La AESIA acapara titulares. Cada vez que se habla de regulacion de IA en Espana, el nombre que aparece es el de la Agencia Espanola de Supervision de la Inteligencia Artificial. Es logico: es el organismo especifico del EU AI Act, el que mas prensa ha generado, el que tiene el poder sancionador mas llamativo.
Pero hay dos organismos mas que pueden llamar a tu puerta si usas IA en tu empresa. Y muchas organizaciones no lo saben hasta que lo tienen encima.
Esto no es teoria regulatoria. Los tres tienen competencia activa, capacidad sancionadora real y ya han actuado contra empresas en casos relacionados con tecnologia automatizada. La diferencia es que ahora la IA esta en casi todos los procesos de negocio, lo que amplia el perimetro de exposicion de forma significativa.
AESIA: el regulador de los sistemas de IA
La Agencia Espanola de Supervision de la Inteligencia Artificial es el organismo que Espana ha designado como autoridad nacional competente para la aplicacion del EU AI Act. Empezo a ser operativa en 2023, pero su poder sancionador completo no arranco hasta agosto de 2025.
Con aproximadamente 30 profesionales en plantilla, puede parecer pequena. Pero tiene capacidad para iniciar investigaciones, requerir documentacion, imponer medidas cautelares y aplicar sanciones. Y esa capacidad va a crecer: el presupuesto de la agencia esta en expansion y su equipo tambien.
Lo que vigila la AESIA es el cumplimiento del EU AI Act: si los sistemas de IA que usa tu empresa estan correctamente clasificados, si los de alto riesgo cumplen los requisitos de documentacion y transparencia, y si existe una gobernanza adecuada sobre el uso de la IA en la organizacion.
Un punto que poca gente conoce: la AESIA tambien supervisa el cumplimiento del Articulo 4, que exige que toda la plantilla que trabaje con sistemas de IA tenga un nivel de alfabetizacion suficiente. No es solo para las empresas que desarrollan IA. Es para cualquier empresa que la usa.
35M EUR
Sancion maxima del EU AI Act para los incumplimientos mas graves: 35 millones de euros o el 7% de la facturacion global anual, lo que sea mayor.
Para incumplimientos del Articulo 4 (alfabetizacion en IA), las sanciones son de hasta 7,5 millones de euros o el 1% de la facturacion global. Nada simbolico si tienes 30 o 50 millones de euros de ingresos anuales.
AEPD: entra si tus sistemas de IA procesan datos personales
La Agencia Espanola de Proteccion de Datos ya tenia jurisdiccion sobre las empresas antes de que existiera la AESIA. Y sigue teniendola. La cuestion es que ahora gran parte de los sistemas de IA que las empresas despliegan procesan datos personales, lo que pone automaticamente a la AEPD en juego.
Los casos tipicos no son exoticos. Un chatbot que interactua con clientes maneja datos personales. Un sistema de scoring que evalua solicitudes procesa datos de personas. Una herramienta de RRHH con IA que clasifica candidatos o evalua el rendimiento de empleados trabaja con datos especialmente sensibles. La videovigilancia inteligente en oficinas o tiendas captura datos biometricos.
En todos estos escenarios, ademas del EU AI Act, se aplica el RGPD. Y la AEPD tiene competencia para investigar y sancionar cualquier tratamiento de datos que no cumpla con las garantias exigidas.
Lo que hace particularmente importante este punto es el cruce normativo: si tu sistema de IA es de alto riesgo segun el EU AI Act y procesa datos personales, puedes recibir inspeccion de dos reguladores al mismo tiempo. La AESIA mirara el cumplimiento del AI Act. La AEPD mirara el tratamiento de datos. No son excluyentes.
Multas RGPD: hasta 20 millones de euros
Las infracciones graves del RGPD pueden suponer hasta 20 millones de euros o el 4% de la facturacion anual global, lo que sea mayor. La AEPD ya ha sancionado a empresas por uso de sistemas automatizados de toma de decisiones sin las garantias adecuadas.
El RGPD tiene requisitos especificos para la toma de decisiones automatizada que afectan a personas: derecho a explicacion, derecho a impugnacion y, en muchos casos, necesidad de evaluacion de impacto. Si tu IA toma o influye en decisiones sobre personas (clientes, empleados, candidatos) sin estas garantias, la AEPD puede actuar.
ITSS: la Inspeccion de Trabajo y la IA en RRHH
Este es el regulador que menos esperan las empresas. La Inspeccion de Trabajo y Seguridad Social tiene competencia sobre cualquier uso de IA que afecte a las relaciones laborales. Y ese perimetro es mas amplio de lo que parece.
Los casos concretos incluyen: algoritmos de seleccion de personal que filtran candidaturas, sistemas de evaluacion del rendimiento automatizados, herramientas de monitorizacion de empleados con IA, o cualquier proceso en el que una decision algorítmica afecte a las condiciones laborales de una persona.
La base legal es el articulo 22 bis del Estatuto de los Trabajadores, introducido por el Real Decreto-ley 9/2021. Establece que los trabajadores tienen derecho a conocer los parametros, criterios y reglas en que se basan los algoritmos o sistemas de IA que pueden afectar a sus condiciones de trabajo. No es un derecho teorico: los representantes de los trabajadores pueden exigir esa informacion formalmente.
Articulo 22 bis del Estatuto de los Trabajadores
"La empresa informara a los representantes de los trabajadores de los parametros, reglas e instrucciones en los que se basan los algoritmos o los sistemas de inteligencia artificial que afectan a la toma de decisiones que pueden incidir en las condiciones de trabajo, el acceso y mantenimiento del empleo, incluida la elaboracion de perfiles."
Real Decreto-ley 9/2021, articulo 22 bis ET.
La ITSS ya ha actuado contra empresas de plataformas digitales por la opacidad de los algoritmos que gestionan a repartidores y trabajadores de gig economy. Esos precedentes son relevantes: la jurisprudencia y la doctrina administrativa se estan extendiendo progresivamente a sectores mas convencionales.
Si tu empresa usa IA para tomar o apoyar decisiones sobre contratacion, evaluacion, promocion o desvinculacion de personas, la ITSS tiene competencia para inspeccionar si cumples con las obligaciones de transparencia algoritmica y con las garantias laborales aplicables.
El escenario del triple regulador
Pongamos un ejemplo concreto para que quede claro como funciona esto en la practica.
Una aseguradora usa un sistema de IA para evaluar solicitudes de seguro de salud. El sistema clasifica a los solicitantes, aplica criterios de riesgo y recomienda primas o rechazos. Hay personas del equipo de RRHH que antes hacian ese proceso manualmente y que ahora trabajan con la herramienta.
Primer frente: la AESIA. El sistema es probablemente de alto riesgo segun el Anexo III del EU AI Act (sistemas de IA usados para evaluar la solvencia o clasificar el riesgo de personas). Necesita documentacion tecnica, registro de conformidad, mecanismos de supervision humana y, por supuesto, que la plantilla que lo usa tenga la alfabetizacion en IA que exige el Articulo 4.
Segundo frente: la AEPD. El sistema procesa datos personales de los solicitantes, incluidos potencialmente datos de salud, que son categoria especial bajo el RGPD. Necesita evaluacion de impacto (EIPD), base legal robusta, garantias de no discriminacion y mecanismos para que los afectados puedan cuestionar las decisiones automatizadas.
Tercer frente: la ITSS. Los empleados que usaban el proceso anterior tienen derecho a conocer los parametros del algoritmo que ahora influye en su trabajo. Si el sistema afecta a como se evalua su rendimiento o si implica una restructuracion de sus funciones, la representacion sindical puede exigir informacion y la ITSS puede verificar el cumplimiento.
Tres inspecciones posibles, simultaneas, por el mismo sistema. No es un escenario hipotetico. Es el marco legal vigente aplicado a un caso completamente ordinario en el sector asegurador espanol.
El Articulo 4 como escudo
De todos los requisitos que los tres reguladores pueden exigir, hay uno que es transversal y que reduce la exposicion ante los tres frentes a la vez: el Articulo 4 del EU AI Act.
El Articulo 4 exige que todos los operadores de sistemas de IA garanticen un nivel suficiente de alfabetizacion en IA para su personal. Entro en vigor en febrero de 2025 y el plazo de cumplimiento efectivo es agosto de 2026. No se ha pospuesto. No ha cambiado.
Ante la AESIA, tener formacion documentada y certificada demuestra que la empresa toma en serio la gobernanza de la IA. Es el primer papel que pediran en una inspeccion.
Ante la AEPD, una plantilla formada en el uso responsable de IA y en proteccion de datos es evidencia de las medidas tecnicas y organizativas que exige el RGPD para demostrar responsabilidad proactiva.
Ante la ITSS, los empleados formados sobre los sistemas que usan y sus implicaciones estan en mejor posicion para cumplir con las obligaciones de transparencia algoritmica que establece el articulo 22 bis del ET.
Primera pregunta en cualquier inspeccion de IA
¿Tu empresa ya tiene documentado que sistemas de IA usa y quien los controla? Si la respuesta es no, ese es el primer riesgo que tienes que resolver. Sin ese inventario, ninguno de los tres reguladores puede recibir respuesta satisfactoria.
La formacion con FUNDAE cubre el 100% del coste para las empresas espanolas que tienen credito acumulado. No es opcional: es el paso mas concreto, mas visible y mas defensivo que puede dar una empresa ante los tres reguladores.
Si no sabes por donde empezar, el primer paso es siempre la formacion basica del equipo. Consultanos sin compromiso y te ayudamos a estructurar que necesita cada perfil.
Formacion EU AI Act · Articulo 4
Reduce tu exposicion ante los tres reguladores
Nuestro curso de Aplicacion Segura de IA en la Empresa cubre las exigencias del Articulo 4 y esta disenado para que tu equipo entienda los riesgos regulatorios reales. Bonificable al 100% con credito FUNDAE. Certificados por participante incluidos.
Ver Programa de Formacion →