La AESIA acapara titulares. Cada vez que se habla de regulación de IA en Espana, el nombre que aparece es el de la Agencia Espanola de Supervision de la Inteligencia Artificial. Es logico: es el organismo específico del EU AI Act, el que mas prensa ha generado, el que tiene el poder sanciónador mas llamativo.
Pero hay dos organismos mas que pueden llamar a tu puerta si usas IA en tu empresa. Y muchas organizaciones no lo saben hasta que lo tienen encima.
Los tres tienen competencia activa, capacidad sanciónadora real y ya han actuado contra empresas en casos relacionados con tecnologia automatizada. La diferencia es que ahora la IA esta en casi todos los procesos de negocio, lo que amplia el perimetro de exposicion de forma significativa.
AESIA: el regulador de los sistemas de IA
La Agencia Espanola de Supervision de la Inteligencia Artificial es el organismo que Espana ha designado como autoridad nacional competente para la aplicación del EU AI Act. Empezo a ser operativa en 2023, pero su poder sanciónador completo no arranco hasta agosto de 2025.
Con aproximadamente 30 profesionales en plantilla, puede parecer pequena. Pero tiene capacidad para iniciar investigaciones, requerir documentación, imponer medidas cautelares y aplicar sanciones. Y esa capacidad va a crecer: el presupuesto de la agencia esta en expansion y su equipo también.
Lo que vigila la AESIA es el cumplimiento del EU AI Act: si los sistemas de IA que usa tu empresa estan correctamente clasificados, si los de alto riesgo cumplen los requisitos de documentación y transparencia, y si existe una gobernanza adecuada sobre el uso de la IA en la organización.
Un punto que poca gente conoce: la AESIA también supervisa el cumplimiento del Artículo 4, que exige que toda la plantilla que trabaje con sistemas de IA tenga un nivel de alfabetizacion suficiente. No es solo para las empresas que desarrollan IA. Es para cualquier empresa que la usa.
35M EUR
Sanción maxima del EU AI Act para los incumplimientos mas graves: 35 millones de euros o el 7% de la facturación global anual, lo que sea mayor.
Para incumplimientos del Artículo 4 (alfabetizacion en IA), las sanciones son de hasta 7,5 millones de euros o el 1% de la facturación global. Nada simbolico si tienes 30 o 50 millones de euros de ingresos anuales.
AEPD: entra si tus sistemas de IA procesan datos personales
La Agencia Espanola de Proteccion de Datos ya tenia jurisdiccion sobre las empresas antes de que existiera la AESIA. Y sigue teniendola. La cuestión es que ahora gran parte de los sistemas de IA que las empresas despliegan procesan datos personales, lo que pone automáticamente a la AEPD en juego.
Los casos tipicos no son exoticos. Un chatbot que interactua con clientes maneja datos personales. Un sistema de scoring que evalua solicitudes procesa datos de personas. Una herramienta de RRHH con IA que clasifica candidatos o evalua el rendimiento de empleados trabaja con datos especialmente sensibles. La videovigilancia inteligente en oficinas o tiendas captura datos biometricos.
En todos estos escenarios, además del EU AI Act, se aplica el RGPD. Y la AEPD tiene competencia para investigar y sanciónar cualquier tratamiento de datos que no cumpla con las garantias exigidas.
Lo que hace particularmente importante este punto es el cruce normativo: si tu sistema de IA es de alto riesgo segun el EU AI Act y procesa datos personales, puedes recibir inspeccion de dos reguladores al mismo tiempo. La AESIA mirara el cumplimiento del AI Act. La AEPD mirara el tratamiento de datos. No son excluyentes.
Multas RGPD: hasta 20 millones de euros
Las infracciones graves del RGPD pueden suponer hasta 20 millones de euros o el 4% de la facturación anual global, lo que sea mayor. La AEPD ya ha sanciónado a empresas por uso de sistemas automatizados de toma de decisiones sin las garantias adecuadas.
El RGPD tiene requisitos específicos para la toma de decisiones automatizada que afectan a personas: derecho a explicación, derecho a impugnacion y, en muchos casos, necesidad de evaluación de impacto. Si tu IA toma o influye en decisiones sobre personas (clientes, empleados, candidatos) sin estas garantias, la AEPD puede actuar.
ITSS: la Inspeccion de Trabajo y la IA en RRHH
Este es el regulador que menos esperan las empresas. La Inspeccion de Trabajo y Seguridad Social tiene competencia sobre cualquier uso de IA que afecte a las relaciones laborales. Y ese perimetro es mas amplio de lo que parece.
Los casos concretos incluyen: algoritmos de seleccion de personal que filtran candidaturas, sistemas de evaluación del rendimiento automatizados, herramientas de monitorización de empleados con IA, o cualquier proceso en el que una decisión algorítmica afecte a las condiciones laborales de una persona.
La base legal es el artículo 22 bis del Estatuto de los Trabajadores, introducido por el Real Decreto-ley 9/2021. Establece que los trabajadores tienen derecho a conocer los parametros, criterios y reglas en que se basan los algoritmos o sistemas de IA que pueden afectar a sus condiciones de trabajo. No es un derecho teorico: los representantes de los trabajadores pueden exigir esa información formalmente.
Artículo 22 bis del Estatuto de los Trabajadores
"La empresa informara a los representantes de los trabajadores de los parametros, reglas e instrucciones en los que se basan los algoritmos o los sistemas de inteligencia artificial que afectan a la toma de decisiones que pueden incidir en las condiciones de trabajo, el acceso y mantenimiento del empleo, incluida la elaboracion de perfiles."
Real Decreto-ley 9/2021, artículo 22 bis ET.
La ITSS ya ha actuado contra empresas de plataformas digitales por la opacidad de los algoritmos que gestionan a repartidores y trabajadores de gig economy. Esos precedentes son relevantes: la jurisprudencia y la doctrina administrativa se estan extendiendo progresivamente a sectores mas convencionales.
Si tu empresa usa IA para tomar o apoyar decisiones sobre contratación, evaluación, promocion o desvinculacion de personas, la ITSS tiene competencia para inspeccionar si cumples con las obligaciones de transparencia algoritmica y con las garantias laborales aplicables.
El escenario del triple regulador
Pongamos un ejemplo concreto para que quede claro como funciona esto en la practica.
Una aseguradora usa un sistema de IA para evaluar solicitudes de seguro de salud. El sistema clasifica a los solicitantes, aplica criterios de riesgo y recomienda primas o rechazos. Hay personas del equipo de RRHH que antes hacian ese proceso manualmente y que ahora trabajan con la herramienta.
Primer frente: la AESIA. El sistema es probablemente de alto riesgo segun el Anexo III del EU AI Act (sistemas de IA usados para evaluar la solvencia o clasificar el riesgo de personas). Necesita documentación técnica, registro de conformidad, mecanismos de supervision humana y, por supuesto, que la plantilla que lo usa tenga la alfabetizacion en IA que exige el Artículo 4.
Segundo frente: la AEPD. El sistema procesa datos personales de los solicitantes, incluidos potencialmente datos de salud, que son categoría especial bajo el RGPD. Necesita evaluación de impacto (EIPD), base legal robusta, garantias de no discriminacion y mecanismos para que los afectados puedan cuestiónar las decisiones automatizadas.
Tercer frente: la ITSS. Los empleados que usaban el proceso anterior tienen derecho a conocer los parametros del algoritmo que ahora influye en su trabajo. Si el sistema afecta a como se evalua su rendimiento o si implica una restructuracion de sus funciones, la representacion sindical puede exigir información y la ITSS puede verificar el cumplimiento.
Tres inspecciones posibles, simultaneas, por el mismo sistema. No es un escenario hipotetico. Es el marco legal vigente aplicado a un caso completamente ordinario en el sector asegurador espanol.
El Artículo 4 como escudo
De todos los requisitos que los tres reguladores pueden exigir, hay uno que es transversal y que reduce la exposicion ante los tres frentes a la vez: el Artículo 4 del EU AI Act.
El Artículo 4 exige que todos los operadores de sistemas de IA garanticen un nivel suficiente de alfabetizacion en IA para su personal. Entro en vigor en febrero de 2025 y el plazo de cumplimiento efectivo es agosto de 2026. No se ha pospuesto. No ha cambiado.
Ante la AESIA, tener formación documentada y certificada demuestra que la empresa toma en serio la gobernanza de la IA. Es el primer papel que pediran en una inspeccion.
Ante la AEPD, una plantilla formada en el uso responsable de IA y en protección de datos es evidencia de las medidas técnicas y organizativas que exige el RGPD para demostrar responsabilidad proactiva.
Ante la ITSS, los empleados formados sobre los sistemas que usan y sus implicaciones estan en mejor posicion para cumplir con las obligaciones de transparencia algoritmica que establece el artículo 22 bis del ET.
Primera pregunta en cualquier inspeccion de IA
¿Tu empresa ya tiene documentado que sistemas de IA usa y quien los controla? Si la respuesta es no, ese es el primer riesgo que tienes que resolver. Sin ese inventario, ninguno de los tres reguladores puede recibir respuesta satisfactoria.
La formación con FUNDAE cubre el 100% del coste para las empresas espanolas que tienen crédito acumulado. No es opcional: es el paso mas concreto, mas visible y mas defensivo que puede dar una empresa ante los tres reguladores.
Si no sabes por donde empezar, el primer paso es siempre la formación basica del equipo. Consultanos sin compromiso y te ayudamos a estructurar que necesita cada perfil.
Formación EU AI Act · Artículo 4
Reduce tu exposicion ante los tres reguladores
Nuestro curso de Aplicación Segura de IA en la Empresa cubre las exigencias del Artículo 4 y esta disenado para que tu equipo entienda los riesgos regulatorios reales. Bonificable al 100% con crédito FUNDAE. Certificados por participante incluidos.
Ver Programa de Formación →Tu equipo necesita formacion en IA segura
El EU AI Act exige alfabetizacion IA para toda la plantilla desde agosto 2026. Nuestros cursos cubren compliance, agentes IA y gobernanza. FUNDAE puede subvencionar el 100% del coste.
