ChatGPT, Copilot, Gemini y otras herramientas de IA ya se usan cada día para redactar correos, analizar documentos, preparar presupuestos y atender clientes. Muchas empresas españolas no saben qué datos se están compartiendo con plataformas externas ni qué exige el Reglamento Europeo de IA al respecto.
No es mala fe. Es que nadie ha parado a mirarlo. Estos son los tres puntos ciegos más habituales que encontramos en pymes españolas.
Cada departamento prueba lo que le conviene. Nadie tiene la lista completa.
Contratos, presupuestos y fichas de cliente se pegan en herramientas públicas sin control.
No hay política escrita, así que cada persona decide por su cuenta qué compartir.
La AESIA (Agencia Española de Supervisión de Inteligencia Artificial) es el organismo público español que vigila el cumplimiento del Reglamento Europeo de Inteligencia Artificial (Reglamento UE 2024/1689). Es la versión española de lo que en protección de datos es la AEPD.
Su artículo 4 obliga a cualquier empresa que use sistemas de IA —aunque sea ChatGPT o Copilot, sin desarrollarlos— a garantizar que su personal tiene un nivel suficiente de conocimiento sobre cómo usarlos. No hay umbral de tamaño: afecta a autónomos, pymes y grandes empresas por igual.
No es una obligación futura: está en vigor desde febrero de 2025. Lo que cambia en agosto de 2026 es que la AESIA empieza a tener capacidad plena de inspección y sanción.
El Reglamento no trata igual todos los usos de IA. Clasifica cada sistema en uno de estos cuatro niveles, y de ahí salen las obligaciones que os tocan.
Las obligaciones no son las mismas si construyes IA que si solo la usas. El Reglamento distingue cuatro roles (pueden coincidir varios en la misma empresa).
Desarrolla o encarga desarrollar un sistema de IA y lo pone en el mercado, con su marca o no.
Usa un sistema de IA ya hecho bajo su propia autoridad. La mayoría de pymes que usan ChatGPT o Copilot están aquí.
Comercializa en la UE un sistema de IA de un tercero sin modificarlo.
Introduce en la UE un sistema de IA con marca de un proveedor de fuera de la Unión.
Aplican sobre todo a sistemas de alto riesgo, y las guías de la AESIA desarrollan cada uno con detalle. Es la base de la checklist que usamos en la auditoría.
| Código | Requisito | Artículo |
|---|---|---|
| RC | Evaluación de la conformidad | art. 43 |
| R1 | Sistema de gestión de la calidad | art. 17 |
| R2 | Gestión de riesgos | art. 9 |
| R3 | Vigilancia humana | art. 14 |
| R4 | Datos y gobernanza de datos | art. 10 |
| R5 | Transparencia | art. 13 / 50 |
| R6 | Precisión | art. 15 |
| R7 | Solidez | art. 15 |
| R8 | Ciberseguridad | art. 15 |
| R9 | Registros (logs) | art. 12 |
| R10 | Documentación técnica | art. 11 |
| R11 | Vigilancia poscomercialización | art. 72 |
| R12 | Gestión de incidentes | art. 73 |
Basado en las 16 guías prácticas publicadas por la AESIA sobre el Reglamento (UE) 2024/1689. Son material interpretativo, no sustituyen al texto legal ni constituyen norma vinculante por sí mismas.
6 preguntas basadas en los criterios reales del Reglamento. Sin registro, sin compromiso, resultado inmediato.
Inventario de sistemas, fases 0-9, requisitos RC+R1-R12, matriz de no conformidades, plan correctivo e informe final — la misma herramienta que usamos en la auditoría, abierta para que la pruebes tú mismo. Todo se queda en tu navegador, no se envía a ningún servidor.
🔒 Acceso temporalmente restringido mientras terminamos de prepararlo.
Sin procesos interminables, sin tecnicismos innecesarios y sin obligarte a implantar sistemas que tu empresa no necesita.
Los 7 pasos de nuestra auditoría, el calendario de aplicación del Reglamento y qué recibe tu empresa — todo en un documento descargable.
No entregamos un PDF aislado: auditamos, corregimos, verificamos y mantenemos el cumplimiento vivo en el tiempo.
Mr Crab 7 audita, prepara, corrige y documenta. No somos un organismo notificado ni la AESIA, y no emitimos certificaciones oficiales.
| Actor | Función |
|---|---|
| Mr Crab 7 | Audita, prepara, corrige y documenta. Auditoría privada basada en evidencias. |
| Organismo notificado | Interviene en la evaluación de conformidad cuando el Reglamento lo exige para sistemas de alto riesgo. |
| Entidad de certificación acreditada | Puede certificar estándares voluntarios como ISO/IEC 42001 (no equivale a certificación oficial del Reglamento). |
| AESIA u otra autoridad competente | Supervisa, inspecciona y sanciona dentro de su ámbito (datos: AEPD; sectoriales: financieras, sanitarias, laborales...). |
Este servicio no constituye una certificación oficial, ni una evaluación de conformidad emitida por un organismo notificado, ni una resolución de la AESIA u otra autoridad. Es una auditoría privada de cumplimiento que demuestra gestión seria y prepara a la empresa ante una posible inspección.
La auditoría la lleva a cabo el equipo de Mr Crab 7, agencia española especializada en LLMO y GEO (posicionamiento en motores de IA como ChatGPT, Perplexity, Gemini y Claude), agente digitalizador oficial de Kit Digital.
La parte de formación y criterio normativo está a cargo de un economista colegiado con experiencia como profesor universitario, que traduce el lenguaje regulatorio a decisiones prácticas para tu día a día.
Las multas del Reglamento Europeo de IA llegan hasta 35 millones de euros o el 7% de la facturación global. El incumplimiento del artículo 4 agrava cualquier otra infracción detectada.
La auditoría es una evaluación privada, no una certificación oficial ni una resolución de la AESIA: te deja con evidencia documental de que has adoptado medidas razonables, algo que pesa a tu favor si llega una inspección.
Desde un primer diagnóstico gratis hasta ayuda urgente si la inspección ya está en marcha.
Precios sin IVA. Plazas limitadas este trimestre para mantener el plazo de entrega de 3 días.
La auditoría de 900€ cubre la Fase 1. Si tu empresa necesita implantar las medidas y verificarlas, estos son los paquetes completos, con rango orientativo según número de sistemas de IA, empleados y sectores afectados.
| Paquete | Incluye | Precio orientativo |
|---|---|---|
| Diagnóstico | Fase 1: informe + mapa de riesgos + matriz de incumplimientos | 600 – 1.500€ |
| Adecuación | Fases 1+2: diagnóstico + carpeta documental implantada | 1.800 – 4.500€ |
| Integral | Fases 1+2+3: con verificación de cierre y nivel de opinión | 3.000 – 7.500€ |
| Cumplimiento continuo | Fase 4 recurrente: revisión semestral o anual | 150 – 500€/mes |
Los sistemas de IA de posible alto riesgo (selección de personal, crédito, salud, biometría...) se presupuestan aparte y pueden requerir la intervención de un organismo notificado. Cuéntanos tu caso y te decimos qué paquete encaja.
| Opción | Precio orientativo | Entrega | Enfoque |
|---|---|---|---|
| Mr Crab 7 | 900€ fijo | 3 días | Auditoría práctica + formación |
| Despacho legal especializado | 4.900€ – 12.000€ | Varias semanas | Cumplimiento jurídico formal |
| Consultora de gobernanza IA | Desde 15.000€ | Meses | ISO 42001, comités, gobernanza |
| No hacer nada | 0€ hoy | — | Riesgo acumulado sin documentar |
Página actualizada el 15 de julio de 2026.
Plazas limitadas este trimestre para mantener el plazo de entrega de 3 días.
Te contactamos en menos de 24h laborables. Tus datos solo se usan para responder a esta solicitud.
En menos de 24h laborables, te escribimos para cerrar fecha.
30-45 min con tu equipo, presencial u online, para ver herramientas y datos reales.
Inventario, riesgos, política interna y formación, listos.