En breve: Una auditoría de compliance de IA revisa, una por una, las herramientas de inteligencia artificial que usa tu empresa para comprobar si cumplen el Reglamento de IA europeo (el AI Act, UE 2024/1689). El examen tiene partes que ya son obligatorias: la prohibición de ciertas prácticas y el deber de formar a tu plantilla aplican desde febrero de 2025, y las reglas para los modelos de propósito general desde agosto de 2025. La gran cita es agosto de 2026, cuando entran en juego las obligaciones de los sistemas de alto riesgo. En España, quien vigila es la AESIA. Más abajo tienes el checklist completo y el calendario.
Qué es una auditoría de compliance de IA
Es una revisión ordenada de todos los sistemas de inteligencia artificial que tu empresa usa, compra o vende, para ver si encajan con lo que exige la ley. No es un examen técnico de algoritmos ni una auditoría de ciberseguridad. Mira otra cosa: si sabes qué IA tienes, para qué la usas, qué riesgo genera y si cumples las obligaciones que te tocan según ese riesgo.
Suelo explicarlo así a los clientes: es el mismo gesto que hicimos todos con el RGPD en 2018, pero aplicado a la IA. Primero levantas un inventario honesto de lo que usas. Luego clasificas cada cosa por su nivel de riesgo. Después compruebas, caso por caso, si cumples. Y al final documentas todo para poder demostrarlo si alguien pregunta.
La diferencia con un proyecto interno improvisado está en el rigor. Una auditoría de verdad deja papel: un informe con hallazgos, un nivel de riesgo asignado a cada sistema y un plan de acción con fechas y responsables. Sin ese papel, no tienes compliance, tienes buenas intenciones.
Por qué ahora: el AI Act ya está en marcha
El Reglamento de IA (AI Act, Reglamento UE 2024/1689) se publicó en 2024 y no es una promesa para el futuro: partes de él ya se aplican. Mucha gente cree que tiene hasta 2026 para mirar el tema. No es cierto, y ese malentendido es justo lo que mete a las empresas en problemas.
El reglamento se despliega por fases. Desde febrero de 2025 están prohibidas determinadas prácticas de IA (artículo 5) y existe el deber de alfabetización en IA (artículo 4), es decir, formar al personal que trabaja con estos sistemas. Desde agosto de 2025 aplican las obligaciones para los modelos de IA de propósito general (los llamados GPAI, como los grandes modelos de lenguaje). Y la fecha que marca el calendario de la mayoría de empresas es agosto de 2026, cuando entran en vigor las obligaciones de los sistemas de alto riesgo.
Es el mismo patrón por fases que ya analizamos en detalle en el artículo sobre las obligaciones del AI Act en agosto de 2026 para pymes en España. Si tu empresa va a usar IA en selección de personal, en concesión de crédito o en cualquier proceso que afecte a derechos de las personas, esa es tu cita y conviene llegar con los deberes hechos.
Sobre las sanciones, conviene hablar con propiedad. El reglamento prevé multas de hasta 35 millones de euros o hasta el 7% del volumen de negocio anual mundial para las prácticas prohibidas, y cuantías menores para otros incumplimientos. Cito el «hasta» a propósito: son topes, no importes automáticos. Pero el mensaje de fondo es claro, esto se toma en serio.
Qué revisa una auditoría de compliance de IA
Una auditoría seria toca siete frentes. Los explico uno a uno porque cada uno suele esconder una sorpresa.
1. Inventario de sistemas de IA
Antes de cumplir nada hay que saber qué tienes. Y aquí casi siempre aparece la primera sorpresa: hay más IA de la que la dirección cree. El chatbot de la web, el filtro de currículos de recursos humanos, la herramienta que puntúa leads, el módulo de previsiones del ERP, los asistentes que el equipo usa por su cuenta sin pedir permiso. El inventario los recoge todos, con su proveedor, su finalidad y los datos que tocan.
2. Clasificación por nivel de riesgo
El AI Act ordena los sistemas por riesgo. Hay prácticas prohibidas (por ejemplo, ciertos usos de puntuación social o de manipulación), sistemas de alto riesgo (los que afectan a empleo, educación, crédito, servicios esenciales o seguridad), sistemas con obligaciones de transparencia y sistemas de riesgo mínimo. Cada herramienta de tu inventario recibe una etiqueta. De esa etiqueta dependen todas las demás obligaciones, así que es el paso que más cuidado merece.
3. Transparencia
Hay usos de IA que obligan a avisar a la persona. Si un usuario habla con un chatbot, debe poder saber que no es un humano. Si publicas contenido generado o manipulado con IA, en ciertos casos hay que señalarlo. La auditoría comprueba que esos avisos existen y que se entienden.
4. Datos y RGPD
La IA se alimenta de datos, y muchos son datos personales. Aquí el AI Act y el RGPD van de la mano: base legal para el tratamiento, minimización, información a los afectados y, cuando toca, evaluación de impacto. Si quieres repasar la parte de protección de datos por separado, lo tienes desarrollado en la guía de cumplimiento del RGPD para empresas y sus sanciones. En la práctica, un sistema de IA mal gobernado suele tener también un problema de datos detrás.
5. Supervisión humana
Para los sistemas de alto riesgo, una persona tiene que poder vigilar, entender y, si hace falta, parar la máquina. No vale el «lo decide el algoritmo y punto». La auditoría revisa quién supervisa, con qué formación y con qué poder real para intervenir. Esto conecta con el deber de alfabetización del artículo 4: si tu gente no entiende la herramienta, no puede supervisarla.
6. Documentación y trazabilidad
Cumplir sin poder demostrarlo no sirve. Los sistemas de alto riesgo exigen documentación técnica, registros de funcionamiento y un rastro que permita reconstruir qué pasó y por qué. La auditoría comprueba que ese papel existe y está al día, no solo que el sistema funciona bien.
7. Gestión y gobierno
El séptimo frente es el que cose todo lo anterior: políticas internas, responsables asignados, un proceso para evaluar cada nueva herramienta antes de comprarla y un sistema de gestión que no dependa de la buena memoria de una persona. Si quieres una estructura formal y certificable para esto, la norma ISO 42001 de sistema de gestión de inteligencia artificial es el marco de referencia, y encaja muy bien como columna vertebral del cumplimiento del AI Act.
Checklist práctico de auditoría de compliance de IA
Este es el checklist que usamos como punto de partida. Sirve para una primera autoevaluación antes de meterse en la auditoría formal.
| Área | Qué comprobar | Estado |
|---|---|---|
| Inventario | Existe una lista completa de sistemas de IA usados, comprados o desarrollados, con proveedor y finalidad | Sí / No / Parcial |
| Clasificación | Cada sistema tiene asignado un nivel de riesgo según el AI Act | Sí / No / Parcial |
| Prácticas prohibidas | Se ha verificado que ningún sistema cae en el artículo 5 (prohibidas desde feb-2025) | Sí / No / Parcial |
| Alfabetización | El personal que usa IA ha recibido formación (artículo 4, desde feb-2025) | Sí / No / Parcial |
| Transparencia | Los usuarios saben cuándo interactúan con IA o con contenido generado por IA | Sí / No / Parcial |
| Datos y RGPD | Hay base legal, minimización e información a los afectados; evaluación de impacto cuando procede | Sí / No / Parcial |
| Supervisión humana | Una persona puede vigilar, entender y detener los sistemas de alto riesgo | Sí / No / Parcial |
| Documentación | Existe documentación técnica y registros para los sistemas de alto riesgo | Sí / No / Parcial |
| Modelos GPAI | Si se usan modelos de propósito general, se cumplen sus obligaciones (desde ago-2025) | Sí / No / Parcial |
| Gobierno | Hay políticas, responsables y un proceso para evaluar nuevas herramientas | Sí / No / Parcial |
Si en varias filas marcas «No» o «Parcial», no te asustes: es lo normal a día de hoy. El valor del checklist es ponerte delante de la foto real para decidir por dónde empezar.
Calendario de obligaciones del AI Act
Estas son las fechas que importan para planificar la auditoría. Las pongo en orden para que se vea el ritmo del reglamento.
| Fecha | Qué entra en vigor |
|---|---|
| 2024 | Publicación del Reglamento UE 2024/1689 (AI Act) |
| Febrero 2025 | Prohibición de prácticas de IA del artículo 5 y deber de alfabetización en IA del artículo 4 |
| Agosto 2025 | Obligaciones para los modelos de IA de propósito general (GPAI) |
| Agosto 2026 | Obligaciones de los sistemas de alto riesgo |
Mi lectura práctica: si ya estamos en marcha con el artículo 5 y la formación, lo urgente hoy es el inventario y la clasificación. Y si en tu sector vas a tocar alto riesgo, agosto de 2026 está más cerca de lo que parece cuando hay que documentar, formar y montar supervisión.
Quién vigila en España: la AESIA
España fue de los primeros países en crear una autoridad dedicada. La AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), con sede en La Coruña, es el organismo nacional que supervisa la aplicación del reglamento. Tener una autoridad propia y operativa cambia el cálculo: la vigilancia no es algo abstracto de Bruselas, es una agencia con nombre y dirección.
Cómo prepararse sin agobiarse
La parte buena es que esto se puede ordenar. No hace falta resolverlo todo en una semana, hace falta empezar por el orden correcto.
Lo primero es el inventario, porque sin saber qué tienes no puedes hacer nada más. Lo segundo, clasificar por riesgo, que es donde se decide cuánto trabajo te espera de verdad. Si en esa clasificación no aparece nada de alto riesgo, tu carga baja mucho. Si aparece, ya sabes dónde poner el foco y tienes hasta agosto de 2026 para los deberes gordos.
A partir de ahí, el resto es cerrar huecos: avisos de transparencia, encaje con el RGPD, supervisión humana donde toque, documentación y un gobierno mínimo que evite volver a empezar de cero cada vez que alguien instala una herramienta nueva. Y la formación del artículo 4, que muchas empresas pasan por alto pensando que es un detalle y resulta que ya es obligatoria.
Si prefieres no hacerlo a ciegas, en mi consultoría de cumplimiento normativo acompaño todo el proceso, desde el inventario hasta el plan de acción. La idea no es generar miedo ni papeleo por papeleo, sino dejar tu uso de la IA en regla y poder demostrarlo.
Si quieres una primera revisión de tu situación, escríbeme desde la página de contacto y vemos por dónde empezar en tu caso concreto.