La tesis: por qué la supervisión tecnológica necesita una comisión propia del consejo en 2026

Durante casi tres décadas, la materia tecnológica ha tenido en el consejo de administración español un sitio asignado por defecto: el comité de auditoría. Era una solución razonable cuando "tecnología" significaba sistemas internos y el riesgo principal era la indisponibilidad operativa o el incumplimiento de protección de datos. Esa solución dejó de ser razonable, en mi opinión, en algún momento entre 2024 y 2026. No por una decisión deliberada de nadie en particular, sino porque tres curvas concurrentes han cambiado el problema de naturaleza, no solo de tamaño.

Mi tesis es la siguiente: la supervisión de la tecnología, el dato y la inteligencia artificial es ya en 2026 una materia que merece su propia comisión especializada del consejo en cualquier organización española de tamaño relevante. No es una recomendación blanda. Es un cambio de arquitectura de gobierno cuya postergación tiene un coste creciente, y cuya implementación es más fácil y barata de lo que la mayoría de los consejos asume.

En este ensayo argumento las tres cosas que sostienen esa tesis: el diagnóstico que la justifica, el marco normativo que la habilita y las objeciones razonables que merece refutar.

Esta tesis personal converge con la doctrina de CTIF (Comisión de Tecnología, Innovación y Futuro), iniciativa doctrinal que promuevo desde 2025 y cuyo documento maestro desarrolla los principios y la composición de la comisión con detalle institucional. La voz que aquí leen es la mía personal; la doctrina formal vive en el sitio doctrinal.

El diagnóstico: tres curvas que se han cruzado

La materia tecnológica no es una más entre las que llegan al consejo. Es la única que ha experimentado simultáneamente, en menos de cuatro años, tres transformaciones de fondo que rara vez coinciden en el tiempo.

Primero, el peso económico. El OPEX tecnológico en los grupos españoles que conozco se sitúa hoy entre el 4 % y el 6 % de los ingresos. El CAPEX en transformación digital es, en la mayoría de los casos, la mayor partida de inversión discrecional del plan anual. Una materia que mueve esos volúmenes es por definición una materia de consejo, no de comité ejecutivo. No tener una conversación regular y profunda sobre cómo se asigna ese capital es un fallo elemental de diligencia.

Segundo, la convergencia regulatoria. Desde el 17 de enero de 2025, el Reglamento DORA atribuye al órgano de administración la responsabilidad última de la gestión del riesgo TIC en entidades financieras. La Directiva NIS2 hace lo mismo en sectores críticos, con sanciones individuales para administradores en caso de incumplimiento grave. El Reglamento UE 2024/1689 sobre inteligencia artificial entra en aplicación plena el 2 de agosto de 2026 con sanciones hasta el 7 % del volumen mundial. Y el RGPD, ya conocido, opera en el fondo de todo. Por primera vez en la historia del gobierno corporativo español, un único órgano —el consejo— recibe simultáneamente cuatro mandatos regulatorios europeos que apuntan a la misma materia con responsabilidades específicas y exigibilidad creciente.

Tercero, la velocidad de evolución. En noviembre de 2022 ChatGPT no existía a nivel de mercado. En junio de 2026 los modelos de propósito general son infraestructura cotidiana en RR. HH., banca, asistencia al cliente y operaciones. El ciclo de adopción que en otras tecnologías tardó una década se ha producido en cuarenta meses. Un consejo que se reúne ocho veces al año no puede gobernar adecuadamente una materia que cambia trimestralmente desde una única reunión anexa en su comité de auditoría.

Cuando estos tres factores convergen en la misma materia, el problema deja de ser de "intensidad de supervisión" y pasa a ser de arquitectura de gobierno. Ningún comité diseñado para supervisar la integridad de los estados financieros está estructuralmente preparado para deliberar sobre clasificación de sistemas según el Anexo III del AI Act, evaluación de proveedores cloud bajo DORA o decisiones de inversión en generative AI con un horizonte temporal incierto.

El marco normativo: la solución ya está habilitada

La buena noticia para el consejo español es que el marco legal no requiere cambio alguno para constituir esta comisión. La Recomendación 23 del Código de Buen Gobierno de las Sociedades Cotizadas de la CNMV admite expresamente que el consejo, en ejercicio de su facultad de auto-organización (Art. 529 terdecies de la Ley de Sociedades de Capital), constituya comisiones especializadas adicionales a las que el propio Código menciona (auditoría, nombramientos y retribuciones).

La constitución requiere tres elementos: acuerdo del consejo, reflejo en el reglamento interno y publicación en el informe anual de gobierno corporativo. Es una decisión de un solo trimestre que no requiere autorización externa, no genera fricción regulatoria y no presenta riesgo legal alguno. Lo que requiere es voluntad del presidente y el respaldo de un consejero coordinador o lead independent director que entienda la materia.

La fricción para crear una comisión especializada en tecnología no está en el ordenamiento jurídico. Está en el reglamento interno del consejo y en la inercia de la composición actual.

Esta es la verdad incómoda: en la mayoría de los consejos españoles donde he tenido conversaciones, el obstáculo principal no ha sido la asesoría legal externa —que en general lo recomienda— sino la dificultad de modificar el reglamento interno sin abrir una negociación más amplia sobre la composición del propio consejo. Es resistencia política, no resistencia normativa.

Las objeciones razonables y su refutación

Cualquier propuesta de cambio en la arquitectura de gobierno merece pasar la prueba de las objeciones serias. Las tres más frecuentes que escucho son:

Objeción 1: "Ya tenemos un comité de riesgos para esto." No es lo mismo. El comité de riesgos —cuando existe— supervisa el mapa de riesgos corporativo de forma transversal. La supervisión tecnológica especializada requiere una dedicación temática que un comité transversal no puede sostener sin perder profundidad en otras áreas. La distinción es la misma que existe entre el comité de auditoría (foco materia) y el comité de riesgos (foco transversal): se complementan, no se sustituyen. En consejos donde hay ambos, la materia tecnológica fluye con menos fricción cuando tiene su propia sede.

Objeción 2: "El CIO ya lo lleva." El CIO es un ejecutivo, no un órgano de supervisión. La función del consejo no es operar sino supervisar y rendir cuentas. La separación entre el ejecutivo que decide y el órgano que supervisa la decisión es un principio elemental del gobierno corporativo que en materia tecnológica se ha confundido con frecuencia porque hasta hace poco la materia era percibida como técnica. Ya no lo es: es regulatoria, estratégica y financiera al mismo tiempo. El CIO informa al comité; el comité no es el CIO.

Objeción 3: "Es una moda; en dos años se relajará la regulación." La regulación europea aplicable a este ámbito no se va a relajar en el horizonte previsible. DORA está en vigor. NIS2 está siendo transpuesta. El AI Act tiene calendario de aplicación cerrado hasta 2030. Y los reguladores sectoriales (CNMV, EBA, ESMA, Banco de España) han adoptado expectativas crecientes sobre supervisión tecnológica como materia de consejo. Una comisión constituida hoy en 2026 tendrá trabajo durante al menos los próximos diez años.

Lo que esta comisión debe poder hacer

Para no quedar en una declaración meramente formal, una comisión especializada de tecnología debe poseer atribuciones materiales delimitadas y reportar al pleno con cadencia regular. Mi propuesta de competencias mínimas, sintetizada de las conversaciones con varios consejos en distintos sectores, es la siguiente:

• Supervisión de la estrategia tecnológica y su alineación con la estrategia corporativa aprobada por el consejo.
• Aprobación o reporte de las inversiones tecnológicas significativas, con umbral establecido por consejo.
• Supervisión del riesgo tecnológico: ciber, dato, IA, terceros, continuidad operativa.
• Cumplimiento regulatorio sectorial: AI Act, DORA si aplica, NIS2, RGPD, certificaciones (ISO 27001, ENS, PCI DSS).
• Evaluación periódica del modelo operativo de la función tecnológica.
• Reporting al pleno trimestral con dashboard de indicadores establecidos.

Su composición mínima viable es de tres consejeros, al menos uno con experiencia ejecutiva tecnológica probada (no necesariamente CIO en activo) y al menos uno independiente. Su periodicidad razonable es trimestral, con sesiones extraordinarias cuando un incidente grave lo justifique. Su secretaría puede ser compartida con la del consejo o la del comité de auditoría.

La decisión que toca tomar a los consejos en 2026

Cualquier consejo español tiene en 2026 tres opciones realistas frente a esta materia:

1. Constituir una comisión especializada con las atribuciones descritas o equivalentes. La opción que sostengo en este ensayo.
2. Reforzar materialmente la atribución al comité de auditoría existente, añadiendo competencia explícita, dedicación de agenda recurrente y, posiblemente, un miembro con perfil tecnológico. Es una segunda mejor opción defendible si la composición actual lo permite.
3. No hacer nada y confiar en que la conversación informal en el pleno cubrirá el deber de diligencia. Es la peor opción y la más frecuente.

La diferencia entre la primera y la segunda es de profundidad, no de legitimidad. Ambas cumplen el deber del Art. 225 LSC. La diferencia entre la segunda y la tercera no es de matiz: es la frontera entre cumplir y no cumplir. Y la realidad es que, en 2026, con DORA en vigor y el AI Act a dos meses de aplicación plena, la tercera opción ha dejado de ser una opción defendible.

No hay que esperar a que un regulador pase por la organización para entenderlo. Basta con leer las primeras decisiones de la AEPD aplicando criterios más estrictos sobre tratamientos automatizados, los precedentes de DORA en supervisiones tempranas o el régimen sancionador del AI Act recién publicado. El consejo que en 2026 no haya tomado posición explícita sobre la arquitectura de su supervisión tecnológica está, sencillamente, llegando tarde.

Esta es la decisión que toca tomar. No es complicada de ejecutar. Sí es incómoda de plantear cuando la inercia del consejo apunta a no abrir el reglamento interno. Pero no hacerlo, a estas alturas, es ya una decisión en sí misma. Y es la peor de las que están encima de la mesa.