LA AESIA PUBLICA 16 GUÍAS PARA ORIENTAR EL CUMPLIMIENTO DEL REGLAMENTO DE INTELIGENCIA ARTIFICIAL

06/02/2026
Escrito por Prodat - Consultores y Auditores Informáticos Prodat S.A.

La Agencia Española de Supervisión de Inteligencia Artificial (AESIA) ha publicado un conjunto de recursos prácticos para ayudar a las organizaciones a cumplir con el Reglamento Europeo de Inteligencia Artificial (RIA), proporcionando recomendaciones prácticas de apoyo en la implementación y cumplimiento de las obligaciones aplicables.

Las guías se han elaborado en el contexto del desarrollo del proyecto piloto del sandbox regulatorio de IA, fruto del trabajo conjunto entre los participantes, las asistencias técnicas, las posibles autoridades nacionales competentes y el grupo asesor de expertos del propio sandbox.

Aunque las guías no son jurídicamente vinculantes, ofrecen una orientación útil y pragmática a las organizaciones que se preparan para el Reglamento de IA, mientras que las guías técnicas que está elaborando la Comisión Europea aún se encuentran en fase de desarrollo.

El Sandbox Regulatorio de IA

España ha sido uno de los primeros países a nivel europeo en la creación de un sandbox regulatorio de inteligencia artificial. Fue el Real Decreto 817/2023 el que establece un entorno controlado de pruebas para el ensayo del cumplimiento del RIA, y, en particular, en relación con los sistemas de alto riesgo, antes de su plena entrada en vigor.

Conforme se menciona en el artículo 1 del Real Decreto, el objeto del mismo es: “establecer un entorno controlado de pruebas para ensayar el cumplimiento de ciertos requisitos por parte de algunos sistemas de inteligencia artificial que puedan suponer riesgos para la seguridad, la salud y los derechos fundamentales de las personas. Asimismo, se regula el procedimiento de selección de los sistemas y entidades que participarán en el entorno controlado de pruebas”.

Asimismo, se expone el potencial de la inteligencia artificial para mejorar la productividad y la cohesión social y territorial, impulsar nuevas líneas de negocio y facilitar el desarrollo de productos y servicios innovadores, así como los riesgos que puede implicar para la discriminación, la protección de datos y la seguridad.

Fruto del trabajo del sandbox regulatorio de IA, se han publicado estas 16 guías, sentando una base para ayudar a las organizaciones a cumplir las obligaciones del entorno normativo en inteligencia artificial.

La Agencia Española de Supervisión de Inteligencia Artificial (AESIA)

La Ley 22/2021, de 28 de diciembre, de Presupuestos Generales del Estado para el año 2022 recoge la creación de la AESIA como el organismo público responsable de asegurar que se lleve a cabo un uso ético y seguro de la inteligencia artificial en España, garantizando que tanto las entidades públicas como las privadas cumplan con la normativa que resulta de aplicación.

La AESIA se encuentra adscrita a la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio de Asuntos Económicos y Transformación Digital, actuando con independencia orgánica y funcional del resto de Administraciones Públicas y de forma objetiva, transparente e imparcial.

Se rige por su Estatuto, aprobado por el Real Decreto 729/2023, de 22 de agosto, y su misión es liderar y coordinar la supervisión del desarrollo de la inteligencia artificial para que se aplique de manera ética, segura y en beneficio de la sociedad, enfocándose en la protección de los derechos fundamentales, como la privacidad y la igualdad. Entre los servicios ofrecidos por la AESIA se incluye:

  • Atención a la sociedad: articulando mecanismos de información y atención dirigidos a la ciudadanía para facilitar la correcta implementación y gestión de sistemas de inteligencia artificial.
  • Supervisión y control: ejerciendo funciones de supervisión y control orientadas a verificar el cumplimiento de la normativa nacional y europea aplicable al uso de la inteligencia artificial.
  • Formación y capacitación: desarrollando actividades formativas y acciones de capacitación destinadas a promover un uso responsable y seguro de la inteligencia artificial.
  • Liderazgo: actuando como entidad de referencia en la incorporación y proyección social de la tecnología de inteligencia artificial.

Estructura de las guías

Las guías publicadas por la AESIA se estructuran en los siguientes bloques:

Guías introductorias (Guías 01 y 02): orientadas a ofrecer una comprensión general del Reglamento de IA y de sus conceptos fundamentales.

  • Guía 1. Introducción al Reglamento de IA: ofrece una visión general de las obligaciones clave que impone el RIA a los distintos operadores, sirviendo de base para familiarizarse con los elementos esenciales del Reglamento y comprender las guías técnicas posteriores.

En este punto, es preciso detenerse con el objeto de delimitar con claridad las responsabilidades que cada uno debe asumir durante el ciclo de vida del sistema. En esta guía se indica que el análisis de estos roles resulta imprescindible para comprender la estructura obligacional del RIA y para determinar, en cada caso, qué sujeto debe responder por el cumplimiento de los requisitos establecidos. Esta Guía hace un recorrido por las diferentes categorías de operadores:

  • Proveedor: responsable de desarrollar o hacer desarrollar un sistema o un modelo de IA y lo introduce en el mercado o lo pone en servicio bajo su propio nombre o marca.
  • Responsable del despliegue: responsable de utilizar un sistema de IA bajo su autoridad en un contexto profesional.
  • Representante autorizado: entidad establecida en la Unión que, por mandato escrito del proveedor, asume en su nombre determinadas obligaciones y procedimientos.
  • Importador: responsable de introducir en el mercado de la Unión un sistema de IA que lleva el nombre o la marca de un proveedor situado fuera de la UE.
  • Distribuidor: responsable de la comercialización de un sistema de IA dentro de la Unión como parte de la cadena de suministro, sin ser proveedor ni importador.

No obstante lo anterior, el Reglamento prevé expresamente que ciertos operadores puedan pasar a ser considerador proveedores, asumiendo, por ende, sus obligaciones. Esto sucede cuando se produce alguna de las circunstancias siguientes:

  • Colocación de nombre o marca en un sistema de IA de alto riesgo ya introducido en el mercado o puesto en servicio.
  • Realización de una modificación sustancial sobre un sistema ya comercializado o en servicio.
  • Alteración de la finalidad prevista de un sistema de IA no considerado de alto riesgo, cuando dicha alteración tiene como consecuencia que el sistema modificado sí pase a considerarse de alto riesgo.
  • Guía 2. Guía práctica y ejemplos para entender el Reglamento de IA: esta guía busca facilitar el entendimiento del RIA desde un enfoque práctico, con el objetivo de facilitar la comprensión del resto de guías.

Guías técnicas (Guías 03 a 15): cada una de estas guías aborda en detalle una de las obligaciones previstas en el RIA, incluyendo la gestión de riesgos, la gobernanza de datos, la supervisión humana o la ciberseguridad, con el propósito de ofrecer una comprensión práctica de dichas obligaciones.

  • Guía 3. Evaluación de conformidad: se describe el proceso de evaluación de conformidad para los sistemas de alto riesgo recogido en el artículo 43 del RIA.
  • Guía 4. Sistema de gestión de la calidad: recoge las medidas técnicas y organizativas que servirán para dar cumplimiento a la obligación recogida en el artículo 17 del RIA.  
  • Guía 5. Sistema de gestión de riesgos: describe las medidas técnicas y organizativas necesarias para crear y mantener un sistema de gestión de riesgos para los sistemas de inteligencia artificial conforme al artículo 9 del RIA.
  • Guía 6. Supervisión humana: ofrece medidas de implementación para facilitar el cumplimiento del artículo 14 del RIA, que establece la obligación de que los sistemas de IA de alto riesgo sean desarrollados de tal forma que puedan ser supervisados de manera efectiva por personas físicas durante su uso.
  • Guía 7. Datos y gobernanza del dato: desarrolla las medidas para cumplir con los requisitos del artículo 10 del RIA de gobernanza de datos.
  • Guía 8: Transparencia y provisión de información a los usuarios: establece orientaciones para cumplir con el requisito de transparencia del artículo 13 del RIA, que tiene el objetivo de garantizar que los sistemas de IA de alto riesgo se diseñen de tal forma que los responsables puedan interpretar y usar correctamente los resultados obtenidos.
  • Guía 9. Precisión: contiene orientaciones para evaluar y garantizar que el desempeño del sistema de IA es suficientemente exacto y fiable para su finalidad prevista, minimizando errores, conforme al artículo 15 del RIA.
  • Guía 10. Solidez: establecemedidas para asegurar el requisito de robustez del artículo 15 del RIA, que exige que los sistemas de IA de alto riesgo sean resistentes a errores, fallos o incoherencias, y capaces de prevenir comportamientos perjudiciales.
  • Guía 11. Ciberseguridad: incluye medidas para la ciberseguridad aplicada a la IA con el objeto de que los sistemas de IA sean resistentes a intentos de terceros no autorizados de alterar el uso, resultados o funcionamiento, conforme al artículo 15 del RIA.
  • Guía 12. Registros y archivos de registro generados automáticamente: presenta medidas para dar cumplimiento a los requisitos relacionados con la generación y conservación de registros para sistemas de IA de alto riesgo, conforme al artículo 12 y el artículo 19 del RIA.
  • Guía 13 Plan de vigilancia poscomercialización: identifica los procesos a llevar a cabo en el ámbito de la vigilancia poscomercialización del artículo 72 del RIA, estableciendo recomendaciones prácticas para una correcta implementación.
  • Guía 14. Notificación de incidentes graves: ofrece orientaciones sobre cómo cumplir con las obligaciones de notificación de incidentes graves a las autoridades de vigilancia del mercado conforme al artículo 73 del RIA, así como las medidas que permiten abordar dicho procedimiento
  • Guía 15. Documentación técnica: recoge indicaciones sobre las obligaciones de mantener la documentación técnica, cómo reflejarla y cómo conservarla, en virtud del artículo 11, artículo 18 y el Anexo IV del RIA.

Checklist y manual de uso de checklists: la AESIA ha publicado 13 checklist que vienen acompañados de un manual para explicar su funcionamiento y que permiten, conforme a lo identificado por la misma AESIA, “llevar a cabo un autodiagnóstico del cumplimiento de los requisitos establecidos por el reglamento por parte de sus sistemas de IA de alto riesgo, y diseñar un plan de adaptación de sus sistemas a los requisitos establecidos por el mismo”.

Revisión y actualización de las guías

Los documentos de las guías serán revisados y evaluados de forma continua, con actualizaciones periódicas conforme se vayan publicando y desarrollando las diferentes directrices por parte de la Comisión Europea. Adicionalmente, una vez que se apruebe el Ómnibus digital serán actualizados conforme a las modificaciones que introduzca.

En definitiva, las dieciséis guías publicadas por la AESIA constituyen un recurso práctico de gran valor para que las organizaciones puedan anticipar y estructurar adecuadamente el cumplimiento del RIA. A través de orientaciones técnicas sobre gestión de riesgos, gobernanza del dato, supervisión humana o ciberseguridad, estas guías permiten trasladar las obligaciones del RIA a procedimientos concretos y operativos, siempre con el objetivo de proteger los derechos fundamentales y fomentar un uso responsable y seguro de estas tecnologías. En este contexto, y con el fin de profundizar en obligaciones especialmente relevantes, en próximos artículos abordaremos el análisis detallado de la Guía 5 relativa al sistema de gestión de riesgos.

Si quieres conocer más sobre inteligencia artificial pincha aquí y aquí.