AESIA y supervisión de IA: cómo prepararte para inspecciones

AESIA y supervisión de IA: cómo prepararte para inspecciones

La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) marca un cambio de etapa: la IA deja de ser “innovación sin control” para convertirse en un ámbito con supervisión, requerimientos documentales y necesidad de evidencias. Para una empresa, “estar preparada” no significa tener un informe bonito, sino poder demostrar, de forma rápida y coherente, qué sistemas de IA utiliza, con qué finalidad, qué riesgos generan y qué controles aplica. Los contratos de IA 2026 cláusulas clave

Este artículo te explica qué puede mirar una inspección, qué documentación conviene tener lista y cómo organizar un plan de preparación realista.

Qué significa “supervisión” en la práctica

En una supervisión de IA, la pregunta de fondo no es si tu empresa usa IA, sino si la usa de forma segura, controlada y defendible. AESIA puede requerir información y evidencias sobre:

• Qué sistemas usas y dónde impactan (clientes, empleados, terceros).

• Qué datos intervienen y cómo los proteges.

• Cómo se toman decisiones y qué supervisión humana existe.

• Qué pruebas haces (rendimiento, sesgo, robustez).

• Qué contratos has firmado con proveedores y qué garantías te dan.

• Qué registros conservas para reconstruir lo ocurrido ante un incidente o reclamación.

En resumen, inspeccionar es verificar que tu IA tiene gobernanza y control del riesgo, no solo “funciona”.

Qué mirará AESIA en una inspección

Inventario de sistemas y casos de uso

El primer punto suele ser un inventario “vivo” de sistemas de IA y casos de uso. No basta con decir “usamos un chatbot”: se espera saber qué hace, dónde se integra, quién lo usa y qué datos procesa.

Qué debe contener como mínimo:
finalidad, área responsable, proveedor, entorno (interno/cliente), tipos de datos, riesgo estimado, fecha de alta y última revisión.

Clasificación por riesgo y justificación

La supervisión se apoya en un enfoque de riesgo: no es lo mismo un generador de textos para marketing que un sistema que influye en selección de personal o decisiones sensibles.

Qué suele pedir una inspección bien planteada:
la clasificación de cada caso de uso y una justificación breve, junto con los controles activados en función del nivel de riesgo.

Gobernanza: política, roles y proceso de aprobación

AESIA esperará ver un mínimo de “gobierno” interno:

• una política de IA (qué se permite, qué no, qué datos están prohibidos, cómo se revisa),

• roles claros (propietario del sistema, responsable de negocio, soporte técnico, legal/privacidad),

• un proceso de alta/baja o cambios (cómo se aprueba un nuevo caso de uso y cómo se retira).

Supervisión humana y decisiones con impacto

En usos que afecten de forma relevante a personas, la supervisión humana no puede ser simbólica. Debe existir un procedimiento operativo de revisión, con criterios claros.

Evidencias típicas:
checklists de revisión, registros de intervención humana, criterios de escalado y de “no uso” (cuándo se bloquea el sistema).

Pruebas y controles: precisión, sesgo y robustez

La inspección suele girar sobre una pregunta práctica: “¿Cómo sabes que esto es fiable y no discrimina?”. No se exige perfección, pero sí pruebas razonables y una respuesta organizada cuando hay desviaciones.

Qué conviene tener:
métricas básicas de desempeño, pruebas de robustez (deriva, entradas anómalas) y, cuando aplique, análisis de sesgo y medidas de mitigación.

Transparencia hacia usuarios y afectados

Si el usuario interactúa con IA o consume contenido sintético en un contexto relevante, los avisos deben ser claros y consistentes. La transparencia reduce reclamaciones y suele ser un punto fácil de verificar.

Privacidad y protección de datos

En cuanto haya datos personales, AESIA y el ecosistema regulatorio exigirán coherencia con RGPD:

• base jurídica y minimización,

• medidas de seguridad,

• registro de actividades,

• DPIA cuando proceda,

• gestión de proveedores y transferencias internacionales si existen.

Contratos con proveedores: DPA y garantías reales

Aquí se cae mucha gente. Los proveedores de IA suelen operar con términos estándar que no cubren adecuadamente entrenamiento con datos, portabilidad o auditoría. Una inspección puede pedir cómo has blindado estas relaciones.

Cláusulas críticas:
DPA, subencargados, seguridad, prohibición/opt-in de entrenamiento, auditoría razonable, notificación de cambios de modelo, portabilidad y salida.

Trazabilidad: registros, logs y control de versiones

Para responder a un requerimiento, necesitas reconstruir qué pasó:

• qué versión del modelo estaba activa,

• qué datos se usaron,

• qué cambios se aplicaron,

• quién aprobó decisiones y correcciones.

Sin trazabilidad, el cumplimiento es difícil de demostrar aunque exista.

El “paquete de inspección” que deberías tener preparado

Si mañana recibes un requerimiento, lo ideal es poder entregar una carpeta ordenada con:

• Inventario y matriz de riesgo (una hoja resumen).

• Política de IA y procedimiento de aprobación de casos de uso.

• Fichas por sistema (propósito, datos, límites, controles, supervisión).

• Resultados de pruebas (desempeño/sesgo/robustez) y plan de mitigación.

• Guías de supervisión humana y registros de revisiones en casos sensibles.

• Materiales de transparencia (avisos en web/app, textos internos).

• Dossier de privacidad (registro, DPIA si aplica, retención, brechas).

• Contratos: DPA, anexos de seguridad, subencargados, portabilidad/salida.

• Registro de cambios (modelo/datos/proveedor) con fechas y responsables.

Errores frecuentes que generan problemas

• Inventario incompleto o desactualizado.

• No tener “owner” por sistema.

• Supervisión humana inexistente o no documentada.

• Contratos estándar sin cláusulas sobre entrenamiento, auditoría o portabilidad.

• No disponer de pruebas mínimas de rendimiento/sesgo/robustez.

• Falta de transparencia al usuario en interacciones o contenido sintético.

• Logs inexistentes o imposibles de interpretar.