AESIA: qué es y cómo puede inspeccionar a su empresa
La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) es el organismo que vigila el cumplimiento de la normativa de IA en España. Dicho de forma directa: es quien puede inspeccionar sus sistemas de inteligencia artificial, exigirle documentación y proponer una sanción.
Con el 2 de agosto de 2026 a la vuelta de la esquina —fecha en que se aplican las obligaciones para los sistemas de IA de alto riesgo del EU AI Act—, conviene saber exactamente quién es, qué puede hacer y qué va a pedirle.
Qué es la AESIA
La AESIA es una agencia estatal creada para garantizar que el desarrollo y uso de la inteligencia artificial en España sea seguro y conforme a la norma. Su Estatuto se aprobó mediante el Real Decreto 729/2023, de 22 de agosto, y tiene su sede en A Coruña (palacete de La Terraza).
Su creación tuvo un valor simbólico notable: España fue el primer país de la Unión Europea en dotarse de un organismo dedicado a supervisar la IA, adelantándose incluso a la entrada en vigor del Reglamento europeo.
Su papel en el EU AI Act
El Reglamento (UE) 2024/1689 obliga a cada Estado miembro a designar autoridades nacionales competentes que ejerzan la vigilancia del mercado. En España, ese papel de referencia lo asume la AESIA, con especial atención a los sistemas de IA de alto riesgo.
Traducido a la práctica: cuando el Reglamento dice que «la autoridad podrá requerir la documentación técnica», o que «la autoridad de vigilancia del mercado podrá adoptar medidas», en España esa autoridad es —en lo que a IA respecta— la AESIA.
Qué puede hacer: competencias y calendario sancionador
La AESIA cuenta con un cuerpo de inspección propio. Su capacidad de actuación se ha desplegado de forma escalonada, siguiendo el calendario del Reglamento europeo:
| Desde | Qué puede hacer |
|---|---|
| 2 de febrero de 2025 | Supervisión de las prácticas de IA prohibidas (artículo 5 del Reglamento) |
| 2 de agosto de 2025 | Plena potestad sancionadora |
| 2 de agosto de 2026 | Supervisión de las obligaciones de los sistemas de alto riesgo |
Entre sus funciones figuran la evaluación de riesgos de los sistemas de IA, la emisión de recomendaciones técnicas y éticas, la coordinación con autoridades nacionales y europeas, y el fomento de buenas prácticas.
Las multas que están en juego
Las sanciones no las fija la AESIA a su antojo: vienen del artículo 99 del Reglamento europeo, y son severas.
- Prácticas prohibidas: hasta 35 000 000 EUR o el 7 % del volumen de negocios anual mundial.
- Incumplimiento de otras obligaciones (incluidas las de los sistemas de alto riesgo): hasta 15 000 000 EUR o el 3 %.
- Información incorrecta a las autoridades: hasta 7 500 000 EUR o el 1 %.
Para pymes y startups se aplica la cuantía menor de entre el importe fijo y el porcentaje. Y conviene recordar que un mismo sistema puede infringir a la vez el AI Act y el RGPD, con dos autoridades y dos expedientes.
Qué le va a pedir la AESIA en una inspección
Si su sistema es de alto riesgo, el Reglamento define con precisión la evidencia que debe poder entregar:
- La documentación técnica (artículo 11 y anexo IV), que es la prueba escrita de la conformidad.
- El sistema de gestión de riesgos (artículo 9) y su funcionamiento continuo.
- La gobernanza de los datos (artículo 10).
- Los registros automáticos que garantizan la trazabilidad (artículo 12).
- Las medidas de supervisión humana efectiva (artículo 14).
- La evidencia de precisión, robustez y ciberseguridad (artículo 15).
- La declaración UE de conformidad, el marcado CE y el registro en la base de datos de la UE.
No basta con tenerlo hecho: hay que poder presentarlo, ordenado y a demanda.
Una nota honesta sobre su capacidad real
Conviene decirlo, porque circula: algunos medios han cuestionado públicamente la capacidad operativa de la agencia y su ritmo de puesta en marcha. Es una crítica legítima y es información relevante para cualquiera que esté evaluando su exposición.
Ahora bien, no es una razón para relajarse, por tres motivos. Primero, la potestad sancionadora ya existe desde agosto de 2025. Segundo, el 2 de agosto de 2026 entra el grueso de obligaciones de alto riesgo y el foco sobre la agencia —y sobre las empresas— aumentará. Y tercero: la conformidad no se improvisa. Construir la documentación técnica y el sistema de gestión de riesgos lleva meses. Quien espere a que la agencia demuestre músculo empezará tarde.
Qué implica según el tamaño de su empresa
- Pyme: su primera tarea es clasificar sus sistemas. Muchos no serán de alto riesgo, y saberlo con certeza —y documentarlo— le ahorra el resto.
- Mediana empresa: monte el expediente antes de que se lo pidan. La documentación técnica y el registro de riesgos son lo que primero se solicita.
- Gran empresa: con varios sistemas y sectores, prepare un expediente auditable y reproducible, no una carpeta ad hoc por inspección.
El reto de fondo: demostrar la conformidad, no estimarla
Cuando un inspector pregunta si un sistema cumple, no le vale que usted lo crea: necesita verlo demostrado. Y ahí está la brecha. Las pruebas y evaluaciones habituales sobre un sistema de IA producen, por su naturaleza, una estimación; el Reglamento —y la AESIA— piden demostración.
Deflank cierra esa distancia. A través de una metodología de verificación propia, convierte los requisitos aplicables en una prueba demostrable, reproducible y auditable de conformidad, en lugar de una estimación probabilística. Ante una exposición de hasta el 7 % de la facturación mundial, la diferencia entre «creemos que cumplimos» y «cumplimos, y aquí está la prueba» es exactamente la diferencia que importa. La prueba, no la estimación.
¿Sabría demostrar la conformidad de sus sistemas si la AESIA llamara mañana? Solicite un diagnóstico preliminar o descargue el checklist de conformidad del AI Act.
Enlaces internos: [EU AI Act: obligaciones y cumplimiento (pilar)] · [sanciones del AI Act] · [cómo saber si su IA es de alto riesgo] · [documentación técnica: qué incluir].
Contenido informativo; no constituye asesoramiento jurídico. Fuentes: Real Decreto 729/2023, de 22 de agosto (Estatuto de la AESIA); Reglamento (UE) 2024/1689, artículos 70, 74 y 99; información pública de la AESIA. Verificado en julio de 2026.
Preguntas frecuentes
¿Qué es la AESIA?
Es la Agencia Española de Supervisión de la Inteligencia Artificial, creada por el Real Decreto 729/2023, con sede en A Coruña. Supervisa el cumplimiento de la normativa de IA en España.
¿Puede la AESIA sancionar a mi empresa?
Sí. Cuenta con cuerpo de inspección propio y **plena potestad sancionadora desde el 2 de agosto de 2025**.
¿Qué multas puede imponer?
Las del artículo 99 del Reglamento (UE) 2024/1689: hasta 35 M€ o el 7 % del volumen de negocios mundial por prácticas prohibidas; hasta 15 M€ o el 3 % por incumplir otras obligaciones; hasta 7,5 M€ o el 1 % por información incorrecta.
¿Desde cuándo supervisa los sistemas de alto riesgo?
Desde el **2 de agosto de 2026**, cuando se aplica el grueso de obligaciones para esos sistemas.
¿Qué documentación me pedirá en una inspección?
Principalmente la documentación técnica (anexo IV), el sistema de gestión de riesgos, la gobernanza de datos, los registros de trazabilidad, las medidas de supervisión humana, la declaración UE de conformidad y el registro del sistema.
¿Dónde tiene su sede la AESIA?
En A Coruña, en el palacete de La Terraza.