Se rechaza a un candidato. Se deniega una gratificación extraordinaria. Un encuadramiento profesional resulta más bajo de lo esperado. En los tres casos intervino un agente de IA - y en los tres casos el afectado podrá pronto decir una frase antes reservada a los abogados: “Explíqueme el papel del sistema de IA y los elementos principales de esta decisión.”
No es un escenario hipotético. Es el núcleo literal del artículo 86 del Reglamento (UE) 2024/1689 - el artículo más subestimado del EU AI Act. El sector debate sobre documentación de modelos, clases de riesgo y plazos. El artículo 86 plantea otra pregunta: ¿puede explicar una decisión concreta, una sola? No su sistema. Esta decisión.
La mayoría de las empresas no puede. No porque su IA sea mala - sino porque su arquitectura documenta la unidad equivocada. Registran conversaciones, tokens y comportamiento del sistema. Pero solo es impugnable lo que se haya fijado como decisión. Este artículo describe el artefacto que falta: el acta de decisión.
De un vistazo - El acta de decisión
- Solo es impugnable lo que se haya fijado como decisión. El acta de decisión es el registro atómico e inmutable de una única microdecisión: input, regla de negocio aplicada con su versión y fuente, resultado, confianza, versión del modelo, marca de tiempo, vía de impugnación. Los logs responden "¿Qué ocurrió?" - el acta de decisión responde "¿Por qué se decidió así?".
- El art. 86 del EU AI Act da al afectado derecho a la explicación de la decisión individual - y el TJUE ya exige hoy la misma motivación del caso concreto bajo el RGPD. La descripción del sistema no basta.
- Los chat-logs, los traces de observability y las model cards documentan interacción, infraestructura y sistema - pero no la justificación profesional. La propia documentación de Microsoft lo confirma: el audit-log de Copilot no captura ni el contenido de los prompts ni la versión del modelo. Y los textos de razonamiento de los modelos de lenguaje reflejan, según la investigación de Anthropic, la base real de la decisión solo en uno de cada cuatro casos.
- Un agente de IA nunca toma "una decisión" - toma decenas de microdecisiones por expediente. Cada una puede ser jurídicamente relevante: el TJUE considera ya el scoring automatizado como decisión, no solo el resultado final.
- La impugnabilidad no se añade a posteriori: una decisión que nunca se modeló como decisión no puede motivarse después. Por eso el acta de decisión es un principio arquitectónico del Decision Layer - no una función de compliance.
IA agéntica significa: transferir derechos de decisión
Las cifras de las grandes consultoras cuentan en 2026 una historia coherente. McKinsey lo llama la paradoja de la IA generativa: casi ocho de cada diez empresas usan IA generativa, y una proporción casi igual de grande no ve ningún efecto medible en resultados - porque los copilotos horizontales se despliegan de forma amplia mientras los casos de uso verticales, los que crean valor, no pasan de la fase piloto. Gartner pronostica que más del 40 por ciento de los proyectos de IA agéntica se cancelarán para finales de 2027 - de forma expresa también por controles de riesgo insuficientes. La misma previsión espera que para 2028 al menos el 15 por ciento de las decisiones de trabajo cotidianas las tomen de forma autónoma agentes de IA.
Las dos afirmaciones juntas componen la verdadera tensión: las empresas transfieren derechos de decisión a las máquinas sin poseer la infraestructura para responder por esas decisiones. McKinsey enmarca la era agéntica en exactamente esos términos en su estudio de confianza de 2026 - la pregunta rectora se desplaza de “¿Es preciso el modelo?” a “¿Quién responde cuando el sistema actúa?” (State of AI trust in 2026).
La brecha de gobernanza está cuantificada en todas las fuentes:
| Hallazgo | Cifra | Fuente |
|---|---|---|
| Proyectos de IA agéntica cancelados para finales de 2027 - entre otras causas, por controles de riesgo insuficientes | más del 40% | Gartner, 2025 |
| Empresas con gobernanza madura para agentes autónomos | solo el 21% | Deloitte, 2025 |
| Directivos de tecnología cuya adopción de IA ya supera su propia capacidad de gobernanza | 77% | IBM IBV, 2026 |
| CIO/CTO que rinden cuentas por sistemas de IA que no controlan del todo | en torno a dos tercios | IBM IBV, 2026 |
| Incidentes de IA notificados en 2024 - máximo histórico, +56,4% respecto al año anterior | 233 | Stanford HAI AI Index, 2025 |
| Menos incidentes de IA cuando la gobernanza está embebida directamente en el sistema en lugar de la supervisión manual | 25% | IBM IBV, 2026 |
La última fila es la más importante: la gobernanza embebida funciona de forma medible mejor que el control a posteriori. Justo aquí la pregunta se vuelve concreta: qué significa “embebida” en términos técnicos. Y donde más se agudiza es en RRHH: transferir derechos de decisión a agentes desplaza el modelo operativo - y cada una de esas decisiones recae sobre una persona concreta: su parte de baja, su retribución, su encuadramiento. La respuesta empieza por la ley.
Qué exige el artículo 86 - y por qué la documentación del sistema no lo cumple
El EU AI Act conoce dos niveles de transparencia radicalmente distintos que el debate de compliance mezcla constantemente:
| Nivel | Base jurídica | Destinatario | Momento | Responde a la pregunta |
|---|---|---|---|---|
| Transparencia del sistema | Art. 11 (documentación técnica), Art. 13 (instrucciones de uso para el responsable) | autoridad, responsable del despliegue | antes de la puesta en servicio | ”¿Cómo funciona el sistema en general?” |
| Explicación del caso individual | Art. 86 AI Act, art. 15.1.h y art. 22 RGPD | la persona afectada | después de la decisión | ”¿Por qué salió así esta decisión concreta?” |
El artículo 86 da a toda persona que sea objeto de una decisión basada en un sistema de IA de alto riesgo del Anexo III, y que se vea afectada jurídicamente o de modo similarmente significativo, un derecho frente al responsable del despliegue: a explicaciones claras y significativas sobre el papel del sistema de IA en el procedimiento de decisión y sobre los elementos principales de la decisión adoptada. Eso está formulado respecto al caso, no respecto al sistema. Una model card describe el modelo. El artículo 86 pregunta por el caso.
El Tribunal de Justicia de la Unión Europea ya ha desarrollado el mismo principio para el RGPD - en dos sentencias que debería conocer cualquiera que responda por decisiones de IA:
SCHUFA, C-634/21 (diciembre de 2023): ya la elaboración automatizada de un valor de scoring es una decisión individual automatizada en el sentido del art. 22 RGPD, en cuanto un tercero le atribuye una importancia determinante. La consecuencia va mucho más allá del scoring crediticio: la obligación de trazabilidad se activa en la propia evaluación automática - no solo en la decisión final posterior que firma una persona.
Dun & Bradstreet Austria, C-203/22 (febrero de 2025): el responsable debe explicar el procedimiento efectivamente aplicado de manera que la persona afectada pueda comprender cuáles de sus datos se utilizaron, y de qué modo, en la decisión. Una explicación contrafáctica puede bastar - por ejemplo: ¿con qué variación de los datos de entrada habría salido otro resultado? Y los secretos comerciales no justifican una negativa global; en caso de conflicto, la información debe revelarse a la autoridad o al tribunal competente, que entonces ponderan.
Una explicación contrafáctica por caso presupone que los datos de entrada realmente usados y la regla aplicada estén disponibles de forma estructurada por decisión. A partir de una descripción global del sistema no se puede reconstruir.
A esto se añade un matiz que el debate de compliance suele pasar por alto: el art. 12 obliga a los sistemas de alto riesgo al registro automático durante toda su vida útil, y el art. 26.6 obliga al responsable del despliegue a conservar esos registros al menos seis meses. Pero la ley solo define el contenido obligatorio de los registros para los sistemas biométricos. Para los sistemas de RRHH y finanzas, el AI Act exige la capacidad de registro - y deja abierto el esquema de contenido. Qué se fija por decisión es una tarea de diseño del responsable. Quien aquí solo registra consumo de tokens y marcas de tiempo cumple la letra del art. 12 y fracasa en el art. 86.
Para situar los plazos: conforme a la legislación vigente, las obligaciones de alto riesgo se aplican desde el 2 de agosto de 2026; el aplazamiento al 2 de diciembre de 2027 acordado provisionalmente en el Digital Omnibus el 7 de mayo de 2026 aún no está formalmente adoptado. No cambia nada en la clasificación de alto riesgo de los procesos de RRHH (Anexo III, n.o 4) - ni en el deber civil de explicar decisiones, que rige desde hace tiempo en todo el mundo. Las prohibiciones de prácticas de IA inaceptables, por su parte, están en vigor desde el 2 de febrero de 2025. Los detalles de plazos y obligaciones los aborda EU AI Act 2026: estado, plazos, necesidad de actuar.
No existe “una decisión de IA” - existen decenas de microdecisiones
Quien se toma en serio el artículo 86 en la operativa choca de inmediato con un problema de granularidad: ¿qué es exactamente “la decisión”?
Esta descomposición no está ligada a ninguna jurisdicción. Una decisión de crédito se descompone con la misma mecánica: verificación de identidad (reglamento), extracción de ingresos de los justificantes (IA, con confianza), cálculo del scoring (reglamento, versionado), enrutamiento por umbrales (reglamento), voto humano en el caso límite (humano). Qué derecho vincula cada microdecisión - RGPD art. 22, UK GDPR, LGPD art. 20 o la Equal Credit Opportunity Act estadounidense - depende del mercado. La descomposición es la misma en todas partes. Hasta dónde llega en un proceso regulado lo muestra el ejemplo que ocupa a diario a los departamentos de RRHH europeos:
Procesar un parte de baja - eso suena a un solo trámite. En realidad encierra más de una docena de decisiones individuales: ¿Se ha clasificado correctamente el parte de IT según el RD 625/2014? ¿Es aplicable la prestación de la Seguridad Social según los art. 169-176 de la LGSS - y en qué cuantía? ¿Es una recaída del mismo proceso dentro de los 180 días, con duración acumulada (art. 169.2 LGSS)? ¿Se ha remitido el parte al INSS a través del Sistema RED en el plazo de tres días hábiles (art. 7 RD 625/2014)? ¿Procede ofrecer un examen de salud tras la reincorporación por ausencia prolongada (art. 37.3.b RD 39/1997, en relación con el art. 22 LPRL)? ¿A quién se informa de qué - y de qué, expresamente, no?
El Decision Layer descompone cada proceso de negocio en exactamente estas microdecisiones y asigna cada una, de antemano, a uno de tres tipos de decisor - humano, reglamento o IA:
| Microdecisión (parte de baja) | Decisor | Por qué |
|---|---|---|
| Clasificación del parte de IT según RD 625/2014 | Reglamento | determinista, sin margen de interpretación |
| Cálculo de la prestación según art. 169-176 LGSS | Reglamento | cálculo fijo de porcentaje y base reguladora |
| Comprobar la recaída del mismo proceso a 180 días | Reglamento | regla determinista de los 180 días (art. 169.2 LGSS) |
| Remisión del parte al INSS a través del Sistema RED en plazo | Reglamento | plazo legal de 3 días hábiles (art. 7 RD 625/2014) |
| Marcar patrones de ausencia inusuales estadísticamente | IA (indicador) | detección de anomalías; el resultado es un indicio, no una decisión sobre el personal |
| ¿Procede ofrecer un examen de salud tras la reincorporación por ausencia prolongada (art. 37.3.b RD 39/1997, en relación con el art. 22 LPRL)? | Reglamento (oferta) + Humano (carácter voluntario) | la oferta es determinista; la participación es voluntaria |
| Despido por enfermedad previsiblemente prolongada | Humano | discrecional; inversión de la carga de la prueba (art. 96 LRJS, STJUE C-270/16 Daouidi) |
Esta descomposición no es un ejercicio académico - es la condición previa para la impugnabilidad. Porque la lógica SCHUFA del TJUE es aplicable en cada nivel: si ya un scoring automatizado es una decisión en sentido jurídico, entonces la comprobación automática de un plazo, la clasificación automática de un documento, la recomendación automática de un encuadramiento profesional son cada una un acto potencialmente impugnable - no solo el resultado final. Una empresa que solo documenta el resultado final, ante la pregunta “¿Por qué se rechazó mi solicitud?”, solo puede responder: “Eso es lo que dio el proceso.” Esa es exactamente la respuesta de caja negra que ningún juzgado de lo social acepta.
Hasta qué punto llega esta descomposición en la práctica lo muestra el catálogo de agentes de RRHH: cada agente con su tabla completa de microdecisiones - por paso, tipo de decisor, motivación, base jurídica y vía de impugnación.
Por qué los logs, traces y model cards no responden a la pregunta
El sector ha respondido a la necesidad de documentación - pero en tres niveles que pasan todos de largo respecto a la decisión individual:
| Nivel | Herramientas | Documenta | NO responde |
|---|---|---|---|
| Interacción | chat-logs, historial de conversación, eventos de audit de Copilot | quién habló con el sistema y cuándo, qué recursos se tocaron | qué regla de negocio sostuvo la decisión |
| Infraestructura | LLM observability (traces, spans), OpenTelemetry GenAI | prompts, tool calls, tokens, latencias a lo largo de la ejecución | por qué el resultado salió así - y si es correcto |
| Sistema | model cards, documentación técnica, plataformas de gobernanza (inventario de modelos, registro de riesgos) | cómo funciona el modelo en general, qué riesgos tiene el sistema | ningún caso individual concreto |
No es una exageración polémica, sino lo que dice la propia documentación de los fabricantes. La documentación de Purview de Microsoft recoge para el audit-log de Copilot que no registra los prompts y respuestas reales y que el nombre y la versión del modelo no están disponibles en los escenarios de Microsoft 365 Copilot. En el ecosistema de Salesforce la brecha se nombra abiertamente: los audit-trails clásicos se construyeron para personas que pulsan botones - se ve que algo ha cambiado, pero no por qué. Y las plataformas de gobernanza como IBM watsonx.governance o Credo AI responden a la pregunta “¿Está este sistema inventariado, evaluado por riesgo y conforme a las políticas?” - una pregunta importante, pero distinta de “¿En qué se basó la clasificación de la Sra. M. el 14 de mayo a las 10:42?”.
Queda la salida en apariencia más obvia: dejar que el propio modelo se justifique. Los modelos de razonamiento generan cadenas de justificación - ¿por qué no archivarlas como prueba? Porque, está demostrado, no reflejan de forma fiable en qué se basó realmente la decisión. La investigación de Anthropic sobre la fidelidad de la cadena de razonamiento muestra que, incluso en condiciones favorables, los modelos de razonamiento verbalizan los indicios de decisión que de verdad usaron solo en torno a uno de cada cuatro casos - los factores de influencia relevantes quedan ocultos aunque se lea la cadena de razonamiento completa. Una justificación generada es un texto sobre la decisión. No es la base de la decisión.
La investigación sobre impugnabilidad extrae de ahí la conclusión decisiva: explicabilidad e impugnabilidad son dos medios para el mismo fin - y la explicación sola, sin vía de impugnación, no lo alcanza (Schmude et al., 2025). La impugnabilidad cuenta con que una decisión pueda ser errónea, y exige los medios de prueba para revocarla. Los métodos de explicación post-hoc muestran, en el mejor de los casos, que en algún punto del entorno de una decisión puede haber errores; la prueba de que esta decisión concreta fue defectuosa no la aportan. Y Moreira et al. (2025) desplazan el listón de la mera comprensión a la capacidad de actuar: una explicación debe permitir a afectados y revisores impugnar, cuestionar e influir activamente en un resultado - no solo comprender por qué se decidió así.
Con un trace de tokens nadie puede hacerlo. Con un acta de decisión, sí.
El acta de decisión: la pieza de prueba por decisión
El acta de decisión es el registro atómico, inmutable y estructurado de una única microdecisión de negocio. Nace en el momento de la decisión - no como reconstrucción posterior - y contiene todo lo que el art. 86, el art. 12 y la jurisprudencia del TJUE exigen caso por caso:
| Campo | Contenido | Para qué sirve jurídicamente |
|---|---|---|
| Input | qué datos, qué documento, qué hash | C-203/22: “qué datos se usaron, y de qué modo” |
| Regla de negocio + versión + fuente | p. ej. convenio colectivo art. 12.3, versión 2024-Q3, en vigor desde 01/07/2024 | la motivación que sostiene - el campo que logs y traces no tienen |
| Tipo de decisor | humano, reglamento o IA - con la motivación del routing | Art. 14: prueba de supervisión humana efectiva |
| Confianza | valor de confianza y umbral en el momento de la decisión | prueba de la gestión de riesgos (art. 9), trazabilidad de la escalación |
| Versión del modelo y del prompt | qué modelo de lenguaje, qué plantilla de prompt, qué versión | reproducibilidad; el campo que falta en el audit-log de Copilot |
| Resultado + marca de tiempo | qué se decidió, cuándo (UTC) | conservación según art. 26.6, fijación inalterable de los registros |
| Nota de Human-in-the-Loop | quién revisó, si confirmó o se apartó | Art. 14.4: anular, revocar, detener - documentado |
| Vía de impugnación | quién puede impugnar esta decisión y dónde | hace operativamente cumplible el derecho del art. 86 |
Así se ve en el acta de un caso real - cuatro de 13 microdecisiones del procesamiento de un parte de baja:
Parte de IT recibido el 14.05.2026, 07:12 h. Caso procesado en 54 segundos - descompuesto en 13 microdecisiones documentadas.
-
02Cálculo de la prestación según art. 169-176 LGSS Regla
60% de la base reguladora desde el día 4
input: periodo del parte 14-27.05 · datos maestros EMP_0x52a8rule: LGSS art. 169-176 · v2026-01 -
06Remisión del parte al INSS (Sistema RED) en plazo Regla
Transmitida dentro del plazo legal de 3 días
input: parte de baja RD 625/2014rule: RD 625/2014 · v2025-07 -
09Marcar patrón de ausencias IA 91%
Aviso a RRHH: tercera baja corta en seis meses
input: metadatos de ausencia anonimizados - sin diagnóstico (RGPD art. 9)model-reason: coincidencia de patrón de bajas cortas repetidas · indicador, no decisión de personalformalmente impugnable · art. 14 EU AI Act -
13Entrevista de reincorporación Humano
Plan de reincorporación acordado
decided-by: técnica de RRHH - 17.05.2026, 14:10
El Derecho administrativo español ofrece una analogía precisa para este artefacto: el acto administrativo. Una Administración que decide sobre un ciudadano no emite un “output” - dicta un acto: dirigido individualmente, motivado, con base jurídica y pie de recurso, impugnable de forma individual mediante recurso. La Ley 39/2015, del Procedimiento Administrativo Común exige la motivación del acto (art. 35) y le anuda un sistema de recursos (art. 112 y siguientes). Nadie aceptaría que una Administración respondiera a un recurso con: “Lamentablemente solo tenemos el log del servidor.” Esa exigencia de forma es la que el acta de decisión traslada a las decisiones automáticas. Un trail es un rastro que se deja. Un acta es un documento que se levanta; un acto, una decisión que se dicta - y contra la que cabe recurso.
La misma lógica la conoce la contabilidad desde hace siglos: ningún auditor acepta una suma sin asientos y sin justificantes. El Código de Comercio exige el registro individual, la conservación ordenada y la trazabilidad por operación - con un plazo de conservación de los libros y la documentación de seis años (art. 30 del Código de Comercio), y la Ley General Tributaria fija la prescripción en cuatro años (art. 66), muy por encima de los seis meses del art. 26.6 del AI Act. El acta de decisión no es otra cosa que el viejo principio contable de ‘ningún apunte sin justificante’, aplicado a las decisiones: un justificante por operación, un acta por decisión.
Que para esta unidad todavía no exista un término estándar lo demuestra el propio mercado: circulan “decision trail”, “decision provenance”, “decision trace”, “accountability record” - TechTarget declara las rutas de decisión de IA el nuevo audit-trail, el FINOS AI Governance Framework reclama “Agent Decision Audit and Explainability”. El requisito ha llegado al debate. El artefacto aún no tiene nombre. Nosotros lo llamamos desde el origen del Decision Layer: acta de decisión.
Dónde nace el acta lo muestra la vista de las siete capas de un stack de agentes en producción - el acta de decisión es el artefacto de la capa 04:
-
01
Presentation Layer
Interfaces de usuario, pasarelas de prompts, portales de acceso para áreas de negocio y comité de empresa.
-
02
Orchestration Layer
Coordinación multiagente, enrutamiento de eventos, gestión de estado entre procesos.
-
03
Agent Layer núcleo Gosign
Agentes Document, Workflow y Knowledge - la capa ejecutora con juicio de IA.
-
04
Decision Layer núcleo Gosign
Aquí nace el acta de decisión: un acta por microdecisión, reglamentos versionados, routing human-in-the-loop ante discrecionalidad, impugnabilidad según el art. 14.
-
05
Governance Layer
Audit trail, registros firmados, controles cert-ready para EU AI Act art. 9/12/13/14, ISO 27001.
-
06
Model Layer
Registro de modelos, versionado, calibración de confianza - agnóstico al modelo.
-
07
Integration Layer
Conectores a SAP, Workday, sistemas ERP - salidas listas para contabilizar.
La impugnabilidad es una decisión de arquitectura - no una función
La consecuencia incómoda de todo esto: la impugnabilidad no se añade a posteriori. Tres razones por las que una herramienta de compliance retrospectiva fracasa de forma estructural:
Primera: lo que nunca se modeló como decisión no puede motivarse como decisión. Un agente que procesa un expediente “de una sola pasada” produce un resultado sin articulación. La descomposición en microdecisiones tiene que ocurrir antes de la ejecución - define en qué puntos nace un acto, qué regla rige ahí y quién decide ahí. Después no se puede extraer una estructura de decisión de un log de conversación, igual que no se puede extraer una contabilidad analítica por centros de coste de un extracto bancario.
Segunda: la supervisión humana efectiva necesita el contexto de la decisión - por caso. El art. 14.4 exige que la persona supervisora pueda interpretar correctamente el output, ignorarlo o revertirlo y detener el sistema - y que siga consciente de la tendencia a confiar de forma automática en el output de la máquina. El legislador nombra expresamente el sesgo de automatización. El NIST estadounidense advierte en el mismo sentido contra el Human-in-the-Loop ceremonial: un botón de aprobación sin contexto, sin facultad y sin tiempo no protege a nadie. Quien deba anular necesita ante sí el input, la regla aplicada, la confianza y el motivo de la escalación - es decir, exactamente los campos del acta de decisión. Por eso el Human-in-the-Loop en el Decision Layer es un enrutamiento impuesto, no un clic opcional: en los tipos de decisión definidos el workflow se pausa, el sistema destino queda intacto y la decisión humana se documenta a su vez en su propia acta - incluida la información de si siguió la recomendación o se apartó de ella.
Tercera: la corrección necesita la referencia a la regla. La impugnación no es un fin en sí mismo - sirve para subsanar errores. Cuando una decisión se impugna con éxito, surge de inmediato la pregunta: ¿fue un error individual o un error de regla? Un acta de decisión que lleva la versión de la regla aplicada lo responde con una consulta: todas las actas de la misma versión de regla son identificables, la regla se corrige en una versión nueva, los casos afectados se vuelven a decidir de forma dirigida. De un caso individual impugnado nace una clase de error subsanada. Sin la referencia a la regla solo queda la revisión manual de todos los expedientes - lo contrario de escalar.
La investigación llama a este principio Contestability by Design (Alfrink et al., 2022): los sistemas deben permanecer abiertos a la intervención humana a lo largo de todo su ciclo de vida - como una relación procedimental entre los afectados por la decisión y los responsables del sistema, incorporada en vez de añadida. Y Deloitte (2025) nombra los tres componentes de gobernanza que faltan a las empresas para los agentes casi con las mismas palabras que esta arquitectura: límites claros sobre qué decisiones pueden tomar los agentes por sí mismos y cuáles requieren aprobación humana; supervisión en tiempo real con detección de anomalías; y audit-trails que registren la cadena completa de actuaciones del agente para la rendición de cuentas. El marco de los tres tipos de decisor, el Confidence Routing y el acta de decisión son la respuesta técnica a exactamente esa lista - como principio de diseño, no como capa de compliance posterior.
Quién impugna - y qué pasa entonces
La impugnabilidad suena abstracta, pero tiene cuatro caras muy concretas. El Decision Layer define, para cada microdecisión, ante quién debe justificarse:
| Quién impugna | Base jurídica | Qué ve | Qué se sigue de ahí |
|---|---|---|---|
| La persona afectada | Art. 86 AI Act, art. 15, 22 RGPD | la explicación de su propia decisión: papel del sistema de IA, elementos esenciales, contrafáctica si la pide | corrección del caso individual; ante un error de regla, re-ejecución de todos los casos afectados |
| El comité de empresa | Art. 64 del Estatuto de los Trabajadores, Ley 12/2021, acuerdo de empresa | actas de decisiones con impacto en el personal, prueba de que las reglas del acuerdo se aplicaron técnicamente | derechos de información y consulta (art. 64 ET) ejercidos sobre la base de evidencias, en lugar de desconfianza |
| El auditor | Plan General de Contabilidad (PGC), NIA-ES (adoptadas por el ICAC), Ley 22/2015 de Auditoría de Cuentas | actas completas por asiento: justificante, regla, versión, confianza, aprobación | enfoque basado en controles en lugar de pruebas sustantivas caso por caso; muestra directamente acreditable |
| La autoridad de control | Art. 26.6, art. 12 AI Act; AESIA (IA) y AEPD (datos personales) | registros exportables y legibles por máquina del periodo de conservación exigido | capacidad de respuesta en días en lugar de un proyecto forense |
Lo notable es lo que esta tabla le hace a la organización: invierte la dinámica de la carga de la prueba. Sin actas de decisión, toda impugnación es un proyecto forense de resultado incierto - y conforme al art. 96 de la LRJS, en los casos de discriminación es el empleador quien soporta la carga de la prueba en cuanto existen indicios. Con actas de decisión, la respuesta es una consulta. El comité de empresa que hoy recela de los proyectos de IA y los judicializa porque no obtiene transparencia se convierte en beneficiario de la misma infraestructura que sirve al auditor. Otros prometen transparencia. El acta de decisión la impone técnicamente.
La tabla tiene una cara oculta: quién puede impugnar lo fijan la ley y los acuerdos - pero ninguna norma garantiza por sí sola que las actas de decisión lleguen a existir, estén completas y perduren. Esa responsabilidad necesita un propietario claro en la organización; no surge como subproducto de la operación.
En perspectiva: un principio se impone
La mirada honesta al mercado de 2026: la idea de que las decisiones de los agentes deben ser demostrables una a una no es exclusiva. Gartner ha creado con los guardian agents una categoría de mercado propia para capas de control que supervisan y bloquean acciones de los agentes, y les pronostica para 2030 entre el 10 y el 15 por ciento del mercado de IA agéntica. El campo de la decision intelligence - modelar, evaluar y mejorar decisiones de forma explícita - obtuvo en enero de 2026 su primer Magic Quadrant. El WEF reclama una gobernanza progresiva: intensidad de supervisión acoplada al nivel de autonomía del agente. La investigación trabaja en decision provenance. La dirección es inequívoca - y es exactamente la dirección del Decision Layer.
Lo que estos enfoques no logran es el anclaje en la regla de negocio. Un guardian agent bloquea en tiempo de ejecución; no deja un acta que sostenga ante un juzgado de lo social tres años después. La observability conserva la cadena de ejecución; no descompone las decisiones en artefactos justificados uno a uno y atados a una regla. La diferencia defendible del acta de decisión radica en tres propiedades: la atribución de cada microdecisión a una regla de negocio versionada con su fuente - convenio colectivo, acuerdo de empresa, legislación fiscal - en lugar de a una cadena de razonamiento generada; el Human-in-the-Loop impuesto por arquitectura por tipo de decisión en lugar de una configuración desactivable; y el mapeo de las actas sobre los estándares de auditoría con los que de verdad trabajan auditores y auditoría interna - NIA-ES (adoptadas por el ICAC), PGC. El primer campo, hasta donde sabemos, no lo documenta ningún proveedor horizontal; es a la vez el campo del que depende la impugnabilidad.
En aras de la precisión, conviene delimitar: el acta de decisión es una afirmación de arquitectura, no un certificado de conformidad. Que un sistema concreto cumpla los requisitos legales sigue siendo una valoración caso por caso del responsable del despliegue y sus asesores jurídicos. Lo que la arquitectura aporta es otra cosa - y más valiosa: hace los requisitos cumplibles. Una empresa con actas de decisión puede responder a la pregunta del artículo 86. Una empresa con chat-logs no puede, por bien documentadas que estén sus intenciones.
La verdadera pregunta
El EU AI Act no inventó la explicabilidad de las decisiones individuales - la codificó para los sistemas de IA y la armó con un derecho del afectado. La jurisprudencia del TJUE fijó el listón antes de que entre en juego el primer plazo de alto riesgo. Y las consultoras han cuantificado lo que ocurre cuando las empresas transfieren derechos de decisión sin poder demostrar decisiones: proyectos cancelados, despliegues bloqueados, CIO que responden personalmente.
La pregunta para cualquier empresa que use o introduzca agentes de IA no es, por tanto, “¿Somos compliant?”. Es: si mañana un empleado, un comité de empresa, un auditor o una autoridad impugna una decisión concreta de hoy - ¿puede presentar el acta? ¿Input, regla, versión, confianza, resultado, aprobación?
Quien pueda responder que sí ya no tiene un problema de riesgo de IA. Tiene una infraestructura de decisión.
→ Decision Layer - visión general y ejemplos
→ Decision Layer explicado: los cuatro componentes
→ EU AI Act: la IA en RRHH sigue siendo alto riesgo - plazo 2026/2027
Concertar una reunión - Le mostramos, sobre uno de sus procesos, cómo son en concreto las microdecisiones, las actas de decisión y las vías de impugnación.
Bert Gogolin
Director General, Gosign
AI Governance Briefing
IA empresarial, regulación e infraestructura - una vez al mes, directamente de mi parte.