Aplicación empresarial

Shadow AI (adopción no oficial)

Shadow AI es el uso de herramientas de inteligencia artificial por parte de empleados sin conocimiento ni autorización del departamento de TI o de dirección. Típicamente involucra cuentas personales de ChatGPT, Claude, Gemini o Copilot a las que los empleados pegan información de la empresa para hacer su trabajo más rápido. Es la realidad mayoritaria en pymes españolas en 2026 y plantea riesgos serios de privacidad, RGPD y propiedad intelectual.

Por Ana María González Actualizado: 28 de abril de 2026 Verificado vigente: 30 de abril de 2026

Definición rápida

Respuesta directa

Explicación ampliada

El nombre viene de "shadow IT" (TI en la sombra), expresión clásica para referirse a aplicaciones que los empleados instalaban por su cuenta sin pedir permiso. Con la IA el fenómeno se ha amplificado por cuatro factores: las herramientas son gratuitas o muy baratas, no requieren instalación (basta un navegador), la utilidad es inmediata desde el primer minuto y la barrera de aprendizaje es nula. El resultado es que en la mayoría de empresas españolas hay más personas usando IA que las que la dirección cree. El problema operativo es lo que sale por la puerta. Cuando un empleado pega un correo de un cliente para que ChatGPT le ayude a redactar la respuesta, ese correo (con datos personales, datos comerciales, posiblemente información confidencial) sale del perímetro de la empresa hacia los servidores de OpenAI. En planes gratuitos, esos datos pueden usarse para entrenar futuras versiones del modelo. En planes empresariales con DPA firmado, no; pero el empleado está usando su cuenta personal, no la empresarial. El problema legal es doble. RGPD: si los datos incluyen información personal de terceros (clientes, candidatos, proveedores), la empresa está haciendo una transferencia internacional de datos sin contrato DPA, lo cual es infracción directa con sanciones potenciales. AI Act: ciertas tareas (selección de personal, evaluación de empleados, decisiones de crédito) entran en categoría de alto riesgo desde 2 de agosto de 2026 y requieren registros y trazabilidad que el shadow AI no permite.

Por qué importa para tu empresa

Aplicación práctica

Cualquier pyme española en 2026 que no haya implantado una política de IA ya tiene shadow AI activo casi con seguridad. La respuesta correcta no es prohibir (los empleados ven que la IA les hace más productivos y van a usarla igual), sino canalizar: dar a todo el equipo acceso a una herramienta empresarial con plan que cubra confidencialidad y formación breve sobre qué se puede pegar y qué no. La transición cuesta entre 70 y 300 euros al mes para 10 empleados según el proveedor elegido, y elimina el grueso del riesgo legal y reputacional.

Ejemplo concreto

Caso real

Un despacho de abogados de 15 personas descubrió en una auditoría interna que 11 abogados usaban ChatGPT gratuito en sus cuentas personales para resumir sentencias y preparar borradores de escritos. Al revisar el historial, varios habían pegado actas de juntas de accionistas y borradores de querellas con datos personales identificables. La auditoría concluyó que había al menos 3 incidentes con riesgo RGPD reportable. La dirección contrató ChatGPT Business para los 15, hizo una sesión formativa de 2 horas, y publicaron una política de uso. Tres meses después la productividad documentada del despacho había aumentado un 18% medida en escritos preparados por hora, sin nuevos incidentes.