La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) es el organismo público español responsable de supervisar el cumplimiento del AI Act (Reglamento UE 2024/1689) en España. Creada mediante el Real Decreto 1038/2023, tiene su sede en A Coruña y fue la primera autoridad supervisora de IA de la Unión Europea en constituirse formalmente.
Para las pymes españolas, la AESIA es el interlocutor directo con el que tendrán que demostrar cumplimiento. Esta guía explica qué puede pedirte, qué tienes que tener preparado y cómo llevar la documentación en orden.
¿Qué es la AESIA y qué competencias tiene?
La AESIA actúa como autoridad nacional competente para el AI Act en España, con competencias para:
- Supervisar que las empresas con sede en España cumplen el Reglamento (UE) 2024/1689
- Recibir notificaciones de incidentes graves causados por sistemas de IA
- Investigar denuncias de ciudadanos o empresas
- Imponer sanciones y multas por incumplimiento
- Mantener el registro de sistemas de IA de alto riesgo operativos en España
- Emitir directrices y orientaciones sobre cumplimiento
La AESIA también participa en el Comité Europeo de Inteligencia Artificial, el órgano de coordinación entre las autoridades nacionales de los 27 estados miembros.
¿Qué puede pedirte la AESIA a ti como empresa?
Acceso a documentación técnica
Para sistemas de alto riesgo (Anexo III del AI Act), la AESIA puede solicitar en cualquier momento la documentación técnica del sistema: descripción del funcionamiento, datos de entrenamiento, métricas de evaluación, medidas de supervisión humana y registros de incidentes. Esta documentación debe estar lista antes de que el sistema sea desplegado, no después de que llegue la inspección.
Registro de sistemas de IA
Los sistemas de IA de alto riesgo deben estar inscritos en la base de datos europea de sistemas de IA (Art. 49). La AESIA puede verificar si un sistema que debería estar registrado no lo está. El registro incluye: nombre del sistema, proveedor, categoría de riesgo, finalidad, datos de contacto del responsable.
Notificación de incidentes graves
Si un sistema de IA que usas causa o podría haber causado un daño grave (lesiones, discriminación significativa o vulneración de derechos fundamentales), tienes obligación de notificarlo a la AESIA. El plazo para la notificación inicial es de 24 horas desde que tienes conocimiento del incidente.
Evidencia de formación (Art. 4)
La obligación de alfabetización en IA del Artículo 4 lleva aparejada la necesidad de demostrar que los empleados han recibido esa formación. La AESIA puede solicitar:
- Listado de empleados que han completado formación en IA
- Contenido del temario de formación
- Certificados o evidencias de superación
- Nombre del responsable interno de IA (Art. 26)
El dossier AESIA: qué es y para qué sirve
Aunque el término "dossier AESIA" no aparece literalmente en el texto del reglamento, hace referencia al conjunto de documentación técnica y de gobernanza que una empresa debe poder presentar ante la AESIA en caso de inspección o requerimiento. Incluye:
- Inventario de sistemas de IA: todas las herramientas de IA usadas, con su categoría de riesgo y finalidad
- Evaluación de conformidad: análisis de cumplimiento por sistema (especialmente para alto riesgo)
- Registro de formación: evidencias del Art. 4 por empleado
- Políticas de uso: qué IA está permitida, bajo qué condiciones y qué está prohibido
- Log de incidentes: registro de eventos bloqueados, datos sensibles detectados, incidentes escalados
- DPIA (Evaluación de Impacto en la Protección de Datos): para sistemas que tratan datos personales a escala
- Data Processing Agreements (DPA): contratos con proveedores de IA que actúan como encargados del tratamiento
¿Con qué frecuencia inspecciona la AESIA?
La AESIA todavía está desarrollando su capacidad inspectora. En 2024 y 2025, la actividad supervisora se ha centrado principalmente en:
- Responder a denuncias concretas de ciudadanos o competidores
- Investigar incidentes graves que lleguen a su conocimiento
- Supervisar el cumplimiento de las prohibiciones absolutas del Art. 5
A medida que los plazos del AI Act se van activando (especialmente en 2025-2026), la actividad proactiva irá aumentando. Las pymes no son el objetivo inicial de las inspecciones, pero sí lo son los proveedores de sistemas de IA, cuyos incumplimientos pueden afectar a toda su cadena de clientes.
Cómo preparar tu empresa para una inspección de la AESIA
La preparación no requiere contratar un equipo jurídico. Requiere orden y documentación. Esto es lo mínimo viable:
- Inventario de IA actualizado. Un documento que liste todas las herramientas de IA activas en la empresa, con su categoría de riesgo y el nombre del responsable interno.
- Registro de formación. Evidencia de que cada empleado ha completado el módulo de alfabetización en IA requerido por el Art. 4.
- Política de uso de IA escrita. Un documento que define qué herramientas están permitidas, bajo qué condiciones, y qué datos no pueden introducirse en ninguna IA.
- Log de incidentes. Registro de los eventos relevantes: uso no autorizado, datos sensibles detectados, bloqueos aplicados.
- Responsable designado. Una persona con nombre y apellidos como responsable interno de IA (Art. 26). No necesita ser un experto técnico, solo tener autoridad para actuar.
La AESIA no está buscando empresas a las que multar. Está estableciendo una cultura de cumplimiento. Las pymes que lleven la documentación en orden y puedan demostrar buena fe tendrán margen para corregir desviaciones sin sanción.
delfosgov genera el dossier AESIA automáticamente a partir de los datos de uso de IA en tu empresa. Accede al dashboard para ver cómo queda el inventario de tu equipo en tiempo real.