En breve: La AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) es el organismo público, creado por el RD 729/2023 y con sede en A Coruña, que vigila en España el cumplimiento del Reglamento europeo de IA. Desde 2024 gestiona el sandbox regulatorio, las notificaciones de incidentes graves y los procedimientos sancionadores para empresas que usan sistemas de IA.
¿Qué es la AESIA?
La AESIA es la Agencia Española de Supervisión de la Inteligencia Artificial, el organismo público que España ha puesto en marcha para vigilar cómo se usa la inteligencia artificial en el país. No es un ministerio ni un departamento más de Consumo: es una agencia con entidad propia, pensada específicamente para aplicar en España el Reglamento europeo de IA, el conocido como AI Act.
En la práctica, la AESIA cumple un papel parecido al que la AEPD tiene con la protección de datos, pero centrado en los sistemas de inteligencia artificial: comprobar que las empresas que desarrollan o usan IA cumplen la normativa, resolver dudas, habilitar entornos de pruebas controladas y, si hace falta, sancionar a quien incumpla.
¿Cuándo se creó la AESIA y dónde tiene su sede?
La AESIA nace del Real Decreto 729/2023, que crea el estatuto de la agencia y fija su sede en A Coruña, dentro de la apuesta por descentralizar organismos públicos fuera de Madrid. Es operativa desde 2024, lo que la convierte en una de las primeras autoridades nacionales de IA de la Unión Europea en tener estructura propia y funcionando, por delante de otros países que todavía están definiendo qué organismo asumirá ese papel en su territorio.
Que exista una sede física en Galicia no significa que su ámbito de actuación se limite a esa comunidad: la AESIA supervisa el uso de la IA en toda España, tanto en empresas privadas como, progresivamente, en la administración pública.
¿Qué funciones tiene la AESIA?
La ley le atribuye a la AESIA cuatro bloques de trabajo que conviene tener claros porque afectan de forma directa a cualquier empresa que use herramientas de inteligencia artificial en su operativa diaria.
Supervisión del cumplimiento del AI Act
La AESIA es la autoridad nacional de supervisión del Reglamento (UE) 2024/1689 en España. Actúa como autoridad notificante (evalúa y designa a los organismos que certifican sistemas de IA de alto riesgo) y como autoridad de vigilancia de mercado (comprueba que los sistemas de IA que circulan en España cumplen la norma, igual que Consumo vigila la seguridad de un electrodoméstico).
El sandbox regulatorio
Gestiona un sandbox o entorno de pruebas controlado donde empresas y desarrolladores pueden probar sistemas de IA de alto riesgo bajo supervisión, antes de lanzarlos al mercado. Es una vía pensada sobre todo para startups y pymes que quieren validar que su producto cumple el AI Act sin asumir todo el riesgo de una sanción por errores de interpretación.
Notificación de incidentes graves
Cuando un sistema de IA de alto riesgo provoca un incidente grave —un fallo que pone en riesgo derechos fundamentales, la seguridad o la salud de las personas—, la empresa responsable tiene que notificarlo. La AESIA es quien recibe y gestiona esas notificaciones en España.
Procedimientos sancionadores
Es también la autoridad que instruye los expedientes cuando una empresa incumple el Reglamento europeo de IA: desde usar prácticas prohibidas hasta no cumplir las obligaciones de transparencia con sistemas de alto riesgo. Las cuantías de las multas las marca el propio Reglamento europeo, no la AESIA.
¿Qué es el Reglamento europeo de IA y cómo se relaciona con la AESIA?
El Reglamento europeo de IA es el Reglamento (UE) 2024/1689, en vigor desde el 1 de agosto de 2024. No entra en aplicación de golpe: lo hace de forma escalonada, y la AESIA es la pieza que hace cumplir cada uno de esos plazos en territorio español.
| Fecha | Qué entra en aplicación |
|---|---|
| 2 de febrero de 2025 | Art. 4 (alfabetización en IA) y Art. 5 (prácticas prohibidas) |
| 2 de agosto de 2025 | Obligaciones de los modelos de IA de propósito general (Capítulo V) y régimen sancionador (Capítulo XII) |
| 2 de agosto de 2026 | Sistemas de alto riesgo del Anexo III y obligaciones de transparencia (Art. 50) |
| 2 de agosto de 2027 | Sistemas de alto riesgo regulados por el Anexo I |
Las multas por incumplir el Reglamento pueden llegar hasta 35 millones de euros o el 7% de la facturación mundial de la empresa, lo que sea mayor. No hace falta ser un gigante tecnológico para entrar en el radar: cualquier pyme que use un sistema de IA de alto riesgo (por ejemplo, en selección de personal, scoring crediticio o evaluación de trabajadores) está sujeta a obligaciones similares a las de una gran empresa, ajustadas a su tamaño.
¿Qué significa la AESIA para una pyme española que usa IA?
Para la mayoría de pymes, la AESIA todavía no llama a la puerta directamente. Pero eso va a cambiar según avance el calendario del Reglamento, y conviene no esperar al último momento. Tres cosas prácticas a tener en cuenta:
- Clasifica tus sistemas de IA. No es lo mismo un chatbot de atención al cliente que un sistema que decide a quién contratas o a quién le concedes un crédito. El nivel de riesgo determina qué obligaciones te tocan.
- La alfabetización en IA ya es obligatoria. Desde febrero de 2025, las empresas deben garantizar que el personal que usa o supervisa sistemas de IA tiene la formación adecuada para hacerlo con criterio.
- Documenta antes de que te lo pidan. Si la AESIA abre un expediente, la diferencia entre una sanción y un archivo suele estar en si la empresa puede demostrar con papeles qué sistema usa, para qué y con qué controles.
En mi trabajo de consultoría de cumplimiento normativo con pymes, el error más habitual no es usar IA de forma temeraria, sino no saber explicar qué se está usando ni por qué. Eso es exactamente lo primero que pide cualquier autoridad de supervisión, sea la AESIA, la AEPD o Trabajo.
¿Cómo se prepara una empresa para la supervisión de la AESIA?
Todavía no existe una certificación obligatoria de IA equivalente a la ISO 27001 en seguridad de la información, pero sí hay un estándar de referencia que empieza a pedirse en pliegos y auditorías de proveedores: la ISO 42001, pensada específicamente para sistemas de gestión de inteligencia artificial. Implantarla —o al menos usarla como guía interna— ordena exactamente lo que luego pedirá cualquier inspección: inventario de sistemas de IA, evaluación de riesgos, roles de responsabilidad y registro de decisiones.
Mientras tanto, lo razonable para una pyme es empezar por lo básico: un listado de qué herramientas de IA usa la empresa (desde el ERP con IA integrada hasta el asistente de redacción de marketing), quién las supervisa y qué pasaría si fallaran. No hace falta un departamento de compliance para eso, pero sí hace falta empezar antes de que la obligación llegue con fecha límite.
AESIA en una frase
La AESIA es el árbitro español del Reglamento europeo de IA: decide quién puede certificar sistemas de alto riesgo, ofrece un sandbox para probarlos con seguridad, recoge los incidentes graves y sanciona los incumplimientos. Para una pyme, no es una amenaza abstracta: es la autoridad que, según avance el calendario 2025-2027, empezará a comprobar si la IA que usas a diario cumple con las reglas.