AESIA y AEPD: dos baluartes institucionales que impulsan desde sus competencias una IA ética, responsable y segura en España

La inteligencia artificial (IA) ha dejado de ser una promesa futurista para convertirse en una fuerza transformadora que redefine industrias, economías y sociedades. Sin embargo, su rápido avance no está exento de desafíos, especialmente en el ámbito regulatorio. En España, un 78% de las empresas percibe una notable incertidumbre regulatoria en torno a la IA, mientras que un 44% de los departamentos legales ya utiliza estas tecnologías sin un roadmap claro de cumplimiento normativo.

Este escenario subraya la urgencia de establecer un marco de gobernanza robusto y eficaz. En el corazón de este nuevo paradigma se encuentran dos organismos clave: la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) y la Agencia Española de Protección de Datos (AEPD).

Su labor de doble fiscalización, lejos de ser una redundancia burocrática, constituye un pilar fundamental para la construcción de un ecosistema de IA que sea, a la vez, innovador y respetuoso con los derechos fundamentales. La colaboración y el preciso reparto de competencias entre ambas agencias no solo son necesarios, sino imprescindibles para garantizar que el desarrollo tecnológico se alinee con los valores éticos y jurídicos de una sociedad democrática.

Clave 1: el nuevo paradigma regulatorio de la IA en Europa y España

El marco normativo de la IA en Europa ha experimentado una evolución sin precedentes, culminando en una regulación pionera a nivel mundial. El Reglamento (UE) 2024/1689 de IA (RIA), aprobado el 13 de junio de 2024, establece un enfoque basado en riesgos, clasificando los sistemas de IA en función de su potencial impacto en los derechos y la seguridad de las personas.

Este Reglamento prohíbe ciertas prácticas consideradas inaceptables, como la manipulación del comportamiento humano o el social scoring, y establece requisitos estrictos para los sistemas de alto riesgo. La entrada en vigor del RIA es escalonada: desde el 2 de agosto de 2025, son aplicables las disposiciones sobre prácticas prohibidas y su correspondiente régimen sancionador, un hito que marca el inicio de una nueva era en la supervisión de la IA.

En paralelo, España ha demostrado su liderazgo proactivo con la aprobación del Anteproyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial el 11 de marzo de 2025. Esta norma no solo adapta la legislación nacional al RIA, sino que también establece la arquitectura institucional para su aplicación, designando a las autoridades de vigilancia y definiendo sus competencias. Este doble nivel normativo, europeo y nacional, crea un ecosistema regulatorio complejo pero necesario para abordar la naturaleza transversal y disruptiva de la IA.

Clave 2: AESIA, el guardián de los sistemas de alto riesgo y prácticas prohibidas

En el epicentro de la nueva gobernanza de la IA en España se encuentra la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA). Creada antes incluso de la aprobación final del RIA, la AESIA se erige como la autoridad de vigilancia del mercado y punto de contacto único, una pieza clave en el engranaje institucional. El artículo 6 del Anteproyecto de Ley le atribuye competencias de supervisión sobre un amplio espectro de sistemas de IA.

En primer lugar, la AESIA es la encargada de vigilar las prácticas prohibidas por el RIA, como aquellos sistemas que emplean técnicas subliminales, explotan vulnerabilidades o infieren emociones en entornos laborales o educativos. En segundo lugar, y de manera crucial, la AESIA supervisa los sistemas de IA de alto riesgo en sectores estratégicos como las infraestructuras críticas, la educación, el empleo y los servicios esenciales. Esto incluye, por ejemplo, los algoritmos utilizados en la selección de personal o en la evaluación de la solvencia crediticia.

Además, la AESIA tiene competencias sobre los sistemas de IA que, aunque no sean de alto riesgo, plantean un riesgo de transparencia, como los deepfakes, garantizando que los usuarios sean informados de que están interactuando con un sistema artificial. Su rol como guardián de la IA ética y segura es, por tanto, indiscutible.

Pablo Sáez señala que “si la AESIA es la nueva guardiana de la inteligencia artificial, la Agencia Española de Protección de Datos (AEPD) es la veterana y consolidada defensora de la protección de datos personales”. (Imagen: realizadas por Pablo Sáez con Google Gemini 2.5 Pro)

Clave 3: AEPD, la defensa de los datos personales en la era de la IA

Si la AESIA es la nueva guardiana de la IA, la Agencia Española de Protección de Datos (AEPD) es la veterana y consolidada defensora de uno de los derechos fundamentales más amenazados por esta tecnología: la protección de datos personales. En un movimiento de gran calado, la AEPD emitió un recordatorio trascendental el 15 de julio de 2025: con independencia de la entrada en vigor del RIA, la Agencia ya puede actuar ante sistemas de IA prohibidos que traten datos personales, amparándose en su competencia bajo el RGPD.

Esta declaración no es meramente simbólica; es una afirmación de su autoridad y una advertencia a navegantes. El Anteproyecto de Ley, lejos de menoscabar sus funciones, las refuerza y las integra en el nuevo marco de supervisión. La AEPD ejercerá la vigilancia sobre prácticas prohibidas como la categorización biométrica para inferir datos sensibles (raza, opiniones políticas, etc.) o la identificación biométrica remota en tiempo real en espacios públicos con fines de garantizar el cumplimiento del Derecho.

Asimismo, supervisará sistemas de alto riesgo en ámbitos como la gestión de fronteras, el asilo o la migración. Un ejemplo paradigmático de su actuación es la reciente sanción a una universidad por el uso de sistemas de reconocimiento facial en exámenes online, demostrando que la protección de datos es un límite infranqueable, incluso en la búsqueda de la innovación.

Clave 4: la supervisión dual y el reparto competencial

La coexistencia de la AESIA y la AEPD como autoridades de vigilancia de la IA podría parecer, a primera vista, un foco de conflictos competenciales. Sin embargo, el Anteproyecto de Ley, en sus artículos 6, 7 y 8, diseña un sofisticado sistema de supervisión dual basado en la especialización y la colaboración. No se trata de una división estanca, sino de una matriz de competencias compartidas e interconectadas. Mientras la AESIA se enfoca en la seguridad y el buen funcionamiento de los sistemas de IA en un amplio abanico de sectores, la AEPD concentra su poder de fiscalización en aquellos sistemas que implican un tratamiento de datos personales, especialmente los de categorías especiales como los biométricos.

Para evitar solapamientos y garantizar una actuación coordinada, el artículo 8 del Anteproyecto prevé la creación de una Comisión mixta de coordinación y el establecimiento de protocolos de intercambio de información. Esta colaboración es esencial en casos híbridos, como un chatbot manipulador (competencia de AESIA) que procesa datos biométricos (competencia de AEPD). La dualidad punitiva también es un elemento a considerar: un mismo hecho podría ser sancionado tanto bajo el RIA (con multas de hasta 35 millones de euros o el 7% del volumen de negocio) como bajo el RGPD (hasta 20 millones o el 4%), si bien se aplicarán los principios de proporcionalidad y non bis in idem.

Este experto señala que “el artículo 8 del Anteproyecto de IA pendiente de aprobación prevé la creación de una Comisión mixta de coordinación y el establecimiento de protocolos de intercambio de información entre ambos reguladores”. (Imagen: realizadas por Pablo Sáez con Google Gemini 2.5 Pro)

Clave 5: perspectivas futuras y desafíos de la doble fiscalización

El camino hacia una IA plenamente regulada y supervisada no ha hecho más que empezar. El horizonte temporal más inmediato nos sitúa en el segundo trimestre de 2026, fecha prevista para la entrada en vigor de la obligación de certificación para los sistemas de IA de alto riesgo, un hito que pondrá a prueba la capacidad de la AESIA y de todo el ecosistema de evaluación de la conformidad.

El modelo español de supervisión dual, con su énfasis en la colaboración y la especialización, tiene el potencial de convertirse en un referente exportable para otros Estados miembros de la UE que aún no han definido su arquitectura institucional. Sin embargo, los desafíos no son menores. La eficacia de este modelo dependerá de la dotación de recursos técnicos, humanos y presupuestarios suficientes para ambas agencias, una necesidad ya manifestada por la propia AEPD. La formación de los operadores jurídicos, los desarrolladores de IA y la sociedad en general será otro factor crítico de éxito.

Conclusión

La doble fiscalización de la inteligencia artificial en España, articulada a través de la AESIA y la AEPD, no es una simple superposición de competencias, sino una respuesta meditada y estratégica a la complejidad de la IA. Este modelo dual, basado en la especialización y la colaboración, busca crear una red de seguridad robusta que proteja a los ciudadanos de los riesgos de la IA, al tiempo que fomenta una innovación responsable.

La AESIA, como guardiana de los sistemas de alto riesgo, y la AEPD, como defensora de la protección de datos, son los dos baluartes sobre los que se asienta el futuro de la IA en España. El éxito de este ambicioso proyecto dependerá de su capacidad para coordinarse eficazmente, para adaptarse a los cambios tecnológicos y para contar con los recursos necesarios.

La llamada a la acción es clara: la industria debe integrar la ética y el cumplimiento normativo en el corazón de su estrategia de innovación; los profesionales del derecho deben adquirir las competencias necesarias para navegar en este nuevo paradigma; y la sociedad en su conjunto debe participar activamente en el debate sobre el tipo de IA que queremos construir para España.

Referencias

1. Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial.
2. Anteproyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial, aprobado por el Consejo de Ministros de España el 11 de marzo de 2025.
3. Nota de prensa de la Agencia Española de Protección de Datos (AEPD), de 15 de julio de 2025, sobre su capacidad de actuación ante sistemas de IA prohibidos.
4. (2025). Breve análisis del Anteproyecto de Ley para el Buen Uso y la Gobernanza de la Inteligencia Artificial. Recuperado de https://www.pwc.es/es/newlaw-pulse/regulacion-digital/breve-analisis-anteproyecto-ley-buen-uso-gobernanza-ia.html