Brochures

🇪🇸 España — AESIA y marco nacional de IA — Reference S1 (ES)

Zertia Team · 18 min read
Share

🇪🇸 España — AESIA y marco nacional de IA — Reference S1 (ES)

Slug ES: `spain-aesia` · URL: `zertia.ai/es/recursos/marcos-regulatorios/spain-aesia` · hreflang: EN → `/resources/regulatory-frameworks/spain-aesia`

Tipo: Stub (~1.000 palabras) · Estado: Borrador v1 · Última revisión regulatoria: mayo 2026

Recursos / Marcos regulatorios

España — AESIA y el marco nacional de IA

La primera agencia de supervisión de IA dedicada de Europa, el país que construyó el espacio controlado de pruebas antes de que existiera el Reglamento europeo, y el Estado miembro cuya ley nacional determina cómo se operacionaliza el Reglamento en territorio español

| Autoridad supervisora | Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) — creada por Real Decreto 729/2023, de 22 de agosto de 2023, con sede en A Coruña (Edificio La Terraza, con operaciones provisionales desde la Casa Veeduría desde el 14 de febrero de 2025; reforma de La Terraza prevista para 2027). Primera agencia nacional de supervisión de IA dedicada en Europa. |
| — | — |
| Liderazgo (mayo 2026) | Director General: Alberto Gago (designado el 19 de diciembre de 2025, en sustitución de Ignasi Belda, cuyo cese se publicó el 24 de diciembre de 2025). Presidenta de AESIA: Mayte Ledo, Secretaria de Estado de Digitalización e Inteligencia Artificial. Dependencia: Ministerio para la Transformación Digital y de la Función Pública, dirigido por el ministro Óscar López. |
| Instrumentos del marco nacional | Real Decreto 729/2023 (estatuto AESIA) · Real Decreto 817/2023 de 8 de noviembre de 2023 (entorno controlado de pruebas de IA, primero en la UE) · Anteproyecto de Ley para el Buen Uso y la Gobernanza de la IA (aprobado por Consejo de Ministros el 11 de marzo de 2025, tramitación urgente) · Estrategia Nacional de IA (ENIA) en el marco de la Agenda España Digital 2026 · Carta de Derechos Digitales · Plan Nacional de Algoritmos Verdes |
| Articulación con el Reglamento de IA de la UE | España es el primer Estado miembro con un organismo de supervisión de IA dedicado y operativo. El Anteproyecto designa a AESIA como autoridad principal de vigilancia del mercado para la mayoría de prácticas prohibidas y sistemas de alto riesgo del Anexo III, junto con AEPD, Banco de España, CNMV, Consejo General del Poder Judicial y Junta Electoral Central como autoridades sectoriales de vigilancia del mercado. |
| Régimen sancionador | Sanciones administrativas de hasta 35 millones de euros o 7% del volumen de negocios mundial para infracciones muy graves (prácticas prohibidas), 15 millones o 3% para graves, 7,5 millones o 1% para leves — alineado con el artículo 99 del Reglamento. Las medidas cautelares incluyen la retirada cautelar del producto y la desconexión o prohibición del sistema de IA. |
| Estado (mayo 2026) | AESIA operativa desde febrero de 2025. Anteproyecto en fase legislativa avanzada, tramitación urgente, audiencia pública completada el 26 de marzo de 2025, Dictamen 3/2026 del CES publicado en abril de 2026 avalando el anteproyecto. Aprobación final y entrada en vigor esperadas en la ventana legislativa de 2026. |

Identidad regulatoria

La narrativa dominante lee el marco español de IA como una transposición directa del Reglamento de IA de la UE — un Estado miembro implementando derecho supranacional. La lectura captura la superficie y se pierde la elección institucional.

España construyó AESIA antes de que el Reglamento europeo se hubiera finalizado. El Real Decreto que aprueba el estatuto de la agencia es de agosto de 2023; el espacio controlado de pruebas del Real Decreto 817/2023 estaba operativo desde noviembre de 2023; el Reglamento de IA de la UE solo se publicó en junio de 2024. España no esperó al derecho de la Unión. Construyó primero la infraestructura supervisora, anticipándose a la regulación en lugar de implementarla, y esa secuencia es el rasgo estructural distintivo del marco español.

El problema conceptual que la mayoría de los análisis no captura es que AESIA no es un vehículo de transposición. Es un instrumento de política construido antes de que la política existiera, lo que significa que tiene dependencia de trayectoria institucional: el personal contratado, la metodología desarrollada, las cohortes del sandbox procesadas, la coordinación internacional establecida (con AEPD, con la Oficina Europea de IA, con autoridades de otros Estados miembros) son anteriores al Reglamento que AESIA ahora operacionaliza. Esto es estructuralmente distinto de un Estado miembro que designa a su autoridad de protección de datos como competente para el Reglamento de IA en 2026.

La segunda corrección narrativa es sobre el sandbox. El Real Decreto 817/2023 se describe consistentemente como la implementación española de las obligaciones de sandbox del Reglamento de IA. No lo es. El Real Decreto se publicó nueve meses antes que el Reglamento, en colaboración con la Comisión Europea, como el piloto operativo de lo que se convertirían en los artículos 57–58 del Reglamento. Las lecciones aprendidas de las cohortes del sandbox español dieron forma a cómo la Comisión redactó las disposiciones finales sobre espacios controlados de pruebas. El sandbox español es el prototipo, no la implementación.

El tercer rasgo estructural es la arquitectura multiautoridad de aplicación diseñada en el Anteproyecto. AESIA no es el regulador único de IA. El Anteproyecto designa a AESIA como autoridad principal de vigilancia del mercado para la mayoría de prácticas prohibidas y la mayoría de sistemas de alto riesgo del Anexo III, junto con AEPD para IA que implique tratamiento de datos personales, Banco de España para IA en solvencia y calificación crediticia, CNMV para IA en mercados de capitales, Consejo General del Poder Judicial para IA en administración de justicia, y Junta Electoral Central para IA que afecte a procesos electorales. Esto se acerca estructuralmente más al marco coordinado SIA brasileño que al modelo centralizado de regulador único. AESIA puede asistir a otras autoridades mediante convenios de colaboración (artículo 9 del Anteproyecto), creando capacidad de coordinación sin subordinación.

Lo que el marco español es en realidad, entonces, es la primera implementación operativa de la supervisión supranacional de IA en Europa, construida adelantándose al Reglamento, estructurada como federalismo multiautoridad, y posicionada como la plantilla institucional que otros Estados miembros observan mientras sus propias arquitecturas de supervisión de IA toman forma.

Ámbito subjetivo y objetivo

El Anteproyecto de Ley para el Buen Uso y la Gobernanza de la IA se aplica a personas jurídicas y entidades del sector público que actúen como operadores de sistemas de IA introducidos, puestos en servicio, comercializados o en pruebas en condiciones reales en territorio español. El ámbito refleja el artículo 2 del Reglamento de IA de la UE: alcance extraterritorial para operadores extranjeros cuyas salidas de sistemas de IA se usen en España.

El Anteproyecto es puramente un régimen sancionador construido sobre el Reglamento de IA de la UE directamente aplicable. No crea obligaciones sustantivas de IA; designa autoridades competentes, clasifica infracciones, fija horquillas de sanciones, regula el procedimiento y articula la gobernanza nacional de IA de España con la arquitectura de vigilancia del mercado del Reglamento.

El Real Decreto 817/2023 (el sandbox) tiene un ámbito más estrecho: proveedores y usuarios de IA (personas jurídicas privadas, administraciones públicas y entidades del sector público) probando sistemas de IA de alto riesgo, IA de propósito general o modelos fundacionales, con participantes extranjeros obligados a tener establecimiento permanente en España o ser parte de una agrupación domiciliada en España. El Anexo II del Real Decreto lista las áreas de alto riesgo en alcance. Los sistemas militares, de defensa y seguridad nacional están excluidos del sandbox.

Obligaciones principales y arquitectura de aplicación

El Anteproyecto estructura la aplicación en cuatro capas.

Artículo 6 — Autoridades de vigilancia del mercado. AESIA es designada como autoridad principal de vigilancia del mercado para la mayoría de prácticas prohibidas (artículo 5 del Reglamento) y la mayoría de sistemas de alto riesgo del Anexo III, más las obligaciones de transparencia de determinados sistemas. AEPD y autoridades autonómicas de protección de datos tienen competencia de vigilancia sobre prácticas prohibidas y sistemas de alto riesgo que impliquen datos personales. Banco de España y CNMV cubren IA en solvencia y calificación crediticia. El Consejo General del Poder Judicial supervisa IA en administración de justicia. La Junta Electoral Central supervisa IA que afecte a procesos electorales.

Artículo 9 — Marco de colaboración. AESIA puede asistir a otras autoridades de vigilancia del mercado mediante convenios de colaboración, proporcionando capacidad técnica, investigaciones conjuntas y metodología compartida en la arquitectura multiautoridad.

Artículo 10 — Prácticas prohibidas. El Anteproyecto operacionaliza las prohibiciones del artículo 5 del Reglamento en derecho administrativo español: técnicas subliminales de manipulación que causen perjuicio significativo, explotación de vulnerabilidades (edad, discapacidad, situación socioeconómica), puntuación social, scraping no selectivo para bases biométricas, reconocimiento de emociones en contextos laborales y educativos, categorización biométrica por características protegidas, identificación biométrica remota en tiempo real en espacios de acceso público con excepciones definidas de forma estricta.

Régimen sancionador alineado con el artículo 99 del Reglamento. Infracciones muy graves: 7,5–35 M€ o 2–7% del volumen de negocios mundial. Infracciones graves: hasta 15 M€ o 3%. Infracciones leves: hasta 7,5 M€ o 1%. Ejemplos de infracciones muy graves incluyen no comunicar un incidente grave (muerte de una persona, daño que comprometa una infraestructura crítica, daño al medio ambiente) o incumplir las órdenes de una autoridad de vigilancia del mercado. Las medidas cautelares incluyen la retirada cautelar del producto y la desconexión o prohibición del sistema de IA durante el procedimiento.

El procedimiento sancionador puede iniciarse mediante un buzón o canal de denuncia gestionado por AESIA, operacionalizando el artículo 85 del Reglamento sobre derecho de denuncia.

Calendario y estado actual

22 de agosto de 2023 — El Real Decreto 729/2023 aprueba el estatuto de AESIA.
8 de noviembre de 2023 — El Real Decreto 817/2023 establece el sandbox regulatorio de IA (vigencia de 36 meses, hasta que el Reglamento sea aplicable en España).
12 de junio de 2024 — Ignasi Belda designado Director General de AESIA.
14 de febrero de 2025 — AESIA inicia actividad presencial en la Casa Veeduría, A Coruña (sede provisional durante la reforma de La Terraza).
11 de marzo de 2025 — El Consejo de Ministros aprueba el Anteproyecto de Ley para el Buen Uso y la Gobernanza de la IA; tramitación urgente iniciada.
18–26 de marzo de 2025 — Audiencia pública del Anteproyecto.
19 de diciembre de 2025 — Alberto Gago designado nuevo Director General de AESIA; cese de Ignasi Belda publicado el 24 de diciembre de 2025.
Abril de 2026 — Dictamen 3/2026 del Consejo Económico y Social avala el Anteproyecto, pidiendo reforzar el diálogo social.
Esperado 2026 — Aprobación final del Anteproyecto por el Consejo de Ministros, tramitación parlamentaria, entrada en vigor.

El sandbox español del Real Decreto 817/2023 ha estado operativo desde noviembre de 2023 con cohortes sucesivas. Las lecciones aprendidas alimentan las guías de la Comisión Europea sobre espacios controlados de pruebas de los artículos 57–58 del Reglamento.

Intersecciones con otros regímenes

Reglamento de IA de la UE. El marco español está diseñado como la operacionalización nacional del Reglamento. El artículo 6 del Anteproyecto designa las autoridades de vigilancia del mercado requeridas por el artículo 70 del Reglamento. El régimen sancionador refleja el artículo 99. El sandbox del Real Decreto 817/2023 se anticipa y alimenta los artículos 57–58.

RGPD. La AEPD conserva competencia sobre IA que procesa datos personales. AESIA coordina con AEPD sobre prácticas prohibidas y sistemas de alto riesgo que impliquen datos personales. La arquitectura nacional de IA de España preserva la estructura de aplicación del RGPD a la vez que añade la capa supervisora específica de IA.

Regulación sectorial. Banco de España, CNMV y otros reguladores sectoriales conservan competencia vertical dentro de sus dominios, articulada con la competencia horizontal de IA de AESIA mediante el marco multiautoridad.

Convenio Marco del Consejo de Europa sobre IA. España participa activamente en la implementación del Convenio y está entre los Estados miembros de la UE preparando la ratificación. Las obligaciones del Convenio se articulan con el marco nacional a través de la competencia de la UE sobre asuntos de IA.

ISO/IEC 42001 y estándares internacionales. AENOR (organismo nacional de normalización de España) participa activamente en ISO/IEC JTC 1/SC 42. ENAC acredita organismos de certificación para ISO/IEC 42001 en España. El marco sancionador propuesto por AESIA reconoce los sistemas de gestión certificados como evidencia de cumplimiento, en línea con la articulación del Reglamento entre normas armonizadas y presunción de conformidad.

> ## ⚖️ Cómo opera Zertia frente al marco regulatorio español de IA
>

>
>

> ### Built for Spanish AI compliance from day one
>

>
>

> Acreditaciones y membresías: 🎖️ Acreditada por ANAB (EE.UU.) · 🎖️ Proceso UKAS (Reino Unido) · 🎖️ Proceso ENAC (UE) · 🏛️ Miembro IAPP · 🏛️ Miembro INCITS · 🏛️ Miembro UKAI · 📜 Firmante EU AI Pact
>

>
>

> Zertia es una entidad de certificación de sistemas de gestión de IA acreditada por ANAB con oficinas en Boston, Madrid y Londres. Proceso de acreditación ENAC activo en España, posicionando a Zertia para emitir certificados ISO/IEC 42001 alineados con AESIA bajo el marco de acreditación español. La arquitectura multiautoridad de aplicación de España — AESIA como principal, AEPD para datos personales, Banco de España y CNMV para finanzas, reguladores sectoriales para dominios específicos — hace que la certificación integrada de sistema de gestión sea operativamente valiosa para las organizaciones españolas.
>

>
>

> Certificación — ISO/IEC 42001, AIUC-1, ISO/IEC 27001, ISO/IEC 27701, ISO/IEC 22301. La certificación acreditada ISO/IEC 42001 es el esqueleto operativo para el cumplimiento del marco sancionador español una vez aprobado, proporcionando posicionamiento de presunción de conformidad para las obligaciones del artículo 17 del Reglamento sobre sistema de gestión de la calidad aplicadas por AESIA. La integración ISO/IEC 27701 + ISO/IEC 42001 es particularmente relevante para sistemas de IA que tratan datos personales sujetos a la doble supervisión AESIA / AEPD.
>

>
>

> Marcos y Regulación — Evaluación de Conformidad EU AI Act, Atestación NIST AI RMF, Evaluación de Riesgos ISO/IEC 23894, Evaluación de Impacto Algorítmico, Evaluación Pre-Certificación. Evaluaciones Pre-Certificación estructuradas para satisfacer las expectativas documentales de AESIA bajo el marco sancionador español, con atención a la articulación multiautoridad (datos personales AEPD, reguladores sectoriales) y participación en el sandbox del Real Decreto 817/2023 cuando aplique.
>

>
>

> Auditoría — Auditoría de Sistema de Gestión de IA, Auditoría de Sistemas de IA de Alto Riesgo, Auditoría de Modelo de IA, Auditoría EU AI Act, Auditoría de Riesgo IA NIST. Auditorías independientes estructuradas para proporcionar evidencia de aseguramiento portable a través de la arquitectura regulatoria española y de las obligaciones paralelas de otros Estados miembros de la UE.
>

>
>

> Formación — Gobernanza de IA, Gobernanza de Datos, Gobernanza de Privacidad a través de Zertia Academy. Programas en español que tratan el marco AESIA explícitamente, incluyendo la arquitectura multiautoridad, el sandbox del Real Decreto 817/2023, el Anteproyecto de Ley para el Buen Uso y la Gobernanza de la IA, y la integración con el Reglamento de IA de la UE y ISO/IEC 42001 para multinacionales españolas.
>

>
>

> Zertia opera desde Boston, Madrid y Londres, con acreditación ANAB en Estados Unidos y procesos de acreditación activos con UKAS y ENAC. Miembro de IAPP, INCITS y UKAI. Firmante del EU AI Pact.
>

>
>

> ### 🎯 Pasa a la acción
>

>
>

> | 🔍 Diagnostica tu brecha | 📊 Construye el esqueleto de gestión |
>

> |—|—|
>

> | [Evaluación Pre-Certificación →](https://zertia.ai/es/regulatory-frameworks/) | [Certificación ISO/IEC 42001 →](https://zertia.ai/es/iso-42001/) |
>

> | Diagnóstico independiente frente a las expectativas de vigilancia de AESIA, el marco sancionador del Anteproyecto de Ley para el Buen Uso y la Gobernanza de la IA, y los criterios de participación del sandbox del Real Decreto 817/2023. | El sistema de gestión acreditado por ANAB que operacionaliza la gobernanza española de IA en práctica auditable, integrando obligaciones del Reglamento de IA de la UE y expectativas de supervisión sectorial. |
>

>
>

> [Discutir AESIA y posicionamiento de cumplimiento de IA en España →](https://zertia.ai/es/regulatory-frameworks/)
>

Preguntas frecuentes

¿AESIA ya está aplicando obligaciones de IA?

AESIA está operativa desde febrero de 2025, pero la potestad sancionadora formal espera la aprobación del Anteproyecto de Ley para el Buen Uso y la Gobernanza de la IA, esperada en la ventana legislativa de 2026. Las prácticas prohibidas del artículo 5 del Reglamento son directamente aplicables desde el 2 de febrero de 2025; el Anteproyecto proporciona el marco procedimental para su aplicación en territorio español.

¿Qué es el sandbox regulatorio español?

El Real Decreto 817/2023 de 8 de noviembre de 2023 estableció el primer sandbox regulatorio de IA en la UE, en colaboración con la Comisión Europea. Los proveedores y usuarios de IA españoles (u operadores extranjeros con establecimiento permanente en España) pueden solicitar probar sistemas de IA de alto riesgo, IA de propósito general o modelos fundacionales bajo condiciones supervisadas. El sandbox alimenta las guías de la Comisión Europea sobre el artículo 57 del Reglamento.

¿Quién es el regulador principal de IA en España?

AESIA, por designación del artículo 6 del Anteproyecto, para la mayoría de prácticas prohibidas y sistemas de alto riesgo del Anexo III. La AEPD tiene competencia sobre IA que implica datos personales. Banco de España y CNMV cubren IA en finanzas. El Consejo General del Poder Judicial supervisa IA en administración de justicia. La Junta Electoral Central supervisa IA que afecte a procesos electorales. AESIA puede asistir a otras autoridades mediante convenios de colaboración (artículo 9).

¿Cuáles son las sanciones bajo el marco español?

Alineadas con el artículo 99 del Reglamento: hasta 35 M€ o 7% del volumen de negocios mundial para infracciones muy graves, 15 M€ o 3% para graves, 7,5 M€ o 1% para leves. Las medidas cautelares incluyen la retirada cautelar del producto y la desconexión o prohibición del sistema de IA durante el procedimiento.

¿Cómo se articula la ley española de IA con el Reglamento de IA de la UE?

El Anteproyecto es puramente un marco nacional sancionador y procedimental sobre el Reglamento de IA de la UE directamente aplicable. No duplica obligaciones sustantivas; designa autoridades competentes, clasifica infracciones, fija horquillas de sanciones, regula el procedimiento y operacionaliza los mecanismos de denuncia del artículo 85 del Reglamento a través de AESIA.

¿Deben las organizaciones españolas perseguir la certificación ISO/IEC 42001?

Sí, particularmente organizaciones sujetas a la vigilancia de mercado de AESIA u operando en sectores con obligaciones de IA sectoriales paralelas (servicios financieros, sanidad, administración pública). La certificación acreditada ISO/IEC 42001 proporciona posicionamiento de presunción de conformidad para las obligaciones del artículo 17 del Reglamento aplicadas por AESIA, con documentación portable a través de la arquitectura multiautoridad.

¿Cuál es la relación entre AESIA y AEPD?

AESIA es la autoridad supervisora principal de IA; la AEPD conserva competencia sobre IA que trata datos personales bajo RGPD y sobre determinadas prácticas prohibidas de IA. Las dos autoridades coordinan mediante convenios de colaboración establecidos en el artículo 9 del Anteproyecto. Las organizaciones que operen sistemas de IA que impliquen datos personales suelen estar sujetas a la supervisión de ambas autoridades.

Cross-links

Términos del glosario relacionados: [AESIA](#) · [Real Decreto 729/2023](#) · [Real Decreto 817/2023](#) · [Espacio controlado de pruebas](#) · [Estrategia Nacional de IA (ENIA)](#) · [Carta de Derechos Digitales](#) · [Arquitectura multiautoridad de aplicación](#) · [Competencia IA de la AEPD](#) · [Artículo 6 del Anteproyecto](#) · [Sede La Terraza](#)

Familias de riesgo aplicables (AI Risk Repository): [Discriminación y resultados sesgados](#) · [Violaciones de privacidad](#) · [IA en decisiones de empleo](#) · [IA en servicios financieros](#) · [IA en servicios públicos](#) · [Fallo de la supervisión humana](#) · [Manipulación subliminal](#) · [Categorización biométrica](#)

Regulaciones relacionadas en este Hub: [Reglamento de IA de la UE](#) · [ISO/IEC 42001](#) · [NIST AI RMF](#) · [RGPD — disposiciones de IA](#) · [Convenio Marco del Consejo de Europa sobre IA](#) · [Regulación de IA del Reino Unido](#) · [Regulación de IA de Brasil](#)

Servicios Zertia: [Marcos y Regulación](https://zertia.ai/es/regulatory-frameworks/) · [Certificación](https://zertia.ai/es/certification/) · [Certificación ISO/IEC 42001](https://zertia.ai/es/iso-42001/) · [Certificación AIUC-1](https://zertia.ai/es/certification/certificacion-aiuc-1/) · [Auditoría](https://zertia.ai/es/audit/) · [Formación](https://zertia.ai/es/training/)

Última revisión: mayo 2026 · Fuentes: Real Decreto 729/2023 de 22 de agosto (estatuto AESIA); Real Decreto 817/2023 de 8 de noviembre (entorno controlado de pruebas de IA); Anteproyecto de Ley para el Buen Uso y la Gobernanza de la IA (aprobado por Consejo de Ministros el 11 de marzo de 2025, audiencia pública 18–26 de marzo de 2025); Dictamen 3/2026 del CES (abril de 2026); designación de Alberto Gago como Director General de AESIA (19 de diciembre de 2025) y cese de Ignasi Belda (24 de diciembre de 2025); Agenda España Digital 2026; Estrategia Nacional de IA (ENIA); Carta de Derechos Digitales; Reglamento (UE) 2024/1689 (Reglamento de IA).

Your fast track to compliance starts here

Our team is ready to support your compliance, cybersecurity, and privacy needs. Complete the contact form or reach out to [email protected], and our experts will guide you through the next steps.