Una pregunta que aparece siempre en cuanto una empresa se toma en serio el AI Act: "vale, ¿y quién me va a supervisar exactamente?". La respuesta importa, porque saber ante quién se responde ordena la forma de prepararse. En España, la pieza central es la AESIA, pero no es la única autoridad implicada, y el reparto de competencias tiene lógica.
Qué es AESIA
La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) es la autoridad nacional creada por el Real Decreto 729/2023. Con ella, España se convirtió en el primer país de la Unión Europea con un organismo específico para supervisar la IA, adelantándose a la propia entrada en vigor del Reglamento. Está adscrita al Ministerio para la Transformación Digital y de la Función Pública, con sede en A Coruña y presencia en Madrid.
AESIA no es solo un supervisor sancionador. Su mandato combina control y facilitación: evaluar riesgos de sistemas de IA, emitir recomendaciones técnicas, coordinar con otras autoridades nacionales y europeas, gestionar el espacio controlado de pruebas (sandbox) y publicar guías de orientación. Esa doble cara —vigilar y ayudar a cumplir— es relevante para entender cómo actuará.
AESIA no está sola: el mapa de autoridades
Un error habitual es pensar que AESIA lo supervisa todo. El modelo español es más matizado, y el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la Inteligencia Artificial —publicado en el Boletín Oficial de las Cortes Generales el 12 de junio de 2026 y en tramitación parlamentaria— lo perfila así (su contenido puede variar durante el trámite):
- AESIA actúa como autoridad principal de vigilancia del mercado y punto de contacto único, y asume los sistemas no cubiertos por legislación de producto —empleo, biometría en ciertos usos, educación—.
- Los productos ya regulados por normativa sectorial (productos sanitarios, maquinaria, juguetes, vehículos) mantienen su autoridad de vigilancia del mercado sectorial. Una clínica con un producto sanitario con IA se relaciona, para ese sistema, con la autoridad de producto, no con AESIA.
- La AEPD conserva un papel decisivo en biometría, datos y fronteras.
- El CGPJ interviene en el ámbito de la justicia.
- Los supervisores financieros y de seguros mantienen sus competencias sectoriales.
Para una PYME, la consecuencia práctica es que la autoridad relevante depende del sistema concreto y de su ámbito. No hay una respuesta única.
Cómo será una actuación de vigilancia
Conviene desmitificar sin minimizar. Una actuación de vigilancia del mercado no es una redada. Es un procedimiento en el que la autoridad puede pedir información, realizar comprobaciones, exigir medidas correctoras y, según la gravedad, archivar de forma motivada o iniciar un expediente.
El proyecto de ley español contempla además una ventanilla única en AESIA para que cualquier persona —un empleado, un cliente, un afectado, un competidor— pueda comunicar posibles incumplimientos. Eso significa que la supervisión no dependerá solo de auditorías programadas, sino también de señales externas. Es un motivo más para tener la casa en orden: no controlas cuándo llega la señal.
Qué se pide realmente
Cuando una autoridad de vigilancia mira un sistema de IA, la pregunta de fondo es siempre la misma: ¿puedes explicar para qué usas este sistema, quién lo supervisa, qué riesgos genera y qué evidencia conservas? Traducido a documentación, lo que se revisa gira en torno a:
- El inventario de sistemas y su clasificación de riesgo.
- La política de uso de IA y la evidencia de formación del personal (Art.4).
- Las evaluaciones aplicables: DPIA cuando el RGPD la exige; para alto riesgo, la documentación de gobernanza y, en su momento, la FRIA.
- Los avisos de transparencia del Art.50 donde aplican.
- El registro de supervisión humana sobre las decisiones del sistema.
No es una lista de sellos. Es un cuerpo de evidencia trazable que demuestra diligencia.
El régimen sancionador, sin alarmismo
Sí, las sanciones existen y son elevadas. El AI Act establece tramos según la infracción: hasta el 7% del volumen de negocio mundial para las prácticas prohibidas del Art.5, hasta el 3% para el incumplimiento de otras obligaciones, y hasta el 1% por facilitar información incorrecta a las autoridades.
Pero conviene leer el enfoque con calma. El marco español que se está tramitando prioriza mecanismos de corrección sobre la penalización —medidas correctoras, reducciones por pronto pago— y contempla expresamente la consideración del tamaño de la empresa para proteger a pymes y startups. La lógica no es cazar a la PYME que se esfuerza; es corregir el incumplimiento. La empresa que puede mostrar diligencia documentada está, por definición, en el lado correcto de esa lógica.
Cómo prepararse
La preparación ante AESIA no es distinta de la buena gobernanza de IA en general. Es tenerlo hecho antes de que pregunten: inventario vivo, clasificación honesta, política y formación, evaluaciones donde toquen, transparencia implementada y evidencia conservada. Si eso está en su sitio, una actuación de vigilancia es un trámite, no una crisis.
Este artículo tiene carácter informativo y no constituye asesoramiento jurídico. El marco institucional español relativo a la IA está en desarrollo; verifica el estado de tramitación de la normativa aplicable.