Solutions
Corporate Learning (LMS)Local InferenceAI GovernanceEdge AICompliance Hub
Resources
TemplatesTrainingGrantsEU AI Act
Lab
ToolsAI AgentsWorkflowsModelsSoftwareProductsExternal Resources
About
About VORLUX AITeamCareers
Blog Labs Contact Member Area
Book Initial Consultation
Back to templates
governance raci-matrix

AI Governance Roles & Responsibilities Matrix

A comprehensive RACI matrix defining roles and responsibilities for AI governance activities across all organisational levels — from board to individual users — aligned with EU AI Act deployer obligations.

Request customization
🌐
Bilingual / Bilingüe

This template includes both English and Spanish versions. Scroll down to find "Versión Española".

Disclaimer: This is guidance only, not legal advice. Consult qualified legal counsel before adopting this matrix. | Este documento es solo orientativo, no constituye asesoramiento jurídico.

AI Governance Roles & Responsibilities Matrix

Document Reference: [ORG-RACI-AI-001] Version: 1.0 Effective Date: [DATE] Review Date: [DATE + 12 months] Owner: AI Officer Approved by: CEO / AI Governance Committee Classification: Internal

1. How to Read This Document

1.1 RACI Key

LetterRoleDefinition
RResponsibleDoes the work; carries out the activity
AAccountableOwns the outcome; the “buck stops here”; must approve or sign off; there should be only ONE accountable per activity
CConsultedProvides input before or during the activity; two-way communication
IInformedKept updated on progress or outcome; one-way communication
Not involvedNo role in this activity

1.2 Roles Covered in This Matrix

Role AbbreviationFull Role TitleReports To
CEOChief Executive OfficerBoard of Directors
CTOChief Technology OfficerCEO
DPOData Protection OfficerCEO / Legal (must be independent)
CISOChief Information Security OfficerCTO or CEO
AIOAI OfficerCTO or CEO
LGLLegal / General CounselCEO
HRHR DirectorCEO
DHDDepartment Heads (all departments)CEO
USRIndividual Users / All EmployeesDepartment Heads

*[Note: Customise role titles to reflect your organisation’s actual structure. In smaller organisations, roles may be combined — document any dual-hatting clearly and assess whether it creates conflicts of interest.]

2. Role Descriptions

2.1 CEO (Chief Executive Officer)

The CEO has ultimate accountability to the board for the Organisation’s AI governance posture. The CEO:

  • Chairs or delegates chair of the AI Governance Committee
  • Approves the AI risk appetite statement
  • Is accountable for regulatory compliance with the EU AI Act at organisational level
  • Ensures adequate resources are allocated to AI governance
  • Represents the Organisation in material regulatory engagements

Key AI obligations:

  • Approve and sign the AI governance framework and major policies
  • Receive quarterly AI governance briefings
  • Escalation point for material AI incidents

2.2 CTO (Chief Technology Officer)

The CTO is responsible for the technical strategy, infrastructure, and technical governance of AI systems. The CTO:

  • Oversees the technical implementation of AI systems
  • Ensures AI systems are built or procured to meet security, robustness, and accuracy requirements
  • Line-manages the AI Officer (in most structures)
  • Reports on AI technical risks to the AI Governance Committee

2.3 DPO (Data Protection Officer)

The DPO is a legally required role under GDPR (Art. 37) for many organisations, and plays a critical role in AI governance given the data-intensive nature of AI systems. The DPO:

  • Monitors compliance with GDPR for all AI processing activities
  • Advises on DPIAs for AI systems
  • Acts as contact point with AEPD (Spain)
  • Must be consulted before deployment of any AI system processing personal data
  • Must operate with independence — cannot be instructed on how to carry out their tasks

Independence note: The DPO cannot simultaneously be Responsible or Accountable for activities they are supposed to monitor. Where the DPO appears as C (Consulted), their opinion must be documented.

2.4 CISO (Chief Information Security Officer)

The CISO is responsible for information security across the Organisation, including the security of AI systems. The CISO:

  • Assesses cybersecurity risks of AI systems before and during deployment
  • Sets and enforces security requirements for AI procurement and development
  • Manages AI-related security incidents
  • Maintains the security monitoring programme for AI systems
  • Advises on access controls, encryption, and threat modelling for AI

2.5 AI Officer (AIO)

The AI Officer is the day-to-day operational lead for AI governance. This role may be a dedicated position or a responsibility assigned to an existing role (document clearly). The AI Officer:

  • Maintains the AI System Inventory and Risk Register
  • Manages the AI tool approval process
  • Coordinates risk assessments and DPIAs
  • Monitors AI system performance and incidents
  • Reports to the AI Governance Committee
  • Manages the AI Champions network
  • Liaises with AESIA (Spain’s AI supervisory authority) where required

2.6 Legal / General Counsel (LGL)

Legal provides specialist advice on regulatory compliance, contract management, and liability. In AI governance:

  • Reviews AI system contracts and Data Processing Agreements
  • Advises on EU AI Act classification and compliance obligations
  • Reviews high-stakes AI-generated content (regulatory submissions, litigation, public statements)
  • Manages regulatory inquiries and enforcement actions
  • Advises on intellectual property issues related to AI

2.7 HR Director (HR)

HR manages the people dimension of AI governance:

  • Ensures AI policy is communicated and understood by all staff
  • Manages AI training programmes
  • Handles disciplinary matters arising from AI policy breaches
  • Advises on employment law implications of AI use (especially in HR/people decisions)
  • Manages change management for AI adoption

2.8 Department Heads (DHD)

Department Heads are accountable for AI governance within their teams:

  • Ensure team members complete mandatory AI training
  • Enforce AI policy compliance within their department
  • Support the AI Champion in their department
  • Approve AI use cases originating from their department
  • Escalate incidents and shadow AI instances to the AI Officer
  • Review Tier 2 AI-generated content before use

2.9 Individual Users (USR)

All employees who use AI tools are responsible for:

  • Complying with the Acceptable AI Use Policy
  • Completing mandatory AI literacy training
  • Only using approved AI tools for work purposes
  • Submitting requests for new AI tools through proper channels
  • Reporting incidents, shadow AI, or concerns promptly
  • Reviewing and verifying AI-generated content before use
  • Protecting confidential and personal data in AI interactions

3. Master RACI Matrix

3.1 AI Strategy and Governance

ActivityCEOCTODPOCISOAIOLGLHRDHDUSR
Approve AI strategy and roadmapARCCRCIII
Set and approve AI risk appetiteACCCRCII
Approve AI Governance FrameworkACCCRCCII
Chair AI Governance CommitteeACCCRCCI
Allocate budget for AI governanceACIIRIII
Report AI governance to BoardACCCRCII
Appoint AI OfficerARIIICI
Maintain AI governance documentationIICIA/RCII
Annual Framework reviewACCCRCCII

3.2 AI System Procurement and Approval

ActivityCEOCTODPOCISOAIOLGLHRDHDUSR
Submit new AI tool requestIIIIIIIAR
Initial risk screening of requested toolIIIIA/RIICI
Security assessment of AI tool/vendorIIIA/RCIICI
DPIA for AI processing (personal data)IIA/RCCCICI
Legal review — AI Act classificationIICICA/RII
Legal review — vendor contract/DPAIICICA/RII
Final approval — Low/Minimal risk toolsIIIIA/RIIII
Final approval — High risk systemsACCCRCII
Approve tool for enterprise rolloutIACCRCICI
Communicate approved tool to usersIIIIA/RIRRI
Reject tool request (with reasons)IIIIA/RCIII

3.3 Risk Assessment

ActivityCEOCTODPOCISOAIOLGLHRDHDUSR
Maintain AI Risk RegisterIICCA/RIIII
Conduct risk assessment for new AI systemIICCA/RCICI
Conduct DPIA (GDPR Art. 35)IIA/RCCCICI
Prior consultation with AEPD (if required)IIA/RICCII
Conduct bias and fairness assessmentICCIA/RICCI
Conduct security/penetration testingICIA/RCIIII
Review risk register — quarterlyIICCA/RCIII
Escalate high risks to AI Governance CommitteeIICCA/RCIII
Assess EU AI Act compliance for high-risk systemsACCCRA/RII

3.4 Training and AI Literacy

ActivityCEOCTODPOCISOAIOLGLHRDHDUSR
Define AI training requirementsIICIRCACI
Develop AI literacy training contentIICCRCACI
Deliver mandatory AI awareness trainingIIIICIA/RRI
Deliver advanced AI governance training (managers)IICCRCAII
Complete mandatory AI literacy trainingIIIIIIIRA/R
Track and report training completionIIIICIA/RCI
Enforce training completion (escalate non-completion)IIIICIARI
Update training when policy/law changesIICCRCAII
AI Champion briefings and network meetingsIICIA/RICRI

3.5 Monitoring and Performance

ActivityCEOCTODPOCISOAIOLGLHRDHDUSR
Maintain AI System InventoryIICIA/RIICI
Monitor AI system performance (accuracy, uptime)ICICA/RIIRI
Monitor AI systems for bias/discriminatory outputsIICIA/RICRI
Shadow AI detection and monitoring (technical)ICIA/RCIIII
Shadow AI detection (department surveys)IIIIRIRAR
Monitor policy compliance (all employees)IIIIRIARI
Prepare monthly AI operational dashboardIIIIA/RIIII
Prepare quarterly AI governance committee reportIICCA/RCIII
Prepare quarterly board AI governance reportACCCRCII
Annual AI governance effectiveness reviewACCCRCCCI

3.6 Incident Response

ActivityCEOCTODPOCISOAIOLGLHRDHDUSR
Report AI incident / suspected issueIIIIIIIIA/R
Receive and log incident reportIIIIA/RIIII
Classify incident severityIICCA/RIIII
Contain incident (technical isolation)IRIA/RCIIII
Assess personal data breach (GDPR)IIA/RCCCIII
Notify AEPD (if personal data breach >72hr threshold)AIA/RICCII
Notify affected data subjects (if required)IIA/RICCII
Conduct incident investigationICCCA/RCCCI
Implement technical remediationIACRCIIII
Handle disciplinary aspects of incidentIIIICIA/RRI
Produce Post-Incident ReportIICCA/RCCCI
Present findings to AI Governance CommitteeIICCA/RCCC
Escalate critical incidents to CEO/BoardACCCRCII
Update risk register following incidentIICCA/RIIII

3.7 Vendor Management

ActivityCEOCTODPOCISOAIOLGLHRDHDUSR
Identify potential AI vendorsIRIIRIIA/RC
Conduct AI vendor due diligence (technical)ICIA/RCIICI
Conduct AI vendor due diligence (data protection)IIA/RCCCICI
Negotiate and sign vendor contractICCCCA/RICI
Negotiate and sign Data Processing AgreementIIA/RICRII
Manage ongoing vendor relationshipICIIA/RCICI
Annual vendor performance reviewICCCA/RCICI
Manage vendor security incidentsICIA/RCCICI
Offboard AI vendor (contract end / switch)ICCCRAICI
Manage vendor access terminationIRCACCICI

3.8 Policy Review and Updates

ActivityCEOCTODPOCISOAIOLGLHRDHDUSR
Trigger policy review (scheduled or event-based)IICCA/RCCII
Draft policy updatesIICCRCCII
Review policy updates (legal/compliance)IICCIACII
Review policy updates (data protection)IIACRCCII
Stakeholder consultation on major policy changesICCCA/RCRCC
Approve updated policyACCCRCCII
Communicate policy updates to staffIIIIRIA/RRI
Acknowledge updated policy (all staff)IIIIIIARR
Archive superseded policy versionsIIIIA/RIIII

3.9 Automated Decision-Making and Human Oversight

(Applies to AI systems covered by GDPR Art. 22 or EU AI Act human oversight requirements)

ActivityCEOCTODPOCISOAIOLGLHRDHDUSR
Identify AI systems with automated decision-makingICCIA/RCICI
Define human oversight requirements per systemICCIRCCAI
Implement human override / review mechanism (technical)IA/RCCCIICI
Conduct human review of AI decisions (ongoing)IIIICICAR
Handle data subject requests for human review (Art. 22)IIA/RICCCRI
Audit human oversight complianceIICIA/RCCCI
Report oversight failures to AI Governance CommitteeIICCA/RCIII

4. Role-Specific Summary Cards

These one-page summaries can be distributed to individuals in each role.

CEO Summary Card

Your key AI governance responsibilities:

  • Approve the AI risk appetite and governance framework
  • Receive and act on quarterly AI governance reports
  • Ensure adequate resources for AI compliance
  • Final escalation point for critical AI incidents
  • Board accountability for EU AI Act compliance

You must be informed of:

  • All P1 (Critical) AI incidents within 2 hours
  • Material regulatory inquiries about AI
  • Any decision to proceed against DPO advice

CTO Summary Card

Your key AI governance responsibilities:

  • Technical strategy and oversight of all AI systems
  • Ensure AI systems meet security, accuracy, and robustness standards
  • Oversee AI Officer (if direct report)
  • Technical incident response and remediation

You must be informed of:

  • All P1 and P2 AI incidents
  • Technical vulnerabilities in AI systems
  • Significant AI vendor issues

DPO Summary Card

Your key AI governance responsibilities:

  • Advise on all AI processing involving personal data
  • Review and sign off all DPIAs for AI systems
  • Contact point for AEPD; manage prior consultations
  • Monitor GDPR compliance across all AI systems
  • Must be consulted before deployment — your opinion must be documented

You are accountable for:

  • Quality and completeness of DPIAs
  • GDPR breach notifications to AEPD
  • Independence of data protection function

You cannot be Responsible or Accountable for activities you are monitoring.

CISO Summary Card

Your key AI governance responsibilities:

  • Security assessments for all AI tools and vendors
  • Maintain security controls for AI systems (encryption, access, monitoring)
  • Shadow AI detection (technical)
  • AI-related security incident response

You must be informed of:

  • All AI-related security incidents
  • New AI system deployments that are security-relevant
  • Vendor security incidents

AI Officer Summary Card

Your key AI governance responsibilities:

  • Day-to-day AI governance operations
  • AI System Inventory and Risk Register
  • AI tool approval process
  • Coordinate risk assessments and DPIAs
  • AI Governance Committee agenda and reporting
  • AI Champions network
  • Monitor performance, incidents, and shadow AI
  • Liaise with AESIA

You are the primary R across most governance activities. When in doubt, it lands with you to co-ordinate.

Your key AI governance responsibilities:

  • EU AI Act classification and compliance advice
  • Vendor contract review and DPA negotiation
  • High-stakes content review
  • Regulatory inquiry and enforcement management
  • IP advice on AI-generated content

You must be informed of:

  • All potential regulatory breaches
  • Material AI incidents with legal exposure
  • Significant vendor contract issues

HR Director Summary Card

Your key AI governance responsibilities:

  • AI policy communication and training programme
  • Training completion tracking and enforcement
  • Disciplinary matters arising from AI policy breaches
  • Employment law advice for AI in HR decisions
  • Change management for AI adoption

You must be informed of:

  • Policy breaches by employees
  • AI training completion rates
  • AI use in people decisions (recruitment, performance, etc.)

Department Head Summary Card

Your key AI governance responsibilities:

  • Ensure your team completes mandatory AI training
  • Enforce AI policy in your department
  • Support your AI Champion
  • Escalate incidents and shadow AI to AI Officer
  • Review Tier 2 AI-generated content before use
  • Approve AI use case requests from your team before submitting to AI Officer

Key message: You are the first line of AI governance in your department. Your team looks to you to model responsible AI use.

Individual User Summary Card

Your key AI governance responsibilities:

  • Only use AI tools on the Approved Tools List
  • Complete mandatory AI literacy training on time
  • Submit a request before using any new AI tool
  • Never enter personal data, client data, or secrets into any AI tool
  • Always verify AI-generated content before using it
  • Report concerns, incidents, or shadow AI immediately

Quick checklist before using any AI tool:

  • Is this tool on the Approved List?
  • Am I about to enter any personal data, client info, or confidential material?
  • Will I verify the output before using it?
  • If I am unsure about any of the above — have I asked my AI Champion?

5. Known Conflicts and Resolution

Potential ConflictResolution
DPO independence: DPO cannot be accountable for activities they must auditDPO role is C (Consulted) on policy approval; DPO is never A for activities involving AI system operation
AI Officer and CISO both involved in security assessmentsCISO is A/R for security assessment; AI Officer is C; AI Officer is A/R for risk register entry
HR and Legal both involved in disciplinary mattersHR is A/R for disciplinary procedure; Legal is C for legal advice; HR owns the process
DPO and Legal both involved in regulatory mattersLegal is A/R for general regulatory matters; DPO is A/R for GDPR-specific regulatory engagement with AEPD
Multiple C roles potentially create decision paralysisConsultation must be time-limited: maximum [5] business days for standard decisions; [2] business days for urgent matters

6. RACI Matrix Change Log

VersionDateChanged bySummary of changesApproved by
1.0[DATE][Name]Initial version[Name, Title]

Annex A — Org Chart Template for AI Governance

Adapt and complete with actual names and reporting lines.

BOARD OF DIRECTORS

       CEO ──────────────── DPO (independent)

   ┌────┴────┐
  CTO       LGL

  CISO

  AIO (AI Officer)

  ┌─────┬─────┬────┐
 DHD1  DHD2  DHD3  HR
  │     │     │
 AC1   AC2   AC3   (AI Champions)
  │     │     │
 USR   USR   USR   (All employees)

AC = AI Champion (embedded in each department)

Annex B — Glossary of Roles

AbbreviationFull TitleAlternative Titles Sometimes Used
CEOChief Executive OfficerManaging Director, Director General
CTOChief Technology OfficerHead of Technology, IT Director
DPOData Protection OfficerData Privacy Officer (note: GDPR uses “Protection”)
CISOChief Information Security OfficerHead of Information Security, Security Director
AIOAI OfficerAI Governance Lead, Chief AI Officer, AI Compliance Manager
LGLLegal / General CounselCompany Secretary, Head of Legal, Legal Director
HRHuman Resources DirectorPeople Director, Head of HR, People & Culture Lead
DHDDepartment HeadManager, Director, Head of [function]
USRIndividual UserEmployee, Staff Member, Team Member

In smaller organisations, one person may hold multiple roles. Document any dual-hatting and assess for conflicts of interest. At minimum, the DPO must remain independent.

Template provided by VORLUX AI | vorluxai.com This is guidance only, not legal advice. Version 1.0 | For EU AI Act compliance use | Last updated: 2026-04-05

Versión Española

Matriz de Roles y Responsabilidades de Gobernanza de IA

Referencia: [ORG-RACI-AI-001] Versión: 1.0 Fecha de vigencia: [FECHA] Fecha de revisión: [FECHA + 12 meses] Propietario: AI Officer Aprobado por: CEO / Comité de Gobernanza de IA Clasificación: Interno

1. Cómo Leer Este Documento

1.1 Clave RACI

LetraRolDefinición
RResponsableRealiza el trabajo; ejecuta la actividad
AAccountable (Aprobador)Es dueño del resultado; tiene la última palabra; debe aprobar o dar el visto bueno; solo UNO por actividad
CConsultadoAporta información antes o durante la actividad; comunicación bidireccional
IInformadoSe le mantiene actualizado sobre el progreso o resultado; comunicación unidireccional
No involucradoSin rol en esta actividad

1.2 Roles Cubiertos en Esta Matriz

AbreviaturaTítulo completoReporta a
CEODirector GeneralConsejo de Administración
CTODirector de TecnologíaCEO
DPODelegado de Protección de DatosCEO / Legal (debe ser independiente)
CISODirector de Seguridad de la InformaciónCTO o CEO
AIOAI OfficerCTO o CEO
LGLLegal / Asesoría JurídicaCEO
HRDirector de RRHHCEO
DHDResponsables de Departamento (todos)CEO
USRUsuarios Individuales / Todos los EmpleadosResponsables de Departamento

*[Nota: Personalice los títulos de rol para reflejar la estructura real de su organización. En organizaciones más pequeñas, los roles pueden combinarse — documente cualquier duplicación y evalúe si genera conflictos de interés.]

2. Descripciones de Roles

2.1 CEO (Director General)

Responsabilidad última ante el consejo por la postura de gobernanza de IA de la organización.

  • Preside o delega la presidencia del Comité de Gobernanza de IA
  • Aprueba la declaración de apetito de riesgo de IA
  • Es accountable del cumplimiento regulatorio con el EU AI Act a nivel organizativo
  • Asegura la asignación de recursos adecuados para la gobernanza de IA

2.2 CTO (Director de Tecnología)

Responsable de la estrategia técnica, infraestructura y gobernanza técnica de los sistemas de IA.

  • Supervisa la implementación técnica de los sistemas de IA
  • Asegura que los sistemas cumplan requisitos de seguridad, robustez y precisión
  • Generalmente supervisa al AI Officer

2.3 DPO (Delegado de Protección de Datos)

Rol legalmente requerido bajo el GDPR (Art. 37) para muchas organizaciones, crítico en gobernanza de IA.

  • Monitorea el cumplimiento del GDPR para todas las actividades de procesamiento de IA
  • Asesora sobre DPIAs para sistemas de IA
  • Punto de contacto con la AEPD (España)
  • Debe ser consultado antes del despliegue de cualquier sistema de IA que procese datos personales
  • Nota de independencia: El DPO no puede ser simultáneamente Responsable o Accountable de actividades que debe monitorear

2.4 CISO (Director de Seguridad de la Información)

Responsable de la seguridad de la información en toda la organización, incluidos los sistemas de IA.

  • Evalúa riesgos de ciberseguridad de los sistemas de IA antes y durante el despliegue
  • Establece y aplica requisitos de seguridad para la adquisición y desarrollo de IA
  • Gestiona incidentes de seguridad relacionados con IA

2.5 AI Officer (AIO)

Líder operativo del día a día para la gobernanza de IA. Puede ser un puesto dedicado o una responsabilidad asignada a un rol existente (documentar claramente).

  • Mantiene el Inventario de Sistemas de IA y el Registro de Riesgos
  • Gestiona el proceso de aprobación de herramientas de IA
  • Coordina evaluaciones de riesgo y DPIAs
  • Reporta al Comité de Gobernanza de IA
  • Gestiona la red de AI Champions
  • Enlace con AESIA (autoridad supervisora de IA de España)

2.6 Legal / Asesoría Jurídica (LGL)

Asesoramiento especializado en cumplimiento regulatorio, gestión de contratos y responsabilidad.

  • Revisa contratos de sistemas de IA y Acuerdos de Procesamiento de Datos
  • Asesora sobre clasificación y obligaciones de cumplimiento del EU AI Act
  • Gestiona consultas regulatorias y acciones de ejecución

2.7 Director de RRHH (HR)

Gestiona la dimensión humana de la gobernanza de IA.

  • Asegura que la política de IA se comunique y comprenda
  • Gestiona programas de formación en IA
  • Maneja asuntos disciplinarios derivados de incumplimientos de la política de IA
  • Gestiona el cambio organizativo para la adopción de IA

2.8 Responsables de Departamento (DHD)

Accountable de la gobernanza de IA dentro de sus equipos.

  • Aseguran que los miembros del equipo completen la formación obligatoria en IA
  • Aplican el cumplimiento de la política de IA en su departamento
  • Escalan incidentes e instancias de Shadow AI al AI Officer
  • Revisan contenido generado por IA de Nivel 2 antes de su uso

2.9 Usuarios Individuales (USR)

Todos los empleados que usan herramientas de IA son responsables de:

  • Cumplir la Política de Uso Aceptable de IA
  • Completar la formación obligatoria en alfabetización de IA
  • Usar solo herramientas de IA aprobadas para fines laborales
  • Reportar incidentes, Shadow AI o preocupaciones de forma inmediata
  • Revisar y verificar el contenido generado por IA antes de usarlo
  • Proteger datos confidenciales y personales en las interacciones con IA

3. Matriz RACI Principal

3.1 Estrategia y Gobernanza de IA

ActividadCEOCTODPOCISOAIOLGLHRDHDUSR
Aprobar estrategia y hoja de ruta de IAARCCRCIII
Establecer y aprobar apetito de riesgo de IAACCCRCII
Aprobar Marco de Gobernanza de IAACCCRCCII
Presidir Comité de Gobernanza de IAACCCRCCI
Asignar presupuesto para gobernanza de IAACIIRIII
Reportar gobernanza de IA al ConsejoACCCRCII
Nombrar AI OfficerARIIICI
Mantener documentación de gobernanza de IAIICIA/RCII
Revisión anual del MarcoACCCRCCII

3.2 Adquisición y Aprobación de Sistemas de IA

ActividadCEOCTODPOCISOAIOLGLHRDHDUSR
Enviar solicitud de nueva herramienta de IAIIIIIIIAR
Screening inicial de riesgo de herramienta solicitadaIIIIA/RIICI
Evaluación de seguridad de herramienta/proveedor de IAIIIA/RCIICI
DPIA para procesamiento de IA (datos personales)IIA/RCCCICI
Revisión legal — clasificación EU AI ActIICICA/RII
Revisión legal — contrato de proveedor/DPAIICICA/RII
Aprobación final — herramientas de riesgo Bajo/MínimoIIIIA/RIIII
Aprobación final — sistemas de alto riesgoACCCRCII
Aprobar herramienta para despliegue empresarialIACCRCICI
Comunicar herramienta aprobada a usuariosIIIIA/RIRRI
Rechazar solicitud de herramienta (con motivos)IIIIA/RCIII

3.3 Evaluación de Riesgos

ActividadCEOCTODPOCISOAIOLGLHRDHDUSR
Mantener Registro de Riesgos de IAIICCA/RIIII
Realizar evaluación de riesgos para nuevo sistema de IAIICCA/RCICI
Realizar DPIA (GDPR Art. 35)IIA/RCCCICI
Consulta previa con AEPD (si necesario)IIA/RICCII
Evaluación de sesgo y equidadICCIA/RICCI
Pruebas de seguridad/penetraciónICIA/RCIIII
Revisión trimestral del registro de riesgosIICCA/RCIII
Escalar riesgos altos al Comité de Gobernanza de IAIICCA/RCIII
Evaluar cumplimiento EU AI Act para sistemas de alto riesgoACCCRA/RII

3.4 Formación y Alfabetización en IA

ActividadCEOCTODPOCISOAIOLGLHRDHDUSR
Definir requisitos de formación en IAIICIRCACI
Desarrollar contenido de formación en alfabetización de IAIICCRCACI
Impartir formación obligatoria en concienciación de IAIIIICIA/RRI
Impartir formación avanzada en gobernanza de IA (managers)IICCRCAII
Completar formación obligatoria en alfabetización de IAIIIIIIIRA/R
Seguimiento y reporte de finalización de formaciónIIIICIA/RCI
Hacer cumplir finalización de formación (escalar incumplimiento)IIIICIARI
Actualizar formación cuando cambie la política/legislaciónIICCRCAII
Briefings y reuniones de la red de AI ChampionsIICIA/RICRI

3.5 Monitoreo y Rendimiento

ActividadCEOCTODPOCISOAIOLGLHRDHDUSR
Mantener Inventario de Sistemas de IAIICIA/RIICI
Monitorear rendimiento de sistemas de IA (precisión, disponibilidad)ICICA/RIIRI
Monitorear sistemas de IA por sesgo/salidas discriminatoriasIICIA/RICRI
Detección y monitoreo de Shadow AI (técnico)ICIA/RCIIII
Detección de Shadow AI (encuestas departamentales)IIIIRIRAR
Monitorear cumplimiento de política (todos los empleados)IIIIRIARI
Preparar dashboard operativo mensual de IAIIIIA/RIIII
Preparar informe trimestral del Comité de Gobernanza de IAIICCA/RCIII
Preparar informe trimestral de gobernanza de IA para el ConsejoACCCRCII
Revisión anual de efectividad de gobernanza de IAACCCRCCCI

3.6 Respuesta a Incidentes

ActividadCEOCTODPOCISOAIOLGLHRDHDUSR
Reportar incidente de IA / problema sospechadoIIIIIIIIA/R
Recibir y registrar informe de incidenteIIIIA/RIIII
Clasificar severidad del incidenteIICCA/RIIII
Contener incidente (aislamiento técnico)IRIA/RCIIII
Evaluar brecha de datos personales (GDPR)IIA/RCCCIII
Notificar a la AEPD (si brecha >umbral de 72h)AIA/RICCII
Notificar a los interesados afectados (si necesario)IIA/RICCII
Realizar investigación del incidenteICCCA/RCCCI
Implementar remediación técnicaIACRCIIII
Manejar aspectos disciplinarios del incidenteIIIICIA/RRI
Elaborar Informe Post-IncidenteIICCA/RCCCI
Presentar hallazgos al Comité de Gobernanza de IAIICCA/RCCC
Escalar incidentes críticos al CEO/ConsejoACCCRCII
Actualizar registro de riesgos tras el incidenteIICCA/RIIII

3.7 Gestión de Proveedores

ActividadCEOCTODPOCISOAIOLGLHRDHDUSR
Identificar proveedores de IA potencialesIRIIRIIA/RC
Due diligence técnica del proveedorICIA/RCIICI
Due diligence de protección de datos del proveedorIIA/RCCCICI
Negociar y firmar contrato de proveedorICCCCA/RICI
Negociar y firmar Acuerdo de Procesamiento de DatosIIA/RICRII
Gestionar relación continua con proveedorICIIA/RCICI
Revisión anual de rendimiento del proveedorICCCA/RCICI
Gestionar incidentes de seguridad del proveedorICIA/RCCICI
Desvinculación del proveedor de IA (fin de contrato / cambio)ICCCRAICI
Gestionar terminación de acceso del proveedorIRCACCICI

3.8 Revisión y Actualización de Políticas

ActividadCEOCTODPOCISOAIOLGLHRDHDUSR
Activar revisión de política (programada o por evento)IICCA/RCCII
Redactar actualizaciones de políticaIICCRCCII
Revisar actualizaciones (legal/cumplimiento)IICCIACII
Revisar actualizaciones (protección de datos)IIACRCCII
Consulta a stakeholders sobre cambios importantesICCCA/RCRCC
Aprobar política actualizadaACCCRCCII
Comunicar actualizaciones de política al personalIIIIRIA/RRI
Acusar recibo de la política actualizada (todo el personal)IIIIIIARR
Archivar versiones de política sustituidasIIIIA/RIIII

3.9 Toma de Decisiones Automatizada y Supervisión Humana

(Aplica a sistemas de IA cubiertos por GDPR Art. 22 o requisitos de supervisión humana del EU AI Act)

ActividadCEOCTODPOCISOAIOLGLHRDHDUSR
Identificar sistemas de IA con toma de decisiones automatizadaICCIA/RCICI
Definir requisitos de supervisión humana por sistemaICCIRCCAI
Implementar mecanismo de anulación/revisión humana (técnico)IA/RCCCIICI
Realizar revisión humana de decisiones de IA (continuo)IIIICICAR
Gestionar solicitudes de interesados para revisión humana (Art. 22)IIA/RICCCRI
Auditar cumplimiento de supervisión humanaIICIA/RCCCI
Reportar fallos de supervisión al Comité de Gobernanza de IAIICCA/RCIII

4. Tarjetas Resumen por Rol

Tarjeta del CEO

Responsabilidades clave de gobernanza de IA:

  • Aprobar el apetito de riesgo y el marco de gobernanza de IA
  • Recibir y actuar sobre informes trimestrales de gobernanza de IA
  • Asegurar recursos adecuados para el cumplimiento de IA
  • Punto final de escalado para incidentes críticos de IA
  • Accountability ante el Consejo por cumplimiento del EU AI Act

Tarjeta del CTO

Responsabilidades clave:

  • Estrategia técnica y supervisión de todos los sistemas de IA
  • Asegurar que los sistemas cumplan estándares de seguridad, precisión y robustez
  • Supervisar al AI Officer (si es reporte directo)
  • Respuesta técnica a incidentes y remediación

Tarjeta del DPO

Responsabilidades clave:

  • Asesorar sobre todo procesamiento de IA que involucre datos personales
  • Revisar y aprobar todas las DPIAs para sistemas de IA
  • Punto de contacto con la AEPD; gestionar consultas previas
  • Monitorear cumplimiento GDPR en todos los sistemas de IA
  • Debe ser consultado antes del despliegue — su opinión debe documentarse

No puede ser Responsable o Accountable de actividades que está monitoreando.

Tarjeta del CISO

Responsabilidades clave:

  • Evaluaciones de seguridad para todas las herramientas y proveedores de IA
  • Mantener controles de seguridad (cifrado, acceso, monitoreo)
  • Detección técnica de Shadow AI
  • Respuesta a incidentes de seguridad relacionados con IA

Tarjeta del AI Officer

Responsabilidades clave:

  • Operaciones diarias de gobernanza de IA
  • Inventario de Sistemas de IA y Registro de Riesgos
  • Proceso de aprobación de herramientas de IA
  • Coordinar evaluaciones de riesgo y DPIAs
  • Agenda y reportes del Comité de Gobernanza de IA
  • Red de AI Champions
  • Monitorear rendimiento, incidentes y Shadow AI
  • Enlace con AESIA

Usted es el R principal en la mayoría de las actividades de gobernanza. En caso de duda, le corresponde coordinar.

Responsabilidades clave:

  • Asesoramiento sobre clasificación y cumplimiento del EU AI Act
  • Revisión de contratos de proveedores y negociación de DPA
  • Revisión de contenido de alto impacto
  • Gestión de consultas regulatorias y acciones de ejecución
  • Asesoramiento sobre PI de contenido generado por IA

Tarjeta del Director de RRHH

Responsabilidades clave:

  • Comunicación de la política de IA y programa de formación
  • Seguimiento y cumplimiento de la finalización de formación
  • Asuntos disciplinarios por incumplimientos de la política de IA
  • Asesoramiento en derecho laboral para el uso de IA en decisiones de RRHH
  • Gestión del cambio para la adopción de IA

Tarjeta del Responsable de Departamento

Responsabilidades clave:

  • Asegurar que su equipo complete la formación obligatoria en IA
  • Hacer cumplir la política de IA en su departamento
  • Apoyar a su AI Champion
  • Escalar incidentes y Shadow AI al AI Officer
  • Revisar contenido generado por IA de Nivel 2 antes de su uso
  • Aprobar solicitudes de casos de uso de IA de su equipo antes de enviarlas al AI Officer

Mensaje clave: Usted es la primera línea de gobernanza de IA en su departamento. Su equipo le mira como modelo de uso responsable de IA.

Tarjeta del Usuario Individual

Responsabilidades clave:

  • Usar solo herramientas de IA de la Lista de Herramientas Aprobadas
  • Completar la formación obligatoria en alfabetización de IA a tiempo
  • Enviar una solicitud antes de usar cualquier nueva herramienta de IA
  • Nunca introducir datos personales, datos de clientes o secretos en ninguna herramienta de IA
  • Siempre verificar el contenido generado por IA antes de usarlo
  • Reportar preocupaciones, incidentes o Shadow AI de inmediato

Lista de verificación rápida antes de usar cualquier herramienta de IA:

  • ¿Esta herramienta está en la Lista Aprobada?
  • ¿Estoy a punto de introducir datos personales, información de clientes o material confidencial?
  • ¿Verificaré la salida antes de usarla?
  • Si no estoy seguro/a de alguna de las anteriores — ¿he consultado a mi AI Champion?

5. Conflictos Conocidos y Resolución

Conflicto potencialResolución
Independencia del DPO: el DPO no puede ser accountable de actividades que debe auditarEl rol del DPO es C (Consultado) en aprobación de política; nunca es A para actividades de operación de sistemas de IA
AI Officer y CISO ambos en evaluaciones de seguridadCISO es A/R para evaluación de seguridad; AI Officer es C; AI Officer es A/R para la entrada en el registro de riesgos
RRHH y Legal ambos en asuntos disciplinariosRRHH es A/R para el procedimiento disciplinario; Legal es C para asesoramiento legal; RRHH es dueño del proceso
DPO y Legal ambos en asuntos regulatoriosLegal es A/R para asuntos regulatorios generales; DPO es A/R para el contacto regulatorio específico del GDPR con la AEPD
Múltiples roles C pueden crear parálisis de decisiónLa consulta debe tener plazo: máximo [5] días hábiles para decisiones estándar; [2] días hábiles para asuntos urgentes

6. Registro de Cambios de la Matriz RACI

VersiónFechaModificado porResumen de cambiosAprobado por
1.0[FECHA][Nombre]Versión inicial[Nombre, Título]

Anexo A — Plantilla de Organigrama para Gobernanza de IA

Adaptar y completar con nombres reales y líneas de reporte.

CONSEJO DE ADMINISTRACIÓN

       CEO ──────────────── DPO (independiente)

   ┌────┴────┐
  CTO       LGL

  CISO

  AIO (AI Officer)

  ┌─────┬─────┬────┐
 DHD1  DHD2  DHD3  HR
  │     │     │
 AC1   AC2   AC3   (AI Champions)
  │     │     │
 USR   USR   USR   (Todos los empleados)

AC = AI Champion (integrado en cada departamento)

Anexo B — Glosario de Roles

AbreviaturaTítulo completoTítulos alternativos
CEODirector GeneralAdministrador Único, Consejero Delegado
CTODirector de TecnologíaResponsable de Tecnología, Director de TI
DPODelegado de Protección de DatosResponsable de Privacidad (nota: el GDPR usa “Protección”)
CISODirector de Seguridad de la InformaciónResponsable de Seguridad de la Información
AIOAI OfficerResponsable de Gobernanza de IA, Chief AI Officer, Responsable de Cumplimiento de IA
LGLLegal / Asesoría JurídicaSecretario de la Sociedad, Director Jurídico
HRDirector de Recursos HumanosDirector de Personas, Responsable de RRHH
DHDResponsable de DepartamentoManager, Director, Jefe de [función]
USRUsuario IndividualEmpleado, Miembro del personal

En organizaciones más pequeñas, una persona puede desempeñar múltiples roles. Documente cualquier duplicación y evalúe conflictos de interés. Como mínimo, el DPO debe permanecer independiente.

Plantilla proporcionada por VORLUX AI | vorluxai.com Este documento es solo orientativo, no constituye asesoramiento jurídico. Versión 1.0 | Para uso de cumplimiento del EU AI Act | Última actualización: 2026-04-05

← All templates
Compliance Hub EU AI Act Test Contact
EU AI Act: 99 days to deadline

15 minutes to evaluate your case

No-commitment initial consultation. We analyze your infrastructure and recommend the optimal hybrid architecture.

Schedule initial consultation WhatsApp
No commitment 15 minutes Custom proposal

136 pages of free resources · 26 compliance templates · 22 certified devices