SaludPlus (nombre cambiado por acuerdo de confidencialidad) es una red de clínicas y hospitales en Europa que en 2025 incorporaba IA en varios procesos: triage con chatbots, apoyo al diagnóstico, optimización de camas y gestión de historias clínicas.

La dirección vio dos amenazas claras:

Riesgo y falta de confianza: Un informe reciente muestra que el 93,2 % de las organizaciones no confía plenamente en su capacidad para proteger los datos que utilizan sus sistemas de IA y que sólo el 6,4 % dispone de una estrategia de seguridad avanzada. Además, 69,5 % considera las fugas de datos vía IA su principal preocupación y 58,4 % teme la exposición de datos no estructurados.

Preparación normativa nula: El 80,2 % de las organizaciones no está preparado para cumplir las nuevas regulaciones de IA
y 21,9 % ni siquiera sabe quién es responsable de la gobernanza. La situación es crítica en salud: el 52 % de las organizaciones sanitarias reconoce dificultades para cumplir con la IA

Sombra de la IA:

Parte del personal usaba herramientas generativas (por ejemplo, ChatGPT) sin autorización para redactar notas o analizar informes. Este fenómeno, conocido como shadow AI, preocupa al 48,5 % de las organizaciones porque expone datos sensibles sin control.

Con la entrada en vigor del AI Act europeo (algunas obligaciones se aplican desde el 2‑ago‑2025 y los sistemas de alto riesgo se regulan a partir de 2026 la clínica debía ponerse al día con ISO 42001 y el NIST AI RMF o enfrentarse a multas y pérdida de confianza.

Implementación del micro‑agente AI Governance

SaludPlus participó en el piloto de nuestro AI Governance Challenge 2025 y, como parte de los bonus, obtuvo una licencia de 60 días del micro‑agente AI Governance.

Así se aplicó:

Autoevaluación de cumplimiento
El agente lanzó un cuestionario interactivo basado en ISO 42001 y el AI Act que evaluaba cada solución de IA usada en la clínica. En menos de un día, el equipo de cumplimiento obtuvo un informe con sus niveles de madurez y un listado de obligaciones pendientes (por ejemplo, la trazabilidad de decisiones y la provisión de documentación técnica para altos riesgos).

Inventario y clasificación de riesgos
Con ayuda del agente, SaludPlus creó un inventario centralizado de todas sus IA: chatbot de triage, sistema de recomendación de tratamientos, generador de informes y modelo de optimización de camas. Para cada uno, definió propósito, tipo de datos tratados, riesgo (bajo, medio, alto) y responsable (CIO, responsable de datos, etc.). Así se solucionó el problema de responsabilidades difusas que afecta al 21,9 % de las organizaciones.

Plantillas “audit‑ready” y evidencias
El micro‑agente generó bitácoras de tratamientos, registros de consentimientos y matrices de riesgo listas para la auditoría. Antes, el equipo de compliance tardaba semanas en preparar esos documentos. Con la plantilla de consentimientos, la clínica demostró cómo almacenaba y anonimizaba datos de pacientes, reduciendo la posibilidad de fugas (que preocupan al 69,5 % de las organizaciones

Alertas y boletines de regulación
Cada semana, el micro‑agente enviaba resúmenes sobre cambios legislativos: actualizaciones del AI Act, guías de la Comisión Europea sobre prácticas prohibidas y avances en el NIST AI RMF. Esto permitió a SaludPlus anticiparse y actualizar sus políticas con tiempo.

Pitch para el comité de ética
El agente sintetizó los hallazgos en una diapositiva de alto nivel: tres riesgos principales, métricas de mitigación y sugerencias de inversión. Esto ayudó a que el comité de ética y el consejo directivo entendieran la importancia de crear un comité de riesgo de IA (algo que sólo el 17 % de las organizaciones ubica en su consejo).

Resultados

Cumplimiento acelerado: En dos meses, la clínica pasó de estar “en progreso pero sin claridad” (54,9 % de las organizaciones se encuentra en ese estado a contar con un marco alineado con ISO 42001 y el AI Act.

Reducción del shadow AI: Gracias al inventario y a la comunicación, el uso de herramientas no autorizadas cayó un 70 %. Empleados que antes redactaban informes en ChatGPT migraron a herramientas aprobadas y a plantillas internas.

Asignación clara de roles: Cada sistema de IA tuvo un responsable y un suplente, evitando la fragmentación de responsabilidad que afecta al 21,9 % de las empresas

Preparación sectorial:
SaludPlus dejó de formar parte del 52 % de organizaciones sanitarias que luchan con la IA.
El equipo ahora supervisa modelos, documenta cambios y prepara informes mensuales para auditores externos.

Confianza en el consejo: La dirección, inicialmente reticente, aprobó un presupuesto para ampliar el área de gobernanza tras recibir el pitch. La claridad de riesgos y acciones reforzó la percepción de que la IA podía gestionarse de forma segura.

Conclusión

El caso de SaludPlus demuestra que un micro‑agente de gobernanza puede transformar la forma en que las organizaciones cumplen regulaciones y gestionan riesgos. En un entorno donde el 80,2 % está desprovisto de un plan normativo claro y solo una minoría tiene estrategias avanzadas de seguridad​, disponer de una herramienta que automatice evaluaciones, inventarios, evidencias y comunicaciones es clave.

El micro‑agente AI Governance no sólo prepara para el AI Act y ISO 42001: ayuda a convertir la gobernanza en una ventaja competitiva.
​
​Ahora que lanzamos el mismo Challenge y el Micro Agente para Latinoamérica tendremos más casos de uso, más aún con la personalización ISO42001, la personalización a la ley peruana entre otros.