Descubrimiento del shadow AI
Identificamos qué herramientas de IA usa ya el equipo, con qué frecuencia y con qué tipo de datos, sin perseguir a nadie.
El shadow AI es el uso de ChatGPT, Copilot o cualquier otra IA sin pasar por el control de la empresa. Ponemos una puerta de entrada única a los modelos de IA para saber qué herramientas se usan, quién las usa y qué datos salen por ellas.
Cuando alguien de tu equipo pega un contrato, una base de clientes o el código fuente en una IA gratuita, esos datos salen de tu perímetro sin que nadie lo sepa. No suele ser mala fe: la herramienta resuelve el problema más rápido que el canal oficial. El riesgo real no es que se use IA, es que se use sin control: fuga de información confidencial, incumplimiento del RGPD si hay datos personales de por medio y cero trazabilidad si algo sale mal.
Un AI Gateway es la capa que se pone entre tu equipo y los modelos de IA. Filtra qué datos pueden salir, decide qué herramientas se permiten por rol o departamento, registra cada consulta para poder auditarla y aplica las políticas de uso que defina la empresa en lugar de dejarlo al criterio de cada persona. No se trata de bloquear la IA: se trata de que la use todo el mundo, pero por el canal que sí controlas.
El artículo 4 del Reglamento (UE) 2024/1689 (AI Act), aplicable desde el 2 de febrero de 2025, obliga a proveedores y responsables del despliegue a garantizar un nivel suficiente de alfabetización en IA de su personal. Un gateway sin política de uso ni criterio detrás no cubre esa obligación: acompañamos las dos piezas, la técnica y la de gobierno. Y la AEPD recomienda expresamente no introducir información confidencial de la entidad ni datos de empleados o clientes en herramientas de IA no controladas.
Si por esas herramientas pasan datos personales, entran en juego la minimización del artículo 5 del RGPD, el contrato de encargo del tratamiento del artículo 28 cuando el proveedor de IA trata los datos por tu cuenta y las garantías de transferencia internacional si el proveedor está fuera de la UE.
Empezamos por un descubrimiento del shadow AI: qué herramientas usa ya el equipo, con qué frecuencia y con qué tipo de datos, sin perseguir a nadie. Con eso construimos la política de uso, la configuración del gateway y los registros de auditoría necesarios para demostrar, si hace falta, qué se hizo y por qué. El objetivo es reducir el riesgo real de fuga y darte cobertura frente al AI Act y al RGPD, no prometer un cumplimiento que nadie puede certificar de antemano.
Identificamos qué herramientas de IA usa ya el equipo, con qué frecuencia y con qué tipo de datos, sin perseguir a nadie.
Definimos qué herramientas se permiten por rol o departamento y qué datos no pueden salir por ellas.
Implantamos la puerta de entrada única a los modelos de IA, con el filtrado de datos sensibles ya definido en la política.
Dejamos en marcha los registros de auditoría de cada consulta, para poder mostrar qué se hizo y por qué si hace falta.
El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.
Descubrimiento de shadow AI
Mapa de qué herramientas de IA usa el equipo, con qué frecuencia y con qué datos.
Política de uso de IA
Documento con las herramientas permitidas por rol o departamento y los datos que no pueden salir por ellas.
Configuración del AI Gateway
Puesta en marcha de la puerta de entrada única con filtrado de datos sensibles.
Registros de auditoría
Trazabilidad de cada consulta realizada a través del gateway.
Revisión de encargos de tratamiento
Comprobación de los contratos del artículo 28 del RGPD con los proveedores de IA que tratan datos personales.
Sesión informativa de alfabetización en IA
Explicación puntual al personal sobre el uso permitido de la IA, alineada con el artículo 4 del AI Act.
El uso de herramientas de inteligencia artificial —ChatGPT, Gemini, Copilot u otras— por parte de empleados o departamentos sin aprobación ni supervisión de la empresa, al margen de cualquier política interna.
El artículo 4 del AI Act obliga desde el 2 de febrero de 2025 a que el personal que usa sistemas de IA tenga un nivel de conocimiento adecuado a su rol y al riesgo del sistema. La mayor parte de las obligaciones del reglamento se aplica desde el 2 de agosto de 2026, y el marco de gobernanza y sanciones —que en España coordina la AESIA— se despliega por fases desde el 2 de agosto de 2025. Te ayudamos a construir esa cobertura de forma documentada.
No. El gateway es la pieza técnica que aplica la política; sin política detrás, solo filtra tráfico sin criterio. Trabajamos las dos cosas juntas.
Es la situación más habitual, no una excepción. Empezamos con un descubrimiento sin señalar a nadie y migramos ese uso a herramientas gobernadas en lugar de prohibirlo de golpe.
Si por esas herramientas pasan datos personales de clientes o empleados, aplican la minimización de datos del artículo 5, el contrato de encargo del tratamiento del artículo 28 cuando el proveedor de IA trata esos datos por tu cuenta y las garantías de transferencia internacional cuando el proveedor está fuera de la UE. El gateway ayuda a que esos flujos queden controlados y registrados.