CTIF

Sección V · V.4

Gobernanza del dato y de la inteligencia artificial

La gobernanza del dato y de la inteligencia artificial constituye, junto con el M&A tecnológico, el principal eje de innovación doctrinal de esta Guía frente a las guías existentes en materia de gobierno corporativo. Su tratamiento como bloque autónomo responde a la entidad propia de la materia, a su naturaleza dual ineludible (vector de riesgo y vector de creación de valor) conforme al Principio XII, y a la convergencia con el marco regulatorio europeo emergente, que exige conocimiento técnico cualificado del que la comisión de auditoría no dispone por su mandato y composición.

Este bloque se estructura en dos sub-bloques sucesivos: gobernanza del dato (apartados A) y gobernanza de la inteligencia artificial (apartados B), seguidos de los apartados comunes de información y articulación (C).

A · Gobernanza del dato

V.4.2 El dato como activo y como pasivo

La comisión supervisa la gestión del dato desde su doble condición de activo estratégico y de pasivo regulatorio y reputacional potencial. Vela por que la organización:

  1. Reconozca formalmente el dato como activo de la sociedad, con valoración explícita —cualitativa o cuantitativa cuando sea factible— de su contribución al modelo de negocio, a la ventaja competitiva y a las opciones estratégicas futuras.
  2. Identifique los datos críticos cuya pérdida, alteración, exposición no autorizada o indisponibilidad generaría impacto material sobre operación, resultados o confianza de los grupos de interés.
  3. Reconozca simultáneamente los pasivos potenciales —sanciones regulatorias, indemnizaciones a interesados, costes de remediación de brechas, deterioro reputacional, restricciones operativas— y los integre en la valoración del riesgo corporativo.
  4. Disponga de mecanismos para valorar el dato en operaciones corporativas —fusiones, adquisiciones, alianzas, desinversiones— conforme se desarrolla en V.2.

V.4.3 Marco de gobierno del dato

  1. Arquitectura organizativa: responsable último (típicamente CDO o equivalente), Data Owners y Data Stewards de los principales dominios, articulación con seguridad de la información, protección de datos y cumplimiento normativo.
  2. Políticas formales sobre captura, clasificación, calidad, almacenamiento, uso, compartición, retención y supresión del dato, con su despliegue operativo.
  3. Definición de dominios de dato corporativos y modelos maestros que aseguran coherencia y trazabilidad.
  4. Catálogo del dato que permita conocer en cualquier momento qué datos posee la sociedad, dónde residen, quién los gestiona, con qué propósito y bajo qué régimen jurídico.
  5. Mecanismos de gobierno cotidiano —comités específicos, procesos de decisión sobre nuevos usos, resolución de conflictos entre áreas.

V.4.4 Calidad, disponibilidad y trazabilidad del dato

Datos de baja calidad generan decisiones erróneas, modelos sesgados, incumplimiento regulatorio y deterioro reputacional:

  1. Estándares formales de calidad —exactitud, completitud, consistencia, oportunidad, unicidad, validez— y procesos que aseguran su cumplimiento.
  2. Indicadores de calidad en dominios críticos y su evolución temporal, identificando deterioros materiales y planes de remediación.
  3. Trazabilidad (data lineage) del dato a lo largo de su ciclo de vida, particularmente en datos que alimentan reporting financiero, regulatorio, decisiones de negocio críticas o modelos en producción.
  4. Disponibilidad efectiva para los usos legítimos previstos, evitando fragmentación en silos no comunicados.
  5. Procesos de saneamiento y mejora continua con asignación de recursos efectivos y seguimiento de resultados.

V.4.5 Cumplimiento del régimen jurídico del dato

  1. RGPD y LOPDGDD: bases legales sólidas, cumplimiento de derechos de interesados, evaluaciones de impacto en tratamientos de alto riesgo, registro de actividades, gestión de encargados, mecanismos de respuesta ante brechas con cumplimiento de plazos de notificación.
  2. Categorías especiales (art. 9 RGPD), datos de menores, datos genéticos, biométricos y de salud, y cualquier otra categoría sometida a régimen reforzado.
  3. Transferencias internacionales: decisiones de adecuación, garantías apropiadas, evaluaciones de impacto, mecanismos contractuales, en contexto regulatorio y jurisprudencial cambiante.
  4. Marcos sectoriales específicos: secreto bancario, secreto de comunicaciones, salud, seguros, datos energéticos, datos del sector público.
  5. Reglamento de Gobernanza de Datos y Reglamento de Datos UE: portabilidad, regímenes de uso e intercambio, derechos sobre datos generados por productos conectados.
  6. Coordinación con el responsable de protección de datos: atención a sus informes, recomendaciones y eventuales discrepancias con la dirección ejecutiva, en garantía de su independencia funcional.

V.4.6 Uso ético del dato y consideraciones reputacionales

Más allá del cumplimiento estricto:

  1. Proporcionalidad efectiva entre finalidad legítima e intensidad/profundidad del uso, evitando aprovechamientos formalmente conformes pero desproporcionados o reñidos con expectativas razonables del interesado.
  2. Transparencia sustantiva —y no meramente formal— hacia clientes, empleados y otros interesados, evitando información genérica o ininteligible.
  3. Gestión del consentimiento como expresión real de elección informada y libre, no como mera formalidad obtenida mediante dark patterns.
  4. Respeto a la voluntad efectiva de los interesados: facilidad real de retirada del consentimiento, ejercicio de derechos, oposición a tratamientos.
  5. Anticipación a la evolución de expectativas sociales y regulatorias, evitando la cristalización de prácticas que generen pasivos previsibles.

B · Gobernanza de la inteligencia artificial

V.4.7 Marco general y régimen jurídico aplicable

Con la plena aplicación del Reglamento (UE) 2024/1689 (AI Act) entre 2025 y 2027, con calendario escalonado por categoría de riesgo, la comisión supervisa que la sociedad disponga de un marco formalizado de gobernanza de la IA que articule:

  1. Clasificación formal de los sistemas de IA utilizados o desarrollados conforme a las categorías del AI Act: sistemas prohibidos, de alto riesgo, de riesgo limitado, de riesgo mínimo, y modelos fundacionales o de propósito general cuando proceda.
  2. Obligaciones específicas aplicables a cada categoría, particularmente las exigencias reforzadas para sistemas de alto riesgo: documentación técnica, gestión de la calidad, registro de eventos, supervisión humana, transparencia, gestión del riesgo, conformidad y marcado.
  3. Gobernanza organizativa del marco —responsabilidades, comités, procesos de aprobación de nuevos sistemas, supervisión continua de sistemas en producción.
  4. Articulación con marcos sectoriales específicos cuando la sociedad opere en sectores con regulación reforzada sobre IA.

V.4.7 bis Sistemas de inteligencia artificial prohibidos

El artículo 5 del Reglamento (UE) 2024/1689 establece, con aplicación desde el 2 de febrero de 2025, la prohibición absoluta de determinadas prácticas de inteligencia artificial consideradas incompatibles con los derechos fundamentales y los valores de la Unión. La supervisión de la no incursión de la sociedad en estas prácticas constituye una función específica de la comisión, distinta y previa a la supervisión de los sistemas de alto riesgo. La comisión vela por que la sociedad disponga de mecanismos formales que prevengan, identifiquen y excluyan el desarrollo, adquisición o uso de sistemas comprendidos en alguna de las siguientes categorías:

  1. Sistemas que empleen técnicas subliminales que escapen a la conciencia de las personas, o técnicas deliberadamente manipuladoras o engañosas, con el efecto de alterar materialmente el comportamiento de personas o grupos causándoles perjuicio significativo.
  2. Sistemas que exploten vulnerabilidades derivadas de la edad, discapacidad o situación social o económica específica de personas o grupos, con el efecto de alterar materialmente su comportamiento causándoles perjuicio significativo.
  3. Sistemas de puntuación social (social scoring) que evalúen o clasifiquen a personas físicas atendiendo a su comportamiento social o a características personales conocidas, inferidas o predichas, con tratamientos perjudiciales o desfavorables desproporcionados o desvinculados del contexto original del dato.
  4. Sistemas de evaluación predictiva del riesgo de comisión de delitos basados exclusivamente en la elaboración del perfil de una persona o en la evaluación de sus rasgos y características de personalidad.
  5. Sistemas de reconocimiento facial mediante extracción no selectiva de imágenes faciales de internet o de circuitos cerrados de televisión para crear o ampliar bases de datos de reconocimiento facial.
  6. Sistemas de inferencia de emociones en el lugar de trabajo o en centros educativos, salvo por razones médicas o de seguridad estrictamente justificadas.
  7. Sistemas de categorización biométrica que clasifiquen a personas físicas individualmente atendiendo a sus datos biométricos para inferir o deducir su raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, vida sexual u orientación sexual.
  8. Sistemas de identificación biométrica remota en tiempo real en espacios accesibles al público con fines de aplicación de la ley, salvo las excepciones tasadas previstas en el propio Reglamento.

La comisión supervisa que la sociedad disponga de procedimientos efectivos de diligencia debida ex ante sobre cualquier sistema de inteligencia artificial en desarrollo, adquisición o uso, con el fin de descartar su eventual subsunción en alguna de las categorías anteriores. Esta supervisión adquiere especial relevancia en operaciones de M&A tecnológico, donde la due diligence específica sobre el target debe incorporar expresamente la verificación de no incursión, conforme a V.2.4 (punto 5 sobre inteligencia artificial y modelos algorítmicos).

V.4.8 Inventario y caracterización de los sistemas de IA

Inventario completo y actualizado, con caracterización suficiente de cada sistema:

  1. Propósito y caso de uso, con identificación clara de decisiones o procesos en los que interviene.
  2. Categoría de riesgo conforme al AI Act y obligaciones específicas asociadas.
  3. Naturaleza técnica: modelo, arquitectura, técnicas empleadas, dependencia de modelos de terceros o proveedores externos.
  4. Datos utilizados en entrenamiento y en inferencia: origen, calidad y régimen jurídico.
  5. Decisiones humanas y automatizadas asociadas, con identificación de puntos de supervisión humana efectiva.
  6. Impacto material sobre personas, procesos y resultados.
  7. Indicadores de desempeño en producción y mecanismos de supervisión continua.

V.4.9 Sistemas de alto riesgo y de impacto material

Sistemas clasificados como de alto riesgo bajo AI Act, o con impacto material aunque no alcancen formalmente esa clasificación:

  1. Cumplimiento sustantivo de obligaciones específicas: sistema de gestión del riesgo, calidad y gobernanza del dato de entrenamiento, documentación técnica, registro de eventos, supervisión humana significativa, exactitud, robustez y ciberseguridad, sistema de gestión de la calidad.
  2. Evaluación de impacto sobre personas afectadas, particularmente cuando concurran tratamientos de datos personales que exijan también evaluación de impacto en protección de datos.
  3. Supervisión humana significativa evaluada en términos sustantivos: capacidad real de comprender el sistema, discrepar de sus salidas, intervenir y anularlas; tiempo y recursos efectivamente disponibles; mecanismos contra el automation bias.
  4. Trazabilidad y explicabilidad: capacidad de justificar decisiones tomadas o apoyadas por el sistema ante interesados, autoridades supervisoras y, en su caso, tribunales.
  5. Gestión de sesgos: detección, evaluación y mitigación sistemáticas, con atención particular a los sesgos protegidos por la normativa antidiscriminación.
  6. Mecanismos de supervisión post-comercialización o post-despliegue: monitorización continua, detección de degradaciones (model drift, data drift), procesos formalizados de actualización, retirada o sustitución.

V.4.10 Uso ético de la inteligencia artificial

  1. Proporcionalidad efectiva entre finalidad legítima e intensidad del uso, particularmente en sistemas con impacto sobre personas (clientes, empleados, candidatos a empleo, terceros).
  2. Transparencia sustantiva sobre el uso de IA en la interacción con personas, evitando ocultaciones que erosionen la confianza al descubrirse.
  3. Gestión de riesgos específicos de la IA generativa —alucinaciones, atribución indebida, contenido falso o engañoso, infracción de PI de terceros, deepfakes y suplantación—, particularmente cuando se integra en interacciones con clientes o en contenido publicado.
  4. Anticipación a la evolución de expectativas sociales y regulatorias sobre uso aceptable, evitando capacidades de legitimidad o licitud futura previsiblemente comprometida.
  5. Articulación con principios éticos formalizados —propios o de referencia internacional como los Principios OCDE sobre IA—, asegurando guía efectiva, no mero ejercicio declarativo.

V.4.11 Inteligencia artificial generativa y modelos fundacionales

  1. Gestión del riesgo asociado a modelos de terceros: dependencia de proveedores, condiciones de servicio cambiantes, opacidad sobre el entrenamiento, cambios materiales no anticipados en el comportamiento, tratamiento del dato enviado al modelo.
  2. Adopción ordenada en procesos internos: políticas formales sobre usos permitidos y prohibidos, formación adecuada, mecanismos de control y supervisión.
  3. Riesgo de filtración de información sensible por uso inadecuado de servicios externos de IA generativa: datos personales de clientes, información confidencial de negocio, propiedad intelectual, información sometida a deberes de confidencialidad.
  4. Uso en interacciones externas —servicio al cliente, generación de contenido, soporte técnico— con gestión de calidad, supervisión y atribución de responsabilidades.
  5. Anticipación a obligaciones específicas sobre modelos fundacionales y de propósito general del AI Act, con calendario diferenciado de aplicación.
  6. Riesgo de propiedad intelectual asociado al uso de modelos entrenados sobre obras de terceros, en contextos donde la titularidad del entrenamiento es objeto de litigio o de evolución jurisprudencial.

C · Apartados comunes

V.4.12 Información que la comisión debe recibir

  1. Mapa del dato corporativo: dominios críticos, calidad, uso efectivo, régimen jurídico.
  2. Inventario de sistemas de IA actualizado, con clasificación de riesgo y caracterización suficiente.
  3. Indicadores de calidad del dato en dominios críticos y de desempeño de sistemas de IA en producción.
  4. Informes del responsable de protección de datos y del responsable de gobernanza del dato y de la IA, cuando esta figura exista.
  5. Brechas del dato y incidentes asociados a sistemas de IA: descripción, impacto, medidas y aprendizajes.
  6. Evolución del marco regulatorio sobre dato e IA, con anticipación de marcos en formación.
  7. Resultados de evaluaciones de impacto en protección de datos y de sistemas de IA.
  8. Información sobre proveedores de capacidades de IA y modelos de terceros, en coordinación con proveedores tecnológicos críticos (V.3).

Reflexión. La supervisión integrada del dato y de la inteligencia artificial articula la triple dimensión —protección regulatoria, aprovechamiento estratégico y atención ética— que ningún otro órgano del consejo puede asumir con la profundidad técnica requerida. Es, junto con M&A tecnológico, donde se juega el valor diferencial de la comisión.