Saltar al contenido
CTIF

Sección V · V.4

Gobernanza del dato y de la inteligencia artificial

La gobernanza del dato y de la inteligencia artificial constituye, junto con el M&A tecnológico, el principal eje de innovación doctrinal de esta Guía frente a las guías existentes en materia de gobierno corporativo. Su tratamiento como bloque autónomo responde a la entidad propia de la materia, a su naturaleza dual ineludible (vector de riesgo y vector de creación de valor) conforme al Principio XII, y a la convergencia con el marco regulatorio europeo emergente, que exige conocimiento técnico cualificado del que la comisión de auditoría no dispone por su mandato y composición.

Este bloque se estructura en dos sub-bloques sucesivos: gobernanza del dato (apartados A) y gobernanza de la inteligencia artificial (apartados B), seguidos de los apartados comunes de información y articulación (C).

A · Gobernanza del dato

V.4.2 El dato como activo y como pasivo

La comisión supervisa la gestión del dato desde su doble condición de activo estratégico y de pasivo regulatorio y reputacional potencial. Vela por que la organización:

  1. Reconozca formalmente el dato como activo de la sociedad, con valoración explícita —cualitativa o cuantitativa cuando sea factible— de su contribución al modelo de negocio, a la ventaja competitiva y a las opciones estratégicas futuras.
  2. Identifique los datos críticos cuya pérdida, alteración, exposición no autorizada o indisponibilidad generaría impacto material sobre operación, resultados o confianza de los grupos de interés.
  3. Reconozca simultáneamente los pasivos potenciales —sanciones regulatorias, indemnizaciones a interesados, costes de remediación de brechas, deterioro reputacional, restricciones operativas— y los integre en la valoración del riesgo corporativo.
  4. Disponga de mecanismos para valorar el dato en operaciones corporativas —fusiones, adquisiciones, alianzas, desinversiones— conforme se desarrolla en V.2.

V.4.3 Marco de gobierno del dato

  1. Arquitectura organizativa: responsable último (típicamente CDO o equivalente), Data Owners y Data Stewards de los principales dominios, articulación con seguridad de la información, protección de datos y cumplimiento normativo.
  2. Políticas formales sobre captura, clasificación, calidad, almacenamiento, uso, compartición, retención y supresión del dato, con su despliegue operativo.
  3. Definición de dominios de dato corporativos y modelos maestros que aseguran coherencia y trazabilidad.
  4. Catálogo del dato que permita conocer en cualquier momento qué datos posee la sociedad, dónde residen, quién los gestiona, con qué propósito y bajo qué régimen jurídico.
  5. Mecanismos de gobierno cotidiano —comités específicos, procesos de decisión sobre nuevos usos, resolución de conflictos entre áreas.

V.4.4 Calidad, disponibilidad y trazabilidad del dato

Datos de baja calidad generan decisiones erróneas, modelos sesgados, incumplimiento regulatorio y deterioro reputacional:

  1. Estándares formales de calidad —exactitud, completitud, consistencia, oportunidad, unicidad, validez— y procesos que aseguran su cumplimiento.
  2. Indicadores de calidad en dominios críticos y su evolución temporal, identificando deterioros materiales y planes de remediación.
  3. Trazabilidad (data lineage) del dato a lo largo de su ciclo de vida, particularmente en datos que alimentan reporting financiero, regulatorio, decisiones de negocio críticas o modelos en producción.
  4. Disponibilidad efectiva para los usos legítimos previstos, evitando fragmentación en silos no comunicados.
  5. Procesos de saneamiento y mejora continua con asignación de recursos efectivos y seguimiento de resultados.

La Guía AESIA 7 · Guía de datos y gobernanza de datos desarrolla la metodología operativa de referencia en castellano: articula el ciclo de vida del dato en cinco fases (requisitos de información, recopilación, preparación, disposición y eliminación) y propone una metodología de calidad en cinco etapas (definición de dimensiones, diseño de controles, implementación, reporting y remediación) que la comisión puede emplear como rejilla supervisora del cuadro de mando que se le eleva sin transformarla en obligación normativa propia. El paquete completo de dieciséis guías de AESIA se cartografía en el Anexo V · Mapa de guías AESIA.

V.4.5 Cumplimiento del régimen jurídico del dato

  1. RGPD y LOPDGDD: bases legales sólidas, cumplimiento de derechos de interesados, evaluaciones de impacto en tratamientos de alto riesgo, registro de actividades, gestión de encargados, mecanismos de respuesta ante brechas con cumplimiento de plazos de notificación.
  2. Categorías especiales (art. 9 RGPD), datos de menores, datos genéticos, biométricos y de salud, y cualquier otra categoría sometida a régimen reforzado.
  3. Transferencias internacionales: decisiones de adecuación, garantías apropiadas, evaluaciones de impacto, mecanismos contractuales, en contexto regulatorio y jurisprudencial cambiante.
  4. Marcos sectoriales específicos: secreto bancario, secreto de comunicaciones, salud, seguros, datos energéticos, datos del sector público.
  5. Reglamento de Gobernanza de Datos y Reglamento de Datos UE: portabilidad, regímenes de uso e intercambio, derechos sobre datos generados por productos conectados.
  6. Coordinación con el responsable de protección de datos: atención a sus informes, recomendaciones y eventuales discrepancias con la dirección ejecutiva, en garantía de su independencia funcional.

V.4.6 Uso ético del dato y consideraciones reputacionales

Más allá del cumplimiento estricto:

  1. Proporcionalidad efectiva entre finalidad legítima e intensidad/profundidad del uso, evitando aprovechamientos formalmente conformes pero desproporcionados o reñidos con expectativas razonables del interesado.
  2. Transparencia sustantiva —y no meramente formal— hacia clientes, empleados y otros interesados, evitando información genérica o ininteligible.
  3. Gestión del consentimiento como expresión real de elección informada y libre, no como mera formalidad obtenida mediante dark patterns.
  4. Respeto a la voluntad efectiva de los interesados: facilidad real de retirada del consentimiento, ejercicio de derechos, oposición a tratamientos.
  5. Anticipación a la evolución de expectativas sociales y regulatorias, evitando la cristalización de prácticas que generen pasivos previsibles.

B · Gobernanza de la inteligencia artificial

V.4.7 Marco general y régimen jurídico aplicable

Con la plena aplicación del Reglamento (UE) 2024/1689 (AI Act) entre 2025 y 2027, con calendario escalonado por categoría de riesgo, la comisión supervisa que la sociedad disponga de un marco formalizado de gobernanza de la IA que articule:

  1. Clasificación formal de los sistemas de IA utilizados o desarrollados conforme a las categorías del AI Act: sistemas prohibidos, de alto riesgo, de riesgo limitado, de riesgo mínimo, y modelos fundacionales o de propósito general cuando proceda. La Guía AESIA 2 · Guía Práctica y Ejemplos para Entender el Reglamento de IA detalla el vocabulario operativo del artículo 3 RIA —distinción entre identificación biométrica (1:N), verificación (1:1) y categorización; sistema de IA frente a modelo de propósito general; datos de entrenamiento frente a datos de entrada— cuya adopción interna constituye condición de un debate supervisor jurídicamente preciso.
  2. Identificación de roles en la cadena de valor —proveedor, responsable del despliegue (deployer), representante autorizado, importador, distribuidor—, con vigilancia específica sobre el riesgo de proveedor sobrevenido del artículo 25 RIA: la sociedad puede mutar de deployer a proveedor por puesta de marca propia, modificación sustancial del sistema o cambio de la finalidad prevista, con asunción íntegra de las obligaciones del Capítulo III Sección 2. La comisión vela por que exista un proceso interno de detección y gobierno de modificaciones sustanciales que distinga los cambios preprogramados de aprendizaje continuo documentados en la documentación técnica (no constitutivos de modificación sustancial) de los cambios no previstos, conforme detalla la Guía AESIA 1 · Guía introductoria al Reglamento de Inteligencia Artificial.
  3. Obligaciones específicas aplicables a cada categoría, particularmente las exigencias reforzadas para sistemas de alto riesgo: documentación técnica, gestión de la calidad, registro de eventos, supervisión humana, transparencia, gestión del riesgo, conformidad y marcado.
  4. Gobernanza organizativa del marco —responsabilidades, comités, procesos de aprobación de nuevos sistemas, supervisión continua de sistemas en producción.
  5. Articulación con marcos sectoriales específicos cuando la sociedad opere en sectores con regulación reforzada sobre IA, así como con la Evaluación de Impacto en los Derechos Fundamentales (EIDF/FRIA) prevista en el artículo 27 RIA, cuyo alcance subjetivo no es universal: pesa sobre responsables del despliegue del sector público y sobre entidades privadas que prestan servicios públicos esenciales, complementa a la Evaluación de Impacto en Protección de Datos y se notifica a AESIA.

Las guías AESIA constituyen, en diciembre de 2025, el cuerpo metodológico más maduro disponible en castellano para operativizar el cumplimiento del RIA. Son expresamente no vinculantes: detallan el cómo operativo a la espera de las normas armonizadas europeas (prEN 18228 sobre gestión de riesgos, prEN 18229 sobre logging, transparencia, supervisión humana, precisión y solidez, prEN 18286 sobre sistema de gestión de la calidad). La comisión las invoca como referencia operativa de razonabilidad sectorial, sin transformar su contenido en obligación propia ni desplazar el juicio del consejo.

V.4.7 bis Sistemas de inteligencia artificial prohibidos

El artículo 5 del Reglamento (UE) 2024/1689 establece, con aplicación desde el 2 de febrero de 2025, la prohibición absoluta de determinadas prácticas de inteligencia artificial consideradas incompatibles con los derechos fundamentales y los valores de la Unión. La supervisión de la no incursión de la sociedad en estas prácticas constituye una función específica de la comisión, distinta y previa a la supervisión de los sistemas de alto riesgo. La comisión vela por que la sociedad disponga de mecanismos formales que prevengan, identifiquen y excluyan el desarrollo, adquisición o uso de sistemas comprendidos en alguna de las siguientes categorías:

  1. Sistemas que empleen técnicas subliminales que escapen a la conciencia de las personas, o técnicas deliberadamente manipuladoras o engañosas, con el efecto de alterar materialmente el comportamiento de personas o grupos causándoles perjuicio significativo.
  2. Sistemas que exploten vulnerabilidades derivadas de la edad, discapacidad o situación social o económica específica de personas o grupos, con el efecto de alterar materialmente su comportamiento causándoles perjuicio significativo.
  3. Sistemas de puntuación social (social scoring) que evalúen o clasifiquen a personas físicas atendiendo a su comportamiento social o a características personales conocidas, inferidas o predichas, con tratamientos perjudiciales o desfavorables desproporcionados o desvinculados del contexto original del dato.
  4. Sistemas de evaluación predictiva del riesgo de comisión de delitos basados exclusivamente en la elaboración del perfil de una persona o en la evaluación de sus rasgos y características de personalidad.
  5. Sistemas de reconocimiento facial mediante extracción no selectiva de imágenes faciales de internet o de circuitos cerrados de televisión para crear o ampliar bases de datos de reconocimiento facial.
  6. Sistemas de inferencia de emociones en el lugar de trabajo o en centros educativos, salvo por razones médicas o de seguridad estrictamente justificadas.
  7. Sistemas de categorización biométrica que clasifiquen a personas físicas individualmente atendiendo a sus datos biométricos para inferir o deducir su raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, vida sexual u orientación sexual.
  8. Sistemas de identificación biométrica remota en tiempo real en espacios accesibles al público con fines de aplicación de la ley, salvo las excepciones tasadas previstas en el propio Reglamento.

La comisión supervisa que la sociedad disponga de procedimientos efectivos de diligencia debida ex ante sobre cualquier sistema de inteligencia artificial en desarrollo, adquisición o uso, con el fin de descartar su eventual subsunción en alguna de las categorías anteriores. Esta supervisión adquiere especial relevancia en operaciones de M&A tecnológico, donde la due diligence específica sobre el target debe incorporar expresamente la verificación de no incursión, conforme a V.2.4 (punto 5 sobre inteligencia artificial y modelos algorítmicos).

V.4.8 Inventario y caracterización de los sistemas de IA

Inventario completo y actualizado, con caracterización suficiente de cada sistema:

  1. Propósito y caso de uso, con identificación clara de decisiones o procesos en los que interviene.
  2. Categoría de riesgo conforme al AI Act y obligaciones específicas asociadas, así como vía de evaluación de conformidad prevista cuando el sistema sea de alto riesgo: control interno (Anexo VI RIA) o intervención de organismo notificado (Anexo VII RIA), conforme a la doble vía que detalla la Guía AESIA 3 · Guía de evaluación de la conformidad. La propia guía reconoce la constatación fáctica de que, en diciembre de 2025, no existen normas armonizadas, ni especificaciones comunes, ni organismos notificados designados para el RIA, lo que obliga a planificar ventanas operativas de hasta dieciocho meses en sectores regulados.
  3. Naturaleza técnica: modelo, arquitectura, técnicas empleadas, dependencia de modelos de terceros o proveedores externos.
  4. Datos utilizados en entrenamiento y en inferencia: origen, calidad y régimen jurídico.
  5. Decisiones humanas y automatizadas asociadas, con identificación de puntos de supervisión humana efectiva.
  6. Impacto material sobre personas, procesos y resultados.
  7. Indicadores de desempeño en producción y mecanismos de supervisión continua.

V.4.9 Sistemas de alto riesgo y de impacto material

Sistemas clasificados como de alto riesgo bajo AI Act, o con impacto material aunque no alcancen formalmente esa clasificación:

  1. Cumplimiento sustantivo de obligaciones específicas: sistema de gestión del riesgo, calidad y gobernanza del dato de entrenamiento, documentación técnica, registro de eventos, supervisión humana significativa, exactitud, robustez y ciberseguridad, sistema de gestión de la calidad. Las Guías AESIA 4 a 15 desarrollan, de forma no vinculante, el cómo operativo de cada uno de los doce requisitos del Capítulo III Sección 2 del RIA y constituyen la referencia metodológica en castellano que la comisión puede exigir como base del reporting de la primera línea ejecutiva.
  2. Sistema de Gestión de la Calidad (SGC) del artículo 17 RIA como objeto supervisor autónomo del consejo, no subsumible en la gestión de riesgos (art. 9) ni en la gobernanza del dato (art. 10). La letra m del artículo 17.1 —«marco de rendición de cuentas que defina las responsabilidades del personal directivo en relación con todos los aspectos enumerados»— constituye la pieza de gobierno corporativo del AI Act y mandato supervisor directo del consejo, conforme detalla la Guía AESIA 4 · Guía del Sistema de Gestión de la Calidad. En el régimen específico para entidades financieras (art. 17.4), la integración con la gobernanza interna preexistente alcanza a las letras a-f y j-m, pero las letras g (riesgos), h (vigilancia poscomercialización) e i (notificación de incidentes graves) permanecen exigibles en todo caso.
  3. Gestión de riesgos con vocabulario auditable. La Guía AESIA 5 · Guía de Gestión de Riesgos propone metodología alineada con ISO 31000:2018, ISO/IEC 23894 y NIST AI RMF y un vocabulario operativo (amenaza, vulnerabilidad, riesgo, control, apetito, riesgo inherente, riesgo residual) que la comisión puede adoptar para sustituir formulaciones genéricas tipo «riesgo tecnológico». El apetito al riesgo cuantitativo, la aceptabilidad de residuales y los disparadores de escalado son decisiones reservables al consejo. El artículo 9.10 RIA habilita expresamente la integración con marcos sectoriales preexistentes, lo que permite articular la coordinación con la comisión de auditoría y riesgos sin duplicidad de reporting; el artículo 9.9 reclama atención específica a menores y colectivos vulnerables.
  4. Evaluación de impacto sobre personas afectadas, particularmente cuando concurran tratamientos de datos personales que exijan también evaluación de impacto en protección de datos, y EIDF/FRIA del artículo 27 RIA cuando el alcance subjetivo lo imponga.
  5. Supervisión humana significativa evaluada en términos sustantivos: capacidad real de comprender el sistema, discrepar de sus salidas, intervenir y anularlas; tiempo y recursos efectivamente disponibles; mecanismos contra el automation bias. La Guía AESIA 6 · Vigilancia humana propone la triada gradacional Human-in-Command (HIC) / Human-in-the-Loop (HITL, ex ante, recomendada en alto riesgo) / Human-on-the-Loop (HOTL, ex post, no recomendada en alto riesgo) como categoría de gobierno corporativo —no técnica— y formula el principio de proporcionalidad inversa: cuanto menor sea el nivel de supervisión que pueda ejercer una persona sobre un sistema de IA, mayores y más exigentes serán las verificaciones y la gobernanza necesarias. El modo de error forzado —activable únicamente en pruebas— constituye instrumento concreto contra el sesgo de automatización y métrica supervisora propia que la comisión puede incorporar al cuadro de mando.
  6. Trazabilidad y explicabilidad: capacidad de justificar decisiones tomadas o apoyadas por el sistema ante interesados, autoridades supervisoras y, en su caso, tribunales. La Guía AESIA 8 · Guía sobre los requisitos de transparencia y comunicación de información a los responsables del despliegue eleva la elección caja blanca frente a caja negra a decisión estratégica de gobierno corporativo: en aplicaciones de alto riesgo, la falta de transparencia puede obligar a descartar la caja negra a favor de modelos directamente interpretables, decisión que debe someterse al criterio supervisor del consejo y no resolverse en sede de ingeniería. La guía consagra además la contrafactualidad como elemento del derecho a la explicación: no basta con justificar por qué se tomó una decisión, sino por qué fue esa y no otra y en qué circunstancias habría sido distinta.
  7. Gestión de sesgos en dos planos. La Guía AESIA 7 · Guía de datos y gobernanza de datos distingue rigurosamente los sesgos inherentes a los datos (selección, muestreo, cobertura, etiquetado, paradoja de Simpson, variables de confusión) de los sesgos cognitivos humanos (automatización, atribución de grupo, auto-confirmación), y articula los tres puntos del ciclo de mitigación (pre-procesamiento, in-procesamiento, post-procesamiento). El cuadro de mando supervisor debería contemplar métricas formales auditablesequalized odds, equality of opportunity, paridad estadística, igualdad predictiva— en lugar de formulaciones genéricas. La doctrina de variables proxy es central: eliminar características demográficas directas no basta porque el sesgo puede recodificarse indirectamente (saludo, ocupación, código postal, censo).
  8. Precisión como métrica supervisable. La Guía AESIA 9 · Guía de Precisión desarrolla la precisión como métrica cuantitativa que vincula finalidad prevista con desempeño real y principal indicador objetivable que la comisión puede exigir, monitorizar y rendir como cuenta. El cuadro de mando debería contemplar log histórico de métricas, paneles de monitorización en producción, Model Cards y Datasheets for Datasets como artefactos de supervisión continua. La caída de una métrica por debajo del umbral garantizado constituye disparador supervisor (artículo 15.1 RIA).
  9. Solidez y doctrina de fallo seguro. La Guía AESIA 10 · Empresas desarrollando cumplimiento de requisitos — Solidez formula la doctrina de fallo seguro: el consejo debe asumir que el sistema fallará y exigir que el diseño minimice el peor caso, en lugar de exigir perfección. Es decisión de gobierno corporativo, no técnica. La guía distingue además la incertidumbre aleatoria (irreducible, estocástica) de la incertidumbre epistémica (reducible mediante más datos): el deber del consejo no es exigir que no haya error, sino que el residuo se gestione.
  10. Ciberseguridad específica de IA. La Guía AESIA 11 · Empresas desarrollando cumplimiento de requisitos — Ciberseguridad distingue la ciberseguridad TI clásica de la ciberseguridad específica de IA (considerando 76 RIA), con catálogo de vectores propios —envenenamiento de datos y de modelos, evasión, inversión, extracción, Membership/Property Inference, cadena de suministro de IA, denegación de servicio específica de IA— que explotan activos propios del sistema (datos de entrenamiento, modelo entrenado) y exigen controles diferenciados respecto del SOC tradicional. Anclaje en estándares: ISO/IEC 27001/27017, NIST 800-53, MITRE ATLAS, OWASP ML/AI/LLM Top Ten.
  11. Mecanismos de supervisión post-comercialización o post-despliegue: monitorización continua, detección de degradaciones (model drift, data drift), procesos formalizados de actualización, retirada o sustitución. La Guía AESIA 13 · Vigilancia poscomercialización introduce el test operativo «dato frente a indicador»: un dato bruto sólo se convierte en indicador cuando se le asocia una escala (mínimo y máximo aceptables) y un impacto (consecuencias que se quieren controlar). Sin escala ni impacto no hay vigilancia: hay almacenamiento. Cualquier cuadro de mando elevado al consejo debería superar este test antes de su admisión.
  12. Gestión de incidentes graves con escalado interno verificable. La Guía AESIA 14 · Guía de Gestión de Incidentes operativiza los tres plazos diferenciados del artículo 73 RIA: quince días con carácter general, dos días para infracciones generalizadas o afectación a infraestructuras críticas, diez días en caso de fallecimiento. La brevedad obliga a protocolos de escalado que la comisión debe validar: quién detecta, quién decide el vínculo causal, quién firma la notificación a la autoridad de vigilancia, qué umbrales internos disparan la información al consejo. Cuando el sistema sea suministrado por un tercero, la doctrina mutatis mutandis del artículo 26.5 RIA atribuye al responsable del despliegue la obligación de notificar si no logra contactar con el proveedor.

V.4.10 Uso ético de la inteligencia artificial

  1. Proporcionalidad efectiva entre finalidad legítima e intensidad del uso, particularmente en sistemas con impacto sobre personas (clientes, empleados, candidatos a empleo, terceros).
  2. Transparencia sustantiva sobre el uso de IA en la interacción con personas, evitando ocultaciones que erosionen la confianza al descubrirse. La Guía AESIA 8 · Guía sobre los requisitos de transparencia y comunicación de información a los responsables del despliegue consagra el vínculo bidireccional transparencia ↔ supervisión humana ↔ gestión de riesgos como principio sistémico: sin transparencia no hay vigilancia, sin vigilancia no hay supervisión, sin supervisión no hay rendición de cuentas.
  3. Gestión de riesgos específicos de la IA generativa —alucinaciones, atribución indebida, contenido falso o engañoso, infracción de PI de terceros, deepfakes y suplantación—, particularmente cuando se integra en interacciones con clientes o en contenido publicado.
  4. Anticipación a la evolución de expectativas sociales y regulatorias sobre uso aceptable, evitando capacidades de legitimidad o licitud futura previsiblemente comprometida.
  5. Articulación con principios éticos formalizados —propios o de referencia internacional como los Principios OCDE sobre IA—, asegurando guía efectiva, no mero ejercicio declarativo.

V.4.11 Inteligencia artificial generativa y modelos fundacionales

  1. Gestión del riesgo asociado a modelos de terceros: dependencia de proveedores, condiciones de servicio cambiantes, opacidad sobre el entrenamiento, cambios materiales no anticipados en el comportamiento, tratamiento del dato enviado al modelo.
  2. Adopción ordenada en procesos internos: políticas formales sobre usos permitidos y prohibidos, formación adecuada, mecanismos de control y supervisión.
  3. Riesgo de filtración de información sensible por uso inadecuado de servicios externos de IA generativa: datos personales de clientes, información confidencial de negocio, propiedad intelectual, información sometida a deberes de confidencialidad.
  4. Uso en interacciones externas —servicio al cliente, generación de contenido, soporte técnico— con gestión de calidad, supervisión y atribución de responsabilidades.
  5. Anticipación a obligaciones específicas sobre modelos fundacionales y de propósito general del AI Act, con calendario diferenciado de aplicación. El paquete AESIA de diciembre de 2025 no incluye, a fecha de cierre, guía específica sobre modelos de propósito general (GPAI) ni sobre IA generativa: las dieciséis guías publicadas están orientadas a sistemas de IA de alto riesgo del artículo 6 RIA. La comisión vigila la incorporación futura de orientaciones AESIA sobre GPAI y modelos con riesgo sistémico (umbrales 10²³ y 10²⁵ FLOPs del artículo 51 RIA).
  6. Riesgo de propiedad intelectual asociado al uso de modelos entrenados sobre obras de terceros, en contextos donde la titularidad del entrenamiento es objeto de litigio o de evolución jurisprudencial.

Las Guías AESIA 12 · Guía de Registros y 15 · Guía de documentación técnica elevan los registros y la documentación técnica del estatuto de log o artefacto interno al de activo de información gobernable (ISO 15489): son evidencias probatorias sobre las que se sostiene la rendición de cuentas del consejo frente a autoridades, auditores y litigantes. El umbral irrebajable es el régimen general del artículo 19 RIA (al menos seis meses para registros) y del artículo 18.1 RIA (diez años para documentación técnica), con resiliencia explícita a quiebra y cese del proveedor (artículo 18.2). En el régimen específico para entidades financieras, los artículos 18.3 y 19.2 RIA habilitan la integración con la documentación de gobernanza ya conservada en virtud del Derecho de la Unión en servicios financieros, sin doble obligación documental.

C · Apartados comunes

V.4.12 Información que la comisión debe recibir

  1. Mapa del dato corporativo: dominios críticos, calidad, uso efectivo, régimen jurídico.
  2. Inventario de sistemas de IA actualizado, con clasificación de riesgo y caracterización suficiente.
  3. Indicadores de calidad del dato en dominios críticos y de desempeño de sistemas de IA en producción.
  4. Informes del responsable de protección de datos y del responsable de gobernanza del dato y de la IA, cuando esta figura exista.
  5. Brechas del dato y incidentes asociados a sistemas de IA: descripción, impacto, medidas y aprendizajes.
  6. Evolución del marco regulatorio sobre dato e IA, con anticipación de marcos en formación.
  7. Resultados de evaluaciones de impacto en protección de datos y de sistemas de IA.
  8. Información sobre proveedores de capacidades de IA y modelos de terceros, en coordinación con proveedores tecnológicos críticos (V.3).
  9. Cuadro de madurez agregado del estado de cumplimiento del paquete AESIA para los sistemas de IA de alto riesgo materiales del inventario, estructurado por dominio (SGC, riesgos, supervisión humana, datos, transparencia, precisión, solidez, ciberseguridad, registros, vigilancia poscomercialización, gestión de incidentes, documentación técnica). El Manual de checklist (Guía AESIA 16 · Manual de checklist de guías de requisitos) propone una escala L1-L8 de madurez (de L1 «no documentada ni implementada» a L5 «documentada e implementada», con L8 reservada a medidas no aplicables al sistema concreto) que la comisión puede adoptar como output mínimo del proceso de diagnóstico, distinguiendo entre Medidas Guía (el cómo extraído de buenas prácticas) y Medidas Adicionales (propuestas por la propia entidad y validadas por la SEDIA), sin que la validación administrativa exima de responsabilidad al órgano de administración.

Reflexión. La supervisión integrada del dato y de la inteligencia artificial articula la triple dimensión —protección regulatoria, aprovechamiento estratégico y atención ética— que ningún otro órgano del consejo puede asumir con la profundidad técnica requerida. Es, junto con M&A tecnológico, donde se juega el valor diferencial de la comisión.