Gobierno de IA

AI Gateway corporativo

El shadow AI es el uso de ChatGPT, Copilot o cualquier otra IA sin pasar por el control de la empresa. Ponemos una puerta de entrada única a los modelos de IA para saber qué herramientas se usan, quién las usa y qué datos salen por ellas.

Normaart. 4 Reglamento (UE) 2024/1689 (AI Act)
Alfabetización en IA exigible desde2 de febrero de 2025
Qué aportavisibilidad, filtrado de datos y registro de cada uso de IA

Cuando alguien de tu equipo pega un contrato, una base de clientes o el código fuente en una IA gratuita, esos datos salen de tu perímetro sin que nadie lo sepa. No suele ser mala fe: la herramienta resuelve el problema más rápido que el canal oficial. El riesgo real no es que se use IA, es que se use sin control: fuga de información confidencial, incumplimiento del RGPD si hay datos personales de por medio y cero trazabilidad si algo sale mal.

Un AI Gateway es la capa que se pone entre tu equipo y los modelos de IA. Filtra qué datos pueden salir, decide qué herramientas se permiten por rol o departamento, registra cada consulta para poder auditarla y aplica las políticas de uso que defina la empresa en lugar de dejarlo al criterio de cada persona. No se trata de bloquear la IA: se trata de que la use todo el mundo, pero por el canal que sí controlas.

El artículo 4 del Reglamento (UE) 2024/1689 (AI Act), aplicable desde el 2 de febrero de 2025, obliga a proveedores y responsables del despliegue a garantizar un nivel suficiente de alfabetización en IA de su personal. Un gateway sin política de uso ni criterio detrás no cubre esa obligación: acompañamos las dos piezas, la técnica y la de gobierno. Y la AEPD recomienda expresamente no introducir información confidencial de la entidad ni datos de empleados o clientes en herramientas de IA no controladas.

Si por esas herramientas pasan datos personales, entran en juego la minimización del artículo 5 del RGPD, el contrato de encargo del tratamiento del artículo 28 cuando el proveedor de IA trata los datos por tu cuenta y las garantías de transferencia internacional si el proveedor está fuera de la UE.

Empezamos por un descubrimiento del shadow AI: qué herramientas usa ya el equipo, con qué frecuencia y con qué tipo de datos, sin perseguir a nadie. Con eso construimos la política de uso, la configuración del gateway y los registros de auditoría necesarios para demostrar, si hace falta, qué se hizo y por qué. El objetivo es reducir el riesgo real de fuga y darte cobertura frente al AI Act y al RGPD, no prometer un cumplimiento que nadie puede certificar de antemano.

El proceso de AI Gateway corporativo.

El proceso · cuatro tiempos
01

Descubrimiento del shadow AI

Identificamos qué herramientas de IA usa ya el equipo, con qué frecuencia y con qué tipo de datos, sin perseguir a nadie.

02

Política de uso

Definimos qué herramientas se permiten por rol o departamento y qué datos no pueden salir por ellas.

03

Configuración del AI Gateway

Implantamos la puerta de entrada única a los modelos de IA, con el filtrado de datos sensibles ya definido en la política.

04

Registro y seguimiento

Dejamos en marcha los registros de auditoría de cada consulta, para poder mostrar qué se hizo y por qué si hace falta.

Qué incluye

Qué incluye AI Gateway corporativo.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Descubrimiento de shadow AI

    Mapa de qué herramientas de IA usa el equipo, con qué frecuencia y con qué datos.

  • Política de uso de IA

    Documento con las herramientas permitidas por rol o departamento y los datos que no pueden salir por ellas.

  • Configuración del AI Gateway

    Puesta en marcha de la puerta de entrada única con filtrado de datos sensibles.

  • Registros de auditoría

    Trazabilidad de cada consulta realizada a través del gateway.

  • Revisión de encargos de tratamiento

    Comprobación de los contratos del artículo 28 del RGPD con los proveedores de IA que tratan datos personales.

  • Sesión informativa de alfabetización en IA

    Explicación puntual al personal sobre el uso permitido de la IA, alineada con el artículo 4 del AI Act.

Cluster Summum

Cómo se cruza con las hermanas.

Preguntas frecuentes sobre AI Gateway corporativo.

¿Qué es exactamente el shadow AI?

El uso de herramientas de inteligencia artificial —ChatGPT, Gemini, Copilot u otras— por parte de empleados o departamentos sin aprobación ni supervisión de la empresa, al margen de cualquier política interna.

¿Estoy obligado por ley a controlar cómo usa mi equipo la IA?

El artículo 4 del AI Act obliga desde el 2 de febrero de 2025 a que el personal que usa sistemas de IA tenga un nivel de conocimiento adecuado a su rol y al riesgo del sistema. La mayor parte de las obligaciones del reglamento se aplica desde el 2 de agosto de 2026, y el marco de gobernanza y sanciones —que en España coordina la AESIA— se despliega por fases desde el 2 de agosto de 2025. Te ayudamos a construir esa cobertura de forma documentada.

¿Un AI Gateway sustituye a la política de uso de IA?

No. El gateway es la pieza técnica que aplica la política; sin política detrás, solo filtra tráfico sin criterio. Trabajamos las dos cosas juntas.

¿Qué pasa si mi equipo ya usa IA sin permiso?

Es la situación más habitual, no una excepción. Empezamos con un descubrimiento sin señalar a nadie y migramos ese uso a herramientas gobernadas en lugar de prohibirlo de golpe.

¿Qué tiene que ver esto con el RGPD?

Si por esas herramientas pasan datos personales de clientes o empleados, aplican la minimización de datos del artículo 5, el contrato de encargo del tratamiento del artículo 28 cuando el proveedor de IA trata esos datos por tu cuenta y las garantías de transferencia internacional cuando el proveedor está fuera de la UE. El gateway ayuda a que esos flujos queden controlados y registrados.