¿Qué significa «gobernanza de IA» en términos prácticos?

Significa tener tres cosas en orden: una lista real de los sistemas de IA que su empresa usa, la finalidad de cada uno (qué decide, sobre quién, con qué datos), y un rastro de evidencia para sostener esas respuestas ante un auditor o un regulador. No es un documento: es un sistema con responsable, procesos y revisión — lo que la norma internacional ISO/IEC 42001 llama AIMS (Sistema de Gestión de IA).

Si tengo equipo técnico, ¿por qué tengo que ver yo mismo la IA?

Porque la firma es suya. El equipo técnico operará el día a día, pero la responsabilidad ante el consejo, el auditor o el regulador no se delega: o usted puede señalar el documento que sostiene una decisión, o está confiando en la palabra de un tercero. La gobernanza convierte el conocimiento tácito del equipo en evidencia que usted puede mostrar.

¿Cuál es el primer paso si nunca lo hemos hecho?

El inventario. Saber qué sistemas de IA hay en su empresa (no los que cree que hay) y para qué se usa cada uno. Suena trivial, y por eso casi nadie lo tiene por escrito. En nuestro método, ese inventario es lo primero que queda por escrito en los primeros quince días, por un solo departamento, no por la empresa entera.

Gobernanza de IA para quien decide

El ruido es enorme: ISO 42001, Reglamento europeo de IA, RGPD, AESIA, sanciones de hasta 35 millones. Cada semana aparece una norma, un marco o una sigla nueva. Pero la pregunta que importa, la que un consejero firma, es más simple — y casi nadie la responde por escrito:

¿Qué hace exactamente la IA en mi empresa, qué riesgos corre, y cómo se mantiene bajo control?

Si esa respuesta no existe en un documento que usted pueda abrir, los estándares son letra muerta. Y si depende de que alguien se la cuente, no es gobernanza: es confianza.

El problema no es regulatorio. Es de visibilidad.

Quien decide no tiene que volverse técnico. Pero sí tiene que poder ver: qué sistemas de IA usa la empresa, qué decisiones toma cada uno, sobre qué datos, y quién responde si algo sale mal. Sin eso, cualquier conversación sobre cumplimiento se queda en el plano teórico, y cualquier auditoría se vuelve un examen sorpresa.

La regulación europea acepta esta lectura de forma explícita. El Reglamento (UE) 2024/1689 no exige que un director general sepa codificar; exige que la empresa tenga documentado —por escrito, antes de poner el sistema en marcha— qué hace cada IA y por qué encaja en la casilla que dice [Fuente: Reglamento (UE) 2024/1689, art. 17 y art. 6.4, EUR-Lex, https://eur-lex.europa.eu/eli/reg/2024/1689/oj].

Las tres normas, traducidas a tres preguntas del consejo

Tres marcos se citan a la vez y se mezclan en la conversación: ISO/IEC 42001, el Reglamento europeo de IA y el RGPD. En realidad cada uno responde una pregunta distinta de la dirección. Si los mira así, dejan de ser una maraña.

1 · ISO/IEC 42001 — «¿Estoy gestionando mi IA o solo improvisando?»

ISO/IEC 42001 es la norma internacional que define qué significa gestionar la IA como un sistema, no como una intención. Lo llama AIMS (Sistema de Gestión de IA): un marco con responsable, procesos, revisión y registros. Comparte estructura con ISO 9001 e ISO 27001, así que encaja con lo que su organización ya tiene si está certificada en alguna. Su Anexo A agrupa 38 controles en 9 objetivos sobre el ciclo de vida de la IA; la empresa declara cuáles aplican y por qué, en un documento llamado SoA (Declaración de Aplicabilidad) [Fuente: ISO/IEC 42001:2023; cifras verificadas en GOB-SRC-ISO42001-001].

Traducido: ISO 42001 es la respuesta a «esto se está haciendo bien o se está haciendo sobre la marcha». No promete que la IA acierte; promete que existe un sistema para gobernarla y mejorarla.

2 · Reglamento europeo de IA — «¿Me aplica, y qué tengo que tener montado?»

El Reglamento clasifica los sistemas por riesgo: prohibidos (usos vedados), de alto riesgo (usos sensibles permitidos, con obligaciones serias) y con obligaciones de transparencia (avisar de que la respuesta la da una IA). Para los de alto riesgo —donde la mayoría de las empresas se juegan cumplir o no—, el art. 17 exige un sistema de gestión de la calidad documentado: gestión de datos, gestión de riesgos, vigilancia poscomercialización, registros y un marco claro de quién responde de qué [Fuente: Reglamento (UE) 2024/1689, art. 17, EUR-Lex].

Si la IA usa o influye en algo del Anexo III (empleo, crédito, infraestructuras críticas, educación), probablemente es de alto riesgo. Hay una salida — pero hay que documentarla por escrito antes de usar el sistema. Cómo saberlo sin ser abogado, aquí.

Para tener una referencia del coste de no hacerlo: las prácticas prohibidas se sancionan con hasta 35 millones de euros o el 7 % de la facturación mundial (la mayor); otras infracciones de proveedores de alto riesgo, con hasta 15 millones o el 3 %. Para pymes y startups, cada multa se limita al importe o al porcentaje, lo que resulte menor — un matiz que conviene no perder al leer las cifras grandes [Fuente: Reglamento (UE) 2024/1689, art. 99, EUR-Lex].

3 · RGPD — «¿Sé si mi IA está dañando a personas, y puedo demostrar que la gobierno?»

El RGPD no desaparece porque haya una Ley de IA. Se aplica a todo tratamiento de datos personales, sea cual sea el nivel de riesgo del sistema. Lo que pide a una organización que opera IA es muy concreto: una base jurídica para usar cada dato (art. 6); una evaluación de impacto (DPIA) escrita antes de lanzar tratamientos de riesgo (art. 35); un contrato específico con cada proveedor que toque los datos (art. 28); y, si el sistema decide solo sobre una persona —un crédito, un empleo—, el derecho de esa persona a la intervención humana y a recurrir (art. 22) [Fuente: Reglamento (UE) 2016/679, EUR-Lex; síntesis en GOB-SRC-DSGVO-001].

Dicho llano: el RGPD es la respuesta a «sabré si esto está perjudicando a alguien, y podré demostrar que actué». Sin un registro vivo de qué decide la IA y sobre quién, esa respuesta no se sostiene.

La gobernanza no es un trámite. Es lo que hace que la IA opere.

Aquí está el cambio de marco que importa. La conversación habitual presenta la gobernanza como un coste —documentos, controles, auditorías— que la empresa paga para evitar una sanción. Eso es solo la mitad.

La otra mitad: los mismos artefactos que se le exigen para cumplir son los que hacen que la IA opere de verdad en su negocio. El inventario de sistemas es lo que permite saber qué se está usando y dónde. El registro de finalidades es lo que evita que un proyecto herede datos que no debería. El mapa de quién responde de qué es lo que distingue «tenemos IA» de «operamos IA». La trazabilidad es lo que convierte un piloto en producción.

Por eso decimos que la misma base que pone su IA a funcionar es la que la deja defenderse ante el regulador. No son dos proyectos.

Qué tiene que poder señalar usted, en una hoja

Si quiere una prueba operativa de que la gobernanza existe en su empresa, no necesita una auditoría externa. Necesita poder señalar cinco artefactos, todos en lenguaje llano:

El inventario. La lista real de los sistemas de IA que la empresa usa, con quién es el responsable de cada uno.
La finalidad documentada. Para cada sistema: qué decide, sobre quién, con qué datos, y bajo qué base jurídica.
La clasificación de riesgo. Para cada sistema, en qué casilla del Reglamento europeo cae, y la justificación escrita si dice que no es de alto riesgo.
El registro vivo de riesgos. Qué puede salir mal y qué hace usted para evitarlo o detectarlo a tiempo.
El mapa de rendición de cuentas. Quién responde de qué — con nombres, no con cargos genéricos.

Si esos cinco existen y están al día, todo lo demás —certificación, auditoría, respuesta a un requerimiento— es un ejercicio de demostrar, no de improvisar. Si no existen, ninguna política, marco ni eslogan los sustituye.

Por dónde se empieza

Por el inventario. Suena trivial, y por eso casi nadie lo tiene por escrito. Empiece por un solo departamento — no por la empresa entera — y deje registrado, en quince días, qué sistemas hay, para qué se usan, y cuáles caen en una casilla del Anexo III.

En nuestro método, ese inventario es lo primero que queda por escrito. No para tranquilizarle: para que usted, y no un tercero, sepa dónde está parado.

Y si antes quiere entender por qué hablamos de «operable por IA» como condición previa a todo esto, ahí lo definimos sin jerga.