El AI Act Servicios Cómo trabajamos Planes Equipo Insights Blog
EU AI Act · Reglamento (UE) 2024/1689 · Transparencia IA: 2 agosto 2026

Si su empresa usa IA,
el Reglamento Europeo
ya le obliga

Trust AI es una consultoría especializada en cumplimiento del AI Act para empresas en España. Identificamos sus sistemas de IA de alto riesgo, preparamos toda la documentación exigida y le preparamos para cualquier inspección de la AESIA, a tiempo para los plazos del AI Act.

Las multas ya están activas desde agosto de 2025. Pueden alcanzar los 35 millones de euros o el 7% de la facturación global, lo que sea mayor.
Tiempo hasta la transparencia de IA del AI Act (Art. 50 · 2 ago 2026)
--
Meses
--
Días
--
Horas
35M€
Multa máxima por prácticas de IA prohibidas
o 7% de la facturación global
+50%
de las empresas no tiene inventario de sus sistemas de IA
Fuente: SecurePrivacy 2024
2 ago 2026
Transparencia de IA (Art. 50), fecha confirmada
Alto riesgo: propuesta de dic 2027, pendiente de publicación
60 min
para saber exactamente si su empresa está expuesta
Diagnóstico gratuito · Sin compromiso

¿Sabe qué sistemas de IA
tiene realmente su empresa?

Equipo analizando documentación de cumplimiento

La mayoría de empresas usa IA en su día a día sin saberlo. Office Copilot, ChatGPT corporativo, herramientas de RRHH con scoring automático, antifraude del banco, sistemas de visión en planta, chatbots… Todos ellos están sujetos al AI Act.

  • No tienen inventario de sistemas de IA

    Es el primer documento que pedirá la AESIA en cualquier inspección. Sin él, todo lo demás es imposible.

  • No saben qué nivel de riesgo aplica

    El Reglamento clasifica los sistemas en cuatro niveles. Cada uno con obligaciones radicalmente distintas.

  • No tienen documentación técnica

    Para sistemas de alto riesgo es obligatoria. Su elaboración requiere semanas de trabajo coordinado.

  • No están preparados para una inspección

    La AESIA puede inspeccionar sin previo aviso. Cualquier denuncia, queja o incidente público lo dispara.

Las fechas que obligan a su empresa

El Reglamento (UE) 2024/1689 entró en vigor el 1 de agosto de 2024. Aquí están los hitos críticos para cualquier empresa que opere en la UE.

Agosto 2024 Vigente

Entrada en vigor del Reglamento

El AI Act entra oficialmente en vigor en toda la Unión Europea como ley directamente aplicable.

Febrero 2025 Vigente

Prohibición de prácticas de IA inaceptables

Sistemas de scoring social, manipulación, identificación biométrica masiva en espacios públicos, etc. Su uso conlleva las multas máximas.

Agosto 2025 Vigente

Régimen de sanciones operativo

Las autoridades nacionales (en España, la AESIA) pueden imponer multas. Obligaciones para modelos de IA de propósito general (GPAI) en vigor.

Agosto 2026 Próximo plazo

Transparencia de IA (Art. 50)

Los chatbots y asistentes deben revelar que son IA, y el contenido generado por IA debe poder identificarse como tal. Este plazo se mantiene pese al aplazamiento del resto de obligaciones.

Diciembre 2027 Propuesta · pendiente

Obligaciones de alto riesgo (Anexo III)

Hoy la fecha legal sigue siendo agosto de 2026. El Digital Omnibus (acuerdo de mayo de 2026, pendiente de publicación en el DOUE) propone aplazarlas a diciembre de 2027. Sistemas de RRHH, scoring crediticio, seguros, educación y gestión de trabajadores: inventario, documentación técnica, supervisión humana, registros y gestión de riesgos.

Agosto 2028

IA en productos regulados (Anexo I)

Última fase: IA integrada en productos sujetos a otra legislación europea de armonización (dispositivos médicos, maquinaria, vehículos).

Del diagnóstico al cumplimiento permanente

Dos servicios para llegar al cumplimiento y uno para mantenerlo. El orden importa: primero entendemos su exposición, luego implementamos, luego protegemos lo alcanzado.

01

AI Risk Assessment

Diagnóstico inicial completo de la exposición de su empresa al AI Act. Identificamos todos sus sistemas de IA, los clasificamos por riesgo y cuantificamos el impacto potencial.

Entregables Inventario de sistemas IA · Clasificación de riesgo · Cuantificación de exposición · Roadmap de adecuación
02

Programa de Adecuación al AI Act

Implementación completa del cumplimiento. Documentación técnica, procesos de gobernanza, evaluaciones de impacto, formación interna y plan de respuesta ante inspección.

Entregables Documentación técnica completa · Política interna de IA · Sistema de gestión de riesgos · Plan ante inspección AESIA

Compliance as a Service

Al finalizar el Programa de Adecuación, el cumplimiento no se mantiene solo. La normativa evoluciona, incorpora nuevos sistemas y la AESIA intensifica sus inspecciones.

Disponible al finalizar el programa Por 2.500€/mes Trust AI actúa como su departamento de cumplimiento AI Act: revisión mensual del inventario, boletín regulatorio, auditorías trimestrales y soporte en inspecciones AESIA con SLA de 24 horas.
Incluido cada mes Revisión del inventario · Boletín regulatorio · Informe de seguimiento · Auditoría trimestral · Soporte ante inspección AESIA (SLA 24h)

Auditoría gratuita primero,
contrato solo si encajamos

Antes de cobrarle un solo euro, le ayudamos a entender exactamente cuál es su nivel de exposición y qué necesita hacer. Si tras la auditoría decide que no somos el partner adecuado, no hay coste ni compromiso alguno.

✦ Gratuito · Sin compromiso
Fase 1 — Auditoría inicial gratuita
Le entregamos un informe real con el estado de su empresa frente al AI Act. Sin coste, sin presión.
1
Día 1 · Llamada inicial

Llamada de descubrimiento — 60 minutos

Videollamada con Álvaro Menéndez (CEO) o Aurelio Menéndez (Director de Desarrollo) para entender su empresa, sectores, sistemas digitales actuales y exposición preliminar al Reglamento.

📄 Resumen ejecutivo de la llamada con conclusiones iniciales y siguiente paso recomendado
2
Días 2–7 · Análisis

Diagnóstico detallado y mapeo de sistemas

Reunión de trabajo conjunta en la que recorremos un cuestionario estructurado de 30 puntos para identificar todos los sistemas de IA presentes en su organización, incluyendo los que habitualmente no se reconocen como tales.

📄 Inventario preliminar de sistemas de IA detectados
3
Día 7 · Entrega

Informe de exposición al AI Act

Reunión de 90 minutos para presentar el informe completo: clasificación de riesgo, gaps de cumplimiento, exposición financiera estimada y roadmap recomendado para llegar al cumplimiento a tiempo para los plazos del AI Act.

📄 Informe ejecutivo de 10–15 páginas + propuesta para Fase 2 (si decide continuar)
A partir de aquí, servicio de pago
€ De pago · Contrato formal
Fase 2 — Programa de adecuación
Una vez aceptada la propuesta, comenzamos la implementación con contrato, hitos y precio cerrados.
4
Semana 1 · Arranque

Kick-off y plan detallado

Reunión inicial con todos los stakeholders del proyecto. Definimos comité de seguimiento, métricas de éxito, calendario detallado y responsables por cada hito documental.

📄 Plan de proyecto firmado + acta de constitución del comité
5
Meses 1–3 · Implementación

Documentación, procesos y formación

Jorge Navarro lidera la documentación técnica, María Guerola coordina las evaluaciones de impacto y políticas de gobernanza, y Janire gestiona la formación y la experiencia de proyecto. Reuniones de seguimiento quincenales.

📄 Documentación técnica completa · Política interna de IA · Procesos de gobernanza · Sistema de logs y trazabilidad
∞ Servicio opcional · Al finalizar el Programa de Adecuación
Compliance as a Service — Mantenimiento continuo
Una vez entregado el Informe Final de Conformidad, el cumplimiento necesita mantenimiento. La normativa evoluciona, los sistemas cambian y la AESIA intensifica sus inspecciones. El CaaS está diseñado para que lo alcanzado no se deteriore.
📋
Cada mes · Revisión continua

Inventario, boletín regulatorio e informe mensual

Trust AI revisa el inventario de sistemas mensualmente, detecta nuevas incorporaciones, envía el boletín con cambios normativos del mes y entrega un informe de seguimiento del cumplimiento con semáforo de estado.

📄 Inventario actualizado · Boletín regulatorio · Informe de cumplimiento mensual
🔍
Cada trimestre · Auditoría interna

Auditoría de cumplimiento y formación de refresco

Revisión formal de todos los entregables del programa — fichas técnicas, evaluaciones de impacto, supervisión humana, logs y contratos con proveedores — con informe de semáforo y sesión de formación para el equipo.

📄 Informe de auditoría · Sesión de formación trimestral · Documentación actualizada
🚨
Cuando lo necesite · SLA 24 horas

Soporte ante inspección de la AESIA

Si la AESIA contacta con su empresa, Trust AI se activa en menos de 24 horas. Coordinamos la respuesta, revisamos la documentación y acompañamos al equipo durante todo el proceso de inspección.

🛡️ Activación inmediata · Coordinación de la respuesta · Soporte documental completo
COMPLIANCE AS A SERVICE
2.500 €/mes · sin IVA · compromiso mínimo 3 meses

La auditoría inicial es gratuita y sin compromiso.
Solo le pedimos un primer paso.

Documentación legal y cumplimiento

El cumplimiento no es un coste.
Es una ventaja competitiva.

Las empresas que se adelanten al AI Act se diferenciarán en licitaciones, fusiones y ventas. Las que no lo hagan, se enfrentarán a multas, litigios y pérdida de reputación.

Inversión clara,
protección demostrable

Cada proyecto comienza siempre con una auditoría gratuita. Solo a partir de la propuesta detallada se aplican estos planes.

Compliance Essentials
Para empresas pequeñas y medianas
desde 14.500
Programa completo de adecuación para empresas con hasta 5 sistemas de IA identificados.
  • Inventario completo de sistemas de IA
  • Clasificación oficial de cada sistema
  • Documentación técnica básica
  • Política interna de uso de IA
  • Sesión de formación interna al equipo
  • Plan de respuesta ante inspección
  • Duración estimada: 2–3 meses
Compliance Enterprise
Para grandes corporaciones
A medida
Programas completos para corporaciones con múltiples unidades de negocio o presencia internacional.
  • Todo de Professional, ampliado
  • Coordinación multi-país (UE)
  • Equipo dedicado parcial o completo
  • SLA de respuesta garantizada
  • Acceso directo a la dirección de Trust AI
  • Plan de cumplimiento para futuras adquisiciones
  • Compliance as a Service incluido (6 meses)
AL FINALIZAR EL PROGRAMA DE ADECUACIÓN

El Compliance as a Service mantiene su cumplimiento activo indefinidamente — inventario actualizado, alertas normativas y el equipo de Trust AI activado en 24h ante cualquier inspección de la AESIA. Desde 2.500€/mes, compromiso mínimo 3 meses.

Lo que nos preguntan a diario

Mi empresa no desarrolla IA — ¿también nos afecta el AI Act?

+
Sí. El Reglamento aplica tanto a quien desarrolla sistemas de IA como a quien los utiliza. Si su empresa usa Office Copilot, ChatGPT corporativo, herramientas de scoring de RRHH, antifraude bancario o cualquier otra tecnología que incorpore IA, está sujeta al AI Act como "responsable del despliegue" (deployer). Las obligaciones varían según el rol, pero existen en ambos casos.

¿Cómo se determina si un sistema de IA es de "alto riesgo"?

+
El Reglamento define cuatro niveles: riesgo inaceptable (prohibidos), alto riesgo, riesgo limitado y riesgo mínimo. Un sistema es de alto riesgo cuando se usa en áreas como contratación de personal, evaluación de empleados, control de acceso a servicios esenciales, gestión de infraestructuras críticas, aplicación de la ley, justicia o procesos democráticos, entre otras. La clasificación correcta requiere un análisis caso por caso — es uno de los entregables clave de nuestro AI Risk Assessment.

¿La AESIA puede inspeccionarnos sin previo aviso?

+
Sí. Las autoridades de vigilancia del mercado (en España, la AESIA) pueden realizar inspecciones presenciales o remotas sin aviso previo cuando exista sospecha razonable de incumplimiento. Las inspecciones suelen activarse por denuncias de empleados, clientes o terceros, o por incidentes públicos relacionados con sistemas de IA. Por eso el plan de respuesta ante inspección es crítico — preparar la documentación cuando llaman ya es tarde.

¿En qué se diferencia el AI Act del GDPR?

+
El GDPR regula el tratamiento de datos personales. El AI Act regula los sistemas de inteligencia artificial, independientemente de si tratan datos personales o no. Son complementarios: muchos sistemas de IA implican tratamiento de datos y por tanto están sujetos a ambos reglamentos. Las multas del AI Act son aún más altas que las del GDPR — hasta 35 millones de euros o el 7% de la facturación global.

¿Cuánto tiempo lleva un programa completo de adecuación?

+
Depende del tamaño y complejidad de la empresa. Para empresas medianas con 3–5 sistemas de IA, entre 2 y 3 meses. Para empresas grandes con sistemas de alto riesgo, entre 4 y 6 meses. La auditoría inicial gratuita le da un calendario realista en menos de 7 días. El grueso de las obligaciones de alto riesgo está previsto que pase a diciembre de 2027 (Digital Omnibus, pendiente de publicación), aunque la transparencia de IA sigue en agosto de 2026: empezar ahora le da un margen cómodo.

¿Qué pasa si esperamos a ver qué hacen otras empresas?

+
Es una estrategia común y arriesgada. Tres problemas: primero, las prohibiciones y el régimen de sanciones ya están en vigor desde 2025. Segundo, los plazos llegan en cascada (transparencia en agosto de 2026, alto riesgo en diciembre de 2027) y preparar cada uno lleva meses. Tercero, según se acerquen esas fechas las consultoras especializadas se saturan y los precios suben. La adecuación temprana es siempre más barata y más segura.

¿Qué pasa exactamente en el diagnóstico gratuito de 60 minutos?

+
Es una reunión de trabajo — no una presentación de ventas. Revisamos juntos qué herramientas de IA usa su empresa, cómo se clasifican según el AI Act y qué obligaciones concretas implica cada una. Al finalizar tiene sobre la mesa un mapa claro de su exposición real. Sin humo, sin jerga técnica. Si después decidimos trabajar juntos, presentamos una propuesta. Si no encajamos, se va con información útil de todas formas.

¿Cuánto tiempo tenemos realmente antes de los plazos del AI Act?

+
Depende de la obligación. La transparencia de IA (chatbots, contenido generado) aplica en agosto de 2026. El grueso de las obligaciones de alto riesgo está previsto que pase a diciembre de 2027 (Digital Omnibus, pendiente de publicación). El Programa de Adecuación completo tarda entre 4 y 6 meses, así que ese aplazamiento es margen, no excusa para esperar: las prohibiciones y sanciones ya están en vigor desde 2025.

Quien está detrás de Trust AI

Álvaro Menéndez
Álvaro Menéndez
CEO
Lidera la estrategia de Trust AI y la relación directa con cada cliente. Responsable de que cada proyecto se diseñe a medida y se entregue con los resultados comprometidos.
Janire Gastañaga
Janire Gastañaga
Directora de Formación y Experiencia de Cliente
Diseña y ejecuta los programas de formación en AI Act para los equipos de nuestros clientes — desde sesiones ejecutivas hasta formación operativa — y garantiza una experiencia de proyecto excepcional.
Aurelio Menéndez
Aurelio Menéndez
Director de Desarrollo
Con casi 40 años de experiencia dirigiendo proyectos de gran escala y alta exigencia normativa, lidera la ejecución de los programas de adecuación y garantiza el cumplimiento de plazos y entregables.
María Guerola
María Guerola
Senior Compliance Consultant
Lidera los procesos de clasificación de riesgo, evaluaciones de impacto y elaboración de la documentación técnica exigida por el AI Act. Experta en interpretar requisitos normativos complejos y traducirlos en entregables concretos.
Jorge Navarro
Jorge Navarro
Senior Technical Consultant
Responsable de la documentación técnica de los sistemas de IA, la configuración de registros y trazabilidad, y la implementación práctica de los procedimientos de supervisión humana exigidos por el Reglamento.

Lo que necesita saber
sobre el AI Act

Análisis prácticos sobre el Reglamento (UE) 2024/1689 — sin jerga técnica, pensados para directivos que toman decisiones.

Las primeras inspecciones de la AESIA: qué sectores están ya en el radar y qué documentos pedirán nada más llegar
La AESIA no va a actuar por denuncia como lo hace la AEPD — tiene previsto lanzar inspecciones proactivas por sectores. Ya sabemos cuáles son sus prioridades, el orden en que pedirán la documentación y el perfil exacto de empresa que recibirá las primeras visitas. ¿Encaja el suyo?

Inspecciones proactivas, no solo por denuncia

La AESIA ha publicado documentos de trabajo que perfilan su estrategia de supervisión. A diferencia de la AEPD, que actúa principalmente por denuncia, la AESIA combinará inspecciones proactivas por sectores con actuaciones reactivas ante incidentes o quejas formales. Sus primeros recursos se concentrarán en sectores de alto riesgo definidos por el propio Reglamento — lo que significa que no hay que haber cometido ningún error para recibir una visita.

Los sectores en el radar prioritario

  • Recursos Humanos: sistemas de selección automatizada, scoring de candidatos y evaluación del rendimiento
  • Servicios financieros: scoring crediticio, detección de fraude y decisiones de solvencia
  • Sanidad: sistemas de diagnóstico asistido y gestión de listas de espera
  • Administración pública: cualquier sistema que afecte al acceso a prestaciones o servicios esenciales

El primer documento que pedirán

La AESIA solicitará en primer lugar el inventario de sistemas de IA — el documento que demuestra que la empresa conoce qué tecnologías opera. Sin este punto de partida, cualquier argumento de adecuación parcial pierde credibilidad ante el inspector. A continuación pedirán la clasificación de riesgo de cada sistema y, para los de alto riesgo, la documentación técnica completa.

El perfil exacto de empresa que recibirá las primeras visitas

Las empresas con mayor probabilidad de ser inspeccionadas primero son las que operan IA en los sectores anteriores, tienen más de 250 empleados, han tenido algún incidente público relacionado con IA o han recibido quejas de empleados o clientes. Tener documentación ordenada —aunque sea incompleta— cambia radicalmente cómo se desarrolla una inspección.

35 millones de euros: cómo se calculan realmente las sanciones del AI Act
El tope es 35 millones o el 7% de la facturación global. Pero la sanción real depende de seis criterios concretos que el Reglamento obliga a aplicar — y uno de ellos puede reducir la multa entre un 40 y un 60%. Lo que hace la AESIA antes de poner un número es más predecible de lo que parece.

Los tres tramos de sanción del Reglamento

El AI Act establece tres niveles máximos de multa: 35 millones o el 7% de la facturación global para prácticas de IA prohibidas; 15 millones o el 3% para incumplimientos de obligaciones sustantivas (documentación técnica, supervisión humana, etc.); y 7,5 millones o el 1,5% para información incorrecta o incompleta facilitada a las autoridades. Estos son topes, no sanciones automáticas.

Los criterios de graduación que recoge el Reglamento

  • Gravedad y duración del incumplimiento
  • Intencionalidad o negligencia — una empresa que desconocía su obligación es tratada de forma diferente a una que la ignoró conscientemente
  • Antecedentes de incumplimientos previos ante la misma o cualquier otra autoridad de la UE
  • Medidas correctoras adoptadas por iniciativa propia antes o durante la inspección
  • Tamaño de la empresa — las pymes tienen un tratamiento más favorable
  • Daño causado a personas afectadas por el sistema de IA

Qué puede reducir significativamente la sanción

Las empresas que cuentan con documentación parcial aunque incompleta, que han iniciado un programa de adecuación y que cooperan activamente con la inspección reciben sanciones sustancialmente menores. En los procedimientos de la AEPD (que sirven de referencia) la diferencia entre una empresa que colabora y una que no puede ser de un 40-60% en la sanción final. El momento en que se empieza a trabajar en la adecuación importa: hacerlo antes de una inspección es muy diferente a hacerlo durante ella.

El expediente técnico que pedirá la AESIA: qué es, qué debe incluir y por qué el 80% de las empresas no lo tiene
Si tiene un sistema de IA de alto riesgo, el AI Act le obliga a mantener un expediente técnico completo listo para entregar a la AESIA en cualquier momento. No es un trámite puntual — es documentación viva que describe cómo funciona el sistema, con qué datos, qué resultados da y cómo se supervisa. En la mayoría de empresas que auditamos, ese expediente no existe o está incompleto en los puntos que más importan.

Qué es el expediente técnico y para qué sirve

El AI Act exige que cada sistema de IA de alto riesgo tenga un expediente técnico completo —lo que el Reglamento llama documentación del Anexo IV— disponible para las autoridades supervisoras en cualquier momento. No es un formulario estándar: es un conjunto de documentos que describen el sistema tal como funciona realmente: su propósito, los datos con los que opera, sus métricas de rendimiento y cómo se garantiza la supervisión humana.

Los cuatro errores que más vemos al auditarlo

  • Propósito descrito de forma genérica: el Reglamento exige propósito concreto, casos de uso específicos y grupos de personas afectadas por las decisiones del sistema
  • Datos de entrenamiento sin trazabilidad: hay que documentar procedencia, criterios de selección y medidas adoptadas para detectar sesgos — no basta con indicar el proveedor
  • Métricas de rendimiento sin umbral de aceptación: decir que el sistema "funciona bien" no es suficiente; el expediente debe definir qué es rendimiento aceptable y cómo se verifica
  • Supervisión humana insuficientemente descrita: el Reglamento exige explicar concretamente cómo y cuándo puede un humano intervenir, corregir o detener el sistema

Cuánto tiempo lleva tenerlo en orden

En nuestra experiencia, preparar el expediente técnico completo de un sistema de alto riesgo requiere entre 3 y 8 semanas. El cuello de botella habitual es reconstruir la información sobre el proceso de desarrollo y los datos de entrenamiento, especialmente en sistemas adquiridos a terceros donde el proveedor no siempre facilita esta información voluntariamente. Cuanto antes se empieza, menos urgencia hay.

¿Está su empresa usando Microsoft Copilot? Entonces tiene que leer esto
Copilot como herramienta de productividad tiene riesgo limitado bajo el AI Act. Pero cuando se usa en RRHH para analizar rendimiento, en finanzas para evaluar solvencia o en atención al cliente para priorizar reclamaciones, las obligaciones cambian completamente. En más del 60% de las empresas que auditamos, encontramos al menos un uso de Copilot que requería tratamiento de alto riesgo — y nadie lo sabía.

El punto de partida: qué es Copilot bajo el Reglamento

Microsoft 365 Copilot es un modelo de IA de propósito general (GPAI) en el sentido del Reglamento. Esto significa que Microsoft, como proveedor, tiene sus propias obligaciones, pero la empresa que lo despliega — la que contrata la licencia y lo pone en manos de sus empleados — adquiere el rol de "responsable del despliegue" con obligaciones adicionales dependiendo del uso concreto.

Cuándo el riesgo es limitado o mínimo

  • Redacción de correos, resúmenes de reuniones y generación de borradores de documentos
  • Búsqueda de información interna y asistencia en tareas de productividad general
  • Análisis de datos sin que el resultado se use para tomar decisiones sobre personas

Cuándo el riesgo sube a alto

  • RRHH: si Copilot analiza CVs, evalúa el rendimiento de empleados o ayuda a decidir ascensos o despidos, el sistema entra en la categoría de alto riesgo del Anexo III
  • Atención al cliente con scoring: si Copilot prioriza o filtra reclamaciones según el perfil del cliente, puede estar afectando al acceso a servicios
  • Procesos financieros: si se usa para evaluar solvencia o decidir condiciones de crédito, las obligaciones son las mismas que para cualquier sistema de scoring crediticio

Qué debe hacer una empresa que ya lo usa

El primer paso es documentar para qué se usa Copilot exactamente en cada departamento. No basta con saber que "tenemos Copilot" — hay que mapear los flujos concretos. En más del 60% de las empresas con las que trabajamos, encontramos al menos un uso de Copilot que requiere tratamiento de alto riesgo que no estaba en el inventario inicial.

AI Act: por qué el coste de no actuar es más alto de lo que aparece en el presupuesto de IT
Una sanción del AI Act no va al presupuesto de tecnología ni al de legal — va directamente a la cuenta de resultados. Pero la exposición económica real va más allá de la multa: licitaciones perdidas, due diligence en M&A comprometida, financiación ESG bloqueada. Aquí está el cálculo completo que muy pocos directivos han hecho todavía.

El cumplimiento del AI Act es un riesgo de balance, no de IT

Una multa de 15 millones de euros o el 3% de la facturación global no es un gasto operativo que absorba el departamento de tecnología. Es un evento de impacto en el balance que afecta al resultado del ejercicio, a los ratios de rentabilidad y potencialmente a la valoración de la empresa. Desde esa perspectiva, el CFO es el directivo con más interés objetivo en que el programa de adecuación se ejecute con los recursos y la urgencia correctos.

El ROI de la adecuación que pocos calculan

  • Reducción de exposición: el coste del programa de adecuación representa entre el 0,04% y el 0,1% de la facturación anual para la mayoría de empresas medianas — una fracción mínima del riesgo que mitiga
  • Ventaja en licitaciones públicas: la contratación pública ya está incorporando criterios de cumplimiento AI Act en pliegos de condiciones
  • Due diligence en M&A: el AI Act es ya un ítem estándar en los procesos de compraventa de empresas con activos digitales significativos
  • Acceso a financiación ESG: los criterios de gobernanza de IA están entrando en los marcos de evaluación de bonos sostenibles y préstamos verdes

Cómo estructurar el ownership interno

El modelo que mejor funciona en las empresas que hemos acompañado es el de un comité de adecuación AI Act con el CFO como sponsor ejecutivo, el CTO o CISO como responsable técnico y el Director Legal o Compliance Officer como responsable normativo. Cuando el CFO patrocina el programa, los plazos se cumplen y los recursos no se reasignan. Cuando no lo hace, el proyecto se demora una media de 4-6 meses respecto al cronograma inicial.

Reciba estos análisis directamente en su bandeja de entrada — cada dos semanas, sin spam.

Su empresa puede estar al día
con el AI Act

La auditoría inicial es gratuita y dura una semana. Al final tendrá un informe ejecutivo con su nivel real de exposición y un plan de acción claro. Sin coste, sin compromiso.