AESIA inspección a una PYME · qué piden y cómo prepararte

El 2 de agosto de 2026 entra en aplicación plena el Reglamento UE 2024/1689 sobre inteligencia artificial. A partir de esa fecha, la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) tiene potestad sancionadora completa sobre incumplimientos. La pregunta que aparece en cualquier reunión de dirección de PYME este verano de 2026 es siempre la misma: si mañana se planta una inspección en la oficina, qué piden exactamente. La respuesta corta es que no piden nada que una empresa que haya formado al equipo y firmado una política interna no pueda enseñar en quince minutos. La respuesta larga es lo que sigue, redactado desde la práctica de los Octas en asesorías, despachos, clínicas y administraciones de fincas de Cataluña durante el primer semestre de 2026.

La AESIA se creó por el Real Decreto 729/2023, de 22 de agosto, con sede en A Coruña. Es la primera agencia europea estatal específicamente dedicada a supervisar la implementación del Reglamento UE de Inteligencia Artificial. Su estructura combina funciones de autoridad notificante y autoridad de vigilancia del mercado, ambas exigidas por el propio Reglamento europeo. Las primeras competencias sancionadoras llegaron en febrero de 2025, coincidiendo con la entrada en vigor del Art. 4 sobre alfabetización del personal y la prohibición de prácticas inaceptables del Art. 5. Las competencias plenas, incluido el régimen sancionador completo del Art. 99, llegan el 2 de agosto de 2026. Hasta esa fecha la AESIA actúa, pero hay margen de transición todavía.

Por la experiencia que recogemos de gestorías en contacto con direcciones de PYME que han recibido visita o consulta documental, la AESIA pide habitualmente seis piezas. Primera, la política IA interna de la empresa firmada y vigente. Segunda, las acreditaciones nominales del personal con formación documentada por puesto. Tercera, el inventario de sistemas IA en uso con sus proveedores y los contratos de encargado del tratamiento firmados. Cuarta, el registro de incidencias y la respuesta dada a cada una. Quinta, la prueba de revisión anual de la política. Sexta, el registro de comunicaciones internas formales sobre el uso de IA: cuando se aprueba una nueva herramienta, cuando se forma a una nueva incorporación, cuando se modifica un procedimiento. Las seis piezas caben en una carpeta digital ordenada por trabajador y por sistema.

El primer fallo es que la política IA no existe en formato escrito firmable, sino que vive solo en la cabeza del responsable. El segundo, que la formación se entiende como sesión grupal sin acreditación nominal: el responsable cree que con un curso colectivo se cubre la obligación, y no es así. El tercero, que se confunde el contrato de Microsoft o de Google con el contrato de encargado del tratamiento del Art. 28 RGPD: son cosas distintas y conviene tener firmadas ambas. El cuarto, que el inventario de herramientas IA en uso por el equipo es inexistente porque cada trabajador ha activado lo que le ha parecido. El quinto, que no hay registro de incidencias porque tampoco se han documentado los avisos internos. Ninguno de estos cinco fallos tiene complejidad técnica: son fallos de orden documental que se cierran con criterio y disciplina.

Para una empresa de servicios profesionales de cinco a veinticinco personas, el checklist mínimo razonable se compone de seis archivos vivos. Uno: política IA interna en versión vigente, con número de versión y fecha de aprobación por dirección. Dos: lista de personal con fecha de formación y acreditación firmada por puesto. Tres: tabla de sistemas IA en uso con proveedor, plan contratado y referencia al contrato de encargado del tratamiento. Cuatro: registro de incidencias con número correlativo, fecha, descripción, persona implicada y resolución. Cinco: acta de revisión anual de la política con asistentes y conclusiones. Seis: copia firmada del Art. 4 EU AI Act anotada por el responsable como referencia jurídica. Estos seis archivos los entregamos en el cierre de cualquier Octa OctIA y son el material que la dirección puede mostrar ante la AESIA sin necesidad de buscar nada más.

El 26 de mayo de 2026, el Consejo de Ministros aprobó el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial, que adapta el Reglamento UE 2024/1689 al ordenamiento español. La aprobación es el primer paso del trámite legislativo: ahora la norma viaja a las Cortes y se discute. Para una PYME, los puntos relevantes son tres. Primero, la Administración pública queda exenta de las sanciones del régimen sancionador: las multas afectan solo a empresas privadas. Segundo, la proporcionalidad sigue presente: las cuantías se ajustan al tamaño de la empresa, pero las PYMES no quedan exentas, solo proporcionadas. Tercero, se habilita un buzón anónimo de denuncia en la AESIA: cualquier empleado, cliente o ex socio podrá denunciar sin identificarse. Esto último es probablemente lo más relevante para una pequeña asesoría: hace que la política IA y la formación documentada del equipo dejen de ser un papel para convertirse en una protección real.

El régimen sancionador del Reglamento UE 2024/1689, Art. 99, fija los techos máximos. Para las infracciones más graves del Art. 5 (prácticas prohibidas, sistemas de alto riesgo sin conformidad), el techo es treinta y cinco millones de euros o el siete por ciento del volumen de negocio anual mundial, lo que sea mayor. Para infracciones de obligaciones de transparencia y otras del Art. 50, hasta quince millones o el tres por ciento. Para incumplimientos de obligaciones generales como el Art. 4 sobre alfabetización, hasta quince millones o el tres por ciento. La sanción real aplicada a una PYME de quince personas no llega a esas cifras: la proporcionalidad y la consideración del tamaño de empresa actúan como atenuantes. La cifra orientativa para incumplimientos por desconocimiento documentado en empresas pequeñas, según el espíritu del proyecto de ley español, se sitúa en horquillas mucho más bajas y siempre con reducción por pronto pago o por adopción de medidas correctoras.

Una empresa de servicios profesionales que parte de cero puede llegar al estado documental mínimo en cuatro semanas si la dirección lo prioriza. Semana uno: inventario de qué IA está en uso por el equipo, en qué tareas y bajo qué cuentas. Semana dos: contratación de cuentas corporativas adecuadas para sustituir las cuentas personales que tocan trabajo del cliente, con contrato de encargado del tratamiento firmado. Semana tres: redacción de la política IA interna en cuatro páginas, aprobación por dirección y firma por toda la plantilla. Semana cuatro: cierre de la primera ronda formativa adaptada por puesto y emisión de acreditaciones nominales. Al cabo del mes, la empresa tiene los seis archivos del checklist mínimo y puede recibir cualquier consulta documental sin urgencia. Quien quiera externalizar esas cuatro semanas en un Octa presencial intensivo, lo hace en dos días con seis meses de acompañamiento posterior.

Hay tres cosas que la AESIA no exige y que algunas empresas asumen erróneamente que sí. Primera, certificación oficial homologada del personal: el Art. 4 habla de alfabetización suficiente adaptada al puesto, no de título oficial homologado. Cualquier proveedor que afirme entregar formación con certificado homologado por la UE está incurriendo en lectura abusiva: la homologación oficial todavía no existe como tal. Segunda, validación previa de la política IA por la AESIA: la empresa redacta su política internamente, firma y la mantiene viva; la AESIA la revisa solo en caso de inspección o consulta. Tercera, auditoría preventiva obligatoria por consultor externo: no es obligatoria, aunque puede ser útil en empresas grandes o en sectores muy regulados. Una PYME de quince personas en servicios profesionales no necesita auditor externo para cumplir; necesita criterio interno y documentación ordenada.

El punto de entrada principal sobre el cumplimiento del Reglamento UE de IA está en la pillar sobre Art. 4 del Reglamento UE 2024/1689 con el desarrollo completo. Para empresas del sector gestoría administrativa, está la guía AI Act específica para gestorías civiles. Para entender cómo se integra la formación IA con la bonificación FUNDAE, esa pillar lo recoge paso a paso. Para validar si una empresa cumple con un Octa presencial o si necesita primero un curso introductorio, el diagnóstico de veinte minutos sirve para decidirlo sin guion comercial. Quien prefiera profundizar en el método antes de cualquier llamada puede leer la página sobre cómo trabaja la agencia IA en Barcelona, la página del curso IA Barcelona con el formato presencial in-company de dos días, y la descripción del método Octa.