AESIA: explicación del regulador de IA de España — Qué significa para su empresa

Cuando el Reglamento de IA de la UE entró en vigor el 1 de agosto de 2024, una pregunta resonó en los departamentos de cumplimiento de toda Europa: ¿qué autoridad aplicará realmente esta regulación, y cuándo?

Para 18 de los 27 Estados miembros de la UE, esa pregunta todavía no tenía una respuesta definitiva bien entrado 2025. No para España. España estaba preparada desde junio de 2024.

La Agencia Española de Supervisión de la Inteligencia Artificial — AESIA — es la primera autoridad reguladora dedicada a la IA en la Unión Europea. Estaba operativa antes de que el propio Reglamento de IA de la UE entrara en vigor. Publicó 16 guías de cumplimiento a los pocos meses de la entrada en vigor de la regulación. Seleccionó 12 empresas para su sandbox regulatorio de IA en abril de 2025. Y, a mediados de 2026, ya había abierto investigaciones preliminares sobre sistemas de IA desplegados por organizaciones españolas.

Para cualquier empresa que desarrolle, despliegue o utilice sistemas de IA en España, AESIA no es una abstracción. Es un regulador activo con poderes de investigación, un programa de aplicación regulatoria en crecimiento y un mandato claro para garantizar que la IA en España opere de forma ética, segura y dentro de la ley.

Esta guía explica qué es AESIA, qué puede hacer, cómo aplica el Reglamento de IA de la UE, qué significan sus 16 guías de cumplimiento para su organización y exactamente cómo relacionarse con ella de forma constructiva como profesional de cumplimiento o líder empresarial.

Desarrolle el conocimiento de cumplimiento que AESIA espera. La certificación de Cumplimiento del Reglamento de IA de la UE y Ética en IA del Spanish Compliance Institute cubre el marco regulatorio de AESIA, su enfoque de aplicación regulatoria y las obligaciones prácticas de cumplimiento que lo sustentan. Impartido por profesionales con credenciales reconocidas globalmente. Actualmente  €79.99 €49.99. Únase a más de 89 profesionales ya certificados.

¿Qué es AESIA?

AESIA — Agencia Española de Supervisión de la Inteligencia Artificial — es la autoridad nacional de España responsable de supervisar, aplicar y proporcionar orientación sobre la regulación de la inteligencia artificial. Es una agencia pública autónoma adscrita al Ministerio de Asuntos Económicos y Transformación Digital, que opera bajo la Secretaría de Estado de Digitalización e Inteligencia Artificial.

AESIA fue creada por el Real Decreto 729/2023, aprobado el 22 de agosto de 2023 y en vigor desde el 3 de septiembre de 2023. La agencia inició oficialmente sus operaciones el 19 de junio de 2024 — seis semanas antes de que el Reglamento de IA de la UE entrara en vigor el 1 de agosto de 2024.

La sede de AESIA está en A Coruña, en la región de Galicia, en el noroeste de España, lo que la convierte en la única autoridad reguladora importante de IA de Europa que opera fuera de una capital nacional.

Su misión oficial, según se establece en su estatuto fundacional y en su sitio web, es garantizar el uso ético y seguro de la inteligencia artificial en España, asegurando que tanto las entidades públicas como privadas cumplan con la normativa aplicable mientras se protegen la privacidad, la igualdad de trato y los derechos fundamentales.

De forma crítica, AESIA no está diseñada para ser un órgano puramente sancionador. Su estatuto la describe como una organización de inteligencia “Think & Do” — una que investiga problemas, desarrolla soluciones, asesora sobre cumplimiento y publica orientación, junto con su función de aplicación regulatoria. Este doble papel — regulador y proveedor de orientación — la convierte en un recurso práctico para las organizaciones cumplidoras, así como en una fuente de riesgo de aplicación regulatoria para las que no cumplen.

Por qué España se convirtió en líder regulatorio europeo en IA

La decisión de España de crear AESIA antes incluso de que el Reglamento de IA de la UE entrara en vigor fue una elección estratégica deliberada, y ha posicionado al país como el entorno nacional de gobernanza de IA más avanzado de la UE.

Mientras que 18 de los 27 Estados miembros de la UE no habían designado sus autoridades nacionales de IA antes del plazo de agosto de 2025, España ya llevaba más de un año operando AESIA. Mientras la Comisión Europea todavía estaba redactando orientación de alto nivel sobre la clasificación de alto riesgo del Artículo 6, AESIA había publicado 16 guías de cumplimiento detalladas y prácticas desarrolladas mediante pruebas de sandbox en el mundo real.

La IAPP — la principal asociación profesional mundial de privacidad y protección de datos — describió el trabajo de orientación de AESIA en marzo de 2026 como “trabajo regulatorio genuinamente pionero”, señalando que sus guías constituyen “uno de los primeros conjuntos estructurados de criterios interpretativos emitidos por una autoridad pública en Europa”.

Esto importa para las empresas que operan en España por dos razones:

Primero, las organizaciones españolas operan bajo un entorno regulatorio más desarrollado y activo que sus equivalentes en la mayoría de los demás países de la UE. Las investigaciones de AESIA ya están en marcha. El calendario de aplicación regulatoria va por delante de la media de la UE.

Segundo, la orientación de AESIA es la interpretación oficial más útil en la práctica de las obligaciones del Reglamento de IA de la UE actualmente disponible en cualquier lugar de la UE. Los profesionales de cumplimiento de toda Europa — no solo en España — están utilizando las guías de AESIA como material de referencia precisamente porque la orientación propia de la Comisión Europea aún se está desarrollando.

Base jurídica y estructura de AESIA

AESIA opera dentro de un marco jurídico claro:

El Real Decreto 729/2023 establece el estatuto de AESIA — su estructura institucional, mandato, reglas de gobernanza y el alcance de sus poderes. Designa a AESIA como la autoridad central de vigilancia del mercado de España para la IA bajo el Reglamento de IA de la UE, como punto único de contacto de España con la Comisión Europea en asuntos regulatorios de IA y como representante de España en las estructuras de gobernanza de IA de la UE.

El Reglamento de IA de la UE (Reglamento (UE) 2024/1689) proporciona la base jurídica principal para los poderes de supervisión y aplicación regulatoria de AESIA, así como las obligaciones que tiene el encargo de hacer cumplir.

El Proyecto de Ley Nacional de IA de España (Anteproyecto de Ley para el Buen Uso y la Gobernanza de la IA), aprobado por el Consejo de Ministros el 11 de marzo de 2025, es el instrumento legislativo nacional que completará la aplicación del Reglamento de IA de la UE en el derecho español, establecerá el régimen sancionador nacional y definirá las reglas procedimentales sobre cómo AESIA y los reguladores sectoriales ejercen sus poderes. Esta ley se encuentra actualmente en tramitación parlamentaria.

Estructura organizativa: AESIA está dirigida por un presidente cuyo cargo lo ocupa la persona titular de la Secretaría de Estado de Digitalización e Inteligencia Artificial. La agencia incluye unidades especializadas que cubren supervisión e inspección, orientación de cumplimiento y gestión del sandbox, coordinación internacional y obligaciones de reporte anual. Su estatuto exige que AESIA elabore un informe público anual que cubra sus actividades de supervisión, hallazgos y acciones de aplicación regulatoria.

Poderes de AESIA: qué puede hacer realmente la agencia

Entender los poderes reales de AESIA es esencial para cualquier organización que opere sistemas de IA en España. Esos poderes son sustanciales y ya están activos.

Inspección e investigación

AESIA tiene autoridad para realizar inspecciones de sistemas de IA y de las organizaciones que los desarrollan, despliegan o distribuyen. Esto incluye solicitar y acceder a la documentación exigida para el cumplimiento bajo el Reglamento de IA de la UE — documentación técnica, registros de gestión de riesgos, políticas de gobernanza de datos, procedimientos de supervisión humana, registros de incidentes y más.

Las inspecciones pueden ser desencadenadas por:

• Reclamaciones de personas, empleados o competidores sobre un sistema de IA potencialmente no conforme
• La propia vigilancia del mercado de AESIA — la agencia monitoriza activamente los sistemas de IA en el mercado español para detectar indicios de prácticas prohibidas o incumplimiento de sistemas de alto riesgo
• Remisiones de otras autoridades — la AEPD, el Banco de España u otros reguladores sectoriales pueden remitir cuestiones relacionadas con IA a AESIA cuando su mandato se cruza con el cumplimiento de IA

Medidas correctivas y sanciones

AESIA puede imponer medidas correctivas, incluidas órdenes para modificar sistemas de IA no conformes, suspender su despliegue o retirarlos completamente del mercado español. Para organizaciones cuyas operaciones dependen de herramientas de IA, la retirada suele ser una consecuencia comercialmente más grave que una multa.

Una vez que se apruebe el Proyecto de Ley Nacional de IA de España, AESIA tendrá plenos poderes sancionadores alineados con el marco de sanciones del Reglamento de IA de la UE:

• Hasta 35 millones de euros o el 7% del volumen de negocios anual mundial por infracciones de prácticas de IA prohibidas
• Hasta 15 millones de euros o el 3% del volumen de negocios anual mundial por incumplimiento de sistemas de alto riesgo
• Hasta 7,5 millones de euros o el 1% del volumen de negocios anual mundial por proporcionar información incorrecta a las autoridades

Las sanciones se categorizan en infracciones muy graves, graves y leves. Se mantendrá un registro público de entidades sancionadas y órdenes correctivas.

Coordinación internacional

AESIA actúa como punto único de contacto de España con la Oficina Europea de IA y las autoridades nacionales de IA de los otros 26 Estados miembros de la UE. Para investigaciones transfronterizas de IA — cuando un sistema de IA desplegado en España es desarrollado por una empresa en otro Estado miembro — AESIA se coordina con la autoridad correspondiente de ese país.

Orientación y concienciación

Además de su papel de aplicación regulatoria, AESIA está obligada estatutariamente a proporcionar orientación, publicar recomendaciones y realizar actividades de concienciación. Esto incluye las 16 guías de cumplimiento, cubiertas en la Sección 6, gestión del sandbox, informes anuales y participación en el desarrollo de estándares a nivel de la UE.

Arquitectura regulatoria de IA multiautoridad en España

AESIA es la autoridad nacional principal de IA, pero no es el único organismo con responsabilidades de supervisión de IA en España. El enfoque de gobernanza multiactor del Reglamento de IA de la UE significa que varios reguladores sectoriales también tienen un papel — cada uno dentro de su dominio establecido.

Por qué esta arquitectura multiautoridad importa para su estrategia de cumplimiento:

La exposición de su organización al cumplimiento de IA puede abarcar múltiples autoridades simultáneamente. Un banco español que despliega un sistema de scoring crediticio con IA se enfrenta a la supervisión de AESIA (cumplimiento del Reglamento de IA de la UE), el Banco de España (regulación financiera sectorial) y la AEPD (RGPD, dado que el sistema trata datos personales). Las estrategias de cumplimiento deben tener en cuenta a todas las autoridades relevantes, no solo a AESIA.

AESIA facilita la coordinación entre estas autoridades mediante documentos de orientación compartidos, registros públicos y acuerdos de cooperación interinstitucional. El Proyecto de Ley Nacional de IA formaliza esta arquitectura de coordinación y especifica qué autoridad asume el liderazgo en casos de jurisdicción solapada.

Para un análisis detallado de cómo AESIA y la AEPD trabajan juntas en casos donde el cumplimiento de IA y la protección de datos se solapan, consulte nuestra guía sobre Reglamento de IA de la UE vs RGPD en España: Qué debe hacer su empresa para cumplir con ambos.

Las 16 guías de cumplimiento de AESIA: qué cubre cada una

En diciembre de 2025, el ministro para la Transformación Digital de España anunció oficialmente la publicación de las 16 guías de cumplimiento de AESIA — el producto del programa de sandbox regulatorio de IA de España y el conjunto más completo de orientación oficial de cumplimiento del Reglamento de IA de la UE publicado por cualquier autoridad nacional en la UE.

Estas guías no son vinculantes — no sustituyen el texto legal del Reglamento de IA de la UE y no constituyen interpretaciones jurídicas autoritativas en sentido formal. Sin embargo, representan la lectura de AESIA sobre lo que requiere el cumplimiento, desarrollada mediante pruebas prácticas con sistemas de IA reales. En la práctica, son lo más parecido a un blueprint oficial de cumplimiento que encontrará la mayoría de las organizaciones españolas.

AESIA ha confirmado que las guías son documentos vivos, sujetos a actualizaciones periódicas a medida que la Comisión Europea publique orientación adicional y a medida que se adopte formalmente el Digital Omnibus que modifica el Reglamento.

Las guías se estructuran en tres grupos:

Grupo A — Guías introductorias (01–02)

Guía 01 — Introducción al Reglamento de IA (26 páginas) Cubre los principios principales del Reglamento de IA de la UE, su enfoque basado en riesgos, los roles de los operadores económicos (proveedores, implementadores, importadores), obligaciones clave, incluidos los requisitos de alfabetización en IA y transparencia, y un calendario de las fechas de entrada en vigor de la regulación. Lectura esencial para cualquier organización que inicie su recorrido de cumplimiento.

Guía 02 — Ejemplos prácticos (21 páginas) Proporciona ejemplos trabajados detallados de sistemas de IA para ilustrar cómo se aplican las obligaciones en la práctica. Los ejemplos incluyen identificación biométrica en el lugar de trabajo, herramientas de IA para gestión de RR. HH. y sistemas de IA para detección de diabetes. También explica definiciones clave mediante escenarios concretos — una herramienta valiosa para ejercicios de clasificación de riesgos.

Grupo B — Guías técnicas (03–15)

Guía 03 — Evaluación de conformidad (47 páginas) Explica el proceso de evaluación de conformidad para sistemas de alto riesgo — qué exige, el formato recomendado, pasos prácticos y los estándares que AESIA recomienda para demostrar cumplimiento. La guía más técnicamente exigente de la serie.

Guía 04 — Sistema de gestión de calidad Cubre las medidas organizativas y técnicas requeridas para cumplir con el Artículo 17 — los requisitos de gestión de calidad que deben incorporarse en cualquier sistema de IA de alto riesgo.

Guía 05 — Sistema de gestión de riesgos Explica los pasos necesarios para implementar un sistema de gestión de riesgos conforme al Artículo 9 — identificar, analizar, evaluar y mitigar riesgos del sistema de IA. Incluye una herramienta de Excel con casos de uso desarrollados.

Guía 06 — Gobernanza de datos Cubre los requisitos del Artículo 10 para conjuntos de datos de entrenamiento, validación y prueba — relevancia, representatividad, detección de sesgos y requisitos de documentación.

Guía 07 — Supervisión humana Explica los requisitos de supervisión humana del Artículo 14 — qué significa que una persona pueda entender resultados, anular decisiones y detener un sistema. Incluye requisitos de diseño para implementaciones human-in-the-loop y human-on-the-loop.

Guía 08 — Transparencia y etiquetado Cubre el Artículo 13 (transparencia para implementadores) y el Artículo 50 (transparencia para usuarios y el público) — qué debe divulgarse, en qué formato y a quién. Particularmente relevante para obligaciones de contenido generado por IA.

Guía 09 — Modelos de IA de propósito general (GPAI) Explica las obligaciones para proveedores de modelos de IA de propósito general — la documentación, transparencia y obligaciones de derechos de autor que están en vigor desde agosto de 2025.

Guía 10 — Evaluación de Impacto sobre Derechos Fundamentales (FRIA) Cubre los requisitos de FRIA del Artículo 27 para implementadores de sistemas de alto riesgo — el alcance de la evaluación, el contenido requerido y el proceso de finalización. Consulte nuestra guía práctica dedicada para redactar una FRIA.

Guía 11 — Exactitud, robustez y ciberseguridad Cubre los requisitos de rendimiento técnico del Artículo 15 para sistemas de alto riesgo.

Guía 12 — Conservación de registros (34 páginas) Ayuda a proveedores e implementadores a cumplir sus obligaciones de conservación de registros y logging bajo el Artículo 12 — qué debe registrarse, durante cuánto tiempo (mínimo seis meses) y en qué formato.

Guía 13 — Seguimiento posterior a la comercialización (38 páginas) Explica los requisitos del plan de seguimiento posterior a la comercialización para sistemas ya desplegados — qué monitorizar, cómo documentarlo y cuándo escalar.

Guía 14 — Notificación de incidentes (25 páginas) Cubre los pasos requeridos para notificar incidentes graves que involucren sistemas de IA de alto riesgo, incluidos plazos, requisitos de contenido y canales de notificación a AESIA.

Guía 15 — Documentación técnica (62 páginas) La guía más detallada. Cubre todos los requisitos de la documentación técnica del Anexo IV — la estructura de diez categorías que todo proveedor de un sistema de IA de alto riesgo debe producir y mantener.

Grupo C — Lista de comprobación y herramientas de evaluación (16)

Guía 16 — Manual de listas de comprobación + 13 listas de comprobación de cumplimiento en Excel Una herramienta de autoevaluación de cumplimiento. Las 13 listas de comprobación de Excel cubren áreas clave de obligaciones del Reglamento de IA de la UE, permitiendo a las organizaciones documentar sus medidas de cumplimiento, evaluar su nivel de cumplimiento frente a cada requisito e identificar brechas que requieren remediación. AESIA las diseñó para servir como una herramienta de referencia compartida para equipos técnicos, jurídicos y de gestión — proporcionando un lenguaje común para debates de cumplimiento transversales.

Dónde acceder a las guías: Las 16 guías están disponibles de forma gratuita en aesia.digital.gob.es — principalmente en español, con algunos materiales disponibles en inglés.

Sandbox regulatorio de IA de España

AESIA gestiona el sandbox regulatorio de IA de España — establecido bajo el Real Decreto 817/2023 — que es uno de los entornos de prueba de IA más avanzados de la UE y el origen directo de las 16 guías de cumplimiento.

El sandbox proporciona un entorno controlado en el que las organizaciones pueden desarrollar, probar y validar sistemas de IA bajo supervisión regulatoria antes de colocarlos en el mercado. En abril de 2025, AESIA seleccionó 12 proyectos de IA de empresas españolas para participar — sistemas que operan en seis sectores:

• Servicios esenciales
• Biometría
• Empleo
• Infraestructura crítica
• Maquinaria
• Productos sanitarios

Las empresas participantes recibieron acceso directo a orientación regulatoria, pruebas prácticas de cumplimiento frente a los requisitos del Reglamento de IA de la UE y una evaluación formal de la idoneidad de su sistema para el despliegue en el mercado. A cambio, AESIA utilizó el aprendizaje de estos 12 proyectos del mundo real para desarrollar las 16 guías de cumplimiento publicadas en diciembre de 2025.

Por qué el sandbox importa para su empresa:

El Reglamento de IA de la UE exige que cada Estado miembro de la UE establezca al menos un sandbox regulatorio de IA antes del 2 de agosto de 2026. El de España ya está operativo y bien establecido. Las pymes y startups en España tienen acceso a la participación en el sandbox como vía para:

• Orientación regulatoria directa sobre su sistema de IA específico
• Evaluación formal de cumplimiento antes del lanzamiento al mercado
• Protección frente a acciones de aplicación regulatoria por esfuerzos de cumplimiento de buena fe durante el periodo del sandbox
• Una hoja de ruta de cumplimiento estructurada desde el prototipo hasta el producto listo para el mercado

El sandbox también está abierto a empresas de otros Estados miembros de la UE — la participación no está restringida a organizaciones con sede en España.

El proyecto de Ley Nacional de IA de España

El Reglamento de IA de la UE es un Reglamento de la UE directamente aplicable — no requiere transposición nacional. Sin embargo, deja ciertos detalles de implementación a los Estados miembros, y el Consejo de Ministros de España aprobó el Anteproyecto de Ley para el Buen Uso y la Gobernanza de la IA el 11 de marzo de 2025 para cubrir estas lagunas y crear un marco completo de gobernanza nacional de IA.

Este proyecto de ley nacional, actualmente avanzando en el proceso parlamentario, cuando se promulgue:

Establecerá el régimen sancionador nacional — definiendo los procedimientos de aplicación regulatoria de España, las categorías de infracciones (muy graves, graves, leves) y las reglas específicas de cálculo de sanciones dentro de los umbrales máximos del Reglamento de IA de la UE.

Formalizará los plenos poderes sancionadores de AESIA — confirmando su autoridad para imponer multas de hasta 35 millones de euros o el 7% del volumen de negocios anual mundial por las infracciones más graves.

Definirá las prácticas prohibidas en el derecho español — implementando el Artículo 5 del Reglamento de IA de la UE a nivel nacional y alineándolas con el marco jurídico español existente para la protección de derechos fundamentales.

Establecerá una arquitectura supervisora multiautoridad — asignando formalmente roles y mecanismos de coordinación entre AESIA y la AEPD, Banco de España, CNMV, DGSFP y otros reguladores sectoriales.

Creará un registro público de entidades sancionadas — las organizaciones que hayan infringido el Reglamento de IA de la UE serán identificadas públicamente.

Impondrá la obligación de informes públicos anuales de AESIA — cubriendo actividad de aplicación regulatoria, estadísticas de incidentes, resultados del sandbox y publicaciones de orientación.

Exigirá evaluaciones de impacto de IA — evaluaciones periódicas de la efectividad de la aplicación regulatoria y consultas con partes interesadas.

Qué significa esto para su calendario de cumplimiento:

La aprobación de la ley nacional será el punto en el que se activen los plenos poderes sancionadores de AESIA para la mayoría de las infracciones bajo el Reglamento de IA de la UE. El propio Reglamento de IA de la UE ya proporciona la base jurídica para la aplicación regulatoria de prácticas prohibidas (en vigor desde febrero de 2025) y las obligaciones de GPAI (en vigor desde agosto de 2025). Pero la ley nacional completará la arquitectura de aplicación regulatoria para toda la gama de infracciones — particularmente aquellas relacionadas con requisitos de sistemas de alto riesgo.

Las organizaciones no deben interpretar la ley nacional pendiente como una razón para retrasar el cumplimiento. Los poderes de investigación de AESIA ya están activos. La vigilancia del mercado ya está en marcha. Cuando se activen los plenos poderes sancionadores, las organizaciones más expuestas serán aquellas que aún no hayan iniciado sus programas de cumplimiento.

Cómo investiga AESIA: cómo es una investigación

Entender cómo AESIA realiza investigaciones permite a los profesionales de cumplimiento construir programas de gobernanza que resistan el escrutinio — no solo sobre el papel.

Basándose en el mandato publicado de AESIA, su estatuto y patrones establecidos de reguladores comparables de la UE (particularmente la AEPD, cuyo enfoque de aplicación regulatoria se espera que AESIA refleje), una investigación típica de AESIA sigue esta estructura:

Etapa 1 — Detonante y evaluación inicial

Una investigación se desencadena por una reclamación, una remisión de otra autoridad o la propia actividad de vigilancia del mercado de AESIA. La evaluación inicial determina si el asunto cae dentro de la jurisdicción de AESIA, si existe un indicio prima facie de infracción y qué obligaciones específicas pueden haber sido vulneradas.

Etapa 2 — Solicitud de información

AESIA emite una solicitud formal de información a la organización investigada. Normalmente solicita documentación específica — documentación técnica del sistema de IA en cuestión, registros de gestión de riesgos, políticas de gobernanza de datos, procedimientos de supervisión humana, registros de incidentes y cualquier FRIA completada para el despliegue.

Este es el momento en que su documentación lo protege o lo expone. Las organizaciones con documentación de cumplimiento completa, actualizada y bien estructurada pueden responder de forma eficiente y demostrar cumplimiento de buena fe. Las organizaciones sin documentación afrontan un proceso de investigación significativamente más difícil.

Etapa 3 — Investigación y evaluación

AESIA revisa la documentación presentada, potencialmente realiza inspecciones in situ, entrevista al personal relevante y evalúa el sistema de IA y las prácticas de gobernanza de la organización frente a los requisitos aplicables del Reglamento de IA de la UE. Esta etapa puede incluir evaluación técnica del propio sistema de IA.

Etapa 4 — Hallazgos provisionales y respuesta

AESIA emite hallazgos provisionales a la organización, que tiene derecho a presentar una respuesta y proporcionar documentación o evidencia adicional. Esta es la principal oportunidad de la organización para abordar cualquier brecha de cumplimiento identificada.

Etapa 5 — Decisión y acción

AESIA emite su decisión final. Los resultados van desde una recomendación para abordar brechas específicas, pasando por órdenes correctivas que requieren modificación del sistema, hasta remisión a procedimientos sancionadores una vez que los plenos poderes estén activos. Las organizaciones tienen derecho a recurrir las decisiones mediante mecanismos de revisión administrativa y judicial.

Conclusión clave: El patrón de aplicación regulatoria de AESIA — basado en el modelo de la AEPD — tiende a ser de alto volumen, proporcionado y sistemático. Persigue organizaciones de todos los tamaños y sectores, no solo grandes empresas. La AEPD abrió 147 investigaciones relacionadas con IA solo en 2025. Espere que AESIA avance hacia niveles de actividad comparables a medida que crezca su capacidad.

Para una guía detallada sobre cómo preparar su documentación para una investigación de AESIA y qué implica el proceso completo de auditoría, consulte: Qué esperar de una auditoría del Reglamento de IA de la UE: guía paso a paso para organizaciones españolas.

Qué espera ver AESIA de las organizaciones cumplidoras

Las 16 guías de AESIA, el programa de sandbox y las comunicaciones publicadas dejan claras sus expectativas para las organizaciones cumplidoras. Basándose en estas fuentes, las organizaciones que quieren operar con confianza en el entorno regulatorio de IA de España deben poder demostrar:

Un inventario completo de sistemas de IA — cada sistema de IA en uso, clasificado por nivel de riesgo, con justificación documentada de la clasificación.

Evidencia de cumplimiento del Artículo 4 — formación documentada en alfabetización en IA impartida a todo el personal relevante, proporcional a su rol y a los sistemas de IA con los que trabaja. Esta obligación está en vigor desde febrero de 2025. Consulte nuestra guía sobre cómo crear un programa de alfabetización en IA del Artículo 4.

Para categorías de IA prohibidas — no uso confirmado — documentación que demuestre que su organización ha evaluado si algún sistema en uso entra en las categorías prohibidas y ha retirado o nunca desplegado aquellos que lo hacen. Consulte nuestra guía sobre prácticas de IA prohibidas que ya son ilegales en España.

Para implementadores de sistemas de alto riesgo — una FRIA completada — documentación de la Evaluación de Impacto sobre Derechos Fundamentales exigida a los implementadores bajo el Artículo 27, completada antes del despliegue.

Para proveedores de sistemas de alto riesgo — documentación técnica del Anexo IV — el expediente completo de documentación técnica de diez categorías exigido antes de la introducción en el mercado.

Registros de gobernanza — actas, políticas y decisiones que demuestren que la gobernanza de IA se gestiona activamente, no solo se documenta en plantillas.

Procedimientos de gestión de incidentes — un proceso documentado para identificar, escalar y notificar incidentes graves a AESIA bajo el Artículo 73.

La propia herramienta de listas de comprobación de AESIA — las 13 listas de comprobación en Excel de la Guía 16 son la declaración más clara de lo que AESIA considera una imagen completa de cumplimiento. Trabajar con ellas sistemáticamente proporciona tanto una hoja de ruta de cumplimiento como la evidencia documental para demostrarlo.

Cómo se compara la orientación de AESIA con el resto de la UE

Para entender cuán significativo es el liderazgo regulatorio de España, ayuda situar a AESIA en el contexto más amplio de la UE.

De los 27 Estados miembros de la UE, solo un puñado había designado sus autoridades nacionales de vigilancia del mercado de IA antes del plazo de agosto de 2025. Finlandia se convirtió en el primer Estado miembro en activar plenos poderes de aplicación regulatoria de IA en enero de 2026. La mayoría de los demás seguían finalizando sus arreglos institucionales.

Mientras tanto, AESIA llevaba más de 18 meses operativa, había realizado un sandbox regulatorio plenamente operativo, había publicado 16 guías de cumplimiento detalladas y había abierto investigaciones preliminares sobre despliegues de IA en España.

La consecuencia práctica para los profesionales de cumplimiento es significativa: las guías de AESIA son la orientación oficial más detallada sobre el Reglamento de IA de la UE actualmente disponible de cualquier autoridad nacional en Europa. La orientación de la Comisión Europea sobre clasificación de alto riesgo aún se estaba finalizando a principios de 2026. AESIA ya había publicado la Guía 02 con ejemplos trabajados en seis sectores y la Guía 03 con un marco de evaluación de conformidad de 47 páginas.

Los profesionales de cumplimiento en Bélgica, Alemania, Italia y otros Estados miembros de la UE están utilizando activamente las guías de AESIA como material de referencia provisional precisamente porque sus propias autoridades nacionales aún no han producido documentación equivalente. AESIA no es solo el regulador de España — actualmente sirve como punto de referencia de facto para el cumplimiento del Reglamento de IA de la UE en todo el bloque.

Pasos prácticos para las empresas españolas ahora mismo

Dada la postura activa de AESIA, estas son las acciones prioritarias para cualquier organización española que opere sistemas de IA.

Paso 1: Acceda inmediatamente a las guías de AESIA Todas las 16 guías son gratuitas en aesia.digital.gob.es. La Guía 01 es el punto de partida para cualquier organización. La Guía 16 (la herramienta de listas de comprobación) es la forma más rápida de evaluar sus brechas actuales de cumplimiento. No espere a que se apruebe la ley nacional antes de utilizar estos recursos.

Paso 2: Realice su inventario de IA utilizando los ejemplos de la Guía 02 Los ejemplos trabajados de la Guía 02 en seis sectores hacen significativamente más fácil clasificar correctamente sus propios sistemas de IA. Si sus sistemas se parecen a alguno de los ejemplos en un sector de alto riesgo, trátelos como de alto riesgo hasta que tenga una justificación documentada para una clasificación diferente.

Paso 3: Aborde inmediatamente la alfabetización en IA del Artículo 4 Esta obligación está en vigor desde febrero de 2025. Toda organización que utilice IA en España debe tener un programa documentado de alfabetización en IA implementado. La aplicación regulatoria de AESIA sobre esta obligación no requiere que se apruebe la ley nacional — deriva directamente del Reglamento de IA de la UE.

Paso 4: Regístrese en los canales de comunicación de AESIA AESIA publica actualizaciones de orientación, anuncios del sandbox e información de aplicación regulatoria a través de su sitio web. Monitorice aesia.digital.gob.es regularmente. Cuando las guías se actualicen para reflejar los cambios del Digital Omnibus, su programa de cumplimiento puede necesitar ajustes.

Paso 5: Considere la participación en el sandbox Si su organización está desarrollando un nuevo sistema de IA de alto riesgo, la participación en el sandbox proporciona acceso directo a orientación de AESIA, pruebas formales de cumplimiento y protección de aplicación regulatoria durante el periodo de desarrollo. La inversión en participación suele ser mucho menor que el coste de incumplimiento posterior al despliegue.

Paso 6: Contrate formación y certificación cualificadas Las guías de AESIA establecen un estándar alto para lo que significa el cumplimiento. Cumplir ese estándar requiere profesionales de cumplimiento con conocimiento genuino de los requisitos del Reglamento de IA de la UE — no solo formación de concienciación.

La certificación de Cumplimiento del Reglamento de IA de la UE y Ética en IA del Spanish Compliance Institute cubre el marco regulatorio de AESIA y todas las obligaciones principales del Reglamento de IA de la UE en una formación estructurada dirigida por expertos. 15 horas de contenido bajo demanda, plantillas del Anexo IV, talleres de FRIA y un certificado digital verificado. Actualmente  €79.99 €49.99. 

Por qué la certificación en el Reglamento de IA de la UE se está volviendo no negociable para los profesionales de cumplimiento en España →

Preguntas frecuentes

¿Qué significa AESIA?

AESIA significa Agencia Española de Supervisión de la Inteligencia Artificial.

¿Cuándo empezó a operar AESIA?

AESIA estuvo oficialmente operativa desde el 19 de junio de 2024 — seis semanas antes de que el Reglamento de IA de la UE entrara en vigor el 1 de agosto de 2024. Fue creada por el Real Decreto 729/2023, que entró en vigor el 3 de septiembre de 2023.

¿Puede AESIA imponer multas actualmente?

Los plenos poderes sancionadores de AESIA se activarán formalmente una vez que el proyecto de ley nacional de IA de España pase por el parlamento. Sin embargo, AESIA ya tiene poderes de investigación, puede emitir órdenes correctivas y puede exigir la retirada de sistemas de IA no conformes. Las obligaciones de prácticas prohibidas del Reglamento de IA de la UE (Artículo 5) y las obligaciones de GPAI ya son directamente exigibles.

¿AESIA se aplica a empresas no españolas?

Sí. AESIA aplica el Reglamento de IA de la UE dentro del territorio español. Cualquier organización — independientemente de dónde tenga su sede — que despliegue sistemas de IA que afecten a personas en España, o cuyos resultados de IA se utilicen en España, está dentro de la jurisdicción de AESIA.

¿Qué son las 16 guías de cumplimiento de AESIA?

AESIA publicó 16 documentos prácticos de orientación en diciembre de 2025, desarrollados mediante el sandbox regulatorio de IA de España. Cubren principios introductorios del Reglamento de IA de la UE, evaluación de conformidad, gestión de calidad, gestión de riesgos, gobernanza de datos, supervisión humana, transparencia, GPAI, FRIA, exactitud y ciberseguridad, conservación de registros, seguimiento posterior a la comercialización, notificación de incidentes, documentación técnica y un conjunto integral de herramientas de listas de comprobación. Están disponibles de forma gratuita en aesia.digital.gob.es.

¿Las guías de AESIA son jurídicamente vinculantes?

No. Las guías son orientación interpretativa no vinculante. Sin embargo, representan la lectura autoritativa de AESIA sobre los requisitos del Reglamento de IA de la UE y son la orientación oficial más detallada actualmente disponible de cualquier autoridad nacional de IA de la UE. AESIA espera que las organizaciones interactúen con ellas de buena fe.

¿Cómo se coordina AESIA con la AEPD?

AESIA y la AEPD se coordinan en casos donde el cumplimiento del Reglamento de IA de la UE y las obligaciones del RGPD se solapan — lo que aplica a la mayoría de los sistemas de IA que tratan datos personales. Una investigación de RGPD por parte de la AEPD puede abrir una ventana al cumplimiento del Reglamento de IA de la UE, y viceversa. Consulte nuestra guía completa para gestionar ambos simultáneamente.

¿Qué es el sandbox regulatorio de IA de España y cómo participo?

El sandbox regulatorio de IA de España, gestionado por AESIA bajo el Real Decreto 817/2023, permite a las organizaciones probar sistemas de IA de alto riesgo bajo supervisión regulatoria antes del despliegue en el mercado. Proporciona acceso directo a orientación, evaluación de cumplimiento y protección de aplicación regulatoria durante el periodo de pruebas. Las solicitudes se presentan a AESIA con una descripción detallada del proyecto. El sandbox está abierto tanto a organizaciones españolas como no españolas de la UE. Consulte aesia.digital.gob.es para las convocatorias de solicitud actuales.

¿Qué debo hacer primero para prepararme para la supervisión de AESIA?

Comience con tres acciones: acceda y revise la Guía 01 (introducción) y la Guía 16 (listas de comprobación) de AESIA en aesia.digital.gob.es; asegúrese de que su programa de alfabetización en IA del Artículo 4 esté documentado e impartido; y realice un inventario de sistemas de IA utilizando los ejemplos de la Guía 02 para confirmar sus clasificaciones de riesgo. Para implementadores de sistemas de alto riesgo, completar una FRIA es la siguiente prioridad. Consulte nuestra guía completa de cumplimiento del Reglamento de IA de la UE para España.

Desarrolle el conocimiento de cumplimiento que AESIA espera

AESIA está operativa, sus guías definen expectativas claras, su sandbox está seleccionando nuevos participantes y sus investigaciones ya están en marcha. Para las organizaciones españolas, operar sin un programa estructurado de cumplimiento de IA ya no es un riesgo calculado — es un déficit de cumplimiento que el regulador nacional de IA más avanzado de Europa está trabajando activamente para identificar.

La certificación de Cumplimiento del Reglamento de IA de la UE y Ética en IA del Spanish Compliance Institute proporciona a profesionales de cumplimiento, líderes empresariales y equipos jurídicos el conocimiento estructurado para alcanzar ese estándar:

• 15 horas de formación bajo demanda en 7 módulos — cubriendo el marco regulatorio de AESIA, todas las obligaciones principales del Reglamento de IA de la UE y el contexto legal nacional de España
• Plantillas de documentación del Anexo IV alineadas con los requisitos de la Guía 15 de AESIA
• Talleres de FRIA construidos alrededor del marco de la Guía 10 de AESIA
• Orientación de alineación con ISO 42001 — entender dónde el estándar internacional apoya su programa de cumplimiento de AESIA
• Exámenes simulados y finales para verificar su conocimiento
• Un certificado digital verificado reconocido en toda Europa

Inscríbase ahora y certifíquese →

Continúe leyendo: guías relacionadas de esta serie

• IA ética y cumplimiento del Reglamento de IA de la UE: la guía completa del profesional para España (Pilar)
• Reglamento de IA de la UE vs RGPD en España: Qué debe hacer su empresa para cumplir con ambos
• Cómo redactar una Evaluación de Impacto sobre Derechos Fundamentales (FRIA) bajo el Reglamento de IA de la UE
• 8 prácticas de IA que ya son ilegales en España bajo el Reglamento de IA de la UE
• Qué esperar de una auditoría del Reglamento de IA de la UE: guía paso a paso para organizaciones españolas
• Certificación en el Reglamento de IA de la UE: por qué se está volviendo no negociable para profesionales de cumplimiento