Comité de gobernanza de IA
Quién toma las decisiones sobre IA en tu empresa, cómo se estructura el comité y qué responsabilidades tiene cada rol.
Paso 4 de 5
La política existe. Las reglas de datos están definidas. Ahora la pregunta es: quién se encarga de que todo esto funcione, se actualice y se cumpla.
Si la respuesta es "todos" o "el área de tecnología", el resultado va a ser el mismo: nadie. La gobernanza de IA necesita dueños claros con responsabilidades específicas.
Por qué un comité y no una persona
La IA toca demasiadas áreas como para que una sola persona la gobierne. Afecta la seguridad de la información, el cumplimiento legal, la operación de cada departamento, la estrategia de producto, la experiencia del cliente y las decisiones de contratación.
Un CISO solo no tiene el contexto de negocio. Un CTO solo no tiene el contexto legal. Un CEO solo no tiene el tiempo. El comité reúne las perspectivas necesarias para tomar decisiones que no sean ni paranoicas ni ingenuas.
Estructura mínima
No necesitas un comité de 15 personas. Necesitas cubrir cuatro funciones. En empresas de menos de 200 personas, una persona puede cubrir más de una función.
| Función | Responsabilidad | Quién suele cubrirla |
|---|---|---|
| Dirección y patrocinio | Respaldar las decisiones del comité con autoridad ejecutiva. Asegurar presupuesto. | CEO, COO o el C-level que patrocina la iniciativa de IA. |
| Tecnología y seguridad | Evaluar herramientas, configurar controles, mantener el inventario técnico, responder incidentes. | CTO, CISO, VP de Ingeniería o líder de IT. |
| Legal y cumplimiento | Revisar contratos con proveedores de IA, evaluar impacto regulatorio, validar la política de datos. | Director legal, oficial de cumplimiento o asesor externo. |
| Operaciones y negocio | Representar las necesidades reales de los equipos. Evitar que las reglas sean tan estrictas que nadie las siga. | Líder de operaciones, head de un departamento clave, o el champion de IA más senior. |
En empresas medianas, empieza con tres personas
Si tu empresa tiene entre 50 y 200 empleados, un comité de tres personas funciona bien: alguien de liderazgo ejecutivo, alguien de tecnología/seguridad y alguien de legal o cumplimiento. El representante de operaciones puede rotar según el tema.
Responsabilidades del comité
El comité no opera el día a día de IA en la empresa. No revisa cada prompt ni aprueba cada uso. Su trabajo es definir las reglas, decidir las excepciones y actualizar el marco cuando cambian las condiciones.
Lo que sí hace
- Aprobar y clasificar herramientas. Recibe solicitudes de nuevas herramientas de IA, las evalúa y las clasifica como aprobadas, restringidas o prohibidas.
- Actualizar la política. Revisa la política de uso al menos cada seis meses. Más seguido si hay cambios regulatorios o incidentes.
- Gestionar incidentes. Cuando hay una filtración de datos o un uso indebido, el comité coordina la respuesta: qué pasó, qué impacto tuvo, qué se cambia para que no se repita.
- Monitorear el panorama regulatorio. Seguir la evolución de la regulación de IA relevante para tu industria y geografía. Anticipar, no reaccionar.
- Reportar al board o a liderazgo. Informar periódicamente sobre el estado de la gobernanza: inventario, incidentes, riesgos emergentes, recomendaciones.
Lo que no hace
- No reemplaza al área de seguridad de la información. El comité define la política; seguridad la implementa técnicamente.
- No aprueba cada uso individual de IA. Las reglas generales cubren el 90% de los casos. El comité interviene en las excepciones.
- No bloquea la innovación. Un comité que solo dice "no" pierde legitimidad rápido. Su trabajo es encontrar el "sí, pero con estas condiciones".
Cadencia de operación
El comité necesita un ritmo predecible. Sin ritmo, las decisiones se acumulan y los equipos esperan semanas por respuestas.
| Actividad | Frecuencia |
|---|---|
| Reunión de revisión de solicitudes y herramientas nuevas | Quincenal |
| Revisión de incidentes y métricas | Mensual |
| Actualización de la política de uso | Semestral |
| Reporte a liderazgo ejecutivo | Trimestral |
| Revisión del panorama regulatorio | Trimestral o cuando haya cambio relevante |
La reunión quincenal no necesita ser larga
30 minutos son suficientes si llegas con las solicitudes documentadas. Formato: herramienta, caso de uso, clasificación de riesgo propuesta, decisión. Si no hay solicitudes pendientes, se cancela la reunión. Sin ceremonias innecesarias.
Cómo lanzar el comité
- Nombrar a los miembros. El CEO o sponsor ejecutivo designa a los integrantes. No es voluntario: es una responsabilidad asignada.
- Definir el charter. Un documento de una página que diga: quiénes somos, qué decidimos, qué no decidimos, con qué frecuencia nos reunimos, cómo nos contactan.
- Comunicar al equipo. Que toda la empresa sepa que el comité existe, quiénes lo integran y cómo enviarles solicitudes o reportar incidentes.
- Primera acción: ratificar la política. El comité revisa la política de uso que ya escribiste en el paso 2 y la aprueba formalmente. Eso le da peso institucional.
El comité sin sponsor ejecutivo es decorativo
Si el CEO o el C-level que patrocina no respalda activamente las decisiones del comité, los equipos van a ignorarlo. El sponsor no necesita estar en cada reunión, pero necesita respaldar las decisiones públicamente cuando haya resistencia.
Señales de que funciona
- Las solicitudes de herramientas nuevas llegan al comité antes de que alguien empiece a usarlas.
- Las reuniones se hacen en la cadencia definida, no se posponen indefinidamente.
- El comité ha dicho "sí" al menos tantas veces como ha dicho "no". Si solo bloquea, algo anda mal.
- Hay un registro documentado de decisiones y su justificación.
- Los equipos ven al comité como un recurso, no como un obstáculo.
Datos y límites
Qué información puede entrar a un LLM y cuál no. Criterios prácticos de clasificación para que tu equipo tome buenas decisiones sin consultar al área legal.
Regulación y cumplimiento
EU AI Act, regulaciones en Latinoamérica y frameworks de gobernanza. Lo que necesitas saber para cumplir sin inventar todo desde cero.