01 / ECIJA AI · tech

Cuando los departamentos
empiezan a programar con IA,
bloquearlos no es una opción.

Construirles carriles, sí. Plataformas internas con compliance by default, diseñadas desde una legal tech.

RGPD · AI Act · NIS2 · SOC 2

02 / El poll

Preguntamos a 245 directivos de IT de grandes empresas.

Los departamentos de tu organización, cansados de que IT no les haga caso, se han puesto a programar con Claude y GPT. ¿Cuál es la solución?

0 % Poner puertas al campo
10 % Hacerles caso
90 % Aprender a vivir con lo que viene y minimizar daños colaterales

Nadie cree que bloquearlo funciona. Un 10 % confía en que la respuesta está en que IT escuche mejor — y tienen razón parcialmente: escuchar es necesario, pero un equipo de IT no puede entregar 50 micro-aplicaciones al año. Un 90 % se queda en la respuesta defensiva: aprender a vivir y minimizar daños.

Falta la cuarta opción que nadie ha votado, porque nadie la ofrece: dar carriles, no puertas.

03 / La pregunta no es teórica

63 %

de los usuarios de vibe coding no son desarrolladores.

Hostinger, 2026

81 %

de líderes técnicos reportan fallos en producción procedentes de código generado por IA.

CloudBees, 2026

43 %

de los cambios generados por IA requieren depuración manual en producción.

Lightrun, 2026

100k+

artefactos públicos creados con IA encontrados con datos corporativos sensibles expuestos.

Axios, 2026

La democratización ya ha ocurrido. La pregunta es si se construye sobre carriles, o sobre el bug tracker.

04 / Lo que hacemos

Tres plataformas. Una promesa: compliance by default.

Advanced

Aplicaciones críticas de gran empresa. RGPD, AI Act, NIS2, SOC 2 como sustrato, no como checklist.

Arquitectura multi-tenant auditable
Identidad federada y ABAC
Trazabilidad regulatoria continua

SMB

La misma arquitectura, escala mediana. Diseñamos el patrón y damos las instrucciones; tu equipo lo construye.

Formación y consultoría
Acompañamiento legal-tech
Pre-configurado para sectores regulados

Small developments

Lo más fácil para empezar

Plataforma de vibecoding interna. Un sandbox donde soporte, operaciones, finanzas y legal construyen sus aplicaciones con IA — sin que tu empresa lo descubra cuando llega la auditoría.

SSO corporativo · paquetes preseleccionados
CI que verifica acceso a datos, dependencias, trazabilidad
Gate humano antes de producción · path-to-product definido

05 / Qué llevan dentro

Lo que va por defecto, en las tres plataformas.

Identidad y acceso

SSO corporativo (OIDC / SAML)
RBAC + ABAC
MFA por defecto
Ethical walls donde aplica

Auditoría

Append-only, hash-chained
Antes/después en cada cambio
Almacenamiento inmutable
Evidencia exportable

Monitorización

OpenTelemetry end-to-end
Logs estructurados
Métricas de uso y coste
Alertas accionables

Supply chain

Paquetes preseleccionados
Lockfiles + escaneo CVE
Base images firmadas (digest)
Detección de typosquatting

CI compliance

Escaneo PII en cada commit
Validación de acceso a datos
Performance budgets
Gate humano antes de prod

AI plumbing

Gateway LLM con fallback
Anonimización PII obligatoria
Prompt registry versionado
Evals automáticos

06 / Por qué legal tech, no tech pura

Una tech pura te entrega una plataforma.
Una legal tech te entrega una plataforma compliant by design.

Las plataformas low-code y no-code construidas por tech puras te dan algo importante: seguridad técnica. Cifrado, control de accesos, despliegues reproducibles, escaneo de dependencias.

Lo que no te dan, y aquí está la diferencia:

01
El audit trail diseñado para resistir un requerimiento de la AEPD — no un dashboard de logs.
02
Una distinción nativa entre dato personal, dato corporativo y dato regulado — no un campo is_pii opcional.
03
Un modelo de derechos del interesado integrado en cada flujo — no implementado como export CSV cuando llega la primera petición.
04
Una evaluación de impacto (DPIA, AIA) como gate de promoción a producción — no un documento de Word que nadie firma hasta la inspección.
05
Conocimiento real del AI Act y del RGPD aplicado, escrito por quien defiende casos reales — no extraído de la guía de cumplimiento de un vendor.

Si vas a darle herramientas a tu organización para construir con IA, asegúrate de que esas herramientas saben qué es lo que están construyendo y bajo qué marco regulatorio están obligadas a hacerlo.

07 / Quiénes somos

ECIJA es Band 1 en Chambers NewLaw 2025 — la única firma iberoamericana a ese nivel — y referente de transformación legal en España y Latinoamérica. ECIJA AI · tech es la rama puramente tecnológica de la firma: la que diseña la arquitectura, da las instrucciones y acompaña la construcción — con criterio legal embebido desde el primer commit.

08 / Hablemos

Si tu organización está en el 90 % que ha aceptado que esto ya está pasando, y quiere salir del marco defensivo —

Agenda 30 min

ecija.com/contacto · Madrid · Serrano

Cuando los departamentos empiezan a programar con IA, bloquearlos no es una opción.