Glosario de gobierno de IA y supervisión tecnológica

Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial. Aplicación plena el 2 de agosto de 2026.

Sistema de IAArt. 3(1) del Reglamento (UE) 2024/1689

Sistema basado en máquina diseñado para funcionar con distintos niveles de autonomía, que puede mostrar capacidad de adaptación tras su despliegue y que, para objetivos explícitos o implícitos, infiere de la entrada que recibe cómo generar salidas (predicciones, contenidos, recomendaciones o decisiones) que pueden influir en entornos físicos o virtuales.

Sistema de alto riesgoAnexo III del Reglamento (UE) 2024/1689

Sistema de IA cuyo uso está incluido en alguno de los ámbitos enumerados en el Anexo III (entre otros: biometría, infraestructuras críticas, educación, empleo, acceso a servicios esenciales, aplicación de la ley, migración y administración de justicia). Está sujeto a obligaciones reforzadas de gestión del riesgo, calidad de datos, transparencia, supervisión humana y registro.

Práctica prohibidaArt. 5 del Reglamento (UE) 2024/1689

Uso de IA expresamente vetado por el Reglamento por incompatibilidad con los derechos fundamentales. Incluye, entre otras, la manipulación cognitiva subliminal, el scoring social generalizado, la categorización biométrica por rasgos sensibles y determinadas formas de identificación biométrica remota en tiempo real. Infracción sancionada con hasta el 7 % del volumen anual mundial de negocio.

Supervisión humanaArt. 14 del Reglamento (UE) 2024/1689

Obligación de que los sistemas de IA de alto riesgo puedan ser supervisados efectivamente por personas físicas durante su uso, con capacidad de comprender el funcionamiento, decidir no utilizar la salida, invalidarla o interrumpir el sistema. La supervisión debe ser proporcionada al riesgo y estar documentada.

Responsable del despliegueArt. 26 del Reglamento (UE) 2024/1689

Persona física o jurídica que utiliza un sistema de IA bajo su autoridad. Es responsable, entre otras obligaciones, de utilizar el sistema conforme a las instrucciones del proveedor, asegurar la supervisión humana, mantener registros de funcionamiento y notificar incidentes graves. La condición de responsable del despliegue no se transfiere al proveedor del sistema.

Modelo de IA de propósito general (GPAI)Art. 3(63) y Capítulo V del Reglamento (UE) 2024/1689

Modelo de IA entrenado con grandes volúmenes de datos mediante autosupervisión a gran escala, que muestra generalidad significativa y es capaz de realizar competentemente una amplia gama de tareas distintas, con independencia de cómo se comercialice o integre en sistemas posteriores. Los modelos con riesgo sistémico están sujetos a obligaciones adicionales.

Evaluación de la conformidadArt. 43 del Reglamento (UE) 2024/1689

Procedimiento por el que se demuestra que un sistema de IA de alto riesgo cumple los requisitos del capítulo II del Reglamento. Concluye con la declaración UE de conformidad y, cuando procede, el marcado CE. Sin estos elementos, el sistema no puede comercializarse ni ponerse en servicio en la UE.

Incidente graveArt. 73 del Reglamento (UE) 2024/1689

Cualquier malfuncionamiento o incidente relacionado con un sistema de IA de alto riesgo que cause, directa o indirectamente, fallecimiento, daño grave a la salud, perturbación grave en infraestructuras críticas o vulneración de derechos fundamentales. Debe notificarse a la autoridad competente en plazos breves desde la toma de conocimiento.

Marco normativo y de soft law que rige el funcionamiento del órgano de administración en empresas españolas, con particular relevancia para sociedades cotizadas y empresas familiares de tamaño relevante.

Recomendación 23 del Código de Buen GobiernoCódigo de Buen Gobierno de las Sociedades Cotizadas, CNMV (versión vigente)

Recomendación que admite expresamente que el consejo de administración, en ejercicio de su facultad de auto-organización, constituya comisiones especializadas adicionales a las nombradas por el propio Código (auditoría, nombramientos y retribuciones). Es la base normativa para constituir una comisión especializada en tecnología, datos e inteligencia artificial sin necesidad de cambio regulatorio.

Consejero independienteArt. 529 duodecies de la Ley de Sociedades de Capital

Consejero designado en atención a sus condiciones personales y profesionales, que puede desempeñar sus funciones sin verse condicionado por relaciones con la sociedad o su grupo, sus accionistas significativos o sus directivos. Su independencia es un criterio cualitativo que se evalúa de forma continuada.

Comisión especializada del consejoArts. 529 terdecies y siguientes de la Ley de Sociedades de Capital

Órgano interno del consejo de administración con funciones delegadas en una materia específica. La Ley de Sociedades de Capital regula expresamente las comisiones de auditoría y de nombramientos y retribuciones. El consejo puede constituir comisiones especializadas adicionales en ejercicio de su facultad de auto-organización.

Deber de diligenciaArt. 225 de la Ley de Sociedades de Capital

Deber del administrador de desempeñar el cargo con la diligencia de un ordenado empresario. Incluye el derecho-deber de exigir y recabar la información adecuada y necesaria para el cumplimiento de sus obligaciones. En materia tecnológica, su exigibilidad ha aumentado a medida que la regulación europea sectorial (AI Act, DORA, NIS2) ha incorporado deberes específicos al órgano de administración.

Comité de auditoríaArt. 529 quaterdecies de la Ley de Sociedades de Capital

Comisión obligatoria del consejo en sociedades cotizadas y entidades de interés público. Supervisa, entre otras materias, la eficacia del control interno, los sistemas de gestión de riesgos (incluidos los tecnológicos) y el proceso de elaboración de la información financiera.

Cuerpo normativo europeo aplicable a la supervisión del riesgo digital, ciberseguridad y resiliencia operativa, con obligaciones específicas para el órgano de administración.

DORAReglamento (UE) 2022/2554 sobre resiliencia operativa digital

Reglamento aplicable plenamente desde el 17 de enero de 2025 a entidades del sector financiero. Establece requisitos uniformes sobre la seguridad de las redes y sistemas de información de las entidades financieras y de sus terceros proveedores críticos de TIC. Atribuye al órgano de dirección la responsabilidad última de la gestión del riesgo de TIC.

NIS2Directiva (UE) 2022/2555 sobre ciberseguridad

Directiva europea de ciberseguridad que sustituye a NIS1, ampliando los sectores cubiertos y reforzando los requisitos para entidades esenciales e importantes. Incluye obligaciones específicas del órgano de dirección sobre aprobación de medidas, formación, supervisión y rendición de cuentas. Transposición nacional con sanciones individuales para administradores en caso de incumplimiento grave.

RGPDReglamento (UE) 2016/679 de Protección de Datos

Reglamento general de protección de datos aplicable a todo tratamiento de datos personales en la UE. Establece principios (licitud, minimización, integridad, responsabilidad proactiva), obligaciones del responsable, derechos del interesado y el régimen sancionador (hasta el 4 % del volumen anual mundial). Es base normativa transversal que se entrelaza con el AI Act cuando los sistemas tratan datos personales.

Ciber-riesgo

Riesgo de pérdida financiera, perturbación operativa o daño reputacional derivado de fallos, indisponibilidades o ataques que afecten a los sistemas de información de una organización. Su tratamiento como materia de consejo se ha intensificado con DORA, NIS2 y los marcos sectoriales aplicables, dejando de ser una materia exclusivamente técnica.

Estándares internacionales y nacionales utilizados para estructurar el control interno tecnológico y certificable. Su elección y mantenimiento son materia que normalmente se reporta al consejo a través del comité de auditoría o de la comisión especializada en tecnología.

ISO/IEC 27001Estándar internacional de gestión de la seguridad de la información

Norma que especifica los requisitos para establecer, implantar, mantener y mejorar de forma continua un sistema de gestión de la seguridad de la información (SGSI). Certificable por entidad acreditada. Es uno de los marcos de referencia para demostrar a clientes, auditores y reguladores la madurez del control de seguridad.

ISO/IEC 42001Estándar internacional de gestión de la inteligencia artificial

Norma publicada en diciembre de 2023 que especifica los requisitos para implantar un sistema de gestión de IA (AIMS) en organizaciones que desarrollan, despliegan o utilizan sistemas de IA. Diseñada para ser compatible con el EU AI Act y certificable como complemento a ISO/IEC 27001 e ISO 9001.

PCI DSSPayment Card Industry Data Security Standard

Estándar obligatorio para toda entidad que almacene, procese o transmita datos de titulares de tarjetas de pago. Su versión vigente (v4.0) refuerza los requisitos sobre criptografía, autenticación y monitorización. Aplica con independencia del país y suele auditarse anualmente.

ENS — Esquema Nacional de SeguridadReal Decreto 311/2022

Marco español obligatorio para el sector público y sus proveedores tecnológicos. Establece la política de seguridad y los requisitos mínimos para la protección de la información tratada y los servicios prestados. Categorías Básica, Media y Alta. Su cumplimiento se acredita mediante declaración o certificación según la categoría.