Volver a página de inicio

La gobernanza de la inteligencia artificial (IA) es uno de los mayores retos que enfrentan las organizaciones en la actualidad. En este contexto, el Chief AI Officer (CAIO) emerge como una figura crucial para supervisar la adopción responsable de tecnologías disruptivas.

La inteligencia artificial (IA) se ha consolidado como un vector de transformación tecnológica y económica de enorme relevancia, enfrentando a las organizaciones a retos sin precedentes en la medida que, en la actualidad, trabajadores, clientes, proveedores, entre otros actores, ya han empezado a utilizar herramientas basadas en IA. El principal desafío al que se enfrentan las organizaciones es precisamente el diseño y gestión de estructuras de gobernanza de los sistemas de IA. De este modo, la figura del Chief AI Officer (CAIO) se perfila como un elemento esencial para supervisar el desarrollo y la implementación de tecnologías disruptivas, especialmente en entornos donde la adopción de la IA debe ser compatible con principios éticos, normativos y estratégicos.

1. ¿Las organizaciones realmente necesitan o tienen la obligación de designar a un Chief AI Officer?

No existe ninguna obligación ex lege de designar a un responsable como tal, tampoco en el extenso Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (LA LEY 16665/2024) (en adelante, RIA). Sin embargo, el mercado ha empezado a autorregularse, puesto que en gran medida es imposible gobernar la IA sin personas que cumplan con roles y responsabilidades en relación con el sistema de gestión de la tecnología (1) . Según una encuesta realizada en agosto de 2023 a 965 responsables de departamentos de IT (tecnologías de la información) de empresas medianas y grandes a nivel global, el 11% ya había incorporado a un CAIO y un 21% adicional estaba en proceso de cubrir esta posición (2) . A la tendencia del mercado global, además, habría que sumar el esperado impacto que va a tener el RIA (LA LEY 16665/2024), que, si bien no exige la designación de un responsable como tal, sí contempla un amplio elenco de obligaciones en función de un enfoque de riesgo. Obligaciones y controles que deben ser implementados y supervisados por personas, más allá de las obligaciones específicas para sistemas de alto riesgo del artículo 14 del RIA (LA LEY 16665/2024), que exige supervisión humana. Así que todo parece indicar que estamos ante una posición o figura que es de esperar que se acabe consolidando más temprano que tarde en las organizaciones europeas a corto o medio plazo.

2. Lecciones aprendidas de la experiencia del DPD

A partir de las lecciones aprendidas del Delegado de Protección de Datos (DPD), vamos a analizar los desafíos y oportunidades que enfrenta el CAIO en su labor de supervisar el diseño, la implementación y la evaluación de sistemas de IA.

A) ¿Qué aporta el CAIO a las organizaciones? ¿Cuáles son sus funciones?

La trayectoria del DPD, desde su configuración como figura parcialmente obligatoria en el marco del RGPD y la LOPDGDD (LA LEY 19303/2018), pone de manifiesto que los roles de supervisión y cumplimiento requieren no solo de conocimientos técnicos y normativos, sino también de una sólida inserción en la estructura organizativa. La experiencia del DPD destaca por haber operado como catalizador de procesos internos de cumplimiento, promoviendo la adopción de políticas y medidas que se traducen en una mayor protección de los derechos fundamentales en el ámbito del tratamiento de datos personales.

Entre las principales funciones del DPD se encuentran la supervisión del cumplimiento normativo, el asesoramiento especializado a los órganos de decisión, la realización de evaluaciones de impacto, y la comunicación con las autoridades de control y otros interesados. Este conjunto de competencias proporciona un marco operativo que, con las adaptaciones pertinentes, puede inspirar el diseño del CAIO en el ámbito de la gobernanza de la IA.

El CAIO, al igual que el DPD, se configura como una figura con responsabilidades transversales que abarcan tanto la dimensión técnica como la normativa. Sin embargo, su ámbito de actuación presenta particularidades que amplían su alcance, al incluir no solo la supervisión del cumplimiento, sino también la orientación estratégica en la adopción y uso de sistemas de IA.

El CAIO debe ser el garante de que las políticas internas sobre IA se diseñen e implementen de forma coherente con los principios de transparencia, responsabilidad y respeto a los derechos fundamentales. Además, su intervención en la evaluación de riesgos asociados a la IA resulta imprescindible para anticipar y mitigar posibles conflictos éticos, jurídicos o reputacionales que puedan derivarse del uso de estas tecnologías.

Entre las funciones específicas del CAIO destaca la gestión de autorizaciones para el uso de sistemas de IA, asegurando que solo se empleen tecnologías y aplicaciones que cumplan con los requisitos establecidos en la política de uso de la organización. Este papel exige una vigilancia constante sobre los desarrollos tecnológicos y una capacidad de interlocución eficaz con los distintos departamentos de la organización.

B) ¿Debe ser un rol permanente?

La conveniencia de que el CAIO sea un rol permanente o temporal depende, en gran medida, de la naturaleza de la organización y del papel que esta desempeñe en el ecosistema de la inteligencia artificial. Para las empresas desarrolladoras de IA, cuya actividad principal implica el diseño y comercialización de sistemas algorítmicos, la permanencia de esta figura parece necesaria, al menos mientras se consolida un marco de gobernanza suficientemente robusto.

En cambio, para las organizaciones que se limitan a utilizar sistemas de IA desarrollados por terceros, el CAIO podría adoptar un carácter transitorio, asumiendo funciones puntuales vinculadas a la definición y supervisión de las políticas internas de uso de IA. Esta flexibilidad permite adaptar la estructura organizativa a las necesidades cambiantes del entorno normativo y tecnológico.

C) ¿Independencia o autonomía? Reporting y relaciones con la alta dirección

La independencia del CAIO no puede interpretarse como una desvinculación de la estructura organizativa, sino como una garantía de que su actuación estará libre de interferencias indebidas. Al mismo tiempo, debe garantizarse una relación fluida con la alta dirección, de manera que el CAIO pueda informar periódicamente sobre los avances, riesgos y medidas adoptadas en el ámbito de la IA. Este reporting, alineado con el principio de tone at the top, es fundamental para consolidar un compromiso estratégico con la gobernanza ética y responsable de la IA.

Si hacemos la analogía con el oficial de cumplimiento o compliance officer sólo encontramos una excepción reseñable, la del artículo 31 bis apartado 3 del Código Penal (LA LEY 3996/1995), que permite excepcionalmente que los administradores puedan asumir la función de cumplimiento normativo en el supuesto de personas jurídicas de pequeñas dimensiones que, según la legislación aplicable, estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada.

D) Composición. Unipersonal u órgano colegiado

La experiencia del DPD también plantea el debate sobre si este tipo de funciones deben asignarse a una figura unipersonal o a un órgano colegiado. Si bien la concentración de responsabilidades en una persona facilita la claridad en la toma de decisiones, también puede generar una sobrecarga de trabajo que limite su eficacia. Por otro lado, un modelo colegiado permite incorporar perspectivas diversas, pero corre el riesgo de ralentizar los procesos decisorios.

Un modelo híbrido, donde el CAIO actúe como figura coordinadora dentro de un comité de gobernanza de IA, podría ofrecer un equilibrio adecuado entre agilidad operativa y pluralidad de enfoques.

E) Un estatuto jurídico reforzado. Proteger a los oficiales de cumplimiento y responsables de los sistemas de gestión

Para garantizar la efectividad del CAIO, es imprescindible dotarlo de un estatuto jurídico reforzado que proteja su independencia funcional y le proporcione los recursos necesarios para el desempeño de sus responsabilidades. Este estatuto debe incluir garantías frente a posibles represalias internas, así como mecanismos que aseguren su acceso a la información y su participación en los procesos de decisión más relevantes.

F) Una figura interna frente al sinsentido de la externalización del DPD

La experiencia acumulada con la figura del DPD ha evidenciado los importantes desafíos asociados a la externalización de funciones esenciales para la gobernanza organizativa. Si bien se ha permitido en lapráctica que el DPD pueda ser un consultor externo, esto ha demostrado ser, en muchos casos, contraproducente, y su utilidad limitada. Estas mismas lecciones resultan aplicables al debate sobre el CAIO puesto que la externalización de roles clave de cumplimiento introduce una desconexión estructural entre el responsable del cumplimiento normativo y el funcionamiento interno de la organización. Una figura externa carece, por su naturaleza, de la inmersión cotidiana necesaria para comprender las dinámicas, riesgos y peculiaridades de cada área organizativa. Razones que subyacen a la decisión de la Fiscalía General del Estado en su Circular 1/2016, relativa a la responsabilidad penal de las personas jurídicas, en la que se interpreta que la figura del oficial de cumplimiento o compliance officer debe ser interna, debido a la necesidad de que esta figura cuente con un conocimiento exhaustivo de los procesos internos y esté en constante interacción con los distintos departamentos de la organización. La Fiscalía subraya que la designación de un responsable de cumplimiento interno favorece una supervisión más eficaz y una verdadera integración del sistema de compliance en la estructura y cultura corporativa.

3. Conclusiones

El CAIO se configura como una figura clave para garantizar que las organizaciones enfrenten los desafíos de la IA con un enfoque ético, estratégico y alineado con los estándares internacionales. Las lecciones aprendidas del DPD ofrecen una base sólida para conceptualizar este rol, pero es necesario adaptarlas a las particularidades de la IA, una tecnología cuya complejidad y potencial transformador exigen nuevas aproximaciones a la gobernanza.

La figura del CAIO no solo responde a una necesidad normativa, sino que también representa una oportunidad para que las organizaciones lideren la transición hacia un modelo de innovación tecnológica responsable y sostenible.