Disclaimer: This is guidance only, not legal advice. Consult qualified legal counsel before adopting this framework. | Este documento es solo orientativo, no constituye asesoramiento jurídico.

AI Governance Framework

Document Reference: [ORG-FRAME-AI-001] Version: 1.0 Effective Date: [DATE] Review Date: [DATE + 12 months] Framework Owner: [AI Officer / CTO] Approved by: [CEO / Board] Classification: Internal — Restricted

Executive Summary

[ORGANISATION NAME] (“the Organisation”) operates and deploys artificial intelligence systems in the course of its business activities. This AI Governance Framework establishes the structures, processes, accountabilities, and controls that govern how AI is used within the Organisation.

This Framework is designed to:

Ensure compliance with the EU AI Act (Regulation (EU) 2024/1689) and related legislation
Protect the Organisation’s stakeholders, including employees, customers, and third parties
Enable the Organisation to realise the benefits of AI while managing risks proportionately
Demonstrate trustworthy and responsible AI use to regulators, clients, and the public

This Framework applies from [DATE] and must be reviewed at least annually.

1. Governance Principles

The Organisation’s AI governance is founded on the following principles, aligned with the EU AI Act and the EU’s Ethics Guidelines for Trustworthy AI:

#	Principle	Meaning in Practice
1	Human Agency and Oversight	Meaningful human control is maintained over AI-supported decisions; AI does not replace human judgment on high-stakes matters
2	Technical Robustness and Safety	AI systems are secure, accurate, reliable, and resilient against misuse
3	Privacy and Data Governance	AI use complies with GDPR; personal data is processed lawfully, minimally, and with appropriate safeguards
4	Transparency	Affected individuals are informed when AI is used in decisions affecting them; AI systems are documented and auditable
5	Diversity and Fairness	AI systems are assessed for bias and discriminatory outputs; diverse perspectives inform AI procurement and deployment
6	Societal and Environmental Wellbeing	AI use considers broader impacts, including environmental costs and effects on communities
7	Accountability	Clear ownership of AI risks and decisions; incidents are investigated and corrected

2. Organisational Structure for AI Governance

2.1 Governance Architecture

┌─────────────────────────────────────────────────────────────────┐
│                        BOARD OF DIRECTORS                        │
│          (Strategic oversight; approve risk appetite;            │
│           receive quarterly AI governance report)                │
└──────────────────────────────┬──────────────────────────────────┘
                               │
┌──────────────────────────────▼──────────────────────────────────┐
│                    AI GOVERNANCE COMMITTEE                        │
│   Chair: CEO | Members: CTO, DPO, CISO, AI Officer, Legal,      │
│   HR, Finance representative                                     │
│   Meets: Quarterly | Reports: Board quarterly                    │
└────────┬──────────────┬───────────────┬────────────┬────────────┘
         │              │               │            │
┌────────▼───┐  ┌───────▼──────┐  ┌────▼──────┐  ┌─▼──────────┐
│  AI OFFICER │  │   DPO        │  │  CISO     │  │  LEGAL     │
│             │  │              │  │           │  │            │
│ Day-to-day  │  │ Data         │  │ Security  │  │ Regulatory │
│ AI ops      │  │ protection   │  │ & cyber   │  │ compliance │
│ & risk mgmt │  │ & GDPR       │  │ risk      │  │ & disputes │
└─────┬───────┘  └──────────────┘  └───────────┘  └────────────┘
      │
┌─────▼─────────────────────────────────────────────────┐
│              AI IMPLEMENTATION TEAMS                   │
│  (Department-level: Business, Technology, Operations)  │
│  AI Champions embedded in each department              │
└───────────────────────────────────────────────────────┘

Adapt the org chart to your actual structure. Add intermediate layers (e.g., Risk Committee) as appropriate.

2.2 Key Governance Bodies

Board of Directors

Responsibilities:

Approve the Organisation’s AI risk appetite statement
Receive and scrutinise the quarterly AI Governance Report
Hold the CEO accountable for AI governance outcomes
Consider AI-related risks in strategic decision-making

Meetings: AI governance standing agenda item at quarterly board meetings

AI Governance Committee

Chair: CEO (or nominated delegate) Membership:

Member	Role	Vote
CEO (or delegate)	Chair	Yes
CTO	Technology strategy	Yes
DPO	Data protection	Yes
CISO	Information security	Yes
AI Officer	AI operations and compliance	Yes
General Counsel / Legal	Legal and regulatory	Yes
HR Director	People and culture	Advisory
Finance representative	Budget and risk	Advisory

Responsibilities:

Review and approve AI risk assessments for new AI systems
Set and maintain the AI risk appetite
Approve AI policies and this Framework
Review material AI incidents and approve remediation
Approve the annual AI audit programme
Monitor regulatory developments and initiate compliance responses

Meetings: Quarterly (minimum); extraordinary meetings on 5 business days’ notice for material incidents

Quorum: Majority of voting members, including AI Officer and at least one of DPO/CISO

AI Officer

Reports to: CTO / CEO (organisation to specify)

Responsibilities:

Day-to-day operational oversight of AI governance
Maintaining the AI system inventory and risk register
Managing the AI tool approval process
Coordinating AI risk assessments
Monitoring AI system performance and incidents
Reporting to the AI Governance Committee
Liaising with the national supervisory authority (Spain: AESIA) where required
Managing the AI Governance Committee agenda and documentation

Competencies required:

Deep understanding of EU AI Act and applicable regulation
Technical understanding of AI/ML systems
Risk management experience
Strong communication and stakeholder management skills

Data Protection Officer (DPO)

Responsibilities:

Advising on GDPR compliance for all AI processing activities
Reviewing and approving DPIAs for AI systems
Acting as point of contact for the Spanish data protection authority (AEPD)
Monitoring AI use for compliance with data minimisation and purpose limitation

CISO

Responsibilities:

Assessing cybersecurity risks of AI systems
Overseeing AI system security testing and vulnerability management
Managing AI-related security incidents
Setting security requirements for AI procurement

2.3 AI Champions (Department Level)

Each business department shall designate an AI Champion who:

Acts as the first point of contact for AI queries in their department
Participates in the AI Champion Network (quarterly meetings)
Escalates risks and incidents to the AI Officer
Supports the rollout of AI training and policy updates

Current AI Champions:

Department	AI Champion Name	Contact	Date Appointed
[Dept 1]
[Dept 2]
[Dept 3]

3. AI System Inventory

3.1 Inventory Requirements

All AI systems used within the Organisation, whether developed internally, procured from a vendor, or accessed as a service, must be registered in the AI System Inventory (maintained by AI Officer).

Minimum information per system:

Field	Description
System ID	Unique identifier (e.g., AI-SYS-001)
System Name	Descriptive name
Provider	Internal / vendor name
EU AI Act Risk Category	Unacceptable / High / Limited / Minimal
Primary Business Function	What it does
Deployment Scope	Users / departments / geographic reach
Data Inputs	Types of data processed
Data Outputs	Types of outputs produced
Human Oversight Level	None / Partial / Full
Risk Assessment Status	Not assessed / In progress / Approved / Conditions
DPO Review Status	Not required / In progress / Approved
Date Deployed
Last Review Date
Next Review Date
System Owner	Named individual

3.2 EU AI Act Risk Classification

AI systems must be classified according to the EU AI Act risk hierarchy:

Category	Definition	Examples	Requirements
Unacceptable Risk	Prohibited under Art. 5	Social scoring by public authorities; real-time biometric surveillance in public spaces; subliminal manipulation	Must not be used
High Risk	Systems with significant potential harm (Annex III of AI Act)	AI in recruitment, credit decisions, critical infrastructure, education assessment, law enforcement	Full compliance requirements (Art. 9–15) including conformity assessment
Limited Risk	Specific transparency obligations	Chatbots (must disclose AI nature); deepfakes; emotion recognition	Transparency obligations (Art. 50)
Minimal Risk	Minimal risk to rights or safety	Spam filters, AI video games, AI productivity tools	No mandatory requirements (voluntary codes encouraged)

[ORGANISATION NAME] current high-risk AI systems:

System	Risk Basis	Compliance Status
[System name]	[Which Annex III category]	[Compliant / Partial / Non-compliant]

4. Risk Management System

4.1 AI Risk Appetite Statement

The Organisation’s AI risk appetite is defined as follows:

[Board to approve this statement — template below]

“[ORGANISATION NAME] accepts the use of AI tools and systems that deliver demonstrable business value and can be operated in compliance with applicable law and our ethical principles. We have low tolerance for AI-related harms to individuals (including employees, clients, and the public), reputational damage arising from AI misuse, and regulatory non-compliance. We have moderate tolerance for AI operational failures that can be detected and remediated without material harm. We have zero tolerance for the use of AI systems categorised as posing unacceptable risk under the EU AI Act.”

Risk appetite thresholds:

Risk Type	Tolerance Level	Response
Personal data breach via AI	Very low	Immediate suspension; incident response; regulatory notification
Discriminatory AI output	Very low	Immediate suspension; investigation; root cause fix
AI operational error (low impact)	Moderate	Log; investigate; remediate within SLA
Regulatory non-compliance	Very low	Immediate escalation to Legal; remediation plan within 5 days
Reputational harm	Low	Immediate escalation to CEO; comms plan
AI cost overrun	Moderate	CFO notification; budget review

4.2 Risk Assessment Process

All AI systems must undergo a risk assessment before deployment and periodically thereafter. The process:

Step 1: IDENTIFY
  ↓ Complete AI System Registration Form (Annex A)
  ↓ AI Officer conducts initial risk screening (3–5 business days)

Step 2: ASSESS
  ↓ Full risk assessment if screening indicates Medium risk or above
  ↓ DPO conducts DPIA if personal data involved
  ↓ CISO conducts security assessment
  ↓ Legal reviews regulatory classification

Step 3: DECIDE
  ↓ AI Governance Committee review for High/Unacceptable risk systems
  ↓ AI Officer approval for Low/Minimal risk systems
  ↓ Decision documented with conditions (if any)

Step 4: IMPLEMENT
  ↓ Technical and organisational measures implemented
  ↓ User training completed
  ↓ Monitoring plan established
  ↓ System added to inventory

Step 5: MONITOR
  ↓ Ongoing performance monitoring
  ↓ Incident logging
  ↓ Periodic review (annually minimum; 6-monthly for High risk)

4.3 AI Risk Register

The AI Risk Register is maintained by the AI Officer and reviewed quarterly by the AI Governance Committee.

Risk Register Template:

Risk ID	AI System	Risk Description	Likelihood (1–5)	Impact (1–5)	Risk Score	Controls	Residual Risk	Owner	Review Date
AIR-001

Likelihood Scale: 1 = Rare, 2 = Unlikely, 3 = Possible, 4 = Likely, 5 = Almost certain Impact Scale: 1 = Negligible, 2 = Minor, 3 = Moderate, 4 = Major, 5 = Catastrophic Risk Score = Likelihood × Impact Risk Appetite Threshold: Scores ≥12 require immediate escalation to AI Governance Committee

5. Decision-Making Processes

5.1 New AI System Adoption

Business Unit identifies need for AI system
          ↓
AI Champion submits AI System Request to AI Officer
          ↓
AI Officer conducts risk screening (5 business days)
          ↓
         /  \
    Low risk  High/Unknown risk
        ↓            ↓
  AI Officer    Full assessment
  approves       package:
  (with           - Risk assessment
  conditions)     - DPIA (if PD)
                  - Security review
                  - Legal review
                         ↓
                 AI Governance Committee
                 reviews and decides
                         ↓
                    Approve / Reject /
                    Approve with conditions

Decision timeline targets:

Initial screening: 5 business days
Low risk approval: 10 business days
High risk Committee review: 20 business days

5.2 AI Incident Response

Severity	Definition	Initial Response	Escalation
P1 — Critical	Personal data breach; prohibited use; imminent harm to individual	Immediate system suspension; notify AI Officer within 1 hour	CEO + DPO + Legal within 2 hours
P2 — High	Significant discriminatory output; near-miss on personal data; customer-facing failure	System review within 4 hours; AI Officer notified	AI Governance Committee within 24 hours
P3 — Medium	Repeated incorrect outputs; user policy breach; vendor issue	Investigate within 24 hours; AI Officer notified	AI Champion + Line Manager
P4 — Low	Isolated error; no data or harm involved	Log and investigate within 5 business days	AI Champion monitors

5.3 Escalation Matrix

Situation	Escalate To	By	Timeframe
Personal data breach via AI	DPO → CISO → CEO	AI Champion / User	Immediately
Suspected prohibited AI use	AI Officer → Legal → CEO	Any employee	Within 1 hour
High-risk system performing outside parameters	AI Officer → CTO	System Owner	Within 4 hours
Regulatory inquiry about AI	Legal → CEO	Compliance / Any recipient	Immediately
Vendor security incident	CISO → AI Officer	IT / System Owner	Within 2 hours
Employee AI policy breach	HR → Line Manager → AI Officer	Line Manager / Peer	Within 24 hours

6. Monitoring and Performance

6.1 Ongoing Monitoring Requirements

System Category	Monitoring Frequency	Metrics	Responsible
High-risk AI systems	Continuous automated + weekly human review	Accuracy, false positive/negative rate, bias indicators, uptime	System Owner + AI Officer
Customer-facing AI	Daily	Error rate, escalation rate, sentiment, complaints	System Owner + Customer Service
Internal AI tools	Monthly	Usage statistics, incident count, user feedback	AI Officer
All AI systems	Quarterly	Risk register review, performance vs. baseline	AI Officer

6.2 Key Performance Indicators

KPI	Target	Measurement Method	Reporting Frequency
% AI systems with current risk assessments	100%	AI inventory review	Quarterly
AI incident response time (P1)	<2 hours from detection	Incident log	Monthly
Mandatory AI training completion rate	>95%	HR system	Quarterly
AI-related GDPR breaches reported to AEPD	0	AEPD/DPO records	Annually
% employees aware of AI policy	>90% (surveyed)	Annual survey	Annually
Shadow AI instances detected	Target: trending to 0	IT monitoring + audits	Quarterly
AI Governance Committee quorum achieved	100% of meetings	Committee minutes	Quarterly

6.3 Reporting Structure

Report	Content	Prepared by	For	Frequency
AI Operational Dashboard	System status, incidents, usage	AI Officer	AI Officer	Weekly
AI Governance Committee Report	Risk register, incidents, KPIs, policy updates, regulatory developments	AI Officer	AI Governance Committee	Quarterly
Board AI Governance Report	Executive summary: risk posture, material incidents, regulatory status, strategic AI initiatives	AI Officer (approved by CEO)	Board of Directors	Quarterly
AI Audit Report	Annual independent audit findings and recommendations	Internal/External Auditor	AI Governance Committee + Board	Annually
Regulatory Notifications	AEPD, AESIA notifications as required	DPO / Legal	Regulatory authorities	As required

7. Audit Schedule

7.1 Internal AI Audit Programme

The annual internal AI audit programme covers:

Quarter	Audit Focus	Auditor	Deliverable
Q1	AI System Inventory accuracy and completeness; risk assessment quality	Internal Audit	Findings report + management response
Q2	Data protection compliance for AI systems (GDPR/DPIA quality)	Internal Audit + DPO	Compliance gap report
Q3	Technical controls and security for AI systems	CISO / IT Audit	Security findings + remediation plan
Q4	Policy compliance (user behaviour, training completion, shadow AI)	HR + AI Officer + Internal Audit	Compliance report + annual programme review

7.2 External AI Audit

An independent external AI audit shall be conducted:

Annually (for organisations using High-risk AI systems under EU AI Act)
When required by regulators
Following a material AI incident

Scope of external audit:

EU AI Act compliance (applicable requirements for deployers and/or providers)
GDPR compliance for AI data processing
AI governance framework effectiveness
Technical robustness of high-risk AI systems

7.3 Audit Findings Management

Finding Severity	Response Timeline	Escalation
Critical	Immediate suspension of system / practice; remediation plan within 5 days	CEO + Board
High	Remediation plan within 15 business days	AI Governance Committee
Medium	Remediation plan within 30 business days	AI Officer
Low	Remediation in next planning cycle	System Owner

All audit findings are tracked in the Audit Findings Register maintained by Internal Audit. Progress is reported to the AI Governance Committee quarterly.

8. Regulatory Compliance Management

8.1 Applicable Regulations

Regulation	Scope	Primary Owner	Review Frequency
EU AI Act (Regulation (EU) 2024/1689)	All AI systems	AI Officer + Legal	Ongoing — Act fully applies from August 2026
GDPR (Regulation (EU) 2016/679)	All AI processing personal data	DPO	Ongoing
Spanish LOPDGDD (Ley Orgánica 3/2018)	Spanish operations	DPO	Annual
EU AI Liability Directive (proposed)	Liability for AI-caused harm	Legal	When adopted
Sector-specific regulation	[Insert applicable sector rules]	Legal + Compliance	Annual

8.2 Regulatory Watch Process

The Legal department, supported by the AI Officer, monitors:

EU Official Journal for new AI-related legislation
AESIA (Spanish AI supervisory authority) guidance and decisions
AEPD guidance on AI and data protection
EDPB opinions on AI matters
European Commission AI guidance and standards

Significant regulatory developments are escalated to the AI Governance Committee within 10 business days of publication.

8.3 Supervisory Authority Contacts

Authority	Jurisdiction	Contact	Purpose
AESIA (Agencia Española de Supervisión de Inteligencia Artificial)	Spain — AI Act enforcement	[www.aesia.es]	AI Act notifications, incidents
AEPD (Agencia Española de Protección de Datos)	Spain — GDPR enforcement	[www.aepd.es]	Data breaches, DPIA consultations
EDPB (European Data Protection Board)	EU-wide GDPR	[www.edpb.europa.eu]	Cross-border matters

9. Documentation and Records

9.1 Document Retention

Document	Retention Period	Storage Location	Owner
AI System Inventory	Indefinitely (current version) + 5 years historic	[System]	AI Officer
Risk Assessments	10 years from system decommission	[System]	AI Officer
DPIAs	3 years from last review (minimum)	[System]	DPO
Incident Reports	5 years	[System]	AI Officer + DPO
Training Records	Duration of employment + 5 years	HR System	HR
Audit Reports	7 years	[System]	Internal Audit
Committee Minutes	7 years	Board/Committee Secretary	AI Officer

9.2 Document Control

This Framework and all associated policy documents are:

Version controlled
Stored in [Document Management System]
Accessible to all employees via [Intranet link]
Subject to formal change management procedures

10. Framework Review and Updates

This Framework will be reviewed:

Annually (by [MONTH] each year)
Following any significant change in applicable law
Following a material AI incident or near-miss
When the Organisation’s AI footprint changes materially

Review is led by the AI Officer with input from DPO, CISO, and Legal. Revised versions require approval from the AI Governance Committee.

Annex A — AI System Registration Form

System Name: Business Unit: System Owner: Date of Registration: Brief Description: Vendor/Provider: Intended Users: Data Inputs: Data Outputs: Does it process personal data? Yes / No Estimated EU AI Act Risk Category (initial assessment): Unacceptable / High / Limited / Minimal / Unknown Proposed Go-Live Date: Business Justification:

Annex B — Framework Change Log

Version	Date	Changed By	Summary of Changes	Approved By
1.0	[DATE]	[Name]	Initial version	[Name, Title]

Document Footer: Template provided by VORLUX AI | vorluxai.com This is guidance only, not legal advice. Version 1.0 | For EU AI Act compliance use | Last updated: 2026-04-05

Versión Española

Aviso legal: Este documento es solo orientativo, no constituye asesoramiento jurídico. Consulte con un abogado cualificado antes de adoptar este marco.

Marco de Gobernanza de IA

Referencia: [ORG-FRAME-AI-001] Versión: 1.0 Fecha de vigencia: [FECHA] Fecha de revisión: [FECHA + 12 meses] Responsable del marco: [AI Officer / CTO] Aprobado por: [CEO / Consejo] Clasificación: Interna — Restringida

Resumen Ejecutivo

[NOMBRE DE LA ORGANIZACIÓN] opera y despliega sistemas de inteligencia artificial en el curso de sus actividades. Este Marco establece las estructuras, procesos, responsabilidades y controles que rigen el uso de la IA.

Objetivos del Marco:

Garantizar el cumplimiento del EU AI Act (Reglamento (UE) 2024/1689) y legislación conexa
Proteger a las partes interesadas: empleados, clientes y terceros
Aprovechar los beneficios de la IA gestionando riesgos de forma proporcionada
Demostrar un uso fiable y responsable de la IA ante reguladores, clientes y público

Vigente desde [FECHA]; revisión mínima anual.

1. Principios de Gobernanza

Principios alineados con el EU AI Act y las Directrices de la UE para una IA Fiable:

#	Principio	Significado Práctico
1	Agencia Humana y Supervisión	Control humano efectivo sobre decisiones asistidas por IA; la IA no sustituye el juicio humano en asuntos de alto impacto
2	Robustez Técnica y Seguridad	Sistemas seguros, precisos, fiables y resilientes frente al mal uso
3	Privacidad y Gobernanza de Datos	Cumplimiento del GDPR; tratamiento de datos personales lícito, mínimo y con salvaguardas adecuadas
4	Transparencia	Las personas afectadas son informadas del uso de IA en decisiones que les conciernen; sistemas documentados y auditables
5	Diversidad y Equidad	Evaluación de sesgo y discriminación; perspectivas diversas en la adquisición y despliegue de IA
6	Bienestar Social y Medioambiental	Consideración de impactos amplios, incluyendo costes ambientales y efectos en comunidades
7	Rendición de Cuentas	Titularidad clara de riesgos y decisiones de IA; los incidentes se investigan y corrigen

2. Estructura Organizativa para la Gobernanza de IA

2.1 Arquitectura de Gobernanza

┌─────────────────────────────────────────────────────────────────┐
│                     CONSEJO DE ADMINISTRACIÓN                     │
│        (Supervisión estratégica; aprobación del apetito de       │
│         riesgo; informe trimestral de gobernanza de IA)          │
└──────────────────────────────┬──────────────────────────────────┘
                               │
┌──────────────────────────────▼──────────────────────────────────┐
│                  COMITÉ DE GOBERNANZA DE IA                       │
│   Preside: CEO | Miembros: CTO, DPO, CISO, AI Officer, Legal,  │
│   RR.HH., representante de Finanzas                              │
│   Reuniones: Trimestrales | Reporta: Consejo trimestralmente    │
└────────┬──────────────┬───────────────┬────────────┬────────────┘
         │              │               │            │
┌────────▼───┐  ┌───────▼──────┐  ┌────▼──────┐  ┌─▼──────────┐
│ AI OFFICER  │  │   DPO        │  │  CISO     │  │  LEGAL     │
│             │  │              │  │           │  │            │
│ Operaciones │  │ Protección   │  │ Seguridad │  │ Cumplim.   │
│ diarias IA  │  │ de datos     │  │ y ciber   │  │ regulat.   │
│ y gestión   │  │ y GDPR       │  │           │  │ y disputas │
│ de riesgos  │  │              │  │           │  │            │
└─────┬───────┘  └──────────────┘  └───────────┘  └────────────┘
      │
┌─────▼─────────────────────────────────────────────────┐
│            EQUIPOS DE IMPLEMENTACIÓN DE IA             │
│  (Nivel departamental: Negocio, Tecnología, Operac.)  │
│  AI Champions integrados en cada departamento         │
└───────────────────────────────────────────────────────┘

2.2 Órganos de Gobernanza Clave

Consejo de Administración

Responsabilidades:

Aprobar la declaración de apetito de riesgo de IA
Recibir y examinar el Informe Trimestral de Gobernanza de IA
Exigir al CEO resultados en gobernanza de IA
Considerar riesgos de IA en decisiones estratégicas

Reuniones: Gobernanza de IA como punto fijo en el orden del día trimestral

Comité de Gobernanza de IA

Preside: CEO (o delegado)

Miembro	Rol	Voto
CEO (o delegado)	Presidente	Sí
CTO	Estrategia tecnológica	Sí
DPO	Protección de datos	Sí
CISO	Seguridad de la información	Sí
AI Officer	Operaciones y cumplimiento IA	Sí
Asesor Jurídico	Legal y regulatorio	Sí
Director/a de RR.HH.	Personas y cultura	Consultivo
Representante de Finanzas	Presupuesto y riesgo	Consultivo

Responsabilidades:

Revisar y aprobar evaluaciones de riesgo de nuevos sistemas de IA
Establecer y mantener el apetito de riesgo de IA
Aprobar políticas de IA y este Marco
Revisar incidentes materiales de IA y aprobar remediación
Aprobar el programa anual de auditoría de IA
Supervisar desarrollos regulatorios e iniciar respuestas de cumplimiento

Reuniones: Trimestrales (mínimo); extraordinarias con 5 días hábiles de aviso para incidentes materiales

Quórum: Mayoría de miembros con voto, incluido AI Officer y al menos uno entre DPO/CISO

AI Officer

Reporta a: CTO / CEO

Responsabilidades:

Supervisión operativa diaria de la gobernanza de IA
Mantenimiento del inventario de sistemas de IA y del registro de riesgos
Gestión del proceso de aprobación de herramientas de IA
Coordinación de evaluaciones de riesgo
Monitorización del rendimiento e incidentes de sistemas de IA
Reporte al Comité de Gobernanza de IA
Enlace con la autoridad supervisora nacional (España: AESIA) cuando sea necesario

Competencias requeridas: Conocimiento profundo del EU AI Act, comprensión técnica de sistemas IA/ML, experiencia en gestión de riesgos, habilidades de comunicación y gestión de partes interesadas.

DPO

Asesoramiento sobre cumplimiento GDPR para todas las actividades de tratamiento con IA
Revisión y aprobación de DPIA para sistemas de IA
Punto de contacto con la AEPD
Supervisión del cumplimiento de minimización de datos y limitación de finalidad

CISO

Evaluación de riesgos de ciberseguridad de sistemas de IA
Supervisión de pruebas de seguridad y gestión de vulnerabilidades
Gestión de incidentes de seguridad relacionados con IA
Definición de requisitos de seguridad para adquisición de IA

2.3 AI Champions (Nivel Departamental)

Cada departamento designará un AI Champion que:

Actúa como primer punto de contacto para consultas de IA
Participa en la Red de AI Champions (reuniones trimestrales)
Escala riesgos e incidentes al AI Officer
Apoya el despliegue de formación y actualizaciones de políticas

Departamento	Nombre del AI Champion	Contacto	Fecha de Nombramiento
[Dept 1]
[Dept 2]
[Dept 3]

3. Inventario de Sistemas de IA

3.1 Requisitos del Inventario

Todos los sistemas de IA (desarrollados internamente, adquiridos o usados como servicio) deben registrarse en el Inventario de Sistemas de IA (mantenido por el AI Officer).

Información mínima por sistema:

Campo	Descripción
ID del Sistema	Identificador único (ej. AI-SYS-001)
Nombre del Sistema	Nombre descriptivo
Proveedor	Interno / nombre del proveedor
Categoría de Riesgo EU AI Act	Inaceptable / Alto / Limitado / Mínimo
Función Empresarial Principal	Qué hace
Alcance del Despliegue	Usuarios / departamentos / cobertura geográfica
Datos de Entrada	Tipos de datos tratados
Datos de Salida	Tipos de resultados producidos
Nivel de Supervisión Humana	Ninguno / Parcial / Completo
Estado de Evaluación de Riesgo	No evaluado / En curso / Aprobado / Con condiciones
Estado de Revisión DPO	No requerida / En curso / Aprobada
Fecha de Despliegue
Última Fecha de Revisión
Próxima Fecha de Revisión
Responsable del Sistema	Persona designada

3.2 Clasificación de Riesgo según EU AI Act

Categoría	Definición	Ejemplos	Requisitos
Riesgo Inaceptable	Prohibido (Art. 5)	Puntuación social por autoridades públicas; vigilancia biométrica en tiempo real en espacios públicos; manipulación subliminal	No debe usarse
Riesgo Alto	Potencial de daño significativo (Anexo III)	IA en selección de personal, decisiones crediticias, infraestructuras críticas, evaluación educativa, aplicación de la ley	Cumplimiento completo (Art. 9-15) incluida evaluación de conformidad
Riesgo Limitado	Obligaciones específicas de transparencia	Chatbots (deben revelar naturaleza IA); deepfakes; reconocimiento de emociones	Obligaciones de transparencia (Art. 50)
Riesgo Mínimo	Riesgo mínimo para derechos o seguridad	Filtros de spam, videojuegos con IA, herramientas de productividad	Sin requisitos obligatorios (códigos voluntarios recomendados)

4. Sistema de Gestión de Riesgos

4.1 Declaración de Apetito de Riesgo de IA

“[NOMBRE DE LA ORGANIZACIÓN] acepta el uso de herramientas y sistemas de IA que aporten valor empresarial demostrable y puedan operarse cumpliendo la legislación aplicable y nuestros principios éticos. Tenemos baja tolerancia a daños a individuos, daño reputacional por mal uso de IA e incumplimiento regulatorio. Tenemos tolerancia moderada a fallos operativos de IA detectables y remediables sin daño material. Tenemos tolerancia cero al uso de sistemas de IA categorizados como riesgo inaceptable bajo el EU AI Act.”

Umbrales de apetito de riesgo:

Tipo de Riesgo	Nivel de Tolerancia	Respuesta
Brecha de datos personales vía IA	Muy baja	Suspensión inmediata; respuesta a incidentes; notificación regulatoria
Resultado discriminatorio de IA	Muy baja	Suspensión inmediata; investigación; corrección de causa raíz
Error operativo de IA (bajo impacto)	Moderada	Registrar; investigar; remediar dentro de SLA
Incumplimiento regulatorio	Muy baja	Escalado inmediato a Legal; plan de remediación en 5 días
Daño reputacional	Baja	Escalado inmediato a CEO; plan de comunicación
Sobrecoste de IA	Moderada	Notificación a CFO; revisión presupuestaria

4.2 Proceso de Evaluación de Riesgos

Paso 1: IDENTIFICAR
  ↓ Completar Formulario de Registro de Sistema de IA (Anexo A)
  ↓ AI Officer realiza cribado inicial de riesgo (3-5 días hábiles)

Paso 2: EVALUAR
  ↓ Evaluación completa si el cribado indica riesgo Medio o superior
  ↓ DPO realiza DPIA si hay datos personales
  ↓ CISO realiza evaluación de seguridad
  ↓ Legal revisa la clasificación regulatoria

Paso 3: DECIDIR
  ↓ Revisión del Comité para sistemas de riesgo Alto/Inaceptable
  ↓ Aprobación del AI Officer para riesgo Bajo/Mínimo
  ↓ Decisión documentada con condiciones (si las hay)

Paso 4: IMPLEMENTAR
  ↓ Medidas técnicas y organizativas implementadas
  ↓ Formación de usuarios completada
  ↓ Plan de monitorización establecido
  ↓ Sistema añadido al inventario

Paso 5: MONITORIZAR
  ↓ Monitorización continua del rendimiento
  ↓ Registro de incidentes
  ↓ Revisión periódica (anual mínimo; semestral para riesgo Alto)

4.3 Registro de Riesgos de IA

ID Riesgo	Sistema IA	Descripción del Riesgo	Probabilidad (1-5)	Impacto (1-5)	Puntuación	Controles	Riesgo Residual	Responsable	Fecha Revisión
AIR-001

Escala de Probabilidad: 1 = Rara, 2 = Improbable, 3 = Posible, 4 = Probable, 5 = Casi segura Escala de Impacto: 1 = Insignificante, 2 = Menor, 3 = Moderado, 4 = Mayor, 5 = Catastrófico Puntuación = Probabilidad x Impacto Umbral de apetito de riesgo: Puntuaciones >= 12 requieren escalado inmediato al Comité

5. Procesos de Toma de Decisiones

5.1 Adopción de Nuevos Sistemas de IA

Unidad de Negocio identifica necesidad de sistema de IA
          ↓
AI Champion envía Solicitud al AI Officer
          ↓
AI Officer realiza cribado de riesgo (5 días hábiles)
          ↓
         /  \
  Riesgo bajo  Riesgo alto/desconocido
        ↓            ↓
  AI Officer    Paquete de evaluación
  aprueba       completa:
  (con            - Evaluación de riesgo
  condiciones)    - DPIA (si hay DP)
                  - Revisión de seguridad
                  - Revisión legal
                         ↓
                 Comité de Gobernanza de IA
                 revisa y decide
                         ↓
                    Aprobar / Rechazar /
                    Aprobar con condiciones

Plazos objetivo:

Cribado inicial: 5 días hábiles
Aprobación riesgo bajo: 10 días hábiles
Revisión del Comité para riesgo alto: 20 días hábiles

5.2 Respuesta a Incidentes de IA

Severidad	Definición	Respuesta Inicial	Escalado
P1 — Crítico	Brecha de datos personales; uso prohibido; daño inminente	Suspensión inmediata del sistema; notificar al AI Officer en 1 hora	CEO + DPO + Legal en 2 horas
P2 — Alto	Resultado discriminatorio significativo; casi-brecha de datos; fallo orientado al cliente	Revisión del sistema en 4 horas; AI Officer notificado	Comité en 24 horas
P3 — Medio	Resultados incorrectos repetidos; incumplimiento de política por usuario; problema de proveedor	Investigar en 24 horas; AI Officer notificado	AI Champion + Responsable directo
P4 — Bajo	Error aislado; sin datos ni daño involucrado	Registrar e investigar en 5 días hábiles	AI Champion supervisa

5.3 Matriz de Escalado

Situación	Escalar A	Por	Plazo
Brecha de datos personales vía IA	DPO → CISO → CEO	AI Champion / Usuario	Inmediatamente
Sospecha de uso prohibido de IA	AI Officer → Legal → CEO	Cualquier empleado	En 1 hora
Sistema de alto riesgo fuera de parámetros	AI Officer → CTO	Responsable del sistema	En 4 horas
Consulta regulatoria sobre IA	Legal → CEO	Cumplimiento / Destinatario	Inmediatamente
Incidente de seguridad del proveedor	CISO → AI Officer	TI / Responsable del sistema	En 2 horas
Incumplimiento de política de IA por empleado	RR.HH. → Responsable directo → AI Officer	Responsable directo	En 24 horas

6. Monitorización y Rendimiento

6.1 Requisitos de Monitorización Continua

Categoría del Sistema	Frecuencia	Métricas	Responsable
Sistemas de IA de alto riesgo	Continua automatizada + revisión humana semanal	Precisión, tasas de falsos positivos/negativos, indicadores de sesgo, disponibilidad	Responsable del sistema + AI Officer
IA orientada al cliente	Diaria	Tasa de error, tasa de escalado, sentimiento, quejas	Responsable + Atención al Cliente
Herramientas internas de IA	Mensual	Estadísticas de uso, recuento de incidentes, retroalimentación de usuarios	AI Officer
Todos los sistemas de IA	Trimestral	Revisión del registro de riesgos, rendimiento vs. línea base	AI Officer

6.2 Indicadores Clave de Rendimiento

KPI	Objetivo	Método de Medición	Frecuencia
% sistemas de IA con evaluaciones de riesgo vigentes	100%	Revisión del inventario	Trimestral
Tiempo de respuesta a incidentes (P1)	<2 horas desde detección	Registro de incidentes	Mensual
Tasa de finalización de formación obligatoria en IA	>95%	Sistema de RR.HH.	Trimestral
Brechas GDPR relacionadas con IA notificadas a AEPD	0	Registros AEPD/DPO	Anual
% empleados conocedores de la política de IA	>90% (encuestados)	Encuesta anual	Anual
Instancias de Shadow AI detectadas	Objetivo: tendencia a 0	Monitorización TI + auditorías	Trimestral
Quórum alcanzado en el Comité	100% de reuniones	Actas del Comité	Trimestral

6.3 Estructura de Informes

Informe	Contenido	Elaborado por	Destinatario	Frecuencia
Dashboard Operativo de IA	Estado de sistemas, incidentes, uso	AI Officer	AI Officer	Semanal
Informe del Comité	Registro de riesgos, incidentes, KPIs, actualizaciones de políticas, novedades regulatorias	AI Officer	Comité	Trimestral
Informe de IA para el Consejo	Resumen ejecutivo: postura de riesgo, incidentes materiales, estado regulatorio, iniciativas estratégicas	AI Officer (aprobado por CEO)	Consejo	Trimestral
Informe de Auditoría de IA	Hallazgos y recomendaciones de auditoría independiente anual	Auditor Interno/Externo	Comité + Consejo	Anual
Notificaciones Regulatorias	Notificaciones a AEPD, AESIA según proceda	DPO / Legal	Autoridades regulatorias	Según proceda

7. Calendario de Auditorías

7.1 Programa Interno de Auditoría de IA

Trimestre	Foco de Auditoría	Auditor	Entregable
T1	Precisión y completitud del inventario; calidad de evaluaciones de riesgo	Auditoría Interna	Informe de hallazgos + respuesta de la dirección
T2	Cumplimiento de protección de datos para sistemas de IA (calidad GDPR/DPIA)	Auditoría Interna + DPO	Informe de brechas de cumplimiento
T3	Controles técnicos y seguridad para sistemas de IA	CISO / Auditoría TI	Hallazgos de seguridad + plan de remediación
T4	Cumplimiento de políticas (comportamiento de usuarios, formación, Shadow AI)	RR.HH. + AI Officer + Auditoría Interna	Informe de cumplimiento + revisión del programa anual

7.2 Auditoría Externa de IA

Se realizará una auditoría externa independiente:

Anualmente (para organizaciones con sistemas de IA de alto riesgo bajo el EU AI Act)
Cuando lo requieran los reguladores
Tras un incidente material de IA

Alcance: Cumplimiento EU AI Act, cumplimiento GDPR, eficacia del marco de gobernanza, robustez técnica de sistemas de alto riesgo.

7.3 Gestión de Hallazgos de Auditoría

Severidad del Hallazgo	Plazo de Respuesta	Escalado
Crítico	Suspensión inmediata; plan de remediación en 5 días	CEO + Consejo
Alto	Plan de remediación en 15 días hábiles	Comité
Medio	Plan de remediación en 30 días hábiles	AI Officer
Bajo	Remediación en el próximo ciclo de planificación	Responsable del sistema

Todos los hallazgos se registran en el Registro de Hallazgos de Auditoría (Auditoría Interna). El progreso se reporta al Comité trimestralmente.

8. Gestión del Cumplimiento Regulatorio

8.1 Normativa Aplicable

Regulación	Alcance	Responsable Principal	Frecuencia de Revisión
EU AI Act (Reglamento (UE) 2024/1689)	Todos los sistemas de IA	AI Officer + Legal	Continua — plenamente aplicable desde agosto 2026
GDPR (Reglamento (UE) 2016/679)	Todo tratamiento de IA con datos personales	DPO	Continua
LOPDGDD (Ley Orgánica 3/2018)	Operaciones en España	DPO	Anual
Directiva de Responsabilidad por IA de la UE (propuesta)	Responsabilidad por daños causados por IA	Legal	Al adoptarse
Regulación sectorial	[Insertar normas sectoriales aplicables]	Legal + Cumplimiento	Anual

8.2 Proceso de Vigilancia Regulatoria

Legal, con el apoyo del AI Officer, supervisa:

Diario Oficial de la UE para nueva legislación sobre IA
Orientaciones y decisiones de AESIA
Orientaciones de AEPD sobre IA y protección de datos
Dictámenes del EDPB sobre IA
Directrices y normas de la Comisión Europea sobre IA

Los desarrollos regulatorios significativos se escalan al Comité en 10 días hábiles desde su publicación.

8.3 Contactos de Autoridades Supervisoras

Autoridad	Jurisdicción	Contacto	Propósito
AESIA	España — aplicación EU AI Act	[www.aesia.es]	Notificaciones e incidentes EU AI Act
AEPD	España — aplicación GDPR	[www.aepd.es]	Brechas de datos, consultas DPIA
EDPB	UE — GDPR transfronterizo	[www.edpb.europa.eu]	Asuntos transfronterizos

9. Documentación y Registros

9.1 Retención de Documentos

Documento	Período de Retención	Ubicación	Responsable
Inventario de Sistemas de IA	Indefinidamente (versión actual) + 5 años histórico	[Sistema]	AI Officer
Evaluaciones de Riesgo	10 años desde desmantelamiento del sistema	[Sistema]	AI Officer
DPIAs	3 años desde última revisión (mínimo)	[Sistema]	DPO
Informes de Incidentes	5 años	[Sistema]	AI Officer + DPO
Registros de Formación	Duración del empleo + 5 años	Sistema RR.HH.	RR.HH.
Informes de Auditoría	7 años	[Sistema]	Auditoría Interna
Actas de Comités	7 años	Secretaría del Consejo/Comité	AI Officer

9.2 Control de Documentos

Este Marco y todos los documentos de política asociados están:

Controlados por versiones
Almacenados en [Sistema de Gestión Documental]
Accesibles para todos los empleados vía [enlace intranet]
Sujetos a procedimientos formales de gestión de cambios

10. Revisión y Actualización del Marco

Este Marco se revisará:

Anualmente (en [MES] de cada año)
Tras cualquier cambio significativo en la legislación aplicable
Tras un incidente material o cuasi-incidente de IA
Cuando la huella de IA de la Organización cambie materialmente

La revisión es liderada por el AI Officer con aportaciones del DPO, CISO y Legal. Las versiones revisadas requieren aprobación del Comité de Gobernanza de IA.

Anexo A — Formulario de Registro de Sistema de IA

Nombre del Sistema: Unidad de Negocio: Responsable del Sistema: Fecha de Registro: Descripción Breve: Proveedor: Usuarios Previstos: Datos de Entrada: Datos de Salida: ¿Trata datos personales? Sí / No Categoría de Riesgo EU AI Act Estimada (evaluación inicial): Inaceptable / Alto / Limitado / Mínimo / Desconocido Fecha Prevista de Puesta en Marcha: Justificación Empresarial:

Anexo B — Registro de Cambios del Marco

Versión	Fecha	Modificado Por	Resumen de Cambios	Aprobado Por
1.0	[FECHA]	[Nombre]	Versión inicial	[Nombre, Cargo]

Pie de documento: Plantilla proporcionada por VORLUX AI | vorluxai.com Este documento es solo orientativo, no constituye asesoramiento jurídico. Versión 1.0 | Para cumplimiento del EU AI Act | Última actualización: 2026-04-05