IA y Copilot · Governance
Como partner de AI governance para Microsoft Copilot y Foundry, llevamos sus casos de uso de IA a un marco de gobernanza sólido — sin paralizar la operativa diaria. El EU AI Act ya no es una advertencia lejana: obligación de formación según el artículo 4 desde febrero de 2025, marco sancionador completo de hasta 35 millones de euros o el 7 % de la facturación anual en vigor desde agosto de 2026.
Fecha: 18 de mayo de 2026
Qué exige la UE
El Reglamento UE 2024/1689 — conocido como EU AI Act — clasifica cada uso de inteligencia artificial en una de cuatro clases de riesgo. De ahí derivan obligaciones concretas. Le ayudamos a clasificar correctamente cada uno de sus casos de uso de IA.
Determinadas prácticas son inadmisibles — por ejemplo, social scoring por autoridades públicas, sistemas manipuladores, recolección biométrica masiva no dirigida. Quien utilice este tipo de sistemas se arriesga a las sanciones más altas. Nosotros no aceptamos este tipo de casos de uso.
Preselección de personal, scoring crediticio, identificación biométrica, infraestructuras críticas, evaluación educativa. Requisitos estrictos: evaluación de conformidad, gestión de riesgos, documentación técnica, monitorización continua. Aquí se necesita apoyo jurídico especializado — derivamos a nuestra red de partners.
Chatbots, deepfakes, reconocimiento de emociones, IA generativa con efecto externo. Obligación: transparencia hacia los usuarios. Una gran parte de los agentes de Copilot Studio suelen encajar aquí. La obligación es alcanzable — pero hay que practicarla y documentarla.
Filtros de spam, algoritmos de recomendación con efecto bajo, clasificadores simples. Aquí no se aplican obligaciones específicas del AI Act — pero siguen aplicándose las obligaciones generales (RGPD, formación según el Art. 4).
Nuestro programa de AI Governance
No tomamos el AI Act como un freno, sino como una ayuda estructural. Cuatro pilares que construimos junto a usted en 8 a 12 semanas — pragmáticos, sin sobrecarga burocrática.
Mapeamos todos los casos de uso de IA que hoy se ejecutan en su empresa — visibles e invisibles. Microsoft Copilot, agentes personalizados, el plugin de ChatGPT que utilizan los equipos de marketing, el filtro de candidaturas en reclutamiento. El "shadow AI" es real y primero debe hacerse visible.
Obligación de formación según el Art. 4 EU AI Act. Construimos un concepto por roles: la dirección distinto de ventas distinto de TI distinto de protección de datos. Con registros de formación documentados que aguantan ante un regulador — no solo un check en una casilla.
Cada caso de uso identificado se clasifica: prohibido, alto riesgo, riesgo limitado, mínimo. De cada clase derivan obligaciones concretas. De la clasificación derivan las medidas — desde el aviso de transparencia en el chatbot hasta la evaluación de conformidad para un caso de uso de alto riesgo.
Construimos un audit trail sobre Microsoft Purview y Microsoft Entra ID. Quién utilizó qué agente, cuándo, con qué pregunta, qué respuesta, qué fuente de datos. No es solo una obligación del EU AI Act — en caso de daño es la única forma de investigar una alucinación a posteriori.
Comprobaciones concretas de compliance
Esta lista no es exhaustiva, pero muestra la profundidad de nuestra primera revisión. Cada tema se documenta con estatus (rojo, amarillo, verde), razonamiento y acción concreta.
¿Toda la plantilla que trabaja con sistemas de IA está formada de forma demostrable? ¿Existe un concepto específico por rol? ¿Las formaciones se renuevan anualmente? ¿Se incluye al personal nuevo en el onboarding? Carencia frecuente: lista de Excel con casillas, falta de profundidad de contenido.
Cuando una persona interactúa con un sistema de IA debe saberlo. Para chatbots, agentes de servicio, IA generativa con efecto externo. Revisamos si los avisos son inequívocos, persistentes y no están ocultos. Carencia frecuente: el aviso solo en las condiciones, no en la interfaz.
Microsoft 365 Copilot se puede configurar para residencia de datos en la UE. Revisamos la configuración del tenant, la asignación de región y la lógica de flujo de datos. Carencia frecuente: tenant configurado "a nivel mundial", flujo de datos hacia EE. UU. no excluido.
Revisamos si Copilot o los agentes personalizados pueden acceder a datos que no deberían ver. Punto débil frecuente: sitios de SharePoint con "cualquiera de la empresa puede leer" que han crecido históricamente y hoy contienen registros de RRHH.
Por cada agente personalizado revisamos el caso de uso frente a la clase de riesgo del EU AI Act. Un bot interno de FAQ suele ser "riesgo limitado". Un agente de preselección de candidatos es de alto riesgo. De la clasificación derivan las medidas — hasta la recomendación de no construir el agente así.
Revisamos si todas las interacciones de IA relevantes quedan registradas. Microsoft Purview ofrece un buen estándar pero debe configurarse correctamente. Carencia frecuente: logs activados pero nunca revisados — y con una retención de 30 días en lugar de 12 meses.
Delimitación honesta
No somos un despacho de abogados. Somos consultores Microsoft con conocimiento profundo del EU AI Act y de su aplicación técnica. Para valoraciones jurídicas formales, evaluaciones de conformidad con apoyo de organismos notificados para sistemas de alto riesgo y auditorías presenciales por un regulador, derivamos a despachos especializados en nuestra red de partners DACH.
Lo que sí entregamos: una AI governance pragmática y técnicamente fundamentada que encaja con el stack Microsoft — Copilot, Copilot Studio, Microsoft Purview, Microsoft Entra ID. Asesoramos, documentamos, formamos. El sello jurídico final lo pone un despacho con el que nos sentamos a la mesa.
FAQ
El Reglamento UE 2024/1689 distingue cuatro clases de riesgo: prácticas prohibidas (Art. 5), sistemas de alto riesgo (Anexo III), sistemas de riesgo limitado con obligación de transparencia y riesgo mínimo. Desde febrero de 2025 se aplica la obligación de formación en IA según el Art. 4 a todas las empresas que utilizan o proporcionan sistemas de IA. Desde agosto de 2026 se aplica el marco sancionador completo para sistemas de alto riesgo.
Sí. La obligación de formación del Art. 4 EU AI Act se aplica a toda organización que utilice sistemas de IA — con independencia de que los desarrolle ella misma o los compre como servicio. Quien utilice Microsoft 365 Copilot, ChatGPT Enterprise o agentes personalizados debe formar a su plantilla de forma demostrable. La profundidad depende del rol y de la clase de riesgo del sistema.
El EU AI Act prevé sanciones de hasta 35 millones de euros o el 7 % de la facturación anual mundial — según el tipo de infracción y de empresa. Las infracciones de disposiciones para sistemas de alto riesgo conllevan el rango más alto. Las infracciones de obligaciones de transparencia o de formación son menores, pero igualmente significativas.
El Anexo III del EU AI Act enumera las áreas de alto riesgo — entre ellas, preselección de personal, scoring crediticio, identificación biométrica, infraestructuras críticas y evaluación educativa. Quien utilice un agente de Copilot Studio en una de estas áreas debe cumplir requisitos estrictos de compliance.
Para empresas medianas trabajamos en un marco de precio fijo — en función del número de casos de uso de IA, del tamaño de la organización y de la profundidad del concepto de formación. Organizaciones más grandes con desarrollo propio de modelos reciben una oferta individual.
Un programa típico dura de 8 a 12 semanas — inventario de riesgos en las dos primeras semanas, clasificación y desarrollo del concepto de formación en paralelo, después despliegue de la formación y construcción del audit trail. El resultado es un marco de AI governance documentado revisado anualmente.
No — y lo decimos abiertamente. Somos consultores Microsoft con conocimiento profundo del EU AI Act y de su aplicación técnica. Para valoraciones jurídicas formales, evaluaciones de conformidad con apoyo de organismos notificados y auditorías presenciales recomendamos despachos especializados — colaboramos con tres partners fijos en DACH.
30 min · confidencial · sin compromiso
Escuchamos su situación, hacemos una primera valoración de riesgo de sus casos de uso de IA activos y le decimos abiertamente dónde está la mayor necesidad de actuar — antes de que pregunte el regulador.
