¿Qué hace GuardianAI?

Analiza documentación técnica y detecta riesgos de cumplimiento según la Ley de IA de la UE, RGPD e ISO 42001.

¿Qué documentos puedo escanear?

Archivos PDF, DOCX y TXT de hasta 25 MB: especificaciones técnicas, model cards, evaluaciones de riesgo, políticas de privacidad.

¿GuardianAI reemplaza el asesoramiento legal?

No. GuardianAI es una herramienta RegTech de apoyo. No sustituye el asesoramiento legal profesional. Se recomienda la revisión humana para decisiones finales.

¿Mis datos están seguros?

Cifrado TLS 1.3 + AES-256. Infraestructura europea conforme al RGPD. Retención mínima. Tus documentos nunca se usan para entrenar modelos.

Cómo preparar tu startup para la primera auditoría de IA

Si diriges una startup que desarrolla o utiliza sistemas de inteligencia artificial en Europa, la pregunta ya no es si te tocará una auditoría de cumplimiento — sino cuándo. Con el EU AI Act en plena implementación y el enforcement completo previsto para agosto de 2026, muchas startups se enfrentan por primera vez a la necesidad de demostrar que sus sistemas de IA cumplen con requisitos regulatorios concretos.

La buena noticia es que prepararse no requiere un departamento legal de 20 personas ni un presupuesto de consultoría de seis cifras. Lo que sí requiere es un proceso estructurado, documentación real, y disciplina para mantenerla actualizada.

Paso 1: Inventario completo de sistemas de IA

Antes de evaluar cumplimiento, necesitas saber exactamente qué sistemas de IA tienes. Esto suena obvio, pero muchas startups subestiman el alcance:

Qué incluir en el inventario

Modelos propios: Cualquier modelo de machine learning entrenado internamente.
APIs de terceros: Si usas GPT-4, Claude, Gemini u otros LLMs vía API, esos sistemas también cuentan.
Herramientas con IA integrada: CRMs con scoring predictivo, herramientas de RRHH con filtrado de CVs, chatbots de soporte.
Pipelines de datos: Sistemas de procesamiento que incluyan componentes de IA/ML.

Información a documentar por sistema

Para cada sistema identificado, registra:

Nombre y proveedor (si es tercero).
Propósito y caso de uso.
Datos que procesa (tipos, fuentes, volumen).
Quién lo usa y en qué contexto.
Decisiones que influye o genera.

Paso 2: Clasificación de riesgo

Una vez tienes el inventario, clasifica cada sistema según el esquema de riesgo del EU AI Act:

Riesgo inaceptable (prohibido): Sistemas de manipulación subliminal, scoring social, biometría remota en tiempo real (salvo excepciones).
Alto riesgo (Anexo III): Sistemas en áreas como empleo, educación, crédito, biometría, infraestructura crítica.
Riesgo limitado: Sistemas con obligaciones de transparencia (chatbots, deepfakes).
Riesgo mínimo: La mayoría de aplicaciones de IA sin impacto directo en derechos fundamentales.

La clasificación determina qué obligaciones aplican. Un sistema de riesgo mínimo tiene pocas obligaciones; uno de alto riesgo necesita documentación técnica completa, gestión de riesgos, supervisión humana, y evaluación de conformidad.

Si no tienes claro cómo clasificar tus sistemas, GuardianAI puede escanear tu documentación técnica y determinar automáticamente el nivel de riesgo según los criterios del Anexo III.

Paso 3: Evaluación de brechas (gap analysis)

Con el inventario clasificado, el siguiente paso es comparar tu estado actual de documentación y controles con los requisitos del EU AI Act. Para sistemas de alto riesgo, los artículos clave son:

Requisito	Pregunta clave
-----------	---------------
Gestión de riesgos (Art. 9)	¿Tienes un proceso documentado de identificación y mitigación de riesgos?
Gobernanza de datos (Art. 10)	¿Los datos de entrenamiento están documentados, son representativos y están validados?
Documentación técnica (Art. 11)	¿Tienes una descripción completa del sistema: arquitectura, rendimiento, limitaciones?
Logging (Art. 12)	¿El sistema genera registros de actividad automáticos?
Transparencia (Art. 13)	¿Los usuarios comprenden cómo funciona el sistema y sus limitaciones?
Supervisión humana (Art. 14)	¿Hay mecanismos para que un humano pueda intervenir o anular decisiones?
Precisión y robustez (Art. 15)	¿El sistema ha sido probado para garantizar precisión, robustez y ciberseguridad?

Por cada requisito, evalúa: ¿tenemos esto documentado? ¿Quién es responsable? ¿Desde cuándo?

Paso 4: Prioriza las brechas

No todo es igualmente urgente. Prioriza basándote en:

Severidad del riesgo: Brechas en sistemas de alto riesgo van primero.
Plazos regulatorios: Las prohibiciones ya están activas (desde febrero 2025). Los requisitos de alto riesgo se enforcean desde agosto 2026.
Impacto en el negocio: Si necesitas compliance para cerrar un cliente enterprise o una ronda de inversión, eso sube en prioridad.

Paso 5: Documentación técnica

La documentación técnica es el corazón del cumplimiento del EU AI Act. El Anexo IV define lo que debe incluir:

Descripción general del sistema de IA.
Descripción detallada de los elementos del sistema y su proceso de desarrollo.
Información sobre los datos de entrenamiento, validación y prueba.
Métricas de rendimiento (precisión, robustez, sesgo).
Medidas de gestión de riesgos aplicadas.
Descripción de los mecanismos de supervisión humana.
Información sobre los recursos computacionales necesarios.

Para una startup, esto puede parecer abrumador. La clave es documentar de forma incremental: empieza con una model card básica y ve añadiendo secciones.

Paso 6: Establece procesos continuos

Una auditoría no es un evento puntual. El EU AI Act exige conformidad continua:

Monitoreo post-despliegue: Supervisar el rendimiento del sistema en producción.
Actualizaciones documentales: Cada cambio significativo en el sistema (nuevo modelo, nuevos datos, nuevo caso de uso) debe reflejarse en la documentación.
Reporte de incidentes: Si el sistema causa o podría causar un riesgo serio, hay obligación de notificar.

Paso 7: Prepara la evidencia

Cuando la auditoría llegue — ya sea una auditoría interna, una diligencia de inversores, o una inspección de la autoridad reguladora — necesitarás evidencia organizada:

Repositorio centralizado: Toda la documentación en un lugar accesible y versionado.
Historial de cambios: Registro de cuándo se tomaron decisiones y por qué.
Métricas actualizadas: Resultados de pruebas recientes, no de hace 18 meses.
Responsables identificados: Quién es responsable de cada requisito.

GuardianAI genera informes de cumplimiento estructurados por artículo del EU AI Act, con hallazgos priorizados y recomendaciones de acción. Esto permite llegar a una auditoría con hallazgos documentados y un plan de corrección claro.

Errores comunes de startups

Asumir que "somos pequeños, no nos afecta": El EU AI Act aplica por el tipo de sistema, no por el tamaño de la empresa. Una startup de 5 personas con un modelo de scoring crediticio tiene las mismas obligaciones que un banco.
Documentar solo al final: La documentación retroactiva es más costosa y menos fiable. Documenta desde el inicio del desarrollo.
Ignorar los proveedores de IA: Si usas modelos de terceros (OpenAI, Anthropic, Google), necesitas documentar cómo los integras y qué garantías ofrecen.
No asignar responsabilidad: Si nadie es responsable del cumplimiento, nadie lo hace.

Conclusión

Preparar tu primera auditoría de IA no requiere perfección desde el día uno. Requiere un proceso claro: inventario, clasificación, evaluación de brechas, y documentación progresiva. Las startups que empiecen ahora tendrán una ventaja significativa sobre las que esperen al último momento. El EU AI Act no distingue entre empresas grandes y pequeñas — lo que importa es el tipo de sistema y su impacto en las personas.