AESIA: cómo es una inspección a una PYME y qué documentación pide
La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) es la autoridad nacional competente para la supervisión y aplicación del Reglamento (UE) 2024/1689 en España, con sede en A Coruña y potestad inspectora y sancionadora sobre cualquier sujeto obligado, incluidas PYMES.
Qué es la AESIA y de qué se ocupa
AESIA es la agencia estatal creada por el Real Decreto 729/2023 con sede en A Coruña. Es la autoridad de vigilancia del mercado para el AI Act en España y coordina la aplicación del Reglamento con otras autoridades sectoriales (Banco de España, CNMC, AEPD, etc.) cuando un sistema de IA afecta a sus ámbitos de competencia.
Sus funciones incluyen la inspección, la imposición de medidas correctoras, la propuesta de sanciones, la promoción de sandboxes regulatorios y la atención a denuncias de personas afectadas o de terceros.
Cómo se inicia una inspección
Una actuación de la AESIA puede iniciarse de oficio (planes anuales de inspección, alertas de mercado), por denuncia de un afectado o un competidor, o por traslado de otra autoridad (AEPD, Inspección de Trabajo, autoridad sectorial).
El primer contacto suele ser un requerimiento escrito con un plazo (habitualmente entre 10 y 30 días hábiles) para aportar documentación. En casos más graves o cuando hay indicios de obstrucción, puede realizarse una visita presencial.
Qué documentación suele requerir
Inventario de sistemas de IA en uso, con proveedor, finalidad, categoría de riesgo y responsable interno. Política interna de uso de IA aprobada por la dirección. Registros de la formación del Artículo 4: plan, asistencia, evaluación y certificados. Cláusulas informativas entregadas a empleados, clientes y candidatos.
Para sistemas de alto riesgo, además: evaluación de impacto, documentación técnica del proveedor, registros de supervisión humana, logs del sistema, evaluación de sesgos y un procedimiento de gestión de incidentes con su correspondiente registro.
En el plano contractual: contratos con los proveedores de IA que trasladen las obligaciones aplicables, cláusulas de auditoría y compromisos sobre datos de entrenamiento y retención de logs.
Qué evalúa el inspector
Más allá de la existencia formal de documentos, el inspector valora la coherencia: que el inventario refleje la realidad operativa, que la formación corresponda a los sistemas que realmente se usan, que la política se aplique y que existan evidencias de supervisión humana efectiva sobre los sistemas de alto riesgo.
La diligencia previa y la cooperación se valoran como atenuantes a la hora de proponer sanción. La obstrucción o la entrega de información engañosa son, por contra, infracciones autónomas que agravan el cuadro sancionador.
Régimen sancionador aplicable
El Reglamento establece sanciones de hasta 35 millones de euros o el 7% del volumen de negocios global por infracciones de las prohibiciones del Artículo 5; hasta 15 millones o el 3% por otras obligaciones del Reglamento; y hasta 7,5 millones o el 1% por información incorrecta a autoridades.
Para PYMES y startups, el Reglamento prevé que se aplique el menor de los dos importes, lo que reduce significativamente el techo sancionador pero no exime del cumplimiento sustantivo.
Cómo prepararse en 30 días
Una PYME puede llegar a un estado razonable de defensa en aproximadamente un mes: semana 1, inventario y clasificación; semana 2, política interna y cláusulas informativas; semana 3, formación del Artículo 4 a toda la plantilla; semana 4, revisión contractual con proveedores y procedimiento de incidentes. Mantener vivos esos artefactos es lo que marca la diferencia ante una inspección real.