AESIA en una hora: lo que un CEO de pyme tiene que entender de las 16 guías oficiales
Las 16 guías de la AESIA (Real Decreto 729/2023) explicadas en lenguaje claro para directivos de pymes. Plazos, sanciones reales para pymes y errores comunes a evitar.
Por qué tendrías que conocer la AESIA antes de agosto
España fue el primer país de la Unión Europea en crear una agencia específicamente dedicada a la supervisión de la inteligencia artificial. La AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) nació por el Real Decreto 729/2023, de 22 de agosto, publicado en el BOE el 2 de septiembre de 2023. Su sede definitiva, asignada por el Ayuntamiento, será el edificio “La Terraza” en los Jardines de Méndez Núñez de A Coruña; mientras finalizan las obras, la AESIA opera desde febrero de 2025 en una sede provisional en la Casa Veeduría del casco histórico.
A nadie de tu equipo le emociona leer un Real Decreto. Pero el 2 de agosto de 2026 entran en vigor las obligaciones de transparencia y supervisión humana del Reglamento Europeo de IA, y la AESIA es quien va a inspeccionar y sancionar.
Si tu pyme usa cualquier sistema con IA, esto te aplica. La buena noticia es que la AESIA publicó en diciembre de 2025 un conjunto de 16 guías oficiales que digieren el reglamento por ti. La mala es que la mayoría son técnicas y nadie las ha resumido bien para quien no lleva un equipo legal interno.
Eso vamos a hacer aquí. En una hora de lectura tendrás claro qué te aplica, qué no, y qué tienes que poner en marcha antes de agosto.
Las 16 guías de la AESIA, agrupadas por bloque
Las guías se publicaron en tres bloques: introductorio, técnico y de autoevaluación. Vienen acompañadas de un ZIP con checklists diagnósticas para doce áreas distintas.
Bloque 1: introductorio (guías 1-2)
| # | Guía | Qué resuelve |
|---|---|---|
| 1 | Guía introductoria al Reglamento de IA | Vista general: a quién aplica, niveles de riesgo, calendario |
| 2 | Guía práctica con ejemplos | Casos concretos para entender cómo encaja una empresa cualquiera |
Bloque 2: técnico (guías 3-15)
| # | Guía | Tema |
|---|---|---|
| 3 | Evaluación de conformidad | Cómo se valida que un sistema cumple |
| 4 | Sistema de gestión de la calidad | Procesos internos exigibles |
| 5 | Sistema de gestión de riesgos | Identificación y mitigación |
| 6 | Vigilancia humana | Supervisión humana exigida por el reglamento |
| 7 | Datos y gobernanza de datos | Cómo gestionar los datasets que alimentan tu IA |
| 8 | Transparencia | Qué información dar a usuarios y autoridades |
| 9 | Precisión | Métricas de exactitud aceptables |
| 10 | Solidez | Comportamiento del sistema ante errores |
| 11 | Ciberseguridad | Protección frente a ataques al modelo |
| 12 | Registros automáticos / logs | Qué registrar y durante cuánto tiempo |
| 13 | Plan de vigilancia poscomercialización | Monitorización tras el despliegue |
| 14 | Notificación de incidentes graves | Cuándo y cómo avisar a la AESIA |
| 15 | Documentación técnica | Qué papeles guardar |
Bloque 3: autoevaluación (guía 16)
| # | Guía | Para qué sirve |
|---|---|---|
| 16 | Manual de uso de las checklist | Aplicación práctica del ZIP de listas de comprobación |
Puedes consultar las guías completas en la página oficial de AESIA y la nota de prensa del Gobierno del 11 de diciembre de 2025 anunciando su publicación.
Lo que sí te aplica si eres pyme
El error más común es pensar que la AESIA solo afecta a tecnológicas o a grandes corporaciones. Es falso. El Reglamento Europeo de IA distingue cuatro niveles de riesgo, y todos pueden tocar a una pyme normal según el uso que haga:
- Riesgo inaceptable (prohibido): scoring social, manipulación subliminal, reconocimiento emocional en el puesto de trabajo, categorización biométrica para inferir orientación sexual, religión o raza. Si tu pyme hace algo de esto, hay que parar.
- Riesgo alto (Anexo III): cribado de currículums por IA, scoring crediticio, biometría de identificación, decisiones automatizadas que afecten a derechos. Aquí entran muchas pymes sin saberlo: por ejemplo, un sistema que filtra candidatos automáticamente.
- Riesgo limitado (transparencia): chatbots, deepfakes, contenido generado por IA. Obligación de etiquetar y avisar al usuario.
- Riesgo mínimo: filtros antispam, recomendadores básicos, videojuegos con IA. Sin obligaciones especiales.
Si despliegas o usas cualquier sistema de IA, lo primero es clasificarlo. Las guías 1, 2 y la guía 5 (gestión de riesgos) son tus primeras paradas. Si tu sistema cae en transparencia o alto riesgo, las obligaciones operativas empiezan a contar.
El calendario real, con un matiz que casi nadie cuenta
Esto es lo que tienes que tener en el calendario:
| Fecha | Qué entra en vigor |
|---|---|
| 2 febrero 2025 | Prácticas prohibidas (art. 5) y obligación de alfabetización del personal (art. 4) |
| 2 agosto 2025 | Sanciones, gobernanza y obligaciones para modelos GPAI |
| 2 agosto 2026 | Transparencia (art. 50) y mayoría de obligaciones de alto riesgo del Anexo III |
| 2 agosto 2027 | Sistemas de alto riesgo incluidos en productos ya regulados (Anexo I) |
El matiz: el 7 de mayo de 2026 Consejo y Parlamento Europeo alcanzaron un acuerdo político provisional conocido como Digital Omnibus que retrasa parte de las obligaciones de alto riesgo del Anexo III al 2 de diciembre de 2027 y los sistemas integrados en productos al 2 de agosto de 2028. Es un acuerdo provisional pendiente de adopción formal y publicación en el DOUE antes del 2 de agosto de 2026. Lo que sigue plenamente vigente para esa fecha son las obligaciones de transparencia del artículo 50 y la alfabetización en IA del artículo 4.
Resultado práctico para tu pyme: aunque parte del reglamento se relaja, lo que ya tenías que tener hecho (alfabetización del personal, etiquetar chatbots, marcar contenido generado por IA) sigue exigible en agosto. Para más contexto sobre las obligaciones de privacidad asociadas, hay un artículo previo sobre seguridad y privacidad de datos en IA para pymes.
Las multas, sin alarmismo: lo que de verdad te pueden cobrar
Los titulares hablan de 35 millones de euros. Eso es para grandes corporaciones que cometan prácticas prohibidas. Para una pyme las cifras son muy distintas, y hay un detalle que cambia todo.
El artículo 99 del Reglamento Europeo de IA fija tres tramos:
| Infracción | Tope para grande | Tope para grande (%) |
|---|---|---|
| Prácticas prohibidas (art. 5) | 35 M€ | o el 7% facturación mundial |
| Incumplimiento de obligaciones | 15 M€ | o el 3% facturación mundial |
| Información incierta a autoridades | 7,5 M€ | o el 1% facturación mundial |
Para grandes empresas se aplica la cantidad mayor entre el importe fijo y el porcentaje. Para pymes y startups, el reglamento exige que se aplique la cantidad menor, en proporción a su viabilidad económica.
Traducido a una pyme de 2 millones de euros de facturación: la multa máxima por la infracción más grave (prácticas prohibidas) es de 140.000 €, no 35 millones. Sigue siendo seria, pero no es ruina existencial.
El sandbox regulatorio: la oportunidad que tu pyme puede aprovechar
España regulaba ya en noviembre de 2023 el entorno controlado de pruebas (Real Decreto 817/2023), pero la activación operativa y la selección de los primeros participantes se anunciaron oficialmente el 3 de abril de 2025. El sandbox adelantó así dieciséis meses al plazo europeo de agosto de 2026. Es el primer sandbox de IA de la Unión Europea.
En la primera convocatoria fueron seleccionados 12 sistemas de IA de alto riesgo de empresas españolas, en seis sectores: servicios esenciales, biometría, empleo, infraestructuras críticas, máquinas industriales y productos sanitarios. Participaron Airbus Operations, Tucuvi, Bit&Brain, Imotion Analytics, Loradix RED y Made of Genes, entre otros.
Las 16 guías de la AESIA no son improvisadas: son el resultado directo del aprendizaje extraído del sandbox. Por eso son tan operativas en comparación con los reglamentos europeos al uso.
Para una pyme con un sistema de IA alto riesgo o potencialmente de alto riesgo, entrar en el sandbox es gratuito y proporciona acompañamiento técnico del propio regulador. La información de futuras convocatorias se publica en España Digital 2026.
Quién hace qué: AESIA, AEPD, CNMC
Otra confusión frecuente: la AESIA no sustituye a la AEPD. Conviven, y el reparto competencial es relevante:
- AESIA: supervisión general de sistemas IA, sandbox, sanciones del Reglamento de IA.
- AEPD: cualquier tratamiento de datos personales por IA. Biometría, sistemas prohibidos que afecten a datos personales, RGPD.
- CNMC: impacto sobre competencia y mercados.
- Banco de España: scoring crediticio.
- DGSFP: seguros.
- CGPJ: aplicación en justicia.
Si tu pyme usa un sistema de IA que procesa datos personales (casi todos lo hacen), aplican AESIA y AEPD a la vez. Las dos autoridades coordinan, pero las sanciones pueden venir de cualquiera.
Trampas comunes en el cumplimiento
Estos son los errores que conviene desmontar antes de tomar decisiones:
- “AESIA solo afecta a tecnológicas”. Falso. Cualquier pyme que use IA para selección de personal, atención al cliente automatizada, scoring o biometría está dentro.
- “Las multas son siempre 35 millones”. Falso para pymes: se aplica el porcentaje, que es la cantidad menor.
- “El reglamento entero entra el 2 de agosto de 2026”. Falso tras el Digital Omnibus. Buena parte del alto riesgo se aplaza a diciembre de 2027.
- “AESIA sustituye a la AEPD”. Falso. Si hay datos personales, también aplica RGPD y AEPD.
- “Las guías son opcionales”. Falso en la práctica. No son vinculantes, pero la AESIA las usa como referencia técnica al inspeccionar.
Plan mínimo para una pyme antes de agosto de 2026
Si solo tienes presupuesto para hacer cuatro cosas, hazlas en este orden:
- Inventario de sistemas de IA. Lista todos los sistemas que usen IA en tu empresa: incluye ChatGPT corporativo, asistentes de email, sistemas de RRHH, scoring automatizado, chatbots. Sin inventario no hay cumplimiento posible.
- Clasificación por riesgo. Para cada sistema, clasifícalo según las cuatro categorías (prohibido, alto, limitado, mínimo) usando la guía 2 de AESIA.
- Alfabetización en IA del personal (obligación ya en vigor desde febrero de 2025). Bastan sesiones internas con criterio. La guía 1 te indica el alcance esperado.
- Etiquetado de chatbots y contenido generado por IA. Cualquier conversación con IA debe avisar al usuario. Cualquier imagen, vídeo o texto generado debe llevar marca.
Con esos cuatro pasos tu pyme estará en línea con lo esencial del artículo 50 y el artículo 4 para agosto. Las obligaciones avanzadas de alto riesgo, en caso de que apliquen, se trabajan con las guías 3-15.
Si necesitas acompañamiento, en Utilia hacemos auditorías AI Act específicas para pymes españolas que combinan revisión técnica y mapa de cumplimiento. Si prefieres entender primero qué consultor te conviene, hay un post sobre cuándo necesitas consultoría en IA.
Preguntas frecuentes
Fuentes oficiales
¿Te ha resultado útil este artículo?
Descubre cómo podemos ayudarte a implementar estas soluciones en tu empresa
Artículos Relacionados
Agentes de IA para Pymes: Qué Son, Cómo Funcionan y Cómo Usarlos en 2026
Guía completa sobre agentes de IA para pymes. Descubre qué son, cómo se diferencian de los chatbots, herramientas como Claude, MCP, Operator y casos prácticos con ROI real para tu negocio.
Tendencias de IA para Pymes en 2026: Lo que Viene y Cómo Prepararte
Descubre las 7 tendencias de inteligencia artificial que dominarán 2026 para pymes: IA generativa, agentes autónomos, edge AI, personalización y más. Guía práctica con ejemplos y consejos.
Seguridad y Privacidad de Datos en IA para Pymes: Guía 2025
Aprende a proteger los datos de tu empresa al implementar IA. Guía práctica con 7 mejores prácticas, checklist de seguridad, marco legal RGPD/LOPD y casos reales de brechas.