← Volver al blog

AESIA: qué es, qué hace y cómo afecta a tu PYME

Guía completa sobre la Agencia Española de Supervisión de la Inteligencia Artificial: qué es, qué competencias tiene, cómo se relaciona con el AI Act, qué puede sancionar y qué tiene que hacer tu PYME para evitar problemas.

AESIA: qué es, qué hace y cómo afecta a tu PYME

Cuando se aprobó el AI Act en agosto de 2024, cada Estado miembro de la UE tuvo que designar una autoridad nacional encargada de supervisar su cumplimiento. España no solo lo hizo — fue el primer país de la UE en crear una agencia específica para esto, casi un año antes de que el Reglamento se aprobara formalmente.

Esa agencia es AESIA (Agencia Española de Supervisión de la Inteligencia Artificial), y desde febrero de 2025 ya tiene competencias activas. Si tu empresa usa cualquier herramienta con IA en España, AESIA es la autoridad que puede inspeccionarte, sancionarte y, en el peor caso, ordenarte que dejes de usar el sistema.

Este artículo explica qué es exactamente AESIA, qué hace, qué guías ha publicado que te interesan, qué sanciones puede imponerte y qué tiene que hacer una PYME para no tener un problema con ella.

Qué es AESIA

AESIA es un organismo público con personalidad jurídica propia, adscrito al Ministerio para la Transformación Digital y de la Función Pública. Tiene su sede en A Coruña (Galicia) — fue elegida tras un proceso competitivo entre varias ciudades españolas — y está operativa desde finales de 2023.

Fue creada por el Real Decreto 729/2023, de 22 de agosto, que aprobó su Estatuto. El Real Decreto 817/2024 actualizó parte de sus competencias para alinearla con el AI Act una vez aprobado el Reglamento europeo.

En la práctica, AESIA es a la inteligencia artificial lo que la AEPD (Agencia Española de Protección de Datos) es a los datos personales: una autoridad independiente con potestad inspectora, sancionadora y de orientación normativa.

Por qué España la creó antes que el resto de Europa

España fue pionera en esto por una razón estratégica: el AI Act estaba siendo negociado en Bruselas y Madrid quería posicionarse como el país de referencia en gobernanza de IA en la UE. La creación temprana de AESIA permitió:

  • Lanzar un sandbox regulatorio (entorno de pruebas controladas para empresas que desarrollan IA) que ha sido el primero de la UE.
  • Publicar 16 guías prácticas resultantes de ese sandbox, que ahora son referencia para reguladores de otros países.
  • Acumular experiencia inspectora antes de que el grueso del AI Act sea exigible (2 de agosto de 2026).
  • Atraer talento e inversión vinculada a IA al ecosistema español.

Para una PYME, esto tiene una consecuencia muy concreta: AESIA llega al 2 de agosto de 2026 con dos años de rodaje, criterios ya elaborados y un equipo formado. No es una agencia que vaya a improvisar las primeras inspecciones.

Qué hace AESIA: sus competencias

Las funciones de AESIA se pueden agrupar en cinco bloques.

1. Autoridad nacional competente del AI Act

AESIA es la autoridad designada por España para velar por el cumplimiento del Reglamento (UE) 2024/1689. En la práctica eso significa:

  • Recibir notificaciones de incidentes graves (Art. 73 del AI Act).
  • Recibir solicitudes y reclamaciones de personas afectadas por sistemas de IA.
  • Coordinar con otras autoridades europeas en el seno de la Junta Europea de IA.
  • Mantener el registro nacional de sistemas de IA de alto riesgo en uso en España.

2. Potestad inspectora

AESIA puede iniciar inspecciones de oficio o por denuncia. Sus inspectores pueden:

  • Acceder a las instalaciones de la empresa.
  • Solicitar documentación: política interna de IA, registros de formación (Art. 4), declaraciones de conformidad de proveedores, logs de funcionamiento de sistemas de alto riesgo.
  • Entrevistar a directivos y responsables de cumplimiento.
  • Requerir información a proveedores y desplegadores.

Lo importante: el deber de colaboración con AESIA es obligatorio. Negarse o entorpecer una inspección es una infracción específica que se acumula con las del fondo del expediente.

3. Potestad sancionadora

AESIA puede imponer las sanciones del régimen del Art. 99 del AI Act, en sus tres niveles:

  • Hasta 35 millones € o el 7% de la facturación global por prácticas prohibidas (Art. 5).
  • Hasta 15 millones € o el 3% por incumplir obligaciones del proveedor o desplegador, requisitos de transparencia, o registro de sistemas de alto riesgo.
  • Hasta 7,5 millones € o el 1,5% por proporcionar información incorrecta a las autoridades.

Para PYMEs hay un principio de proporcionalidad — se tiene en cuenta el tamaño y la facturación. Pero proporcional no significa simbólica: el 3% de la facturación de una PYME que factura 3 millones es 90.000 euros, sin contar honorarios de defensa.

Además de la multa económica, AESIA puede ordenar medidas correctoras: retirada del mercado del sistema, prohibición de usarlo, requerimientos de reformulación.

4. Orientación normativa: el sandbox y las 16 guías

Antes incluso de tener potestad sancionadora plena, AESIA empezó a publicar guías prácticas de cumplimiento, fruto del sandbox regulatorio piloto. A día de hoy son la mejor fuente de criterio interpretativo del AI Act en español.

Las 16 guías cubren áreas como:

  • Evaluación de conformidad de sistemas de alto riesgo.
  • Sistema de gestión de riesgos.
  • Gobernanza de datos y datasets de entrenamiento.
  • Documentación técnica (Anexo IV del AI Act).
  • Transparencia y obligaciones de información a usuarios.
  • Supervisión humana efectiva.
  • Sistemas de gestión de la calidad para proveedores.

Para una PYME, las guías más relevantes son las de transparencia, supervisión humana y gobernanza de datos, porque son las que tienen impacto operativo directo. Las puedes descargar gratis desde la web de AESIA.

5. Relación con otros organismos

AESIA no actúa en el vacío. Coopera con:

  • AEPD (Agencia Española de Protección de Datos), cuando el sistema de IA trata datos personales — lo habitual.
  • Banco de España, CNMV, DGSFP en sectores financieros y de seguros.
  • Inspección de Trabajo en sistemas de IA en el ámbito laboral.
  • Ministerio de Sanidad y AEMPS en sistemas sanitarios.

Esto significa que un único sistema de IA puede acabar generando expedientes en varias autoridades a la vez. La sanción por incumplir el AI Act puede acumularse con la del RGPD si hay datos personales, o con la del Estatuto de los Trabajadores si afecta a la relación laboral.

Cómo afecta AESIA a una PYME concreta

Vamos a lo práctico. Si tienes una empresa de 10 a 250 empleados, AESIA te afecta de tres maneras posibles:

Vía 1 — Inspección de oficio

AESIA elige a una empresa o un sector y revisa cumplimiento. Es el escenario menos frecuente para PYMEs en una primera fase: las autoridades suelen empezar por casos sistémicos (grandes proveedores) y bajar después a los desplegadores.

Aun así, el riesgo no es nulo. AESIA ha anunciado que habrá inspecciones temáticas por sectores: el primero probablemente sea selección de personal con IA (porque ahí concurren AI Act + RGPD + Estatuto de Trabajadores).

Vía 2 — Inspección por denuncia

Es el escenario realista para una PYME. Una persona afectada — un candidato rechazado, un empleado evaluado, un cliente al que se le ha denegado un servicio — presenta una reclamación a AESIA. Esa reclamación inicia un expediente.

Los datos del primer año de rodaje sugieren que la mayoría de casos abiertos por AESIA en relación con sistemas de IA en empresas vienen por esta vía, no de oficio.

Vía 3 — Notificación obligatoria que tú haces

El propio Reglamento te obliga a comunicar a AESIA determinados hechos:

  • Incidentes graves del sistema de IA de alto riesgo (Art. 73): generalmente en plazo de 15 días.
  • Registro del sistema de IA de alto riesgo en la base de datos UE antes de su puesta en servicio (Art. 49).
  • Declaración de aplicación de excepciones del Art. 6.3 si decides que tu sistema no es de alto riesgo aunque encaje en el Anexo III.

Hacer mal estas notificaciones, o no hacerlas, es por sí mismo causa de expediente.

Qué pasa cuando AESIA llega a tu puerta

Si AESIA inicia un procedimiento — sea de oficio o por denuncia — el flujo estándar es:

  1. Requerimiento inicial de información: te dan un plazo (10-15 días) para entregar documentación.
  2. Inspección presencial si procede: visita a la empresa, entrevistas, revisión de sistemas.
  3. Propuesta de resolución con los hechos imputados y la sanción propuesta.
  4. Trámite de audiencia: tú alegas, presentas pruebas, defiendes posiciones.
  5. Resolución final con sanción y/o medidas correctoras.
  6. Recurso ante el TSJ contencioso-administrativo en plazo de 2 meses.

Lo crítico para una PYME es la fase 1: la documentación que entregues en el primer requerimiento condiciona todo lo que viene después. Si no tienes inventario de sistemas, política interna, registros de formación o declaraciones de proveedores, ya partes en desventaja.

Cómo evitar problemas con AESIA

La buena noticia: AESIA ha sido bastante explícita sobre lo que considera "diligencia básica" de un desplegador. Si tienes estos siete elementos documentados, una inspección no debería terminar mal:

  1. Inventario de sistemas de IA que usa la empresa.
  2. Clasificación de riesgo de cada uno según el AI Act, por escrito.
  3. Política interna de uso de IA comunicada al equipo.
  4. Registros de formación del personal (Art. 4) con asistentes y contenidos.
  5. Documentación recibida del proveedor de cada sistema de alto riesgo: declaración UE de conformidad, instrucciones de uso, información sobre supervisión humana.
  6. Designación formal de supervisor humano para cada sistema de alto riesgo.
  7. Logs y registros de funcionamiento conservados durante al menos 6 meses.

Esto coincide casi al 100% con la lista de obligaciones del Art. 26 del AI Act que detallamos en esta guía práctica de obligaciones para PYMEs. No es casual: AESIA inspecciona aplicando el Reglamento, no criterios propios.

El sandbox de AESIA: cómo se beneficia tu PYME

El sandbox regulatorio es un espacio controlado donde AESIA permite a empresas probar sistemas de IA bajo su supervisión, con flexibilidad temporal en el cumplimiento, a cambio de transparencia y cooperación.

Está orientado principalmente a proveedores que desarrollan sistemas innovadores (no tanto a desplegadores). Pero como PYME tienes dos formas indirectas de aprovecharlo:

  • Acceder a las 16 guías publicadas — la mejor fuente de criterio operativo en español.
  • Comprar a proveedores que hayan participado: si tu software de RRHH, CRM o legaltech tiene a su proveedor en el sandbox, parte del trabajo de cumplimiento ya está hecho. Pregúntales.

Esperamos que la próxima convocatoria del sandbox amplíe la participación de desplegadores PYME en sectores específicos como salud y educación.

Plazos clave en relación con AESIA

  • Desde febrero de 2025 ✅ — AESIA ya supervisa el cumplimiento del Art. 4 (alfabetización en IA) y las prohibiciones del Art. 5.
  • Agosto 2025 ✅ — Competencias sobre proveedores de modelos de IA de propósito general (GPAI).
  • 2 de agosto de 2026 — Plenas competencias sobre el bloque grande del AI Act: alto riesgo del Anexo III, obligaciones del desplegador (Art. 26), transparencia (Art. 50).
  • Agosto 2027 — Aplicación completa del Reglamento.

A partir del 2 de agosto de 2026 es cuando se espera el grueso de la actividad inspectora. Las empresas que lleguen con los siete elementos del apartado anterior bien documentados tienen un riesgo de sanción muy bajo. Las que lleguen improvisando van a ser, casi por necesidad, los primeros casos.

Errores que vemos en PYMEs respecto a AESIA

"AESIA es para grandes empresas, a nosotros no nos van a mirar." Falso. La denuncia individual (candidato, empleado, cliente) puede activar un expediente sobre cualquier empresa, sin importar tamaño.

"Si llega AESIA, ya nos defenderá un abogado." Tarde. La defensa empieza con la documentación que entregas en la fase 1, y si no la tienes preparada antes de la inspección, el abogado no puede improvisarla en 15 días.

"Como nuestro proveedor cumple, nosotros ya estamos cubiertos." Falso. El proveedor tiene sus obligaciones (declaración de conformidad, instrucciones de uso). Tú como desplegador tienes las tuyas (Art. 26), y nadie las cumple por ti.

"Vamos a esperar a ver qué hace AESIA en los primeros casos." Estrategia arriesgada. Los primeros casos van a ser, casi por definición, los de empresas que esperaron — y no quieres ser uno de ellos.

Cómo saber si tu empresa estaría cubierta ante una inspección de AESIA

CumpleConIA tiene un test gratuito de 2 minutos que analiza las herramientas de IA que usa tu empresa, las clasifica según los criterios del AI Act y te entrega un plan de acción con las obligaciones concretas que debes cumplir como desplegador frente a AESIA.

→ Comprobar mi cumplimiento ante AESIA

Sin registro ni tarjeta. 10 preguntas y un informe orientativo.

Lo importante

AESIA no es una abstracción burocrática lejana: es una autoridad operativa, con sede en A Coruña, con potestad inspectora real desde febrero de 2025 y plenas competencias sancionadoras a partir del 2 de agosto de 2026. España fue el primer país de la UE en crearla precisamente para llegar preparada a esa fecha.

Para una PYME española, "cumplir con el AI Act" y "no tener un problema con AESIA" son la misma frase. Y la diferencia entre tenerlo resuelto y no tenerlo se reduce a siete documentos preparados con tiempo. Empezar ahora, en mayo de 2026, da margen suficiente. Empezar en julio será improvisación, y la improvisación es precisamente lo que las inspecciones detectan primero.

Esta información es orientativa y no constituye asesoramiento jurídico. Consulte con un profesional cualificado para una evaluación vinculante de su situación concreta.

¿Tu empresa cumple con la Ley de IA?

Compruébalo gratis en 2 minutos con nuestro checker.

Comprobar cumplimiento →