La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña, ha abierto ya 23 investigaciones preliminares a empresas españolas por el uso de sistemas de IA. La cifra, conocida a mayo de 2026, marca un cambio de fase: España pasa de «publicar guías» a fiscalizar de verdad. Y las multas del Reglamento Europeo de IA no esperan al 2 de agosto: tres obligaciones ya están en vigor y aplican a cualquier PYME que tenga un chatbot, use un ATS para filtrar CVs o despliegue ChatGPT con su equipo.
Si tu empresa factura menos de 10 M€, no te libras: las obligaciones son las mismas para una clínica de Valencia que para Inditex. Lo que cambia es la cifra máxima de la sanción. Esta es la guía operativa para llegar a agosto sin un expediente.
Qué es la AESIA y qué puede hacerte realmente
La AESIA es la autoridad nacional designada por el Gobierno para supervisar el cumplimiento del Reglamento Europeo de Inteligencia Artificial (AI Act) en España. Fue creada por Real Decreto en agosto de 2023, tiene sede en A Coruña, y desde 2025 cuenta con plenas competencias para:
- Abrir investigaciones de oficio o por denuncia.
- Solicitar documentación técnica, registros y evaluaciones de impacto.
- Imponer sanciones administrativas según el régimen del AI Act.
- Coordinar con la AEPD cuando hay tratamiento de datos personales.
- Operar el sandbox regulatorio para empresas que quieran probar sistemas de IA bajo supervisión.
La clave para una PYME es entender que AESIA y AEPD pueden inspeccionarte a la vez: si tu sistema de IA usa datos personales (CVs, historiales clínicos, datos de cliente), ambos organismos tienen jurisdicción. Las multas no son alternativas, son acumulables.
Las 23 investigaciones abiertas: lo que se sabe
La AESIA mantiene en reserva los nombres de las empresas investigadas mientras los expedientes están abiertos, como es habitual en procedimientos administrativos. Pero por las áreas que ha priorizado la agencia desde su puesta en funcionamiento y por las primeras guías publicadas (diciembre 2025), los focos de inspección son:
- Biometría aplicada a control de acceso y vigilancia en empresas y espacios públicos.
- Sistemas ATS y de selección de personal con filtrado automático de CVs.
- Scoring crediticio y evaluación de riesgo financiero automatizada.
- Plataformas educativas con calificación o evaluación asistida por IA.
- Sistemas usados en servicios públicos esenciales (sanidad, energía, transporte).
Las 23 investigaciones son preliminares: no hay sanción firme todavía. Pero el calendario juega en contra de las empresas inspeccionadas: a partir del 2 de agosto de 2026 entran en vigor los poderes plenos de ejecución de la Comisión Europea, y la AESIA podrá tramitar expedientes sancionadores con mayor agilidad.
Las 3 obligaciones que ya aplican (no esperan a agosto)
Este es el malentendido más extendido entre empresarios de PYME: piensan que «todavía no aplica nada» hasta el 2 de agosto. Es falso. Estas tres obligaciones están vigentes desde febrero de 2025 y la AESIA puede pedirte la documentación hoy mismo:
1. Formación del personal en IA (AI Literacy)
Si tu equipo usa ChatGPT, Claude, Gemini, Copilot, un CRM con IA o un chatbot, debes poder documentar que tienen formación adecuada. No vale «se lo enseñé yo en una reunión». Necesitas: registro de horas, contenido formativo y nivel de competencia exigido según el riesgo del sistema. Es la obligación más fácil de cumplir y la más fácil de inspeccionar.
2. Transparencia con el usuario en chatbots
Si tienes un chatbot en tu web, en WhatsApp Business o en cualquier canal de atención, debe identificarse como IA antes o al inicio de la conversación. Frases como «Hola, soy María, ¿en qué puedo ayudarte?» sin más son ya hoy una infracción. La fórmula correcta: «Hola, soy un asistente virtual con IA…». La multa por chatbot sin aviso puede llegar al 1% de tu facturación anual.
3. Política interna de uso de IA
Necesitas un documento escrito que recoja: qué herramientas IA están aprobadas en la empresa, qué datos pueden meterse en ellas (y cuáles no), quién supervisa, y qué hacer ante un incidente. Esto cubre el riesgo más común: un empleado pegando datos confidenciales de clientes en ChatGPT gratuito. Sin política, la responsabilidad cae íntegra en la empresa.
Los 5 sectores PYME en el punto de mira
El AI Act clasifica sistemas en cuatro niveles de riesgo: inaceptable (prohibido), alto, limitado, mínimo. La mayoría de PYMES operan sin saberlo en el nivel «alto riesgo». Estos son los cinco escenarios más comunes:
- Selección de personal con ATS automatizado — Factorial, Personio, Workday y similares con filtrado por IA de CVs. Sistema alto riesgo: obliga a documentación técnica, supervisión humana y evaluación de sesgos.
- Scoring de clientes para impago o crédito — modelos que decidan automáticamente si conceder financiación, fraccionar pago o aprobar pedidos.
- Sistemas educativos o de evaluación — academias, formaciones online, plataformas de e-learning con corrección o calificación automática.
- Biometría aplicada al acceso o control horario — reconocimiento facial en entrada de oficina, fichaje por huella con análisis de patrones.
- Diagnóstico o triaje médico asistido por IA — clínicas que usen software de apoyo al diagnóstico, lectura automatizada de pruebas, recomendación terapéutica.
Si te reconoces en cualquiera de estos cinco escenarios, no es opcional. Las obligaciones plenas de sistemas de alto riesgo entran el 2 de agosto de 2026.
Multas reales: cuánto puede costarle a tu PYME
El esquema del AI Act calcula las sanciones como el menor entre una cifra absoluta o un porcentaje de la facturación. Para una PYME que factura 500.000 € al año, el porcentaje siempre será inferior a las cifras absolutas:
| Tipo de infracción | Máximo absoluto | % facturación | Para PYME de 500 K€ |
|---|---|---|---|
| Uso de IA prohibida | 35 M € | 7% | 35.000 € |
| Incumplir obligaciones alto riesgo | 15 M € | 3% | 15.000 € |
| Chatbot sin disclosure IA | 7,5 M € | 1% | 5.000 € |
| Información falsa a la AESIA | 7,5 M € | 1% | 5.000 € |
Y aquí el detalle crítico que muchos despachos pasan por alto: las multas del AI Act son acumulables con las del RGPD. Si tu sistema de IA hace tratamiento ilícito de datos personales, te puede caer expediente AESIA y expediente AEPD por los mismos hechos, sumando ambas cuantías.
Plan 90 días: el orden correcto para llegar a agosto
Tres meses son suficientes si trabajas en el orden correcto. Lo más común es empezar por la política (papel) antes que por el inventario (realidad), y eso obliga a rehacerlo todo:
Mes 1 — Inventariar y clasificar
- Listar todas las herramientas que usan IA en la empresa (incluyendo ChatGPT en cuentas personales del equipo).
- Clasificar cada sistema por nivel de riesgo según el AI Act.
- Revisar contratos de proveedores: ¿declaran cumplimiento del AI Act?
- Confirmar que no hay usos prohibidos (reconocimiento emocional en trabajo, scoring social, manipulación subliminal).
Mes 2 — Documentar y comunicar
- Plan de formación del personal con registro firmado.
- Política interna de uso de IA (5-7 páginas, no más).
- Añadir aviso IA visible en chatbots y herramientas de cara al cliente.
- Notificación al equipo sobre qué datos pueden meterse en cada herramienta.
Mes 3 — Cerrar diagnóstico y procesos
- Para cada sistema de alto riesgo: documentar la supervisión humana.
- Procedimiento de revisión periódica (anual mínimo).
- Protocolo de respuesta a incidentes.
- Asignación nominal del responsable de cumplimiento IA.
El Sandbox AESIA y por qué la mayoría no debería entrar
La AESIA opera un sandbox regulatorio: un entorno donde una empresa puede probar un sistema de IA de alto riesgo bajo supervisión directa de la agencia, recibiendo orientación a cambio. Suena bien, pero no es para todo el mundo: las plazas son limitadas (12 empresas en la primera cohorte) y la dedicación interna requerida es alta.
Tiene sentido entrar si: estás desarrollando un producto nuevo basado en IA y quieres validar su clasificación antes de lanzarlo. No tiene sentido si: solo usas IA de terceros (ChatGPT, Claude, herramientas SaaS). En ese caso, basta con cumplir las obligaciones del operador, no las del proveedor.
Preguntas frecuentes sobre la AESIA y el AI Act
¿La AESIA puede inspeccionarme sin avisar?
Sí. Como cualquier autoridad administrativa, puede iniciar inspecciones de oficio. Lo habitual es un requerimiento documental previo, pero ante indicios de infracción puede realizar inspecciones presenciales.
Si uso solo ChatGPT, ¿soy «proveedor» de IA?
No. Eres operador (deployer). Tus obligaciones son menores que las del proveedor (OpenAI), pero existen: formación del equipo, política de uso, supervisión humana si lo aplicas a decisiones de alto riesgo.
¿Mi proveedor de software me protege si él incumple?
No. Las obligaciones del operador son independientes. Si tu ATS no cumple el AI Act, tú sigues teniendo la obligación de exigirlo y, en su defecto, dejar de usarlo o reportarlo. El incumplimiento del proveedor no te exime.
¿Las multas del AI Act sustituyen a las del RGPD?
No. Son acumulables. Una misma actuación puede generar dos expedientes paralelos: uno por AESIA (cumplimiento AI Act) y otro por AEPD (cumplimiento RGPD).
¿Existen ayudas públicas para adaptarme?
Sí, el Kit Digital y los programas de Red.es (Ministerio para la Transformación Digital) incluyen bonos para implantación de IA y ciberseguridad. La cuantía y categorías concretas varían por convocatoria; consulta acelerapyme.gob.es para la activa.
¿Y si mi PYME factura menos de 100.000 €?
El AI Act no establece umbrales de exención por facturación. Las obligaciones se aplican igual; lo que cambia es la cuantía máxima de la sanción (siempre el menor entre cifra absoluta y porcentaje).
Auditamos tu stack de IA y te decimos qué te aplica
En Automatizator hacemos auditorías de cumplimiento del AI Act enfocadas en PYMES españolas. En 30 días te entregamos: inventario clasificado, política interna lista, plan de formación y diagnóstico de sistemas de alto riesgo. Reserva una auditoría gratuita de 30 minutos y vemos qué necesitas antes del 2 de agosto.