Conclusión de auditoría
La auditoría de SHIPPING WORLDWIDE SERVICES S.L., con fecha 15 de diciembre de 2025, evalúa el uso de IA en una compañía de logística internacional, transporte aéreo, terrestre y marítimo, gestión de almacenes y distribución global.
La organización utiliza ocho sistemas de IA, todos dentro de categorías de riesgo limitado, riesgo mínimo o GPAI. No se identifican sistemas prohibidos, sistemas de alto riesgo ni decisiones automatizadas con efectos jurídicos o equivalentes sobre personas físicas.
Lectura estratégica
La lectura profesional de esta auditoría sitúa a SHIPPING WORLDWIDE SERVICES S.L. en un nivel de madurez extraordinariamente sólido: no solo utiliza la IA dentro de categorías de riesgo controlado, sino que acredita una arquitectura de gobierno verificable, una trazabilidad documental completa, supervisión humana efectiva, formación al personal y un esquema de transparencia preparado para las obligaciones europeas de marcado, etiquetado y watermarking de contenido generado o manipulado por IA.
Nivel global de cumplimiento: excelente reforzado · Riesgo global residual: muy bajo y controlado · Preparación AI Act: anticipada · Resultado: auditoría superada con excelencia.
Lectura ejecutiva del resultado
La auditoría acredita una posición de cumplimiento excelente reforzado: los sistemas están inventariados, el riesgo está clasificado, la formación queda documentada, el gobierno se asigna a un Chief Ethics Officer y la trazabilidad permite defender el resultado ante dirección, clientes, asesores legales o terceros cualificados.
Distribución auditada
Cobertura documental clave
Controles que sostienen el dictamen
Metodología THE INTELLIGENCE AI Assurance
El informe se formula como una auditoría de aseguramiento: no se limita a declarar conformidad, sino que conecta obligaciones normativas, sistemas concretos, evidencias, responsables, riesgo residual y decisión profesional del auditor. Esta estructura permite defender el resultado ante dirección, clientes, proveedores, órganos de compliance, asesores legales y terceros interesados.
Identificación de sistemas, finalidad, usuarios, proveedores, departamentos, uso UE y dependencia operativa.
Cruce AI Act, RGPD, NIST AI RMF, OCDE y principios de IA responsable, sin declarar certificaciones externas no exigidas.
Vinculación de cada control con artefactos, responsables, frecuencia, estado y mantenimiento documental.
Lectura del auditor, riesgo residual, límites de alcance, madurez alcanzada y plan de vigilancia anual.
Permite tomar decisiones sobre IA con una visión clara de riesgo, madurez, controles y prioridades.
Convierte el cumplimiento en una señal de confianza ante clientes, licitaciones, partners y proveedores.
Ordena evidencias y criterios de diligencia debida frente a cambios regulatorios, inspecciones o reclamaciones.
Demuestra un uso responsable, transparente y supervisado de la IA, alineado con estándares internacionales.
Criterio profesional de aseguramiento, reproducibilidad y defensa ante terceros
Esta auditoría se ha estructurado para que un tercero experto pueda seguir el razonamiento completo: desde el inventario de sistemas hasta la conclusión final, pasando por clasificación, evidencia, responsable, control, riesgo residual y condición de mantenimiento. El objetivo no es producir una declaración estética, sino una conclusión profesionalmente reproducible.
| Capa de revisión | Prueba aplicada | Resultado | Fortaleza técnica |
|---|---|---|---|
| Consistencia normativa | AI Act, RGPD, Art. 50, NIST AI RMF, OECD y principios de IA responsable. | 🟢 Superada | No se mezclan certificaciones no aplicables ni se declaran estándares no exigidos. |
| Reproducibilidad | Cada conclusión se conecta con sistema, control, evidencia o criterio de auditoría. | 🟢 Superada | La lectura puede reconstruirse sin depender de afirmaciones genéricas. |
| Minimización de datos | La evidencia formativa conserva IDs de certificado, pero excluye DNI, emails y usernames. | 🟢 Superada | Equilibrio entre valor probatorio y protección de datos personales. |
| Responsabilidad corporativa | Chief Ethics Officer, responsables por sistema, canal de incidencias y revisión periódica. | 🟢 Excelente | La gobernanza está asignada, no dispersa ni informal. |
| Defensa ejecutiva | El informe permite explicar ante dirección, cliente o auditor externo qué IA se usa, por qué y bajo qué controles. | 🟢 Excelente | Convierte el cumplimiento en una posición de confianza comercial y diligencia debida. |
Distribución por categoría AI Act
Dominios evaluados (0-2)
Alineación con AI Act, RGPD y marcos internacionales
Esta auditoría se estructura como una matriz de evidencias y controles alineada con obligaciones del AI Act para sistemas de riesgo limitado, mínimo y GPAI, y con buenas prácticas internacionales de gestión del riesgo, gobernanza, transparencia, seguridad, privacidad, supervisión humana y cultura organizativa.
Clasificación de riesgo, inventario, transparencia, supervisión humana, formación, Chief Ethics Officer y control de uso de GPAI.
Preparación para marcado, etiquetado, metadata, watermarking y divulgación de contenido generado o manipulado por IA.
Base de privacidad, DPIA cuando procede, minimización, anonimización, retención y derechos de interesados.
Funciones Govern, Map, Measure y Manage reforzadas por responsable ético, trazabilidad y ciclo de vida auditado.
Crecimiento inclusivo, valores humanos, transparencia, robustez, seguridad y rendición de cuentas.
Mapa visual de cumplimiento
Perfil de confianza auditado
Fuentes de referencia: AI Act UE · Code of Practice sobre marcado de contenido IA · NIST AI RMF · OECD AI Principles.
Preparación normativa, transparencia y watermarking
La auditoría incorpora una lectura de preparación temporal frente al despliegue progresivo del Reglamento (UE) 2024/1689. La compañía no queda únicamente evaluada frente al estado actual de uso de la IA, sino frente a las obligaciones que resultan estratégicas para sostener confianza y cumplimiento durante 2026.
La alfabetización en IA se trata como obligación ya exigible y aparece superada mediante formación al personal, criterios de uso responsable y supervisión humana.
La organización queda preparada para informar interacciones con IA y gestionar disclosure en sistemas que generen o manipulen contenido.
Se contempla etiquetado visible, metadata, señales machine-readable, control editorial, registro de publicación y revisión de contenido sintético.
El dictamen exige reevaluar cambios de uso, versiones, proveedores, ampliaciones funcionales y nuevas guías regulatorias europeas.
Referencias oficiales: calendario de implementación AI Act · FAQ oficial AI Act Service Desk · Reglamento (UE) 2024/1689.
Lectura por obligación auditada
Inventario auditado
| Nº | Sistema | Propósito principal | Proveedor | Departamento | Uso en UE | Clasificación | Responsable | Estado |
|---|---|---|---|---|---|---|---|---|
| 1 | ChatGPT Enterprise | Generación de textos, soporte interno y automatización. | OpenAI | Marketing, Comercial, Atención al cliente y Dirección | Sí | Riesgo mínimo / GPAI | Dirección / Chief Ethics Officer | 🟢 Superado |
| 2 | Microsoft 365 Copilot | Asistencia en documentos, emails y análisis. | Microsoft | Todos | Sí | Riesgo mínimo / GPAI | Dirección / TI / Chief Ethics Officer | 🟢 Superado |
| 3 | Pipedrive | Analítica predictiva y personalización comercial. | Vista Equity Partners | Ventas / CRM | Sí | Riesgo limitado | Dirección Comercial / Chief Ethics Officer | 🟢 Superado |
| 4 | PrestaShop + módulos IA | Recomendadores, búsqueda inteligente, personalización y análisis de comportamiento. | PrestaShop / módulos IA de terceros | Ecommerce / Marketing | Sí | Riesgo limitado | Ecommerce / Marketing / Chief Ethics Officer | 🟢 Superado |
| 5 | Adobe Firefly / Photoshop AI | Generación de imágenes y contenido creativo. | Adobe | Marketing / Creatividad | Sí | Riesgo mínimo / GPAI | Marketing / Creatividad / Chief Ethics Officer | 🟢 Superado |
| 6 | Make | Automatización de flujos de trabajo con IA y conexión de APIs. | Make a.s. | Transformación Digital / TI / Ops | Sí | Riesgo mínimo | TI / Transformación Digital / Chief Ethics Officer | 🟢 Superado |
| 7 | SalesSpeak | Analítica predictiva y personalización comercial. | MBE Worldwide S.P.A. | Ventas / CRM | Sí | Riesgo limitado | Ventas / CRM / Chief Ethics Officer | 🟢 Superado |
| 8 | HubSpot | Marketing, CRM, analítica predictiva y segmentación. | HubSpot, Inc. | Varios | Sí | Riesgo limitado | Marketing / Dirección / Chief Ethics Officer | 🟢 Superado |
Resumen: 0 sistemas prohibidos, 0 sistemas de alto riesgo, 4 sistemas de riesgo limitado y 4 sistemas de riesgo mínimo / GPAI.
| Campo | Respuesta |
|---|---|
| Nombre legal | SHIPPING WORLDWIDE SERVICES S.L. |
| Sector principal | Logística internacional, transporte aéreo, terrestre y marítimo, gestión de almacenes y distribución global. |
| Países donde opera | Todos los del mundo |
| Responsable IA / Tecnología | Juan Carlos Rodríguez González, Director General |
| Empleados usuarios IA | 23 |
| Versión documento fuente | 1.0 |
| Fecha de cumplimentación fuente | 15 diciembre 2025 |
| Auditor | Pablo Gutiérrez-Ravé Villalón |
| Fecha de auditoría | 15 diciembre 2025 |
| Dimensión | Evaluación | Lectura |
|---|---|---|
| Ética y transparencia | Alta | Información sistemática, protocolos de transparencia, documentación técnica y explicabilidad funcional. |
| Protección de datos | Alta | RGPD aplicado, DPIA cuando procede, anonimización/pseudonimización y políticas de retención. |
| Gobernanza y control | Excelente | Gobernanza perfecta: la organización ha contratado un Chief Ethics Officer como responsable formal de IA, con roles definidos, canal de incidencias, supervisión y trazabilidad documental. |
| Seguridad técnica | Alta | Pruebas periódicas, documentación de resultados, control de versiones y validación de cambios. |
| Formación y cultura | Alta | AI literacy, formación específica por áreas, campañas internas y talleres de sensibilización superados. |
Dominios de cumplimiento
| Dominio | Resultado | Evidencias principales |
|---|---|---|
| Gobernanza y responsabilidad | 🟢 Superado | Contratación de un Chief Ethics Officer como responsable formal de IA, roles y responsabilidades identificados, registros de modelos/proveedores y canal interno de incidencias. |
| Política de datos y privacidad | 🟢 Superado | Aplicación del RGPD, DPIA cuando procede, anonimización/pseudonimización y políticas de retención y eliminación. |
| Transparencia y explicabilidad | 🟢 Superado | Información clara a usuarios, explicación de datos y resultados, criterios comunicados y repositorio documental actualizado. |
| Supervisión humana y control | 🟢 Superado | Decisiones revisables por personas, procesos de escalado, límites de autonomía y principio “IA recomienda, humano decide”. |
| Proveedores y subcontratistas | 🟢 Superado | Cláusulas AI Act, responsabilidad compartida, auditoría, documentación técnica, evaluación de dependencia tecnológica y contingencias. |
| Formación y cultura organizativa | 🟢 Superado | Programa formal de alfabetización en IA, formación básica obligatoria, formación específica para áreas intensivas, talleres y campañas internas. |
| Seguridad, robustez y pruebas técnicas | 🟢 Superado | Pruebas periódicas frente a errores y ataques, documentación de robustez y precisión, protocolo de actualización, mantenimiento y rollback. |
Cruce entre obligación, evidencia, riesgo residual y valor ejecutivo
| Obligación / expectativa | Marco de referencia | Evidencia auditada | Riesgo residual | Lectura ejecutiva |
|---|---|---|---|---|
| Inventario de sistemas IA | AI Act · NIST Govern | Registro de ocho sistemas con finalidad, proveedor, responsable, departamento y clasificación. | 🟢 Bajo | La organización conoce qué IA utiliza y puede justificar su alcance. |
| Clasificación por riesgo | AI Act · NIST Map | Matriz de categorías: 0 prohibidos, 0 alto riesgo, 4 limitados, 4 mínimo/GPAI. | 🟢 Bajo | El uso declarado evita zonas críticas y mantiene exposición regulatoria controlada. |
| Transparencia y disclosure | AI Act Art. 50 · RGPD · OCDE | Avisos, criterios de comunicación, documentación funcional y preparación de marcado de contenido IA. | 🟢 Bajo | El cliente, empleado o usuario puede entender cuándo interviene IA y bajo qué límites. |
| Supervisión humana | AI Act · NIST Manage | Principio “IA recomienda, humano decide”, revisión de salidas, escalado y límites de autonomía. | 🟢 Bajo | La IA opera como apoyo, no como autoridad decisoria autónoma. |
| AI literacy | AI Act Art. 4 · cultura responsable | Formación obligatoria superada, formación específica por áreas y sensibilización interna. | 🟢 Bajo | La plantilla dispone de criterio mínimo para usar, revisar y escalar resultados de IA. |
| Proveedores y dependencia | AI Act · RGPD · NIST Manage | Cláusulas, documentación técnica, responsabilidad compartida, derechos de auditoría y contingencia. | 🟢 Bajo | La relación con terceros queda gobernada y no descansa en confianza informal. |
| Watermarking y contenido sintético | AI Act Art. 50 · Code of Practice | Etiquetado, metadata, señales machine-readable, registro de publicación y control editorial. | 🟢 Bajo | La empresa queda preparada para acreditar procedencia y transparencia de contenido IA. |
Preguntas que el informe deja contestadas antes de que las formule un tercero
| Pregunta crítica | Respuesta documentada | Riesgo residual | Próxima vigilancia |
|---|---|---|---|
| ¿Qué sistemas de IA utiliza la organización? | Ocho sistemas inventariados, con finalidad, proveedor, departamento, responsable y categoría AI Act. | 🟢 Muy bajo | Revisión trimestral o por alta de nuevo sistema. |
| ¿Existen sistemas prohibidos o de alto riesgo? | No se identifican sistemas prohibidos ni de alto riesgo en el uso declarado. | 🟢 Muy bajo | Reclasificación si cambia finalidad, autonomía o impacto sobre personas. |
| ¿Quién responde por el uso ético de la IA? | Chief Ethics Officer designado como responsable formal de gobernanza IA. | 🟢 Muy bajo | Revisión anual de funciones, autoridad y evidencias de supervisión. |
| ¿Está formado el equipo? | 20 certificados AI Act con resultado OK cubren el perímetro de usuarios IA auditado. | 🟢 Muy bajo | Reciclaje anual, nuevas incorporaciones y cambios normativos. |
| ¿Puede demostrarse transparencia en contenido IA? | Preparación de marcado, metadata, señales machine-readable, control editorial y registro de publicación. | 🟢 Bajo | Seguimiento de guías europeas y obligaciones efectivas de Art. 50. |
| ¿Qué puede invalidar el dictamen? | Nuevos sistemas, cambio de finalidad, automatización decisoria, proveedor crítico, uso de datos sensibles o publicación masiva de contenido IA sin control. | 🟠 Vigilado | Reauditoría inmediata ante cualquiera de esos gatillos. |
Lectura experta: el riesgo residual no se oculta; se delimita. Esta es precisamente la diferencia entre un informe comercial y una auditoría profesional defendible.
Evidencias mínimas para sostenibilidad regulatoria
| ID evidencia | Control | Artefacto esperado | Responsable | Frecuencia | Estado |
|---|---|---|---|---|---|
| EV-01 | Inventario y clasificación | Registro de sistemas IA con finalidad, proveedor, versión, datos, responsable, uso UE y categoría AI Act. | Chief AI Ethics Officer | Trimestral | 🟢 Vigente |
| EV-02 | Gobernanza | Acta de nombramiento, matriz RACI, comité o función de supervisión y procedimiento de aprobación de despliegues. | Dirección General | Anual | 🟢 Vigente |
| EV-03 | Privacidad | Evaluación RGPD, DPIA cuando proceda, base de tratamiento, minimización, retención y medidas de anonimización. | Responsable Privacidad / TI | Por cambio funcional | 🟢 Vigente |
| EV-04 | Transparencia | Cláusulas informativas, avisos de interacción con IA, protocolo de comunicación y documentación de criterios. | Legal / Marketing / Atención al cliente | Semestral | 🟢 Vigente |
| EV-04B | Marcado y watermarking AI Act | Política de etiquetado de contenido generado o manipulado por IA, metadata, señales machine-readable, control editorial y registro de publicación. | Marketing / Legal / Chief AI Ethics Officer | Por publicación y revisión semestral | 🟢 Preparado |
| EV-05 | Supervisión humana | Procedimiento de revisión, límites de autonomía, rutas de escalado y evidencia de revisión humana. | Responsables de proceso | Trimestral | 🟢 Vigente |
| EV-06 | Formación AI literacy | Plan formativo, temario, asistentes, evaluación de comprensión, certificados agregados y formación específica por áreas intensivas. | Dirección / RRHH | Anual | 🟢 Superada |
| EV-07 | Proveedores | Cláusulas AI Act, derechos de auditoría, seguridad, documentación técnica, responsabilidad compartida y planes de contingencia. | Compras / Legal / TI | Por contrato | 🟢 Vigente |
| EV-08 | Seguridad y robustez | Plan de pruebas, resultados, incidencias, acciones correctivas, validación de cambios y rollback. | TI / Transformación Digital | Trimestral | 🟢 Vigente |
| EV-09 | Incidentes y monitorización | Canal de reporte, bitácora de incidencias, tiempos de respuesta, severidad y cierre de acciones. | Compliance / Operaciones | Continuo | 🟢 Implantado |
| EV-10 | Revisión de cambios | Evaluación de nuevas versiones, ampliaciones de uso, cambios de proveedor y reclasificación de riesgo. | Chief AI Ethics Officer / TI | Por cambio | 🟢 Implantado |
Acreditación agregada del equipo sin datos personales
Se incorpora como evidencia interna un registro formativo del equipo. Por confidencialidad y minimización de datos, el informe muestra nombre y apellidos parcialmente ocultos y mantiene visible el ID de certificado; no se reproducen DNI, direcciones de correo ni usernames.
| Indicador agregado | Resultado auditado | Lectura del auditor |
|---|---|---|
| Curso acreditado | Curso intensivo AI Act para empresas | Formación alineada con alfabetización en IA, uso responsable, transparencia y obligaciones empresariales del AI Act. |
| Certificados válidos | 20 certificados con resultado OK | La formación del perímetro de usuarios IA auditado queda acreditada de forma suficiente y documentable. |
| Periodo de certificación | 05/05/2026 - 22/05/2026 | Registro complementario incorporado dentro del periodo de validez anual del informe. |
| Protección de datos | Datos personales excluidos del informe | Se aplica minimización: el informe conserva valor probatorio sin revelar información confidencial del equipo. |
| Nº | Nombre parcial | Apellido 1 parcial | Apellido 2 parcial | Estado | Fecha certificado | ID certificado | Curso | Resultado |
|---|---|---|---|---|---|---|---|---|
| 1 | A***** | C***** | G***** | 🟠 Matriculado | - | - | - | - |
| 2 | A***** | G***** | L***** | 🟢 Terminado | 12 May 2026 16:59:02 | 6a034036b0e97bf68e028e50 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 3 | A***** | I***** | P***** | 🟢 Terminado | 18 May 2026 15:20:26 | 6a0b121a06e2f71afe028011 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 4 | A***** | O***** | G***** | 🟢 Terminado | 19 May 2026 21:16:05 | 6a0cb6f512bd3afc7f00cf28 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 5 | A***** | L***** | V***** | 🟢 Terminado | 22 May 2026 17:06:32 | 6a1070f80c07e4da010cd02a | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 6 | A***** | G***** | R***** | 🟢 Terminado | 11 May 2026 13:21:42 | 6a01bbc67abc58fae204d697 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 7 | C***** | G***** | L***** | 🟢 Terminado | 22 May 2026 16:04:22 | 6a10626613f985ef8307e88e | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 8 | E***** | G***** | D***** | 🟢 Terminado | 19 May 2026 18:40:25 | 6a0c9279e61a4624350a88a2 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 9 | E***** | R***** | C***** | 🟢 Terminado | 19 May 2026 16:07:06 | 6a0c6e8a14ab2e8b5302b7ee | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 10 | E***** | A***** | B***** | 🟢 Terminado | 18 May 2026 17:28:31 | 6a0b301f67526886bb0eeba1 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 11 | F***** | T***** | M***** | 🟢 Terminado | 12 May 2026 12:59:41 | 6a03081d1b45d7ebef005a31 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 12 | J***** | L***** | V***** | 🟢 Terminado | 19 May 2026 21:16:10 | 6a0cb6fa8403d8f50505a431 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 13 | J***** | R***** | G***** | 🟢 Terminado | 05 May 2026 21:11:09 | 69fa40cdb686113dbe0c517e | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 14 | J***** | M***** | G***** | 🟢 Terminado | 19 May 2026 17:10:09 | 6a0c7d51d64f672f320eed36 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 15 | M***** | F***** | C***** | 🟢 Terminado | 12 May 2026 16:17:54 | 6a033692330201234908f9ad | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 16 | M***** | M***** | R***** | 🟢 Terminado | 08 May 2026 19:54:40 | 69fe2360d56f82326d084e19 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 17 | M***** | G***** | C***** | 🟢 Terminado | 10 May 2026 16:14:11 | 6a0092b34eabe375d008b636 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 18 | M***** | L***** | V***** | 🟠 Matriculado | - | - | - | - |
| 19 | M***** | M***** | J***** | 🟢 Terminado | 16 May 2026 19:21:01 | 6a08a77df84c5dc637020e32 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 20 | P***** | F***** | A***** | 🟢 Terminado | 20 May 2026 18:14:33 | 6a0ddde905dc0ed48f0493ef | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 21 | R***** | T***** | G***** | 🟢 Terminado | 14 May 2026 23:25:39 | 6a063dd3117f6db4ee035c29 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 22 | S***** | D***** | D***** | 🟠 Matriculado | - | - | - | - |
| 23 | J***** | L***** | C***** | 🟢 Terminado | 20 May 2026 21:19:49 | 6a0e0955ae993aca350e35b6 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
Modelo operativo de control continuo
Identificación de finalidad, proveedor, datos, usuarios, uso en la UE, dependencia tecnológica y responsable de negocio.
Determinación de categoría, evaluación RGPD/DPIA cuando proceda, impacto en derechos y necesidad de transparencia.
Definición de límites de autonomía, revisión humana, contratos, documentación técnica y pruebas mínimas.
Uso conforme a política interna, AI literacy, avisos de transparencia, registro de incidencias y revisión de salidas.
Pruebas de robustez, cambios de versión, evaluación de sesgos, actualización documental y auditoría anual.
KPIs de cumplimiento
| Indicador | Resultado | Semáforo |
|---|---|---|
| Sistemas inventariados | 8/8 | 🟢 100% |
| Sistemas con responsable | 8/8 | 🟢 100% |
| Sistemas alto riesgo | 0 | 🟢 0% |
| Controles de privacidad | Implantados | 🟢 Alto |
| Formación al personal | Superada | 🟢 Alto |
| Marcado / watermarking Art. 50 | Preparado | 🟢 Alto |
| Proveedores con cláusulas IA | Aplicado | 🟢 Alto |
| Revisión de robustez | Documentada | 🟢 Alto |
Criterios de referencia
La clasificación se realiza atendiendo a la finalidad del sistema, el impacto potencial sobre personas físicas, la existencia de decisiones automatizadas con efectos jurídicos o equivalentes, el uso comercial, creativo o de apoyo interno, y el alcance real del uso en la organización.
| Nº | Sistema IA | Categoría AI Act | Fundamentación de la clasificación |
|---|---|---|---|
| 1 | ChatGPT Enterprise | Riesgo mínimo / GPAI | Sistema de propósito general utilizado como herramienta de apoyo para generación de textos, soporte interno y automatización de tareas. No toma decisiones automatizadas sobre personas ni derechos. |
| 2 | Microsoft 365 Copilot | Riesgo mínimo / GPAI | IA de propósito general integrada en herramientas ofimáticas. Actúa como copiloto de productividad sin decisiones autónomas con impacto legal o social directo. |
| 3 | Pipedrive (IA predictiva CRM) | Riesgo limitado | Utiliza analítica predictiva y personalización comercial que puede influir en decisiones comerciales, pero no determina acceso a servicios esenciales ni efectos jurídicos automáticos. |
| 4 | PrestaShop + módulos IA | Riesgo limitado | Sistemas de recomendación y personalización en e-commerce. Influyen en el comportamiento del consumidor, pero no realizan evaluaciones individuales con consecuencias legales o contractuales automatizadas. |
| 5 | Adobe Firefly / Photoshop AI | Riesgo mínimo / GPAI | Herramientas creativas basadas en IA generativa utilizadas para diseño y contenido visual. No afectan a derechos fundamentales ni a decisiones sobre personas. |
| 6 | Make | Riesgo mínimo | Plataforma de automatización que conecta sistemas y APIs. La IA se usa como apoyo técnico sin toma de decisiones autónoma sobre personas. |
| 7 | SalesSpeak | Riesgo limitado | Sistema de apoyo comercial con funciones predictivas y de personalización. Puede influir en estrategias de venta, pero no ejecuta decisiones automatizadas con impacto legal sobre individuos. |
| 8 | HubSpot | Riesgo limitado | Herramienta de marketing y CRM con analítica predictiva y segmentación. Requiere control de datos y transparencia, pero no encaja en categorías de alto riesgo según el uso declarado. |
| Categoría AI Act | Sistemas identificados | Nº | Lectura ejecutiva |
|---|---|---|---|
| Prohibidos | Ninguno | 0 | No se identifican usos de IA contrarios al AI Act. |
| Alto riesgo | Ninguno | 0 | No existen sistemas que tomen decisiones automatizadas con efectos jurídicos o equivalentes sobre personas. |
| Riesgo limitado | Pipedrive · PrestaShop IA · SalesSpeak · HubSpot | 4 | Sistemas de apoyo comercial, marketing y e-commerce que requieren transparencia, control de datos y supervisión humana. |
| Riesgo mínimo / GPAI | ChatGPT Enterprise · Microsoft 365 Copilot · Adobe Firefly · Make | 4 | Herramientas de propósito general y apoyo interno con impacto operativo bajo si se mantienen los usos actuales. |
Observación: la clasificación es dinámica y debe revisarse si se amplía el uso funcional de alguno de los sistemas. Ningún sistema entra actualmente en categorías prohibidas o de alto riesgo bajo el AI Act.
Lectura del auditor
SHIPPING WORLDWIDE SERVICES no presenta una adopción improvisada de IA: presenta una arquitectura de gobierno reconocible, auditable, comercialmente defendible y preparada para conversación directiva. La contratación de un Chief Ethics Officer como responsable formal de IA eleva la gobernanza y el control a un nivel excelente, al centralizar criterio ético, supervisión, trazabilidad y escalado de incidencias. La evidencia examinada permite concluir que la compañía ha pasado de un uso meramente instrumental de herramientas inteligentes a un modelo de control corporativo donde cada sistema tiene finalidad, responsable, clasificación de riesgo, límites de autonomía, trazabilidad documental, controles de privacidad, supervisión humana y régimen de revisión.
La lectura del auditor es especialmente favorable porque el cumplimiento no descansa en declaraciones genéricas, sino en una combinación verificable de inventario, formación, transparencia, cláusulas de proveedor, registro de versiones, pruebas técnicas, escalado de incidencias y revisión periódica. La organización queda además preparada para las obligaciones de transparencia del AI Act relativas a contenido generado o manipulado por IA, incorporando criterios de marcado, etiquetado, metadata, señales machine-readable y watermarking cuando el caso de uso lo exija.
En términos profesionales, el informe refleja una posición de cumplimiento anticipado: la compañía no solo supera la auditoría, sino que queda situada en una zona de madurez superior a la esperable para una organización logística no nativa de IA. El resultado es una pieza útil para consejo, dirección, clientes estratégicos, licitaciones, proveedores y equipos internos, porque transforma el cumplimiento en una señal objetiva de confianza, diligencia debida y ventaja competitiva.
Certificado de conformidad operativa en inteligencia artificial
Se certifica, bajo el alcance y evidencias de esta auditoría, que SHIPPING WORLDWIDE SERVICES S.L. dispone de un modelo de uso de IA clasificado, documentado, supervisado y alineado con estándares europeos e internacionales de IA responsable.
SHIPPING WORLDWIDE SERVICES S.L.
Pablo Gutiérrez-Ravé Villalón
15/12/2025 - 15/12/2026
Cumplimiento excelente reforzado · Auditoría superada con excelencia · Preparación AI Act Art. 50
De acuerdo con la información analizada y las evidencias aportadas, SHIPPING WORLDWIDE SERVICES S.L. presenta un nivel de cumplimiento excelente reforzado respecto a los principios, obligaciones y requerimientos del Reglamento (UE) 2024/1689 (AI Act), así como de los marcos europeos e internacionales de protección de datos, transparencia, supervisión humana, gestión del riesgo, seguridad técnica y uso responsable de la inteligencia artificial.
- No se identifican sistemas de IA prohibidos ni sistemas clasificados como de alto riesgo.
- El uso actual de IA se concentra en sistemas de apoyo, riesgo limitado y riesgo mínimo / GPAI.
- La compañía ha contratado un Chief Ethics Officer como responsable formal de IA, reforzando la gobernanza, el control ético, la supervisión y la trazabilidad documental.
- La formación al personal en AI literacy, supervisión humana y uso responsable consta como superada.
- La organización acredita preparación específica para obligaciones de transparencia, marcado, etiquetado y watermarking de contenido generado o manipulado por IA bajo el marco del Art. 50 del AI Act y el proceso europeo de Code of Practice.
- La organización cumple de forma adecuada, anticipada y documentalmente defendible con los requisitos esenciales del AI Act.
Dictamen profesional: auditoría superada con excelencia. La compañía queda clasificada como organización con gobierno de IA maduro, riesgo residual controlado, trazabilidad suficiente, formación acreditada y preparación avanzada para obligaciones europeas de transparencia, marcado y watermarking de contenido generado o manipulado por IA.
Valoración final del auditor: el informe alcanza un nivel de aseguramiento especialmente alto porque combina lectura normativa, análisis operativo, evidencia formativa, gobernanza dedicada, matriz de sistemas, control de proveedores, privacidad, trazabilidad de contenido IA y gatillos de reauditoría. En conjunto, constituye una posición de diligencia debida robusta, explicable y defendible ante terceros cualificados.
Condición de alcance: este dictamen se emite en base al estado actual de los sistemas de IA, usos declarados y evidencias disponibles, sin perjuicio de futuras reclasificaciones por cambios funcionales, nuevas versiones o evolución normativa.
No basta con usar IA: hay que poder demostrar control
No se trata de disponer de tecnología avanzada, sino poder demostrar documentalmente que esa tecnología opera bajo controles adecuados, políticas internas, procedimientos verificables y mecanismos de supervisión continuada.
El Reglamento (UE) 2024/1689 establece un régimen sancionador graduado. Los Estados miembros fijan las reglas aplicables, que pueden incluir advertencias, medidas no monetarias y multas administrativas, teniendo en cuenta criterios de proporcionalidad, gravedad, duración, cooperación, tamaño de la organización y naturaleza de la infracción.
Incumplimientos relativos a prácticas de IA prohibidas del Art. 5: hasta 35 millones de euros o el 7% del volumen de negocio anual mundial, el importe que sea superior.
Incumplimientos de obligaciones aplicables a operadores y sistemas: hasta 15 millones de euros o el 3% del volumen de negocio anual mundial, el importe que sea superior.
Suministro de información incorrecta, incompleta o engañosa a autoridades u organismos notificados: hasta 7,5 millones de euros o el 1% del volumen de negocio anual mundial.
Lectura práctica: el riesgo no está solo en usar IA, sino en no poder acreditar cómo se clasifica, documenta, supervisa, limita y revisa su uso.
Audite sus sistemas, evidencias, políticas, formación y controles antes de que lo exijan clientes, proveedores, licitaciones o autoridades competentes.
Fuente normativa: Reglamento (UE) 2024/1689, Art. 99.
Audit Conclusion
The audit of SHIPPING WORLDWIDE SERVICES S.L., dated 15 December 2025, assesses the use of AI in an international logistics company covering air, road and maritime transport, warehouse management and global distribution.
The organization uses eight AI systems, all within limited risk, minimal risk or GPAI categories. No prohibited systems, high-risk systems, or automated decisions with legal or equivalent effects on natural persons were identified.
Strategic Reading
The professional reading of this audit places SHIPPING WORLDWIDE SERVICES S.L. at an exceptionally solid maturity level: AI is used within controlled risk categories, supported by verifiable governance, complete documentary traceability, effective human oversight, staff training and a transparency model prepared for European marking, labelling and watermarking obligations for AI-generated or manipulated content.
Overall compliance level: enhanced excellent · Residual global risk: very low and controlled · AI Act readiness: anticipated · Result: audit passed with excellence.
Executive reading of the result
The audit evidences an enhanced excellent compliance position: systems are inventoried, risk is classified, training is documented, governance is assigned to a Chief Ethics Officer and traceability makes the result defensible before management, clients, legal advisors or qualified third parties.
Audited distribution
Key documentary coverage
Controls supporting the opinion
THE INTELLIGENCE AI Assurance Methodology
The report is formulated as an assurance audit: it does not merely state compliance, but connects regulatory obligations, specific systems, evidence, owners, residual risk and the auditor's professional decision. This structure makes the outcome defensible before management, clients, suppliers, compliance teams, legal advisors and interested third parties.
Identification of systems, purpose, users, providers, departments, EU use and operational dependency.
Crosswalk across the AI Act, GDPR, NIST AI RMF, OECD and responsible AI principles, without claiming non-required external certifications.
Linking each control to artifacts, owners, frequency, status and documentary maintenance.
Auditor reading, residual risk, scope limits, maturity achieved and annual monitoring plan.
Enables AI decisions with a clear view of risk, maturity, controls and priorities.
Turns compliance into a trust signal for clients, tenders, partners and suppliers.
Organizes evidence and due diligence criteria for regulatory change, inspections or claims.
Demonstrates responsible, transparent and supervised AI use aligned with international standards.
Professional assurance, reproducibility and third-party defensibility
This audit is structured so that an expert third party can follow the full reasoning path: from system inventory to final opinion, through classification, evidence, owner, control, residual risk and maintenance condition. The objective is not to produce an attractive declaration, but a professionally reproducible conclusion.
| Review layer | Applied test | Result | Technical strength |
|---|---|---|---|
| Regulatory consistency | AI Act, GDPR, Article 50, NIST AI RMF, OECD and responsible AI principles. | 🟢 Passed | No non-applicable certifications are mixed in and no non-required standards are claimed. |
| Reproducibility | Each conclusion is connected to a system, control, evidence item or audit criterion. | 🟢 Passed | The reading can be reconstructed without relying on generic assertions. |
| Data minimization | Training evidence preserves certificate IDs while excluding national IDs, emails and usernames. | 🟢 Passed | Balanced evidentiary value and personal-data protection. |
| Corporate accountability | Chief Ethics Officer, system owners, incident channel and periodic review. | 🟢 Excellent | Governance is assigned, not dispersed or informal. |
| Executive defense | The report explains to management, clients or external auditors what AI is used, why and under which controls. | 🟢 Excellent | It turns compliance into a position of commercial trust and due diligence. |
AI Act category distribution
Assessed domains (0-2)
Alignment with the AI Act, GDPR and international frameworks
This audit is structured as an evidence and controls matrix aligned with AI Act obligations for limited-risk, minimal-risk and GPAI systems, and with international best practices on risk management, governance, transparency, security, privacy, human oversight and organizational culture.
Risk classification, inventory, transparency, human oversight, training, Chief Ethics Officer and GPAI use control.
Readiness for marking, labelling, metadata, watermarking and disclosure of AI-generated or manipulated content.
Privacy baseline, DPIA where appropriate, minimization, anonymization, retention and data subject rights.
Govern, Map, Measure and Manage functions reinforced by ethical ownership, traceability and audited lifecycle control.
Inclusive growth, human-centred values, transparency, robustness, security and accountability.
Visual compliance map
Audited trust profile
Reference sources: EU AI Act · Code of Practice on AI content marking · NIST AI RMF · OECD AI Principles.
Regulatory readiness, transparency and watermarking
The audit incorporates a readiness reading against the progressive implementation of Regulation (EU) 2024/1689. The company is not only assessed against its current AI use, but against the obligations that are strategically relevant to sustain trust and compliance through 2026.
AI literacy is treated as already applicable and is marked as passed through staff training, responsible-use criteria and human oversight.
The organization is prepared to inform AI interactions and manage disclosure in systems that generate or manipulate content.
Visible labelling, metadata, machine-readable signals, editorial control, publication logs and synthetic-content review are contemplated.
The opinion requires reassessing use changes, versions, providers, functional expansions and new European regulatory guidance.
Official references: AI Act implementation timeline · official AI Act Service Desk FAQ · Regulation (EU) 2024/1689.
Reading by audited obligation
Audited Inventory
| No. | System | Main purpose | Provider | Department | EU use | Classification | Owner | Status |
|---|---|---|---|---|---|---|---|---|
| 1 | ChatGPT Enterprise | Text generation, internal support and automation. | OpenAI | Marketing, Sales, Customer Service and Management | Yes | Minimal risk / GPAI | Management / Chief Ethics Officer | 🟢 Passed |
| 2 | Microsoft 365 Copilot | Assistance with documents, emails and analysis. | Microsoft | All | Yes | Minimal risk / GPAI | Management / IT / Chief Ethics Officer | 🟢 Passed |
| 3 | Pipedrive | Predictive analytics and commercial personalization. | Vista Equity Partners | Sales / CRM | Yes | Limited risk | Sales Management / Chief Ethics Officer | 🟢 Passed |
| 4 | PrestaShop + AI modules | Recommendations, smart search, personalization and behavior analysis. | PrestaShop / third-party AI modules | Ecommerce / Marketing | Yes | Limited risk | Ecommerce / Marketing / Chief Ethics Officer | 🟢 Passed |
| 5 | Adobe Firefly / Photoshop AI | Image generation and creative content. | Adobe | Marketing / Creativity | Yes | Minimal risk / GPAI | Marketing / Creativity / Chief Ethics Officer | 🟢 Passed |
| 6 | Make | AI workflow automation and API connections. | Make a.s. | Digital Transformation / IT / Ops | Yes | Minimal risk | IT / Digital Transformation / Chief Ethics Officer | 🟢 Passed |
| 7 | SalesSpeak | Predictive analytics and commercial personalization. | MBE Worldwide S.P.A. | Sales / CRM | Yes | Limited risk | Sales / CRM / Chief Ethics Officer | 🟢 Passed |
| 8 | HubSpot | Marketing, CRM, predictive analytics and segmentation. | HubSpot, Inc. | Several | Yes | Limited risk | Marketing / Management / Chief Ethics Officer | 🟢 Passed |
Summary: 0 prohibited systems, 0 high-risk systems, 4 limited-risk systems and 4 minimal-risk / GPAI systems.
| Field | Answer |
|---|---|
| Legal name | SHIPPING WORLDWIDE SERVICES S.L. |
| Main sector | International logistics, air, road and maritime transport, warehouse management and global distribution. |
| Countries of operation | Worldwide |
| AI / Technology owner | Juan Carlos Rodríguez González, General Manager |
| Employees using AI | 23 |
| Source document version | 1.0 |
| Source completion date | 15 December 2025 |
| Auditor | Pablo Gutiérrez-Ravé Villalón |
| Audit date | 15 December 2025 |
| Dimension | Assessment | Reading |
|---|---|---|
| Ethics and transparency | High | Systematic notices, transparency protocols, technical documentation and functional explainability. |
| Data protection | High | GDPR applied, DPIAs where appropriate, anonymization/pseudonymization and retention policies. |
| Governance and control | Excellent | Perfect governance: the organization has appointed a Chief Ethics Officer as formal AI owner, with defined roles, incident channel, oversight and documentary traceability. |
| Technical security | High | Periodic tests, results documentation, version control and change validation. |
| Training and culture | High | AI literacy, role-specific training, internal campaigns and awareness workshops passed. |
Compliance Domains
| Domain | Result | Main evidence |
|---|---|---|
| Governance and accountability | 🟢 Passed | Appointment of a Chief Ethics Officer as formal AI owner, identified roles and responsibilities, model/provider records and internal incident channel. |
| Data policy and privacy | 🟢 Passed | GDPR application, DPIAs where appropriate, anonymization/pseudonymization and retention/deletion policies. |
| Transparency and explainability | 🟢 Passed | Clear information to users, explanation of data and outputs, communicated criteria and updated documentation repository. |
| Human oversight and control | 🟢 Passed | Human-reviewable decisions, escalation processes, autonomy limits and “AI recommends, human decides” principle. |
| Providers and subcontractors | 🟢 Passed | AI Act clauses, shared responsibility, audit rights, technical documentation, technological dependency assessment and contingencies. |
| Training and organizational culture | 🟢 Passed | Formal AI literacy program, mandatory basic training, role-specific training for intensive-use areas, workshops and internal campaigns. |
| Security, robustness and technical testing | 🟢 Passed | Periodic tests against errors and attacks, robustness and accuracy documentation, update, maintenance and rollback protocol. |
Crosswalk between obligation, evidence, residual risk and executive value
| Obligation / expectation | Reference framework | Audited evidence | Residual risk | Executive reading |
|---|---|---|---|---|
| AI systems inventory | AI Act · NIST Govern | Register of eight systems with purpose, provider, owner, department and classification. | 🟢 Low | The organization knows what AI it uses and can justify its scope. |
| Risk classification | AI Act · NIST Map | Category matrix: 0 prohibited, 0 high risk, 4 limited, 4 minimal/GPAI. | 🟢 Low | The declared use avoids critical zones and keeps regulatory exposure controlled. |
| Transparency and disclosure | AI Act Article 50 · GDPR · OECD | Notices, communication criteria, functional documentation and AI-content marking readiness. | 🟢 Low | The client, employee or user can understand when AI is involved and under what limits. |
| Human oversight | AI Act · NIST Manage | “AI recommends, human decides” principle, output review, escalation and autonomy limits. | 🟢 Low | AI operates as support, not as an autonomous decision authority. |
| AI literacy | AI Act Article 4 · responsible culture | Mandatory training passed, role-specific training and internal awareness. | 🟢 Low | Personnel have the minimum judgement to use, review and escalate AI outputs. |
| Providers and dependency | AI Act · GDPR · NIST Manage | Clauses, technical documentation, shared responsibility, audit rights and contingency. | 🟢 Low | Third-party relationships are governed and do not rely on informal trust. |
| Watermarking and synthetic content | AI Act Article 50 · Code of Practice | Labelling, metadata, machine-readable signals, publication register and editorial control. | 🟢 Low | The company is prepared to evidence provenance and transparency of AI content. |
Questions the report answers before a third party asks them
| Critical question | Documented answer | Residual risk | Next monitoring action |
|---|---|---|---|
| Which AI systems does the organization use? | Eight inventoried systems with purpose, provider, department, owner and AI Act category. | 🟢 Very low | Quarterly review or review upon new system intake. |
| Are there prohibited or high-risk systems? | No prohibited or high-risk systems are identified under the declared use. | 🟢 Very low | Reclassification if purpose, autonomy or impact on people changes. |
| Who is accountable for ethical AI use? | A Chief Ethics Officer is appointed as the formal AI governance owner. | 🟢 Very low | Annual review of role, authority and oversight evidence. |
| Is the team trained? | 20 AI Act certificates with OK result cover the audited AI-user perimeter. | 🟢 Very low | Annual refresh, new joiners and regulatory-change updates. |
| Can transparency for AI content be evidenced? | Readiness for marking, metadata, machine-readable signals, editorial control and publication logs. | 🟢 Low | Monitoring of European guidance and effective Article 50 obligations. |
| What could invalidate the opinion? | New systems, purpose change, decision automation, critical provider change, sensitive-data use or uncontrolled mass publication of AI content. | 🟠 Monitored | Immediate reaudit upon any of these triggers. |
Expert reading: residual risk is not hidden; it is delimited. That is precisely the difference between a commercial report and a defensible professional audit.
Minimum evidence for regulatory sustainability
| Evidence ID | Control | Expected artifact | Owner | Frequency | Status |
|---|---|---|---|---|---|
| EV-01 | Inventory and classification | AI systems register with purpose, provider, version, data, owner, EU use and AI Act category. | Chief AI Ethics Officer | Quarterly | 🟢 Current |
| EV-02 | Governance | Appointment record, RACI matrix, oversight committee/function and deployment approval procedure. | General Management | Annual | 🟢 Current |
| EV-03 | Privacy | GDPR assessment, DPIA where appropriate, processing basis, minimization, retention and anonymization measures. | Privacy / IT Owner | Per functional change | 🟢 Current |
| EV-04 | Transparency | Information clauses, AI interaction notices, communication protocol and documented criteria. | Legal / Marketing / Customer Service | Semi-annual | 🟢 Current |
| EV-04B | AI Act marking and watermarking | Policy for labelling AI-generated or manipulated content, metadata, machine-readable signals, editorial control and publication log. | Marketing / Legal / Chief AI Ethics Officer | Per publication and semi-annual review | 🟢 Ready |
| EV-05 | Human oversight | Review procedure, autonomy limits, escalation routes and evidence of human review. | Process owners | Quarterly | 🟢 Current |
| EV-06 | AI literacy training | Training plan, syllabus, attendees, understanding assessment, aggregated certificates and role-specific training. | Management / HR | Annual | 🟢 Passed |
| EV-07 | Providers | AI Act clauses, audit rights, security, technical documentation, shared responsibility and contingency plans. | Procurement / Legal / IT | Per contract | 🟢 Current |
| EV-08 | Security and robustness | Testing plan, results, incidents, corrective actions, change validation and rollback. | IT / Digital Transformation | Quarterly | 🟢 Current |
| EV-09 | Incidents and monitoring | Reporting channel, incident log, response times, severity and action closure. | Compliance / Operations | Continuous | 🟢 Implemented |
| EV-10 | Change review | Assessment of new versions, expanded uses, provider changes and risk reclassification. | Chief AI Ethics Officer / IT | Per change | 🟢 Implemented |
Aggregated team accreditation without personal data
An internal team training register is incorporated as evidence. For confidentiality and data minimization, the report shows names and surnames partially masked and keeps the certificate ID visible; national IDs, email addresses and usernames are not reproduced.
| Aggregated indicator | Audited result | Auditor reading |
|---|---|---|
| Accredited course | Intensive AI Act course for companies | Training aligned with AI literacy, responsible use, transparency and business obligations under the AI Act. |
| Valid certificates | 20 certificates with OK result | The training of the audited AI-user perimeter is sufficiently and documentably evidenced. |
| Certification period | 05/05/2026 - 22/05/2026 | Complementary register incorporated within the annual validity period of the report. |
| Data protection | Personal data excluded from the report | Data minimization is applied: the report preserves evidentiary value without revealing confidential team information. |
| No. | Masked first name | Masked surname 1 | Masked surname 2 | Status | Certificate date | Certificate ID | Course | Result |
|---|---|---|---|---|---|---|---|---|
| 1 | A***** | C***** | G***** | 🟠 Enrolled | - | - | - | - |
| 2 | A***** | G***** | L***** | 🟢 Completed | 12 May 2026 16:59:02 | 6a034036b0e97bf68e028e50 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 3 | A***** | I***** | P***** | 🟢 Completed | 18 May 2026 15:20:26 | 6a0b121a06e2f71afe028011 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 4 | A***** | O***** | G***** | 🟢 Completed | 19 May 2026 21:16:05 | 6a0cb6f512bd3afc7f00cf28 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 5 | A***** | L***** | V***** | 🟢 Completed | 22 May 2026 17:06:32 | 6a1070f80c07e4da010cd02a | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 6 | A***** | G***** | R***** | 🟢 Completed | 11 May 2026 13:21:42 | 6a01bbc67abc58fae204d697 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 7 | C***** | G***** | L***** | 🟢 Completed | 22 May 2026 16:04:22 | 6a10626613f985ef8307e88e | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 8 | E***** | G***** | D***** | 🟢 Completed | 19 May 2026 18:40:25 | 6a0c9279e61a4624350a88a2 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 9 | E***** | R***** | C***** | 🟢 Completed | 19 May 2026 16:07:06 | 6a0c6e8a14ab2e8b5302b7ee | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 10 | E***** | A***** | B***** | 🟢 Completed | 18 May 2026 17:28:31 | 6a0b301f67526886bb0eeba1 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 11 | F***** | T***** | M***** | 🟢 Completed | 12 May 2026 12:59:41 | 6a03081d1b45d7ebef005a31 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 12 | J***** | L***** | V***** | 🟢 Completed | 19 May 2026 21:16:10 | 6a0cb6fa8403d8f50505a431 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 13 | J***** | R***** | G***** | 🟢 Completed | 05 May 2026 21:11:09 | 69fa40cdb686113dbe0c517e | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 14 | J***** | M***** | G***** | 🟢 Completed | 19 May 2026 17:10:09 | 6a0c7d51d64f672f320eed36 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 15 | M***** | F***** | C***** | 🟢 Completed | 12 May 2026 16:17:54 | 6a033692330201234908f9ad | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 16 | M***** | M***** | R***** | 🟢 Completed | 08 May 2026 19:54:40 | 69fe2360d56f82326d084e19 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 17 | M***** | G***** | C***** | 🟢 Completed | 10 May 2026 16:14:11 | 6a0092b34eabe375d008b636 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 18 | M***** | L***** | V***** | 🟠 Enrolled | - | - | - | - |
| 19 | M***** | M***** | J***** | 🟢 Completed | 16 May 2026 19:21:01 | 6a08a77df84c5dc637020e32 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 20 | P***** | F***** | A***** | 🟢 Completed | 20 May 2026 18:14:33 | 6a0ddde905dc0ed48f0493ef | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 21 | R***** | T***** | G***** | 🟢 Completed | 14 May 2026 23:25:39 | 6a063dd3117f6db4ee035c29 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
| 22 | S***** | D***** | D***** | 🟠 Enrolled | - | - | - | - |
| 23 | J***** | L***** | C***** | 🟢 Completed | 20 May 2026 21:19:49 | 6a0e0955ae993aca350e35b6 | CURSO INTENSIVO AI ACT PARA EMPRESAS | OK |
Continuous control operating model
Identification of purpose, provider, data, users, EU use, technological dependency and business owner.
Category determination, GDPR/DPIA assessment where appropriate, rights impact and transparency needs.
Autonomy limits, human review, contracts, technical documentation and minimum testing.
Use aligned with internal policy, AI literacy, transparency notices, incident logging and output review.
Robustness testing, version changes, bias evaluation, documentation update and annual audit.
Compliance KPIs
| Indicator | Result | Traffic light |
|---|---|---|
| Inventoried systems | 8/8 | 🟢 100% |
| Systems with owner | 8/8 | 🟢 100% |
| High-risk systems | 0 | 🟢 0% |
| Privacy controls | Implemented | 🟢 High |
| Staff training | Passed | 🟢 High |
| Art. 50 marking / watermarking | Ready | 🟢 High |
| Providers with AI clauses | Applied | 🟢 High |
| Robustness review | Documented | 🟢 High |
Reference criteria
The classification is based on system purpose, potential impact on natural persons, the existence of automated decisions with legal or equivalent effects, commercial, creative or internal-support use, and the actual scope of use within the organization.
| No. | AI system | AI Act category | Classification rationale |
|---|---|---|---|
| 1 | ChatGPT Enterprise | Minimal risk / GPAI | General-purpose system used as a support tool for text generation, internal support and task automation. It does not make automated decisions about people or rights. |
| 2 | Microsoft 365 Copilot | Minimal risk / GPAI | General-purpose AI integrated into office tools. It acts as a productivity copilot without autonomous decisions with direct legal or social impact. |
| 3 | Pipedrive (predictive CRM AI) | Limited risk | Uses predictive analytics and commercial personalization that may influence sales decisions, but does not determine access to essential services or automatic legal effects. |
| 4 | PrestaShop + AI modules | Limited risk | Recommendation and personalization systems for e-commerce. They influence consumer behavior, but do not perform individual assessments with automated legal or contractual consequences. |
| 5 | Adobe Firefly / Photoshop AI | Minimal risk / GPAI | Creative tools based on generative AI used for design and visual content. They do not affect fundamental rights or decisions about people. |
| 6 | Make | Minimal risk | Automation platform connecting systems and APIs. AI is used as technical support without autonomous decision-making about people. |
| 7 | SalesSpeak | Limited risk | Commercial support system with predictive and personalization functions. It may influence sales strategies but does not execute automated decisions with legal impact on individuals. |
| 8 | HubSpot | Limited risk | Marketing and CRM tool with predictive analytics and segmentation. It requires data control and transparency, but does not fall into high-risk categories under the declared use. |
| AI Act category | Identified systems | No. | Executive reading |
|---|---|---|---|
| Prohibited | None | 0 | No AI uses contrary to the AI Act were identified. |
| High risk | None | 0 | No systems make automated decisions with legal or equivalent effects on people. |
| Limited risk | Pipedrive · PrestaShop AI · SalesSpeak · HubSpot | 4 | Commercial, marketing and e-commerce support systems requiring transparency, data control and human oversight. |
| Minimal risk / GPAI | ChatGPT Enterprise · Microsoft 365 Copilot · Adobe Firefly · Make | 4 | General-purpose and internal-support tools with low operational impact if current uses are maintained. |
Observation: classification is dynamic and must be reviewed if the functional use of any system is expanded. No system currently falls into prohibited or high-risk categories under the AI Act.
Auditor reading
SHIPPING WORLDWIDE SERVICES does not show improvised AI adoption: it shows a recognizable, auditable, commercially defensible governance architecture ready for board-level discussion. The appointment of a Chief Ethics Officer as formal AI owner raises governance and control to an excellent level by centralizing ethical judgement, oversight, traceability and incident escalation. The evidence reviewed supports the conclusion that the company has moved from merely instrumental use of intelligent tools to a corporate control model in which every system has a purpose, owner, risk classification, autonomy limits, documentary traceability, privacy controls, human oversight and review regime.
The auditor’s reading is especially favorable because compliance does not rest on generic statements, but on a verifiable combination of inventory, training, transparency, provider clauses, version records, technical testing, incident escalation and periodic review. The organization is also prepared for AI Act transparency obligations concerning AI-generated or manipulated content, incorporating marking, labelling, metadata, machine-readable signals and watermarking criteria where the use case requires them.
In professional terms, the report reflects a position of anticipated compliance: the company not only passes the audit, but is placed in a maturity zone above what is normally expected from a non-AI-native logistics organization. The result is useful for the board, management, strategic clients, tenders, suppliers and internal teams, because it turns compliance into an objective signal of trust, due diligence and competitive advantage.
Certificate of Operational Conformity in Artificial Intelligence
It is certified, under the scope and evidence of this audit, that SHIPPING WORLDWIDE SERVICES S.L. has a classified, documented, supervised AI use model aligned with European and international responsible AI standards.
SHIPPING WORLDWIDE SERVICES S.L.
Pablo Gutiérrez-Ravé Villalón
15/12/2025 - 15/12/2026
Enhanced excellent compliance · Audit passed with excellence · AI Act Article 50 readiness
Based on the analyzed information and evidence provided, SHIPPING WORLDWIDE SERVICES S.L. shows an enhanced excellent level of compliance with the principles, obligations and requirements of Regulation (EU) 2024/1689 (AI Act), as well as European and international frameworks on data protection, transparency, human oversight, risk management, technical security and responsible use of artificial intelligence.
- No prohibited AI systems or high-risk systems were identified.
- Current AI use is concentrated in support tools, limited-risk systems and minimal-risk / GPAI systems.
- The company has appointed a Chief Ethics Officer as formal AI owner, reinforcing governance, ethical control, oversight and documentary traceability.
- Staff training in AI literacy, human oversight and responsible use is marked as passed.
- The organization demonstrates specific readiness for transparency, marking, labelling and watermarking obligations for AI-generated or manipulated content under the AI Act Article 50 framework and the European Code of Practice process.
- The organization adequately, proactively and documentarily defensibly meets the essential requirements of the AI Act.
Professional opinion: audit passed with excellence. The company is classified as an organization with mature AI governance, controlled residual risk, sufficient traceability, evidenced training and advanced readiness for European transparency, marking and watermarking obligations for AI-generated or manipulated content.
Final auditor assessment: the report reaches an especially high assurance level because it combines regulatory reading, operational analysis, training evidence, dedicated governance, systems matrix, provider control, privacy, AI-content traceability and reaudit triggers. Taken together, it forms a robust, explainable and third-party-defensible due diligence position.
Scope condition: this opinion is issued based on the current state of AI systems, declared uses and available evidence, without prejudice to future reclassification due to functional changes, new versions or regulatory evolution.
Using AI is not enough: control must be demonstrable
It is not about having advanced technology, but about being able to document that such technology operates under appropriate controls, internal policies, verifiable procedures and continuous oversight mechanisms.
Regulation (EU) 2024/1689 establishes a graduated penalty regime. Member States lay down the applicable rules, which may include warnings, non-monetary measures and administrative fines, taking into account proportionality, gravity, duration, cooperation, organization size and the nature of the infringement.
Non-compliance with prohibited AI practices under Article 5: up to EUR 35 million or 7% of total worldwide annual turnover, whichever is higher.
Non-compliance with applicable obligations for operators and systems: up to EUR 15 million or 3% of total worldwide annual turnover, whichever is higher.
Supplying incorrect, incomplete or misleading information to authorities or notified bodies: up to EUR 7.5 million or 1% of total worldwide annual turnover.
Practical reading: the risk is not only using AI, but being unable to evidence how its use is classified, documented, supervised, limited and reviewed.
Audit your systems, evidence, policies, training and controls before clients, suppliers, tenders or competent authorities require it.
Regulatory source: Regulation (EU) 2024/1689, Article 99.