CTIF

Sección II

Marco normativo y de referencia

La comisión de tecnología e innovación opera en un espacio normativo singular. A diferencia de la comisión de auditoría o de la de nombramientos y retribuciones, no encuentra su origen en una previsión legal expresa que imponga su constitución ni delimite sus competencias mínimas. Su fundamento jurídico reside en la facultad de auto-organización del consejo (artículo 529 terdecies LSC) y en la Recomendación 23 del Código de Buen Gobierno. Esta singularidad —comisión voluntaria sobre materia regulada— exige un mapeo normativo amplio que agrega marcos sectoriales y transversales, sin que exista un cuerpo legal único integrado.

II.2 Marco societario nuclear

El consejo de administración, como órgano colegiado de administración y supervisión, ejerce sobre la materia tecnológica las facultades que le atribuye el régimen societario español, sin que la existencia de la comisión altere la titularidad última de esas competencias.

Resultan especialmente relevantes los siguientes preceptos de la Ley de Sociedades de Capital (texto refundido aprobado por Real Decreto Legislativo 1/2010, en su redacción dada por la Ley 31/2014 y modificaciones posteriores):

  • Artículo 225 — Deber general de diligencia del administrador. Aplicado a la materia tecnológica, supone para los miembros de la comisión el deber de mantener un conocimiento actualizado sobre los riesgos, oportunidades y desarrollos tecnológicos materialmente relevantes para la sociedad.
  • Artículo 226 — Protección de la discrecionalidad empresarial (business judgment rule). La comisión contribuye decisivamente a satisfacer los requisitos de información suficiente y procedimiento adecuado en las decisiones tecnológicas estratégicas del consejo.
  • Artículo 249 bis — Facultades indelegables del consejo en sociedades en general, entre las que figuran la determinación de las políticas y estrategias generales.
  • Artículo 529 ter — Facultades indelegables específicas del consejo de las sociedades cotizadas. La comisión opera como órgano preparatorio y supervisor en relación con la aprobación del plan estratégico, la determinación de la política de control y gestión de riesgos, la estrategia fiscal y las inversiones u operaciones de elevada cuantía o carácter estratégico.
  • Artículo 529 terdecies — Facultad del consejo para constituir comisiones especializadas. Base jurídica directa de la comisión de tecnología e innovación.
  • Artículo 529 quaterdecies y quindecies — Régimen de la comisión de auditoría, especialmente en la supervisión del sistema de control interno y de la gestión de riesgos, perímetro que requiere delimitación precisa respecto del ámbito de la comisión.

II.3 Soft law de gobierno corporativo

El segundo pilar lo constituyen las normas de gobierno corporativo de carácter voluntario aplicables a las sociedades cotizadas españolas:

  • Código de Buen Gobierno de las sociedades cotizadas (CNMV, febrero de 2015, revisado en junio de 2020):
    • Recomendación 23: fundamento directo que justifica que la comisión se estructure conforme a estándares análogos a los de auditoría y de nombramientos y retribuciones.
    • Principios 9 a 25 y Recomendaciones 12 a 64 sobre estructura, composición y funcionamiento del consejo y sus comisiones, aplicables por analogía.
    • Recomendaciones 45 a 53 sobre supervisión de riesgos, en su proyección sobre el riesgo tecnológico.
    • Recomendación 54 y siguientes sobre sostenibilidad, en su intersección con la dimensión digital de los factores ESG.
  • Guía Técnica 3/2017 de la CNMV sobre comisiones de auditoría de entidades de interés público.
  • Guía Técnica 1/2019 de la CNMV sobre comisiones de nombramientos y retribuciones.

II.4 Marco europeo de gobernanza tecnológica

El acervo regulatorio europeo en materia tecnológica ha experimentado en los últimos años un crecimiento extraordinario que sitúa estas materias en el primer plano de la supervisión del consejo:

  • Reglamento (UE) 2022/2554, DORA sobre resiliencia operativa digital del sector financiero, en aplicación desde el 17 de enero de 2025. Aunque dirigido a entidades financieras, sus estándares de gobernanza tecnológica constituyen una referencia técnica de primer orden incluso fuera del perímetro financiero.
  • Reglamento (UE) 2024/1689, AI Act, con aplicación escalonada entre 2025 y 2027. Primer cuerpo normativo horizontal que exige al consejo supervisar la adopción y uso de inteligencia artificial.
  • Directiva (UE) 2022/2555, NIS2 sobre ciberseguridad en la Unión. Refuerza expresamente la responsabilidad del órgano de administración en materia de gestión del riesgo de ciberseguridad.
  • Directiva (UE) 2022/2464, CSRD sobre información de sostenibilidad, y los estándares europeos ESRS, en sus exigencias sobre gobernanza tecnológica, ciberseguridad e impactos digitales.
  • Reglamento (UE) 2016/679, RGPD, cuya supervisión última corresponde al órgano de administración como responsable del tratamiento.
  • Reglamentos (UE) 2022/868 y 2023/2854 sobre gobernanza y uso del dato.

II.5 Marco español complementario

Complementan los marcos anteriores:

  • LO 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
  • Ley 11/2018 sobre información no financiera y diversidad, en transición al régimen pleno CSRD.
  • Real Decreto 311/2022 sobre el Esquema Nacional de Seguridad.
  • Ley 2/2023 reguladora de la protección de las personas que informen sobre infracciones normativas.
  • Código Penal, artículo 31 bis y la doctrina sobre modelos de organización y gestión (compliance penal), en su proyección sobre delitos informáticos.
  • Régimen institucional español de supervisión de la inteligencia artificial. La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), creada por el Real Decreto 729/2023, de 22 de agosto, opera como autoridad nacional de supervisión en el marco del Reglamento (UE) 2024/1689 de Inteligencia Artificial. Su articulación con la Agencia Española de Protección de Datos, con los supervisores sectoriales especializados —Banco de España, CNMV, Dirección General de Seguros y Fondos de Pensiones— y con las autoridades autonómicas competentes configura el panorama institucional sobre el que la comisión articula su función supervisora en materia de inteligencia artificial.

II.6 Marco sectorial específico y de criticidad

La materia tecnológica se proyecta de manera particularmente intensa sobre determinados sectores en los que la confidencialidad e integridad del dato, la continuidad operativa y la fiabilidad de los sistemas constituyen, en sí mismas, elementos esenciales de la prestación del servicio. Sin ánimo exhaustivo:

  • Sector financiero y de servicios de inversión. DORA, directrices EBA sobre externalización (EBA/GL/2019/02) y gestión del riesgo TIC y de seguridad (EBA/GL/2019/04), directrices conjuntas EBA/ESMA sobre idoneidad, circulares y guías del Banco de España y de la CNMV. En aseguradoras, Solvencia II y directrices EIOPA.
  • Telecomunicaciones y servicios digitales. Ley 11/2022 General de Telecomunicaciones; DSA (UE 2022/2065); DMA (UE 2022/1925).
  • Energético, hídrico, transporte e infraestructuras críticas. Ley 8/2011; Directiva (UE) 2022/2557 (CER); régimen específico de operadores esenciales bajo NIS2.
  • Salud y biomédico. Régimen reforzado de datos de salud (art. 9 RGPD); Reglamentos (UE) 2017/745 y 2017/746 sobre productos sanitarios; espacio europeo de datos sanitarios (UE 2025/327).
  • Sector público y contratación. ENS (RD 311/2022); Ley 9/2017 de Contratos del Sector Público.
  • Usos tecnológicos de alta criticidad transversal. Sistemas de IA clasificados como de alto riesgo bajo AI Act; tratamientos de categorías especiales de datos; tratamientos asociados a prevención del blanqueo (Ley 10/2010).

II.7 Estándares técnicos y referencias internacionales

La certificación o adhesión a determinados estándares opera con frecuencia como requisito habilitante de elegibilidad comercial en contratación pública y en grandes cadenas de suministro. Los más relevantes:

  • NIST Cybersecurity Framework — referencia internacional para la gestión del riesgo de ciberseguridad.
  • Familia ISO/IEC 27000 (gestión de seguridad de la información), 27001 (SGSI), 27701 (privacidad), 23894 (gestión del riesgo de IA), 42001 (sistemas de gestión de IA).
  • COBIT (ISACA) — marco de gobierno y gestión de las TI empresariales.
  • Principios OCDE sobre IA (2019, revisados en 2024).
  • G20/OECD Principles of Corporate Governance (2023).
  • Directrices EBA EBA/GL/2019/02 y EBA/GL/2019/04, referencia técnica más allá del sector bancario.

II.8 Articulación de los niveles

La interacción entre estos niveles puede sintetizarse así:

  • El marco societario nuclear define quién decide y bajo qué régimen de responsabilidad.
  • El soft law de gobierno corporativo define cómo se organiza la supervisión.
  • El marco europeo de gobernanza tecnológica define qué debe supervisarse con carácter específico transversal.
  • El marco español complementario y sectorial introduce especialidades de aplicación territorial, sectorial y de criticidad.
  • Los estándares técnicos internacionales proporcionan los criterios de buena práctica y de elegibilidad competitiva.

La comisión debe operar con conocimiento integrado de estos niveles, evitando tanto el reduccionismo técnico —tratar la materia exclusivamente como problema operativo— como el reduccionismo jurídico —tratarla exclusivamente como cumplimiento normativo.

Reflexión. La comisión no es un órgano de cumplimiento normativo ni un comité técnico-operativo. Es un órgano supervisor del consejo cuya razón de ser es articular dimensión jurídica, dimensión técnica y dimensión estratégica bajo un mismo prisma de gobierno corporativo.