Formación
¿Tu equipo sabe utilizar IA de forma segura y responsable?
La Inteligencia Artificial ya forma parte de muchas empresas. El reto ya no es utilizar IA. El reto es hacerlo de forma segura, controlada y conforme a la normativa europea.
El AI Act para pymes exige identificar usos de IA, riesgos, responsables, evidencias y controles antes de incorporar automatizaciones o asistentes en procesos internos.
La IA entra por herramientas concretas antes de existir inventario, criterio de uso o responsable operativo.
Confundir cumplimiento con documentacion puntual y no con gobierno vivo de usos, datos y decisiones.
Inventariar usos, datos tratados, proveedores, impacto, supervisores, evidencias y medidas RGPD.

¿Tu equipo sabe utilizar IA de forma segura y responsable?
¿Sabes qué herramientas de IA se utilizan actualmente?
¿Existe revisión humana de los resultados?
¿Las personas saben cuándo interactúan con IA?
¿Los procesos están documentados?
¿Existe una persona responsable del uso de IA?
La diferencia está entre utilizarla con criterio o utilizarla sin control.
Marca las medidas que ya existen de forma real y comprobable. El resultado es orientativo: ayuda a detectar si la IA se está usando con formación, inventario, supervisión, transparencia, procesos y gobernanza.
El AI Act es el Reglamento Europeo de Inteligencia Artificial y establece requisitos proporcionales al riesgo y al papel que desempeña cada organización. No todas las pymes tienen las mismas obligaciones: dependen del rol de la empresa, el tipo de sistema, el nivel de riesgo, el uso concreto y el resto de normativa aplicable. Como punto de partida operativo, conviene identificar qué herramientas se usan, en qué procesos intervienen, qué datos se comparten, qué decisiones apoyan y quién supervisa sus resultados.
El AI Act es el Reglamento Europeo de Inteligencia Artificial. Su objetivo es ordenar cómo se diseñan, comercializan y utilizan los sistemas de IA dentro de la Unión Europea.
No trata todos los usos igual. Clasifica los sistemas según su riesgo y aplica obligaciones progresivas: desde usos prohibidos y sistemas de alto riesgo hasta requisitos de transparencia para determinados usos de IA generativa o chatbots.
Para una empresa, el impacto real aparece cuando la IA entra en procesos, datos, personas, proveedores y decisiones. Por eso la adaptación no es solo legal: también es operativa.
Una pyme puede asumir obligaciones diferentes como proveedora, responsable del despliegue, importadora o distribuidora. El impacto depende del sistema y del uso concreto, no solo del tamaño de la empresa.
| Uso IA | Impacto | Lectura práctica |
|---|---|---|
| ChatGPT interno | Bajo | Requiere política interna, formación y control de datos compartidos. |
| Copilot | Bajo | Debe configurarse con permisos, criterios de uso y revisión humana. |
| Chatbot web | Transparencia | El usuario debe saber que interactúa con IA cuando corresponda. |
| Clasificación CVs | Alto | Puede afectar oportunidades laborales y exige controles reforzados. |
| Selección de candidatos | Alto | Requiere supervisión humana, trazabilidad y gestión de sesgos. |
| Scoring financiero | Alto | Impacta acceso a servicios o condiciones económicas. |
| Salud | Alto | Necesita controles específicos por impacto en personas. |
El AI Act para gestorías y el AI Act para asesorías tienen una dimensión especialmente práctica: estos despachos manejan datos fiscales, laborales, contables y personales, y suelen incorporar ChatGPT u otras herramientas antes de disponer de una política de uso de IA.

La adopción de IA en gestorías y asesorías exige combinar eficiencia, confidencialidad y supervisión profesional.
El riesgo aparece cuando una herramienta externa entra en un proceso profesional sin que nadie haya definido sus límites.
Puede servir para borradores, resúmenes o apoyo interno, pero no debe sustituir el criterio profesional ni recibir datos personales o confidenciales sin garantías adecuadas.
El cumplimiento AI Act en despachos profesionales no reemplaza al RGPD. Ambos marcos se cruzan cuando la IA trata datos personales, perfila personas o interviene en decisiones.
Debe localizar todas las herramientas de IA, identificar qué documentación de clientes puede alcanzar cada una, prohibir usos inseguros, formar al equipo y asignar una persona responsable. Después conviene documentar una política de uso de IA, revisar proveedores y establecer supervisión humana para cualquier respuesta, informe o decisión que llegue al cliente.
Identificar qué herramientas se usan, quién las usa, para qué procesos y con qué datos.
Asegurar alfabetización IA: límites, privacidad, validación humana, sesgos y usos permitidos.
Distinguir usos de bajo impacto, transparencia y alto riesgo para priorizar controles.
Definir cuándo debe informarse al cliente, usuario o empleado de que interviene IA.
Asignar responsables, documentar políticas, revisar proveedores y establecer supervisión.
Las medidas aplicables deben determinarse caso por caso. Esta lista combina posibles obligaciones legales, recomendaciones de gobernanza y buenas prácticas DUCVIAM para ordenar el uso de IA.
Obligación legal condicionada. El nivel adecuado depende del contexto, conocimientos y uso de los sistemas.
Obligación según el uso. Resulta aplicable a determinados sistemas, interacciones y contenidos.
Requisito dependiente del riesgo. Es especialmente relevante cuando la IA interviene en decisiones sensibles.
Recomendación de gobernanza. Ayuda a conocer contratos, datos tratados, configuraciones y garantías disponibles.
Buena práctica DUCVIAM. Definir responsables, criterios y registros permite mantener el control operativo.
Este ejemplo ilustrativo reproduce una situación frecuente en pequeños despachos. No corresponde a un cliente concreto.
La herramienta se adopta por iniciativa individual y cada persona decide sus propios límites.
Datos de clientes, empleados o negocio entran en sistemas sin control ni criterio común.
La automatización acelera tareas, pero también errores si el proceso no está ordenado.
La IA se utiliza para filtrar o valorar candidatos sin criterios transparentes ni revisión.
El reglamento no mira solo el tamaño: mira el uso, el riesgo y el impacto.

Responde unas preguntas rápidas y descubre el nivel de preparación de tu empresa frente al AI Act.
Tu organización necesita establecer controles básicos antes de ampliar el uso de IA.
Te enviaremos un resumen de tu resultado, las áreas con mayor riesgo detectadas y las acciones prioritarias para mejorar el nivel de preparación de tu empresa frente al AI Act.
¿Sabes qué herramientas IA se utilizan en la organización?
¿Existe una norma clara sobre usos permitidos y datos prohibidos?
¿El equipo conoce riesgos, límites y buenas prácticas de IA?
¿Hay revisión humana en procesos sensibles o entregables relevantes?
¿Diferencias usos de bajo impacto, transparencia y alto riesgo?
¿Alguien responde por proveedores, permisos, controles y trazabilidad?
La IA no es el problema. La falta de control sí.
La regulación simplemente hace visible una realidad que ya existía: procesos no documentados, información dispersa, dependencia de personas y falta de trazabilidad.

La IA no sustituye los procesos.
Los hace visibles.
Mapa inicial de usos, riesgos y brechas de gobernanza IA.
Políticas, responsables, controles y criterios aplicables al día a día.
Alfabetización IA orientada a perfiles, procesos y riesgos reales.
Priorización de acciones para avanzar sin bloquear la operación.
Implantación práctica de IA dentro de procesos trazables.
Acompañamiento para mantener control, adopción y mejora continua.
El AI Act afecta a las pymes que usan, integran o contratan sistemas de Inteligencia Artificial. La obligación depende del uso: no es lo mismo usar ChatGPT para redactar borradores que emplear IA para seleccionar candidatos, evaluar solvencia o tomar decisiones con impacto relevante. La pyme debe identificar sus herramientas, clasificar riesgos, formar a los equipos, documentar criterios de uso y asegurar supervisión humana cuando proceda.
Primero debe determinar su rol, los sistemas que utiliza, su clasificación de riesgo y las obligaciones concretas aplicables. Inventariar usos, revisar proveedores, formar a los equipos y documentar controles son medidas prudentes de preparación, pero su alcance debe adaptarse al caso y validarse jurídicamente.
Si una empresa utiliza sistemas de IA, debe asegurar un nivel adecuado de alfabetización en IA para las personas que los usan o supervisan. En la práctica, esto implica formación básica sobre límites, riesgos, privacidad, sesgos, validación humana y usos permitidos. La formación no tiene que ser teórica ni compleja: debe estar conectada con los procesos reales de la organización.
Sí, una empresa puede utilizar ChatGPT de forma legal si establece criterios claros de uso. Debe evitar introducir información confidencial o datos personales sin base adecuada, definir qué tareas se permiten, exigir revisión humana de resultados y formar a los usuarios. El riesgo no está en usar IA generativa, sino en usarla sin política interna, sin trazabilidad y sin control sobre la información compartida.
No existe un paquete documental universal para todas las pymes. La documentación depende del rol, sistema, riesgo y uso. Como buena base de gobernanza suelen resultar útiles el inventario de herramientas, criterios internos, evidencia de formación, revisión de proveedores y registros de supervisión cuando procedan.
El AI Act se aplica de forma progresiva desde su entrada en vigor en la Unión Europea. Algunas obligaciones comienzan antes que otras, especialmente las relacionadas con prácticas prohibidas y alfabetización en IA. Las empresas no deberían esperar al último plazo: necesitan tiempo para inventariar usos, formar equipos, revisar proveedores y crear gobernanza interna.
Gestorías y asesorías manejan documentación, datos de clientes y procesos administrativos con alto nivel de confianza. Si usan IA para redactar, clasificar, resumir, responder consultas o automatizar tareas, deben controlar qué información se comparte, quién valida los resultados y qué proveedores intervienen. El AI Act refuerza la necesidad de procesos documentados, supervisión humana y política interna de IA.
Debe hacerlo con mucha prudencia. Una gestoría no debería introducir datos personales, fiscales, laborales o información confidencial de clientes en herramientas de IA sin una base jurídica, configuración adecuada, contrato o garantías suficientes. La alternativa responsable es anonimizar, limitar datos, usar entornos empresariales adecuados y definir una política clara de uso y supervisión.
Los despachos profesionales deben identificar dónde usan IA, proteger información confidencial, formar al equipo, revisar proveedores, supervisar resultados y documentar criterios cuando la IA influye en decisiones o entregables. También deben evitar que la IA sustituya controles profesionales esenciales. La responsabilidad final no desaparece porque una respuesta haya sido generada por una herramienta.
Una política interna no es una obligación universal por el mero uso de cualquier herramienta, pero es una buena práctica de gobernanza cuando intervienen datos de clientes, procesos profesionales o varios usuarios. Debe ajustarse a los riesgos y a la normativa aplicable.
Una auditoría de cumplimiento AI Act revisa los usos reales de IA en la organización, su nivel de riesgo, documentación, controles, formación, proveedores y supervisión humana. En pymes, el enfoque debe ser práctico: detectar brechas, priorizar riesgos y convertir obligaciones en acciones operativas que puedan mantenerse en el tiempo.
Para preparar una empresa conviene empezar por un diagnóstico: qué IA se usa, en qué procesos, con qué datos, por qué perfiles y con qué controles. Después se deben ordenar responsabilidades, formar a los equipos, documentar una política interna, revisar proveedores y crear un roadmap de adaptación. El objetivo es construir control, no bloquear la innovación.
Un diagnóstico de gobernanza IA incluye inventario de herramientas, mapa de procesos afectados, identificación de riesgos, revisión de datos compartidos, análisis de proveedores, nivel de alfabetización IA, controles existentes y recomendaciones prioritarias. También define quick wins y un roadmap para avanzar hacia un uso seguro, trazable y escalable de la IA.
El coste depende del tamaño de la empresa, número de herramientas, sensibilidad de los datos y nivel de riesgo de los usos de IA. Para muchas pymes, la primera inversión no es tecnológica: es ordenar procesos, formar equipos, crear política interna y revisar proveedores. Un diagnóstico inicial permite estimar prioridades antes de asumir costes mayores.
DUCVIAM es una firma especializada en capacidad operativa empresarial. Ayudamos a ordenar procesos, responsabilidades y gobernanza para que las organizaciones puedan adoptar Inteligencia Artificial sin aumentar su complejidad ni su riesgo.
Trabajamos desde Barcelona con pymes, gestorías, asesorías, despachos profesionales y empresas de servicios que necesitan menos dependencia de personas clave, más trazabilidad y adopción práctica de IA.
Esta guía ofrece una lectura operativa general. No constituye asesoramiento jurídico ni determina por sí sola las obligaciones de una organización. La evaluación debe considerar el rol de la empresa, el sistema de IA, su nivel de riesgo, el uso concreto y la normativa sectorial y de protección de datos aplicable.
La gobernanza de IA depende de cómo circulan la información, el trabajo y el conocimiento dentro de la organización.
Descubre en qué situación se encuentra tu organización y qué acciones deberías priorizar durante los próximos meses.