Portfolio/Familia 05
Familia 05 · IA Governance y compliance EU

Cumple Europa. Demuéstralo con documentación.

RGPD, NIS2, EAA y AI Act son cuatro regulaciones que aplican a la vez a casi cualquier organización europea. Tres capacidades para registrar tus sistemas IA, auditarlos contra ALTAI y generar la documentación obligatoria multi-marco de forma automatizada.

Sanción potencial
Hasta 7%
de la facturación anual bajo AI Act para sistemas de alto riesgo no registrados. Es la sanción más alta del marco regulatorio EU IA.
El problema · 01

Cuatro regulaciones simultáneas. Cero plantilla extra.

RGPD entró en 2018. NIS2 en 2024. EAA en junio 2025. AI Act en agosto 2026 para sistemas de alto riesgo. Cada una pide su registro, su documentación, su evaluación de impacto. Para una PYME contratar un Compliance Officer es desproporcionado, contratar consultoría legal específica por cada marco multiplica el coste.

La automatización del 80% del trabajo documental cambia el cálculo. Lo que requiere criterio humano (decisiones de riesgo, política empresarial) se mantiene en humano. Lo que es papeleo (registros, mapeos, declaraciones técnicas) lo genera el sistema.

Principios · 02

Cinco reglas para no maquillar compliance.

El riesgo de un sistema de governance mal diseñado es generar documentos bonitos que ocultan riesgos reales. Aplicamos cinco reglas para evitarlo.

01 · Plantillas legales validadas

No improvisamos cláusulas

Cada documento generado parte de plantilla validada por especialista legal (RGPD, NIS2, EAA, AI Act). El LLM rellena variables, no redacta artículos.

02 · Audit log inmutable

Quién aprobó qué y cuándo

Cada cambio en el registro de sistemas IA queda firmado y trazado. Compatible con AI Act art. 12 (registros logs).

03 · Honestidad sobre riesgo

Si es alto riesgo, lo decimos

El clasificador no infla ni rebaja categoría para evitar incomodidades. Si un sistema cae en alto riesgo, hay que tratarlo como tal.

04 · Actualización regulatoria

Cambios al día

Cuando una norma se modifica (reglamentos delegados, jurisprudencia TJUE), el sistema avisa de obligaciones nuevas o modificadas.

05 · No reemplaza criterio jurídico

Asiste, no decide

Compliance officer y asesor legal siguen siendo necesarios para decisiones críticas. El sistema les libera de trabajo administrativo.

06 · Datos en EU

Soberanía como default

Datos de compliance se procesan en EU (Hetzner Frankfurt). Modelos europeos cuando es viable. Sin transferencia internacional por defecto.

Las 3 capacidades · 03

Tres herramientas para cumplir y demostrarlo.

Una para registrar tus sistemas IA (AI Act). Una para auditarlos contra el marco europeo de IA confiable (ALTAI). Una para automatizar la documentación multi-marco (RGPD + NIS2 + EAA + AI Act).

01 · B2B / Público

Plataforma de governance AI Act

Registro de sistemas IA, clasificación por riesgo, evaluación de impacto y monitorización de drift y bias.

AI ActB2BSector públicoAudit log

Problema

Organizaciones que despliegan IA en procesos significativos (RRHH, salud, justicia, crédito) deben cumplir AI Act. Deadline alto riesgo agosto 2026. Pocas tienen inventario claro de sistemas IA en uso, su clasificación de riesgo o documentación de impacto.

Solución

Sistema de registro y monitorización de algoritmos IA de la organización. Clasificación de riesgo según AI Act (mínimo, limitado, alto, inaceptable). Generación de documentación obligatoria: registro de sistemas IA, evaluación de impacto, plan de gestión de riesgos. Dashboard de monitorización de drift y bias en producción.

  • Wizard de clasificación que produce categoría de riesgo defendible
  • Workflows de aprobación: el sistema no se da por compliant sin firma humana
  • Audit log inmutable de cada cambio en el registro
  • Monitorización continua post-despliegue de drift y bias

Business case

Prevención de sanciones hasta 7% de facturación. Construcción de confianza con stakeholders. Gobernanza interna estructurada. Diferenciación en licitaciones que exigen compliance demostrable.

Stack

Next.js + SupabasepgvectorWorkflows aprobaciónAudit logs inmutables

Ejemplo concreto

Para una empresa con 8 sistemas IA en producción (clasificación de candidatos, scoring crédito, asistente virtual, etc.): en 4 semanas todos registrados, clasificados, documentados. Cara a inspección regulatoria, el equipo legal tiene la documentación a un click, no a dos meses de trabajo.

Solicitar reunión →
02 · Público / B2B

Auditoría ALTAI de IA confiable

Marco europeo de evaluación de los 7 requisitos ALTAI con informe certificable para licitaciones públicas.

ALTAISector públicoLicitacionesConfianza

Problema

Licitaciones públicas europeas empiezan a exigir compromiso explícito con principios de IA confiable. Organizaciones que despliegan IA con stakeholders sensibles necesitan demostrar diligencia más allá del cumplimiento legal mínimo.

Solución

Marco de auditoría que evalúa sistemas IA contra los 7 requisitos de la lista ALTAI (Assessment List for Trustworthy AI) de la Comisión Europea: agencia humana y supervisión, robustez técnica y seguridad, privacidad y gobernanza de datos, transparencia, diversidad y no discriminación, bienestar social y ambiental, accountability. Entrega informe certificable parametrizable por organización.

  • Cuestionario estructurado por requisito ALTAI con preguntas adaptadas al sistema
  • Matriz de evaluación de riesgos con planes de mitigación
  • Informe ejecutivo (para licitación) + informe técnico (para auditoría interna)
  • Re-evaluación periódica para mantener vigencia

Business case

Diferenciación en licitaciones públicas que premian compromiso ético. Reducción del riesgo reputacional. Alineación con principios europeos de IA confiable. Documento defendible ante comité ético interno.

Stack

Marco metodológicoCuestionarios estructuradosInformes parametrizablesMatriz riesgos

Ejemplo concreto

Para una organización pública que despliega un sistema de matching ciudadano-servicios: auditoría ALTAI completa en 3 semanas. Informe se presenta como anexo en licitación nacional, factor diferenciador en valoración técnica.

Solicitar reunión →
03 · B2B / Público

Compliance multi-marco automatizado

Scanner técnico + generador de docs (declaración accesibilidad, política privacidad, registro IA) para PYMEs europeas.

RGPDNIS2EAAAI Act

Problema

PYMEs europeas tienen que cumplir múltiples regulaciones simultáneas pero no pueden costear un compliance officer ni una consultoría legal por cada marco. La documentación obligatoria es repetitiva, técnica y aburrida pero su ausencia activa sanciones.

Solución

Plataforma SaaS de compliance multi-marco con módulos por regulación. Accesibilidad EAA: scanner automático web con axe-core + JSDOM, mapeo a EN 301 549, generador de Declaración de Accesibilidad multilingüe. Cybersecurity NIS2: cuestionario de riesgo, flujos de reporte de incidentes, checklist por categoría, generador de políticas. AI Governance: clasificador de riesgo, registro de sistemas IA, monitorización. Bundle completo con descuento.

  • Scanner técnico real, no solo formulario auto-respondido
  • Plantillas legales validadas por especialista
  • Score de cumplimiento por marco con plan de acción
  • Pricing por módulo: paga solo las regulaciones que te aplican
  • Lemon Squeezy como Merchant of Record para IVA europeo

Business case

Automatización del 80% del trabajo documental. Reducción del coste de consultoría legal de 6.000-12.000€ tradicionales a una fracción. Prevención de sanciones (RGPD hasta 4% facturación, AI Act hasta 7%). Time-to-first-document: horas en vez de meses.

Stack

Next.js + SupabaseGemini 2.0 Flashaxe-core scannerpgvector RAG normativaLemon Squeezy MoR

Ejemplo concreto

Para una PYME tecnológica de 30 empleados operando en 4 países EU: bundle completo en menos de 1 día. Declaración de accesibilidad publicada, registro RGPD actualizado, plan de respuesta NIS2 documentado, primer registro AI Act. Coste anual de compliance reducido en 75%.

Solicitar reunión →
FAQ · 04

Lo que preocupa al equipo legal.

Cuatro dudas habituales antes de adoptar una plataforma automatizada de compliance.

¿Esto sustituye a mi abogado o asesor de protección de datos?

No. Lo asiste. El sistema automatiza la documentación repetitiva (registros, declaraciones técnicas, scoring por marco). Las decisiones jurídicas críticas (interpretación, defensa frente a inspección, política de tratamiento) siguen siendo trabajo humano experto. El delegado de protección de datos sigue siendo necesario donde la ley lo exige.

¿Qué pasa si un regulador cuestiona la documentación generada?

Toda la documentación parte de plantillas validadas por especialista legal. El sistema rellena variables, no redacta cláusulas. En auditoría, la documentación es defendible por construcción. Adicionalmente, cada paso lleva audit log con quién aprobó qué y cuándo.

¿Cubre la transposición específica de cada país?

RGPD y AI Act se aplican uniformemente en EU. EAA y NIS2 tienen transposiciones nacionales con matices. La plataforma cubre España, Catalunya, Portugal y Estonia con texto base actualizado. Otras transposiciones se añaden por demanda específica.

¿Cumple con la propia clasificación AI Act sobre la plataforma?

Sí. La propia plataforma de governance es un sistema de "riesgo limitado" según AI Act (asistencia para cumplimiento, no decisión autónoma sobre derechos). Tiene su propio registro, evaluación de impacto y monitorización de drift. Aplicamos a nosotros lo que vendemos.

Empezar · 05

Diagnóstico de tu estado actual de compliance EU.

Solicite una reunión de 30 minutos. Indicamos qué regulaciones te aplican según tu sector y tamaño, qué brechas tienes hoy y cuál es el camino más corto a estar cubierto.

Solicitar diagnóstico inicial Ver otras familias
D

Diego Torres

Founder · AI Twin · Familia 05

Asistente IA del portfolio, especializado en IA Governance y compliance EU. Consulte qué regulación te aplica, qué documentación obligatoria toca por marco o cómo se valida ALTAI en una licitación.