Producto Cumplimiento IA · Suite RespondeYA

Auditoría AI Act y cumplimiento normativo para empresas que usan IA

El 2 de agosto de 2026 entra en pleno vigor el AI Act EU. Las sanciones llegan hasta 15M EUR o el 3% de facturación global. Te entregamos auditoría de tus sistemas IA, plan de adecuación priorizado y formación del personal exigida por el Art. 4 — antes del plazo, no en cuanto llegue la primera multa al sector.

RGPD by designDatos en la UEConfiguración asistidaSin permanencia

El problema

Hay menos de un año y los plazos no son sugerencias

El Reglamento (UE) 2024/1689 establece un calendario en cascada con consecuencias muy reales. Las pymes españolas que usan IA (incluyendo CRM con scoring, automatizaciones de RRHH, scoring crediticio, chatbots con perfilado) están en plazo y, mayoritariamente, sin inventario.

  • Art. 4 (alfabetización IA del personal): exigible desde febrero 2025
  • Sistemas de propósito general (GPAI): exigibles desde agosto 2025
  • Sistemas IA de alto riesgo: cumplimiento pleno 2 agosto 2026
  • Sanciones hasta 15M EUR / 3% facturación por incumplimiento
  • AESIA (autoridad española) operativa con régimen sancionador

Cómo lo resolvemos

Qué incluye el servicio

Un proyecto de cumplimiento estructurado en fases con entregables tangibles, no una consultoría open-ended.

  • Inventario completo de sistemas IA

    Mapeamos cada uso de IA en la organización: chatbots, scoring, recomendadores, automatizaciones, modelos custom. Incluye sombra IT (ChatGPT del equipo) y herramientas SaaS con IA embebida.

  • Clasificación de riesgo según AI Act

    Cada sistema clasificado en prohibido / alto riesgo / riesgo limitado / mínimo. Justificación documentada artículo por artículo. Identificación de sistemas críticos que requieren DPIA + Evaluación de Conformidad.

  • Plan de adecuación priorizado

    Hoja de ruta con quick-wins (transparencia, registro, marcado de contenido IA), medidas estructurales (gobernanza, supervisión humana) y proyectos largos (Conformity Assessment).

  • Formación Art. 4 (alfabetización IA)

    Programa de 6h obligatorio para todo personal que use IA en su trabajo. Específico por sector (legal, RRHH, atención cliente, dirección). Certificado emitido, registro de asistencia, materiales en castellano.

  • Documentación técnica entregada

    Inventario, RAT, DPIAs, política de uso aceptable IA, plantillas de transparencia para usuarios finales, protocolo de incidentes IA. Todo en castellano, listo para inspección.

Quién está obligado (y por qué casi todas las pymes lo están)

Si tu empresa usa cualquiera de los siguientes, el AI Act te aplica: un chatbot en la web, un CRM con scoring de leads, un ATS con cribado automático, un motor de recomendaciones en ecommerce, un software que perfila clientes para precios dinámicos, scoring de riesgo crediticio o de morosidad, biometría para control horario, asistencia IA al diagnóstico médico, o cualquier modelo que tome decisiones que afecten a personas. El umbral no es la facturación: es el uso.

Por qué AESIA importa más que la CE

España fue el primer país de la UE en crear una autoridad nacional específica para IA: la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña. Su régimen sancionador está operativo. La probabilidad de que una pyme española tenga una inspección AESIA antes que una sanción CE es alta. Tener el inventario y la documentación lista es la mejor forma de pasar una inspección sin sustos.

Combinación con RGPD: trabajo conjunto, no duplicado

El AI Act no sustituye al RGPD: lo complementa. La DPIA del RGPD para tratamientos automatizados se cruza con la Conformity Assessment del AI Act. Hacemos la documentación de forma unificada, evitando que el cliente pague dos consultorías solapadas. Si ya tienes RAT y DPIAs, los reutilizamos.

Formación Art. 4: ya exigible, mayoría sin hacerla

Desde el 2 de febrero de 2025 todo personal que use IA en su trabajo debe tener formación suficiente sobre las herramientas, sus límites, los sesgos y los protocolos de uso. AESIA puede sancionar la falta de formación documentada. Entregamos un programa de 6h adaptado al rol, con materiales en castellano, certificado y registro de asistencia. Sirve como evidencia ante una inspección.

Precios

Tres tiers, una decisión sencilla

Alta única + cuota mensual. Sin permanencia, IVA aparte.

Para pymes de 10-50 personas con uso IA moderado

Proyecto AI Act Express

Desde 2.000€

Proyecto cerrado, 4-6 semanas

+ IVA · Sin permanencia

  • Inventario hasta 10 sistemas IA
  • Clasificación de riesgo + justificación documentada
  • Plan de adecuación priorizado en hoja Excel
  • Formación Art. 4 grupal hasta 25 personas (6h online)
  • DPIA simplificada para 1 sistema crítico
  • 1 sesión seguimiento post-entrega
Más elegido

Para empresas medianas o sectores regulados

Auditoría completa

5.000€ – 15.000€

Según número de sistemas y sectores

+ IVA · Sin permanencia

  • Inventario exhaustivo (sin límite)
  • Conformity Assessment para cada sistema alto riesgo
  • DPIAs completas con consulta interna a stakeholders
  • Política de uso aceptable IA + protocolo incidentes
  • Formación Art. 4 por roles (legal, RRHH, IT, atención cliente)
  • Acompañamiento ante AESIA si hay inspección
  • Revisión semestral incluida primer año

Para grupos empresariales o sectores críticos

On-premise + asesoría continua

15.000€ + 1.500€/mes

Auditoría inicial + retainer continuo

+ IVA · Sin permanencia

  • Todo lo de Auditoría completa
  • Soporte legal + técnico continuo (consultas ilimitadas)
  • Asistente IA Cumplimiento on-premise para el equipo legal
  • Revisión trimestral de cambios normativos
  • Defensa ante inspección AESIA incluida
  • Renegociación anual con descuento por fidelidad

Kit Digital: el cliente paga 0 €

Las soluciones de cumplimiento AI Act son subvencionables por Kit Digital II en la categoría Inteligencia Artificial. La pyme paga 0€ si tiene bono activo (hasta 12.000€ cubiertos por Red.es). RespondeYA es agente digitalizador adherido — tramitamos la justificación.

Comparativa

Frente a las alternativas habituales

Comparado con consultorías Big4 generalistas, despachos legales tradicionales y soluciones SaaS internacionales.

AspectoAlternativasRespondeYA
EspecializaciónConsultoría generalista, IA como un módulo más100% AI Act + IA aplicada, equipo técnico legal mixto
Plazo medio3-6 meses para entregables iniciales4-6 semanas con entregables tangibles
Precio30.000€+ proyecto inicial Big4Desde 2.000€ para pyme, escalable por tier
Formación incluidaSuplemento aparte por personaPrograma Art. 4 incluido hasta 25 personas
Acompañamiento AESIABajo demanda con tarifa horaIncluido en tier Auditoría completa

Comparativa elaborada con datos públicos y experiencia con clientes migrando desde herramientas habituales. Verifica siempre con cada proveedor antes de tomar una decisión.

Preguntas frecuentes

Dudas habituales sobre Cumplimiento AI Act

  • ¿De verdad mi empresa está obligada al AI Act?

    Si usas IA generativa (ChatGPT, Copilot, Gemini) en el trabajo, si tienes chatbot, scoring de clientes, recomendador, ATS con cribado IA o cualquier sistema que tome decisiones automatizadas sobre personas: sí. El umbral es el uso, no la facturación. Solo las microempresas sin IA quedan fuera.

  • ¿Qué pasa si no hago nada antes del 2 de agosto de 2026?

    Te expones a sanciones AESIA o CE de hasta 15M EUR / 3% facturación global. Para pymes el riesgo real son las primeras inspecciones tras la fecha, donde AESIA querrá hacer ejemplos. La estrategia 'esperamos a ver qué pasa' es la peor en este caso porque el coste de hacerlo después de una sanción multiplica varias veces el de hacerlo antes.

  • ¿Sirve un consultor RGPD que ya tenemos?

    Parcialmente. RGPD se cruza con AI Act en tratamientos automatizados, pero las obligaciones de Conformity Assessment, transparencia algorítmica, supervisión humana y formación Art. 4 son específicas del AI Act. Trabajamos en conjunto con tu DPO actual para evitar duplicaciones.

  • ¿La formación Art. 4 es realmente obligatoria?

    Sí desde 2 de febrero de 2025. Aplica a todo personal que use IA en su trabajo (incluyendo Copilot, ChatGPT, asistentes IA en CRM, etc.). La falta de formación documentada es sancionable. Entregamos certificado por persona, registro de asistencia y materiales — válido como evidencia ante inspección.

  • ¿Cuánto cuesta para una pyme de 20 personas?

    El proyecto Express (2.000€) cubre inventario, clasificación, plan de adecuación y formación Art. 4 para hasta 25 personas. Para empresas con uso intensivo de IA o múltiples sistemas críticos, el tier Auditoría completa (5.000€-15.000€) incluye Conformity Assessments y acompañamiento ante inspección AESIA.

  • ¿Cómo encaja con mi consultora actual?

    Nos coordinamos con tu DPO, asesoría legal y CISO actuales. No duplicamos sus entregables: complementamos con la parte específica de AI Act. Si ya tienes RAT y DPIAs, los reutilizamos. Si tienes política de seguridad, la cruzamos con el Conformity Assessment.

También podría interesarte

Otros productos de la Suite RespondeYA

¿Hablamos?

Configuramos Cumplimiento AI Act contigo en una llamada de 30 minutos sin compromiso.