A estas alturas, la mayoría de los administradores de Microsoft 365 saben que Copilot respeta los permisos de los usuarios. No mostrará contenido al que un usuario no tenga acceso. Este hecho ha impulsado una oleada de revisiones de permisos en organizaciones que se preparan para implantar Copilot — limpiando permisos excesivamente abiertos, auditando grupos de acceso, corrigiendo herencias rotas, asegurándose de que el modelo de permisos refleja realmente quién debería ver qué.
Ese trabajo es importante y es el punto de partida correcto. Pero los permisos son solo una capa del panorama de gobernanza. A medida que Microsoft se prepara para cambiar Copilot en SharePoint de opt-in a opt-out a mediados de junio de 2026, hay decisiones de gobernanza a un nivel más profundo que muchas organizaciones todavía no han abordado — decisiones que van más allá de quién puede ver qué, hacia cómo se procesan los datos, adónde van, y quién en tu organización tiene autoridad para cambiar cómo se comporta la IA en tus sitios.
Este artículo trata sobre esas decisiones.
¿Qué es Copilot en SharePoint?
Copilot en SharePoint es la experiencia de IA integrada en los sitios de SharePoint. Permite a los usuarios mantener conversaciones en lenguaje natural con el contenido de su sitio, generar documentos, crear y ejecutar Skills (flujos de trabajo de varios pasos almacenados como archivos Markdown), y crear informes y paneles a partir de los datos de SharePoint. Funciona en cualquier sitio donde un usuario con licencia de Copilot esté activo y la funcionalidad esté habilitada.
A partir de mediados de junio de 2026, cambia de opt-in a opt-out para todos los tenants con licencias de Microsoft 365 Copilot. Si tu organización tiene licencias de Copilot y no haces nada antes de mediados de junio, el botón flotante de Copilot aparecerá en la esquina inferior derecha de las páginas de SharePoint para cada usuario con licencia de Microsoft 365 Copilot.
Ese es el contexto. Aquí están las decisiones de gobernanza.
Decisión 1 — ¿Opt-in u Opt-out?
Esta es la decisión más inmediata y necesita tomarse de forma consciente, no por defecto.
Si no haces nada, Copilot en SharePoint se despliega para todos tus usuarios con licencia de Copilot en todos los sitios a mediados de junio. Para las organizaciones que se han estado preparando, puede estar bien. Para las que no lo han hecho, significa que una capacidad significativa llega a manos de los usuarios sin ninguna comunicación, formación o marco de gobernanza establecido.
El PowerShell para desactivarlo es sencillo — a nivel de tenant completo, o limitado para excluir sitios sensibles específicos. Para los detalles técnicos de configuración, la guía práctica de Copilot en SharePoint 2026 del MVP de Microsoft Daniel Anderson cubre la configuración completa de administración incluyendo los comandos de PowerShell y el plan de reversión.
La pregunta de gobernanza a responder: ¿ha tomado tu organización una decisión deliberada sobre este despliegue, o va a llegar por defecto? Si tu grupo de gobernanza no lo ha discutido, esa conversación necesita ocurrir antes de mediados de junio.
Decisión 2 — ¿Anthropic Activado o Desactivado? (Especialmente Crítico para la UE/Reino Unido)
Esta es la decisión que pilla desprevenidas a la mayoría de organizaciones — y para las organizaciones de la UE y Reino Unido, tiene implicaciones directas con el RGPD.
Durante la vista previa pública actual, Microsoft da a los administradores la opción de habilitar Anthropic como subprocesador de IA. Cuando está habilitado, la experiencia completa de Copilot en SharePoint funciona con Anthropic Claude — que proporciona un razonamiento de varios pasos más sólido, una ejecución de Skills más fiable y una salida analítica más completa.
Suena sencillo. Pero aquí está lo que el interruptor del centro de administración no hace obvio:
Anthropic está actualmente excluido de los compromisos de la frontera de datos de la UE.
Para los tenants de la UE y Reino Unido, Microsoft ha deshabilitado Anthropic por defecto — una elección deliberada para evitar que los datos salgan de la frontera de la UE sin el consentimiento explícito del administrador. Si un administrador de la UE/Reino Unido habilita Anthropic sin entender esto, está potencialmente enrutando datos organizacionales fuera de la frontera de datos de la UE. Bajo el RGPD, esa es una transferencia de datos que requiere una base legal, documentación, y en la mayoría de los casos el conocimiento de tu equipo de protección de datos o responsable de cumplimiento.
La documentación de Microsoft es clara al respecto, pero está enterrada en las guías de configuración. El interruptor es solo un interruptor en el centro de administración — no muestra ninguna advertencia sobre el RGPD.
Para las organizaciones de la UE/Reino Unido la lista de verificación de gobernanza es:
- ¿Está Anthropic actualmente habilitado en tu tenant? Comprueba: Centro de administración de Microsoft 365 → Copilot → Configuración → Acceso a datos → Proveedores de IA
- Si está habilitado, ¿lo sabe tu equipo de protección de datos o responsable de cumplimiento? ¿Fue una decisión deliberada o un administrador lo habilitó sin entender las implicaciones de la frontera de datos?
- Si está deshabilitado (el valor predeterminado para la UE/Reino Unido), ¿es el modelo alternativo suficiente para tu caso de uso?
Las buenas noticias para las organizaciones de la UE/Reino Unido que se quedan al margen: a partir del despliegue opt-out de mediados de junio, Copilot en SharePoint cambia al modelo de razonamiento GPT-5.4 de OpenAI independientemente de la configuración de Anthropic. La decisión sobre Anthropic se vuelve menos crítica para la experiencia específica de SharePoint a partir de la disponibilidad general — aunque sigue afectando a los agentes de Word, Excel y PowerPoint de Copilot.
Para los tenants fuera de la UE/Reino Unido, Anthropic probablemente ya está habilitado por defecto. Si estás ejecutando la vista previa, probablemente ya estás en Claude. La preocupación por la frontera de datos es menos aguda, pero tu equipo de protección de datos debería seguir siendo consciente de que Anthropic opera como subprocesador de Microsoft bajo las salvaguardas contractuales de Microsoft — no directamente bajo tu propio Acuerdo de Procesamiento de Datos (APD) con Anthropic.
Decisión 3 — Enrutamiento Flexible Durante Períodos de Carga Máxima
Mientras estás en el centro de administración revisando la configuración de Anthropic, hay otra configuración que vale la pena comprobar que tiene implicaciones similares para la frontera de datos — Enrutamiento flexible durante períodos de carga máxima.
Esta configuración permite que Microsoft 365 Copilot enrute la inferencia de LLM fuera de la Frontera de Datos de la UE durante períodos de alta demanda, con el fin de mantener una experiencia consistente de Copilot. Está habilitada por defecto.
Los detalles clave de la propia descripción de Microsoft:
- La inferencia de LLM puede ocurrir fuera de la UE durante carga máxima
- Los datos en reposo continúan almacenándose dentro de la Frontera de Datos de la UE
- Una cantidad limitada de datos seudonimizados puede almacenarse fuera de la Frontera de Datos de la UE por razones de seguridad y operativas
Para la mayoría de organizaciones esto es un equilibrio aceptable — los datos en sí permanecen en la UE, solo el procesamiento se mueve temporalmente fuera. Pero para organizaciones con requisitos estrictos de soberanía de datos o regulaciones específicas del sector, incluso el procesamiento temporal fuera de la UE puede ser una preocupación de cumplimiento que necesita ser documentada y aprobada.
Encontrarás esta configuración en: Centro de administración de Microsoft 365 → Copilot → Configuración → Ver todo
La pregunta de gobernanza: ¿es tu organización consciente de que esta configuración está activada por defecto? ¿Se ha tomado la decisión de permitir o no el enrutamiento flexible de forma deliberada por las personas correctas — o simplemente se ha dejado como valor predeterminado? Al igual que la decisión sobre Anthropic, esta pertenece a tu documentación de protección de datos.
Decisión 4 — ¿Quién Puede Crear Skills?
Las Skills son una de las capacidades más potentes de Copilot en SharePoint — y por esa razón, una de las que más necesita un marco de gobernanza claro. Una Skill es un archivo Markdown almacenado en /Agent Assets/Skills/<nombre>/SKILL.md en un sitio de SharePoint. Define un flujo de trabajo de varios pasos que cualquier usuario del sitio con los permisos adecuados puede ejecutar a demanda.
La brecha de gobernanza aquí es que las Skills pueden ser creadas por cualquier usuario del sitio con permisos de edición. No hay flujo de aprobación, no hay aprobación del grupo de gobernanza, no hay registro central de qué Skills existen en tu tenant.
Considera lo que una Skill puede hacer:
- Consultar y resumir documentos sensibles
- Generar contenido que se publica en páginas de SharePoint
- Procesar datos de listas y bibliotecas a escala
- Ejecutar flujos de trabajo de varios pasos que tocan múltiples áreas de contenido
Una Skill mal escrita — o una deliberadamente manipuladora — puede causar problemas reales a escala. Y una vez que una Skill está en la biblioteca de Agent Assets, está disponible para todos en ese sitio.
El marco de gobernanza necesario:
- Definir quién está autorizado a crear y publicar Skills — no solo cualquiera con permisos de edición
- Requerir que las Skills sean revisadas antes de que estén disponibles para otros usuarios
- Mantener un registro de Skills aprobadas y lo que hacen
- Incluir las Skills en tu proceso de gestión de cambios — una nueva Skill que toca contenido sensible debería pasar por la misma aprobación que cualquier cambio importante
Esto refleja el principio en los documentos de gobernanza empresarial de que los agentes de Copilot requieren aprobación explícita del grupo de gobernanza antes de su despliegue. Las Skills son agentes. Necesitan el mismo tratamiento.
Decisión 5 — ¿Qué Va en el Archivo SharePoint.md?
Cada sitio de SharePoint puede tener un archivo SharePoint.md en la raíz de su biblioteca Agent Assets. Este archivo se carga automáticamente en cada conversación de Copilot en ese sitio — le dice a Copilot para qué es el sitio, qué convenciones de nombrado seguir, qué reglas aplicar.
Pero es más que un archivo de configuración útil. Como describe el MVP de Microsoft Daniel Anderson, el archivo SharePoint.md es un instrumento de gobernanza — el mecanismo por el cual un propietario del sitio controla cómo se comporta Copilot en su sitio. Escribes las reglas en él, y Copilot las sigue en cada conversación en ese sitio, automáticamente, sin que el usuario tenga que reexplicar nada.
Lo que puede gobernar:
- Convenciones de nombrado — "todos los documentos de política deben seguir el formato POL-NNN-Título"
- Límites de contenido — "solo hacer referencia al contenido de la biblioteca de Políticas, no de la carpeta de Archivo"
- Idioma y tono — "las respuestas deben ser en inglés y francés formal"
- Reglas de proceso — "al crear un nuevo documento, usar siempre la plantilla de Política aprobada"
- Restricciones — "no resumir ni hacer referencia a documentos con estado de Borrador"
- Propósito del sitio — para qué es el sitio, quién lo usa, qué tipo de solicitudes son apropiadas
En términos de gobernanza, el archivo SharePoint.md es donde vive la política de Copilot a nivel de sitio. Así como tu modelo de permisos controla quién puede acceder al contenido, el SharePoint.md controla lo que Copilot hace con ese contenido y cómo se comporta cuando los usuarios interactúan con él.
El riesgo de gobernanza si no se gestiona: si cualquier miembro del sitio con permisos de edición puede escribir lo que quiera en el archivo SharePoint.md sin supervisión, puede configurar inadvertida — o deliberadamente — Copilot para que se comporte de maneras que entren en conflicto con las políticas más amplias de tu organización. Un archivo mal escrito podría instruir a Copilot a ignorar las reglas de clasificación, saltarse las convenciones de nombrado, o hacer referencia a contenido que no debería.
El marco de gobernanza necesario:
- Tratar el archivo SharePoint.md como un documento de política del sitio — debe tener propietario, versiones y revisiones
- Solo los propietarios del sitio deben tener permiso para editarlo — no los miembros generales del sitio
- Debe revisarse como parte del ciclo regular de revisión de gobernanza del sitio
- Los cambios en él deben pasar por el mismo proceso de gestión de cambios que cualquier otro cambio de configuración del sitio
- Para organizaciones más grandes, debe proporcionarse una plantilla central o conjunto de instrucciones aprobadas para que los propietarios del sitio no tengan que escribir reglas de gobernanza desde cero
El archivo SharePoint.md es una de las herramientas de gobernanza más potentes que Copilot en SharePoint te ofrece. Bien utilizado, hace que Copilot se comporte de manera consistente y correcta en cada sitio. Sin gestión, se convierte en una brecha de gobernanza.
Decisión 6 — Revisión de Permisos Antes del Despliegue
Volvemos al punto de partida — porque este paso no puede omitirse aunque se hayan abordado los demás.
Copilot respeta los permisos. Esa es la funcionalidad, no una solución alternativa. Pero significa que Copilot es tan confiable como tu modelo de permisos. Si tus permisos son excesivamente permisivos — si los usuarios tienen acceso a contenido que no deberían tener porque la herencia nunca se rompió, o porque alguien los añadió a un grupo hace años y nadie lo revisó — Copilot les mostrará ese contenido.
El despliegue de mediados de junio es una razón de peso para hacer una auditoría de permisos si no la has hecho. Antes de que Copilot entre en funcionamiento para tus usuarios:
- Revisar las pertenencias a grupos — especialmente los grupos de Propietarios y Miembros del sitio
- Comprobar si hay herencias rotas que puedan haber creado acceso no intencionado
- Revisar la configuración de uso compartido externo — ¿hay enlaces de uso compartido que deberían haber expirado?
- Comprobar los usuarios inactivos con permisos activos
- Revisar los sitios donde vive contenido sensible — RRHH, legal, finanzas — y asegurarse de que esos permisos estén bien ajustados
La Gestión Avanzada de SharePoint (SAM) de Microsoft proporciona las herramientas para esto — informes de permisos, detección de sitios inactivos y detección de contenido restringido para sitios que nunca deberían ser mostrados por Copilot independientemente de los permisos.
La Fecha Límite de Junio
Mediados de junio de 2026 no es una recomendación — es cuando comienza el despliegue. Una vez que comience, Copilot en SharePoint aparece para cada usuario con licencia de Microsoft 365 Copilot en tu tenant a menos que hayas optado activamente por no participar.
Las acciones mínimas de gobernanza antes de esa fecha:
- Tomar la decisión de opt-in/opt-out — explícitamente, como una decisión de gobernanza, no por defecto
- Comprobar el estado de Anthropic — especialmente para tenants de la UE/Reino Unido. ¿Está activado? ¿Lo sabe tu equipo de protección de datos?
- Comprobar el estado del enrutamiento flexible — ¿está activado por defecto? ¿Se ha tomado la decisión de forma deliberada y documentada?
- Definir quién puede crear Skills — añadirlo a tu marco de permisos y gestión de cambios
- Asignar la propiedad de los archivos SharePoint.md — al menos para tus sitios con más tráfico
- Ejecutar una revisión de permisos — en los sitios donde vive contenido sensible
Ninguna de estas acciones requiere una implementación técnica profunda. Requieren conversaciones de gobernanza que la mayoría de las organizaciones simplemente no han tenido todavía porque la fecha límite de junio solo recientemente ha entrado en foco.
Si tu documento de gobernanza de intranet o SharePoint todavía no incluye una sección sobre Copilot, ahora es el momento de añadirla. Las preguntas básicas de gobernanza — quién puede hacer qué, qué requiere aprobación, qué pasa con los datos — se aplican a las capacidades de IA igual que se aplican a los permisos y la gestión de contenido.