AESIA y AEPD: quién supervisa la IA en España

Resumen en 3 frases: En España, la supervisión del AI Act se reparte principalmente entre AESIA (Agencia Española de Supervisión de la IA, creada en 2023 con sede en A Coruña) y AEPD (Agencia Española de Protección de Datos), con otros reguladores sectoriales interviniendo en dominios específicos. AESIA es la autoridad de referencia del AI Act como tal, mientras que AEPD actúa cuando los sistemas de IA procesan datos personales (lo habitual en empresas). Las dos agencias coordinan su actuación y las empresas españolas deben poder interactuar con ambas según el caso.

Última actualización: 17 de abril de 2026 · Autora: Ana María González · Directora de CiberAula · Licencia: CC BY-SA 4.0

Índice

Mapa de organismos: quién supervisa qué
AESIA — Agencia Española de Supervisión de la IA
AEPD — Agencia Española de Protección de Datos
Coordinación entre AESIA y AEPD
Reguladores sectoriales
Cómo preparar a tu empresa para una inspección
Preguntas frecuentes

1. Mapa de organismos: quién supervisa qué

Una empresa española que use IA tiene que tener en cuenta varios organismos según la naturaleza del uso. Esta tabla resume quién hace qué.

Ámbito	Organismo principal	Organismo complementario
Aplicación general del AI Act	AESIA	Oficina Europea de IA (UE)
Sistemas IA que procesan datos personales	AEPD	AESIA (coordinación)
IA en servicios financieros (credit scoring, trading, seguros)	Banco de España / CNMV / DGSFP	AEPD si hay datos personales
IA en prevención del blanqueo	SEPBLAC	AEPD
IA en dispositivos médicos o procesos sanitarios	Ministerio de Sanidad / AEMPS	AEPD
IA en competencia	CNMC	AEPD
IA en telecomunicaciones	CNMC	AEPD
IA en infraestructura crítica (energía, transporte)	Reguladores sectoriales específicos	AESIA
IA en educación o investigación pública	Ministerio de Ciencia y Universidades	AEPD

En la práctica para la PYME española media, los dos organismos con los que interactuarás son AESIA y AEPD. Los demás solo aplican si tu actividad cae en sus dominios.

2. AESIA — Agencia Española de Supervisión de la IA

Origen y base jurídica

AESIA fue creada por el Real Decreto 729/2023, de 22 de agosto, convirtiéndose en la primera agencia nacional de supervisión de IA de la Unión Europea. España se adelantó así a la entrada en vigor del AI Act, anticipando la figura de “autoridad nacional de mercado” que el reglamento europeo exigiría después a todos los Estados miembros.

Tiene personalidad jurídica propia, es organismo público dependiente del Ministerio de Transformación Digital y Función Pública, y su sede está en A Coruña.

Competencias principales

El RD 729/2023 y el AI Act atribuyen a AESIA las siguientes competencias:

Supervisión del mercado de IA. Vigila que los sistemas de IA comercializados o puestos en servicio en España cumplan el AI Act. Puede requerir información, realizar inspecciones y acceder a documentación técnica.

Registro de sistemas IA de alto riesgo. A partir de agosto de 2026, los sistemas de alto riesgo que se desplieguen en España deberán registrarse en una base de datos gestionada en coordinación con la Oficina Europea de IA. AESIA es el punto de entrada español.

Régimen sancionador. Instruye y resuelve expedientes sancionadores por infracciones del AI Act, con cuantías que pueden llegar a 35 millones de euros o al 7% de la facturación mundial en los casos más graves (prácticas prohibidas).

Sandbox regulatorio. Gestiona el espacio controlado de pruebas (regulatory sandbox) donde empresas innovadoras pueden probar sistemas IA emergentes bajo supervisión de la agencia, con reducción temporal de obligaciones a cambio de trazabilidad completa.

Elaboración de guías interpretativas. Publica criterios técnicos y jurídicos que aclaran cómo interpretar el AI Act en casos concretos. Las guías no son vinculantes jurídicamente, pero tienen peso práctico ante un procedimiento.

Representación internacional. Participa en las instancias europeas de coordinación (Junta Europea de IA) y en foros internacionales.

Cooperación con otras autoridades. Coordina con AEPD, CNMC, Banco de España, CNMV y otros reguladores sectoriales españoles, y con sus homólogos europeos.

Qué le puede pasar a tu empresa ante AESIA

Los escenarios en que una PYME española puede interactuar con AESIA son:

Denuncia de un tercero. Un empleado, cliente, ex-empleado o competidor denuncia un uso incorrecto de IA en la empresa (uso de sistema prohibido, falta de transparencia en chatbots, ausencia de formación, etc.).
Inspección proactiva. AESIA puede inspeccionar empresas por iniciativa propia, especialmente en sectores con uso intensivo de IA clasificable como alto riesgo (RRHH, financiero, sanitario, educativo).
Investigación derivada de un incidente. Un incidente con un sistema de IA (un despido recurrido, un error crediticio, un deepfake) puede desencadenar investigación.
Registro voluntario y consultas. La empresa puede acudir proactivamente a AESIA para consultas interpretativas o para participar en el sandbox regulatorio.

Datos de contacto y procedimiento

AESIA aún está consolidando su estructura operativa. La información oficial actualizada se publica en aesia.gob.es. Las comunicaciones formales se realizan preferentemente a través de la sede electrónica del Ministerio de Transformación Digital y Función Pública.

Para consultas ciudadanas no vinculantes, el buzón es info@aesia.gob.es.

3. AEPD — Agencia Española de Protección de Datos

Rol específico frente a la IA

AEPD no es un organismo nuevo. Lleva 30 años supervisando la protección de datos personales en España y es una de las autoridades de datos más activas de Europa. Su papel sobre IA parte de un principio: casi todos los sistemas de IA empresariales procesan datos personales en algún punto, lo que los sitúa simultáneamente bajo el AI Act y bajo el RGPD.

AEPD aplica tanto el Reglamento (UE) 2016/679 (RGPD) como la LOPDGDD 3/2018 (ley orgánica española que desarrolla el RGPD) y, desde el 2 de febrero de 2025, el AI Act en su intersección con datos personales.

Competencias de AEPD sobre sistemas de IA

Supervisión del cumplimiento RGPD en sistemas IA. Verifica que el tratamiento de datos personales mediante IA respete los principios del RGPD: licitud, limitación de finalidad, minimización, exactitud, limitación del plazo de conservación, integridad y confidencialidad.

Decisiones automatizadas (artículo 22 RGPD). Supervisa específicamente el derecho de toda persona a no ser objeto de decisiones basadas únicamente en tratamientos automatizados que produzcan efectos jurídicos en él o le afecten significativamente. Este artículo es especialmente relevante cuando se usa IA en selección de personal, evaluación crediticia, servicios a clientes.

Derechos de los afectados. Vela por que los titulares de los datos puedan ejercer sus derechos (acceso, rectificación, supresión, limitación, portabilidad, oposición y no ser sometido a decisiones automatizadas) también cuando los tratamientos se realizan mediante IA.

Evaluaciones de Impacto en Protección de Datos (EIPD/DPIA). Muchos sistemas de IA requieren EIPD obligatoria antes de su despliegue (artículo 35 RGPD). AEPD supervisa la calidad y rigor de estas evaluaciones.

Régimen sancionador RGPD. Las sanciones por infracciones del RGPD pueden llegar a 20 millones de euros o el 4% de la facturación anual mundial. En España, AEPD ha impuesto sanciones millonarias a empresas de todos los tamaños.

Documentos clave publicados por AEPD sobre IA

AEPD ha publicado una serie de guías que son referencia obligada para cualquier empresa que use IA:

Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial (2020, actualizado 2024).
10 malentendidos relacionados con la anonimización — muy relevante para IA generativa.
Requisitos para Auditorías de Tratamientos que incluyan IA — marco formal de auditoría.
Guía sobre el uso de cookies de terceros por sistemas de IA — especialmente relevante para chatbots y sistemas conversacionales en web.
Comunicaciones sobre redes neuronales artificiales, federated learning, modelos de IA generativa.

La mayoría están disponibles en aepd.es/guias.

Qué le puede pasar a tu empresa ante AEPD

AEPD es más activa que AESIA simplemente porque lleva 30 años operando y tiene recursos mucho mayores. Escenarios típicos:

Reclamación de un titular de datos por tratamiento incorrecto mediante IA (acceso no autorizado, decisión automatizada recurrida, error en datos que afecta a una decisión sobre él).
Comunicación obligatoria de brecha de seguridad cuando un sistema de IA expone datos personales (data breach en las 72 horas exigidas por RGPD).
Auditoría de oficio en sectores críticos.
Consultas previas para proyectos IA de alto riesgo antes del despliegue.

4. Coordinación entre AESIA y AEPD

Como casi todos los sistemas IA empresariales procesan datos personales, AESIA y AEPD tienen jurisdicciones que se solapan. Para evitar duplicidades y decisiones contradictorias, hay un mecanismo formal de coordinación entre ambas.

Principio general

Si el caso implica datos personales y el núcleo del problema es de protección de datos, AEPD lidera.
Si el caso implica obligaciones específicas del AI Act (alfabetización, transparencia de chatbots, sistemas prohibidos, conformidad de alto riesgo), AESIA lidera.
Si hay implicaciones mixtas, ambas intervienen coordinadamente y puede haber un único procedimiento o dos paralelos según el asunto.

Qué implica esto para tu empresa

La empresa debe preparar su documentación de cumplimiento pensando en que ambas agencias pueden requerírsela. Una documentación bien estructurada cumple los requisitos de los dos marcos legales simultáneamente, evitando duplicidades internas.

Por eso recomiendo:

Política interna única de uso de IA que cubra al mismo tiempo AI Act y RGPD.
Inventario único de sistemas IA con clasificación de riesgo AI Act + EIPD (Evaluación de Impacto en Protección de Datos) cuando aplique.
Plan formativo que cubra ambas normativas en su contenido.
Designación de un responsable único del cumplimiento (puede ser el DPO con competencias ampliadas a AI Act).

5. Reguladores sectoriales

Según el sector de actividad, otros reguladores pueden tener competencia sobre sistemas IA específicos.

Banco de España y CNMV

Supervisan la aplicación de IA en servicios financieros: credit scoring, análisis de solvencia, fraude, trading algorítmico, robo-advisors, seguros con pricing dinámico. Ambos organismos tienen guías propias sobre uso responsable de IA en su dominio y pueden inspeccionar sistemas de IA que afecten a la estabilidad financiera o a la protección del consumidor financiero.

SEPBLAC

Es el Servicio Ejecutivo de Prevención de Blanqueo de Capitales e Infracciones Monetarias. Cuando una empresa usa IA para cumplir obligaciones de prevención del blanqueo (análisis de clientes sospechosos, detección de operaciones anómalas), SEPBLAC es la autoridad competente sobre esos sistemas específicos.

AEMPS y Sanidad

La Agencia Española de Medicamentos y Productos Sanitarios supervisa sistemas IA integrados en dispositivos médicos, software de diagnóstico clínico o herramientas que influyen en decisiones sanitarias. A partir de agosto de 2027, todos estos sistemas se considerarán automáticamente de alto riesgo bajo el AI Act.

CNMC

La Comisión Nacional de los Mercados y la Competencia actúa cuando el uso de IA genera problemas de competencia (colusión algorítmica, precios predatorios automatizados, acuerdos tácitos mediante sistemas IA entre competidores) o en ámbitos específicos como telecomunicaciones.

Ministerio de Educación y universidades

Sistemas IA usados en enseñanza reglada (primaria, secundaria, universidad) tienen consideración específica. Desde agosto de 2026 quedarán clasificados como de alto riesgo si influyen en itinerarios del alumno.

6. Cómo preparar a tu empresa para una inspección

Una inspección de AESIA, AEPD o cualquier otra autoridad es manejable si la empresa ha hecho los deberes. Estos son los puntos que miran los inspectores.

Documentos que tiene que poder enseñar la empresa de inmediato

Inventario actualizado de sistemas IA usados por la empresa, con su clasificación de riesgo AI Act.
Política interna de uso de IA firmada por dirección y aceptada por cada empleado que usa IA.
Registros de formación de cumplimiento del artículo 4 para cada empleado afectado.
EIPD (Evaluación de Impacto en Protección de Datos) para los sistemas IA que traten datos personales a gran escala o con riesgo elevado.
Documentación técnica de los sistemas IA (manuales de uso, fichas técnicas del proveedor, información sobre entrenamiento y limitaciones).
Contratos con proveedores de IA con cláusulas sobre responsabilidad, anonimización, no-entrenamiento sobre datos, soporte regulatorio.
Designación formal del responsable del cumplimiento IA dentro de la empresa.
Registro de incidentes relacionados con IA si los hubo, con gestión documentada.
Registro de accesos y actividad de los sistemas IA (logging, mínimo los últimos 24 meses).
Plan de respuesta a incidentes específico para sistemas IA.

Cómo actuar durante una inspección

Colaboración plena. La mejor estrategia ante una inspección es la colaboración transparente. Ocultar información o dificultar la inspección agrava significativamente la posible sanción.

Respuesta en plazo. Si la autoridad da un plazo (típicamente entre 10 y 30 días para aportar documentación), cumplirlo es esencial. Si necesitas más tiempo, solicitar prórroga motivada.

Representación jurídica. Conviene que una inspección formal la atienda siempre un asesor legal especializado en AI Act o protección de datos, incluso en casos aparentemente simples. La redacción de las respuestas puede condicionar el desenlace.

No improvisar. Si el inspector pregunta algo que no sabes responder con seguridad, es mejor pedir un plazo para responder por escrito que improvisar. Las manifestaciones verbales pueden constar en acta.

Qué agrava y qué atenúa la sanción

La AESIA y la AEPD aplican criterios similares a la hora de graduar sanciones:

Agravan: intencionalidad, ausencia total de medidas, resistencia activa a la inspección, reincidencia, uso de sistemas IA prohibidos, víctimas vulnerables afectadas, daños económicos o personales constatados, ocultación de información.

Atenúan: diligencia preventiva (incluso imperfecta), colaboración plena, rectificación inmediata, comunicación voluntaria de incidentes, inversión en formación acreditada, tamaño pequeño de empresa con recursos limitados, primera infracción.

El criterio “diligencia preventiva” es clave y es precisamente lo que cubre el cumplimiento del artículo 4: una empresa que haya formado a su plantilla, tenga política firmada y haga inventario de sistemas IA parte desde una posición jurídicamente muy favorable incluso si hay un error concreto.

7. Preguntas frecuentes

¿Puedo tener una inspección de AESIA y AEPD a la vez?

Sí, y de hecho es lo más probable en sistemas IA que traten datos personales. Ambas agencias coordinan pero cada una mantiene su procedimiento propio.

¿Puedo hacer una consulta preventiva a AESIA antes de lanzar un sistema IA de alto riesgo?

Sí. AESIA acepta consultas interpretativas. No son vinculantes formalmente pero tienen mucho peso práctico. Para sistemas complejos se puede solicitar entrada al sandbox regulatorio.

¿Una sanción de AESIA puede acumularse con una de AEPD sobre los mismos hechos?

Depende. Si las infracciones imputadas son formalmente distintas (por ejemplo, incumplimiento del artículo 4 AI Act + vulneración del artículo 22 RGPD), se pueden acumular. Si el mismo hecho fuera imputable a ambas normativas, el principio non bis in idem impide la doble sanción, pero determinar esto suele exigir interpretación jurídica cuidadosa.

¿Dónde se publican las sanciones de AESIA?

AESIA aún está definiendo su política de publicación de sanciones. AEPD publica regularmente las suyas en su web (sección “Resoluciones”). Cabe esperar que AESIA siga un modelo similar para casos de interés general.

¿Hay plazo de prescripción para sancionar?

Sí. Para las infracciones muy graves del AI Act, 3 años desde que se cometieron. Para las graves, 2 años. Para las leves, 1 año. Para el RGPD, los plazos son equivalentes. Estos plazos se interrumpen con el inicio del procedimiento sancionador.

Si soy autónomo sin empleados, ¿me supervisan igualmente?

Sí, si utilizas IA para tu actividad profesional y procesas datos de terceros (clientes, proveedores, personas que contactan contigo). El tamaño reduce la probabilidad de inspección proactiva pero no cambia las obligaciones legales.

¿Hay tasas por las consultas a AESIA o AEPD?

Las consultas ciudadanas básicas y la presentación de denuncias son gratuitas. Determinados procedimientos como la entrada al sandbox pueden tener costes específicos asociados.

¿Puede una multinacional ser sancionada por AESIA por hechos ocurridos fuera de España?

Sí, en la medida en que los sistemas IA afecten a personas ubicadas en España o se comercialicen en el mercado español. El AI Act tiene alcance extraterritorial similar al RGPD.

Recursos relacionados

📘 El AI Act explicado para empresas españolas — guía general del reglamento.
📗 El artículo 4 en detalle — obligación de alfabetización.
✅ Checklist de cumplimiento AI Act — puntos accionables.
📋 Plantilla de política de uso de IA — modelo firmable.

Enlaces oficiales

Publicado bajo licencia CC BY-SA 4.0. Libre uso con atribución a CiberAula y enlace a www.ciberaula.com.