Plantilla: Registro de sistemas de IA en la empresa
Resumen: Plantilla descargable en Excel para documentar todos los sistemas de IA que utiliza tu empresa. Incluye 15 campos por sistema, clasificación de riesgo guiada, ejemplos realistas cumplimentados y un árbol de decisión para determinar el nivel de riesgo. Lista para usar con los datos de tu organización y demostrar cumplimiento ante AESIA o AEPD.
Tipo de documento: Plantilla descargable + guía de cumplimentación · Autora: Ana María González · Directora de CiberAula · Licencia: CC BY-SA 4.0
📥 Descarga la plantilla Excel
Archivo .xlsx con 15 campos, ejemplos cumplimentados, instrucciones y filas vacías para tus sistemas.
Compatible con Excel, Google Sheets, Numbers y LibreOffice Calc.
¿Por qué necesitas este registro?
El AI Act exige en la práctica que cualquier empresa que use sistemas IA sepa qué sistemas usa, para qué, con qué datos y qué nivel de riesgo tienen. Sin un inventario:
- No puedes clasificar los sistemas por nivel de riesgo (obligación crítica).
- No puedes formar al personal de forma adaptada (artículo 4).
- No puedes responder a una inspección de AESIA ni de AEPD.
- No puedes ejercer control de gobernanza sobre el uso de IA.
Este registro es la piedra angular del cumplimiento. Sin él, todo lo demás se derrumba.
Cómo usar esta plantilla
- Descarga el archivo Excel con el botón de arriba.
- Revisa los 5 ejemplos ya cumplimentados (empresa ficticia de 30 empleados).
- Sustituye los ejemplos por los sistemas IA reales de tu empresa, una fila por sistema.
- Incluye también la IA embebida en CRM, ERP, correo, suite ofimática, etc.
- No olvides el “shadow AI”: uso por parte de empleados con cuentas personales.
- Actualiza trimestralmente como mínimo, y cada vez que se incorpore o retire un sistema.
- Conserva las versiones anteriores del registro: no sobrescribas, guarda histórico.
Los 15 campos del registro
Cada sistema IA de tu empresa se documenta con estos 15 campos, organizados en 5 bloques:
🏷️ Identificación
| 1. ID interno | Código único: IA-001, IA-002… Permite referenciarlo en otros documentos. |
| 2. Nombre comercial | Nombre del producto (ej: ChatGPT Team, Claude for Work, Gemini Advanced). |
| 3. Proveedor | Empresa que proporciona el sistema (ej: OpenAI, Anthropic, Google). |
🏢 Uso en la empresa
| 4. Finalidad de uso | Para qué se usa. Sé específico: "redacción de borradores de contratos", "análisis de CVs en preselección". |
| 5. Departamentos | Áreas de la empresa con acceso al sistema. |
| 6. Nº de usuarios | Cuántas personas tienen acceso activo. |
| 7. Fecha de inicio | Cuándo se empezó a usar en la empresa. |
🔒 Datos tratados
| 8. Tipos de datos | Qué información se introduce: datos personales, financieros, documentos internos, información pública… |
| 9. ¿Datos personales? | Sí / No. Si sí, cuáles y en qué volumen aproximado. |
| 10. ¿No-entrenamiento? | ¿Está contractualmente garantizado que el proveedor no entrena con tus datos? Documento de referencia. |
⚖️ Clasificación AI Act
| 11. Nivel de riesgo | Inaceptable · Alto · Limitado · Mínimo (ver árbol de decisión abajo). |
| 12. Justificación | Breve explicación del criterio aplicado y artículos del AI Act relevantes. |
🛡️ Gobernanza
| 13. Responsable interno | Persona o departamento responsable del uso correcto. |
| 14. Política de uso | Referencia al documento interno que regula su uso (ej: Política de uso de IA v1.0, anexo B). |
| 15. Última revisión | Fecha de última revisión de este registro para este sistema. |
Árbol de decisión: ¿qué nivel de riesgo tiene tu sistema IA?
Usa este diagrama para clasificar cada sistema de tu registro. Empieza por la primera pregunta y sigue las flechas.
Ejemplo cumplimentado: empresa ficticia de 30 empleados
A continuación, 5 registros realistas que cubren los niveles de riesgo mínimo, limitado y alto. Sustituye estos ejemplos por los datos reales de tu organización en el Excel descargado.
Riesgo mínimo
IA-001 · ChatGPT Team
| Proveedor | OpenAI |
| Finalidad | Redacción de emails, borradores de informes, traducciones, resúmenes |
| Departamentos | Marketing, Comercial, Administración |
| Usuarios · Inicio | 18 usuarios · Marzo 2025 |
| Datos | Textos genéricos, información pública. Sin datos personales sistemáticos. |
| No-entrenamiento | Sí (Plan Team incluye cláusula de exclusión) |
| Justificación riesgo | Productividad general sin decisiones sobre personas |
| Responsable · Política | Departamento IT · Política uso IA v1.0, sección 4 |
Riesgo mínimo
IA-002 · Claude for Work
| Proveedor | Anthropic |
| Finalidad | Análisis de documentos largos, revisión contractual preliminar, redacción técnica |
| Departamentos | Dirección, Asesoría Legal Interna |
| Usuarios · Inicio | 4 usuarios · Enero 2026 |
| Datos | Documentos internos (con anonimización obligatoria), contratos pre-firma. Datos personales ocasionales. |
| No-entrenamiento | Sí (Plan Work de Anthropic) |
| Justificación riesgo | Productividad profesional sin decisiones automatizadas. Anonimización y supervisión humana obligatorias |
| Responsable · Política | CEO + Asesoría Legal · Política uso IA v1.0, sección 4 |
Riesgo mínimo
IA-003 · Microsoft Copilot (M365)
| Proveedor | Microsoft |
| Finalidad | Asistente integrado en Outlook, Word, Excel, Teams |
| Departamentos | Toda la empresa |
| Usuarios · Inicio | 30 usuarios · Septiembre 2025 |
| Datos | Ecosistema M365 completo. Datos personales por naturaleza (clientes, empleados, correo). |
| No-entrenamiento | Sí (Microsoft no entrena sobre datos de tenants empresariales) |
| Justificación riesgo | Uso productividad con supervisión humana. Sin decisiones automatizadas sobre personas |
| Responsable · Política | Departamento IT · Política uso IA v1.0, sección 4 |
⚠️ Riesgo limitado
IA-004 · Chatbot de atención al cliente
| Proveedor | [Nombre de tu proveedor de chatbot] |
| Finalidad | Atención al cliente primera línea en la web corporativa |
| Departamentos | Atención al Cliente |
| Usuarios · Inicio | Sistema automatizado + 3 agentes humanos · Noviembre 2024 |
| Datos | Consultas web: nombre, email, contenido de la consulta. Datos personales: sí. |
| No-entrenamiento | Sí (confirmado contractualmente) |
| Justificación riesgo | Chatbot que interactúa con personas → debe identificarse como IA desde el primer mensaje (art. 50 AI Act). Escalado a agente humano disponible siempre. |
| Responsable · Política | Dir. Marketing + DPO · Política uso IA v1.0, sección 5.3 (transparencia) |
🔴 Alto riesgo — Obligaciones completas desde agosto 2026
IA-005 · ATS con filtrado automático de CVs
| Proveedor | [Nombre de tu ATS] |
| Finalidad | Preselección automatizada de CVs en procesos de selección de personal |
| Departamentos | RRHH |
| Usuarios · Inicio | 3 usuarios · Marzo 2026 |
| Datos | CVs, datos personales de candidatos, criterios de valoración. Datos personales: sí, intensivo. |
| No-entrenamiento | Sí (revisado contractualmente) |
| Justificación riesgo | Sistema listado en Anexo III del AI Act — categoría empleo y RRHH. Obligaciones completas desde agosto 2026. Supervisión humana genuina: revisión obligatoria antes de descartar cualquier CV. EIPD realizada. FRIA pendiente para agosto 2026. |
| Responsable · Política | Dir. RRHH + DPO + AESIA (notificación de registro) · Política uso IA v1.0, sección 4 + procedimiento específico anexo C |
Autoauditoría: 7 preguntas sobre tu registro
Una vez cumplimentado, revisa tu registro con estas preguntas clave:
1. ¿Hay sistemas de alto riesgo? → ¿Están todas las obligaciones del artículo 6+ planificadas para agosto 2026?
2. ¿Hay sistemas prohibidos? → Retirarlos inmediatamente.
3. ¿Hay chatbots o contenido generativo para el público? → Verificar transparencia: identificación como IA + etiquetado de contenido.
4. ¿Hay sistemas con datos personales sin garantía de no-entrenamiento? → Revisar contratos o cambiar de proveedor.
5. ¿Hay sistemas sin responsable interno asignado? → Asignarlo ahora.
6. ¿Hay sistemas sin política de uso aplicada? → Actualizar la política interna.
7. ¿Hay shadow AI detectado? → Formalizar o prohibir, documentando la decisión.
Frecuencia de actualización del registro
| Evento | Acción sobre el registro |
|---|---|
| Se introduce un nuevo sistema IA | Nueva fila obligatoria antes del despliegue |
| Se retira un sistema IA | Marcar como “retirado” con fecha. No eliminar la fila |
| Cambia el plan contratado | Actualizar fila correspondiente y fecha de revisión |
| Cambia el proveedor | Nueva fila (el anterior marcado como retirado) |
| Revisión trimestral rutinaria | Actualizar campo “Última revisión” en todas las filas |
| Entrada en vigor de nueva normativa | Revisión extraordinaria con asesoría legal |
Registro complementario: incidentes de IA
Además del registro de sistemas, conviene mantener un registro de incidentes para documentar problemas: leaks de datos, resultados erróneos con impacto, denuncias de terceros. Cada incidente se documenta con fecha, sistema implicado, descripción, análisis de causa, medidas correctivas y comunicaciones realizadas (a AESIA, AEPD o afectados).
Este registro de incidentes, aunque no es estrictamente obligatorio, es extremadamente útil para demostrar diligencia preventiva ante una inspección.
Recursos relacionados
- 📘 El AI Act explicado para empresas españolas — guía general.
- 📗 El artículo 4 en detalle — formación obligatoria.
- 📕 AESIA y AEPD — organismos supervisores.
- ✅ Checklist de cumplimiento — 35 puntos.
- 📋 Plantilla de política de uso de IA — modelo firmable.
Plantilla publicada bajo licencia CC BY-SA 4.0. Libre uso con atribución a CiberAula y enlace a www.ciberaula.com.
Versión 1.1 — 19 de abril de 2026 — © 2026 Ana María González · Directora de CiberAula · Formación online para empresas desde 1997.