El AI Officer que no sabía que lo era: gobernanza de IA en la PYME sin departamento

En la mayoría de PYMEs, la gobernanza de IA recae en alguien que nunca pidió el encargo: el de IT, el de calidad, el de RRHH. Ese rol emergente merece estructura, sin confundirlo con una figura legal que el AI Act no exige.

En las grandes empresas, la gobernanza de IA tiene dueño: un equipo, un comité, un presupuesto. En la PYME, la escena es otra. La responsabilidad de que la IA se use bien recae, casi siempre, en alguien que no tiene ese encargo en su descripción de puesto. Es el responsable de IT que "entiende de tecnología", el de calidad que ya lleva las auditorías, el de RRHH que gestiona las herramientas de personal. Un día empiezan a hacerle preguntas sobre el AI Act y descubre, sin haberlo pedido, que el rol de gobernanza de IA es suyo.

A esa figura la llamamos, de forma práctica, AI Officer. Y antes de explicar cómo darle estructura, hay que aclarar algo importante para no vender humo.

Lo primero: el AI Act no te obliga a nombrar un AI Officer

Conviene decirlo con claridad, porque circula lo contrario. El AI Act no exige designar un "AI Officer" ni un "responsable de IA" como figura legal. No es el DPO.

El DPO —delegado de protección de datos— sí es una figura con base legal directa: el RGPD obliga a designarlo en determinados supuestos, define sus funciones y protege su posición. El AI Officer no tiene ese estatus. Es un control interno metodológico: una buena práctica de organización que ayuda a cumplir, no una obligación que la ley imponga.

¿Por qué insistir en esto? Porque la diferencia importa para tomar decisiones sensatas. Si alguien te dice que "estás incumpliendo por no tener un AI Officer", te está vendiendo una obligación inexistente. Lo que el AI Act sí exige son resultados —alfabetización, supervisión humana, transparencia, evaluaciones donde aplican—. Tener a alguien que se ocupe de coordinarlos es la forma más eficiente de lograrlos, no un fin en sí mismo.

Por qué, aun así, conviene que exista

Que no sea obligatorio no significa que sea prescindible. La gobernanza de IA sin un responsable identificado se dispersa: el inventario lo mantiene quien puede, la política la escribió alguien que ya se fue, nadie sabe quién revisa las clasificaciones. Cuando la responsabilidad es de todos, en la práctica no es de nadie.

Un AI Officer —aunque sea a tiempo parcial y con otro puesto principal— resuelve eso. Da un punto único de coordinación, una persona a la que preguntar, un responsable de que el registro esté vivo. En una PYME, no hace falta que sea un perfil legal ni técnico de alto nivel. Hace falta que tenga el encargo explícito, el tiempo asignado y el respaldo de la dirección.

Qué hace, en concreto

El trabajo del AI Officer en una PYME es más operativo que estratégico. Se parece a esto:

  • Mantener el inventario de sistemas de IA vivo, incluida la IA que entra sin avisar por actualizaciones de software.
  • Coordinar la clasificación de cada sistema por su nivel de riesgo, apoyándose en criterio experto cuando el caso es dudoso.
  • Custodiar la política de uso de IA y velar por que se conozca y se cumpla.
  • Asegurar la formación del personal (Art.4) y conservar su evidencia.
  • Servir de enlace con el DPO en lo que toca a datos, y con la dirección en lo que toca a decisiones.
  • Preparar la evidencia para el día en que alguien —una autoridad, un cliente que audita— pregunte.

No es un rol que exija dedicación completa en la mayoría de PYMEs. Exige constancia y un método.

El AI Officer y el DPO: no confundir, no fusionar sin criterio

Dos figuras distintas que a veces recaen en la misma persona. Puede funcionar, pero conviene entender la diferencia. El DPO tiene independencia y funciones protegidas por el RGPD, y su ámbito son los datos personales. El AI Officer coordina la gobernanza de la IA en un sentido más amplio, que incluye sistemas y usos que no siempre giran en torno a datos personales.

Si en tu organización la misma persona ejerce ambos papeles, asegúrate de que la carga es realista y de que el sombrero de DPO conserva la independencia que la ley le pide. Fusionar roles por comodidad, sin pensar en si tiene sentido, es un atajo que puede salir caro.

Cómo darle estructura sin montar un departamento

Para una PYME, profesionalizar este rol no requiere contratar a nadie ni crear una unidad. Requiere tres cosas:

  1. Nombrar explícitamente a la persona y darle el encargo por escrito, con tiempo reconocido.
  2. Dotarla de método: un proceso claro para inventariar, clasificar, formar y documentar, en lugar de improvisar cada vez.
  3. Respaldarla desde la dirección: sin autoridad para pedir información a los equipos y para frenar un uso indebido, el rol se queda en decorado.

El AI Officer de la PYME es un rol emergente y real, aunque el AI Act no lo nombre. Reconocerlo, darle estructura y no venderlo como una obligación legal que no es: eso es hacer gobernanza de IA con honestidad. Si esa figura eres tú y llegaste sin pedirlo, la buena noticia es que el trabajo tiene método. Y con método, es perfectamente abordable.

Este artículo tiene carácter informativo y no constituye asesoramiento jurídico.