Menu

Menu

Menu

De interés

Nuestro propósito y nuestros valores: Código de conducta

Reconocimientos

Loading Results

Análisis de las Guías publicadas por la Agencia Española de Inteligencia Artificial (AESIA)
Análisis de las Guías publicadas por la Agencia Española de Inteligencia Artificial

La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) ha publicado un conjunto de dieciséis guías de apoyo para facilitar el cumplimiento del Reglamento de IA (Reglamento (UE) 2024/1689). Estos documentos, que incluyen desde guías introductorias hasta manuales técnicos con ejemplos y checklists, establecen un estándar práctico de diligencia. Ponen el foco en los sistemas de IA de alto riesgo y clarifican las responsabilidades de proveedores y responsables del despliegue a lo largo del ciclo de vida del sistema, priorizando la gobernanza, la trazabilidad y la responsabilidad como ejes del cumplimiento.

La AESIA ha adoptado un enfoque práctico, indicando en cada guía los actores a los que se dirige principalmente. El conjunto completo de publicaciones es el siguiente:

1. Guía introductoria al reglamento de IA

5. Guía de gestión de riesgos

9. Guía de Precisión

13. Guía Vigilancia postcomercialización

 

2. Guía práctica y ejemplos para entender el Reglamento de IA

 

6. Guía Vigilancia humana

10. Guía Solidez

14. Guía Gestión de Incidentes

3. Guía Evaluación de conformidad

7. Guía de datos y gobernanza de datos

11. Guía Ciberseguridad

15. Guía Documentación Técnica

4. Guía del sistema de gestión de la calidad

8. Guía Transparencia

12. Guía de registros

16. Manual de checklist de guías de requisitos

Aunque cada guía merecerá un análisis independiente, es relevante destacar que todas enfatizan la gobernanza como punto de partida para una IA confiable. Recomiendan a las organizacioness aprobar una política corporativa de IA que delimite roles, responsabilidades y líneas de reporte. Asimismo, la AESIA subraya la importancia de crear un comité de IA transversal (con perfiles de riesgo, legal, privacidad, seguridad, cumplimiento, tecnología y negocio), mantener un inventario de casos de uso y definir criterios de criticidad. Dicha gobernanza debe integrarse con los marcos corporativos existentes (gestión de riesgos, control interno, etc.).

Respecto a la gestión del ciclo de vida de los sistemas, la AESIA destaca que debe estar configurada desde el origen hasta su retirada, con hitos de control y un registro trazable de las decisiones. En este marco, una supervisión humana significativa constituye una salvaguarda esencial, tanto en la fase de diseño como en la de operación del sistema.

Entre los aspectos más relevantes abordados en las guías mencionadas, se destacan los siguientes:

Uno de los ejes centrales de las guías publicadas es el relativo al gobierno del dato aplicado a IA. La documentación técnica es parte de la conformidad: fichas del sistema, tarjetas de modelo y dataset, registros de versiones, informes de pruebas, y evidencia de controles, documentación que debe ser completa y proporcional al riesgo, y permitir la auditabilidad independiente, la posibilidad de reproducir los resultados y explicar de forma transparente el mismo a terceros. 

La AESIA estructura la evaluación de riesgo según criterios de uso, contexto, interesados afectados, o potencialidad del daño, teniendo en cuenta un enfoque basado en riesgos. Las guías recomiendan realizar evaluaciones de impacto sobre derechos fundamentales cuando el sistema pueda influir en decisiones con efectos significativos para las personas, y documentar medidas mitigadoras, garantías y salvaguardas. Se detallan prácticas de verificación y validación previas al despliegue, incluyendo pruebas tales como las de caja negra y caja blanca. La preparación para auditorías incluye un plan de evidencias y custodias, criterios objetivos de aceptación, y una matriz de trazabilidad que conecte requisitos, controles y resultados de prueba. La AESÍA considera que la conformidad no se trata como un acto puntual, sino como un estado mantenido mediante controles operativos, revisión periódica y reporting a la gobernanza.

El bloque ético-operativo se articula en torno a la equidad, la explicabilidad y la transparencia. Las guías instan a medir la equidad con métricas adecuadas al caso de uso concreto, permitiendo aplicar medidas de mitigación de sesgos en las fases de datos, modelado y postprocesado. En materia de explicabilidad, se distingue entre explicaciones globales (cómo funciona el sistema) y locales (por qué se ha producido un resultado concreto), con obligaciones de claridad, utilidad y proporcionalidad adaptadas a los distintos destinatarios (técnicos, usuarios finales, afectados).

La transparencia se materializa proporcionando información clara sobre los usos de la IA, sus limitaciones y los derechos de las personas. Esto debe complementarse con manuales de uso, la definición de límites operativos y la habilitación de vías de reclamación efectivas.

Las guías sitúan la seguridad como requisito transversal, incluyendo un catálogo de análisis sobre amenazas específicas de IA (envenenamiento de datos, evasión de modelos, extracción, prompt injection, filtrado de datos sensibles), segregación de entornos y controles de acceso de mínimo privilegio. En este sentido, se recomiendan técnicas de hardening de modelos y pipelines, validadores de entradas y salidas, y salvaguardas para prevenir fugas de información o uso indebido. La resiliencia operativa incluye, además de planes de continuidad, pruebas de recuperación y una adecuada gestión de vulnerabilidades.

Las guías describen la recogida de evidencias, el muestreo y la repetición de pruebas como mecanismos para verificar integridad, desempeño y equidad de los sistemas. Los hallazgos deben clasificarse por criticidad, con planes de remediación, plazos y responsables, así como seguimiento hasta cierre. La supervisión continua combina indicadores de salud del sistema con revisiones de gobernanza, incidentes y cambios sustantivos del entorno o los datos. La gestión de incidentes requiere canales claros para notificación, evaluación de impacto, contención y comunicación transparente con afectados y autoridades cuando aplique.

Conclusiones

En definitiva, las 16 guías publicadas por la AESIA son una herramienta fundamental que traduce un marco legal abstracto en pautas operativas concretas, orientando la diligencia debida de las organizaciones que desarrollan, integran o despliegan sistemas de IA.

Sin imponer nuevas obligaciones, consolidan un estándar práctico que conecta el diseño con la documentación técnica, la monitorización en producción y la respuesta a incidentes, y clarifican la asignación de responsabilidades entre proveedores y responsables del despliegue, así como los momentos que activan revisiones y reevaluaciones.

En conjunto, impulsan la adopción de sistemas formales de gestión de calidad y riesgos, el mantenimiento de registros y trazabilidad, una supervisión humana efectiva, métricas justificadas de desempeño y robustez, y medidas específicas de ciberseguridad, a la vez que refuerzan el control sobre la cadena de suministro y la preparación organizativa para detener o ajustar operaciones cuando sea necesario.

¿Cómo afectan estas guías a los operadores de sistemas de IA de alto riesgo? ¿Qué medidas han de adoptar las organizaciones para adecuar su actividad a las obligaciones que trae consigo el Reglamento Europeo de IA?

Para un análisis detallado de cómo estas guías afectan a su organización y qué medidas debe adoptar para cumplir con el Reglamento de IA, nuestro equipo de expertos está a su disposición.

Artículo elaborado por Marta Llamazares, senior manager de PwC Tax & Legal, y Marina Alonso, senior associate de PwC Tax & Legal. 

Artículo elaborado desde una perspectiva de protección de datos, analizando el caso Russmedia y su impacto en la configuración del régimen jurídico aplicable a los servicios digitales.

 

Contacta con nosotros

Fernando Fernández-Miranda

Fernando Fernández-Miranda

Socio responsable de NewLaw Pulse, PwC Tax & Legal

Email

© 2016 - 2026 PwC. Todos los derechos reservados. No se permite la distribución adicional sin autorización de PwC. “PwC” hace referencia a la red de firmas miembros de PricewaterhouseCoopers International Limited (PwCIL) o, según cada caso concreto, a firmas miembros individuales de la red PwC. Cada firma miembro es una entidad jurídica independiente y no actúa como agente de PwCIL ni de ninguna otra firma miembro. PwCIL no presta servicios a clientes. PwCIL no se responsabiliza ni responde de los actos u omisiones de ninguna de sus firmas miembros, ni del contenido profesional de sus trabajos ni puede vincularlas u obligarlas en forma alguna. De igual manera, ninguna de las firmas miembro son responsables por los actos u omisiones del resto de las firmas miembros ni del contenido profesional de sus trabajos, ni pueden vincular u obligar ni a dichas firmas miembros ni a PwCIL en forma alguna.