Gobernanza de IA para Empresas Españolas: Ley de IA de la UE, AEPD y Marco Regulatorio

Puntos clave

• España designó a la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) como autoridad nacional de supervisión del mercado para la Ley de IA de la UE.
• La AEPD (Agencia Española de Protección de Datos) ya ha emitido guías específicas sobre IA y RGPD que los responsables del tratamiento deben implementar.
• El Banco de España y la CNMV tienen expectativas de gobernanza de IA específicas para las entidades financieras que aplican junto con la Ley de IA de la UE.
• España tiene una hoja de ruta nacional de IA (ENIA 2.0) que incentiva la adopción responsable de IA — las empresas que demuestren gobernanza sólida pueden acceder a financiación y sandboxes regulatorios.
• El plazo de agosto de 2026 para la IA de alto riesgo aplica a todas las empresas españolas que utilizan IA en los contextos definidos por el Anexo III de la Ley de IA de la UE.

El contexto regulatorio español para la IA

Las empresas españolas operan en el epicentro del ecosistema regulatorio europeo de IA. Como Estado miembro de la UE, España está sujeta directamente a la Ley de IA de la UE. Pero más allá del marco europeo, España cuenta con su propio ecosistema regulatorio que interactúa con la Ley de IA de la UE: la AEPD con sus competencias en protección de datos y IA, la AESIA como nueva autoridad de supervisión de IA, y los supervisores sectoriales del Banco de España y la CNMV para el sector financiero.

AESIA: la nueva autoridad española de supervisión de IA

España creó la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) como respuesta a los requisitos de la Ley de IA de la UE de designar una autoridad de supervisión del mercado. La AESIA tiene competencias para supervisar el cumplimiento de la Ley de IA de la UE en España, promover el uso responsable de la IA, gestionar el sandbox regulatorio de IA establecido por el Real Decreto-ley 7/2021, y coordinar con otras autoridades nacionales y europeas.

Para las empresas españolas, la creación de la AESIA significa que existe un interlocutor específico para cuestiones de gobernanza de IA en España. Las empresas con dudas sobre la clasificación de sus sistemas de IA o los requisitos aplicables pueden dirigirse a la AESIA, especialmente a través del sandbox regulatorio para sistemas innovadores que necesitan aclaración regulatoria.

AEPD y la intersección RGPD-IA

La Agencia Española de Protección de Datos ha sido una de las autoridades de protección de datos europeas más activas en materia de IA. La AEPD ha emitido guías específicas sobre: adecuación de los sistemas de IA al RGPD, requisitos para la toma de decisiones automatizada bajo el artículo 22 del RGPD, evaluaciones de impacto relativas a la protección de datos (EIPD) para sistemas de IA, y tratamiento de datos de categorías especiales en sistemas de IA.

Para los responsables del tratamiento españoles, las guías de la AEPD son el punto de partida para evaluar el cumplimiento del RGPD por parte de sus sistemas de IA. La AEPD ha demostrado voluntad de actuar — sus resoluciones en materia de sistemas automatizados y perfilado establecen precedentes para todos los responsables del tratamiento en España.

Supervisión sectorial: Banco de España y CNMV

Las entidades financieras españolas — bancos, entidades de crédito, empresas de inversión, fondos de pensiones — se encuentran en la intersección de múltiples marcos regulatorios de IA. El Banco de España ha emitido comunicaciones sobre la gestión de riesgos tecnológicos que aplican a la IA, con expectativas específicas para los modelos de scoring crediticio y los sistemas de detección de fraude. La CNMV supervisa el uso de IA en asesoramiento financiero, trading algorítmico y comunicaciones con clientes en el sector de valores.

Estrategia Nacional de IA: incentivos para la gobernanza responsable

España tiene una Estrategia Nacional de Inteligencia Artificial (ENIA) actualizada en 2024, que incluye incentivos para la adopción responsable de IA. Las empresas que demuestren prácticas sólidas de gobernanza de IA pueden acceder a: el sandbox regulatorio gestionado por la AESIA, programas de financiación del CDTI para proyectos de IA con marco de gobernanza, y reconocimiento en el ecosistema europeo de IA de confianza. Esto significa que la gobernanza de IA no es solo un coste de cumplimiento para las empresas españolas — puede ser una palanca de acceso a recursos públicos y ventajas competitivas.