Lo mínimo que necesita
según el tamaño de
su empresa
No todas las empresas necesitan lo mismo. Este modelo le dice exactamente qué documentar, quién debe hacerlo y dónde guardarlo según su tamaño.
🌱 Microempresa — Menos de 10 empleados
La mayoría de microempresas usa IA de riesgo mínimo o limitado. Sus obligaciones son pequeñas pero reales. El objetivo es ser capaz de demostrar que conocen qué IA usan y que la usan responsablemente. Todo puede gestionarlo una sola persona en pocas horas.
¿Qué IA usa normalmente una microempresa?
Herramientas de productividad
ChatGPT, Copilot, Gemini para redactar emails, crear contenido o resumir documentos. Sin obligaciones específicas.
Chatbot en la web
Si tienen un chatbot de atención, deben añadir un aviso de que es IA. Es la obligación más común que incumplen.
Software con IA integrada
CRMs, ERPs o herramientas de marketing con funciones automáticas de scoring o predicción. Pueden ser alto riesgo sin saberlo.
3 documentos. No más.
Lista de herramientas de IA Obligatorio
Un documento simple (puede ser un Excel o incluso papel) con: nombre de cada herramienta, para qué la usan, y si tienen chatbot público. Actualizar cuando cambie algo. Tiempo: 30 minutos.
Política de uso de IA (versión simplificada) Obligatorio
Una página con: qué herramientas pueden usar los empleados, qué no pueden introducir en ellas (datos de clientes, información confidencial), y a quién avisar si algo va mal. Firmada por el gerente. Tiempo: 1 hora.
Aviso de IA en chatbot (si tienen) Obligatorio desde feb 2025
Texto visible en el chatbot que diga que el usuario está interactuando con un sistema de inteligencia artificial. Puede ser tan simple como: "Hola, soy un asistente virtual de [empresa]." Tiempo: 15 minutos.
Revisión anual del inventario Recomendado
Una vez al año, revisar que la lista sigue siendo correcta y que no han incorporado herramientas nuevas sin saberlo. Apuntarlo en el calendario. Tiempo: 30 minutos al año.
Una persona puede con todo
Responsable de todo
Aprueba la política, mantiene el inventario actualizado, se asegura de que los empleados la conocen. No necesita formación técnica — solo sentido común y 2-3 horas al año.
Sin complicaciones
Google Drive / carpeta compartida
Una carpeta llamada "Gobernanza IA" con los 2-3 documentos. Accesible para todos los empleados. Suficiente para una microempresa.
Lista de IA + Política firmada + Aviso chatbot
Si la AESIA les pide documentación (muy improbable para una microempresa), estos 3 documentos son toda la defensa que necesitan.
Tiempo total de implementación: 2-3 horas la primera vez. 30 minutos al año de mantenimiento. No necesita consultor externo si solo usa herramientas de riesgo mínimo. Si tiene chatbot o detecta algún sistema de alto riesgo, entonces sí tiene sentido pedir ayuda.
🏢 PYME — 10 a 250 empleados
Las PYMEs tienen más variedad de herramientas de IA y mayor probabilidad de tener algún sistema de riesgo limitado o alto (RRHH, CRM con scoring, chatbot de atención). Necesitan estructura básica pero sin burocracia excesiva. Una persona dedicada a tiempo parcial puede gestionarlo todo.
7 documentos clave
Inventario de sistemas de IA Obligatorio
Excel con todos los sistemas, su nivel de riesgo, departamento que los usa y responsable. Usar la plantilla de inventario de proyectosdeIA.com.
Política de Uso de IA corporativa Obligatorio
Documento formal de 3-5 páginas aprobado por la dirección. Firmado, comunicado a empleados y actualizado anualmente.
Avisos de transparencia (chatbots, contenido IA) Obligatorio
Texto de aviso en chatbots y marcado de contenido generado con IA en comunicaciones externas.
Registro de sistema para cada herramienta de alto riesgo Obligatorio si aplica
Un documento por sistema de alto riesgo con: descripción, datos que procesa, responsable, evaluación de riesgos y logs.
Actas de revisiones periódicas Recomendado
Documento que acredite que alguien revisa el cumplimiento al menos cada 6 meses. Puede ser informal pero debe quedar escrito.
Evidencia de formación de empleados Recomendado
Registro de quién ha recibido formación sobre el uso responsable de IA. Puede ser una lista firmada.
Contratos con proveedores revisados Recomendado
Verificar que los contratos con proveedores de IA incluyen cláusulas básicas de AI Act y RGPD.
3 roles. Sin comité formal.
Aprobador estratégico
Aprueba la política, los sistemas de alto riesgo y recibe informes semestrales. Dedicación: 2-3 horas al año.
AI Champion — Gestor operativo
Mantiene el inventario, gestiona la política, aprueba nuevas herramientas y reporta a dirección. Dedicación: 2-4 horas al mes.
AI Risk Owner
Supervisa el funcionamiento del sistema, revisa sus decisiones y puede suspenderlo si es necesario. Dedicación: según el sistema.
Simple y efectivo
Solicitud
Cualquier empleado que quiera usar una herramienta de IA nueva lo comunica al AI Champion por email con: nombre, función y para qué la usará.
Clasificación (AI Champion)
El AI Champion clasifica el riesgo en 24-48h. Si es mínimo: aprobación directa. Si es limitado o alto: pasa al gerente.
Aprobación (si es limitado o alto)
El gerente aprueba o rechaza. Si es alto riesgo: se crea el registro de sistema y se designa AI Risk Owner antes de usar.
Registro
Se añade al inventario. Se comunica al empleado solicitante. En 48-72h desde la solicitud inicial.
Centralizado y accesible
Google Drive / SharePoint / carpeta de servidor
Carpeta "Gobernanza IA" accesible al AI Champion y dirección. Subcarpetas por tipo: Política / Inventario / Registros / Actas.
2-4 semanas la primera vez
Semana 1: inventario. Semana 2: política. Semanas 3-4: registros de alto riesgo (si aplica). Mantenimiento: 2-3h/mes.
Cuándo necesita consultor externo: Si tiene sistemas de alto riesgo (RRHH con IA, crédito, etc.), si no sabe si algún sistema es de alto riesgo, o si la AESIA les ha contactado. Para el resto, con las plantillas de proyectosdeIA.com y 2-3 semanas de trabajo interno es suficiente.
🏗 Empresa Mediana — 250 a 1.000 empleados
Las empresas medianas tienen sistemas de IA en múltiples departamentos, mayor probabilidad de sistemas de alto riesgo y mayor exposición regulatoria. Necesitan una estructura de gobernanza formal con Comité, roles definidos y procesos documentados. La gestión requiere dedicación parcial de varias personas.
12 documentos mínimos
Inventario completo de sistemas de IA Obligatorio
Base de datos actualizada de todos los sistemas con clasificación, departamento, responsable y estado de cumplimiento.
Política de Uso de IA corporativa Obligatorio
Política formal aprobada por dirección, comunicada a todos los empleados y actualizada anualmente.
Registro de sistema por cada alto riesgo Obligatorio si aplica
Documentación técnica completa incluyendo datos, supervisión, logs y evaluación de riesgos.
Evaluaciones de impacto (DPIA + AI) Obligatorio si aplica
Para sistemas de alto riesgo que también tratan datos personales: evaluación conjunta AI Act + RGPD.
Actas del Comité de Gobernanza de IA Obligatorio
Documentación de cada reunión del Comité con decisiones, responsables y plazos.
Registros de formación Obligatorio
Evidencia documentada de que los empleados que usan sistemas de alto riesgo han sido formados.
Procedimiento de onboarding/offboarding IA Recomendado
Proceso documentado de gestión de accesos a herramientas de IA en altas y bajas de empleados.
Protocolo de gestión de incidentes de IA Recomendado
Procedimiento de escalada, investigación, comunicación y resolución de incidentes con sistemas de IA.
Contratos con proveedores revisados Recomendado
Todos los contratos con proveedores de IA con cláusulas de AI Act, auditoría y responsabilidad.
Comunicación externa de política de IA Recomendado
Versión pública de la política de IA en la web corporativa. Mejora la reputación y la confianza.
Mapa de riesgos de IA corporativo Opcional
Visión consolidada de todos los riesgos de IA de la empresa con estado de mitigación.
Hacia ISO 42001 Opcional
Si la empresa quiere certificarse, el trabajo de gobernanza básica cubre el 60-70% de los requisitos de la ISO 42001.
Comité formal + AI Champions
5-7 personas · Reunión mensual
Dirección + Legal + RRHH + IT + Compliance + AI Champions de áreas principales. Actas firmadas en cada reunión. Reporta trimestralmente a dirección.
Uno por área principal
RRHH, Marketing, Finanzas, Operaciones, IT. Cada uno conoce qué IA usa su área, gestiona las solicitudes y reporta al Comité mensualmente.
Uno por sistema de alto riesgo
Persona identificada con nombre y cargo. Firma el registro. Puede suspender el sistema. Reporta cualquier anomalía al AI Champion de su área.
Coordinación central
Puede ser el DPO existente con funciones ampliadas, el CISO, o un rol nuevo. Coordina el Comité, mantiene el inventario y reporta a dirección.
Referencia real: Empresas medianas como bufetes de 300 personas, aseguradoras regionales o cadenas de retail de tamaño medio en España están implementando exactamente esta estructura. El coste de implementación es de 3-6 meses de trabajo con apoyo externo y luego 1-2 personas a tiempo parcial de mantenimiento.
🏛 Gran Empresa — Más de 1.000 empleados
Las grandes empresas tienen múltiples sistemas de IA en todos los departamentos, alta probabilidad de sistemas de alto riesgo, y exposición regulatoria y reputacional significativa. Necesitan una función de gobernanza de IA estructurada, con roles dedicados, procesos formales y revisión continua. Referencia: BBVA, Telefónica, Santander, Inditex.
Los 4 niveles de la gran empresa
Supervisión estratégica
Aprueba la política de IA corporativa. Recibe informe anual de riesgos de IA. El CAIO (Chief AI Officer) o el CEO reporta aquí. Es el nivel de responsabilidad última ante la AESIA.
Comité Ejecutivo de IA · Mensual
CAIO + CLO + CHRO + CTO + CISO + CCO + CFO. Aprueba sistemas de alto riesgo antes del despliegue. Gestiona incidentes mayores. Revisa el estado de cumplimiento regulatorio.
Función dedicada
Equipo de 3-10 personas dedicadas a gobernanza de IA. Mantiene el inventario, desarrolla políticas, forma a AI Champions, coordina con reguladores y lidera la implementación de ISO 42001.
Red operativa
AI Champion en cada división o unidad de negocio. AI Risk Owner para cada sistema de alto riesgo. Red de contactos operativa que reporta al AI Office mensualmente.
Quién hace qué en la gran empresa
Responsable ejecutivo de IA
Lidera la estrategia de IA de la empresa. Preside el AI Governance Committee. Es el interlocutor ante la AESIA. Reporta al CEO o al Consejo. Puede ser un rol nuevo o una función asignada al CTO, CISO o CLO.
Cumplimiento normativo de IA
Interpreta el AI Act para la empresa. Coordina con AESIA y AEPD. Revisa contratos con proveedores. Gestiona las notificaciones de incidentes a reguladores. Trabaja estrechamente con el CAIO.
Seguridad y gestión de datos de IA
Gestiona la seguridad de los sistemas de IA. Supervisa los logs y la trazabilidad. Coordina con IT la configuración segura de herramientas. Evalúa riesgos técnicos de nuevos sistemas.
Gobernanza de IA en personas
Integra el AI Act en onboarding y offboarding. Gestiona la formación obligatoria de empleados. Supervisa los sistemas de IA en RRHH (alto riesgo). Coordina la cultura de IA responsable.
Marco documental de referencia
Política de IA corporativa + Manifiesto público
Política interna completa + versión pública del compromiso ético con la IA. Firmada por CEO. Revisada anualmente. Referencia: Telefónica, BBVA.
Inventario + Mapa de riesgos + Registros
Base de datos centralizada de sistemas. Mapa de riesgos consolidado. Registro completo de cada sistema de alto riesgo con evaluación de impacto.
Procedimientos + Protocolos + Actas
Procedimientos de aprobación, onboarding/offboarding, incidentes, auditoría interna y reporting. Actas de todas las reuniones del Comité.
Formación + Auditorías + Certificación
Registros de formación por empleado. Auditorías internas periódicas. Camino hacia la certificación ISO 42001 como diferenciación competitiva.
Referencia real — BBVA: Publicó en 2020 su Marco de Principios de IA con Comité de Ética multidisciplinar, evaluaciones de impacto antes del despliegue y formación obligatoria. Resultado: posicionamiento como banco referente en IA responsable, atracción de talento tecnológico y ventaja en licitaciones internacionales. La gobernanza de IA bien ejecutada es ventaja competitiva real.
Comparativa por tamaño de empresa
| Dimensión | 🌱 Micro | 🏢 PYME | 🏗 Mediana | 🏛 Grande |
|---|---|---|---|---|
| Documentos mínimos | 3 | 7 | 12 | 20+ |
| Roles necesarios | 1 (gerente) | 2-3 | 5-8 | 10+ |
| ¿Comité formal? | No | Opcional | Sí | Sí (con subcomités) |
| Frecuencia de revisión | Anual | Semestral | Mensual | Mensual + continua |
| Tiempo de implementación | 2-3 horas | 2-4 semanas | 2-4 meses | 6-12 meses |
| Mantenimiento | 30 min/año | 2-3 h/mes | 1-2 pers. parcial | Equipo dedicado |
| ¿Consultor externo? | Solo si hay alto riesgo | Recomendado | Necesario | Necesario + Legal |
| Coste estimado | 0-500€ | 500-3.000€ | 3.000-15.000€ | 15.000€+/año |
| ISO 42001 | No necesario | Opcional | Recomendado | Objetivo estratégico |