Cómo pasar una due diligence de IA en Madrid

Cómo pasar una due diligence de IA en Madrid: documentación, trazabilidad y registros

Vender a clientes enterprise, cerrar una ronda o firmar con administraciones en Madrid exige algo más que un buen producto de IA: necesitas evidencias. Esta guía resume qué miran los compradores, qué documentación debes tener preparada, cómo organizar la trazabilidad y qué registros pedirán auditores y áreas legales.

Qué miran los compradores de Madrid (visión rápida)

• Gobernanza: política de IA, roles y proceso de aprobación de casos de uso.

• Cumplimiento: RGPD/LOPDGDD y obligaciones del marco de IA por riesgo.

• Seguridad: medidas técnicas, gestión de incidentes, continuidad.

• Privacidad: DPIA/TIA cuando procede, base jurídica, minimización.

• Modelo y datos: calidad, sesgo, robustez, documentación técnica y límites de uso.

• Contratos: DPA, derechos sobre datos/outputs, entrenamiento, portabilidad y responsabilidad.

• Trazabilidad: registros que permitan reconstruir qué se hizo, con qué datos y con qué versión del modelo.

Dossier documental imprescindible

1) Gobierno y procesos

• Política de IA (2–3 páginas) y roles (propietario por sistema).

• Procedimiento de alta/baja de casos de uso y comité/rituales de revisión.

2) Privacidad

• Registro de actividades de tratamiento.

• Base jurídica y, si aplica, DPIA (riesgos, medidas, plan de seguimiento).

• TIA y mecanismos de transferencia si hay datos fuera del EEE.

3) Seguridad

• Anexo de medidas (cifrado, IAM, segregación, registros, retención, borrado).

• Plan de respuesta a incidentes y pruebas de penetración/resiliencia.

4) IA: diseño y operación

• Ficha de cada sistema: propósito, datos, entradas/salidas, límites de uso y guardrails.

• Documentación técnica: arquitectura, dependencias, model card, evaluación de rendimiento y sesgo.

• Procedimientos de supervisión humana (cuándo y cómo interviene).

5) Contratos

• DPA con proveedores y lista de subencargados; notificación de cambios.

• Condiciones sobre entrenamiento con tus datos (opt-in explícito o prohibición).

• Portabilidad y salida: formatos abiertos y calendario de transición.

• Límites de responsabilidad e indemnidades por PI y datos.

6) Transparencia y UX

• Textos de aviso cuando el usuario interactúa con IA o consume contenido sintético.

• Materiales de ayuda/FAQ y canal de reclamaciones.

Trazabilidad: qué registrar y cómo

Configuración y versiones

• Hash/ID de versión de modelo, checksum de datasets, fecha de despliegue y cambios relevantes.

• Matriz de cambios: qué, por qué, quién lo aprobó, impacto esperado.

Datos y entradas

• Catálogo de fuentes, políticas de calidad, seudonimización/anonimización, muestreos de control.

• Para generativos: ejemplos de prompts representativos y políticas de contenido.

Ejecución y supervisión

• Logs de inferencia apropiados al riesgo (metadatos, no contenido sensible), quién revisa y decisiones tomadas.

• Evidencias de intervención humana en casos sensibles y criterios de “no uso”.

Resultados y control

• Métricas de desempeño por caso de uso; medición de sesgo por grupos relevantes; pruebas de robustez (ruido, deriva).

• Incidencias y acciones correctivas con fecha y responsables.

Pruebas y métricas que suelen exigir

• Precisión/Recall/ROC-AUC o métricas pertinentes al dominio.

• Calibración y estabilidad temporal.

• Sesgo: adverse impact ratio, paridad de selección o métricas equivalentes; justificación y mitigación cuando proceda.

• Robustez: sensibilidad a entradas atípicas, drift de datos y stress tests.

• Para generativos: tasas de alucinación, toxicity y filtros de seguridad; validación humana previa a uso externo.

Contratos listos para enseñar

• DPA con anexos de seguridad y transferencias.

• Cláusulas sobre propiedad y licencias de datos, prompts y outputs.

• Opt-out de entrenamiento con tus datos (o condiciones estrictas de opt-in).

• Auditoría razonable y entrega periódica de informes.

• SLA y créditos, notificación de incidentes y continuidad del servicio.

• Portabilidad: exportación de datos/metadata/logs en formatos abiertos en ≤30 días.

Red flags que frenan una due diligence

• Inventario incompleto o sin propietario por sistema.

• Ausencia de DPIA cuando hay alto riesgo.

• DPA genérico sin detalle de subencargados ni transferencias.

• Falta de métricas de sesgo/robustez o pruebas internas no reproducibles.

• Entrenamiento con datos del cliente sin autorización expresa.

• Portabilidad ambigua o inexistente.

• No hay evidencias de revisión humana en decisiones sensibles.

Hoja de ruta 30–60 días (Madrid)

Días 0–15

• Inventario y propietarios; política de IA; gap analysis de privacidad y seguridad.

• Recopila contratos, subencargados y matrices de cambio de modelo/datos.

Días 16–30

• Completa DPIA/TIA (si aplican) y anexo de seguridad.

• Ejecuta pruebas mínimas de rendimiento, sesgo y robustez; crea model cards.

• Define checklists de revisión humana y textos de transparencia.

Días 31–60

• Normaliza logs y dashboards; establece calendario de revisiones.

• Cierra cláusulas de entrenamiento, auditoría y portabilidad con proveedores.

• Prepara “carpeta de evidencias” y realiza un simulacro de DDQ/RFP.

Preguntas típicas en DDQ

• Describe fines, datos y base jurídica de cada caso de uso.

• ¿Qué métricas usas para medir desempeño y sesgo? Adjunta resultados y fecha.

• ¿Cómo controlas versiones de modelo y datos?

• Enumera subencargados y localización de tratamiento.

• ¿Qué ocurre con mis datos y outputs al terminar el contrato?

Conclusión

Pasar una due diligence de IA en Madrid es cuestión de orden y evidencias: inventario claro, documentos al día, pruebas reproducibles y contratos que te protejan. Con trazabilidad técnica, DPIA/TIA cuando corresponda y una carpeta de evidencias bien curada, tu empresa reduce fricción en ventas y financiación y gana confianza ante clientes y autoridades.