AESIA: qué es la Agencia Española de Supervisión de la IA y cómo te afecta

Actualizado abril 2026 · AI Compliance · Autor Matteo Mirabelli

España es, en 2026, el único Estado miembro de la Unión Europea con autoridad nacional dedicada exclusivamente a la supervisión de la inteligencia artificial: AESIA, la Agencia Española de Supervisión de la Inteligencia Artificial, con sede en A Coruña. El resto de Estados miembros (Francia, Italia, Alemania, los Países Bajos, etc.) ejercen las funciones del AI Act a través de la autoridad de protección de datos preexistente (CNIL, Garante, BfDI). Esta singularidad española tiene implicaciones operativas para cualquier empresa que despliegue sistemas IA en territorio nacional, y conviene conocerlas con precisión.

Aviso: este contenido es informativo y no constituye asesoramiento legal. Consulte con su asesor jurídico para casos específicos.

Qué es AESIA

AESIA es un organismo público estatal con personalidad jurídica propia, adscrito al Ministerio para la Transformación Digital y de la Función Pública. Su creación se acordó en 2022 mediante el RD 729/2023 que aprobó su Estatuto, y comenzó a operar formalmente en 2023. Su sede está en A Coruña (Galicia), por decisión gubernamental para descentralizar organismos públicos.

Sus funciones nucleares:

Supervisión nacional del AI Act. Verificación del cumplimiento del Reglamento Europeo 2024/1689 por parte de proveedores y desplegadores establecidos en España o que comercialicen sistemas IA en territorio español.

Sanción administrativa. Tramitación y resolución de expedientes sancionadores por incumplimiento de las obligaciones del AI Act.

Coordinación europea. Punto de contacto nacional con la Oficina Europea de IA (AI Office, dependiente de la Comisión Europea) y con autoridades de otros Estados miembros.

Coordinación con AEPD. En sistemas IA que tratan datos personales, ambas autoridades pueden intervenir; existe convenio de coordinación.

Coordinación sectorial. Con Banco de España (financiero), CNMV (mercado de valores), AEMPS (productos sanitarios), DGSFP (seguros), Inspección de Trabajo (laboral) y otros supervisores.

Sandbox regulatorio. España opera un sandbox AI Act activo desde 2023, permitiendo a empresas probar sistemas IA bajo supervisión, especialmente PYMEs y startups.

Códigos de conducta y guías. Aprobación de códigos sectoriales y emisión de guías técnicas.

Cómo afecta a una empresa española

La existencia de AESIA tiene tres consecuencias operativas:

Aplicación temprana. Al ser autoridad dedicada, AESIA ha podido iniciar trabajos preparatorios, guías y supervisión antes de las jurisdicciones donde la autoridad es delegada. Las empresas españolas no pueden contar con margen de aplicación lenta. En 2026, AESIA ya está plenamente operativa.

Canal específico de supervisión. Una empresa española con sistemas IA puede recibir requerimientos de AESIA directamente, además de eventuales acciones de AEPD por componente de datos personales. Dos canales paralelos coordinados.

Punto de referencia técnico. AESIA emite guías técnicas que el resto de Estados miembros toma a menudo como referencia. Cumplir las orientaciones AESIA suele alinear con expectativas europeas.

Qué hace AESIA en la práctica

AESIA en 2026 realiza actividades en cuatro frentes:

Supervisión activa. Análisis de sectores y empresas con sistemas IA. Solicitudes de información sobre clasificación, documentación técnica, audit trail. Inspecciones puntuales tras reclamación o por iniciativa propia.

Inscripción en registros. Sistemas de alto riesgo (Anexo III AI Act) deben inscribirse en base de datos UE. AESIA gestiona el registro español.

Resolución de expedientes sancionadores. Tramitación de procedimientos por incumplimiento. Sanciones graduadas según gravedad y tamaño de la empresa.

Sandbox. Acompañamiento a empresas (especialmente PYMEs y startups) que prueban sistemas IA bajo supervisión.

Diferencia entre AESIA y AEPD

Confusión frecuente. Aclaración:

AEPD (Agencia Española de Protección de Datos). Autoridad histórica de protección de datos. Aplica RGPD, Ley Orgánica 3/2018, normativa sectorial de protección de datos. Tramita reclamaciones de personas afectadas por tratamiento. Es la autoridad de RGPD.

AESIA (Agencia Española de Supervisión de la Inteligencia Artificial). Autoridad de IA. Aplica AI Act y normativa nacional complementaria (Anteproyecto Ley IA cuando entre en vigor). Es la autoridad de IA.

Coordinación:

  • Sistema IA que trata datos personales → competencia conjunta. AEPD por tratamiento, AESIA por sistema.
  • Reclamación de un destinatario → puede ir a AEPD (si se queja por tratamiento) o a AESIA (si se queja por sistema). Reenvío entre autoridades cuando aplique.
  • Inspección coordinada en casos relevantes.

Para una empresa española, esto significa que la documentación debe ser coherente para ambas autoridades. Inconsistencias entre RGPD y AI Act delatan deficiencias.

Cómo prepararse para AESIA

Una empresa española con sistemas IA debe estar preparada para responder a AESIA en plazo razonable. Preparación mínima:

Inventario de sistemas IA. Lista actualizada con clasificación de riesgo.

Ficha técnica por sistema. Especialmente Anexo III. Documentación detallada según Anexo IV AI Act.

Política IA y responsable. Documentos firmados.

Audit trail. Registros automatizados conservados.

Evidencias de transparencia. Cómo se informa a destinatarios.

Evaluaciones de impacto. Especialmente EFFD para Anexo III.

Formación de empleados. Materiales y registro de asistencia.

Relación con proveedores. DPAs, política IA del proveedor, certificaciones.

Cuando AESIA solicita información, los plazos suelen ser de 10-30 días. Sin documentación previa, cumplir es prácticamente imposible.

Sandbox regulatorio AESIA

España opera un sandbox regulatorio AI Act que permite a empresas probar sistemas IA bajo supervisión. Beneficios para participantes:

Asistencia técnica de AESIA durante la prueba.

Margen de experimentación con sistemas potencialmente clasificables como alto riesgo.

Reducción de incertidumbre regulatoria.

Posicionamiento. Participar en sandbox transmite madurez en gobernanza IA.

Las convocatorias se publican periódicamente. PYMEs y startups tienen acceso facilitado.

AI Act + ISO 42001 en la práctica

Para AESIA, la certificación ISO 42001 de la empresa o de su proveedor IA es indicio positivo de madurez de gestión, sin que sustituya a la verificación específica de cumplimiento AI Act. La certificación facilita:

  • Respuesta rápida a solicitudes de información.
  • Demostración de sistema de gestión.
  • Auditoría externa que valida elementos clave.

AENOR certifica conforme a ISO 42001 en España bajo acreditación ENAC. Otras entidades (Bureau Veritas, KPMG, DNV, EQA, SGS, DEKRA, TÜV) también ofrecen.

ENS aplica si la empresa vende a sector público. AESIA coordina con organismos públicos relevantes (DTIC, Centro Criptológico Nacional) en estos casos.

Aviso: este contenido es informativo y no constituye asesoramiento legal. Consulte con su asesor jurídico para casos específicos.

Comparación con autoridades europeas

CNIL (Francia). Autoridad de datos que ejerce funciones AI Act. Activa desde tradición de protección de datos.

Garante (Italia). Idem en Italia. La autoridad italiana ha sido muy activa en cuestiones de IA generativa.

BfDI (Alemania). Federal de protección de datos. Coordinación con autoridades regionales (Länder).

ACM (Países Bajos). Mezcla de varias autoridades.

AESIA (España). Única autoridad dedicada exclusivamente a IA en la UE en 2026.

Esta singularidad española se traduce en supervisión más temprana, más específica y con mayor coordinación intersectorial.

Anteproyecto de Ley de IA española

El Anteproyecto de Ley de IA española, en tramitación en 2026, complementará el AI Act con régimen sancionador específico, organización institucional detallada y armonización con normativa sectorial. Los puntos esperables:

  • Sanciones administrativas específicas por categoría de infracción.
  • Detalle de competencias AESIA.
  • Coordinación con AEPD, Banco de España, CNMV, AEMPS, DGSFP, Inspección de Trabajo.
  • Régimen específico para sector público.

La práctica recomendable es operar como si el Anteproyecto ya estuviera vigente. La tramitación normalmente se completa, y los sistemas en funcionamiento deben adaptarse.

Para profundizar consulte AI Act España: guía de cumplimiento, AI Act y PYME en España, ISO 42001 España: implementación y checklist de cumplimiento IA 2026 España.

FAQ

¿Dónde está AESIA? En A Coruña, Galicia.

¿Cuándo opera? Operativa desde 2023, plenamente activa en 2026.

¿Qué hago si AESIA me solicita información? Responder en plazo con documentación coherente. Sin preparación previa, plazos son difíciles.

¿Diferencia con AEPD? AEPD = datos personales (RGPD). AESIA = sistemas IA (AI Act). Coordinadas.

¿Sandbox es accesible a PYME? Sí, con condiciones favorables.

¿Cuándo me visita AESIA? Habitualmente tras reclamación o si tengo sistema Anexo III registrado, o por campaña sectorial.

¿Sanciones? Hasta 35 millones euros o 7% facturación por sistemas prohibidos; cifras escaladas para otros incumplimientos. Ajuste por tamaño en PYME.

Conclusión

AESIA es el supervisor IA dedicado más temprano de la UE y un activo regulatorio único de España. Las empresas que despliegan sistemas IA en territorio español deben relacionarse con AESIA con preparación. Knowlee.ai como plataforma de IA Workforce europea, conforme AI Act + ISO 42001 by-design, facilita la documentación que AESIA puede requerir y simplifica la respuesta a su supervisión, lista para PYMEs y mid-market españolas con vocación LatAm.