Esta guía forma parte del recorrido completo de cumplimiento del EU AI Act para empresas, el punto de partida para CISOs.

La AESIA es la Agencia Española de Supervisión de la Inteligencia Artificial: el organismo público encargado de velar por un uso ético y seguro de la IA en España y de supervisar el cumplimiento del reglamento europeo de IA. Fue la primera agencia de este tipo en la Unión Europea, y eso dice algo de las intenciones del supervisor español.

Para un CISO, la pregunta no es institucional, es operativa: qué puede pedirme esta agencia, cuándo, y qué tengo que tener preparado. De eso va este artículo. La definición la encuentras en cualquier sitio; el plan de preparación, no.

Qué es la AESIA y de quién depende

La AESIA es un organismo público estatal adscrito al ámbito del Ministerio para la Transformación Digital, con sede en A Coruña. Su misión declarada: garantizar que el desarrollo y el uso de la inteligencia artificial en España, por entidades públicas y privadas, cumple la normativa y respeta los derechos fundamentales.

Sus líneas de actuación públicas incluyen la supervisión y el control del cumplimiento de la normativa nacional y europea de IA, la atención a la sociedad, la formación y el fomento de un desarrollo responsable. Traducido al idioma de un responsable de seguridad: es la autoridad que va a mirar tus sistemas de IA con el reglamento europeo en la mano.

AESIA y AEPD: quién supervisa qué

La confusión más habitual. Las dos autoridades conviven, pero miran cosas distintas:

AEPDAESIA
Qué supervisaEl tratamiento de datos personales (RGPD)El sistema de IA como tal (reglamento europeo)
Cuándo entraSiempre que haya datos personales de por medioSiempre que haya un sistema de IA
Terreno propioBiometría ligada a tratamientos de datosVigilancia de mercado de los sistemas del Anexo III

Como un sistema de IA casi siempre trata datos personales, lo normal es que el mismo sistema tenga que rendir cuentas ante dos supervisores distintos, con dos lenguajes distintos.

Qué competencias tiene: supervisión, inspección y sanción

La AESIA reúne tres potestades sobre los sistemas de IA:

  • Supervisión: vigila el cumplimiento de la normativa nacional y europea de IA.
  • Inspección: puede requerir información y examinar tus sistemas y su documentación.
  • Sanción: aplica el régimen de multas del marco europeo y del proyecto de ley español.

El reglamento europeo obliga a cada Estado a designar autoridades de vigilancia del mercado. En el reparto español, los sistemas de IA no ligados a legislación de producto, los del Anexo III que viven en cualquier empresa (empleo, educación, servicios esenciales), apuntan principalmente a la AESIA. El proyecto de ley español de gobernanza de la IA articula ese marco: autoridades designadas, potestades de supervisión y un régimen sancionador con infracciones muy graves, graves y leves.

Los topes de las multas los fija el propio reglamento europeo: hasta 35 millones de euros o el 7% de la facturación global anual para las infracciones más graves, las prácticas prohibidas del Artículo 5. No es teoría lejana: las prohibiciones y las obligaciones de transparencia ya son exigibles, como repasé en las fechas reales del EU AI Act tras el Omnibus. El aplazamiento previsto para las obligaciones de alto riesgo no afecta a la existencia del supervisor.

La AESIA opera además el sandbox regulatorio: el espacio controlado de pruebas que exige el reglamento, donde los sistemas innovadores, en particular los de alto riesgo, pueden probarse con acompañamiento del supervisor antes de salir al mercado. España fue pionera en pilotarlo. Si tu organización desarrolla IA de riesgo alto, es una puerta que conviene conocer antes de necesitarla.

A quién afecta (probablemente a ti)

La respuesta corta: a cualquier organización que use o despliegue sistemas de IA en España, con intensidad proporcional al riesgo de cada sistema. Las obligaciones gordas se concentran en los sistemas de IA de alto riesgo del Anexo III: el ATS que puntúa candidatos, el scoring crediticio, la biometría de acceso, la IA aplicada a formación. Si has leído ese artículo ya sabes que la clasificación tiene método, excepción documentable y una línea roja con el profiling.

Pero no hace falta tener alto riesgo para tener deberes. Las prohibiciones del Artículo 5 aplican a todos. Las obligaciones de transparencia, también. Y la pregunta de un supervisor nunca empieza por "enséñame tu sistema de alto riesgo", empieza por "demuéstrame que sabes qué sistemas tienes y cómo los has clasificado".

Cómo prepararte siendo CISO: los 5 pasos

La preparación ante la AESIA no es un proyecto nuevo: es el mismo trabajo que ya te pide el reglamento, con un destinatario concreto. Estos son los pasos, en orden.

Paso 1: ten el inventario de sistemas de IA al día

Es el primer documento que cualquier supervisor pide, y el que casi nadie tiene. Qué sistemas de IA usas, para qué, con qué datos, quién responde de cada uno. Si no existe, empieza por el inventario de sistemas de IA: se monta en un día y sostiene todo lo demás.

Paso 2: clasifica cada sistema por nivel de riesgo

Pasa cada sistema por el test del Artículo 6 y el Anexo III. La clasificación define qué obligaciones le debes a cada uno, y la evaluación que la justifica debe estar documentada, sobre todo si invocas la excepción del 6(3).

Paso 3: documenta las obligaciones vivas

Prohibiciones del Artículo 5, transparencia, obligaciones de los modelos de propósito general. Aplican ya. La evidencia que las soporta (políticas, registros, evaluaciones) es exactamente lo que un requerimiento te pediría. El recorrido completo lo tienes en la auditoría del EU AI Act paso a paso.

Paso 4: asigna el interlocutor con la autoridad

Si mañana llega un requerimiento, ¿quién lo responde? ¿Quién recopila la evidencia, quién firma, en qué plazo? Son tres preguntas que se contestan en una reunión de media hora hoy, o en una semana de pánico cuando lleguen con fecha límite. La diferencia es solo cuándo decides contestarlas.

Paso 5: valora el sandbox si vas a innovar

Si desarrollas sistemas de IA de riesgo alto, el espacio controlado de pruebas de la AESIA te permite probarlos con el supervisor al lado en vez de enfrente. Para una organización que va a convivir años con esta agencia, empezar la relación colaborando es una jugada estratégica, no un trámite.

Mi opinión como CISO

Trabajo en el sector nuclear, un sector con regulador propio, inspecciones periódicas y cultura de evidencia documental. Y si algo he aprendido conviviendo con un supervisor es esto: al regulador no le importa lo que haces, le importa lo que puedes demostrar que haces. La organización que trabaja bien pero no documenta suspende la inspección igual que la que no trabaja.

Por eso mi consejo con la AESIA es poco emocionante: no esperes a la primera inspección para descubrir cómo funciona la relación con una autoridad. El inventario, la clasificación documentada y el interlocutor designado son baratos de montar ahora y carísimos de improvisar bajo requerimiento. La agencia es nueva; tu oportunidad de llegar antes que ella a tu propia documentación, también.

Y una predicción modesta que me permito porque es tendencia, no profecía: los supervisores nuevos empiezan siempre por lo fácil, y lo fácil es pedir papeles. Las primeras interacciones de la AESIA con empresas normales no van a ser auditorías técnicas profundas de modelos: van a ser requerimientos de documentación. Que es justo lo que puedes dejar resuelto este trimestre.

Curso Ciberseguridad en Sistemas de IA para CISOs, por Enrique Maza

Curso · Ciberseguridad de la IA para CISOs

5 módulos disponibles ya: La IA como nuevo dominio de riesgo · Amenazas y vulnerabilidades · Gobernanza y cumplimiento (EU AI Act, NIST, ISO 42001) · Operación segura · Caso práctico integrador. 100% online, vídeos más manual completo y autoevaluación. Acceso durante un año. Diploma al finalizar.

Ver el curso

Para cerrar

La AESIA no cambia tus obligaciones: les pone cara, dirección postal y capacidad de sanción. Todo lo que te puede pedir ya te lo pedía el reglamento; la diferencia es que ahora hay alguien cuyo trabajo es comprobarlo. Eso convierte la documentación que llevas meses posponiendo en la primera línea de tu defensa.

Repasa los cinco pasos contra tu situación real: inventario, clasificación, evidencia de lo vivo, interlocutor y sandbox. Los que tengas en verde son tranquilidad; los que estén en blanco son tu lista de tareas antes de que la lista te la escriba un requerimiento.

Escribo sobre seguridad de la IA para CISOs

Si esto te ha resultado útil, suscríbete y recibe los próximos análisis en tu correo.

Suscribirme

Preguntas frecuentes

¿Qué es la AESIA?

La AESIA es la Agencia Española de Supervisión de la Inteligencia Artificial, el organismo público encargado de velar por el uso ético y seguro de la IA en España y de supervisar el cumplimiento de la normativa de IA, en particular el reglamento europeo. Fue la primera agencia de este tipo creada en la Unión Europea.

¿Qué diferencia hay entre la AESIA y la AEPD?

La AEPD protege los datos personales bajo el RGPD; la AESIA supervisa los sistemas de inteligencia artificial bajo el marco del reglamento europeo de IA. Se solapan cuando un sistema de IA trata datos personales: el tratamiento responde ante la AEPD y el sistema como tal ante la AESIA. Algunos ámbitos, como la biometría vinculada a tratamientos de datos, quedan bajo la autoridad de protección de datos.

¿Qué puede inspeccionar la AESIA en mi empresa?

Como autoridad de vigilancia del mercado, puede supervisar el cumplimiento de las obligaciones del reglamento europeo de IA: desde las prohibiciones y las obligaciones de transparencia hasta los requisitos de los sistemas de alto riesgo (gestión de riesgos, documentación técnica, supervisión humana, registros). En la práctica, puede requerirte la documentación que demuestra tu cumplimiento, incluida la evaluación que justifica cómo clasificaste cada sistema.

¿Qué sanciones prevé el marco de IA que aplica la AESIA?

El reglamento europeo fija el techo: hasta 35 millones de euros o el 7% de la facturación global anual para las infracciones más graves (las prácticas prohibidas del Artículo 5), con tramos menores para otras obligaciones. El marco español desarrolla un régimen de infracciones muy graves, graves y leves alineado con esos topes.

¿Qué es el sandbox de IA que opera la AESIA?

Es el espacio controlado de pruebas que exige el reglamento europeo: un entorno donde desarrollar y probar sistemas de IA innovadores, en particular de alto riesgo, con acompañamiento del supervisor y antes de su puesta en el mercado. España fue pionera en pilotarlo y su operación corresponde a la AESIA.

¿Mi empresa tiene que registrarse o notificar algo a la AESIA?

No existe un registro general de empresas ante la AESIA. Las obligaciones dependen del rol y del riesgo de cada sistema: los proveedores de sistemas de alto riesgo tienen obligaciones de registro en la base de datos de la UE, y quien invoca la excepción de clasificación debe documentarla y entregarla a la autoridad si la pide. Lo exigible es poder demostrar el cumplimiento cuando te lo requieran.

¿Qué me puede pedir la AESIA en un requerimiento?

La evidencia de cumplimiento: el inventario de sistemas, la clasificación de riesgo de cada uno con su justificación documentada, la documentación técnica de los sistemas de alto riesgo, las medidas de transparencia y supervisión humana, y las políticas internas de uso de IA. Lo que no esté escrito no existe a efectos de inspección.

¿Cómo me preparo como CISO ante la supervisión de la AESIA?

Cinco pasos: inventario de sistemas de IA al día, clasificación de riesgo documentada de cada sistema, evidencia de las obligaciones ya vivas (prohibiciones, transparencia, GPAI), un interlocutor designado para responder requerimientos y, si desarrollas IA de alto riesgo, valorar el sandbox. Es el mismo trabajo que pide el reglamento: la autoridad solo añade la fecha en la que tendrás que demostrarlo.

Fuentes