El ICAM reúne a juristas, empresas y especialistas tecnológicos para analizar cómo convertir las obligaciones del AI Act y los principios de la ISO/IEC 42001 en sistemas efectivos de gestión, control y supervisión
La inteligencia artificial ha dejado de ser únicamente una cuestión de innovación tecnológica para convertirse en un asunto de gobierno corporativo. Identificar los sistemas utilizados por una organización, evaluar sus riesgos, asignar responsabilidades, supervisar sus resultados y poder demostrar el cumplimiento fueron algunos de los principales retos abordados este lunes en la jornada “Hacia una IA responsable: gobernanza, confianza y gestión responsable bajo la ISO/IEC 42001”, celebrada en el Ilustre Colegio de la Abogacía de Madrid.
La sesión, organizada conjuntamente por las secciones de TIC; Robótica, Inteligencia Artificial y Realidad Aumentada; Protección de Datos y Big Data, y Propiedad Intelectual e Industrial del ICAM, reunió a representantes de los ámbitos jurídico, tecnológico y empresarial. El objetivo fue analizar cómo trasladar la regulación europea y los principios de una inteligencia artificial confiable al funcionamiento cotidiano de las organizaciones.
Alejandro Touriño, presidente de la Sección TIC del ICAM, situó en la inauguración el cambio de perspectiva que se ha producido durante los últimos años. “La inteligencia artificial ya no es el futuro. Es el presente”, afirmó.
A su juicio, el debate empresarial ha evolucionado con rapidez. Hace dos años, las compañías se preguntaban si debían utilizar inteligencia artificial. Posteriormente, la discusión se centró en sus implicaciones éticas. Ahora, señaló, la cuestión esencial es cómo gestionar y gobernar su utilización dentro de las organizaciones.

“Estamos asistiendo a un cambio de madurez. Hemos pasado de la experimentación al gobierno corporativo, de los pilotos a la implantación y del entusiasmo a la responsabilidad”, explicó Touriño.
Este cambio se refleja en las preguntas que empiezan a llegar a las asesorías jurídicas y a los órganos de dirección. Las organizaciones ya no buscan únicamente posibles casos de uso, sino que quieren saber quién responde cuando un agente de IA adopta una decisión equivocada, cómo controlar los asistentes desplegados entre los empleados, cómo documentar las decisiones, medir los riesgos y demostrar el cumplimiento.
Para Touriño, estas cuestiones confirman que la conversación “ya no es tecnológica, sino de gobernanza”. Un ámbito en el que la abogacía puede desempeñar un papel central, al trasladar a la inteligencia artificial la experiencia acumulada en gobierno societario, protección de datos, ciberseguridad y cumplimiento regulatorio.
De la IA confiable al uso responsable
La ponencia inaugural corrió a cargo de Jesús Heredero Pérez, coordinador del Grupo de Trabajo de IA del Clúster de Inteligencia Artificial de la Comunidad de Madrid, quien distinguió entre los conceptos de IA confiable, responsable y gobernable.
Una inteligencia artificial confiable, explicó, es aquella de la que se esperan respuestas eficientes, coherentes y adecuadas. Sin embargo, la responsabilidad no puede atribuirse al algoritmo. Corresponde a las organizaciones que deciden cómo emplearlo, en qué procesos y bajo qué condiciones.
Por este motivo, defendió que resulta más preciso hablar de un uso responsable de la inteligencia artificial. La organización debe conocer sus sistemas, controlar su utilización y responder por sus efectos.

Esa responsabilidad tampoco puede quedarse en una declaración de principios. Debe poder acreditarse mediante evidencias. Inventarios de sistemas, evaluaciones de riesgos, trazabilidad, calidad de los datos y mecanismos de comprobación forman parte de la infraestructura necesaria para construir una verdadera tecnología de gobierno.
Heredero identificó varias razones que están impulsando este proceso: la regulación, el riesgo reputacional, la generación de valor para el negocio, la necesidad de escalar los sistemas y la exigencia de aportar evidencias de confianza.
La gobernanza también aparece como respuesta a un problema económico. El paso de modelos de suscripción a sistemas de pago por uso o consumo de tokens está obligando a las compañías a reconsiderar sus estrategias de implantación. Los costes variables pueden afectar a la viabilidad de determinados casos de uso y obligar a descartar aquellos que no aporten suficiente productividad.
Ante este escenario, se destacó la conveniencia de establecer modelos de gobierno capaces de revisar decisiones y adaptarse a la evolución técnica y económica de la IA.
Integrar el AI Act en estructuras ya existentes
La primera mesa, titulada “Del AI Act a la gobernanza corporativa: el marco de una IA responsable”, reunió a Irene Agúndez, de Iberdrola; Miriam Oñoro, de Banco Santander, y Pedro Marques, de Amadeus, bajo la moderación de Jesús Yáñez, socio de ECIJA.
El debate abordó el grado de preparación de las grandes organizaciones ante el Reglamento europeo de Inteligencia Artificial. Los participantes coincidieron en que el cumplimiento ya forma parte de la agenda de las principales empresas, aunque la situación y el nivel de desarrollo difieren según el sector y la actividad.
Desde la perspectiva financiera se puso el foco en la necesidad de integrar la inteligencia artificial en estructuras de gobernanza previamente desarrolladas. En sectores altamente regulados, el reto no consiste necesariamente en crear un sistema completamente nuevo, sino en incorporar la IA a las capas de control, inventario y gestión de riesgos existentes.

En el caso de Iberdrola, la reflexión se centró en la relación entre la gobernanza de la IA y el gobierno del dato. Ambos ámbitos, se señaló, no pueden tratarse de manera independiente: la fiabilidad y el control de un sistema de inteligencia artificial dependen en buena medida de la calidad, procedencia y gestión de la información que utiliza.
Los participantes advirtieron, además, contra el riesgo de trabajar en silos o duplicar controles. La implantación del AI Act exige analizar los nuevos riesgos, pero también coordinar los procedimientos con los sistemas corporativos ya existentes.
Otro de los asuntos centrales fue la relación con los grandes proveedores tecnológicos. Las empresas usuarias pueden pasar jurídicamente de ser meras clientes a asumir funciones y responsabilidades como responsables del despliegue, sin disponer siempre de capacidad real para negociar las condiciones técnicas o contractuales.
La dependencia de los proveedores afecta especialmente a cuestiones como la explicabilidad, la transparencia, el acceso a información relevante y la posibilidad de acreditar el funcionamiento de los sistemas a lo largo de toda la cadena de valor. Por ello, durante la sesión se subrayó la importancia de reforzar estas exigencias desde la fase precontractual y en los términos de uso.
También se abordó el fenómeno de la denominada shadow AI: herramientas utilizadas por empleados sin conocimiento o autorización de la organización. Su gestión plantea decisiones sobre restricciones técnicas, formación interna y consecuencias laborales, además de riesgos relacionados con la confidencialidad y el cumplimiento.
La ISO como instrumento de gestión, no como solución única
La segunda mesa, “De los principios a la implementación: arquitectura y controles para una IA responsable”, estuvo moderada por Lucile Corrales Vallejo, de SGS Iberia, y contó con representantes de Numintec, SesameHR y el Instituto de Ingeniería del Conocimiento.
La conversación se centró en los mecanismos prácticos para implantar sistemas de inteligencia artificial confiables y seguros, y en el papel que puede desempeñar la ISO/IEC 42001 como referencia para los sistemas de gestión de IA.
Alejandro Touriño había advertido durante la apertura que sería un error presentar el AI Act y la norma ISO como instrumentos enfrentados. “No compiten. Se complementan”, aseguró.
“El AI Act nos dice qué debemos hacer. La ISO 42001 nos ayuda a entender cómo hacerlo dentro de una organización: cómo asignar responsabilidades, crear controles, supervisar modelos, gestionar incidencias y mejorar continuamente”, añadió.

Durante la mesa se insistió, no obstante, en que la ISO no constituye por sí sola una solución completa. La gestión responsable requiere combinar estándares, metodologías, herramientas y estructuras de gobierno adaptadas a la actividad y a los riesgos concretos de cada compañía.
La evaluación de riesgos debe concebirse como un proceso de mejora continua y no como un trámite que se completa antes de implantar un sistema. Los modelos cambian, los usos evolucionan y los costes pueden modificarse, por lo que las organizaciones necesitan comités y procedimientos capaces de revisar periódicamente las decisiones adoptadas.
También se analizó el principio de intervención humana. No todos los casos de uso requieren el mismo grado de revisión. En procesos internos destinados a ganar eficiencia, el nivel de control puede ser menor. Sin embargo, cuando el sistema interviene en decisiones que pueden comprometer la actividad empresarial o afectar a terceros, la supervisión humana adquiere una importancia esencial.
La participación de todas las áreas implicadas desde el inicio fue otra de las conclusiones de la sesión. Tecnología, negocio, asesoría jurídica, cumplimiento, protección de datos y recursos humanos deben intervenir en el diseño del modelo de gobierno para evitar que la IA se gestione como una cuestión aislada.
Cumplimiento, confianza y ventaja competitiva
La jornada dejó una conclusión transversal: gobernar la inteligencia artificial significa conservar el control sobre su utilización.
Implica saber qué sistemas existen, para qué se emplean, qué riesgos presentan y quién responde por ellos. Supone también establecer controles, documentar las decisiones, gestionar las incidencias y revisar continuamente el funcionamiento de los modelos.
Las empresas no necesitarán únicamente cumplir con la regulación, sino demostrar que cumplen. Esa capacidad de aportar evidencias será determinante para generar confianza entre reguladores, clientes, empleados y socios comerciales.
“La confianza será la verdadera moneda de cambio de la inteligencia artificial”, afirmó Touriño. “No ganarán las compañías que utilicen más IA. Ganarán aquellas capaces de demostrar que la utilizan mejor: de forma responsable, explicable, auditable y segura”.
VII edición del Máster de Derecho Digital y Tecnologías Disruptivas del ICAM
En este contexto de transformación tecnológica y creciente exigencia regulatoria, el ICAM celebrará este año la VII edición del Máster de Derecho Digital y Tecnologías Disruptivas, dirigido por Alejandro Touriño, socio director de ECIJA. El programa, que se desarrollará del 2 de octubre de 2026 al 2 de julio de 2027, ofrece una formación especializada de 320 horas en modalidad híbrida y aborda, entre otras materias, la inteligencia artificial, la protección de datos y la ciberseguridad, el blockchain, el metaverso, la contratación tecnológica, los ciberdelitos, el fintech, las telecomunicaciones y el legaltech.
Como explicó Touriño durante la jornada, el Máster busca «dar solución a todas las cuestiones que nos estamos planteando a fecha de hoy con el impacto de las tecnologías en los entornos profesionales» y preparar a la abogacía desde una doble perspectiva: tanto para desenvolverse con las mejores herramientas tecnológicas como para comprender la transformación de los negocios y el nuevo marco regulatorio europeo. En palabras del director del programa, el objetivo es ayudar al abogado a «convertirse realmente en un business partner del negocio y dar soluciones proactivas, eficientes y resolutivas al día a día de los negocios».