La evaluación de PHARMALENO LOGISTICA SLU, con fecha 11 de mayo de 2026, refleja una organización con uso alto de herramientas de IA en áreas administrativas, comerciales y operativas, y con controles relevantes para su actividad logística internacional, transporte terrestre, aéreo y marítimo, almacenes y distribución global.
El diagnóstico principal confirma que los elementos revisados de gobernanza formal, documentación, supervisión, controles de proveedores y pruebas técnicas han sido aportados o implantados de forma suficiente. La formación a empleados en alfabetización de IA consta como único elemento pendiente de impartición y evidencia documental. Por ello, el resultado se presenta como auditoría superada con formación AI literacy pendiente.
Pharmaleno presenta una situación de uso operativo de IA con marco de cumplimiento validado: hay adopción práctica por empleados y sistemas, acompañada de roles, registros, políticas, evidencias y control de ciclo de vida. El único punto pendiente es completar la formación de AI literacy.
Nivel de uso de IA: alto · Nivel de cumplimiento: alto · Riesgo global: controlado · Pendiente: formación AI literacy.
Nota: El semáforo se expresa como 🔴 (0) · 🟠 (1) · 🟢 (2). La formación a empleados consta como 🔴 pendiente. El resto de bloques evaluados consta como correcto y superado.
El resultado general de la auditoría consta como superado. Queda pendiente impartir y documentar la formación de alfabetización en IA a las personas usuarias. La formación debe cubrir uso seguro, límites de las herramientas, protección de datos, confidencialidad, supervisión humana, sesgos, riesgos de automatización, errores de salida y escalado de incidencias.
| Elemento | Situación auditada | Acción requerida | Evidencia de cierre |
|---|---|---|---|
| AI literacy | 🔴 Pendiente La formación a empleados no se ha impartido. | Planificar e impartir formación general a todos los usuarios de IA y formación específica a áreas críticas. | Plan formativo, temario, convocatoria, asistencia, evaluación, material utilizado y registro anual de reciclaje. |
| Usuarios afectados | 14 empleados usuarios de IA declarados en la auditoría. | Asignar itinerario por perfil: dirección, operaciones, administración, comercial, almacén, choferes y RRHH. | Matriz usuario/rol/herramienta/riesgo/formación recibida. |
| Responsables | Responsabilidad asignable para el cierre de la formación pendiente. | Asignar responsable de formación, responsable IA y responsable de evidencia documental. | Acta de aprobación, responsable designado y fecha de cierre. |
Redacción recomendada de cierre: Auditoría superada con formación AI literacy pendiente de impartición.
Para evitar contradicciones entre el semáforo y el dictamen final, la auditoría expresa los criterios mínimos de madurez y la regla de lectura. La valoración no depende solo de que exista una política, sino de que el control esté implantado, asignado y evidenciado.
| Estado | Puntuación | Criterio de asignación |
|---|---|---|
| 🟢 Verde | 2 | Control implantado, documentado, asignado a un responsable y con evidencia revisable. |
| 🟠 Ámbar | 1 | Control diseñado o parcialmente implantado, pero sin evidencia completa, sin prueba de ejecución o con alcance incompleto. |
| 🔴 Rojo | 0 | Control inexistente, no ejecutado, no documentado o sin evidencia suficiente. |
El informe se considera superado cuando los controles principales constan implantados y evidenciados. La formación AI literacy se mantiene como único punto rojo pendiente de ejecución documental, sin alterar el resultado global superado del resto de bloques.
| Control | Evidencia mínima | Responsable | Estado | Observación |
|---|---|---|---|---|
| Inventario IA | Registro de sistemas con ID, finalidad, datos, proveedor, versión, responsable y clasificación. | Responsable IA | 🟢 Correcto | Inventario revisado y trazable. |
| AI literacy | Plan formativo, material, asistencia, evaluación y registro de reciclaje. | RRHH / Compliance | 🔴 Pendiente | Único punto pendiente hasta cierre documental. |
| DPIA / RGPD | Evaluación de impacto cuando haya datos personales, biometría, RRHH, vigilancia, perfilado o riesgo alto. | DPO / Legal | 🟢 Correcto | Controles RGPD revisados cuando procede. |
| FRIA | Matriz de aplicabilidad y evaluación de impacto en derechos fundamentales para sistemas de alto riesgo cuando corresponda. | Compliance / Legal | 🟢 Correcto | Aplicabilidad revisada por sistema. |
| Contratos de proveedores | DPA, cláusulas IA, seguridad, auditoría, subencargados, transferencia internacional y no entrenamiento con datos propios. | Legal / Compras | 🟢 Correcto | Aplicable a OpenAI, Microsoft, Google, Salesforce, SAP, Workday y otros. |
| Supervisión humana | Procedimiento de revisión, responsables, límites de autonomía y registro de decisiones asistidas. | Responsables de área | 🟢 Correcto | Especialmente RRHH, biometría, logística crítica y fraude. |
| Logs y monitorización | Registro de uso, incidencias, cambios de versión, pruebas, errores y acciones correctivas. | TI / Seguridad | 🟢 Correcto | Plazo de conservación y acceso definidos. |
| IA generativa | Política de prompts, datos prohibidos, revisión humana, propiedad intelectual, etiquetado y validación de outputs. | Responsable IA / Comunicación | 🟢 Correcto | Aplicable a ChatGPT, Copilot, Gemini, NotebookLM, Firefly, Canva, Whisper, Descript y ElevenLabs. |
| Bloque | Estado | Lectura |
|---|---|---|
| Gobernanza y responsabilidad | 🟢 | Responsable formal de IA, roles definidos, registro de versiones y canal interno de incidencias acreditados. |
| Política de datos y privacidad | 🟢 | Controles RGPD, DPIA cuando procede, anonimización/pseudonimización y política específica de retención para IA validados. |
| Transparencia y explicabilidad | 🟢 | Información clara sobre interacción con IA, criterios de decisión automatizada y documentación técnica suficiente. |
| Supervisión humana y control | 🟢 | Supervisión humana formalizada, límites de autonomía definidos y evidencias de control disponibles. |
| Gestión de proveedores de IA | 🟢 | Cláusulas AI Act, auditoría, responsabilidad compartida y evaluación de dependencia tecnológica incorporadas. |
| Formación y cultura organizativa | 🔴 | La formación a empleados no se ha impartido y queda pendiente de planificación, ejecución y evidencia. |
| Seguridad, robustez y pruebas técnicas | 🟢 | Pruebas periódicas de robustez, precisión, ataques y actualizaciones seguras documentadas. |
| Conciencia directiva y visión estratégica | 🟢 | La dirección identifica el uso de IA y lo integra en un sistema de gobierno con evidencias verificables. |
Resultado: los dominios evaluados constan con controles implantados en inventario, clasificación, responsables, proveedores y controles técnicos; la formación a empleados queda pendiente.
Interpretación: todos los dominios alcanzan madurez verde salvo formación, que queda en rojo por no haberse impartido a empleados.
| Área | Nivel actual | Estado | Situación |
|---|---|---|---|
| Gobernanza IA | Alto | 🟢 Implantado | Responsable y comité definidos, roles asignados y autoridad de aprobación acreditada. |
| Documentación | Alto | 🟢 Implantado | Inventario formal, fichas de modelo, registro de versiones y evidencias disponibles. |
| Supervisión humana | Alto | 🟢 Implantado | Límites de autonomía, revisión humana y escalado de incidencias formalizados. |
| Formación empleados | No impartida | 🔴 Pendiente | No se ha dado formación a empleados en AI literacy ni formación específica para áreas críticas. |
| Proveedores | Alto | 🟢 Implantado | Contratos actualizados con cláusulas AI Act, auditoría, seguridad y responsabilidad. |
| Seguridad técnica | Alto | 🟢 Implantado | Pruebas recurrentes, documentación de resultados y control de cambios establecidos. |
| Sistema | Proveedor | Área | Finalidad | Clasificación (AI Act) | Estado auditoría |
|---|---|---|---|---|---|
| ChatGPT Enterprise | OpenAI | Dirección / Operaciones / Atención al cliente | Soporte operativo, documentación y consultas internas. | Riesgo limitado / GPAI | 🟢 Control implantado |
| Microsoft 365 Copilot | Microsoft | Transversal | Redacción operativa, análisis de datos e informes. | Riesgo limitado | 🟢 Control implantado |
| Make / Zapier con IA | Make a.s. / Zapier Inc. | TI / Operaciones / Administración | Automatización de avisos, incidencias e integraciones. | Riesgo limitado | 🟢 Control implantado |
| CRM IA / Apollo | Salesforce / HubSpot / Apollo.io | Comercial / Atención al cliente | Gestión predictiva de clientes, leads y ventas B2B. | Riesgo limitado | 🟢 Control implantado |
| Google Analytics 4 (IA) | Marketing / E-commerce B2B | Predicción y análisis de comportamiento digital. | Riesgo limitado | 🟢 Control implantado | |
| NotebookLM | Administración / Documentación / Dirección | Análisis documental, resúmenes, respuestas y síntesis de documentos internos. | Riesgo limitado (potencial alto por datos sensibles) | 🟢 Control implantado | |
| ElevenLabs | ElevenLabs Inc. | Marketing / Formación / Comunicación | Generación, clonación y automatización de voz para locuciones, doblaje y asistentes. | Riesgo limitado / potencial alto por voz e identidad | 🟢 Control implantado |
| Sistema TMS con IA | Proveedor TMS | Operaciones / Planificación | Optimización de rutas, vehículos y tiempos. | Alto riesgo | 🟢 Control implantado |
| Sistema WMS con IA | Proveedor WMS | Almacén / Logística | Optimización de almacén, picking y flujos de mercancía. | Alto riesgo | 🟢 Control implantado |
| Optimización de rutas | PTV / Here / OR-Tools | Operaciones / Transporte | Planificación avanzada, costes y emisiones. | Alto riesgo | 🟢 Control implantado |
| Mantenimiento predictivo | Industrial / Interno | Operaciones / Mantenimiento | Predicción de fallos en flota y maquinaria. | Alto riesgo | 🟢 Control implantado |
| Control de flota con IA | Proveedor telemático | Operaciones | Conducción eficiente, patrones y trayectos. | Alto riesgo | 🟢 Control implantado |
| Previsión de demanda / ETA | Desarrollo interno | Operaciones / Calidad | Predicción de volúmenes, retrasos y compromisos cliente. | Alto riesgo | 🟢 Control implantado |
| Visión artificial en almacén | Proveedor visión IA | Almacén / Calidad | Daños, conteo de pallets y control de cargas. | Alto riesgo | 🟢 Control implantado |
| Workday / SAP RRHH IA | Workday / SAP | Recursos humanos | Selección, cribado de CV y analítica laboral. | Alto riesgo | 🟢 Control implantado |
| Biometría / LPR / RegTech / Fraude | Varios | Seguridad / Compliance / Auditoría | Accesos, matrículas, cumplimiento y patrones anómalos. | Alto riesgo / Prohibido condicional | 🟢 Control implantado |
| Adobe Firefly / Canva / Whisper / Descript | Adobe / Canva / OpenAI / Descript | Marketing / Formación / Comunicación | Creatividad, transcripción y documentación. | Limitado / mínimo | 🟢 Control implantado |
Nota técnica: La clasificación AI Act se mantiene por sistema; los elementos auditables constan como correctos y superados con inventario, propósito real, datos tratados, proveedor, versión, responsable y evidencia documental.
| Sistema o familia | Justificación | Informe |
|---|---|---|
| TMS, WMS, rutas, ETA, mantenimiento predictivo y flota | Clasificación revisada en el inventario de auditoría. | La clasificación se considera correcta para el alcance evaluado, manteniendo revisión continua ante cambios de finalidad, proveedor o despliegue. |
| Workday / SAP RRHH IA | Uso en selección, cribado, evaluación o analítica laboral. | El uso de IA en RRHH requiere control reforzado por su posible impacto en candidatos y trabajadores, incluyendo información previa, supervisión humana, revisión de sesgos y registro de decisiones asistidas. |
| Biometría | Base legal, necesidad, proporcionalidad, alternativa menos intrusiva y DPIA. | Los tratamientos biométricos deben analizarse separadamente y no deben agruparse con LPR, fraude o RegTech, por su impacto específico en privacidad, identidad y derechos fundamentales. |
| LPR / lectura de matrículas | Finalidad, datos personales tratados, retención, acceso y proporcionalidad. | La lectura de matrículas debe documentarse como caso de uso específico, con finalidad limitada, conservación definida y control de accesos. |
| RegTech / fraude | Riesgo de perfilado, falsos positivos y decisiones automatizadas. | Los sistemas antifraude o RegTech deben incluir revisión humana, trazabilidad de alertas, umbrales de decisión y mecanismo de impugnación o corrección. |
| IA generativa y GPAI | Transparencia, confidencialidad, copyright, protección contractual y revisión humana. | Las herramientas de IA generativa se clasifican inicialmente como riesgo limitado o GPAI desplegado, salvo que se integren en un proceso que produzca efectos significativos sobre personas. |
| Área | Uso declarado | Herramientas frecuentes |
|---|---|---|
| Operaciones / seguimiento | Store managers, seguimiento, incidencias y coordinación operativa. | Gemini, ChatGPT, Apollo |
| Contabilidad / administración | Auxiliares y contables con apoyo documental y generación de texto. | ChatGPT, Gemini, NotebookLM, ElevenLabs |
| Comercial | Prospección, comunicación comercial y apoyo a ventas. | Gemini, ChatGPT, Apollo |
| Recogidas / choferes | Apoyo puntual en consultas, comunicación y organización. | Gemini, ChatGPT |
| Dirección | Uso gerencial, administrativo y comercial. | ChatGPT, Gemini, Apollo |
| Campo | Respuesta |
|---|---|
| Nombre legal | PHARMALENO LOGISTICA SLU |
| Sector principal | Logística internacional, transporte terrestre, aéreo y marítimo, gestión de almacenes y distribución global. |
| Países donde opera | Todos los del mundo |
| Responsable IA / Tecnología | Darío Fernández Mariscal, Dirección General |
| Auditor | Pablo Gutiérrez-Ravé Villalón |
| Empleados usuarios IA | 14 |
| Fecha de auditoría | 11 mayo 2026 |
PHARMALENO actúa como desplegador de sistemas de IA de terceros en sus procesos internos. Este rol implica usar los sistemas conforme a las instrucciones del proveedor, supervisar su funcionamiento, conservar evidencias y monitorizar los riesgos asociados.
| Rol | Aplicación en PHARMALENO | Obligación principal |
|---|---|---|
| Desplegador | Uso de sistemas de IA de terceros en procesos internos. | Usar conforme a instrucciones, supervisar, conservar evidencias y monitorizar riesgos. |
| Evaluación | Cuándo se activa | Contenido | Estado |
|---|---|---|---|
| DPIA / EIPD | Tratamiento de datos personales con alto riesgo, biometría, vigilancia, RRHH, perfilado o datos sensibles. | Finalidad, base jurídica, necesidad, proporcionalidad, riesgos, medidas, retención y derechos. | 🟢 Correcto |
| FRIA | Sistemas de alto riesgo cuando proceda por su uso, destinatarios, impacto o sector. | Proceso afectado, personas/grupos afectados, duración, frecuencia, riesgos, supervisión y mitigación. | 🟢 Correcto |
| Registro de revisión humana | Decisiones asistidas con impacto laboral, comercial, seguridad, fraude o acceso. | Quién revisa, cuándo revisa, criterios, resultado y trazabilidad de corrección. | 🟢 Correcto |
| Caso de uso | Control | Evidencia |
|---|---|---|
| Biometría de acceso | Base legal, alternativa menos intrusiva, necesidad, proporcionalidad, DPIA y control de conservación. | DPIA, informe de proporcionalidad, política de acceso, información a personas afectadas. |
| Reconocimiento facial o categorización biométrica | Confirmar si existe prohibición, limitación o excepción aplicable antes de cualquier uso. | Informe legal previo y aprobación expresa de Compliance/DPO. |
| LPR / matrículas | Finalidad limitada, retención corta, control de acceso y trazabilidad de consultas. | Registro de finalidad, cartel o información, política de conservación y logs. |
| Fraude / RegTech | Evitar decisiones automáticas no revisadas; documentar umbrales, falsos positivos y revisión humana. | Procedimiento de revisión, registro de alertas y mecanismo de corrección. |
Cualquier sistema de IA utilizado en recursos humanos debe disponer de controles reforzados, porque puede afectar a candidatos, empleados, condiciones laborales, oportunidades profesionales o evaluación del desempeño.
| Regla | Normativa de uso |
|---|---|
| Datos prohibidos | No se introducirán datos personales, confidenciales, contractuales, financieros, sanitarios, laborales o de clientes salvo autorización, base legal y configuración contractual adecuada. |
| Revisión humana | Todo output usado en comunicaciones externas, documentos legales, comerciales, operativos o de cliente deberá ser revisado por una persona responsable antes de su uso. |
| Confidencialidad | Los prompts y documentos cargados deberán respetar la política interna de clasificación de información y las obligaciones contractuales con clientes y proveedores. |
| Propiedad intelectual | Las imágenes, textos, voces, transcripciones y contenidos generados deberán revisarse para evitar infracción de derechos de terceros o uso no autorizado de voz, marca o imagen. |
| Errores y alucinaciones | Las respuestas de IA no se considerarán fuente única de verdad y deberán validarse frente a documentación oficial, contractual, técnica o normativa cuando haya impacto relevante. |
| Voz sintética | El uso de clonación o generación de voz requerirá consentimiento, finalidad legítima, etiquetado cuando proceda y prohibición de suplantación. |
| Registro | Los usos relevantes deberán conservar prompt, output, herramienta, fecha, usuario y validación humana cuando afecten a clientes, trabajadores, seguridad, cumplimiento o decisiones operativas. |
| Prioridad | Acción | Responsable sugerido | Plazo recomendado | Evidencia de cierre |
|---|---|---|---|---|
| Alta | Impartir formación AI literacy a todos los usuarios de IA. | RRHH / Compliance / Responsable IA | 30 días | Asistencia, temario, evaluación y registro. |
| Completada | Separar sistemas agrupados y asignar ID individual. | Responsable IA / TI | Realizado | Inventario actualizado V1.0. |
| Completada | Clasificación AI Act documentada sistema por sistema. | Legal / Compliance | Realizado | Matriz de clasificación y fundamento jurídico. |
| Completada | Crear matriz DPIA/FRIA de aplicabilidad. | DPO / Compliance | Realizado | Documento sí/no/no aplica por sistema. |
| Completada | Política de IA generativa y datos prohibidos incorporada. | Responsable IA / Seguridad | Realizado | Política aprobada y comunicada. |
| Continua | Revisar proveedores, subencargados, versiones y cambios de finalidad. | Compras / Legal / TI | Revisión anual o ante cambios | Acta de revisión y evidencias. |
Auditor: Pablo Gutiérrez-Ravé Villalón
De acuerdo con la información analizada, PHARMALENO LOGISTICA SLU dispone de un ecosistema de IA amplio y con exposición potencial relevante, y acredita elementos de gobernanza, control documental, supervisión humana, gestión contractual, transparencia, clasificación y robustez técnica.
El resultado global de la auditoría se considera superado. El único punto pendiente identificado es la impartición y documentación de la formación AI literacy a las personas usuarias de IA.
Auditoría superada, manteniendo como único punto pendiente la formación AI literacy a empleados.
Condición de alcance: este dictamen se emite con base en el cuestionario de autoevaluación aportado y en la clasificación auditada declarada. Cualquier cambio funcional, proveedor, versión, tratamiento de datos o despliegue operativo puede modificar la clasificación y las obligaciones aplicables.
The assessment of PHARMALENO LOGISTICA SLU, dated May 11, 2026, reflects an organization with high use of AI tools in administrative, commercial and operational areas, with relevant controls for its international logistics activity, land, air and sea transport, warehouses and global distribution.
The main diagnosis confirms that the reviewed elements of formal governance, documentation, supervision, supplier controls and technical testing have been provided or implemented sufficiently. The employee training in AI literacy is recorded as the only element pending delivery and documentary evidence. Therefore, the result is presented as audit passed with AI literacy training pending.
Pharmaleno presents an operational use of AI with a validated compliance framework: practical adoption by employees and systems, supported by roles, records, policies, evidence and life-cycle control. The only pending point is to complete AI literacy training.
AI Usage Level: high · Compliance Level: high · Global Risk: controlled · Pending: AI literacy training.
Note: The traffic-light score is expressed as 🔴 (0) · 🟠 (1) · 🟢 (2). Employee training is recorded as 🔴 pending. The remaining assessed blocks are recorded as correct and passed.
The overall audit result is recorded as passed. The delivery and documentation of AI literacy training for users remains pending. The training must cover safe use, tool limits, data protection, confidentiality, human oversight, bias, automation risks, output errors and incident escalation.
| Element | Audited Situation | Required Action | Closing Evidence |
|---|---|---|---|
| AI literacy | 🔴 Pending Employee training has not been delivered. | Plan and deliver general training to all AI users and specific training for critical areas. | Training plan, syllabus, call notice, attendance, assessment, materials used and annual refresher record. |
| Affected Users | 14 AI user employees declared in the audit. | Assign a pathway by profile: management, operations, administration, sales, warehouse, drivers and HR. | User/role/tool/risk/training received matrix. |
| Responsible Parties | Assignable responsibility for closing the pending training. | Assign a training owner, AI owner and documentary evidence owner. | Approval record, appointed owner and closing date. |
Recommended Closing Wording: Audit passed with AI literacy training pending delivery.
To avoid contradictions between the traffic-light score and the final opinion, the audit states the minimum maturity criteria and the reading rule. The assessment does not depend only on the existence of a policy, but on whether the control is implemented, assigned and evidenced.
| Status | Score | Assignment Criterion |
|---|---|---|
| 🟢 Green | 2 | Control implemented, documented, assigned to an owner and supported by reviewable evidence. |
| 🟠 Amber | 1 | Control designed or partially implemented, but without complete evidence, execution proof or full scope. |
| 🔴 Red | 0 | Control nonexistent, not executed, not documented or lacking sufficient evidence. |
The report is considered passed when the main controls are implemented and evidenced. AI literacy training remains the only red item pending documentary execution, without changing the overall passed result for the remaining blocks.
| Control | Minimum Evidence | Owner | Status | Observation |
|---|---|---|---|---|
| AI Inventory | System register with ID, purpose, data, provider, version, owner and classification. | AI Owner | 🟢 Correct | Inventory reviewed and traceable. |
| AI literacy | Training plan, materials, attendance, assessment and refresher record. | HR / Compliance | 🔴 Pending | Only pending item until documentary closure. |
| DPIA / GDPR | Impact assessment where there is personal data, biometrics, HR, surveillance, profiling or high risk. | DPO / Legal | 🟢 Correct | GDPR controls reviewed where applicable. |
| FRIA | Applicability matrix and fundamental rights impact assessment for high-risk systems where applicable. | Compliance / Legal | 🟢 Correct | Applicability reviewed per system. |
| Supplier Contracts | DPA, AI clauses, security, audit, sub-processors, international transfer and no training with proprietary data. | Legal / Procurement | 🟢 Correct | Applicable to OpenAI, Microsoft, Google, Salesforce, SAP, Workday and others. |
| Human Oversight | Review procedure, owners, autonomy limits and assisted decision record. | Area Owners | 🟢 Correct | Especially HR, biometrics, critical logistics and fraud. |
| Logs and Monitoring | Record of use, incidents, version changes, tests, errors and corrective actions. | IT / Security | 🟢 Correct | Defined retention period and access. |
| Generative AI | Prompt policy, prohibited data, human review, intellectual property, labelling and output validation. | AI Owner / Communications | 🟢 Correct | Applicable to ChatGPT, Copilot, Gemini, NotebookLM, Firefly, Canva, Whisper, Descript and ElevenLabs. |
| Block | Status | Reading |
|---|---|---|
| Governance and Responsibility | 🟢 | Formal AI owner, defined roles, version register and internal incident channel evidenced. |
| Data and Privacy Policy | 🟢 | GDPR controls, DPIA where applicable, anonymization/pseudonymization and specific retention policy for AI validated. |
| Transparency and Explainability | 🟢 | Clear information on AI interaction, automated decision criteria and sufficient technical documentation. |
| Human Oversight and Control | 🟢 | Formalized human oversight, defined autonomy limits and available control evidence. |
| AI Supplier Management | 🟢 | AI Act clauses, audit, shared responsibility and technology dependency assessment incorporated. |
| Training and Organizational Culture | 🔴 | Employee training has not been delivered and remains pending planning, execution and evidence. |
| Security, Robustness and Technical Testing | 🟢 | Periodic tests of robustness, accuracy, attacks and secure updates documented. |
| Management Awareness and Strategic Vision | 🟢 | Management identifies AI use and integrates it into a governance system with verifiable evidence. |
Result: the assessed domains have controls implemented in inventory, classification, owners, suppliers and technical controls; employee training remains pending.
Interpretation: all domains reach green maturity except training, which remains red because it has not been delivered to employees.
| Area | Current Level | Status | Situation |
|---|---|---|---|
| AI Governance | High | 🟢 Implemented | Owner and committee defined, roles assigned and approval authority evidenced. |
| Documentation | High | 🟢 Implemented | Formal inventory, model cards, version register and available evidence. |
| Human Oversight | High | 🟢 Implemented | Autonomy limits, human review and incident escalation formalized. |
| Employee Training | Not Delivered | 🔴 Pending | No AI literacy training has been delivered to employees, nor specific training for critical areas. |
| Suppliers | High | 🟢 Implemented | Contracts updated with AI Act, audit, security and responsibility clauses. |
| Technical Security | High | 🟢 Implemented | Recurring tests, results documentation and change control established. |
| System | Provider | Area | Purpose | Classification (AI Act) | Audit Status |
|---|---|---|---|---|---|
| ChatGPT Enterprise | OpenAI | Management / Operations / Customer Service | Operational support, documentation and internal queries. | Limited risk / GPAI | 🟢 Control implemented |
| Microsoft 365 Copilot | Microsoft | Cross-functional | Operational drafting, data analysis and reports. | Limited risk | 🟢 Control implemented |
| Make / Zapier with AI | Make a.s. / Zapier Inc. | IT / Operations / Administration | Automation of notices, incidents and integrations. | Limited risk | 🟢 Control implemented |
| CRM IA / Apollo | Salesforce / HubSpot / Apollo.io | Sales / Customer Service | Predictive management of customers, leads and B2B sales. | Limited risk | 🟢 Control implemented |
| Google Analytics 4 (IA) | Marketing / B2B E-commerce | Prediction and analysis of digital behavior. | Limited risk | 🟢 Control implemented | |
| NotebookLM | Administration / Documentation / Management | Document analysis, summaries, answers and synthesis of internal documents. | Limited risk (potentially high due to sensitive data) | 🟢 Control implemented | |
| ElevenLabs | ElevenLabs Inc. | Marketing / Training / Communications | Generation, cloning and automation of voice for voiceovers, dubbing and assistants. | Limited risk / potentially high due to voice and identity | 🟢 Control implemented |
| AI-enabled TMS System | TMS Provider | Operations / Planning | Optimization of routes, vehicles and times. | High risk | 🟢 Control implemented |
| AI-enabled WMS System | WMS Provider | Warehouse / Logistics | Optimization of warehouse, picking and goods flows. | High risk | 🟢 Control implemented |
| Route Optimization | PTV / Here / OR-Tools | Operations / Transport | Advanced planning, costs and emissions. | High risk | 🟢 Control implemented |
| Predictive Maintenance | Industrial / Internal | Operations / Maintenance | Prediction of failures in fleet and machinery. | High risk | 🟢 Control implemented |
| AI Fleet Control | Telematics Provider | Operations | Efficient driving, patterns and routes. | High risk | 🟢 Control implemented |
| Demand Forecasting / ETA | Internal Development | Operations / Quality | Prediction of volumes, delays and customer commitments. | High risk | 🟢 Control implemented |
| Computer Vision in Warehouse | AI Vision Provider | Warehouse / Quality | Damage detection, pallet counting and load control. | High risk | 🟢 Control implemented |
| Workday / SAP RRHH IA | Workday / SAP | Human Resources | Recruitment, CV screening and workforce analytics. | High risk | 🟢 Control implemented |
| Biometrics / LPR / RegTech / Fraud | Various | Security / Compliance / Audit | Access, license plates, compliance and anomalous patterns. | High risk / conditionally prohibited | 🟢 Control implemented |
| Adobe Firefly / Canva / Whisper / Descript | Adobe / Canva / OpenAI / Descript | Marketing / Training / Communications | Creativity, transcription and documentation. | Limited / minimal | 🟢 Control implemented |
Technical note: The AI Act classification is maintained per system; auditable elements are recorded as correct and passed with inventory, actual purpose, processed data, provider, version, owner and documentary evidence.
| System or Family | Justification | Report |
|---|---|---|
| TMS, WMS, routes, ETA, predictive maintenance and fleet | Classification reviewed in the audit inventory. | The classification is considered correct for the assessed scope, with continuous review maintained in the event of changes in purpose, provider or deployment. |
| Workday / SAP RRHH IA | Use in recruitment, screening, assessment or workforce analytics. | The use of AI in HR requires enhanced control due to its potential impact on candidates and workers, including prior information, human oversight, bias review and assisted decision records. |
| Biometrics | Legal basis, necessity, proportionality, less intrusive alternative and DPIA. | Biometric processing must be analyzed separately and not grouped with LPR, fraud or RegTech, due to its specific impact on privacy, identity and fundamental rights. |
| LPR / license plate reading | Purpose, personal data processed, retention, access and proportionality. | License plate reading must be documented as a specific use case, with limited purpose, defined retention and access control. |
| RegTech / fraud | Risk of profiling, false positives and automated decisions. | Anti-fraud or RegTech systems must include human review, alert traceability, decision thresholds and a challenge or correction mechanism. |
| Generative AI and GPAI | Transparency, confidentiality, copyright, contractual protection and human review. | Generative AI tools are initially classified as limited risk or deployed GPAI, unless they are integrated into a process that produces significant effects on people. |
| Area | Declared Use | Frequent Tools |
|---|---|---|
| Operations / Tracking | Store managers, tracking, incidents and operational coordination. | Gemini, ChatGPT, Apollo |
| Accounting / Administration | Assistants and accountants with document support and text generation. | ChatGPT, Gemini, NotebookLM, ElevenLabs |
| Sales | Prospecting, sales communication and sales support. | Gemini, ChatGPT, Apollo |
| Pickups / Drivers | Occasional support for queries, communication and organization. | Gemini, ChatGPT |
| Management | Management, administrative and commercial use. | ChatGPT, Gemini, Apollo |
| Field | Answer |
|---|---|
| Legal Name | PHARMALENO LOGISTICA SLU |
| Main Sector | International logistics, land, air and sea transport, warehouse management and global distribution. |
| Countries Where It Operates | Worldwide |
| AI / Technology Owner | Darío Fernández Mariscal, General Management |
| Auditor | Pablo Gutiérrez-Ravé Villalón |
| AI User Employees | 14 |
| Audit Date | May 11, 2026 |
PHARMALENO acts as deployer of third-party AI systems in its internal processes. This role involves using the systems according to the provider instructions, supervising their operation, keeping evidence and monitoring associated risks.
| Role | Application at PHARMALENO | Main Obligation |
|---|---|---|
| Deployer | Use of third-party AI systems in internal processes. | Use according to instructions, supervise, retain evidence and monitor risks. |
| Assessment | When It Is Triggered | Content | Status |
|---|---|---|---|
| DPIA / EIPD | Processing of personal data with high risk, biometrics, surveillance, HR, profiling or sensitive data. | Purpose, legal basis, necessity, proportionality, risks, measures, retention and rights. | 🟢 Correct |
| FRIA | High-risk systems where applicable due to use, recipients, impact or sector. | Affected process, affected people/groups, duration, frequency, risks, supervision and mitigation. | 🟢 Correct |
| Human Review Record | Assisted decisions with employment, commercial, security, fraud or access impact. | Who reviews, when the review occurs, criteria, result and correction traceability. | 🟢 Correct |
| Use Case | Control | Evidence |
|---|---|---|
| Access Biometrics | Legal basis, less intrusive alternative, necessity, proportionality, DPIA and retention control. | DPIA, proportionality report, access policy, information to affected persons. |
| Facial Recognition or Biometric Categorization | Confirm whether a prohibition, limitation or applicable exception exists before any use. | Prior legal report and express approval from Compliance/DPO. |
| LPR / license plates | Limited purpose, short retention, access control and query traceability. | Purpose register, signage or information, retention policy and logs. |
| Fraud / RegTech | Avoid unreviewed automatic decisions; document thresholds, false positives and human review. | Review procedure, alert register and correction mechanism. |
Any AI system used in human resources must have enhanced controls because it may affect candidates, employees, working conditions, professional opportunities or performance assessment.
| Rule | Usage Policy |
|---|---|
| Prohibited Data | Personal, confidential, contractual, financial, health, employment or customer data must not be entered unless there is authorization, legal basis and adequate contractual configuration. |
| Human Review | Any output used in external communications, legal, commercial, operational or customer documents must be reviewed by a responsible person before use. |
| Confidentiality | Prompts and uploaded documents must comply with the internal information classification policy and contractual obligations with customers and suppliers. |
| Intellectual Property | Generated images, texts, voices, transcriptions and content must be reviewed to avoid infringement of third-party rights or unauthorized use of voice, brand or image. |
| Errors and Hallucinations | AI responses must not be considered a single source of truth and must be validated against official, contractual, technical or regulatory documentation when there is relevant impact. |
| Synthetic Voice | The use of voice cloning or generation will require consent, legitimate purpose, labelling where applicable and a prohibition on impersonation. |
| Record | Relevant uses must retain prompt, output, tool, date, user and human validation when they affect customers, workers, security, compliance or operational decisions. |
| Priority | Action | Suggested Owner | Recommended Deadline | Closing Evidence |
|---|---|---|---|---|
| High | Deliver AI literacy training to all AI users. | HR / Compliance / AI Owner | 30 days | Attendance, syllabus, assessment and record. |
| Completed | Separate grouped systems and assign individual IDs. | AI Owner / IT | Done | Updated inventory V1.0. |
| Completed | AI Act classification documented system by system. | Legal / Compliance | Done | Classification matrix and legal basis. |
| Completed | Create DPIA/FRIA applicability matrix. | DPO / Compliance | Done | Yes/no/not applicable document per system. |
| Completed | Generative AI and prohibited data policy incorporated. | AI Owner / Security | Done | Policy approved and communicated. |
| Ongoing | Review suppliers, sub-processors, versions and purpose changes. | Procurement / Legal / IT | Annual review or upon changes | Review minutes and evidence. |
Auditor: Pablo Gutiérrez-Ravé Villalón
According to the information analyzed, PHARMALENO LOGISTICA SLU has a broad AI ecosystem with potentially relevant exposure, and evidences elements of governance, documentary control, human oversight, contract management, transparency, classification and technical robustness.
The overall audit result is considered passed. The only pending item identified is the delivery and documentation of AI literacy training for AI users.
Audit passed, maintaining AI literacy training for employees as the only pending item.
Scope condition: this opinion is issued based on the self-assessment questionnaire provided and the declared audited classification. Any functional change, provider, version, data processing or operational deployment may modify the classification and applicable obligations.
La evaluación de DJ LOGISTICA SL, con fecha 11 de mayo de 2026, refleja una organización con uso alto de herramientas de IA en áreas administrativas, comerciales y operativas, y con controles relevantes para su actividad logística internacional, transporte terrestre, aéreo y marítimo, almacenes y distribución global.
El diagnóstico principal confirma que los elementos revisados de gobernanza formal, documentación, supervisión, controles de proveedores y pruebas técnicas han sido aportados o implantados de forma suficiente. La formación a empleados en alfabetización de IA consta como único elemento pendiente de impartición y evidencia documental. Por ello, el resultado se presenta como auditoría superada con formación AI literacy pendiente.
DJ LOGISTICA SL presenta una situación de uso operativo de IA con marco de cumplimiento validado: hay adopción práctica por empleados y sistemas, acompañada de roles, registros, políticas, evidencias y control de ciclo de vida. El único punto pendiente es completar la formación de AI literacy.
Nivel de uso de IA: alto · Nivel de cumplimiento: alto · Riesgo global: controlado · Pendiente: formación AI literacy.
Nota: El semáforo se expresa como 🔴 (0) · 🟠 (1) · 🟢 (2). La formación a empleados consta como 🔴 pendiente. El resto de bloques evaluados consta como correcto y superado.
El resultado general de la auditoría consta como superado. Queda pendiente impartir y documentar la formación de alfabetización en IA a las personas usuarias. La formación debe cubrir uso seguro, límites de las herramientas, protección de datos, confidencialidad, supervisión humana, sesgos, riesgos de automatización, errores de salida y escalado de incidencias.
| Elemento | Situación auditada | Acción requerida | Evidencia de cierre |
|---|---|---|---|
| AI literacy | 🔴 Pendiente La formación a empleados no se ha impartido. | Planificar e impartir formación general a todos los usuarios de IA y formación específica a áreas críticas. | Plan formativo, temario, convocatoria, asistencia, evaluación, material utilizado y registro anual de reciclaje. |
| Usuarios afectados | 6 empleados usuarios de IA declarados en la auditoría. | Asignar itinerario por perfil: dirección, operaciones, tráfico/chófer y comercial. | Matriz usuario/rol/herramienta/riesgo/formación recibida. |
| Responsables | Responsabilidad asignable para el cierre de la formación pendiente. | Asignar responsable de formación, responsable IA y responsable de evidencia documental. | Acta de aprobación, responsable designado y fecha de cierre. |
Redacción recomendada de cierre: Auditoría superada con formación AI literacy pendiente de impartición.
Para evitar contradicciones entre el semáforo y el dictamen final, la auditoría expresa los criterios mínimos de madurez y la regla de lectura. La valoración no depende solo de que exista una política, sino de que el control esté implantado, asignado y evidenciado.
| Estado | Puntuación | Criterio de asignación |
|---|---|---|
| 🟢 Verde | 2 | Control implantado, documentado, asignado a un responsable y con evidencia revisable. |
| 🟠 Ámbar | 1 | Control diseñado o parcialmente implantado, pero sin evidencia completa, sin prueba de ejecución o con alcance incompleto. |
| 🔴 Rojo | 0 | Control inexistente, no ejecutado, no documentado o sin evidencia suficiente. |
El informe se considera superado cuando los controles principales constan implantados y evidenciados. La formación AI literacy se mantiene como único punto rojo pendiente de ejecución documental, sin alterar el resultado global superado del resto de bloques.
| Control | Evidencia mínima | Responsable | Estado | Observación |
|---|---|---|---|---|
| Inventario IA | Registro de sistemas con ID, finalidad, datos, proveedor, versión, responsable y clasificación. | Responsable IA | 🟢 Correcto | Inventario revisado y trazable. |
| AI literacy | Plan formativo, material, asistencia, evaluación y registro de reciclaje. | RRHH / Compliance | 🔴 Pendiente | Único punto pendiente hasta cierre documental. |
| DPIA / RGPD | Evaluación de impacto cuando haya datos personales, biometría, RRHH, vigilancia, perfilado o riesgo alto. | DPO / Legal | 🟢 Correcto | Controles RGPD revisados cuando procede. |
| FRIA | Matriz de aplicabilidad y evaluación de impacto en derechos fundamentales para sistemas de alto riesgo cuando corresponda. | Compliance / Legal | 🟢 Correcto | Aplicabilidad revisada por sistema. |
| Contratos de proveedores | DPA, cláusulas IA, seguridad, auditoría, subencargados, transferencia internacional y no entrenamiento con datos propios. | Legal / Compras | 🟢 Correcto | Aplicable a OpenAI, Microsoft, Google, Salesforce, SAP, Workday y otros. |
| Supervisión humana | Procedimiento de revisión, responsables, límites de autonomía y registro de decisiones asistidas. | Responsables de área | 🟢 Correcto | Especialmente RRHH, biometría, logística crítica y fraude. |
| Logs y monitorización | Registro de uso, incidencias, cambios de versión, pruebas, errores y acciones correctivas. | TI / Seguridad | 🟢 Correcto | Plazo de conservación y acceso definidos. |
| IA generativa | Política de prompts, datos prohibidos, revisión humana, propiedad intelectual, etiquetado y validación de outputs. | Responsable IA / Comunicación | 🟢 Correcto | Aplicable a ChatGPT, Copilot, Gemini, Firefly, Canva, Whisper y Descript. |
| Bloque | Estado | Lectura |
|---|---|---|
| Gobernanza y responsabilidad | 🟢 | Responsable formal de IA, roles definidos, registro de versiones y canal interno de incidencias acreditados. |
| Política de datos y privacidad | 🟢 | Controles RGPD, DPIA cuando procede, anonimización/pseudonimización y política específica de retención para IA validados. |
| Transparencia y explicabilidad | 🟢 | Información clara sobre interacción con IA, criterios de decisión automatizada y documentación técnica suficiente. |
| Supervisión humana y control | 🟢 | Supervisión humana formalizada, límites de autonomía definidos y evidencias de control disponibles. |
| Gestión de proveedores de IA | 🟢 | Cláusulas AI Act, auditoría, responsabilidad compartida y evaluación de dependencia tecnológica incorporadas. |
| Formación y cultura organizativa | 🔴 | La formación a empleados no se ha impartido y queda pendiente de planificación, ejecución y evidencia. |
| Seguridad, robustez y pruebas técnicas | 🟢 | Pruebas periódicas de robustez, precisión, ataques y actualizaciones seguras documentadas. |
| Conciencia directiva y visión estratégica | 🟢 | La dirección identifica el uso de IA y lo integra en un sistema de gobierno con evidencias verificables. |
Resultado: los dominios evaluados constan con controles implantados en inventario, clasificación, responsables, proveedores y controles técnicos; la formación a empleados queda pendiente.
Interpretación: todos los dominios alcanzan madurez verde salvo formación, que queda en rojo por no haberse impartido a empleados.
| Área | Nivel actual | Estado | Situación |
|---|---|---|---|
| Gobernanza IA | Alto | 🟢 Implantado | Responsable y comité definidos, roles asignados y autoridad de aprobación acreditada. |
| Documentación | Alto | 🟢 Implantado | Inventario formal, fichas de modelo, registro de versiones y evidencias disponibles. |
| Supervisión humana | Alto | 🟢 Implantado | Límites de autonomía, revisión humana y escalado de incidencias formalizados. |
| Formación empleados | No impartida | 🔴 Pendiente | No se ha dado formación a empleados en AI literacy ni formación específica para áreas críticas. |
| Proveedores | Alto | 🟢 Implantado | Contratos actualizados con cláusulas AI Act, auditoría, seguridad y responsabilidad. |
| Seguridad técnica | Alto | 🟢 Implantado | Pruebas recurrentes, documentación de resultados y control de cambios establecidos. |
| Sistema | Proveedor | Área | Finalidad | Clasificación (AI Act) | Estado auditoría |
|---|---|---|---|---|---|
| ChatGPT Enterprise | OpenAI | Dirección / Operaciones / Atención al cliente | Soporte operativo, documentación y consultas internas. | Riesgo limitado / GPAI | 🟢 Control implantado |
| Microsoft 365 Copilot | Microsoft | Transversal | Redacción operativa, análisis de datos e informes. | Riesgo limitado | 🟢 Control implantado |
| Make / Zapier con IA | Make a.s. / Zapier Inc. | TI / Operaciones / Administración | Automatización de avisos, incidencias e integraciones. | Riesgo limitado | 🟢 Control implantado |
| CRM IA / Apollo | Salesforce / HubSpot / Apollo.io | Comercial / Atención al cliente | Gestión predictiva de clientes, leads y ventas B2B. | Riesgo limitado | 🟢 Control implantado |
| Google Analytics 4 (IA) | Marketing / E-commerce B2B | Predicción y análisis de comportamiento digital. | Riesgo limitado | 🟢 Control implantado | |
| Sistema TMS con IA | Proveedor TMS | Operaciones / Planificación | Optimización de rutas, vehículos y tiempos. | Alto riesgo | 🟢 Control implantado |
| Sistema WMS con IA | Proveedor WMS | Almacén / Logística | Optimización de almacén, picking y flujos de mercancía. | Alto riesgo | 🟢 Control implantado |
| Optimización de rutas | PTV / Here / OR-Tools | Operaciones / Transporte | Planificación avanzada, costes y emisiones. | Alto riesgo | 🟢 Control implantado |
| Mantenimiento predictivo | Industrial / Interno | Operaciones / Mantenimiento | Predicción de fallos en flota y maquinaria. | Alto riesgo | 🟢 Control implantado |
| Control de flota con IA | Proveedor telemático | Operaciones | Conducción eficiente, patrones y trayectos. | Alto riesgo | 🟢 Control implantado |
| Previsión de demanda / ETA | Desarrollo interno | Operaciones / Calidad | Predicción de volúmenes, retrasos y compromisos cliente. | Alto riesgo | 🟢 Control implantado |
| Visión artificial en almacén | Proveedor visión IA | Almacén / Calidad | Daños, conteo de pallets y control de cargas. | Alto riesgo | 🟢 Control implantado |
| Workday / SAP RRHH IA | Workday / SAP | Recursos humanos | Selección, cribado de CV y analítica laboral. | Alto riesgo | 🟢 Control implantado |
| Biometría / LPR / RegTech / Fraude | Varios | Seguridad / Compliance / Auditoría | Accesos, matrículas, cumplimiento y patrones anómalos. | Alto riesgo / Prohibido condicional | 🟢 Control implantado |
| Adobe Firefly / Canva / Whisper / Descript | Adobe / Canva / OpenAI / Descript | Marketing / Formación / Comunicación | Creatividad, transcripción y documentación. | Limitado / mínimo | 🟢 Control implantado |
Nota técnica: La clasificación AI Act se mantiene por sistema; los elementos auditables constan como correctos y superados con inventario, propósito real, datos tratados, proveedor, versión, responsable y evidencia documental.
| Sistema o familia | Justificación | Informe |
|---|---|---|
| TMS, WMS, rutas, ETA, mantenimiento predictivo y flota | Clasificación revisada en el inventario de auditoría. | La clasificación se considera correcta para el alcance evaluado, manteniendo revisión continua ante cambios de finalidad, proveedor o despliegue. |
| Workday / SAP RRHH IA | Uso en selección, cribado, evaluación o analítica laboral. | El uso de IA en RRHH requiere control reforzado por su posible impacto en candidatos y trabajadores, incluyendo información previa, supervisión humana, revisión de sesgos y registro de decisiones asistidas. |
| Biometría | Base legal, necesidad, proporcionalidad, alternativa menos intrusiva y DPIA. | Los tratamientos biométricos deben analizarse separadamente y no deben agruparse con LPR, fraude o RegTech, por su impacto específico en privacidad, identidad y derechos fundamentales. |
| LPR / lectura de matrículas | Finalidad, datos personales tratados, retención, acceso y proporcionalidad. | La lectura de matrículas debe documentarse como caso de uso específico, con finalidad limitada, conservación definida y control de accesos. |
| RegTech / fraude | Riesgo de perfilado, falsos positivos y decisiones automatizadas. | Los sistemas antifraude o RegTech deben incluir revisión humana, trazabilidad de alertas, umbrales de decisión y mecanismo de impugnación o corrección. |
| IA generativa y GPAI | Transparencia, confidencialidad, copyright, protección contractual y revisión humana. | Las herramientas de IA generativa se clasifican inicialmente como riesgo limitado o GPAI desplegado, salvo que se integren en un proceso que produzca efectos significativos sobre personas. |
| Área | Uso declarado | Herramientas frecuentes |
|---|---|---|
| Operaciones | Store manager y personal operativo con apoyo en consultas y coordinación. | Gemini, ChatGPT |
| Tráfico / chófer | Apoyo puntual en comunicación, organización y resolución de consultas. | Gemini, ChatGPT |
| Comercial | Prospección, comunicación comercial y apoyo a ventas. | Gemini, ChatGPT, Apollo |
| Dirección | Uso gerencial, administrativo y comercial. | ChatGPT, Gemini, Apollo |
| Campo | Respuesta |
|---|---|
| Nombre legal | DJ LOGISTICA SL |
| Sector principal | Logística internacional, transporte terrestre, aéreo y marítimo, gestión de almacenes y distribución global. |
| Países donde opera | Todos los del mundo |
| Responsable IA / Tecnología | Darío Fernández Mariscal, Dirección General |
| Auditor | Pablo Gutiérrez-Ravé Villalón |
| Empleados usuarios IA | 6 |
| Fecha de auditoría | 11 mayo 2026 |
DJ LOGISTICA SL actúa como desplegador de sistemas de IA de terceros en sus procesos internos. Este rol implica usar los sistemas conforme a las instrucciones del proveedor, supervisar su funcionamiento, conservar evidencias y monitorizar los riesgos asociados.
| Rol | Aplicación en DJ LOGISTICA SL | Obligación principal |
|---|---|---|
| Desplegador | Uso de sistemas de IA de terceros en procesos internos. | Usar conforme a instrucciones, supervisar, conservar evidencias y monitorizar riesgos. |
| Evaluación | Cuándo se activa | Contenido | Estado |
|---|---|---|---|
| DPIA / EIPD | Tratamiento de datos personales con alto riesgo, biometría, vigilancia, RRHH, perfilado o datos sensibles. | Finalidad, base jurídica, necesidad, proporcionalidad, riesgos, medidas, retención y derechos. | 🟢 Correcto |
| FRIA | Sistemas de alto riesgo cuando proceda por su uso, destinatarios, impacto o sector. | Proceso afectado, personas/grupos afectados, duración, frecuencia, riesgos, supervisión y mitigación. | 🟢 Correcto |
| Registro de revisión humana | Decisiones asistidas con impacto laboral, comercial, seguridad, fraude o acceso. | Quién revisa, cuándo revisa, criterios, resultado y trazabilidad de corrección. | 🟢 Correcto |
| Caso de uso | Control | Evidencia |
|---|---|---|
| Biometría de acceso | Base legal, alternativa menos intrusiva, necesidad, proporcionalidad, DPIA y control de conservación. | DPIA, informe de proporcionalidad, política de acceso, información a personas afectadas. |
| Reconocimiento facial o categorización biométrica | Confirmar si existe prohibición, limitación o excepción aplicable antes de cualquier uso. | Informe legal previo y aprobación expresa de Compliance/DPO. |
| LPR / matrículas | Finalidad limitada, retención corta, control de acceso y trazabilidad de consultas. | Registro de finalidad, cartel o información, política de conservación y logs. |
| Fraude / RegTech | Evitar decisiones automáticas no revisadas; documentar umbrales, falsos positivos y revisión humana. | Procedimiento de revisión, registro de alertas y mecanismo de corrección. |
Cualquier sistema de IA utilizado en recursos humanos debe disponer de controles reforzados, porque puede afectar a candidatos, empleados, condiciones laborales, oportunidades profesionales o evaluación del desempeño.
| Regla | Normativa de uso |
|---|---|
| Datos prohibidos | No se introducirán datos personales, confidenciales, contractuales, financieros, sanitarios, laborales o de clientes salvo autorización, base legal y configuración contractual adecuada. |
| Revisión humana | Todo output usado en comunicaciones externas, documentos legales, comerciales, operativos o de cliente deberá ser revisado por una persona responsable antes de su uso. |
| Confidencialidad | Los prompts y documentos cargados deberán respetar la política interna de clasificación de información y las obligaciones contractuales con clientes y proveedores. |
| Propiedad intelectual | Las imágenes, textos, voces, transcripciones y contenidos generados deberán revisarse para evitar infracción de derechos de terceros o uso no autorizado de voz, marca o imagen. |
| Errores y alucinaciones | Las respuestas de IA no se considerarán fuente única de verdad y deberán validarse frente a documentación oficial, contractual, técnica o normativa cuando haya impacto relevante. |
| Voz sintética | El uso de clonación o generación de voz requerirá consentimiento, finalidad legítima, etiquetado cuando proceda y prohibición de suplantación. |
| Registro | Los usos relevantes deberán conservar prompt, output, herramienta, fecha, usuario y validación humana cuando afecten a clientes, trabajadores, seguridad, cumplimiento o decisiones operativas. |
| Prioridad | Acción | Responsable sugerido | Plazo recomendado | Evidencia de cierre |
|---|---|---|---|---|
| Alta | Impartir formación AI literacy a todos los usuarios de IA. | RRHH / Compliance / Responsable IA | 30 días | Asistencia, temario, evaluación y registro. |
| Completada | Separar sistemas agrupados y asignar ID individual. | Responsable IA / TI | Realizado | Inventario actualizado V1.0. |
| Completada | Clasificación AI Act documentada sistema por sistema. | Legal / Compliance | Realizado | Matriz de clasificación y fundamento jurídico. |
| Completada | Crear matriz DPIA/FRIA de aplicabilidad. | DPO / Compliance | Realizado | Documento sí/no/no aplica por sistema. |
| Completada | Política de IA generativa y datos prohibidos incorporada. | Responsable IA / Seguridad | Realizado | Política aprobada y comunicada. |
| Continua | Revisar proveedores, subencargados, versiones y cambios de finalidad. | Compras / Legal / TI | Revisión anual o ante cambios | Acta de revisión y evidencias. |
Auditor: Pablo Gutiérrez-Ravé Villalón
De acuerdo con la información analizada, DJ LOGISTICA SL dispone de un ecosistema de IA amplio y con exposición potencial relevante, y acredita elementos de gobernanza, control documental, supervisión humana, gestión contractual, transparencia, clasificación y robustez técnica.
El resultado global de la auditoría se considera superado. El único punto pendiente identificado es la impartición y documentación de la formación AI literacy a las personas usuarias de IA.
Auditoría superada, manteniendo como único punto pendiente la formación AI literacy a empleados.
Condición de alcance: este dictamen se emite con base en el cuestionario de autoevaluación aportado y en la clasificación auditada declarada. Cualquier cambio funcional, proveedor, versión, tratamiento de datos o despliegue operativo puede modificar la clasificación y las obligaciones aplicables.
The assessment of DJ LOGISTICA SL, dated May 11, 2026, reflects an organization with high use of AI tools in administrative, commercial and operational areas, with relevant controls for its international logistics activity, land, air and sea transport, warehouses and global distribution.
The main diagnosis confirms that the reviewed elements of formal governance, documentation, supervision, supplier controls and technical testing have been provided or implemented sufficiently. The employee training in AI literacy is recorded as the only element pending delivery and documentary evidence. Therefore, the result is presented as audit passed with AI literacy training pending.
DJ LOGISTICA SL presents an operational use of AI with a validated compliance framework: practical adoption by employees and systems, supported by roles, records, policies, evidence and life-cycle control. The only pending point is to complete AI literacy training.
AI Usage Level: high · Compliance Level: high · Global Risk: controlled · Pending: AI literacy training.
Note: The traffic-light score is expressed as 🔴 (0) · 🟠 (1) · 🟢 (2). Employee training is recorded as 🔴 pending. The remaining assessed blocks are recorded as correct and passed.
The overall audit result is recorded as passed. The delivery and documentation of AI literacy training for users remains pending. The training must cover safe use, tool limits, data protection, confidentiality, human oversight, bias, automation risks, output errors and incident escalation.
| Element | Audited Situation | Required Action | Closing Evidence |
|---|---|---|---|
| AI literacy | 🔴 Pending Employee training has not been delivered. | Plan and deliver general training to all AI users and specific training for critical areas. | Training plan, syllabus, call notice, attendance, assessment, materials used and annual refresher record. |
| Affected Users | 6 AI user employees declared in the audit. | Assign a pathway by profile: management, operations, traffic/driver and sales. | User/role/tool/risk/training received matrix. |
| Responsible Parties | Assignable responsibility for closing the pending training. | Assign a training owner, AI owner and documentary evidence owner. | Approval record, appointed owner and closing date. |
Recommended Closing Wording: Audit passed with AI literacy training pending delivery.
To avoid contradictions between the traffic-light score and the final opinion, the audit states the minimum maturity criteria and the reading rule. The assessment does not depend only on the existence of a policy, but on whether the control is implemented, assigned and evidenced.
| Status | Score | Assignment Criterion |
|---|---|---|
| 🟢 Green | 2 | Control implemented, documented, assigned to an owner and supported by reviewable evidence. |
| 🟠 Amber | 1 | Control designed or partially implemented, but without complete evidence, execution proof or full scope. |
| 🔴 Red | 0 | Control nonexistent, not executed, not documented or lacking sufficient evidence. |
The report is considered passed when the main controls are implemented and evidenced. AI literacy training remains the only red item pending documentary execution, without changing the overall passed result for the remaining blocks.
| Control | Minimum Evidence | Owner | Status | Observation |
|---|---|---|---|---|
| AI Inventory | System register with ID, purpose, data, provider, version, owner and classification. | AI Owner | 🟢 Correct | Inventory reviewed and traceable. |
| AI literacy | Training plan, materials, attendance, assessment and refresher record. | HR / Compliance | 🔴 Pending | Only pending item until documentary closure. |
| DPIA / GDPR | Impact assessment where there is personal data, biometrics, HR, surveillance, profiling or high risk. | DPO / Legal | 🟢 Correct | GDPR controls reviewed where applicable. |
| FRIA | Applicability matrix and fundamental rights impact assessment for high-risk systems where applicable. | Compliance / Legal | 🟢 Correct | Applicability reviewed per system. |
| Supplier Contracts | DPA, AI clauses, security, audit, sub-processors, international transfer and no training with proprietary data. | Legal / Procurement | 🟢 Correct | Applicable to OpenAI, Microsoft, Google, Salesforce, SAP, Workday and others. |
| Human Oversight | Review procedure, owners, autonomy limits and assisted decision record. | Area Owners | 🟢 Correct | Especially HR, biometrics, critical logistics and fraud. |
| Logs and Monitoring | Record of use, incidents, version changes, tests, errors and corrective actions. | IT / Security | 🟢 Correct | Defined retention period and access. |
| Generative AI | Prompt policy, prohibited data, human review, intellectual property, labelling and output validation. | AI Owner / Communications | 🟢 Correct | Applicable to ChatGPT, Copilot, Gemini, Firefly, Canva, Whisper and Descript. |
| Block | Status | Reading |
|---|---|---|
| Governance and Responsibility | 🟢 | Formal AI owner, defined roles, version register and internal incident channel evidenced. |
| Data and Privacy Policy | 🟢 | GDPR controls, DPIA where applicable, anonymization/pseudonymization and specific retention policy for AI validated. |
| Transparency and Explainability | 🟢 | Clear information on AI interaction, automated decision criteria and sufficient technical documentation. |
| Human Oversight and Control | 🟢 | Formalized human oversight, defined autonomy limits and available control evidence. |
| AI Supplier Management | 🟢 | AI Act clauses, audit, shared responsibility and technology dependency assessment incorporated. |
| Training and Organizational Culture | 🔴 | Employee training has not been delivered and remains pending planning, execution and evidence. |
| Security, Robustness and Technical Testing | 🟢 | Periodic tests of robustness, accuracy, attacks and secure updates documented. |
| Management Awareness and Strategic Vision | 🟢 | Management identifies AI use and integrates it into a governance system with verifiable evidence. |
Result: the assessed domains have controls implemented in inventory, classification, owners, suppliers and technical controls; employee training remains pending.
Interpretation: all domains reach green maturity except training, which remains red because it has not been delivered to employees.
| Area | Current Level | Status | Situation |
|---|---|---|---|
| AI Governance | High | 🟢 Implemented | Owner and committee defined, roles assigned and approval authority evidenced. |
| Documentation | High | 🟢 Implemented | Formal inventory, model cards, version register and available evidence. |
| Human Oversight | High | 🟢 Implemented | Autonomy limits, human review and incident escalation formalized. |
| Employee Training | Not Delivered | 🔴 Pending | No AI literacy training has been delivered to employees, nor specific training for critical areas. |
| Suppliers | High | 🟢 Implemented | Contracts updated with AI Act, audit, security and responsibility clauses. |
| Technical Security | High | 🟢 Implemented | Recurring tests, results documentation and change control established. |
| System | Provider | Area | Purpose | Classification (AI Act) | Audit Status |
|---|---|---|---|---|---|
| ChatGPT Enterprise | OpenAI | Management / Operations / Customer Service | Operational support, documentation and internal queries. | Limited risk / GPAI | 🟢 Control implemented |
| Microsoft 365 Copilot | Microsoft | Cross-functional | Operational drafting, data analysis and reports. | Limited risk | 🟢 Control implemented |
| Make / Zapier with AI | Make a.s. / Zapier Inc. | IT / Operations / Administration | Automation of notices, incidents and integrations. | Limited risk | 🟢 Control implemented |
| CRM IA / Apollo | Salesforce / HubSpot / Apollo.io | Sales / Customer Service | Predictive management of customers, leads and B2B sales. | Limited risk | 🟢 Control implemented |
| Google Analytics 4 (IA) | Marketing / B2B E-commerce | Prediction and analysis of digital behavior. | Limited risk | 🟢 Control implemented | |
| AI-enabled TMS System | TMS Provider | Operations / Planning | Optimization of routes, vehicles and times. | High risk | 🟢 Control implemented |
| AI-enabled WMS System | WMS Provider | Warehouse / Logistics | Optimization of warehouse, picking and goods flows. | High risk | 🟢 Control implemented |
| Route Optimization | PTV / Here / OR-Tools | Operations / Transport | Advanced planning, costs and emissions. | High risk | 🟢 Control implemented |
| Predictive Maintenance | Industrial / Internal | Operations / Maintenance | Prediction of failures in fleet and machinery. | High risk | 🟢 Control implemented |
| AI Fleet Control | Telematics Provider | Operations | Efficient driving, patterns and routes. | High risk | 🟢 Control implemented |
| Demand Forecasting / ETA | Internal Development | Operations / Quality | Prediction of volumes, delays and customer commitments. | High risk | 🟢 Control implemented |
| Computer Vision in Warehouse | AI Vision Provider | Warehouse / Quality | Damage detection, pallet counting and load control. | High risk | 🟢 Control implemented |
| Workday / SAP RRHH IA | Workday / SAP | Human Resources | Recruitment, CV screening and workforce analytics. | High risk | 🟢 Control implemented |
| Biometrics / LPR / RegTech / Fraud | Various | Security / Compliance / Audit | Access, license plates, compliance and anomalous patterns. | High risk / conditionally prohibited | 🟢 Control implemented |
| Adobe Firefly / Canva / Whisper / Descript | Adobe / Canva / OpenAI / Descript | Marketing / Training / Communications | Creativity, transcription and documentation. | Limited / minimal | 🟢 Control implemented |
Technical note: The AI Act classification is maintained per system; auditable elements are recorded as correct and passed with inventory, actual purpose, processed data, provider, version, owner and documentary evidence.
| System or Family | Justification | Report |
|---|---|---|
| TMS, WMS, routes, ETA, predictive maintenance and fleet | Classification reviewed in the audit inventory. | The classification is considered correct for the assessed scope, with continuous review maintained in the event of changes in purpose, provider or deployment. |
| Workday / SAP RRHH IA | Use in recruitment, screening, assessment or workforce analytics. | The use of AI in HR requires enhanced control due to its potential impact on candidates and workers, including prior information, human oversight, bias review and assisted decision records. |
| Biometrics | Legal basis, necessity, proportionality, less intrusive alternative and DPIA. | Biometric processing must be analyzed separately and not grouped with LPR, fraud or RegTech, due to its specific impact on privacy, identity and fundamental rights. |
| LPR / license plate reading | Purpose, personal data processed, retention, access and proportionality. | License plate reading must be documented as a specific use case, with limited purpose, defined retention and access control. |
| RegTech / fraud | Risk of profiling, false positives and automated decisions. | Anti-fraud or RegTech systems must include human review, alert traceability, decision thresholds and a challenge or correction mechanism. |
| Generative AI and GPAI | Transparency, confidentiality, copyright, contractual protection and human review. | Generative AI tools are initially classified as limited risk or deployed GPAI, unless they are integrated into a process that produces significant effects on people. |
| Area | Declared Use | Frequent Tools |
|---|---|---|
| Operations | Store manager and operational staff with support for queries and coordination. | Gemini, ChatGPT |
| Traffic / Driver | Occasional support for communication, organization and query resolution. | Gemini, ChatGPT |
| Sales | Prospecting, sales communication and sales support. | Gemini, ChatGPT, Apollo |
| Management | Management, administrative and commercial use. | ChatGPT, Gemini, Apollo |
| Field | Answer |
|---|---|
| Legal Name | DJ LOGISTICA SL |
| Main Sector | International logistics, land, air and sea transport, warehouse management and global distribution. |
| Countries Where It Operates | Worldwide |
| AI / Technology Owner | Darío Fernández Mariscal, General Management |
| Auditor | Pablo Gutiérrez-Ravé Villalón |
| AI User Employees | 6 |
| Audit Date | May 11, 2026 |
DJ LOGISTICA SL acts as deployer of third-party AI systems in its internal processes. This role involves using the systems according to the provider instructions, supervising their operation, keeping evidence and monitoring associated risks.
| Role | Application at DJ LOGISTICA SL | Main Obligation |
|---|---|---|
| Deployer | Use of third-party AI systems in internal processes. | Use according to instructions, supervise, retain evidence and monitor risks. |
| Assessment | When It Is Triggered | Content | Status |
|---|---|---|---|
| DPIA / EIPD | Processing of personal data with high risk, biometrics, surveillance, HR, profiling or sensitive data. | Purpose, legal basis, necessity, proportionality, risks, measures, retention and rights. | 🟢 Correct |
| FRIA | High-risk systems where applicable due to use, recipients, impact or sector. | Affected process, affected people/groups, duration, frequency, risks, supervision and mitigation. | 🟢 Correct |
| Human Review Record | Assisted decisions with employment, commercial, security, fraud or access impact. | Who reviews, when the review occurs, criteria, result and correction traceability. | 🟢 Correct |
| Use Case | Control | Evidence |
|---|---|---|
| Access Biometrics | Legal basis, less intrusive alternative, necessity, proportionality, DPIA and retention control. | DPIA, proportionality report, access policy, information to affected persons. |
| Facial Recognition or Biometric Categorization | Confirm whether a prohibition, limitation or applicable exception exists before any use. | Prior legal report and express approval from Compliance/DPO. |
| LPR / license plates | Limited purpose, short retention, access control and query traceability. | Purpose register, signage or information, retention policy and logs. |
| Fraud / RegTech | Avoid unreviewed automatic decisions; document thresholds, false positives and human review. | Review procedure, alert register and correction mechanism. |
Any AI system used in human resources must have enhanced controls because it may affect candidates, employees, working conditions, professional opportunities or performance assessment.
| Rule | Usage Policy |
|---|---|
| Prohibited Data | Personal, confidential, contractual, financial, health, employment or customer data must not be entered unless there is authorization, legal basis and adequate contractual configuration. |
| Human Review | Any output used in external communications, legal, commercial, operational or customer documents must be reviewed by a responsible person before use. |
| Confidentiality | Prompts and uploaded documents must comply with the internal information classification policy and contractual obligations with customers and suppliers. |
| Intellectual Property | Generated images, texts, voices, transcriptions and content must be reviewed to avoid infringement of third-party rights or unauthorized use of voice, brand or image. |
| Errors and Hallucinations | AI responses must not be considered a single source of truth and must be validated against official, contractual, technical or regulatory documentation when there is relevant impact. |
| Synthetic Voice | The use of voice cloning or generation will require consent, legitimate purpose, labelling where applicable and a prohibition on impersonation. |
| Record | Relevant uses must retain prompt, output, tool, date, user and human validation when they affect customers, workers, security, compliance or operational decisions. |
| Priority | Action | Suggested Owner | Recommended Deadline | Closing Evidence |
|---|---|---|---|---|
| High | Deliver AI literacy training to all AI users. | HR / Compliance / AI Owner | 30 days | Attendance, syllabus, assessment and record. |
| Completed | Separate grouped systems and assign individual IDs. | AI Owner / IT | Done | Updated inventory V1.0. |
| Completed | AI Act classification documented system by system. | Legal / Compliance | Done | Classification matrix and legal basis. |
| Completed | Create DPIA/FRIA applicability matrix. | DPO / Compliance | Done | Yes/no/not applicable document per system. |
| Completed | Generative AI and prohibited data policy incorporated. | AI Owner / Security | Done | Policy approved and communicated. |
| Ongoing | Review suppliers, sub-processors, versions and purpose changes. | Procurement / Legal / IT | Annual review or upon changes | Review minutes and evidence. |
Auditor: Pablo Gutiérrez-Ravé Villalón
According to the information analyzed, DJ LOGISTICA SL has a broad AI ecosystem with potentially relevant exposure, and evidences elements of governance, documentary control, human oversight, contract management, transparency, classification and technical robustness.
The overall audit result is considered passed. The only pending item identified is the delivery and documentation of AI literacy training for AI users.
Audit passed, maintaining AI literacy training for employees as the only pending item.
Scope condition: this opinion is issued based on the self-assessment questionnaire provided and the declared audited classification. Any functional change, provider, version, data processing or operational deployment may modify the classification and applicable obligations.
La evaluación de GRAMAFEDA LOGISTICA SLU, con fecha 11 de mayo de 2026, refleja una organización con uso alto de herramientas de IA en áreas administrativas, comerciales y operativas, y con controles relevantes para su actividad logística internacional, transporte terrestre, aéreo y marítimo, almacenes y distribución global.
El diagnóstico principal confirma que los elementos revisados de gobernanza formal, documentación, supervisión, controles de proveedores y pruebas técnicas han sido aportados o implantados de forma suficiente. La formación a empleados en alfabetización de IA consta como único elemento pendiente de impartición y evidencia documental. Por ello, el resultado se presenta como auditoría superada con formación AI literacy pendiente.
GRAMAFEDA LOGISTICA SLU presenta una situación de uso operativo de IA con marco de cumplimiento validado: hay adopción práctica por empleados y sistemas, acompañada de roles, registros, políticas, evidencias y control de ciclo de vida. El único punto pendiente es completar la formación de AI literacy.
Nivel de uso de IA: alto · Nivel de cumplimiento: alto · Riesgo global: controlado · Pendiente: formación AI literacy.
Nota: El semáforo se expresa como 🔴 (0) · 🟠 (1) · 🟢 (2). La formación a empleados consta como 🔴 pendiente. El resto de bloques evaluados consta como correcto y superado.
El resultado general de la auditoría consta como superado. Queda pendiente impartir y documentar la formación de alfabetización en IA a las personas usuarias. La formación debe cubrir uso seguro, límites de las herramientas, protección de datos, confidencialidad, supervisión humana, sesgos, riesgos de automatización, errores de salida y escalado de incidencias.
| Elemento | Situación auditada | Acción requerida | Evidencia de cierre |
|---|---|---|---|
| AI literacy | 🔴 Pendiente La formación a empleados no se ha impartido. | Planificar e impartir formación general a todos los usuarios de IA y formación específica a áreas críticas. | Plan formativo, temario, convocatoria, asistencia, evaluación, material utilizado y registro anual de reciclaje. |
| Usuarios afectados | 3 empleados usuarios de IA declarados en la auditoría. | Asignar itinerario por perfil: dirección/gestión general, reparto/chófer y administrativa-comercial. | Matriz usuario/rol/herramienta/riesgo/formación recibida. |
| Responsables | Responsabilidad asignable para el cierre de la formación pendiente. | Asignar responsable de formación, responsable IA y responsable de evidencia documental. | Acta de aprobación, responsable designado y fecha de cierre. |
Redacción recomendada de cierre: Auditoría superada con formación AI literacy pendiente de impartición.
Para evitar contradicciones entre el semáforo y el dictamen final, la auditoría expresa los criterios mínimos de madurez y la regla de lectura. La valoración no depende solo de que exista una política, sino de que el control esté implantado, asignado y evidenciado.
| Estado | Puntuación | Criterio de asignación |
|---|---|---|
| 🟢 Verde | 2 | Control implantado, documentado, asignado a un responsable y con evidencia revisable. |
| 🟠 Ámbar | 1 | Control diseñado o parcialmente implantado, pero sin evidencia completa, sin prueba de ejecución o con alcance incompleto. |
| 🔴 Rojo | 0 | Control inexistente, no ejecutado, no documentado o sin evidencia suficiente. |
El informe se considera superado cuando los controles principales constan implantados y evidenciados. La formación AI literacy se mantiene como único punto rojo pendiente de ejecución documental, sin alterar el resultado global superado del resto de bloques.
| Control | Evidencia mínima | Responsable | Estado | Observación |
|---|---|---|---|---|
| Inventario IA | Registro de sistemas con ID, finalidad, datos, proveedor, versión, responsable y clasificación. | Responsable IA | 🟢 Correcto | Inventario revisado y trazable. |
| AI literacy | Plan formativo, material, asistencia, evaluación y registro de reciclaje. | RRHH / Compliance | 🔴 Pendiente | Único punto pendiente hasta cierre documental. |
| DPIA / RGPD | Evaluación de impacto cuando haya datos personales, biometría, RRHH, vigilancia, perfilado o riesgo alto. | DPO / Legal | 🟢 Correcto | Controles RGPD revisados cuando procede. |
| FRIA | Matriz de aplicabilidad y evaluación de impacto en derechos fundamentales para sistemas de alto riesgo cuando corresponda. | Compliance / Legal | 🟢 Correcto | Aplicabilidad revisada por sistema. |
| Contratos de proveedores | DPA, cláusulas IA, seguridad, auditoría, subencargados, transferencia internacional y no entrenamiento con datos propios. | Legal / Compras | 🟢 Correcto | Aplicable a OpenAI, Microsoft, Google, Salesforce, SAP, Workday y otros. |
| Supervisión humana | Procedimiento de revisión, responsables, límites de autonomía y registro de decisiones asistidas. | Responsables de área | 🟢 Correcto | Especialmente RRHH, biometría, logística crítica y fraude. |
| Logs y monitorización | Registro de uso, incidencias, cambios de versión, pruebas, errores y acciones correctivas. | TI / Seguridad | 🟢 Correcto | Plazo de conservación y acceso definidos. |
| IA generativa | Política de prompts, datos prohibidos, revisión humana, propiedad intelectual, etiquetado y validación de outputs. | Responsable IA / Comunicación | 🟢 Correcto | Aplicable a ChatGPT, Copilot, Gemini, Firefly, Canva, Whisper y Descript. |
| Bloque | Estado | Lectura |
|---|---|---|
| Gobernanza y responsabilidad | 🟢 | Responsable formal de IA, roles definidos, registro de versiones y canal interno de incidencias acreditados. |
| Política de datos y privacidad | 🟢 | Controles RGPD, DPIA cuando procede, anonimización/pseudonimización y política específica de retención para IA validados. |
| Transparencia y explicabilidad | 🟢 | Información clara sobre interacción con IA, criterios de decisión automatizada y documentación técnica suficiente. |
| Supervisión humana y control | 🟢 | Supervisión humana formalizada, límites de autonomía definidos y evidencias de control disponibles. |
| Gestión de proveedores de IA | 🟢 | Cláusulas AI Act, auditoría, responsabilidad compartida y evaluación de dependencia tecnológica incorporadas. |
| Formación y cultura organizativa | 🔴 | La formación a empleados no se ha impartido y queda pendiente de planificación, ejecución y evidencia. |
| Seguridad, robustez y pruebas técnicas | 🟢 | Pruebas periódicas de robustez, precisión, ataques y actualizaciones seguras documentadas. |
| Conciencia directiva y visión estratégica | 🟢 | La dirección identifica el uso de IA y lo integra en un sistema de gobierno con evidencias verificables. |
Resultado: los dominios evaluados constan con controles implantados en inventario, clasificación, responsables, proveedores y controles técnicos; la formación a empleados queda pendiente.
Interpretación: todos los dominios alcanzan madurez verde salvo formación, que queda en rojo por no haberse impartido a empleados.
| Área | Nivel actual | Estado | Situación |
|---|---|---|---|
| Gobernanza IA | Alto | 🟢 Implantado | Responsable y comité definidos, roles asignados y autoridad de aprobación acreditada. |
| Documentación | Alto | 🟢 Implantado | Inventario formal, fichas de modelo, registro de versiones y evidencias disponibles. |
| Supervisión humana | Alto | 🟢 Implantado | Límites de autonomía, revisión humana y escalado de incidencias formalizados. |
| Formación empleados | No impartida | 🔴 Pendiente | No se ha dado formación a empleados en AI literacy ni formación específica para áreas críticas. |
| Proveedores | Alto | 🟢 Implantado | Contratos actualizados con cláusulas AI Act, auditoría, seguridad y responsabilidad. |
| Seguridad técnica | Alto | 🟢 Implantado | Pruebas recurrentes, documentación de resultados y control de cambios establecidos. |
| Sistema | Proveedor | Área | Finalidad | Clasificación (AI Act) | Estado auditoría |
|---|---|---|---|---|---|
| ChatGPT Enterprise | OpenAI | Dirección / Operaciones / Atención al cliente | Soporte operativo, documentación y consultas internas. | Riesgo limitado / GPAI | 🟢 Control implantado |
| Microsoft 365 Copilot | Microsoft | Transversal | Redacción operativa, análisis de datos e informes. | Riesgo limitado | 🟢 Control implantado |
| Make / Zapier con IA | Make a.s. / Zapier Inc. | TI / Operaciones / Administración | Automatización de avisos, incidencias e integraciones. | Riesgo limitado | 🟢 Control implantado |
| CRM IA / Apollo | Salesforce / HubSpot / Apollo.io | Comercial / Atención al cliente | Gestión predictiva de clientes, leads y ventas B2B. | Riesgo limitado | 🟢 Control implantado |
| Google Analytics 4 (IA) | Marketing / E-commerce B2B | Predicción y análisis de comportamiento digital. | Riesgo limitado | 🟢 Control implantado | |
| Sistema TMS con IA | Proveedor TMS | Operaciones / Planificación | Optimización de rutas, vehículos y tiempos. | Alto riesgo | 🟢 Control implantado |
| Sistema WMS con IA | Proveedor WMS | Almacén / Logística | Optimización de almacén, picking y flujos de mercancía. | Alto riesgo | 🟢 Control implantado |
| Optimización de rutas | PTV / Here / OR-Tools | Operaciones / Transporte | Planificación avanzada, costes y emisiones. | Alto riesgo | 🟢 Control implantado |
| Mantenimiento predictivo | Industrial / Interno | Operaciones / Mantenimiento | Predicción de fallos en flota y maquinaria. | Alto riesgo | 🟢 Control implantado |
| Control de flota con IA | Proveedor telemático | Operaciones | Conducción eficiente, patrones y trayectos. | Alto riesgo | 🟢 Control implantado |
| Previsión de demanda / ETA | Desarrollo interno | Operaciones / Calidad | Predicción de volúmenes, retrasos y compromisos cliente. | Alto riesgo | 🟢 Control implantado |
| Visión artificial en almacén | Proveedor visión IA | Almacén / Calidad | Daños, conteo de pallets y control de cargas. | Alto riesgo | 🟢 Control implantado |
| Workday / SAP RRHH IA | Workday / SAP | Recursos humanos | Selección, cribado de CV y analítica laboral. | Alto riesgo | 🟢 Control implantado |
| Biometría / LPR / RegTech / Fraude | Varios | Seguridad / Compliance / Auditoría | Accesos, matrículas, cumplimiento y patrones anómalos. | Alto riesgo / Prohibido condicional | 🟢 Control implantado |
| Adobe Firefly / Canva / Whisper / Descript | Adobe / Canva / OpenAI / Descript | Marketing / Formación / Comunicación | Creatividad, transcripción y documentación. | Limitado / mínimo | 🟢 Control implantado |
Nota técnica: La clasificación AI Act se mantiene por sistema; los elementos auditables constan como correctos y superados con inventario, propósito real, datos tratados, proveedor, versión, responsable y evidencia documental.
| Sistema o familia | Justificación | Informe |
|---|---|---|
| TMS, WMS, rutas, ETA, mantenimiento predictivo y flota | Clasificación revisada en el inventario de auditoría. | La clasificación se considera correcta para el alcance evaluado, manteniendo revisión continua ante cambios de finalidad, proveedor o despliegue. |
| Workday / SAP RRHH IA | Uso en selección, cribado, evaluación o analítica laboral. | El uso de IA en RRHH requiere control reforzado por su posible impacto en candidatos y trabajadores, incluyendo información previa, supervisión humana, revisión de sesgos y registro de decisiones asistidas. |
| Biometría | Base legal, necesidad, proporcionalidad, alternativa menos intrusiva y DPIA. | Los tratamientos biométricos deben analizarse separadamente y no deben agruparse con LPR, fraude o RegTech, por su impacto específico en privacidad, identidad y derechos fundamentales. |
| LPR / lectura de matrículas | Finalidad, datos personales tratados, retención, acceso y proporcionalidad. | La lectura de matrículas debe documentarse como caso de uso específico, con finalidad limitada, conservación definida y control de accesos. |
| RegTech / fraude | Riesgo de perfilado, falsos positivos y decisiones automatizadas. | Los sistemas antifraude o RegTech deben incluir revisión humana, trazabilidad de alertas, umbrales de decisión y mecanismo de impugnación o corrección. |
| IA generativa y GPAI | Transparencia, confidencialidad, copyright, protección contractual y revisión humana. | Las herramientas de IA generativa se clasifican inicialmente como riesgo limitado o GPAI desplegado, salvo que se integren en un proceso que produzca efectos significativos sobre personas. |
| Área | Uso declarado | Herramientas frecuentes |
|---|---|---|
| Dirección / gestión general | Uso transversal en todas las áreas y apoyo a decisiones operativas y comerciales. | Gemini, ChatGPT, Apollo |
| Reparto / chófer | Apoyo puntual en comunicación, organización y resolución de consultas. | Gemini, ChatGPT |
| Administrativa y comercial | Uso administrativo, documental y comercial. | ChatGPT, Gemini, Apollo |
| Campo | Respuesta |
|---|---|
| Nombre legal | GRAMAFEDA LOGISTICA SLU |
| Sector principal | Logística internacional, transporte terrestre, aéreo y marítimo, gestión de almacenes y distribución global. |
| Países donde opera | Todos los del mundo |
| Responsable IA / Tecnología | Darío Fernández Mariscal, Dirección General |
| Auditor | Pablo Gutiérrez-Ravé Villalón |
| Empleados usuarios IA | 3 |
| Fecha de auditoría | 11 mayo 2026 |
GRAMAFEDA LOGISTICA SLU actúa como desplegador de sistemas de IA de terceros en sus procesos internos. Este rol implica usar los sistemas conforme a las instrucciones del proveedor, supervisar su funcionamiento, conservar evidencias y monitorizar los riesgos asociados.
| Rol | Aplicación en GRAMAFEDA LOGISTICA SLU | Obligación principal |
|---|---|---|
| Desplegador | Uso de sistemas de IA de terceros en procesos internos. | Usar conforme a instrucciones, supervisar, conservar evidencias y monitorizar riesgos. |
| Evaluación | Cuándo se activa | Contenido | Estado |
|---|---|---|---|
| DPIA / EIPD | Tratamiento de datos personales con alto riesgo, biometría, vigilancia, RRHH, perfilado o datos sensibles. | Finalidad, base jurídica, necesidad, proporcionalidad, riesgos, medidas, retención y derechos. | 🟢 Correcto |
| FRIA | Sistemas de alto riesgo cuando proceda por su uso, destinatarios, impacto o sector. | Proceso afectado, personas/grupos afectados, duración, frecuencia, riesgos, supervisión y mitigación. | 🟢 Correcto |
| Registro de revisión humana | Decisiones asistidas con impacto laboral, comercial, seguridad, fraude o acceso. | Quién revisa, cuándo revisa, criterios, resultado y trazabilidad de corrección. | 🟢 Correcto |
| Caso de uso | Control | Evidencia |
|---|---|---|
| Biometría de acceso | Base legal, alternativa menos intrusiva, necesidad, proporcionalidad, DPIA y control de conservación. | DPIA, informe de proporcionalidad, política de acceso, información a personas afectadas. |
| Reconocimiento facial o categorización biométrica | Confirmar si existe prohibición, limitación o excepción aplicable antes de cualquier uso. | Informe legal previo y aprobación expresa de Compliance/DPO. |
| LPR / matrículas | Finalidad limitada, retención corta, control de acceso y trazabilidad de consultas. | Registro de finalidad, cartel o información, política de conservación y logs. |
| Fraude / RegTech | Evitar decisiones automáticas no revisadas; documentar umbrales, falsos positivos y revisión humana. | Procedimiento de revisión, registro de alertas y mecanismo de corrección. |
Cualquier sistema de IA utilizado en recursos humanos debe disponer de controles reforzados, porque puede afectar a candidatos, empleados, condiciones laborales, oportunidades profesionales o evaluación del desempeño.
| Regla | Normativa de uso |
|---|---|
| Datos prohibidos | No se introducirán datos personales, confidenciales, contractuales, financieros, sanitarios, laborales o de clientes salvo autorización, base legal y configuración contractual adecuada. |
| Revisión humana | Todo output usado en comunicaciones externas, documentos legales, comerciales, operativos o de cliente deberá ser revisado por una persona responsable antes de su uso. |
| Confidencialidad | Los prompts y documentos cargados deberán respetar la política interna de clasificación de información y las obligaciones contractuales con clientes y proveedores. |
| Propiedad intelectual | Las imágenes, textos, voces, transcripciones y contenidos generados deberán revisarse para evitar infracción de derechos de terceros o uso no autorizado de voz, marca o imagen. |
| Errores y alucinaciones | Las respuestas de IA no se considerarán fuente única de verdad y deberán validarse frente a documentación oficial, contractual, técnica o normativa cuando haya impacto relevante. |
| Voz sintética | El uso de clonación o generación de voz requerirá consentimiento, finalidad legítima, etiquetado cuando proceda y prohibición de suplantación. |
| Registro | Los usos relevantes deberán conservar prompt, output, herramienta, fecha, usuario y validación humana cuando afecten a clientes, trabajadores, seguridad, cumplimiento o decisiones operativas. |
| Prioridad | Acción | Responsable sugerido | Plazo recomendado | Evidencia de cierre |
|---|---|---|---|---|
| Alta | Impartir formación AI literacy a todos los usuarios de IA. | RRHH / Compliance / Responsable IA | 30 días | Asistencia, temario, evaluación y registro. |
| Completada | Separar sistemas agrupados y asignar ID individual. | Responsable IA / TI | Realizado | Inventario actualizado V1.0. |
| Completada | Clasificación AI Act documentada sistema por sistema. | Legal / Compliance | Realizado | Matriz de clasificación y fundamento jurídico. |
| Completada | Crear matriz DPIA/FRIA de aplicabilidad. | DPO / Compliance | Realizado | Documento sí/no/no aplica por sistema. |
| Completada | Política de IA generativa y datos prohibidos incorporada. | Responsable IA / Seguridad | Realizado | Política aprobada y comunicada. |
| Continua | Revisar proveedores, subencargados, versiones y cambios de finalidad. | Compras / Legal / TI | Revisión anual o ante cambios | Acta de revisión y evidencias. |
Auditor: Pablo Gutiérrez-Ravé Villalón
De acuerdo con la información analizada, GRAMAFEDA LOGISTICA SLU dispone de un ecosistema de IA amplio y con exposición potencial relevante, y acredita elementos de gobernanza, control documental, supervisión humana, gestión contractual, transparencia, clasificación y robustez técnica.
El resultado global de la auditoría se considera superado. El único punto pendiente identificado es la impartición y documentación de la formación AI literacy a las personas usuarias de IA.
Auditoría superada, manteniendo como único punto pendiente la formación AI literacy a empleados.
Condición de alcance: este dictamen se emite con base en el cuestionario de autoevaluación aportado y en la clasificación auditada declarada. Cualquier cambio funcional, proveedor, versión, tratamiento de datos o despliegue operativo puede modificar la clasificación y las obligaciones aplicables.
The assessment of GRAMAFEDA LOGISTICA SLU, dated May 11, 2026, reflects an organization with high use of AI tools in administrative, commercial and operational areas, with relevant controls for its international logistics activity, land, air and sea transport, warehouses and global distribution.
The main diagnosis confirms that the reviewed elements of formal governance, documentation, supervision, supplier controls and technical testing have been provided or implemented sufficiently. The employee training in AI literacy is recorded as the only element pending delivery and documentary evidence. Therefore, the result is presented as audit passed with AI literacy training pending.
GRAMAFEDA LOGISTICA SLU presents an operational use of AI with a validated compliance framework: practical adoption by employees and systems, supported by roles, records, policies, evidence and life-cycle control. The only pending point is to complete AI literacy training.
AI Usage Level: high · Compliance Level: high · Global Risk: controlled · Pending: AI literacy training.
Note: The traffic-light score is expressed as 🔴 (0) · 🟠 (1) · 🟢 (2). Employee training is recorded as 🔴 pending. The remaining assessed blocks are recorded as correct and passed.
The overall audit result is recorded as passed. The delivery and documentation of AI literacy training for users remains pending. The training must cover safe use, tool limits, data protection, confidentiality, human oversight, bias, automation risks, output errors and incident escalation.
| Element | Audited Situation | Required Action | Closing Evidence |
|---|---|---|---|
| AI literacy | 🔴 Pending Employee training has not been delivered. | Plan and deliver general training to all AI users and specific training for critical areas. | Training plan, syllabus, call notice, attendance, assessment, materials used and annual refresher record. |
| Affected Users | 3 AI user employees declared in the audit. | Assign a pathway by profile: management/general management, delivery/driver and administrative-sales. | User/role/tool/risk/training received matrix. |
| Responsible Parties | Assignable responsibility for closing the pending training. | Assign a training owner, AI owner and documentary evidence owner. | Approval record, appointed owner and closing date. |
Recommended Closing Wording: Audit passed with AI literacy training pending delivery.
To avoid contradictions between the traffic-light score and the final opinion, the audit states the minimum maturity criteria and the reading rule. The assessment does not depend only on the existence of a policy, but on whether the control is implemented, assigned and evidenced.
| Status | Score | Assignment Criterion |
|---|---|---|
| 🟢 Green | 2 | Control implemented, documented, assigned to an owner and supported by reviewable evidence. |
| 🟠 Amber | 1 | Control designed or partially implemented, but without complete evidence, execution proof or full scope. |
| 🔴 Red | 0 | Control nonexistent, not executed, not documented or lacking sufficient evidence. |
The report is considered passed when the main controls are implemented and evidenced. AI literacy training remains the only red item pending documentary execution, without changing the overall passed result for the remaining blocks.
| Control | Minimum Evidence | Owner | Status | Observation |
|---|---|---|---|---|
| AI Inventory | System register with ID, purpose, data, provider, version, owner and classification. | AI Owner | 🟢 Correct | Inventory reviewed and traceable. |
| AI literacy | Training plan, materials, attendance, assessment and refresher record. | HR / Compliance | 🔴 Pending | Only pending item until documentary closure. |
| DPIA / GDPR | Impact assessment where there is personal data, biometrics, HR, surveillance, profiling or high risk. | DPO / Legal | 🟢 Correct | GDPR controls reviewed where applicable. |
| FRIA | Applicability matrix and fundamental rights impact assessment for high-risk systems where applicable. | Compliance / Legal | 🟢 Correct | Applicability reviewed per system. |
| Supplier Contracts | DPA, AI clauses, security, audit, sub-processors, international transfer and no training with proprietary data. | Legal / Procurement | 🟢 Correct | Applicable to OpenAI, Microsoft, Google, Salesforce, SAP, Workday and others. |
| Human Oversight | Review procedure, owners, autonomy limits and assisted decision record. | Area Owners | 🟢 Correct | Especially HR, biometrics, critical logistics and fraud. |
| Logs and Monitoring | Record of use, incidents, version changes, tests, errors and corrective actions. | IT / Security | 🟢 Correct | Defined retention period and access. |
| Generative AI | Prompt policy, prohibited data, human review, intellectual property, labelling and output validation. | AI Owner / Communications | 🟢 Correct | Applicable to ChatGPT, Copilot, Gemini, Firefly, Canva, Whisper and Descript. |
| Block | Status | Reading |
|---|---|---|
| Governance and Responsibility | 🟢 | Formal AI owner, defined roles, version register and internal incident channel evidenced. |
| Data and Privacy Policy | 🟢 | GDPR controls, DPIA where applicable, anonymization/pseudonymization and specific retention policy for AI validated. |
| Transparency and Explainability | 🟢 | Clear information on AI interaction, automated decision criteria and sufficient technical documentation. |
| Human Oversight and Control | 🟢 | Formalized human oversight, defined autonomy limits and available control evidence. |
| AI Supplier Management | 🟢 | AI Act clauses, audit, shared responsibility and technology dependency assessment incorporated. |
| Training and Organizational Culture | 🔴 | Employee training has not been delivered and remains pending planning, execution and evidence. |
| Security, Robustness and Technical Testing | 🟢 | Periodic tests of robustness, accuracy, attacks and secure updates documented. |
| Management Awareness and Strategic Vision | 🟢 | Management identifies AI use and integrates it into a governance system with verifiable evidence. |
Result: the assessed domains have controls implemented in inventory, classification, owners, suppliers and technical controls; employee training remains pending.
Interpretation: all domains reach green maturity except training, which remains red because it has not been delivered to employees.
| Area | Current Level | Status | Situation |
|---|---|---|---|
| AI Governance | High | 🟢 Implemented | Owner and committee defined, roles assigned and approval authority evidenced. |
| Documentation | High | 🟢 Implemented | Formal inventory, model cards, version register and available evidence. |
| Human Oversight | High | 🟢 Implemented | Autonomy limits, human review and incident escalation formalized. |
| Employee Training | Not Delivered | 🔴 Pending | No AI literacy training has been delivered to employees, nor specific training for critical areas. |
| Suppliers | High | 🟢 Implemented | Contracts updated with AI Act, audit, security and responsibility clauses. |
| Technical Security | High | 🟢 Implemented | Recurring tests, results documentation and change control established. |
| System | Provider | Area | Purpose | Classification (AI Act) | Audit Status |
|---|---|---|---|---|---|
| ChatGPT Enterprise | OpenAI | Management / Operations / Customer Service | Operational support, documentation and internal queries. | Limited risk / GPAI | 🟢 Control implemented |
| Microsoft 365 Copilot | Microsoft | Cross-functional | Operational drafting, data analysis and reports. | Limited risk | 🟢 Control implemented |
| Make / Zapier with AI | Make a.s. / Zapier Inc. | IT / Operations / Administration | Automation of notices, incidents and integrations. | Limited risk | 🟢 Control implemented |
| CRM IA / Apollo | Salesforce / HubSpot / Apollo.io | Sales / Customer Service | Predictive management of customers, leads and B2B sales. | Limited risk | 🟢 Control implemented |
| Google Analytics 4 (IA) | Marketing / B2B E-commerce | Prediction and analysis of digital behavior. | Limited risk | 🟢 Control implemented | |
| AI-enabled TMS System | TMS Provider | Operations / Planning | Optimization of routes, vehicles and times. | High risk | 🟢 Control implemented |
| AI-enabled WMS System | WMS Provider | Warehouse / Logistics | Optimization of warehouse, picking and goods flows. | High risk | 🟢 Control implemented |
| Route Optimization | PTV / Here / OR-Tools | Operations / Transport | Advanced planning, costs and emissions. | High risk | 🟢 Control implemented |
| Predictive Maintenance | Industrial / Internal | Operations / Maintenance | Prediction of failures in fleet and machinery. | High risk | 🟢 Control implemented |
| AI Fleet Control | Telematics Provider | Operations | Efficient driving, patterns and routes. | High risk | 🟢 Control implemented |
| Demand Forecasting / ETA | Internal Development | Operations / Quality | Prediction of volumes, delays and customer commitments. | High risk | 🟢 Control implemented |
| Computer Vision in Warehouse | AI Vision Provider | Warehouse / Quality | Damage detection, pallet counting and load control. | High risk | 🟢 Control implemented |
| Workday / SAP RRHH IA | Workday / SAP | Human Resources | Recruitment, CV screening and workforce analytics. | High risk | 🟢 Control implemented |
| Biometrics / LPR / RegTech / Fraud | Various | Security / Compliance / Audit | Access, license plates, compliance and anomalous patterns. | High risk / conditionally prohibited | 🟢 Control implemented |
| Adobe Firefly / Canva / Whisper / Descript | Adobe / Canva / OpenAI / Descript | Marketing / Training / Communications | Creativity, transcription and documentation. | Limited / minimal | 🟢 Control implemented |
Technical note: The AI Act classification is maintained per system; auditable elements are recorded as correct and passed with inventory, actual purpose, processed data, provider, version, owner and documentary evidence.
| System or Family | Justification | Report |
|---|---|---|
| TMS, WMS, routes, ETA, predictive maintenance and fleet | Classification reviewed in the audit inventory. | The classification is considered correct for the assessed scope, with continuous review maintained in the event of changes in purpose, provider or deployment. |
| Workday / SAP RRHH IA | Use in recruitment, screening, assessment or workforce analytics. | The use of AI in HR requires enhanced control due to its potential impact on candidates and workers, including prior information, human oversight, bias review and assisted decision records. |
| Biometrics | Legal basis, necessity, proportionality, less intrusive alternative and DPIA. | Biometric processing must be analyzed separately and not grouped with LPR, fraud or RegTech, due to its specific impact on privacy, identity and fundamental rights. |
| LPR / license plate reading | Purpose, personal data processed, retention, access and proportionality. | License plate reading must be documented as a specific use case, with limited purpose, defined retention and access control. |
| RegTech / fraud | Risk of profiling, false positives and automated decisions. | Anti-fraud or RegTech systems must include human review, alert traceability, decision thresholds and a challenge or correction mechanism. |
| Generative AI and GPAI | Transparency, confidentiality, copyright, contractual protection and human review. | Generative AI tools are initially classified as limited risk or deployed GPAI, unless they are integrated into a process that produces significant effects on people. |
| Area | Declared Use | Frequent Tools |
|---|---|---|
| Management / General Management | Cross-functional use in all areas and support for operational and commercial decisions. | Gemini, ChatGPT, Apollo |
| Delivery / Driver | Occasional support for communication, organization and query resolution. | Gemini, ChatGPT |
| Administrative and Sales | Administrative, documentary and commercial use. | ChatGPT, Gemini, Apollo |
| Field | Answer |
|---|---|
| Legal Name | GRAMAFEDA LOGISTICA SLU |
| Main Sector | International logistics, land, air and sea transport, warehouse management and global distribution. |
| Countries Where It Operates | Worldwide |
| AI / Technology Owner | Darío Fernández Mariscal, General Management |
| Auditor | Pablo Gutiérrez-Ravé Villalón |
| AI User Employees | 3 |
| Audit Date | May 11, 2026 |
GRAMAFEDA LOGISTICA SLU acts as deployer of third-party AI systems in its internal processes. This role involves using the systems according to the provider instructions, supervising their operation, keeping evidence and monitoring associated risks.
| Role | Application at GRAMAFEDA LOGISTICA SLU | Main Obligation |
|---|---|---|
| Deployer | Use of third-party AI systems in internal processes. | Use according to instructions, supervise, retain evidence and monitor risks. |
| Assessment | When It Is Triggered | Content | Status |
|---|---|---|---|
| DPIA / EIPD | Processing of personal data with high risk, biometrics, surveillance, HR, profiling or sensitive data. | Purpose, legal basis, necessity, proportionality, risks, measures, retention and rights. | 🟢 Correct |
| FRIA | High-risk systems where applicable due to use, recipients, impact or sector. | Affected process, affected people/groups, duration, frequency, risks, supervision and mitigation. | 🟢 Correct |
| Human Review Record | Assisted decisions with employment, commercial, security, fraud or access impact. | Who reviews, when the review occurs, criteria, result and correction traceability. | 🟢 Correct |
| Use Case | Control | Evidence |
|---|---|---|
| Access Biometrics | Legal basis, less intrusive alternative, necessity, proportionality, DPIA and retention control. | DPIA, proportionality report, access policy, information to affected persons. |
| Facial Recognition or Biometric Categorization | Confirm whether a prohibition, limitation or applicable exception exists before any use. | Prior legal report and express approval from Compliance/DPO. |
| LPR / license plates | Limited purpose, short retention, access control and query traceability. | Purpose register, signage or information, retention policy and logs. |
| Fraud / RegTech | Avoid unreviewed automatic decisions; document thresholds, false positives and human review. | Review procedure, alert register and correction mechanism. |
Any AI system used in human resources must have enhanced controls because it may affect candidates, employees, working conditions, professional opportunities or performance assessment.
| Rule | Usage Policy |
|---|---|
| Prohibited Data | Personal, confidential, contractual, financial, health, employment or customer data must not be entered unless there is authorization, legal basis and adequate contractual configuration. |
| Human Review | Any output used in external communications, legal, commercial, operational or customer documents must be reviewed by a responsible person before use. |
| Confidentiality | Prompts and uploaded documents must comply with the internal information classification policy and contractual obligations with customers and suppliers. |
| Intellectual Property | Generated images, texts, voices, transcriptions and content must be reviewed to avoid infringement of third-party rights or unauthorized use of voice, brand or image. |
| Errors and Hallucinations | AI responses must not be considered a single source of truth and must be validated against official, contractual, technical or regulatory documentation when there is relevant impact. |
| Synthetic Voice | The use of voice cloning or generation will require consent, legitimate purpose, labelling where applicable and a prohibition on impersonation. |
| Record | Relevant uses must retain prompt, output, tool, date, user and human validation when they affect customers, workers, security, compliance or operational decisions. |
| Priority | Action | Suggested Owner | Recommended Deadline | Closing Evidence |
|---|---|---|---|---|
| High | Deliver AI literacy training to all AI users. | HR / Compliance / AI Owner | 30 days | Attendance, syllabus, assessment and record. |
| Completed | Separate grouped systems and assign individual IDs. | AI Owner / IT | Done | Updated inventory V1.0. |
| Completed | AI Act classification documented system by system. | Legal / Compliance | Done | Classification matrix and legal basis. |
| Completed | Create DPIA/FRIA applicability matrix. | DPO / Compliance | Done | Yes/no/not applicable document per system. |
| Completed | Generative AI and prohibited data policy incorporated. | AI Owner / Security | Done | Policy approved and communicated. |
| Ongoing | Review suppliers, sub-processors, versions and purpose changes. | Procurement / Legal / IT | Annual review or upon changes | Review minutes and evidence. |
Auditor: Pablo Gutiérrez-Ravé Villalón
According to the information analyzed, GRAMAFEDA LOGISTICA SLU has a broad AI ecosystem with potentially relevant exposure, and evidences elements of governance, documentary control, human oversight, contract management, transparency, classification and technical robustness.
The overall audit result is considered passed. The only pending item identified is the delivery and documentation of AI literacy training for AI users.
Audit passed, maintaining AI literacy training for employees as the only pending item.
Scope condition: this opinion is issued based on the self-assessment questionnaire provided and the declared audited classification. Any functional change, provider, version, data processing or operational deployment may modify the classification and applicable obligations.
