Mr Crab 7 con lupa, escudo de seguridad y checklist: auditoría de uso de IA
Inicio Auditoría de uso de IA

Tus empleados ya usan ChatGPT. No sabes qué información están metiendo ahí.

ChatGPT, Copilot, Gemini y otras herramientas de IA ya se usan cada día para redactar correos, analizar documentos, preparar presupuestos y atender clientes. Muchas empresas españolas no saben qué datos se están compartiendo con plataformas externas ni qué exige el Reglamento Europeo de IA al respecto.

No necesitas prohibir la inteligencia artificial.
Necesitas saber cómo se está utilizando.
Mr Crab 7 revisando con lupa una checklist de cumplimiento de IA
Lo que suele pasar

Datos de clientes, contratos y presupuestos, sin ningún control

No es mala fe. Es que nadie ha parado a mirarlo. Estos son los tres puntos ciegos más habituales que encontramos en pymes españolas.

🗂️ Herramientas sin inventariar

Cada departamento prueba lo que le conviene. Nadie tiene la lista completa.

📄 Datos sensibles sin filtro

Contratos, presupuestos y fichas de cliente se pegan en herramientas públicas sin control.

🧭 Sin reglas para el equipo

No hay política escrita, así que cada persona decide por su cuenta qué compartir.

El contexto legal, en claro

¿Qué es la AESIA y qué tiene que ver con tu empresa?

La AESIA (Agencia Española de Supervisión de Inteligencia Artificial) es el organismo público español que vigila el cumplimiento del Reglamento Europeo de Inteligencia Artificial (Reglamento UE 2024/1689). Es la versión española de lo que en protección de datos es la AEPD.

Su artículo 4 obliga a cualquier empresa que use sistemas de IA —aunque sea ChatGPT o Copilot, sin desarrollarlos— a garantizar que su personal tiene un nivel suficiente de conocimiento sobre cómo usarlos. No hay umbral de tamaño: afecta a autónomos, pymes y grandes empresas por igual.

No es una obligación futura: está en vigor desde febrero de 2025. Lo que cambia en agosto de 2026 es que la AESIA empieza a tener capacidad plena de inspección y sanción.

Feb 2025
Obligación ya vigente
Ago 2026
Empiezan las inspecciones
0€
Umbral de tamaño: ninguno
Mr Crab 7 con toga, balanza y certificado: cumplimiento normativo de IA
Nivel 1 · Clasificación

¿Qué nivel de riesgo tiene lo que usáis?

El Reglamento no trata igual todos los usos de IA. Clasifica cada sistema en uno de estos cuatro niveles, y de ahí salen las obligaciones que os tocan.

Prácticas prohibidas
Manipulación subliminal, social scoring, categorización biométrica sensible, reconocimiento de emociones en el trabajo o la educación, scraping facial masivo. Directamente no se pueden usar.
Alto riesgo
Selección de personal, crédito o solvencia, seguros, educación, servicios esenciales, biometría, salud, justicia. Exige gestión de riesgos, supervisión humana y, a veces, un organismo notificado.
Riesgo de transparencia (Art. 50)
Chatbots, asistentes, generación de texto/imagen/vídeo. La persona tiene derecho a saber que interactúa con IA; el contenido sintético debe ir etiquetado. Aquí caen la mayoría de las pymes que usan ChatGPT o similares de cara al público.
Riesgo mínimo o limitado
El resto de usos internos: redactar correos, resumir documentos, analizar hojas de cálculo. Aun así, el Art. 4 (alfabetización del personal) aplica siempre, sin importar el nivel de riesgo.
Nivel 2 · Tu papel

¿Qué papel juega tu empresa?

Las obligaciones no son las mismas si construyes IA que si solo la usas. El Reglamento distingue cuatro roles (pueden coincidir varios en la misma empresa).

Proveedor

Desarrolla o encarga desarrollar un sistema de IA y lo pone en el mercado, con su marca o no.

Responsable del despliegue

Usa un sistema de IA ya hecho bajo su propia autoridad. La mayoría de pymes que usan ChatGPT o Copilot están aquí.

Distribuidor

Comercializa en la UE un sistema de IA de un tercero sin modificarlo.

Importador

Introduce en la UE un sistema de IA con marca de un proveedor de fuera de la Unión.

Nivel 3 · Calendario

Cuándo entra en vigor cada obligación

Feb 2025
Prohibiciones + alfabetización (Art. 4) — ya en vigor
Ago 2025
Obligaciones para modelos de IA de propósito general (GPAI)
Ago 2026
Transparencia Art. 50: avisos de IA, etiquetado de contenido sintético. La AESIA gana plena capacidad de inspección
Dic 2027 / Ago 2028
Sistemas de alto riesgo (Anexo III), plazo ajustado por el Ómnibus de junio 2026
Nivel 4 · Los requisitos técnicos

Los 12 requisitos (RC + R1–R12)

Aplican sobre todo a sistemas de alto riesgo, y las guías de la AESIA desarrollan cada uno con detalle. Es la base de la checklist que usamos en la auditoría.

CódigoRequisitoArtículo
RCEvaluación de la conformidadart. 43
R1Sistema de gestión de la calidadart. 17
R2Gestión de riesgosart. 9
R3Vigilancia humanaart. 14
R4Datos y gobernanza de datosart. 10
R5Transparenciaart. 13 / 50
R6Precisiónart. 15
R7Solidezart. 15
R8Ciberseguridadart. 15
R9Registros (logs)art. 12
R10Documentación técnicaart. 11
R11Vigilancia poscomercializaciónart. 72
R12Gestión de incidentesart. 73

Basado en las 16 guías prácticas publicadas por la AESIA sobre el Reglamento (UE) 2024/1689. Son material interpretativo, no sustituyen al texto legal ni constituyen norma vinculante por sí mismas.

Autoevaluación

¿Necesita tu empresa asesoramiento en IA ahora mismo?

6 preguntas basadas en los criterios reales del Reglamento. Sin registro, sin compromiso, resultado inmediato.

Pregunta 1 de 6
Resultado

Reservar auditoría →
Ir más allá

Esto es solo el primer filtro. El panel en directo evalúa los 12 requisitos completos.

Inventario de sistemas, fases 0-9, requisitos RC+R1-R12, matriz de no conformidades, plan correctivo e informe final — la misma herramienta que usamos en la auditoría, abierta para que la pruebes tú mismo. Todo se queda en tu navegador, no se envía a ningún servidor.

🔒 Acceso temporalmente restringido mientras terminamos de prepararlo.

Abrir el panel en directo →
Qué revisamos

Una auditoría práctica, no un informe de 80 páginas

Sin procesos interminables, sin tecnicismos innecesarios y sin obligarte a implantar sistemas que tu empresa no necesita.

Qué herramientas de IA utiliza tu equipo
Qué datos e información se introducen
Qué procesos están automatizados
Qué proveedores intervienen
Qué riesgos existen ahora mismo
Qué medidas debes aplicar primero
01
Inventario de herramientas y sistemas de IAUtilizados en la empresa, departamento por departamento.
02
Identificación de proveedores y tratamiento de datosQué información sale de tu empresa y hacia dónde.
03
Determinación del papel de tu empresaUsuario, responsable del despliegue o proveedor en cada sistema.
04
Clasificación preliminar por nivel de riesgoSegún el Reglamento (UE) 2024/1689.
05
Detección de prácticas prohibidas o usos conflictivosAntes de que se conviertan en un problema.
06
Revisión de transparencia, supervisión humana y formaciónObligación vigente desde febrero de 2025 (Art. 4).
07
Informe de deficiencias y plan de corrección priorizadoDocumentación práctica y utilizable desde el primer día.

📄 Dossier completo en PDF

Los 7 pasos de nuestra auditoría, el calendario de aplicación del Reglamento y qué recibe tu empresa — todo en un documento descargable.

⤓ Descargar dossier PDF
Cómo trabajamos

Metodología en 4 fases

No entregamos un PDF aislado: auditamos, corregimos, verificamos y mantenemos el cumplimiento vivo en el tiempo.

Fase 1

Auditoría diagnóstica

Conocer la realidad de la IA en la empresa
  • Qué IA se usa y en qué procesos
  • Qué datos introduce y qué decisiones toma
  • Rol de la empresa (proveedor, responsable del despliegue...)
  • Qué artículos del Reglamento aplican
→ Informe de situación y mapa de riesgos
Fase 2

Plan de adecuación

Cerrar las brechas con medidas reales
  • Política de uso de IA y registro de sistemas
  • Avisos de chatbot y supervisión humana
  • Cláusulas contractuales
  • Programa de alfabetización del equipo
→ Carpeta documental de evidencias
Fase 3

Verificación de correcciones

Comprobar que no se quedó en el papel
  • El aviso de IA aparece realmente
  • La formación se impartió de verdad
  • Los accesos y contratos están en orden
  • Los fallos críticos se solucionaron
→ Informe de cierre y nivel de adecuación
Fase 4

Seguimiento

Mantener el cumplimiento vivo
  • Revisión cada 6-12 meses
  • Nuevas herramientas y cambios de modelo
  • Incidentes y cambios normativos
  • Nuevos empleados y usos de datos
→ Inventario actualizado y reevaluación
Para que quede claro desde el principio

Qué somos y qué no somos

Mr Crab 7 audita, prepara, corrige y documenta. No somos un organismo notificado ni la AESIA, y no emitimos certificaciones oficiales.

ActorFunción
Mr Crab 7Audita, prepara, corrige y documenta. Auditoría privada basada en evidencias.
Organismo notificadoInterviene en la evaluación de conformidad cuando el Reglamento lo exige para sistemas de alto riesgo.
Entidad de certificación acreditadaPuede certificar estándares voluntarios como ISO/IEC 42001 (no equivale a certificación oficial del Reglamento).
AESIA u otra autoridad competenteSupervisa, inspecciona y sanciona dentro de su ámbito (datos: AEPD; sectoriales: financieras, sanitarias, laborales...).

Este servicio no constituye una certificación oficial, ni una evaluación de conformidad emitida por un organismo notificado, ni una resolución de la AESIA u otra autoridad. Es una auditoría privada de cumplimiento que demuestra gestión seria y prepara a la empresa ante una posible inspección.

Consultor experto en inteligencia artificial y cumplimiento normativo
Quién hace la auditoría

Un equipo con base económica y experiencia docente real

La auditoría la lleva a cabo el equipo de Mr Crab 7, agencia española especializada en LLMO y GEO (posicionamiento en motores de IA como ChatGPT, Perplexity, Gemini y Claude), agente digitalizador oficial de Kit Digital.

La parte de formación y criterio normativo está a cargo de un economista colegiado con experiencia como profesor universitario, que traduce el lenguaje regulatorio a decisiones prácticas para tu día a día.

Economista colegiado Docencia universitaria Agente Kit Digital Especialistas en GEO/LLMO
Antes de que llegue la inspección

Prepárate ante una posible inspección de la Ley de IA.

Las multas del Reglamento Europeo de IA llegan hasta 35 millones de euros o el 7% de la facturación global. El incumplimiento del artículo 4 agrava cualquier otra infracción detectada.

La auditoría es una evaluación privada, no una certificación oficial ni una resolución de la AESIA: te deja con evidencia documental de que has adoptado medidas razonables, algo que pesa a tu favor si llega una inspección.

Mr Crab 7 con mazo de juez y escudo de seguridad: preparación ante una inspección normativa
La oferta

Tres formas de empezar, según tu situación.

Desde un primer diagnóstico gratis hasta ayuda urgente si la inspección ya está en marcha.

Punto de partida

Auditoría básica

Autodiagnóstico guiado · Online
Gratis
Empezar gratis →
  • Cuestionario guiado de 10 minutos
  • Nivel de exposición estimado
  • Checklist básica de buenas prácticas
  • Recomendación de siguiente paso
★ FASE 1 · DIAGNÓSTICO

Auditoría de uso de IA

Para pymes y autónomos · Entrega en 3 días laborables
900€precio fijo, sin IVA
Sin permanencia · Sin cuotas ocultas
Reservar mi auditoría →
  • Inventario de herramientas de IA utilizadas
  • Revisión de los datos que se introducen
  • Detección de riesgos básicos
  • Política interna de uso de inteligencia artificial
  • Normas claras y guía práctica para empleados
  • Registro de proveedores y herramientas
  • Recomendaciones de transparencia y supervisión
  • Formación de una hora para el equipo
  • Informe final con medidas prioritarias
⚠ Ayuda urgente

Inspección en curso

La AESIA ya os ha contactado o teméis una inspección inminente
Presupuesto urgente, a medida
Necesito ayuda ya →
  • Respuesta en menos de 24h
  • Expediente de urgencia con lo disponible
  • Acompañamiento en la respuesta a la AESIA
  • Prioridad absoluta sobre otros encargos

Precios sin IVA. Plazas limitadas este trimestre para mantener el plazo de entrega de 3 días.

¿Necesitas ir más allá del diagnóstico?

La auditoría de 900€ cubre la Fase 1. Si tu empresa necesita implantar las medidas y verificarlas, estos son los paquetes completos, con rango orientativo según número de sistemas de IA, empleados y sectores afectados.

PaqueteIncluyePrecio orientativo
DiagnósticoFase 1: informe + mapa de riesgos + matriz de incumplimientos600 – 1.500€
AdecuaciónFases 1+2: diagnóstico + carpeta documental implantada1.800 – 4.500€
IntegralFases 1+2+3: con verificación de cierre y nivel de opinión3.000 – 7.500€
Cumplimiento continuoFase 4 recurrente: revisión semestral o anual150 – 500€/mes

Los sistemas de IA de posible alto riesgo (selección de personal, crédito, salud, biometría...) se presupuestan aparte y pueden requerir la intervención de un organismo notificado. Cuéntanos tu caso y te decimos qué paquete encaja.

Cómo nos posicionamos

La opción rápida frente a la consultoría tradicional

OpciónPrecio orientativoEntregaEnfoque
Mr Crab 7900€ fijo3 díasAuditoría práctica + formación
Despacho legal especializado4.900€ – 12.000€Varias semanasCumplimiento jurídico formal
Consultora de gobernanza IADesde 15.000€MesesISO 42001, comités, gobernanza
No hacer nada0€ hoyRiesgo acumulado sin documentar
Antes de que preguntes

Preguntas frecuentes

¿Qué es la AESIA?
Es el organismo público español que vigila el cumplimiento del Reglamento Europeo de Inteligencia Artificial, adquiriendo plena capacidad de inspección y sanción el 2 de agosto de 2026.
¿Desde cuándo es obligatorio formar a la plantilla en IA?
Desde el 2 de febrero de 2025. El 2 de agosto de 2026 es cuando la AESIA empieza a inspeccionar, no cuando nace la obligación.
¿Hay permanencia?
No. Es un pago único. No hay cuotas ni compromiso posterior a la entrega.
¿Necesito prohibir que mi equipo use ChatGPT?
No. El objetivo es saber cómo se usa y establecer reglas claras, no prohibir.
¿Esto garantiza que supero cualquier inspección?
No prometemos ese resultado. Dejamos tu empresa usando la IA de forma más segura, controlada y documentada.
¿Cuánto tarda?
3 días laborables desde la primera sesión de recogida de información con tu equipo.
¿Quién hace la auditoría?
El equipo de Mr Crab 7, agencia española de GEO/LLMO, con la formación impartida por un economista colegiado y profesor universitario.

Página actualizada el 15 de julio de 2026.

Reserva tu plaza

Revisemos el uso de IA de tu empresa

Plazas limitadas este trimestre para mantener el plazo de entrega de 3 días.

Te contactamos en menos de 24h laborables. Tus datos solo se usan para responder a esta solicitud.

Qué pasa después de enviar el formulario

1
Confirmamos por WhatsApp

En menos de 24h laborables, te escribimos para cerrar fecha.

2
Sesión de recogida de información

30-45 min con tu equipo, presencial u online, para ver herramientas y datos reales.

3
Entrega en 3 días laborables

Inventario, riesgos, política interna y formación, listos.

Sin permanencia Precio fijo, sin sorpresas Datos tratados según RGPD
💬