Resumen ejecutivo
El AI Control Center es un panel de administrador dentro de Google Workspace que centraliza la gobernanza de Gemini y de las apps de IA que tocan tus datos. Solo está incluido en Enterprise Standard y Enterprise Plus —no en Business ni en cuentas personales—. Cubre aproximadamente el 30-40% de las obligaciones del AI Act: el resto requiere trabajo profesional (política de uso, formación AI Literacy, plan de respuesta a incidentes, auditoría OAuth). Si tu empresa está en Workspace Business, no estás solo: el 80% del mercado tampoco lo tiene, y hay tres alternativas concretas que explicamos abajo.
¿Qué es el AI Control Center de Google Workspace?
El AI Control Center es un panel nuevo dentro de Admin Console de Google Workspace. Google lo anunció el 4 de mayo de 2026 y lo desplegó por defecto en las ediciones Enterprise Standard y Enterprise Plus, sin add-on adicional y sin opt-in. Su ubicación exacta es Admin Console → Generative AI → AI Control Center.
Sirve para una cosa muy concreta: dar al administrador de Workspace un único sitio desde el que ver y gobernar toda la IA que entra y sale de la organización. Hasta este panel, esas opciones vivían dispersas entre Workspace, Cloud y Gemini Admin. Ahora se centralizan.
Es importante entender qué NO es. No es una función por usuario. Google es explícito en el anuncio oficial: "no se requiere ninguna acción del usuario final". El empleado de a pie no lo ve, no lo activa y no lo configura. Es exclusivamente del admin.
Tampoco es un producto que se vende aparte. Si tienes Enterprise, lo tienes incluido. Si tienes Business, no lo tienes —y no puedes comprarlo como add-on—. Lo cubrimos en detalle más abajo cuando hablamos de en qué planes está incluido.
En BeServices llevamos semanas trabajando con clientes Enterprise para configurarlo correctamente. Lo que vemos en la práctica es que abrirlo lleva 5 minutos pero configurarlo bien lleva entre 2 y 6 semanas dependiendo del tamaño de la organización y de su nivel de regulación.
¿En qué planes de Workspace está disponible?
La sección de Availability del anuncio oficial es taxativa. Te la copiamos literal:
Availability · Enterprise: Enterprise Standard and Plus
Traducido en tabla práctica:
| Plan de Workspace |
¿Tiene AI Control Center? |
Alternativa real |
| Workspace Individual |
❌ No |
No aplica (cuenta personal) |
| Essentials Starter / Essentials |
❌ No |
No tiene Admin Console |
| Business Starter |
❌ No |
Gobernanza manual + DLP básico |
| Business Standard |
❌ No |
Gobernanza manual + DLP básico |
| Business Plus |
❌ No |
Gobernanza manual + Vault avanzado |
| Enterprise Standard |
✅ Sí |
Configuración nativa |
| Enterprise Plus |
✅ Sí |
Configuración nativa + features extra |
Si estás en cualquiera de las ediciones que aparecen con ❌, tienes dos caminos: migrar a Enterprise o cubrir el gap con gobernanza manual ejecutada por un partner certificado. Lo desarrollamos en la sección sobre alternativas para Business y en la comparativa de Business vs Enterprise para gobernanza IA.
Una nota honesta: en el panel hay varios ajustes marcados como "Coming soon". Google los irá habilitando con el tiempo. Es razonable esperar que en 6-12 meses algunas capacidades aterricen también en Business, posiblemente bajo otro nombre o como add-on. No podemos asegurarlo. Hoy, lo único oficial es lo que dice la tabla.
Por qué Google ha lanzado esto ahora
Cinco presiones convergieron en mayo de 2026 y forzaron el lanzamiento.
Primero, la adopción real de IA en empresas se disparó. Según los propios datos de Google, el AI Mode de Search ya atiende a más de 1.000 millones de usuarios al mes en 200 países, y Gemini está en el día a día de cientos de miles de organizaciones. Lo que las empresas usaban sin gobierno antes, ahora se nota.
Segundo, aparecieron los agentes. El Workspace MCP server entró en preview público el 1 de mayo de 2026. Esto significa que agentes externos —Gemini, Claude, GPTs, agentes custom— pueden leer Drive, Gmail o Calendar a través de un protocolo abierto. Sin un panel de gobernanza, la trazabilidad se pierde.
Tercero, el AI Act entra en vigor el 2 de agosto de 2026 para sistemas de IA de propósito general. Las empresas necesitan documentación de uso, formación AI Literacy del equipo (obligatoria desde febrero de 2025) y un dossier técnico para el regulador. Google necesitaba dar a sus clientes la pieza técnica del puzzle.
Cuarto, NIS2 ya está en vigor desde octubre de 2024 y aplica a sectores críticos —salud, energía, transporte, banca, infraestructura digital, manufactura crítica, agua, espacio, servicios postales—. Las multas son de hasta 10 millones de euros o el 2% de la facturación global, lo que sea mayor.
Quinto, Microsoft Purview lleva meses comiendo terreno en empresas mixtas Workspace + M365. Google tenía que responder con un equivalente nativo o perdería contratos a manos del ecosistema de la competencia. Lo comparamos en detalle en AI Control Center vs Microsoft Purview.
El resultado de las cinco presiones a la vez es lo que estamos viendo: Google saca un panel imperfecto pero funcional, gratis en Enterprise, para evitar que empresas reguladas quiten Gemini.
Los 4 módulos del AI Control Center explicados
El panel tiene cuatro módulos. Cada uno aborda un aspecto distinto de la gobernanza.
Monitor de uso
El primer módulo da visibilidad inmediata: quién usa IA en tu organización, en qué app y con qué patrones. Incluye links directos a los reportes de uso de Gemini y a los settings de gestión de la app de Gemini, Gemini for Workspace y otras superficies de IA. La cobertura inicial incluye Gmail, Drive, Docs, Sheets, Slides, Meet, Calendar, Chat y la app Gemini.
Lo útil para un admin no es ver "Gemini se ha usado 12.000 veces este mes". Es ver, por OU y por usuario, qué patrones existen: power users que ahorran horas, equipos que no lo tocan, usos anómalos por volumen o por superficie. Es la base para decidir dónde formar al equipo —que cubrimos en configurar políticas Gemini— y dónde aplicar políticas más estrictas.
Seguridad por servicio
El segundo módulo permite autoridad granular sobre servicios específicos. Por ejemplo, puedes tener Gemini activo en Docs (para redacción asistida) pero con políticas más restrictivas en Meet (donde se procesan datos de clientes en grabación), o desactivado en Gmail si se manejan datos especialmente sensibles.
Esto es importante porque el riesgo no es uniforme. El mismo asistente que ayuda a un comercial a resumir un email puede ser un problema si transcribe una reunión médica con datos de pacientes. El módulo permite que cada superficie respete las políticas de datos de tu dominio. Si tu empresa tiene varios departamentos con regulaciones distintas (ventas + finanzas + sanidad), aquí se diferencia.
Controles fundamentales
El tercer módulo ancla todo el uso de IA en protecciones fundamentales: classification labels, trust rules y data protection rules. Sin labels bien definidos (Público, Interno, Confidencial, Restringido), la IA no sabe qué puede tocar y qué no.
La integración aquí es lo que muchos admins no entienden hasta que entran al panel: el AI Control Center no inventa labels; usa los que ya tienes en Drive/Docs. Si tu empresa nunca configuró classification labels, el módulo se queda vacío y la IA opera con la política por defecto. La configuración correcta es uno de los proyectos típicos que ejecutamos como partner: lo cubrimos en el tutorial específico de classification labels en Workspace.
Apps de terceros
El cuarto módulo es el más comentado y el más mal interpretado: gestiona el acceso de apps de IA reconocidas y de las conectadas vía Workspace MCP server. Pone bajo control en un solo sitio cosas que antes vivían dispersas en Security → API Controls.
Importante: este módulo NO sustituye API Controls. Las apps OAuth genéricas —Zapier, Make, n8n, scripts custom o integraciones internas sin paso por MCP— siguen viviendo en API Controls. El AI Control Center coordina con esa sección pero no la reemplaza. Lo trabajamos en detalle en auditar OAuth en Workspace.
Cómo configurar el AI Control Center paso a paso
Resumen del proceso de configuración. El tutorial completo con capturas comentadas está en Cómo activar el AI Control Center paso a paso.
- Acceder a Admin Console con cuenta super-admin.
- Navegar a Generative AI → AI Control Center. Si tu edición es Enterprise Standard o Plus, debería aparecer por defecto.
- Revisar el módulo Monitor de uso. Sin tocar nada todavía, mira los patrones. Toma nota de qué OUs usan IA y cuáles no.
- Configurar Seguridad por servicio según riesgo. Empieza por las superficies que tocan datos sensibles (Meet, Gmail) y aplica políticas más estrictas; deja Docs y Sheets en política estándar.
- Activar Controles fundamentales. Si no tienes classification labels o trust rules, este es el momento de definirlos. Sin ellos, la gobernanza es nominal.
- Revisar Apps de terceros conectadas. Inventario completo, revoca lo que no se usa, documenta lo que sí.
- Documentar la configuración. Anota qué decidiste y por qué. Esto forma parte del dossier AI Act.
- Validar con un test pequeño antes de aplicar políticas a toda la organización.
Tiempo realista: "Abrirlo lleva 5 minutos. Configurarlo bien lleva semanas si no sabes lo que haces." El error más común es activar políticas globales sin entender el impacto en el día a día del equipo. El segundo error más común es nunca documentar las decisiones.
Lo que el AI Control Center NO resuelve
Esta es la sección que más usan los comerciales y consultores serios. Si te quedas solo en "Google sacó un panel y mola", eres uno más. Si conoces los puntos ciegos, eres partner experto.
1. Agentes OAuth genéricos sin integración nativa. El panel gestiona apps de IA reconocidas (ChatGPT, Claude, Copilot) y las conectadas vía Workspace MCP server. Lo que NO cubre con la misma profundidad son agentes OAuth genéricos —Zapier, Make, n8n, scripts custom—. Esos siguen requiriendo gestión en Security → API Controls. La mayoría de empresas tienen muchas de estas conexiones acumuladas y nunca las han revisado. Es el primer trabajo manual recurrente que pedimos a clientes nuevos.
2. Uso de IA fuera del navegador o de Workspace. Si un empleado copia datos de Drive y los pega en chat.openai.com, el panel no lo ve. La IA fuera del scope de Workspace está fuera. Detectar este Shadow AI requiere DLP a nivel de endpoint o una política de uso de IA documentada y comunicada al equipo. Lo cubrimos en Shadow AI en empresas · cómo detectarlo.
3. Auditoría histórica. El panel muestra el estado actual, no qué pasó antes del 4 de mayo de 2026. Si necesitas saber qué apps OAuth tuvieron acceso durante los dos años anteriores, hay que usar Security Investigation Tool. Esto es habitual en empresas con auditorías de compliance previstas.
4. Calidad subjetiva de las políticas. El panel te dice si HAY políticas configuradas, no si son adecuadas. "12 DLP rules activas" en verde puede no cubrir nada crítico. La calidad de las reglas requiere juicio humano y conocimiento del sector. Es el valor real del BeAudit comercial.
5. Cadenas de agentes. Cuando un agente llama a otro que llama a otro, el panel muestra solo la conexión inicial. La trazabilidad completa de cadenas agénticas requiere herramientas externas de observabilidad. Aplica sobre todo a scale-ups tech con stack de IA propio.
Conocer estos cinco puntos ciegos es la diferencia entre vender el AI Control Center como solución mágica (mal) y posicionarlo como pieza importante de un puzzle mayor (bien).
AI Control Center y AI Act · qué cumple y qué no
El AI Act entra en vigor el 2 de agosto de 2026 para sistemas de IA de propósito general. ¿Cuánto del trabajo de cumplimiento te resuelve el AI Control Center?
Tabla detallada, por obligación:
| Obligación del AI Act |
¿Lo cubre Google? |
Qué hace falta hacer |
| Visibilidad de uso de IA en la empresa |
✅ Sí, parcial (módulo 1) |
Configurar bien el monitor + interpretar los datos |
| Política de uso de IA documentada |
❌ No |
Redactarla con el cliente, adaptada a su sector |
| Formación AI Literacy del equipo |
❌ No (obligatoria desde feb 2025) |
Impartir formación según rol y departamento |
| Registro de tratamientos con datos personales |
⚠️ Parcial (técnico, no documental) |
Documentar el registro para RGPD reforzado |
| Plan de respuesta a incidentes IA |
❌ No |
Diseñarlo y entrenarlo con el cliente |
| Evidencias técnicas para auditoría |
✅ Sí (módulo 4 + audit logs) |
Recopilar y organizar el dossier final |
| Detección de Shadow AI (apps no Google) |
⚠️ Parcial (solo OAuth conectados) |
Auditoría completa OAuth + DLP endpoint |
| Política de respuesta ante regulador |
❌ No |
Procedimiento operativo documentado |
Conclusión honesta: el AI Control Center cubre aproximadamente el 30-40% del AI Act. El 60-70% restante es trabajo profesional que sigue requiriendo un partner experto en gobernanza de IA.
Una capa adicional importante para empresas españolas: la nueva ley española de IA aprobada el 26 de mayo de 2026 establece sanciones de hasta 35 millones de euros y crea la autoridad supervisora AESIA. Aplica en paralelo al AI Act europeo y, para sectores específicos, refuerza obligaciones. Lo cubrimos en AESIA y obligaciones de IA en España.
Lo trabajamos por completo en dos artículos: AI Act y Workspace · obligaciones para empresas y cumplir AI Act el 2 de agosto.
Qué hacer si tu empresa está en Workspace Business
Cuatro de cada cinco empresas con Google Workspace están en alguna edición Business y NO tienen acceso al AI Control Center. No es un problema marginal —es el problema del 80% del mercado—. Tres caminos reales:
Opción 1 · Migrar a Enterprise Standard
Cuándo merece la pena: empresas con más de 50 personas, datos especialmente sensibles, sector regulado (NIS2 o AI Act alto riesgo), o compliance demostrable como requisito comercial. El coste por usuario sube, pero llegas a tener el panel nativo + features de seguridad y administración avanzadas. Análisis ROI completo en migrar a Workspace Enterprise · cuándo merece la pena.
Opción 2 · Gobernanza manual con un partner
Sin panel automático, la gobernanza se construye a mano sobre lo que Business sí permite. En BeServices lo formalizamos como PROTEGE Nivel 4 (Protección IA): auditoría OAuth, classification labels, DLP avanzado configurado manualmente, política de uso de IA documentada, formación AI Literacy y dossier auditable. No es lo mismo que tener el AI Control Center, pero cubre lo importante del AI Act y NIS2 a un coste razonable para una pyme. Lo cubrimos en alternativa al AI Control Center para Business.
Opción 3 · Combinación inteligente (recomendada para muchos casos)
Migra a Enterprise solo el subconjunto crítico (departamento de I+D + dirección + finanzas, por ejemplo) y mantén al resto en Business con gobernanza manual. Pagas Enterprise solo donde aporta valor y aplicas gobernanza profesional al resto. Suele ser la opción más eficiente para empresas de 50-150 personas.
Decidir entre las tres opciones requiere conocer tu situación específica. Es exactamente lo que cubrimos en una auditoría de 30 minutos con nosotros: te enseñamos qué tienes hoy, qué te falta, qué priorizar y qué presupuesto realista necesitas.
Conclusión y siguientes pasos
Resumen ejecutivo de lo que has leído:
- El AI Control Center es la primera respuesta nativa de Google a la gobernanza de IA en Workspace.
- Solo está en Enterprise Standard y Plus —no es "gratis para todos"—.
- Cubre 30-40% del AI Act: lo técnico. El 60-70% restante necesita trabajo profesional fuera del panel.
- Si estás en Business, hay alternativas reales (migrar, gobernanza manual o combinación).
- El timing del AI Act (2 de agosto) y de la nueva ley española de IA (multas hasta 35M€) convierte esto en urgente.
En BeServices configuramos Workspace para empresas españolas como partner certificado Google. Si quieres entender qué tienes activado en tu tenant ahora mismo, qué te falta para cumplir el AI Act y qué deberías priorizar antes del 2 de agosto, agenda una auditoría de 30 minutos con nosotros.
El 2 de agosto entra en vigor el AI Act. Quedan pocas semanas.
Si tu empresa no tiene el plan de cumplimiento listo, podemos ayudarte. Te hacemos una auditoría de 30 minutos donde revisamos tu situación exacta y te entregamos el plan personalizado.
Agenda tu auditoría
932 003 252
Preguntas frecuentes
¿Cuánto cuesta el AI Control Center?
Cero euros adicionales si ya tienes Enterprise Standard o Enterprise Plus: viene incluido por defecto, sin add-on ni opt-in. Si estás en Business (Starter, Standard o Plus), no está disponible en ningún caso, ni siquiera pagando aparte: necesitas migrar a Enterprise (o cubrir el gap con gobernanza manual de un partner).
¿Tengo que activar algo o ya está disponible?
En las ediciones Enterprise Standard y Plus el panel aparece por defecto en Admin Console → Generative AI → AI Control Center sin ninguna acción del super-admin. No hay un interruptor de activación. Sí hay decisiones de configuración que tomar dentro del panel: políticas por servicio, classification labels, trust rules, gestión de apps de terceros.
¿Funciona si mi empresa usa Claude o ChatGPT en vez de Gemini?
Sí, parcialmente. El AI Control Center gestiona el acceso de apps de IA reconocidas (ChatGPT, Claude, Microsoft Copilot) y las que se conectan vía el nuevo Workspace MCP server. Lo que NO cubre con la misma profundidad son los agentes OAuth genéricos sin integración nativa con MCP —Zapier, Make, n8n, scripts custom—, que siguen requiriendo gestión en Security → API Controls.
¿Cumple totalmente con el AI Act?
No. Cubre alrededor del 30-40% del AI Act —principalmente la parte técnica: visibilidad de uso, controles por servicio, evidencias técnicas, detección parcial de Shadow AI—. El 60-70% restante es trabajo profesional: política de uso de IA documentada, formación AI Literacy obligatoria desde febrero 2025, registro de tratamientos, plan de respuesta a incidentes, dossier auditable. El AI Control Center es una pieza, no la solución completa.
¿Qué pasa si no lo configuro?
Si estás en Enterprise y no entras al panel, sigues operando con la configuración por defecto de Google: razonable, pero genérica. Cuando llegue una auditoría AI Act o NIS2, no tendrás documentación específica de tu organización. Si además surge un incidente —fuga de datos vía un agente OAuth no auditado, por ejemplo—, la responsabilidad operativa recae sobre el admin. Configurarlo bien lleva semanas; no configurarlo es un riesgo creciente.
¿Necesito un partner para configurarlo?
Abrirlo lleva 5 minutos. Configurarlo bien lleva entre 2 y 6 semanas dependiendo del tamaño de la empresa. Un partner certificado Google añade valor en cuatro cosas: interpretar qué te dice el panel, ajustar políticas según tu sector, auditar las apps OAuth que el panel ve pero no juzga, y producir la documentación que el regulador exige fuera del panel. No es obligatorio, pero ahorra tiempo y errores caros.
¿Cuánto tarda configurarlo bien?
Para una empresa de 50-100 empleados: entre 2 y 4 semanas si se hace en serio (auditoría OAuth + classification labels + DLP + política documentada + formación al equipo de IT). Para Enterprise con varias OU y sectores regulados (salud, banca, energía): 6-12 semanas, incluyendo la integración con SIEM si aplica. La parte rápida es el panel; la parte lenta es el dossier documental que el AI Act exige.
¿Es compatible con Microsoft Purview o son alternativas?
Son productos paralelos para ecosistemas distintos. Si tu empresa vive en Google Workspace, AI Control Center. Si vive en Microsoft 365, Purview. Conviven en organizaciones mixtas, pero cada uno gobierna su propio ecosistema; no hay un panel único cross-cloud todavía. Comparamos los dos en nuestro [análisis AI Control Center vs Microsoft Purview](/blog/ai-control-center-vs-microsoft-purview).
¿Qué reportes genera para auditorías?
Genera evidencias técnicas: quién usa Gemini en qué app, qué políticas hay activas, inventario OAuth con scopes, registros de cambios en configuración. Estas evidencias forman parte del dossier AI Act y NIS2 pero no lo sustituyen: el dossier necesita también documentación humana (política de uso, registro de tratamientos, plan de respuesta) que el panel no produce.
¿Cambiará en los próximos meses?
Sí. Varios ajustes del panel aparecen marcados como Coming soon —Google los desplegará gradualmente—, y es razonable esperar que algunas capacidades lleguen a Business en 6-12 meses bajo otro nombre o add-on. Mantenemos esta guía actualizada cada 3 meses; te recomendamos suscribirte al feed del blog para recibir las novedades importantes.
