Qué podés pegar en ChatGPT y qué no

Alguien en la oficina abre ChatGPT, pega la base de clientes entera y le pide que la ordene. Otro pega un contrato para que se lo resuma. Un tercero, datos de un paciente.

Lo veo seguido, y casi nunca es por malicia. Es porque nadie le dijo a esa persona dónde está la línea. La herramienta funciona tan bien que se vuelve invisible: dejás de pensar que del otro lado hay un servidor que no es tuyo. Y el problema no es que la gente use IA. Es que la usa a ciegas.

El problema tiene nombre: shadow AI

Cuando nadie marca la cancha, pasa lo previsible. Cada uno usa la herramienta que le gusta, con la cuenta que tiene a mano, y pega lo que necesita pegar. Nadie lleva registro. A eso se le dice "shadow AI": IA que entra a la empresa por la puerta de atrás, sin que nadie haya decidido nada.

El riesgo no es la herramienta. Es no saber qué datos están saliendo. Si te pregunto hoy qué información de tu empresa pasó por una IA esta semana, lo más probable es que no tengas idea. Y lo que no podés ver, no lo podés cuidar.

Una regla mental que alcanza para el 90%

No hace falta un curso de ciberseguridad para empezar. Alcanza con una pregunta que cualquiera puede hacerse antes de apretar Enter: ¿esto se lo mandarías por mail a un desconocido?

Si la respuesta es no, no lo pegues sin pensarlo dos veces. Es tosca, no cubre todos los casos, pero filtra la enorme mayoría de las metidas de pata. Y tiene una ventaja sobre cualquier política larga: la gente se la acuerda.

Qué suele ser seguro y qué es sensible

Para bajarlo a tierra, una división rápida que sirve casi siempre.

Suele ser seguro:

• Texto que ya es público o que publicarías sin problema.
• Borradores, ideas, lluvia de pensamientos.
• Cosas tuyas que no tienen datos personales de nadie.

Es sensible y pide cuidado:

• Datos de clientes: nombres, mails, teléfonos, lo que sea que los identifique.
• Información de salud y datos médicos.
• Números financieros internos, datos de tarjetas, cuentas.
• Contraseñas, claves de acceso, contratos firmados.

No es una lista para colgar en la pared. Es para que cada uno entienda la lógica: cuanto más identifica a una persona o más comprometería a la empresa, más arriba está en la escala de cuidado.

La política mínima posible

Acá viene la parte que casi todos hacen mal: creen que necesitan un manual de cuarenta páginas. No lo necesitan. Una política de IA que de verdad se usa entra en una hoja.

Tres reglas alcanzan para arrancar. Una: esto sí, esto no, con la lista de arriba adaptada a tu negocio. Dos: cuando toques algo sensible, usá las opciones que no entrenan con tus datos, casi todas las herramientas tienen ese modo, hay que activarlo. Tres: ante la duda, preguntá antes de pegar.

La mejor política de IA no es la más completa. Es la única que tu equipo se acuerda el martes a las tres de la tarde.

Una hoja que se lee y se aplica le gana siempre a un documento perfecto que nadie abrió.

Esto no es para asustar

Que quede claro: nada de esto es para frenar a nadie ni para prohibir la IA. Es lo contrario. El que tiene miedo de meter la pata termina usando menos la herramienta, o peor, la usa igual pero a escondidas y sin contarle a nadie.

La línea clara no es un freno. Es lo que te deja usar la IA tranquilo, todos los días, sin esa vocecita preguntándote si recién hiciste un desastre. Saber dónde está el límite es justo lo que te permite acercarte a él sin miedo.

En una línea

Si hoy le preguntás a tu equipo dónde está la línea de lo que se puede pegar y lo que no, ¿te contestarían todos lo mismo, o cada uno tiene su propia versión?