Pregunta a un comité de dirección quién responde si mañana un modelo de IA rechaza una solicitud de crédito por un sesgo que nadie auditó, o si un comercial pega la base de clientes en un chatbot público para redactar un correo más rápido. En la mayoría de las medianas empresas la respuesta es la misma: miradas cruzadas y un silencio incómodo. Nadie lo sabe. Ese silencio, y no la ausencia de una herramienta más, es el mayor riesgo de gobierno que arrastra hoy la empresa.

Las grandes corporaciones ya han respondido a su manera, creando cargos. Chief Data Officer, Chief AI Officer, responsables de gobernanza de la IA. Forrester anticipa para 2026 la aparición de roles específicos dedicados a gobernar la inteligencia artificial, y consultoras como VASS colocan la gobernanza del dato para la IA en el centro de sus tendencias del año. Para una PYME sin un CIO con peso en el comité, ese camino está cerrado por presupuesto. La buena noticia es que tampoco lo necesita: le basta con algo más barato y más honesto, un modelo mínimo viable de gobierno.

Nadie es dueño del dato ni de la IA

El fallo de gobierno más común en el mid-market no tiene que ver con la tecnología, sino con la propiedad. Cuando algo es responsabilidad de todos, en la práctica no es responsabilidad de nadie, y el dato y la IA viven precisamente en esa tierra de nadie entre negocio, sistemas y legal. El CFO asume que lo cubre el asesor de protección de datos, ese asesor cree que la seguridad la lleva el proveedor de IT, y el proveedor de IT entiende que las decisiones de uso las toma negocio. Así el expediente circula sin dueño hasta que un incidente lo detiene en seco.

Los analistas que marcan la agenda de 2026 coinciden en el diagnóstico aunque lo cuenten con distintas siglas. IT User sitúa la estrategia y el gobierno del dato como la base sobre la que se sostiene cualquier intento serio de escalar la IA. SEIDOR habla de consolidar modelos de gobernanza adaptativa del riesgo, el llamado AI TRiSM, para usar la inteligencia artificial con confianza sin perder el control. Distintas puertas, un mismo pasillo: sin un dueño claro, la IA no escala, se dispersa en pilotos que nunca llegan a producción o que llegan sin nadie vigilando qué hacen con los datos.

¿Y qué pasa mientras el comité decide que ya lo mirará más adelante? Que la adopción sigue su curso por abajo. Los equipos ya usan copilots y asistentes, con permiso o sin él, de modo que cada semana sin gobierno es una semana de exposición acumulada que después cuesta mucho más ordenar.

Qué gobierna de verdad una PYME

Antes de repartir responsabilidades conviene acotar el terreno, porque «gobierno del dato y de la IA» suena a un proyecto infinito y no lo es. Para una mediana empresa, gobernar bien significa tener respuesta a cuatro preguntas concretas, y ninguna de ellas es jurídica.

La primera: qué datos tienes y cuáles son sensibles. La segunda: quién puede acceder a ellos y con qué herramientas. La tercera: qué sistemas de IA están en uso y qué decisiones influyen. La cuarta: qué haces, y en qué plazo, cuando algo falla. ¿Puedes contestar esas cuatro ahora mismo, con datos y sin llamar a nadie? Si la respuesta honesta es que no, ya sabes por dónde empieza el trabajo, porque un directivo que las responde con evidencia gobierna mejor que muchas empresas con un manual de doscientas páginas que nadie ha abierto.

Todo lo demás, la regulación incluida, se ordena a partir de ahí. Marcos como NIS2, el RGPD o el Reglamento Europeo de IA exigen exactamente esa trazabilidad, y ya desarrollamos su lectura para un consejo sin CIO en nuestra guía sobre NIS2, Zero Trust y AI TRiSM. Aquí el foco es otro: quién sostiene esa norma dentro de tu organización cuando no tienes un departamento para ello.

Cinco mandatos que no puedes dejar vacantes

El corazón del modelo mínimo viable es una idea sencilla: hay cinco funciones de gobierno que ninguna empresa expuesta a datos e IA puede dejar sin dueño. No hablamos de cinco contrataciones ni de cinco departamentos, sino de cinco mandatos, cada uno con un nombre y un apellido detrás, aunque una misma persona sostenga dos al principio.

1. El patrocinador ejecutivo. Un miembro del comité, normalmente el CEO o el CFO, que responde ante el consejo por el gobierno del dato y la IA. Es el único mandato radicalmente indelegable, porque NIS2 ya hace responsable a la dirección y porque sin un dueño en la mesa de decisión el resto se queda en buenas intenciones. Su trabajo es puramente de gobierno: poner el tema en la agenda, asignar presupuesto y pedir cuentas.

2. La función de protección de datos. Quien vela por el cumplimiento del RGPD, decide qué se puede tratar y cómo, y sostiene el registro de actividades. En muchas medianas empresas esta figura ya existe como DPO externo, y funciona bien así. Lo que no funciona es que exista en el contrato y no en la operación del día a día.

3. La función de seguridad de la información. El equivalente a un CISO, responsable del riesgo técnico, la identidad, la respuesta a incidentes y la relación con los proveedores tecnológicos. Es la función que con más naturalidad se cubre a tiempo parcial, con un CISO fractional que aporta criterio y método sin el coste de un ejecutivo a jornada completa.

4. La función de gobierno de la IA. Quien mantiene el inventario de sistemas de inteligencia artificial en uso, define qué herramientas están aprobadas y con qué datos, y vigila que las decisiones de alto impacto tengan supervisión humana. Es el mandato más nuevo y el que más empresas dejan huérfano, precisamente cuando la adopción va más rápida.

5. Los dueños del dato en negocio. Por cada dominio crítico, ya sea ventas, finanzas u operaciones, alguien de negocio responde por la calidad, la clasificación y el uso de esos datos. Este mandato sí es interno e intransferible, porque nadie de fuera conoce el negocio lo bastante para decidir qué dato importa y cuál es solo ruido.

Cuenta las casillas: cinco mandatos, y solo dos exigen estar en nómina. El patrocinador y los dueños del dato tienen que ser internos. Los otros tres admiten seniority alquilada, y ahí está la palanca que cambia la economía del gobierno para una PYME.

Fractional, no plantilla: seniority alquilada

La idea de que gobernar bien exige un organigrama poblado de cargos a jornada completa es una herencia de la gran empresa que a la mediana le sale carísima y le sienta mal. Un CISO senior, un responsable de gobierno de la IA con experiencia real, un asesor de privacidad con criterio: fichar esos perfiles en propiedad puede costar varios cientos de miles de euros al año, y durante gran parte del tiempo estarían infrautilizados, porque una empresa de cincuenta o de doscientas personas no genera decisiones de ese calibre cada día.

El modelo fractional resuelve esa asimetría: contratas el criterio senior y lo aplicas en las decisiones que lo merecen, sin cargar con el coste fijo de una jornada completa. La condición para que funcione es que sea seniority de verdad, gente que ya ha gobernado esto antes y no un perfil junior con un título rimbombante. El gobierno se sostiene sobre criterio acumulado, y el criterio no se improvisa.

"El gobierno del dato y de la IA no se compra ni se delega hacia abajo: se asigna. Un mandato bien asignado a un senior a tiempo parcial protege más que un organigrama lleno de casillas vacías."

Esto conecta con algo que venimos defendiendo sobre el lugar de la tecnología en la empresa. Si el propio CIO, cuando existe, a menudo reporta a la persona equivocada y acaba optimizando coste en lugar de riesgo y margen, el gobierno del dato y de la IA no puede depender de que haya o no un organigrama perfecto. Depende de que los mandatos estén asignados a alguien con la seniority para ejercerlos, esté en nómina o no.

El stack mínimo de políticas

Con los mandatos asignados, el segundo componente del modelo es un puñado de políticas. La tentación aquí es copiar el manual de una multinacional y acabar con cuarenta documentos que nadie lee. El mínimo viable son cinco, y cubren el grueso del riesgo real.

Uso aceptable de la IA: qué herramientas están aprobadas y qué datos pueden entrar en ellas. Clasificación de datos: qué es público, qué es interno y qué es confidencial o personal, para que el resto de reglas tenga a qué agarrarse. Gestión de accesos e identidad: quién entra a qué y con qué garantías. Gestión de proveedores: qué exiges por contrato a terceros que tocan tus datos, un punto que NIS2 convierte en obligación por la vía de la cadena de suministro. Y respuesta a incidentes: qué se hace, quién decide y en qué plazo cuando algo se rompe.

Lo que puedes ignorar sin culpa, al menos al principio, es casi todo lo demás. No necesitas un sistema de gestión de seguridad certificado desde el primer día, ni una política por cada supuesto imaginable. Necesitas cinco reglas cortas, escritas en un lenguaje que un empleado entienda, y aplicadas de verdad. Una política breve que se cumple vale más que un tratado que decora una intranet.

Controles que sí mueven la aguja del riesgo

Las políticas describen la intención; los controles son lo que de verdad reduce la exposición, y aquí conviene ser quirúrgico para no dispersarse. Cuatro controles concentran la mayor parte del retorno.

El primero es el inventario vivo de datos sensibles y de sistemas de IA en uso, porque no se puede gobernar lo que no se ve, y la mayoría de las empresas no sabe cuántas herramientas de IA han entrado ya por la puerta de atrás. El segundo es la identidad con doble factor, el control con mejor relación entre coste y riesgo evitado, porque casi todas las brechas empiezan en una credencial robada. El tercero es la trazabilidad de las decisiones de IA de alto impacto, con supervisión humana en los casos que afectan a personas, que es justo lo que el Reglamento Europeo de IA viene a exigir. El cuarto es la capa humana, con formación y algún simulacro, porque la tecnología frena una parte de los ataques y el criterio de las personas decide el resto.

Ninguno de estos cuatro controles exige un presupuesto de gran empresa. Exigen decisión y una cadencia de revisión, que es precisamente lo que aporta un mandato bien asignado y lo que se evapora cuando el gobierno no tiene dueño.

El comité arranca en un trimestre

Nada de esto es un proyecto de dos años. Un comité decidido levanta el modelo mínimo viable en noventa días si ataca en el orden correcto. El primer mes se dedica a lo que solo el comité puede hacer: asignar los cinco mandatos, contratar la seniority fractional que falte y levantar el primer inventario de datos y sistemas de IA. El segundo mes se cierra la identidad con doble factor, se aprueba la clasificación de datos y se publica la política de uso de IA. El tercero se escribe el plan de respuesta a incidentes, se ensaya una vez y se fija un punto trimestral de gobierno en la agenda del comité.

Al final del trimestre la empresa no tiene un gobierno perfecto, porque el gobierno perfecto no existe y perseguirlo es otra forma de no empezar nunca. Tiene algo mejor: mandatos con dueño, cinco reglas que se aplican y cuatro controles que funcionan, gobernados desde la mesa donde de verdad se decide. Eso la coloca del lado correcto de la norma y, sobre todo, del riesgo. Ahí es donde un advisory independiente que se sienta en esa mesa gana su sitio, ayudando a cubrir los mandatos que exigen seniority sin inflar la estructura. Si quieres ver cómo lo abordamos, empieza por nuestros programas de advisory.