión defensiva básica. La pregunta para el dueño o gerente de una PyME LATAM no es "¿necesito esto?" sino "¿cuánto tiempo más puedo postergarlo sin que me explote en la cara?"

Mi recomendación, después de leerme los reportes de esta semana: si tenés más de 5 empleados y usan IA para algo del trabajo (que es casi cualquier PyME en 2026), bloqueá un día de esta semana, descargate cualquier plantilla decente, adaptala con las 7 cláusulas que vimos, pagá las licencias Team de tu herramienta principal, y juntá al equipo una hora a hablarlo. Total: una jornada de trabajo, un par de cientos de dólares al mes. A cambio te llevás visibilidad, control, y una capa de protección legal real frente a un incidente. Es el ROI de seguridad más alto que vas a encontrar en todo 2026.

Y si en lugar de hacerlo solo preferís delegarlo, en Kiwi Soluciones Digitales ayudamos a PyMEs argentinas y latinoamericanas a diseñar e implementar políticas de uso de IA adaptadas a su tamaño y sector. La diferencia entre tener una política y no tenerla, hoy, es lo que separa a las empresas que se van a beneficiar de la IA en los próximos años de las que la van a sufrir.