AESIA: Lo Que Toda Empresa Española que Usa IA Debe Saber en 2026
AESIA: Lo Que Toda Empresa Española que Usa IA Debe Saber en 2026
Si tu empresa utiliza IA en España — incluso una herramienta SaaS con funciones de IA, un proceso automatizado de selección de personal o un chatbot de atención al cliente — ya estás regulada. AESIA, la autoridad supervisora de inteligencia artificial de España, lleva operativa desde finales de 2023 y ya está aplicando el Reglamento de IA de la UE (Reglamento 2024/1689) a nivel nacional.
Con el próximo gran plazo de cumplimiento — el 2 de agosto de 2026 — a menos de cuatro meses, este artículo ofrece a las empresas españolas una visión clara de qué es AESIA, qué puede hacerle a tu negocio y qué necesitas hacer antes de que llegue esa fecha.
Qué Es AESIA y Por Qué Importa
AESIA — Agencia Española de Supervisión de la Inteligencia Artificial — es la autoridad supervisora nacional de España bajo el Reglamento de IA de la UE. Fue creada mediante el Real Decreto 729/2023, publicado en el BOE el 19 de julio de 2023. España fue uno de los primeros Estados miembros de la UE en establecer un regulador de IA específico, haciéndolo incluso antes de que el Reglamento de IA entrase formalmente en vigor en agosto de 2024.
AESIA depende del Ministerio de Asuntos Económicos y Transformación Digital, y su mandato abarca todos los sistemas de IA desplegados o comercializados en el mercado español — independientemente de que la empresa sea española, alemana o americana. Si funciona en España, AESIA puede inspeccionarlo.
Su portal oficial está en aesia.gob.es, donde publica guías, solicitudes de sandbox y comunicaciones de supervisión.
Por qué esto importa a tu negocio: AESIA no es un organismo de papel. Tiene autoridad de vigilancia del mercado, puede exigir documentación en 15 días hábiles, puede ordenar la suspensión de sistemas y puede imponer multas. El Reglamento de IA de la UE establece la escala de sanciones; AESIA las ejecuta a nivel nacional.
Qué Poderes Tiene Realmente AESIA
Muchas pymes españolas asumen que la regulación de IA es una preocupación lejana que solo afecta a las grandes tecnológicas. Ese supuesto es cada vez más incorrecto. El arsenal de supervisión de AESIA es sustancial:
Poderes de supervisión:
- Solicitar y revisar evaluaciones de conformidad, documentación técnica y registros de gestión de riesgos
- Encargar o realizar pruebas directas de sistemas de IA, incluido el acceso a los datos de entrenamiento
- Realizar seguimiento post-comercialización de incidentes de IA notificados en España
- Coordinar la aplicación transfronteriza con las autoridades de IA de la UE
Poderes correctivos y sancionadores:
- Emitir órdenes correctivas que obliguen a las empresas a adecuarse en un plazo determinado
- Suspender el acceso o el uso de un sistema de IA no conforme en España
- Ordenar la retirada del mercado de productos no conformes
- Imponer multas administrativas según los importes siguientes
- Derivar casos graves al Ministerio Fiscal para posible responsabilidad penal
Papel consultivo:
- Publicar documentos de orientación y notas interpretativas (varios ya publicados)
- Gestionar un sandbox regulatorio para productos de IA innovadores que quieran testarse bajo condiciones supervisadas antes del lanzamiento completo al mercado
La estructura de multas sigue el modelo de tres niveles del Reglamento de IA de la UE:
| Infracción | Multa Máxima | Límite por Facturación |
|---|---|---|
| Prácticas prohibidas (Art. 5) — puntuación social, manipulación subliminal, vigilancia biométrica en tiempo real | 35.000.000 EUR | 7% facturación global anual |
| Incumplimiento de IA de alto riesgo — documentación incompleta, sin evaluación de conformidad, no registrado en la base de datos de la UE | 15.000.000 EUR | 3% facturación global anual |
| Información engañosa facilitada a AESIA o a organismos notificados | 7.500.000 EUR | 1,5% facturación global anual |
Para las pymes, el reglamento exige explícitamente proporcionalidad — las infracciones de buena fe por primera vez tienen más probabilidades de recibir órdenes correctivas que multas máximas. Pero esa ventana de tratamiento de buena fe se estrecha una vez que pase el plazo de agosto de 2026.
El Calendario de Aplicación: Dónde Estamos Ahora Mismo
gantt
title Calendario de Aplicación del Reglamento IA de la UE (España / AESIA)
dateFormat YYYY-MM
axisFormat %b %Y
section Prácticas Prohibidas
Prácticas prohibidas Art. 5 EN VIGOR :crit, done, 2025-02, 2025-08
section Modelos GPAI
Obligaciones de transparencia GPAI :done, 2025-08, 2025-08
Código de Conducta GPAI publicado :done, 2025-10, 2025-10
section Alfabetización IA
Formación en alfabetización IA obligatoria :done, 2025-08, 2025-08
section IA de Alto Riesgo
Plazo cumplimiento total Anexo III :crit, 2026-08, 2026-08
Registro en base de datos UE :2026-08, 2026-08
Evaluación de conformidad obligatoria :2026-08, 2026-08
section Sistemas Heredados
Sistemas heredados Anexo I :2027-08, 2027-08
section AESIA Activa
AESIA aplicando la norma (España) :active, 2024-08, 2027-08Abril de 2026 — dónde te encuentras hoy:
- Las prácticas prohibidas (Artículo 5) son exigibles desde febrero de 2025. Si estás utilizando sistemas de puntuación social, manipulación subliminal de IA o vigilancia biométrica en tiempo real en espacios públicos sin una excepción legal, ya estás en infracción.
- La formación en alfabetización en IA para el personal que interactúa con sistemas de IA ha sido obligatoria desde agosto de 2025. Necesitas evidencia documentada de que los empleados relevantes la han recibido.
- El plazo del 2 de agosto de 2026 — cumplimiento total para los sistemas de IA de alto riesgo del Anexo III — está a 4 meses.
AESIA vs AEPD: Probablemente Estás Regulado por Ambas
Un punto crítico que la mayoría de las empresas pasa por alto: AESIA y la AEPD son reguladores separados con jurisdicción superpuesta siempre que los sistemas de IA traten datos personales — lo que hace la mayoría de los sistemas de IA.
| Dimensión | AESIA | AEPD |
|---|---|---|
| Base legal | Reglamento de IA de la UE (Reglamento 2024/1689) | RGPD + LOPDGDD |
| Foco | Seguridad del sistema de IA, clasificación de riesgos, supervisión humana, transparencia | Tratamiento de datos personales, derechos de los interesados, protección de la privacidad |
| Multas emitidas por | AESIA | AEPD |
AESIA y la AEPD han publicado una declaración conjunta confirmando que las inspecciones coordinadas serán el estándar en las investigaciones relacionadas con IA. Esto significa que un único despliegue de IA podría desencadenar investigaciones simultáneas de ambas agencias. El cumplimiento de una no satisface a la otra.
Para un análisis detallado de las obligaciones del RGPD que se aplican junto con los requisitos del Reglamento de IA de AESIA, consulta nuestra guía sobre convergencia RGPD e IA.
Lo Que las Pymes Españolas Deben Hacer Ahora — Un Plan de Acción Práctico
Los siguientes pasos están ordenados por urgencia. El primer grupo ya tiene retraso. El segundo grupo debe completarse antes del 2 de agosto de 2026.
Ya Con Retraso (Hacer Inmediatamente)
1. Realiza un inventario de IA. Haz una lista de todos los sistemas o herramientas de IA utilizados en tus operaciones, incluidas las herramientas SaaS con funciones de IA incorporadas (software de RRHH, CRM, chatbots, generadores de contenido). La mayoría de las empresas tienen entre 10 y 30 herramientas de este tipo y nunca las han catalogado.
2. Lleva a cabo una auditoría de prácticas prohibidas. Verifica que ninguno de tus casos de uso de IA caiga bajo el Artículo 5 del Reglamento de IA de la UE — puntuación social, manipulación subliminal, reconocimiento de emociones en entornos laborales (con excepciones limitadas) o identificación biométrica en tiempo real en espacios públicos sin base legal. Estas prácticas están prohibidas desde febrero de 2025.
3. Documenta la formación en alfabetización en IA. Si despliegas herramientas de IA y tu personal interactúa con ellas, eres un “desplegador” según el Reglamento de IA. Desde agosto de 2025, estás obligado a garantizar que el personal tenga la alfabetización en IA adecuada — comprendiendo las capacidades, limitaciones y riesgos del sistema. Un breve curso con un registro escrito de finalización cumple el estándar mínimo.
Antes del 2 de Agosto de 2026 (Plazo Crítico)
4. Clasifica cada sistema de IA por nivel de riesgo. Para cada sistema de tu inventario, determina si cae en las categorías de alto riesgo del Anexo III. Las categorías son: empleo y RRHH, crédito y evaluación financiera, educación, fuerzas de seguridad, identificación biométrica, infraestructura crítica, migración y control fronterizo, y justicia/procesos democráticos. AESIA ha publicado directrices de clasificación en su sitio web para ayudar con esta determinación.
5. Construye un paquete de cumplimiento para los sistemas de alto riesgo. Si tienes sistemas del Anexo III, necesitas: un sistema de gestión de riesgos documentado, documentación técnica según el Anexo IV, registros de gobernanza de datos, registro automático para la trazabilidad, controles de supervisión humana, resultados de pruebas de precisión y robustez, y un plan de seguimiento post-comercialización.
6. Registra los sistemas de alto riesgo en la base de datos de la UE. Cualquier sistema de IA de alto riesgo debe registrarse en la base de datos pública del Reglamento de IA de la UE antes del despliegue. Esto debe hacerse antes del plazo de agosto.
7. Completa una evaluación de conformidad. Para la mayoría de los sistemas del Anexo III, se permite la autoevaluación. Para los sistemas biométricos y cierta IA de infraestructura crítica, se requiere una evaluación por terceros por parte de un organismo notificado.
8. Prepara tu disposición para las inspecciones de AESIA. Si AESIA inicia una inspección, normalmente tendrás 15 días hábiles para producir tu documentación técnica. Realiza un ejercicio simulado: ¿puedes aportar tus registros de gestión de riesgos, la justificación de clasificación y la documentación de supervisión humana en ese plazo?
Para un desglose detallado del plazo de agosto y el plan de acción mes a mes, consulta nuestro post sobre el plazo del EU AI Act de agosto 2026.
Lo Que AESIA Ya Ha Publicado
A fecha de abril de 2026, AESIA ha publicado documentos de orientación sustanciales que las empresas españolas pueden y deben utilizar:
| Documento | Contenido Principal |
|---|---|
| Guía de Implementación del Reglamento IA para Operadores | Obligaciones de cumplimiento paso a paso por categoría de riesgo |
| Marco del Espacio Controlado de Pruebas | Proceso de solicitud y criterios de elegibilidad para pruebas supervisadas |
| Directrices de Clasificación de IA de Alto Riesgo | Clasificación práctica del Anexo III con ejemplos por sector |
| Estándares Mínimos de Formación en Alfabetización IA | Qué cuenta como formación suficiente para desplegadores |
| Declaración Conjunta AESIA-AEPD | Cómo funciona en la práctica el cumplimiento simultáneo del Reglamento IA + RGPD |
| Guía de Cumplimiento Rápido para Pymes | Vía simplificada para empresas de menos de 250 empleados |
Todos los documentos están disponibles en el portal oficial de AESIA. El idioma principal es el español; algunos materiales tienen traducciones al inglés.
El texto completo del Reglamento de IA de la UE está disponible directamente en EUR-Lex.
La Ventaja de Cumplimiento de la IA Local
Un riesgo de cumplimiento estructural que muchas empresas pasan por alto: cuando los sistemas de IA se ejecutan en infraestructura cloud de proveedores externos, el rastro de auditoría para la gobernanza de datos, el registro y la supervisión humana depende de las revelaciones de ese proveedor. AESIA puede y preguntará por tu cadena de gobernanza de datos.
Los despliegues de IA local — donde la inferencia se ejecuta en hardware dentro de tus instalaciones — son estructuralmente más sencillos de auditar. Controlas los registros, el flujo de datos, los controles de acceso y la infraestructura de monitorización. Cuando AESIA pide documentación, la produces directamente sin necesidad de coordinar con un proveedor cloud.
Esta es una razón por la que el modelo de IA en el Edge tiene una ventaja de cumplimiento, especialmente para las pymes que quieren desplegar IA en RRHH, procesamiento de documentos o flujos de trabajo orientados al cliente sin asumir una exposición regulatoria significativa.
Trabaja con VORLUX AI en el Cumplimiento AESIA
VORLUX AI presta servicios de cumplimiento AESIA como parte de cada proyecto de despliegue de IA. Nuestros servicios de cumplimiento para pymes españolas incluyen:
- Auditoría de Inventario de IA — Mapea todos los sistemas de IA en uso, clasifica cada uno por nivel de riesgo, identifica brechas
- Verificación de Prácticas Prohibidas (Art. 5) — Confirma que ningún caso de uso actual cae bajo prácticas prohibidas
- Informe de Clasificación Anexo III — Determinación escrita con razonamiento trazable a las directrices de AESIA
- Documentación Técnica — Redacción o revisión del paquete de documentación del Anexo IV
- Programa de Formación en Alfabetización IA — Diseño e impartición de formación que cumple los estándares mínimos de AESIA
- Cumplimiento Conjunto AESIA + AEPD — Un solo proyecto cubre ambos regímenes regulatorios
Toda la IA desplegada por VORLUX AI se ejecuta en hardware local — ningún dato sale de tus instalaciones. Esto reduce directamente tu carga de documentación con AESIA, tu exposición al RGPD y tu cadena de procesadores externos.
Paquetes disponibles:
- Análisis inicial de cumplimiento — inventario de IA, clasificación de riesgos, informe de brechas
- Paquete completo de cumplimiento — incluido en los proyectos de despliegue de Edge AI
- Retención de cumplimiento mensual — revisión anual, seguimiento de guías de AESIA, soporte en incidentes
Presupuesto a medida según el alcance del proyecto. Pídenos una evaluación gratuita para revisar tu caso.
Lecturas relacionadas
- AESIA: Qué Significa el Vigilante de IA de España para Tu Negocio
- IA Edge en Manufactura: Cómo las Fábricas Españolas Están Desplegando Inteligencia en Planta
- Tus Primeros 3 Agentes IA: Guía de Despliegue Local para PYMEs (2026)
Actúa Ahora — La Ventana Se Está Cerrando
AESIA está activa. El plazo de agosto de 2026 es real. Las sanciones son proporcionales pero sustanciales incluso para las pymes. Las empresas que tendrán un agosto de 2026 tranquilo son las que están haciendo el trabajo en abril, mayo y junio de 2026 — no en julio.
Empieza por tu inventario de IA. Si encuentras que estás utilizando herramientas de IA que nunca has catalogado, esa es tu primera señal de que se necesita trabajo de cumplimiento.
Contacta con VORLUX AI para una consulta de cumplimiento — revisaremos tu inventario de IA, clasificaremos tus sistemas e identificaremos tu exposición en un solo proyecto estructurado.
Explora nuestros servicios de cumplimiento y despliegue de IA — incluido el paquete de cumplimiento rápido para pymes y nuestros despliegues de Edge AI local para empresas españolas.
La regulación existe. Tu regulador está dotado de personal y en funcionamiento. La pregunta es si estás preparado.