Qué es la AESIA: la agencia que puede sancionar a tu empresa por el AI Act
Álvaro Menéndez
CEO · Trust AI
27 mayo 2026
Lectura: 8 min
La mayoría de directivos que llegan a nuestra primera reunión conocen el AI Act, pero apenas han oído hablar de la AESIA. Es un error que puede salir caro. La AESIA es la autoridad española que supervisa el cumplimiento del Reglamento Europeo de IA —y desde agosto de 2025 ya tiene capacidad para investigar, requerir documentación y emitir sanciones.
En este artículo explicamos exactamente qué es, qué poderes tiene, cómo actúa en la práctica y qué puede pedirte si tu empresa entra en su radar.
Qué es la AESIA y cómo nació
La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) fue creada por el Real Decreto 729/2023. España fue uno de los primeros países de la UE en establecer su propia autoridad de supervisión de IA, anticipándose al mandato que el AI Act impondría poco después a todos los estados miembro.
Tiene su sede en A Coruña y opera bajo la tutela del Ministerio para la Transformación Digital y de la Función Pública. Su misión es doble: por un lado, fomentar el desarrollo responsable de la IA en España; por otro, supervisar que las empresas cumplen con las obligaciones del Reglamento Europeo de IA.
Importante: La AESIA no actúa solo sobre empresas que desarrollan IA. Supervisa también a cualquier organización que use sistemas de IA en su actividad —lo que incluye a la gran mayoría de empresas medianas y grandes en España.
Desde el punto de vista regulatorio, la AESIA ejerce como autoridad de vigilancia del mercado (market surveillance authority) en el marco del AI Act. Esto significa que tiene las mismas competencias que los organismos de supervisión del mercado en otros sectores regulados: puede investigar, requerir acceso a documentación, ordenar medidas correctoras y sancionar.
Qué poderes tiene sobre las empresas
Los poderes de la AESIA están definidos directamente en el AI Act y son sustanciales. No es un organismo consultivo: tiene dientes.
Acceso a documentación
La AESIA puede requerir a cualquier empresa que le entregue toda la documentación técnica relacionada con sus sistemas de IA: el expediente técnico, los registros de monitorización, los procedimientos de supervisión humana, las evaluaciones de impacto en derechos fundamentales (FRIA) y cualquier otro entregable exigido por el Reglamento. El plazo para responder a un requerimiento suele ser de entre 10 y 15 días hábiles.
Inspecciones presenciales y remotas
Puede ordenar inspecciones en las instalaciones de la empresa, con o sin previo aviso, cuando exista sospecha razonable de incumplimiento. En estas inspecciones, los inspectores pueden acceder a sistemas informáticos, bases de datos y cualquier recurso técnico relacionado con los sistemas de IA bajo escrutinio.
Medidas provisionales y correctoras
Si detecta un incumplimiento grave, puede ordenar medidas provisionales inmediatas —incluyendo la suspensión del uso de un sistema de IA— mientras investiga el caso. También puede exigir medidas correctoras con plazos concretos.
Sanciones económicas
Las multas que puede imponer la AESIA siguen los tres tramos del AI Act:
Infracción
Sanción máxima
Uso de sistemas de IA de riesgo inaceptable (prohibidos)
35 M€ o 7% facturación global
Incumplimiento de obligaciones para sistemas de alto riesgo
15 M€ o 3% facturación global
Información inexacta o incompleta facilitada a la AESIA
7,5 M€ o 1,5% facturación global
Estas multas ya son aplicables desde agosto de 2025. No son una amenaza futura. La AESIA tiene capacidad legal para emitirlas hoy mismo. La sanción se aplica al importe mayor entre la cifra fija y el porcentaje de facturación global —no al menor.
Cómo actúa: proactiva vs. reactiva
A diferencia de la AEPD (Agencia Española de Protección de Datos), que opera principalmente de forma reactiva —actuando cuando recibe denuncias—, la AESIA ha anunciado una estrategia de supervisión predominantemente proactiva. Esto cambia la ecuación para las empresas.
Actuación proactiva: inspecciones por sectores
La AESIA planifica inspecciones sistemáticas por sectores de actividad, independientemente de que haya habido quejas o incidentes. Sus recursos se concentran primero en los sectores que el propio AI Act considera de mayor riesgo: RRHH, servicios financieros, sanidad y administración pública. Una empresa puede recibir una inspección simplemente por operar en uno de esos sectores con sistemas de IA, aunque no haya hecho nada mal.
Actuación reactiva: denuncias e incidentes
También actúa cuando recibe denuncias formales de empleados, clientes, sindicatos u otras organizaciones. Los incidentes públicos relacionados con sistemas de IA —errores en scoring, discriminación algorítmica, fallos en sistemas automatizados— también activan investigaciones. En estos casos, la respuesta suele ser más rápida y el escrutinio, mayor.
Qué sectores tiene en el punto de mira
Basándose en los documentos de estrategia publicados por la AESIA y en los criterios del propio Reglamento, estos son los sectores con mayor probabilidad de recibir atención regulatoria en primer lugar:
Recursos Humanos: empresas que usan sistemas de selección automatizada (ATS), scoring de candidatos, evaluación del rendimiento o herramientas de decisión sobre ascensos y despidos
Servicios financieros y seguros: entidades con sistemas de scoring crediticio, detección de fraude, evaluación de riesgos o decisiones sobre acceso a productos financieros
Sanidad: hospitales, clínicas y empresas de salud digital que usan IA para diagnóstico asistido, triaje o gestión de listas de espera
Retail y ecommerce: plataformas con sistemas de recomendación que afectan a decisiones de consumo, y chatbots de atención al cliente con capacidad de resolución autónoma
Administración pública: cualquier organismo que use IA para gestionar el acceso a prestaciones, servicios esenciales o procedimientos administrativos
Si tu empresa opera en alguno de estos sectores y usa herramientas SaaS con componentes de IA —aunque sea un ATS estándar de mercado o un CRM con scoring—, probablemente ya está en el radio de acción de la AESIA.
Qué ocurre durante una inspección
El proceso de inspección de la AESIA, basado en los procedimientos establecidos en el AI Act y en las guías publicadas por la Comisión Europea, sigue generalmente este orden:
Fase 1 — Requerimiento documental previo
Antes de una inspección presencial, la AESIA suele enviar un requerimiento formal solicitando documentación específica. El primer documento que piden en casi todos los casos es el inventario de sistemas de IA: la lista completa de tecnologías con IA que opera la empresa, cómo se clasifican según el Reglamento y para qué se usan. Sin este inventario, cualquier defensa es muy difícil.
Fase 2 — Revisión de la documentación técnica
Para los sistemas clasificados como de alto riesgo, la AESIA revisa el expediente técnico completo (Anexo IV del Reglamento): descripción del sistema, datos de entrenamiento, métricas de rendimiento, procedimientos de supervisión humana y registros de monitorización. La ausencia de cualquiera de estos documentos es, por sí sola, un incumplimiento sancionable.
Fase 3 — Inspección presencial (si procede)
Si la revisión documental detecta irregularidades o si la empresa no responde al requerimiento, se puede proceder a una inspección presencial. En esta fase, los inspectores pueden entrevistar a responsables técnicos y de compliance, acceder a sistemas y verificar in situ que los procedimientos declarados se aplican realmente.
Fase 4 — Resolución
El expediente puede cerrarse con archivo (sin incumplimiento), con medidas correctoras con plazo, o con sanción económica. La cooperación activa durante el proceso y la demostración de que se han tomado medidas correctoras antes de la resolución influyen significativamente en el resultado.
Cómo prepararse antes de que llamen
El momento de prepararse es antes de recibir un requerimiento, no después. La diferencia entre una empresa que tiene documentación ordenada —aunque incompleta— y una que no tiene nada es de entre el 40 y el 60% en la sanción final, según los precedentes de procedimientos similares en materia de GDPR.
Los tres pasos que más impacto tienen en una posible inspección son:
Inventario de sistemas de IA: saber qué tecnologías con IA opera tu empresa, en qué departamentos, para qué decisiones y quién las supervisa. Es el punto de partida de cualquier programa de adecuación y el primer documento que pide la AESIA.
Clasificación de riesgo: determinar qué sistemas caen en la categoría de alto riesgo según el Reglamento. No todos lo son, pero clasificar incorrectamente un sistema de alto riesgo como de riesgo limitado es, en sí mismo, un incumplimiento.
Documentación técnica: para los sistemas de alto riesgo, preparar el expediente técnico completo antes de que lo soliciten. Un expediente parcial pero bien organizado es mucho mejor que ninguno cuando llega la inspección.
El plazo crítico es agosto de 2026. A partir de esa fecha, todas las obligaciones del AI Act para sistemas de alto riesgo ya existentes serán plenamente exigibles. Las empresas que lleguen a esa fecha sin documentación corren el mayor riesgo. Pero recuerda: las multas ya son posibles desde agosto de 2025.
En Trust AI hacemos el diagnóstico inicial —inventario, clasificación y mapa de exposición— en una sesión de 60 minutos. Si quieres saber exactamente en qué punto está tu empresa antes de que la AESIA llame, ese es el primer paso.
Álvaro Menéndez
CEO · Trust AI
Lidera Trust AI y acompaña directamente a cada cliente en su proceso de adecuación al AI Act. Ha asesorado a empresas de RRHH, finanzas y retail en la identificación y documentación de sus sistemas de IA de alto riesgo.
Newsletter gratuita
Análisis sobre el AI Act cada dos semanas
Sin jerga técnica. Pensado para directivos que necesitan tomar decisiones sobre cumplimiento normativo.
Sin spam. Baja cuando quiera.
✦ Suscripción confirmada. Hasta la próxima edición.