Una consultoría especializada en AI Act cobra entre 5.000 y 25.000 euros por un proyecto de cumplimiento para una pyme mediana. El resultado suele ser un PDF de 80 páginas que nadie lee y un Excel de inventario que queda desactualizado en tres meses. No tiene por qué ser así.
El cumplimiento del Reglamento (UE) 2024/1689 para la mayoría de las pymes se reduce a cuatro elementos: saber qué IA usa tu equipo, haber formado a los empleados, tener una política escrita y llevar un registro de incidentes. Ninguno de estos cuatro requiere una consultora si tienes las herramientas adecuadas y un plan claro.
Por qué las consultoras no son la respuesta para una pyme
Las consultoras de cumplimiento están diseñadas para grandes organizaciones con departamentos legales, responsables de cumplimiento dedicados y presupuestos de seis cifras. Para una pyme de 15 o 30 personas, el modelo no encaja por tres razones:
- El coste es desproporcionado. Una pyme no puede amortizar 15.000 euros de consultoría en un proyecto cuyo ROI es puramente regulatorio.
- El cumplimiento no es estático. El AI Act se aplica de forma escalonada y el uso de IA en la empresa cambia constantemente. Un informe punto en el tiempo caduca en meses.
- La responsabilidad no se delega. Aunque la consultora entregue el informe, la obligación de cumplimiento sigue siendo de la empresa. Si la AESIA inspecciona, no le basta decir "lo hizo una consultora".
El plan de acción en 5 pasos
Paso 1: Inventario de IA (1 semana)
Habla con cada departamento y pregunta qué herramientas de IA usan, para qué y con qué tipo de datos. No te limites a las herramientas corporativas: pregunta también por el uso personal de ChatGPT, Claude, Gemini o cualquier otra.
Para cada herramienta, documenta:
- Nombre y proveedor
- Departamento o empleados que la usan
- Finalidad de uso
- Tipo de datos que se introducen (datos personales, financieros, confidenciales)
- Si existe contrato con el proveedor (DPA para RGPD)
El resultado es tu inventario de sistemas de IA, el primer documento que te pedirá la AESIA.
Paso 2: Clasifica el riesgo (2-3 días)
Con el inventario en mano, clasifica cada herramienta según las categorías del AI Act:
- Mínimo: Redacción, búsqueda, traducción, código, resúmenes. Obligación: Art. 4 (formación).
- Limitado: Chatbots que interactúan con clientes o usuarios externos. Añade: Art. 50.1 (aviso de que es IA).
- Alto riesgo (Anexo III): Cualquier IA que evalúe empleados, clientes o decida sobre personas. Añade: Arts. 26, 27, 49 (responsable IA, DPIA, registro EU).
- Prohibido: Detección de emociones de empleados, social scoring. Acción: eliminar o no contratar.
Paso 3: Formación Art. 4 (2 semanas)
El Artículo 4 del AI Act exige que los empleados que usan IA tengan "suficiente alfabetización en IA". No define exactamente cuánto, pero el mínimo aceptable es un módulo que cubra:
- Qué es la IA y cómo genera sus respuestas (sin tecnicismos)
- Por qué la IA puede alucinar y cómo verificarlo
- Qué datos no deben introducirse nunca (nombres, DNIs, tarjetas, contratos confidenciales)
- Qué herramientas están permitidas y cuáles no
- Qué hacer si detectas un incidente (a quién avisar)
Un vídeo de 30 minutos + un test de 10 preguntas (mínimo 7/10 para aprobar) + un certificado generado automáticamente es suficiente para cumplir. La documentación de quién lo hizo y cuándo es lo que importa.
Paso 4: Política de uso de IA (2 días)
La política debe ser un documento breve (1-2 páginas), no un manual jurídico. Estructura mínima:
- Herramientas permitidas con sus condiciones de uso (solo con cuenta corporativa, no a clientes directamente, etc.)
- Herramientas que requieren aviso previo al responsable de IA
- Herramientas prohibidas (y por qué: sin DPA, sin EEE, sin conformidad)
- Datos que nunca pueden introducirse en ninguna IA (datos especiales, tarjetas de crédito, NDA en vigor)
- Qué hacer ante un incidente (procedimiento de reporte)
La firma o confirmación de lectura de cada empleado es la evidencia que necesitas.
Paso 5: Responsable de IA y registro (1 día)
Designa formalmente a alguien como responsable interno de IA (Art. 26). No necesita ser técnico. Debe tener autoridad para:
- Aprobar o rechazar el uso de nuevas herramientas de IA
- Gestionar incidentes y decidir cuándo escalarlos
- Mantener el inventario actualizado
- Ser el punto de contacto ante la AESIA
Crea un canal de comunicación interno (puede ser un email, un canal de Slack o simplemente un número de teléfono) para que cualquier empleado pueda reportar dudas o incidentes relacionados con IA.
Herramientas que lo hacen automático
Hacer todo lo anterior con hojas de cálculo y documentos Word es posible pero frágil. El inventario se desactualiza, la formación no queda bien documentada y el registro de incidentes se pierde en el email.
Plataformas como delfosgov automatizan exactamente este proceso:
- La extensión de navegador detecta automáticamente qué IA usa cada empleado y registra cada evento
- El dashboard muestra el inventario en tiempo real, siempre actualizado
- Las políticas se aplican en el momento (permite, avisa, bloquea) sin depender de que el empleado las recuerde
- El módulo de formación genera certificados automáticos por empleado
- El dossier AESIA se genera con un clic, siempre al día
Cumplir el AI Act no es un proyecto de seis meses con una consultora. Es un proceso continuo que necesita herramientas, no documentos.
Cuánto tiempo cuesta en la práctica
Para una empresa de 15 personas sin sistemas de alto riesgo:
- Inventario inicial: 3-4 horas (una persona, una tarde)
- Política de uso: 2 horas de redacción + revisión del responsable
- Formación del equipo: 30-45 minutos por empleado (asíncrona, sin interrumpir el trabajo)
- Designar responsable e instalar herramienta: 1 hora
Total: menos de una jornada de trabajo para la persona que lo organiza. El resto del equipo invierte 45 minutos. No es el proyecto de transformación digital que te vende una consultora. Es trabajo de organización interna.
Si quieres ver cómo queda el cumplimiento de tu empresa antes de empezar, el dashboard de delfosgov te muestra el estado en tiempo real desde el día de la instalación.