AESIA: qué es y cómo le afecta

Q: ¿Qué es AESIA?

La Agencia Española de Supervisión de la Inteligencia Artificial. Su Estatuto se aprobó por el Real Decreto 729/2023, de 22 de agosto, tiene su sede en A Coruña y está adscrita a la Secretaría de Estado de Digitalización e Inteligencia Artificial. España fue pionera en Europa en crear una agencia estatal de supervisión de IA, antes de la entrada en vigor del Reglamento europeo.

Q: ¿Qué puede hacer AESIA a una empresa?

Supervisa y asesora sobre la normativa de IA, promueve entornos de prueba y ofrece un marco de certificación voluntaria. Inició la supervisión de las prácticas prohibidas el 2 de febrero de 2025 y asumió plena potestad sancionadora el 2 de agosto de 2025, conforme al calendario del Reglamento (UE) 2024/1689.

Q: ¿AESIA vigila toda la IA en España?

Es la autoridad por defecto, pero no la única. Según el sector, la vigilancia corresponde a otra autoridad: la Agencia Española de Protección de Datos en biometría, o el Banco de España, la CNMV y la DGSFP en finanzas, entre otras. El reparto definitivo lo fija la ley nacional de IA, en tramitación parlamentaria.

Cuando una empresa oye que Europa ha aprobado un reglamento de inteligencia artificial, la siguiente pregunta es natural: ¿y quién lo vigila aquí? En España la respuesta tiene nombre y sede. Se llama AESIA, y conviene saber qué es, qué puede pedirle y con qué herramientas trabaja —antes de que importe.

Qué es AESIA

AESIA es la Agencia Española de Supervisión de la Inteligencia Artificial. Su Estatuto se aprobó mediante el Real Decreto 729/2023, de 22 de agosto, y tiene su sede institucional en A Coruña (Fuente: BOE, Real Decreto 729/2023, BOE-A-2023-18911, 2023). Es una entidad de derecho público con personalidad jurídica y potestades administrativas propias, adscrita a la Secretaría de Estado de Digitalización e Inteligencia Artificial. Al crearla antes de la entrada en vigor del Reglamento europeo, España fue pionera en Europa en dotarse de una agencia estatal dedicada a supervisar la IA (Fuente: La Moncloa, 2024). Está operativa: en diciembre de 2025 su Consejo Rector designó director general a Alberto Gago Fernández (Fuente: AESIA, 2025).

Que exista una autoridad con nombre y sede cambia la conversación: vigilar la IA deja de ser una amenaza abstracta de "Bruselas" para convertirse en algo concreto que ya tiene quién lo mire.

Qué hace, y qué puede pedirle

Las competencias de AESIA, según su Estatuto, abarcan la supervisión y el asesoramiento sobre la normativa de IA, la promoción de entornos de prueba, un marco de certificación voluntaria, la evaluación de impacto y tendencias, la formación y la coordinación con otras autoridades (Fuente: BOE, Real Decreto 729/2023, BOE-A-2023-18911, 2023). En la práctica, dos fechas marcan cuándo empezó a tener filo: AESIA inició la supervisión de las prácticas prohibidas el 2 de febrero de 2025 y asumió plena potestad sancionadora el 2 de agosto de 2025, siguiendo el calendario del Reglamento europeo (Fuente: Reglamento (UE) 2024/1689, art. 113, EUR-Lex, 2024).

Lo que puede pedirle, llegado el caso, es lo previsible: que demuestre qué hace su sistema, en qué casilla de riesgo cae y con qué documentación lo sostiene. No castiga usar inteligencia artificial; pide poder acreditar que se gobierna. Qué tiene que hacer, en orden, para llegar preparado a esa pregunta lo recorremos en Cómo cumplir el reglamento de IA, paso a paso.

El entorno de pruebas (sandbox): ensayar antes de que sea exigible

AESIA no es solo un supervisor; también ofrece una palanca. España estableció un entorno controlado de pruebas —un sandbox, un espacio oficial donde ensayar el cumplimiento con acompañamiento del regulador— mediante el Real Decreto 817/2023, de 8 de noviembre, el primero de su tipo en la Unión Europea (Fuente: BOE, Real Decreto 817/2023, BOE-A-2023-22767, 2023). En su primera edición, de 44 solicitudes se seleccionaron 12 sistemas de alto riesgo, con participación reservada en parte a pymes y empresas emergentes (Fuente: La Moncloa, 2025). Para una empresa, el sandbox es un argumento para moverse antes y no después: validar la conformidad con supervisión oficial mientras todavía hay margen.

Las guías: documentación que no parte de cero

El resultado más útil de ese entorno de pruebas no es una lista de seleccionados, sino un material reutilizable. AESIA publicó en diciembre de 2025 un paquete de quince guías de apoyo al cumplimiento del Reglamento para sistemas de alto riesgo, con listas de comprobación sobre gestión de riesgos, gobernanza de datos, transparencia y ciberseguridad, entre otras (Fuente: AESIA, 2025). Son el estándar práctico nacional: cualquier empresa que prepare su documentación interna tiene ahí un molde oficial en lugar de una página en blanco.

No siempre es AESIA: el mapa por sectores

Conviene una precisión que evita errores: AESIA es la autoridad por defecto, pero no la única. Según el sector, la vigilancia recae en otra autoridad —la Agencia Española de Protección de Datos en biometría, o el Banco de España, la CNMV y la Dirección General de Seguros en finanzas, por ejemplo—. Ese reparto definitivo lo fija la ley nacional de IA que adapta el Reglamento europeo, hoy en tramitación parlamentaria (Fuente: MTDFP/SEDIA, 2025). Hasta su aprobación por las Cortes, conviene tratar el mapa de autoridades como sujeto a confirmación. Saber cuál le corresponde a usted forma parte del mismo ejercicio de orden que todo lo demás.

Qué hacer con esto

AESIA no debería leerse como una amenaza, sino como una señal de que el reloj ya corre con un reloj concreto detrás. La empresa que llega a una pregunta de la agencia con su inventario de sistemas, su clasificación de riesgo y su documentación al día no tiene una conversación difícil: tiene una respuesta. Esa base —la que le permite a la vez operar su IA, verla y defenderla— es la que convierte a la gobernanza en algo más que un trámite. Tenerla lista antes de que llamen es la única ventaja que de verdad se puede preparar.