Auditoría AI Act · 8 semanas · Deadline: 2 agosto 2026

Tu próximo cliente enterprise ya te está evaluando por cómo usas la IA. Sin documentación, no pasas el corte.

Para CEOs de PYME española que usan IA en su operativa — aunque no la fabriquen. Sprint de 8 semanas: inventario de sistemas, clasificación de riesgo, política interna y declaración de conformidad. Documentación que resiste una auditoría regulatoria y un cuestionario de proveedor enterprise.

30 minutos para saber si hay jugada → Ver La Lectura

¿Para quién es?

Reconócete en una de estas dos listas.

Es para ti si...

  • Vendes a clientes enterprise que ya te piden cuestionarios de IA governance para homologarte como proveedor
  • Usas IA en procesos de RRHH, finanzas o decisiones que afectan a personas — filtros de CV, scoring de crédito, evaluaciones de rendimiento
  • Operas en sectores regulados: salud, educación, servicios financieros o infraestructura crítica
  • Tu equipo usa ChatGPT, Copilot o cualquier SaaS con IA incorporada — y nadie ha formalizado eso
  • El deadline del 2 de agosto de 2026 está en tu radar pero no tienes claro qué implica para ti

No es para ti si...

  • Tu empresa no usa ningún sistema de IA — ni en software de gestión, ni en herramientas de equipo
  • Buscas un dictamen jurídico sin entregables operativos — eso lo hace un despacho legal
  • Tienes equipo legal interno que ya gestiona compliance regulatorio de forma activa
  • El volumen de tu empresa justifica el ciclo de 6-12 meses de una Big Four

La confusión más cara del EU AI Act: "Yo no fabrico IA, no me aplica." Si usas ChatGPT, tienes un CRM con scoring automático, filtras CVs con software, o tu equipo usa Copilot — eres un deployer según el Reglamento (UE) 2024/1689. Y un deployer tiene obligaciones legales desde agosto de 2025. El 90% de PYMEs españolas usan alguna forma de IA. La mayoría no lo sabe.

El artículo 4 del AI Act sobre alfabetización IA ya está en vigor desde febrero de 2025. El deadline del 2 de agosto de 2026 es para el resto del régimen general. No es que empiece entonces — es que para esa fecha ya no hay periodo de gracia. La AESIA tiene mandato explícito de inspección a PYMEs, no solo a grandes corporaciones.

Pero antes que la multa, viene el contrato perdido. Las empresas enterprise ya incluyen cuestionarios de IA governance en sus procesos de homologación de proveedores. Si no puedes responder, no entras en el proceso de compra. "No sé" es lo mismo que "no".

El proceso

8 semanas. Expediente completo.

1

Discovery — Inventario y mapeo

Semanas 1-2. Levantamos todos los sistemas IA de tu empresa — incluido el shadow IT que tu equipo usa sin que lo sepas. Clasificamos cada sistema según las categorías de riesgo del AI Act: inaceptable, alto, limitado o mínimo. Revisamos contratos con vendors SaaS para identificar cláusulas IA que ya tienes firmadas.

Semanas 1-2

2

Análisis — Riesgo y documentación

Semanas 3-5. Para los sistemas de alto riesgo: Evaluación de Impacto en Derechos Fundamentales (FRIA) y diseño de supervisión humana. Para todos: Política Interna de Uso de IA, cláusulas tipo para nuevos contratos con vendors, y plan de formación Art. 4 con financiación FUNDAE.

Semanas 3-5

3

Entrega — Documentación y revisión anual

Semanas 6-8. Redactamos la documentación final, la Declaración de Conformidad firmada y el expediente completo para responder a cualquier cuestionario de proveedor o requerimiento de la AESIA. Sesión de entrega con Marc. Revisión anual incluida en el plan para mantener el cumplimiento actualizado.

Semanas 6-8 · Revisión anual incluida

El entregable

No un informe.
Un plan de acción.

01

Inventario IA con clasificación de riesgo

Registro completo de todos los sistemas IA que usa tu empresa — incluido el shadow IT del equipo. Cada sistema clasificado según las 4 categorías del AI Act, con las obligaciones específicas que genera. El punto de partida de cualquier defensa ante la AESIA.

02

Política Interna de Uso de IA

Documento corporativo que regula cómo tu empresa usa IA: qué herramientas están autorizadas, quién puede usarlas, qué datos pueden introducirse. Cubre el Art. 4 del AI Act sobre alfabetización IA. Listo para comunicar a tu equipo y para responder cuestionarios de clientes.

03

Declaración de Conformidad firmada

El documento que acredita que tu empresa ha completado el proceso de cumplimiento del AI Act. La respuesta definitiva al cuestionario de tu próximo cliente enterprise. Y la documentación que presentas si la AESIA llama a tu puerta.

El expediente completo incluye además: Evaluación de Impacto en Derechos Fundamentales (si aplica), cláusulas tipo para contratos con vendors SaaS, y plan de formación Art. 4 con financiación FUNDAE al 100%.

"Una consultora de 12 millones de dólares perdió a su cliente más grande. No por trabajo de baja calidad. Porque no pudo responder tres preguntas sobre su postura de cumplimiento IA en una auditoría de proveedor."

En la homologación enterprise, "no sé" equivale a "no". La documentación de cumplimiento IA ya no es solo una obligación regulatoria — es un requisito comercial.

Lo que dicen los datos

Los números que explican por qué esto no puede esperar.

60.000€
Multa tipo para PYME de 2M€
El AI Act fija sanciones de hasta el 3% de la facturación global anual para incumplimientos por parte de deployers. Para una empresa de 2M€, son 60.000€. Además, la AESIA puede ordenar la desconexión del sistema implicado — el impacto operativo suele superar a la multa.
Reglamento (UE) 2024/1689 · Art. 99
2 ago. 2026
Fin del plazo. No el inicio.
El Art. 4 sobre alfabetización IA ya está vigente desde febrero de 2025. El 2 de agosto de 2026 es el deadline para el régimen general: a partir de esa fecha no hay periodo de gracia. Quien empiece el proceso en junio-julio llega tarde — las consultoras se saturan en ese tramo. Quedan 3,5 meses.
EU AI Act · Calendario de aplicación
90%
PYMEs españolas que usan IA
9 de cada 10 PYMEs españolas usan alguna forma de inteligencia artificial en su operativa — la mayoría sin saberlo. Cualquier empresa que use ChatGPT, Copilot, un CRM con scoring o filtros de CV automáticos es un "deployer" bajo el AI Act y tiene obligaciones legales.
Ministerio de Industria y Turismo · España

Preguntas directas

Lo que siempre preguntan
antes de decidir.

¿Si ya tengo RGPD, necesito esto también?

Sí. Son normativas distintas que coexisten. El RGPD regula cómo tratas datos personales. El AI Act regula cómo usas sistemas de inteligencia artificial — independientemente de si hay datos personales implicados. Cumplir uno no implica cumplir el otro.

En la práctica, muchas empresas con RGPD al día tienen incumplimientos de AI Act porque el RGPD no cubre la clasificación de riesgo de los sistemas IA ni la documentación de supervisión humana que exige el nuevo reglamento.

¿Cuánto cuesta?

Entre 5.000 y 20.000€, según el tamaño de tu empresa y el número y complejidad de los sistemas IA que usas. Una empresa de 15 personas con uso básico de herramientas IA está en el tramo bajo. Una empresa de 40 personas en sector regulado con sistemas de alto riesgo, en el tramo alto.

La conversación de 30 minutos es gratuita. Al final tienes una estimación concreta y honesta. Si el coste no tiene sentido para tu situación, te lo decimos.

¿8 semanas es suficiente para cumplir?

Para el sprint inicial de cumplimiento, sí. En 8 semanas tienes el expediente completo: inventario, clasificación de riesgo, política interna, FRIA si aplica, cláusulas de contratos y declaración de conformidad.

El plan de formación Art. 4 se diseña en el sprint pero su ejecución es un proceso que continúa — FUNDAE puede financiar el 100% de esa formación. La revisión anual es lo que mantiene el cumplimiento vigente a medida que incorporas nuevos sistemas o cambia la normativa.

¿Qué pasa si no hago nada?

Tres consecuencias concretas, en orden de probabilidad:

1. Contratos perdidos. Las empresas enterprise ya incluyen cuestionarios de IA governance en sus procesos de homologación de proveedores. Si no puedes responder, no entras en el proceso. Es el impacto más inmediato y el más difícil de recuperar.

2. Sanción de la AESIA. Multa de hasta el 3% de tu facturación global (60.000€ para una empresa de 2M€) más posible desconexión del sistema implicado. La AESIA tiene mandato explícito de supervisar a PYMEs, no solo a grandes corporaciones.

3. Exposición legal acumulada. El incumplimiento no desaparece — se acumula. Cada mes sin documentación es un mes de exposición que complica cualquier defensa posterior si hay un incidente.

¿En qué se diferencia de la Auditoría IA de BTA?

Son servicios complementarios con objetivos opuestos.

La Auditoría IA busca oportunidades: dónde la IA puede darte ventaja competitiva en tu empresa. El resultado es un mapa de dónde ganar.

La Auditoría AI Act gestiona riesgos: dónde el uso de IA que ya tienes puede exponerte a sanciones o pérdida de contratos. El resultado es documentación defensible.

Una empresa que quiere crecer con IA necesita las dos. El orden lógico es: primero saber dónde estás expuesta hoy (AI Act), luego explorar dónde puedes ganar mañana (Auditoría IA).

La inversión

5.000-20.000€ según tamaño y complejidad.
Conversación previa gratuita.

5K-20K€ Sprint 8 semanas · Revisión anual incluida

El rango existe por una razón: una empresa de 15 personas con uso básico de herramientas IA tiene un perfil de riesgo muy diferente a una de 40 personas en sector regulado con sistemas de alto riesgo. Antes de darte un precio, necesitamos 30 minutos para entender tu caso concreto.

Sprint 8 semanas · Precio: 5.000-20.000€

Cubre todo el proceso desde el inventario inicial hasta la declaración de conformidad firmada. Incluye revisión anual para mantener el cumplimiento actualizado. Para tener el expediente completo antes del 2 de agosto de 2026, hay que empezar antes del 1 de junio.

30 minutos para saber si hay jugada →

El expediente incluye

  • Inventario IA + shadow IT con clasificación de riesgo
  • FRIA (Evaluación de Impacto en Derechos Fundamentales) si aplica
  • Política Interna de Uso de IA
  • Cláusulas tipo para contratos con vendors SaaS
  • Plan de formación Art. 4 (FUNDAE financia el 100%)
  • Declaración de Conformidad firmada
  • Revisión anual de cumplimiento

Otros servicios

Quizá necesitas algo diferente.

La Lectura — Diagnóstico estratégico

Diagnóstico dual que combina análisis de mercado y patrón del fundador. Para cuando el problema no es el compliance — es saber cuál es tu siguiente jugada. 2.500€. 10 días.

Auditoría IA — Oportunidades de IA para tu empresa

Una vez gestionada la exposición regulatoria, el siguiente paso es identificar dónde la IA puede darte ventaja competitiva real. Mapa de oportunidades + plan de implementación. 1-2 semanas. Precio: consultar.

30 minutos para saber si hay jugada.

Las consultoras se saturan en junio y julio. Quien empiece en mayo tiene el expediente listo antes del 2 de agosto. Conversación gratuita — si la auditoría no tiene sentido para tu situación, te lo decimos.

30 minutos para saber si hay jugada →

O escríbenos a con una línea sobre tu empresa.