Modelo de gobernanza mínima viable · AI Act · proyectosdeIA.com

Lo mínimo que necesita
según el tamaño de
su empresa

No todas las empresas necesitan lo mismo. Este modelo le dice exactamente qué documentar, quién debe hacerlo y dónde guardarlo según su tamaño.

🌱
Microempresa
Menos de 10 empleados
🏢
PYME
10 – 250 empleados
🏗
Empresa Mediana
250 – 1.000 empleados
🏛
Gran Empresa
Más de 1.000 empleados

🌱 Microempresa — Menos de 10 empleados

La mayoría de microempresas usa IA de riesgo mínimo o limitado. Sus obligaciones son pequeñas pero reales. El objetivo es ser capaz de demostrar que conocen qué IA usan y que la usan responsablemente. Todo puede gestionarlo una sola persona en pocas horas.

Diagnóstico típico

¿Qué IA usa normalmente una microempresa?

🟢 Riesgo mínimo

Herramientas de productividad

ChatGPT, Copilot, Gemini para redactar emails, crear contenido o resumir documentos. Sin obligaciones específicas.

🟡 Riesgo limitado

Chatbot en la web

Si tienen un chatbot de atención, deben añadir un aviso de que es IA. Es la obligación más común que incumplen.

⚠️ Revisar

Software con IA integrada

CRMs, ERPs o herramientas de marketing con funciones automáticas de scoring o predicción. Pueden ser alto riesgo sin saberlo.

Documentación mínima obligatoria

3 documentos. No más.

📋

Lista de herramientas de IA Obligatorio

Un documento simple (puede ser un Excel o incluso papel) con: nombre de cada herramienta, para qué la usan, y si tienen chatbot público. Actualizar cuando cambie algo. Tiempo: 30 minutos.

📄

Política de uso de IA (versión simplificada) Obligatorio

Una página con: qué herramientas pueden usar los empleados, qué no pueden introducir en ellas (datos de clientes, información confidencial), y a quién avisar si algo va mal. Firmada por el gerente. Tiempo: 1 hora.

💬

Aviso de IA en chatbot (si tienen) Obligatorio desde feb 2025

Texto visible en el chatbot que diga que el usuario está interactuando con un sistema de inteligencia artificial. Puede ser tan simple como: "Hola, soy un asistente virtual de [empresa]." Tiempo: 15 minutos.

Revisión anual del inventario Recomendado

Una vez al año, revisar que la lista sigue siendo correcta y que no han incorporado herramientas nuevas sin saberlo. Apuntarlo en el calendario. Tiempo: 30 minutos al año.

Roles y responsabilidades

Una persona puede con todo

👤
Gerente / Propietario

Responsable de todo

Aprueba la política, mantiene el inventario actualizado, se asegura de que los empleados la conocen. No necesita formación técnica — solo sentido común y 2-3 horas al año.

Dónde guardar la documentación

Sin complicaciones

Ubicación recomendada

Google Drive / carpeta compartida

Una carpeta llamada "Gobernanza IA" con los 2-3 documentos. Accesible para todos los empleados. Suficiente para una microempresa.

Qué guardar exactamente

Lista de IA + Política firmada + Aviso chatbot

Si la AESIA les pide documentación (muy improbable para una microempresa), estos 3 documentos son toda la defensa que necesitan.

Tiempo total de implementación: 2-3 horas la primera vez. 30 minutos al año de mantenimiento. No necesita consultor externo si solo usa herramientas de riesgo mínimo. Si tiene chatbot o detecta algún sistema de alto riesgo, entonces sí tiene sentido pedir ayuda.

🏢 PYME — 10 a 250 empleados

Las PYMEs tienen más variedad de herramientas de IA y mayor probabilidad de tener algún sistema de riesgo limitado o alto (RRHH, CRM con scoring, chatbot de atención). Necesitan estructura básica pero sin burocracia excesiva. Una persona dedicada a tiempo parcial puede gestionarlo todo.

Documentación mínima

7 documentos clave

📊

Inventario de sistemas de IA Obligatorio

Excel con todos los sistemas, su nivel de riesgo, departamento que los usa y responsable. Usar la plantilla de inventario de proyectosdeIA.com.

📄

Política de Uso de IA corporativa Obligatorio

Documento formal de 3-5 páginas aprobado por la dirección. Firmado, comunicado a empleados y actualizado anualmente.

💬

Avisos de transparencia (chatbots, contenido IA) Obligatorio

Texto de aviso en chatbots y marcado de contenido generado con IA en comunicaciones externas.

📋

Registro de sistema para cada herramienta de alto riesgo Obligatorio si aplica

Un documento por sistema de alto riesgo con: descripción, datos que procesa, responsable, evaluación de riesgos y logs.

🗓

Actas de revisiones periódicas Recomendado

Documento que acredite que alguien revisa el cumplimiento al menos cada 6 meses. Puede ser informal pero debe quedar escrito.

📝

Evidencia de formación de empleados Recomendado

Registro de quién ha recibido formación sobre el uso responsable de IA. Puede ser una lista firmada.

📑

Contratos con proveedores revisados Recomendado

Verificar que los contratos con proveedores de IA incluyen cláusulas básicas de AI Act y RGPD.

Estructura mínima

3 roles. Sin comité formal.

🎯
Gerente / Director General

Aprobador estratégico

Aprueba la política, los sistemas de alto riesgo y recibe informes semestrales. Dedicación: 2-3 horas al año.

⚙️
Responsable designado (Legal, IT o Admin)

AI Champion — Gestor operativo

Mantiene el inventario, gestiona la política, aprueba nuevas herramientas y reporta a dirección. Dedicación: 2-4 horas al mes.

👁
Responsable del sistema (por cada sistema de alto riesgo)

AI Risk Owner

Supervisa el funcionamiento del sistema, revisa sus decisiones y puede suspenderlo si es necesario. Dedicación: según el sistema.

Proceso de aprobación de nuevas herramientas

Simple y efectivo

1

Solicitud

Cualquier empleado que quiera usar una herramienta de IA nueva lo comunica al AI Champion por email con: nombre, función y para qué la usará.

2

Clasificación (AI Champion)

El AI Champion clasifica el riesgo en 24-48h. Si es mínimo: aprobación directa. Si es limitado o alto: pasa al gerente.

3

Aprobación (si es limitado o alto)

El gerente aprueba o rechaza. Si es alto riesgo: se crea el registro de sistema y se designa AI Risk Owner antes de usar.

4

Registro

Se añade al inventario. Se comunica al empleado solicitante. En 48-72h desde la solicitud inicial.

Dónde guardar la documentación

Centralizado y accesible

Ubicación recomendada

Google Drive / SharePoint / carpeta de servidor

Carpeta "Gobernanza IA" accesible al AI Champion y dirección. Subcarpetas por tipo: Política / Inventario / Registros / Actas.

Tiempo de implementación

2-4 semanas la primera vez

Semana 1: inventario. Semana 2: política. Semanas 3-4: registros de alto riesgo (si aplica). Mantenimiento: 2-3h/mes.

Cuándo necesita consultor externo: Si tiene sistemas de alto riesgo (RRHH con IA, crédito, etc.), si no sabe si algún sistema es de alto riesgo, o si la AESIA les ha contactado. Para el resto, con las plantillas de proyectosdeIA.com y 2-3 semanas de trabajo interno es suficiente.

🏗 Empresa Mediana — 250 a 1.000 empleados

Las empresas medianas tienen sistemas de IA en múltiples departamentos, mayor probabilidad de sistemas de alto riesgo y mayor exposición regulatoria. Necesitan una estructura de gobernanza formal con Comité, roles definidos y procesos documentados. La gestión requiere dedicación parcial de varias personas.

Documentación completa

12 documentos mínimos

📊

Inventario completo de sistemas de IA Obligatorio

Base de datos actualizada de todos los sistemas con clasificación, departamento, responsable y estado de cumplimiento.

📄

Política de Uso de IA corporativa Obligatorio

Política formal aprobada por dirección, comunicada a todos los empleados y actualizada anualmente.

📋

Registro de sistema por cada alto riesgo Obligatorio si aplica

Documentación técnica completa incluyendo datos, supervisión, logs y evaluación de riesgos.

⚖️

Evaluaciones de impacto (DPIA + AI) Obligatorio si aplica

Para sistemas de alto riesgo que también tratan datos personales: evaluación conjunta AI Act + RGPD.

📝

Actas del Comité de Gobernanza de IA Obligatorio

Documentación de cada reunión del Comité con decisiones, responsables y plazos.

🎓

Registros de formación Obligatorio

Evidencia documentada de que los empleados que usan sistemas de alto riesgo han sido formados.

🗂

Procedimiento de onboarding/offboarding IA Recomendado

Proceso documentado de gestión de accesos a herramientas de IA en altas y bajas de empleados.

🚨

Protocolo de gestión de incidentes de IA Recomendado

Procedimiento de escalada, investigación, comunicación y resolución de incidentes con sistemas de IA.

📑

Contratos con proveedores revisados Recomendado

Todos los contratos con proveedores de IA con cláusulas de AI Act, auditoría y responsabilidad.

📣

Comunicación externa de política de IA Recomendado

Versión pública de la política de IA en la web corporativa. Mejora la reputación y la confianza.

🏆

Mapa de riesgos de IA corporativo Opcional

Visión consolidada de todos los riesgos de IA de la empresa con estado de mitigación.

📐

Hacia ISO 42001 Opcional

Si la empresa quiere certificarse, el trabajo de gobernanza básica cubre el 60-70% de los requisitos de la ISO 42001.

Estructura de gobernanza

Comité formal + AI Champions

Comité de Gobernanza de IA

5-7 personas · Reunión mensual

Dirección + Legal + RRHH + IT + Compliance + AI Champions de áreas principales. Actas firmadas en cada reunión. Reporta trimestralmente a dirección.

AI Champions por departamento

Uno por área principal

RRHH, Marketing, Finanzas, Operaciones, IT. Cada uno conoce qué IA usa su área, gestiona las solicitudes y reporta al Comité mensualmente.

AI Risk Owners

Uno por sistema de alto riesgo

Persona identificada con nombre y cargo. Firma el registro. Puede suspender el sistema. Reporta cualquier anomalía al AI Champion de su área.

Responsable de Gobernanza (CISO/DPO/nuevo rol)

Coordinación central

Puede ser el DPO existente con funciones ampliadas, el CISO, o un rol nuevo. Coordina el Comité, mantiene el inventario y reporta a dirección.

Referencia real: Empresas medianas como bufetes de 300 personas, aseguradoras regionales o cadenas de retail de tamaño medio en España están implementando exactamente esta estructura. El coste de implementación es de 3-6 meses de trabajo con apoyo externo y luego 1-2 personas a tiempo parcial de mantenimiento.

🏛 Gran Empresa — Más de 1.000 empleados

Las grandes empresas tienen múltiples sistemas de IA en todos los departamentos, alta probabilidad de sistemas de alto riesgo, y exposición regulatoria y reputacional significativa. Necesitan una función de gobernanza de IA estructurada, con roles dedicados, procesos formales y revisión continua. Referencia: BBVA, Telefónica, Santander, Inditex.

Estructura de gobernanza corporativa

Los 4 niveles de la gran empresa

Nivel 1 — Consejo / Comité de Auditoría

Supervisión estratégica

Aprueba la política de IA corporativa. Recibe informe anual de riesgos de IA. El CAIO (Chief AI Officer) o el CEO reporta aquí. Es el nivel de responsabilidad última ante la AESIA.

Nivel 2 — AI Governance Committee

Comité Ejecutivo de IA · Mensual

CAIO + CLO + CHRO + CTO + CISO + CCO + CFO. Aprueba sistemas de alto riesgo antes del despliegue. Gestiona incidentes mayores. Revisa el estado de cumplimiento regulatorio.

Nivel 3 — AI Office / Centro de Excelencia de IA

Función dedicada

Equipo de 3-10 personas dedicadas a gobernanza de IA. Mantiene el inventario, desarrolla políticas, forma a AI Champions, coordina con reguladores y lidera la implementación de ISO 42001.

Nivel 4 — AI Champions + Risk Owners

Red operativa

AI Champion en cada división o unidad de negocio. AI Risk Owner para cada sistema de alto riesgo. Red de contactos operativa que reporta al AI Office mensualmente.

Roles clave y sus funciones

Quién hace qué en la gran empresa

🎖
CAIO — Chief AI Officer (o equivalente)

Responsable ejecutivo de IA

Lidera la estrategia de IA de la empresa. Preside el AI Governance Committee. Es el interlocutor ante la AESIA. Reporta al CEO o al Consejo. Puede ser un rol nuevo o una función asignada al CTO, CISO o CLO.

⚖️
CLO / DPO con funciones ampliadas

Cumplimiento normativo de IA

Interpreta el AI Act para la empresa. Coordina con AESIA y AEPD. Revisa contratos con proveedores. Gestiona las notificaciones de incidentes a reguladores. Trabaja estrechamente con el CAIO.

🔐
CISO con responsabilidades de IA

Seguridad y gestión de datos de IA

Gestiona la seguridad de los sistemas de IA. Supervisa los logs y la trazabilidad. Coordina con IT la configuración segura de herramientas. Evalúa riesgos técnicos de nuevos sistemas.

👥
CHRO — Recursos Humanos

Gobernanza de IA en personas

Integra el AI Act en onboarding y offboarding. Gestiona la formación obligatoria de empleados. Supervisa los sistemas de IA en RRHH (alto riesgo). Coordina la cultura de IA responsable.

Documentación completa

Marco documental de referencia

Capa 1 — Estrategia

Política de IA corporativa + Manifiesto público

Política interna completa + versión pública del compromiso ético con la IA. Firmada por CEO. Revisada anualmente. Referencia: Telefónica, BBVA.

Capa 2 — Gestión

Inventario + Mapa de riesgos + Registros

Base de datos centralizada de sistemas. Mapa de riesgos consolidado. Registro completo de cada sistema de alto riesgo con evaluación de impacto.

Capa 3 — Operativa

Procedimientos + Protocolos + Actas

Procedimientos de aprobación, onboarding/offboarding, incidentes, auditoría interna y reporting. Actas de todas las reuniones del Comité.

Capa 4 — Evidencia

Formación + Auditorías + Certificación

Registros de formación por empleado. Auditorías internas periódicas. Camino hacia la certificación ISO 42001 como diferenciación competitiva.

Referencia real — BBVA: Publicó en 2020 su Marco de Principios de IA con Comité de Ética multidisciplinar, evaluaciones de impacto antes del despliegue y formación obligatoria. Resultado: posicionamiento como banco referente en IA responsable, atracción de talento tecnológico y ventaja en licitaciones internacionales. La gobernanza de IA bien ejecutada es ventaja competitiva real.

Visión global

Comparativa por tamaño de empresa

Dimensión 🌱 Micro 🏢 PYME 🏗 Mediana 🏛 Grande
Documentos mínimos371220+
Roles necesarios1 (gerente)2-35-810+
¿Comité formal?NoOpcionalSí (con subcomités)
Frecuencia de revisiónAnualSemestralMensualMensual + continua
Tiempo de implementación2-3 horas2-4 semanas2-4 meses6-12 meses
Mantenimiento30 min/año2-3 h/mes1-2 pers. parcialEquipo dedicado
¿Consultor externo?Solo si hay alto riesgoRecomendadoNecesarioNecesario + Legal
Coste estimado0-500€500-3.000€3.000-15.000€15.000€+/año
ISO 42001No necesarioOpcionalRecomendadoObjetivo estratégico