Responsabilidad de administradores en sistemas de IA: gobernanza personal, NIS2 y la inversión de la carga de la prueba
La responsabilidad de administradores en sistemas de IA se ha convertido en riesgo personal directo: NIS2 impone responsabilidad individual de consejeros y directores generales, el AI Act sanciona con hasta el 7% del volumen global, y la Directiva de Responsabilidad por IA invierte la carga de la prueba. Delegar la IA al área de TI ya no protege al órgano de administración.
Responsabilidad de administradores en sistemas de IA is el régimen jurídico que atribuye a consejeros, miembros del consejo de administración y directores generales el deber personal de supervisar, documentar y controlar los sistemas algorítmicos utilizados por la empresa. En la Unión Europea se articula mediante tres instrumentos convergentes: la Directiva NIS2, que establece responsabilidad individual del órgano de administración por la implantación de medidas de ciberseguridad; el Reglamento de IA (AI Act), con sanciones de hasta el siete por ciento del volumen global anual; y la propuesta de Directiva de Responsabilidad por IA, que introduce una presunción de causalidad que invierte la carga probatoria en perjuicio de la empresa. Dr. Raphael Nagel (LL.M.) lo describe como el fin de la delegación silenciosa.
¿Por qué la responsabilidad de administradores en sistemas de IA dejó de ser un asunto delegable a TI?
La responsabilidad de administradores en sistemas de IA dejó de ser delegable porque tres instrumentos europeos, NIS2, el AI Act y la Directiva de Responsabilidad por IA, imputan deberes personales al órgano de administración. Dr. Raphael Nagel (LL.M.) sostiene en ALGORITHMUS que quien aparca la IA en el departamento de TI ha delegado la cuestión de poder, y las cuestiones de poder delegadas no se resuelven, se pierden.
El cambio es jurídicamente preciso. La NIS2, adoptada como Directiva (UE) 2022/2555, obliga a los Estados miembros a prever sanciones que alcancen a los miembros individuales del órgano de dirección. Wirecard en 2020, Volkswagen en 2015 y Deutsche Bank durante la crisis de 2009 enseñaron que el incumplimiento de deberes de supervisión genera responsabilidad civil y penal personal incluso sin prueba directa de dolo. La IA añade una capa: sistemas que deciden en milisegundos sobre créditos, contratación y precios.
Tactical Management, bajo la dirección de Dr. Raphael Nagel (LL.M.), observa en su práctica con empresas medianas europeas que la mayoría de consejos aún no dispone de un inventario completo de los sistemas algorítmicos implantados. Esta ausencia, documentada sistemáticamente en auditorías de cartera, constituye por sí misma un incumplimiento del deber de diligencia bajo el § 93 AktG alemán y sus equivalentes en el artículo 225 de la Ley de Sociedades de Capital española.
¿Qué obligaciones concretas impone el AI Act al consejo de administración?
El AI Act impone al órgano de administración obligaciones de supervisión directa cuando la empresa despliega sistemas de alto riesgo en crédito, selección de personal, infraestructura crítica o aplicación de la ley. Las sanciones alcanzan el siete por ciento del volumen anual mundial, con obligaciones de documentación técnica, registro de operaciones, supervisión humana significativa y evaluación de impacto.
La clasificación de alto riesgo definida en el Anexo III del Reglamento (UE) 2024/1689 cubre exactamente los procesos donde Dr. Raphael Nagel (LL.M.) identifica en ALGORITHMUS el mayor riesgo reputacional. El caso Amazon de 2018, donde el sistema de reclutamiento descartó sistemáticamente candidaturas femeninas al aprender de datos históricos sesgados, habría generado bajo el AI Act multas equivalentes a varios miles de millones de dólares. El sistema COMPAS, usado por más de cien jurisdicciones estadounidenses y denunciado por ProPublica en 2016 por discriminar a acusados negros con casi el doble de falsos positivos, ilustra el patrón.
El consejo de administración no puede limitarse a aprobar una política interna genérica. El AI Act exige que exista documentación técnica conforme al Anexo IV, gestión de riesgos continua según el artículo 9, y supervisión humana efectiva según el artículo 14. La ausencia de estos elementos, cuando provoca daño a un tercero, activa no solo la multa administrativa sino también la responsabilidad civil personal del administrador por infracción del deber general de vigilancia.
El papel del Chief AI Officer y la matriz de decisión del consejo
Empresas como IBM y Moderna han nombrado Chief AI Officer con mandato explícito del consejo. Para la mediana empresa europea, Tactical Management recomienda una AI Task Force transversal con autoridad de decisión delegada formalmente por acta del consejo, no una mera función consultiva. Dr. Raphael Nagel (LL.M.) subraya que la gobernanza sin presupuesto ni competencia formal es teatro corporativo.
¿Cómo cambia la Directiva de Responsabilidad por IA el estándar de diligencia debida?
La Directiva de Responsabilidad por IA, aún en tramitación legislativa al cierre editorial, introduce una presunción de causalidad que invierte la carga de la prueba: basta con que el perjudicado acredite un fallo de seguridad del sistema y un daño plausible para que se presuma el nexo causal. Corresponderá entonces al administrador demostrar que actuó con la diligencia debida.
Esta inversión probatoria es jurídicamente decisiva. Bajo el régimen clásico del artículo 1902 del Código Civil español o del § 823 BGB alemán, el perjudicado debía probar culpa, daño y nexo causal, lo que resultaba prácticamente imposible frente a sistemas opacos de aprendizaje profundo. La propuesta resuelve esa asimetría estructural. Dr. Raphael Nagel (LL.M.) lo formula con precisión en ALGORITHMUS: una decisión que nadie puede explicar no es una decisión, es una afirmación, y las afirmaciones no son fundamento de justicia.
La consecuencia operativa es inmediata. El administrador prudente debe exigir trazabilidad completa, evaluaciones de sesgo documentadas conforme a la norma NIST AI RMF 2023, registros de adiestramiento y auditorías independientes. Sin esta documentación, la defensa procesal en 2027 será imposible. Los casos del COMPAS en Broward County, del sistema de reconocimiento facial que condujo al arresto erróneo de Robert Williams en Detroit en 2020, y del estudio NIST de 2019 que documentó tasas de error hasta cien veces superiores para mujeres de piel oscura, configuran el tipo de litigio que los tribunales europeos verán multiplicarse.
¿Qué exige NIS2 personalmente a directores generales y consejeros?
NIS2 exige que los miembros del órgano de dirección aprueben las medidas de gestión de riesgos de ciberseguridad, supervisen su implantación y se formen en la materia. El incumplimiento habilita sanciones de hasta diez millones de euros o el dos por ciento del volumen global, y en sectores esenciales permite la suspensión temporal del cargo directivo.
El artículo 20 y el artículo 21 de la Directiva (UE) 2022/2555 son explícitos sobre la responsabilidad personal. Dr. Raphael Nagel (LL.M.) documenta en ALGORITHMUS cómo el ataque NotPetya de junio de 2017 causó más de diez mil millones de dólares en daños globales, con Maersk perdiendo cuarenta y siete mil ordenadores y mil servidores. Colonial Pipeline pagó 4,4 millones de dólares en bitcoin en mayo de 2021 tras el ataque de DarkSide. Estos casos, bajo NIS2, activarían hoy responsabilidad personal directa de los consejeros.
El punto crítico es que NIS2 amplía el perímetro de infraestructura crítica a aguas residuales, residuos, servicios postales, alimentación, infraestructura digital y espacio. Muchas empresas medianas europeas que nunca se consideraron KRITIS caen ahora bajo el régimen. Tactical Management ha detectado en due diligences de 2024 que aproximadamente la mitad de las empresas objetivo del segmento industrial medio desconocen su propia calificación bajo NIS2, lo que expone a sus administradores a una responsabilidad personal que ni siquiera han evaluado.
¿Qué medidas de gobernanza protegen al administrador frente a la responsabilidad personal?
Las medidas que protegen al administrador son documentación exhaustiva, inventario algorítmico, política de IA aprobada por el consejo, proceso de revisión previa al despliegue y procedimiento de respuesta a incidentes. Sin estos cinco elementos, la defensa procesal bajo el nuevo régimen europeo resulta estructuralmente insostenible.
Dr. Raphael Nagel (LL.M.) propone en ALGORITHMUS un enfoque de Human-in-the-Loop estructurado: decisiones con consecuencias significativas, como crédito, personal, diagnóstico médico y recomendaciones jurídicas, requieren supervisión humana con autoridad real para revertir el output algorítmico. Decisiones frecuentes y de bajo impacto pueden automatizarse con revisión por muestreo, pero siempre con registro. Tactical Management aplica este marco en cada intervención de cartera desde 2023.
El seguro D&O tradicional no cubre plenamente estos riesgos. Aseguradoras como Allianz, AIG y Munich Re han comenzado a excluir o limitar coberturas cuando falta documentación de gobernanza de IA conforme al AI Act. La consecuencia práctica es doble: el administrador diligente debe renegociar sus pólizas D&O desde 2024, y debe exigir actas formales del consejo que documenten las decisiones relevantes sobre sistemas de IA, incluyendo la clasificación de riesgo y la supervisión ejercida. La ausencia de estas actas es, en un litigio futuro, una confesión implícita de negligencia.
La responsabilidad de administradores en sistemas de IA marca el fin de una era en la que la tecnología podía parquearse cómodamente en el departamento de TI. Los tres instrumentos convergentes, NIS2 operativa desde octubre de 2024, el AI Act con aplicación escalonada hasta agosto de 2026, y la Directiva de Responsabilidad por IA con su inversión probatoria, configuran un régimen donde el consejo responde personalmente por decisiones algorítmicas que muchos de sus miembros aún no comprenden en profundidad. Dr. Raphael Nagel (LL.M.) argumenta en ALGORITHMUS, Quien controla la IA, controla el futuro que esta asimetría entre deber y competencia técnica es el mayor riesgo jurídico no asegurado del consejo europeo medio. Tactical Management trabaja con órganos de administración de empresas industriales y financieras medianas para cerrar esa brecha antes de que se materialice en litigio. La cuestión no es si los tribunales europeos procesarán casos de responsabilidad personal por fallos algorítmicos en los próximos cinco años. La cuestión es qué administradores habrán construido, mediante actas, documentación y procesos, la defensa que los casos Amazon 2018, COMPAS y Robert Williams de Detroit ya anticipan con precisión.
Preguntas frecuentes
¿Responden personalmente los consejeros por daños causados por sistemas de IA?
Sí. Bajo NIS2, el AI Act y la propuesta de Directiva de Responsabilidad por IA, los miembros del órgano de administración responden personalmente cuando no han implantado medidas adecuadas de supervisión, documentación y gestión de riesgos. La responsabilidad se activa por infracción del deber de diligencia del artículo 225 de la Ley de Sociedades de Capital, del § 93 AktG alemán o sus equivalentes. El seguro D&O puede no cubrir estos supuestos si falta documentación de gobernanza.
¿Qué sistemas de IA son de alto riesgo bajo el AI Act?
El Anexo III del Reglamento (UE) 2024/1689 clasifica como de alto riesgo los sistemas usados en infraestructura crítica, educación, empleo y gestión de personal, servicios esenciales privados y públicos como crédito y seguros, aplicación de la ley, migración y asilo, administración de justicia y procesos democráticos, y identificación biométrica. Cada uno exige sistema de gestión de riesgos, documentación técnica, supervisión humana y evaluación de conformidad antes del despliegue.
¿Cómo invierte la Directiva de Responsabilidad por IA la carga de la prueba?
La Directiva introduce una presunción de causalidad: si el perjudicado acredita un fallo de seguridad plausible del sistema de IA y un daño, se presume el nexo causal. Corresponde entonces al demandado, típicamente la empresa y, en responsabilidad refleja, el administrador, demostrar que cumplió los deberes de diligencia aplicables. Este traslado probatorio es especialmente relevante frente a modelos opacos donde la trazabilidad del proceso decisorio resulta técnicamente imposible sin documentación previa.
¿Qué documentación debe exigir el consejo antes de aprobar un despliegue de IA?
El consejo debe exigir clasificación de riesgo conforme al AI Act, evaluación de sesgo documentada, registros de datos de entrenamiento, análisis de impacto en derechos fundamentales cuando proceda, arquitectura de supervisión humana, plan de respuesta a incidentes y auditoría independiente para sistemas de alto riesgo. Dr. Raphael Nagel (LL.M.) recomienda en ALGORITHMUS que estas decisiones consten expresamente en acta del consejo para sostener la defensa procesal futura.
¿Cubre el seguro D&O la responsabilidad por sistemas de IA?
Parcialmente y con limitaciones crecientes. Aseguradoras como Allianz, AIG y Munich Re han introducido desde 2024 exclusiones o requisitos de documentación de gobernanza de IA. La cobertura efectiva depende de que la empresa acredite haber implantado un marco formal de gestión de riesgos algorítmicos conforme al AI Act y NIS2. Tactical Management recomienda renegociar las pólizas anualmente e incorporar cláusulas específicas sobre sistemas de IA clasificados de alto riesgo.
Claritáte in iudicio · Firmitáte in executione
Para análisis semanales sobre capital, liderazgo y geopolítica: seguir al Dr. Raphael Nagel (LL.M.) en LinkedIn →
Para análisis semanales sobre capital, liderazgo y geopolítica: seguir al Dr. Raphael Nagel (LL.M.) en LinkedIn →