CTIF

Modelo de Reglamento · Capítulo II

Competencias y funciones

Arts. 5-9

El Capítulo II desarrolla las competencias materiales de la Comisión en cinco artículos correspondientes a los cinco bloques del perímetro funcional, estrategia tecnológica e innovación, operaciones de adquisición y alianza tecnológica, riesgo tecnológico y resiliencia digital, gobernanza del dato y de la inteligencia artificial, y capacidades tecnológicas de la organización.

Artículo 5. Estrategia tecnológica e innovación

1. Corresponde a la Comisión preparar, supervisar e informar al consejo de administración sobre la estrategia tecnológica y de innovación de la Sociedad, en cuanto palanca estratégica del modelo de negocio y vector de creación de valor sostenido.

2. En particular, la Comisión:

  1. Revisará periódicamente la estrategia tecnológica plurianual propuesta por la dirección ejecutiva, evaluando su coherencia con la estrategia corporativa general y su realismo en términos de capacidad de ejecución, y elevará al consejo, con carácter previo a su aprobación, dictamen razonado sobre la misma.
  2. Supervisará el roadmap tecnológico y el seguimiento de su ejecución, atendiendo a su coherencia interna, a su realismo y a la gestión equilibrada de la cartera entre iniciativas de mantenimiento, transformación e innovación.
  3. Revisará el presupuesto tecnológico anual y supervisará la evolución plurianual de la intensidad tecnológica de la inversión, elevando al consejo o, en su caso, a la Comisión de Auditoría, dictamen previo a su aprobación.
  4. Evaluará las decisiones de inversión tecnológica de carácter estratégico que por su cuantía, su impacto sobre el modelo operativo, la duración de los compromisos asumidos o la criticidad del proveedor seleccionado requieran consideración específica.
  5. Ejercerá una función de vigilancia anticipatoria del entorno tecnológico, competitivo y regulatorio relevante para la Sociedad, incorporando a su agenda revisiones prospectivas estructuradas con periodicidad al menos anual.
  6. Supervisará la cartera de innovación de la Sociedad, su estructura, sus mecanismos de gobierno y su conexión efectiva con la estrategia tecnológica y corporativa.

3. El ejercicio de las funciones anteriores se entiende sin perjuicio de las competencias indelegables del consejo de administración sobre la aprobación del plan estratégico y de la política de inversiones y financiación.

Artículo 6. Operaciones de adquisición y alianza tecnológica

1. Corresponde a la Comisión, en relación con las operaciones de adquisición, alianza estratégica y desinversión de naturaleza tecnológica:

  1. Pronunciarse, con carácter previo a la decisión del consejo, sobre la racionalidad estratégica tecnológica de la operación y su encaje con la estrategia tecnológica aprobada.
  2. Supervisar el alcance, profundidad y calidad de la due diligence tecnológica realizada sobre el target, con especial atención a la arquitectura y patrimonio tecnológico, la deuda técnica, la postura de ciberseguridad, el régimen jurídico del dato, los sistemas de inteligencia artificial, la propiedad intelectual digital, las dependencias críticas de proveedores, el talento técnico clave y el cumplimiento normativo tecnológico.
  3. Emitir dictamen razonado sobre los principales riesgos técnicos identificados, la valoración de los activos tecnológicos e intangibles y las hipótesis técnicas que sustentan el caso de inversión.
  4. Supervisar la planificación de la integración tecnológica post-adquisición y, durante el periodo que el consejo determine, el seguimiento de su ejecución efectiva.
  5. Promover la revisión retrospectiva de las operaciones materializadas, transcurrido un periodo razonable desde su cierre, con la finalidad de identificar aciertos y errores técnicos y contribuir al aprendizaje organizativo.

2. Las funciones del apartado anterior se extienden, con las adaptaciones que su naturaleza exija, a las operaciones de acqui-hire, carve-outs tecnológicos, joint ventures y alianzas tecnológicas, inversiones minoritarias estratégicas (corporate venture capital) y operaciones de licencia, transferencia o adquisición de propiedad intelectual digital materialmente relevantes.

3. Cuando la Sociedad sea objeto de una oferta pública de adquisición y la dimensión tecnológica resulte materialmente relevante, la Comisión emitirá, con la urgencia y confidencialidad que el procedimiento requiera, dictamen técnico específico que apoye la formación del informe motivado del consejo previsto en la normativa de ofertas públicas.

4. Cuando la operación pueda quedar sujeta al régimen de control de inversiones extranjeras previsto en el Reglamento (UE) 2019/452 y en la normativa española de desarrollo, o cuando afecte a activos tecnológicos calificables como críticos por su impacto sobre la seguridad nacional, infraestructuras esenciales o autonomía estratégica, la due diligence y el dictamen de la Comisión incorporarán análisis específico de esta dimensión.

5. El ejercicio de las funciones anteriores se entiende sin perjuicio de las competencias propias de la Comisión de Auditoría sobre la due diligence financiera y de riesgos, con las que la Comisión articulará la coordinación correspondiente conforme al artículo 15.

Artículo 7. Riesgo tecnológico y resiliencia digital

1. Corresponde a la Comisión la supervisión especializada del riesgo tecnológico y de la resiliencia operativa digital de la Sociedad. Esta supervisión se ejerce con profundidad técnica y se articula con la supervisión del marco general de control interno y gestión de riesgos que corresponde a la Comisión de Auditoría, conforme al artículo 15.

2. En particular, la Comisión:

  1. Supervisará el marco formalizado de gestión del riesgo tecnológico de la Sociedad, su taxonomía, sus políticas y procedimientos, su integración en el mapa corporativo de riesgos y la suficiencia de los recursos asignados.
  2. Supervisará la postura de ciberseguridad de la Sociedad, evaluada conforme a marcos de referencia internacional reconocidos, así como las capacidades de detección y respuesta, el programa de ejercicios y simulacros, la gestión de vulnerabilidades y la seguridad de las identidades y los accesos.
  3. Supervisará la resiliencia operativa digital de la Sociedad, con atención a la identificación de funciones esenciales, al mapeo de dependencias tecnológicas, a la definición y verificación efectiva de objetivos de recuperación y al programa de pruebas de resiliencia.
  4. Supervisará la gestión de los incidentes tecnológicos materiales, los protocolos de comunicación, los mecanismos de aprendizaje post-incidente y la articulación con las obligaciones de comunicación al supervisor y, en su caso, al mercado.
  5. Supervisará la gestión del riesgo de proveedores tecnológicos críticos, incluyendo la identificación formal de proveedores críticos, la calidad de los acuerdos contractuales, la gestión del riesgo de concentración y la viabilidad efectiva de las estrategias de salida y reversibilidad.
  6. Supervisará la gestión de la obsolescencia tecnológica y de la deuda técnica, con atención a su cuantificación y a los planes plurianuales de modernización y saneamiento.
  7. Supervisará el cumplimiento del marco regulatorio tecnológico aplicable, en coordinación con la función de cumplimiento normativo y con la Comisión de Auditoría, atendiendo a la magnitud del riesgo financiero asociado a los regímenes sancionadores aplicables.

3. La Comisión recibirá información sistemática sobre los incidentes tecnológicos materiales ocurridos en la Sociedad, sobre los resultados de las pruebas de resiliencia, sobre la evaluación de proveedores críticos y sobre cualquier otro elemento que la materialidad de la materia exija.

Artículo 8. Gobernanza del dato y de la inteligencia artificial

1. Corresponde a la Comisión la supervisión integrada de la gobernanza del dato y de la inteligencia artificial en la Sociedad, atendiendo a su doble condición de activo estratégico y de pasivo regulatorio y reputacional potencial.

2. En relación con el gobierno del dato, la Comisión:

  1. Supervisará el marco formalizado de gobierno del dato de la Sociedad, su arquitectura organizativa, sus políticas, su catálogo y los mecanismos de gobierno cotidiano.
  2. Supervisará la calidad, disponibilidad y trazabilidad del dato en los dominios críticos.
  3. Supervisará el cumplimiento del régimen jurídico aplicable al dato, con especial atención a las categorías sometidas a regímenes reforzados, a las transferencias internacionales y a la coordinación con el responsable de protección de datos.
  4. Velará por el uso ético del dato y por la atención a las consideraciones reputacionales que el marco normativo no agota.

3. En relación con la inteligencia artificial, la Comisión:

  1. Supervisará el marco formalizado de gobernanza de la inteligencia artificial de la Sociedad, su alineamiento con el Reglamento (UE) 2024/1689 y la clasificación formal de los sistemas conforme a sus categorías de riesgo.
  2. Supervisará el inventario de sistemas de inteligencia artificial en uso, en desarrollo o adquiridos a terceros, con la caracterización suficiente para el ejercicio de la función supervisora.
  3. Ejercerá supervisión reforzada sobre los sistemas clasificados como de alto riesgo y sobre aquellos que, sin alcanzar formalmente esa clasificación, tengan impacto material sobre personas o sobre el modelo de negocio.
  4. Supervisará que la Sociedad disponga de mecanismos formales que prevengan, identifiquen y excluyan el desarrollo, adquisición o uso de sistemas comprendidos en las prácticas prohibidas por el artículo 5 del Reglamento (UE) 2024/1689.
  5. Velará por el uso ético de la inteligencia artificial y por la gestión adecuada de los riesgos específicos asociados a la inteligencia artificial generativa y a los modelos fundacionales.

4. La Comisión articulará la coordinación con la Comisión de Auditoría sobre la dimensión de cumplimiento normativo y de riesgo asociada al dato y a la inteligencia artificial, y con la Comisión de Sostenibilidad o equivalente sobre los aspectos ESG que la materia comporta.

Artículo 9. Capacidades tecnológicas de la organización

1. Corresponde a la Comisión la supervisión de las capacidades tecnológicas de la organización, entendidas como el conjunto de conocimientos, competencias, comportamientos y cultura que permiten a la Sociedad ejecutar su estrategia tecnológica, gestionar su riesgo digital y aprovechar las oportunidades de innovación.

2. El ámbito de esta supervisión comprende las capacidades del conjunto de la organización por debajo del comité de dirección. La supervisión de las capacidades tecnológicas de los miembros del consejo de administración y de la alta dirección corresponde a la Comisión de Nombramientos y Retribuciones, con la aportación de criterio técnico que la presente Comisión efectúe conforme al artículo 16.

3. En particular, la Comisión:

  1. Supervisará la estrategia de capacidades tecnológicas de la Sociedad, el diagnóstico de capacidades efectivas, el análisis del gap resultante y el plan plurianual de capacidades.
  2. Supervisará los aspectos materiales de la atracción y retención del talento técnico crítico, incluyendo la identificación del key person risk, la planificación de la sucesión de posiciones técnicas clave por debajo de la alta dirección y los indicadores de rotación.
  3. Supervisará los programas estructurados de upskilling y reskilling y la estrategia de alfabetización digital del conjunto de la organización, con atención específica a la gestión de las capacidades en inteligencia artificial.
  4. Supervisará la cultura digital y de innovación de la Sociedad, con atención a la cultura de seguridad, a la cultura de gestión del riesgo tecnológico y a la tolerancia al fracaso experimental disciplinada.
  5. Supervisará los modelos de trabajo y de organización tecnológica en sus dimensiones de gobierno corporativo.