CTIF

Sección VI

Funcionamiento de la comisión

El funcionamiento efectivo de la comisión depende decisivamente de la calidad de su régimen interno —reglas formales de convocatoria, deliberación y acuerdo— y de la disponibilidad efectiva de los medios que permitan el ejercicio sustantivo de la función supervisora. Esta sección establece los criterios aplicables al funcionamiento interno en términos coherentes con las Guías Técnicas 3/2017 y 1/2019 de la CNMV, adaptados a las especificidades de la materia tecnológica y al perímetro funcional de la Sección V.

VI.2 Reglamento de la comisión

Se recomienda que la comisión cuente con reglamento específico, aprobado por el consejo a propuesta de la propia comisión, que desarrolle el reglamento del consejo en lo relativo a:

  1. Composición, requisitos de cualificación de sus miembros y régimen de designación.
  2. Competencias y funciones conforme al perímetro de la Sección V.
  3. Régimen de presidencia, secretaría y, en su caso, vicepresidencia.
  4. Convocatoria, frecuencia mínima de reuniones, orden del día y régimen de asistencia.
  5. Quórum, deliberación, mayorías y régimen de adopción de acuerdos.
  6. Régimen de las actas y custodia de la documentación.
  7. Derecho a información, derecho a asesoramiento externo y régimen de gestión de la información sensible.
  8. Confidencialidad y régimen de manejo de información tecnológica sensible.
  9. Plan anual de actividades y rendición de cuentas al consejo.
  10. Evaluación periódica del funcionamiento de la comisión.

El reglamento debe estar públicamente disponible en términos análogos a los reglamentos de las restantes comisiones, sin perjuicio de la reserva debida sobre los aspectos cuya divulgación pudiera comprometer la seguridad tecnológica.

VI.3 Plan anual de actividades

La comisión aprueba, en el primer trimestre, un plan anual que estructura el desarrollo previsto de su función supervisora a lo largo del ejercicio, sin perjuicio de materias sobrevenidas. A título orientativo:

| Trimestre | Materias de foco principal | |---|---| | Primer trimestre | Aprobación del plan anual; revisión del cierre tecnológico del ejercicio anterior; informe anual de gestión de riesgos tecnológicos; incidentes materiales del ejercicio anterior y aprendizajes; revisión inicial del seguimiento del plan estratégico plurianual. | | Segundo trimestre | Mapa de riesgos tecnológicos actualizado; postura de ciberseguridad y resultados de pruebas de resiliencia; estado de la gobernanza del dato y de la IA; plan plurianual de capacidades tecnológicas. | | Tercer trimestre | Roadmap tecnológico y cartera de innovación; inversión tecnológica y decisiones estratégicas en preparación; estado del cumplimiento regulatorio tecnológico; vigilancia tecnológica y revisión prospectiva. | | Cuarto trimestre | Presupuesto tecnológico del ejercicio siguiente; evaluación de proveedores críticos; preparación del informe anual de actividad; autoevaluación de la comisión y propuestas de mejora. |

A esta distribución cíclica se superponen, sin programar, las materias derivadas de operaciones de M&A tecnológico, incidentes materiales sobrevenidos, cambios regulatorios relevantes y decisiones estratégicas urgentes.

VI.4 Frecuencia y régimen de las reuniones

Mínimo cuatro reuniones ordinarias al año, en línea con el estándar habitual de las comisiones especializadas. Esta frecuencia debe modularse por proporcionalidad: en sociedades de elevada capitalización con fuerte apalancamiento tecnológico, seis a ocho reuniones ordinarias anuales pueden resultar más adecuadas.

Reuniones extraordinarias —a iniciativa del presidente, a solicitud de un tercio de los miembros o a requerimiento del consejo— ante:

  1. Incidentes tecnológicos materiales, particularmente de ciberseguridad de impacto relevante.
  2. Operaciones de M&A tecnológico en preparación.
  3. Cambios regulatorios materiales que requieran intervención ágil.
  4. Decisiones estratégicas tecnológicas urgentes sometidas al consejo en plazos comprimidos.

Las reuniones podrán celebrarse presencialmente, telemáticamente o en modalidad mixta, bajo garantías técnicas de seguridad e integridad de la información que la naturaleza sensible exige.

VI.5 Convocatoria y orden del día

Convocatoria con antelación no inferior a cinco días naturales para reuniones ordinarias y 48 horas para extraordinarias. Orden del día específico, evitando referencias genéricas. La documentación distribuida debe atender a:

  1. Claridad y comprensibilidad para consejeros con distintos grados de profundidad técnica, sin sacrificio de la precisión sustantiva.
  2. Síntesis ejecutiva en documentos extensos, identificación rápida de aspectos materiales.
  3. Identificación expresa de los puntos sobre los que se requiere decisión, dictamen o información.
  4. Acompañamiento por el responsable funcional correspondiente en materias técnicamente complejas, garantizando disponibilidad de aclaración durante la sesión.

VI.6 Quórum, deliberación y adopción de acuerdos

  • Quórum: mayoría de los miembros, presentes o representados.
  • Acuerdos: mayoría simple de concurrentes, salvo previsión específica. Empate: voto dirimente del presidente.
  • Diálogo constructivo: libre expresión, contraste de pareceres, formación colectiva de criterio. El presidente vela por que ningún miembro vea inhibida su participación.
  • Discrepancias materiales reflejadas en acta con claridad suficiente para su valoración por el consejo.

VI.7 Asistencia de personas no consejeras

  1. Asistencia regular de CIO, CISO, DPO y, en su caso, responsables de gobernanza del dato e IA e innovación: prevista en el reglamento, con modulación por el presidente según orden del día.
  2. Asistencia puntual de otros directivos o expertos: acordada por el presidente, limitada a los puntos pertinentes.
  3. Tramo reservado exclusivamente entre miembros en cada sesión, sin asistencia de personas no consejeras, para deliberar libremente sobre desempeño de la dirección ejecutiva, cuestiones reservadas o lo que se aconseje. Práctica habitual y no excepcional, criterio análogo al de la Guía Técnica 3/2017 para comisiones de auditoría.

VI.8 Actas

De cada sesión se levantará acta con:

  1. Identificación de la sesión (lugar, fecha, hora de inicio y conclusión).
  2. Relación de asistentes —miembros, secretario y personas no consejeras presentes en cada punto.
  3. Orden del día tratado.
  4. Síntesis del debate con identificación de argumentos principales y discrepancias materiales.
  5. Acuerdos adoptados o propuestas elevadas al consejo, con sentido del pronunciamiento claro.
  6. Materias diferidas, encargos efectuados, compromisos para sesiones posteriores.

La aprobación del acta no debe convertirse en mero trámite formal, sino en oportunidad efectiva de verificación de la fidelidad del reflejo del debate. Régimen reforzado de confidencialidad.

VI.9 Derecho a información

Derecho equivalente al de cualquier miembro del consejo (art. 529 quaterdecies LSC). Se articula mediante:

  1. Acceso directo a las fuentes técnicas ejecutivas (Principio VI), sin intermediación del consejero delegado o primer ejecutivo.
  2. Solicitud de información complementaria sobre cualquier materia del perímetro, con la profundidad que la materialidad exija.
  3. Acceso a los sistemas de información que resulte necesario, con garantías técnicas y de confidencialidad adecuadas.
  4. Información preparatoria de las sesiones del consejo en materias del perímetro funcional.

VI.10 Asesoramiento externo cualificado

Conforme al principio de capacidad de análisis suficiente (Guía Técnica 3/2017 CNMV), aplicable analógicamente:

  1. Decisión sobre contratación: del presidente, con conocimiento del consejo cuando la materialidad económica lo aconseje.
  2. Selección: reconocida cualificación, independencia respecto de proveedores tecnológicos y consultoras habituales, ausencia de conflictos. Evitar dependencia recurrente de un único asesor.
  3. Retribución: con cargo a los recursos de la comisión, sin condicionamiento presupuestario que erosione la independencia.
  4. Alcance del encargo: formulado con precisión; resultados documentados con suficiencia.
  5. Interacciones del asesor con la dirección ejecutiva: preservar independencia de criterio y confidencialidad.

VI.11 Confidencialidad y gestión de información sensible

Información de elevada sensibilidad: vulnerabilidades técnicas no divulgadas, planes estratégicos tecnológicos, operaciones de M&A en preparación, incidentes de seguridad, evaluación de proveedores críticos. La comisión observa:

  1. Deber de confidencialidad sobre deliberaciones e información, conforme al régimen general aplicable a consejeros.
  2. Gestión técnica segura: canales y plataformas adecuadamente protegidos, evitación de canales personales o no controlados, observancia de las políticas de seguridad de la información.
  3. Clasificación de la información conforme al marco de la sociedad, con tratamiento reforzado de la información crítica.
  4. Protocolos para vulnerabilidades técnicas no divulgadas, dada su potencial repercusión sobre la seguridad de la sociedad y de terceros.
  5. Información privilegiada que pudiera generarse en el seno de la comisión: cumplimiento del Reglamento (UE) 596/2014 (MAR) y del reglamento interno de conducta.
  6. Respuesta ante eventuales filtraciones, en coordinación con seguridad de la información, legal y relaciones con el mercado.

VI.12 Formación continua de los miembros

  1. Programa estructurado de formación continua específico, conforme a la Recomendación 25 del CBG y a la Guía Técnica 1/2019.
  2. Sesiones específicas sobre tecnologías emergentes, evolución regulatoria, panorama de amenazas y casos relevantes (al menos anual).
  3. Participación en foros y conferencias especializados en gobierno corporativo tecnológico.
  4. Acceso a publicaciones especializadas —informes sectoriales, publicaciones de supervisores, literatura técnica relevante.
  5. Formación específica de iniciación ante incorporación de nuevos miembros, con programa que permita rápida integración.

VI.13 Recursos materiales

  1. Apoyo administrativo y técnico suficiente mediante la secretaría y, cuando proceda, funciones internas (secretaría general, función legal, gestión de riesgos, cumplimiento).
  2. Presupuesto específico para gastos de funcionamiento: asesoramiento externo, formación continua, asistencia a foros, retribución específica de miembros cuando aplique.
  3. Plataformas tecnológicas adecuadas para manejo seguro de información, reuniones telemáticas, documentación.
  4. Acceso a información —bases de datos especializadas, inteligencia tecnológica, informes sectoriales— para el ejercicio informado.