Inspección AESIA en tu empresa: cómo prepararse antes de la visita

Qué tipos de inspección puede realizar la AESIA

La AESIA puede actuar de tres formas principales. La inspección anunciada da entre 10 y 30 días de preaviso por escrito, con indicación del alcance (sistemas concretos a revisar) y la documentación inicial a aportar. Es la más común y permite preparar el dossier con tiempo.

La inspección por sorpresa o presencial inmediata se reserva para casos de sospecha grave (denuncia previa con indicios, prácticas prohibidas, riesgo inminente). El inspector llega y pide acceso a la documentación en el momento. Menos común pero posible.

El requerimiento documental remoto pide la documentación por escrito sin visita física, con un plazo típico de 15 días para aportar las evidencias. Es lo más frecuente para PYMEs pequeñas o medianas y no requiere desplazamiento del inspector.

Qué pedirá la AESIA en orden típico

Las primeras inspecciones AESIA realizadas en otoño de 2026 han mostrado un orden bastante consistente en las solicitudes.

• Inventario actualizado de sistemas IA en uso.
• Clasificación de cada sistema por nivel de riesgo (mínimo, limitado, alto, inaceptable).
• Registro de formación Art. 4 (alfabetización IA) con firma de asistentes.
• Política interna de uso de IA firmada por dirección y comunicada al equipo.
• Avisos de transparencia Art. 50 implementados en chatbots y contenido generado.
• Contratos con proveedores de IA (DPA RGPD + cláusulas IA).
• Para sistemas de alto riesgo: documentación técnica (Art. 11), registro de decisiones (Art. 12), evidencia de supervisión humana (Art. 14), evaluación de impacto (Art. 27).
• Procedimiento ante incidente IA y registro de incidentes pasados.
• Nombramiento del responsable interno IA por escrito.
• Plan de revisión periódica y evidencia de su ejecución.

Los 7 errores que garantizan un hallazgo formal

Después de revisar las primeras inspecciones AESIA realizadas en otoño de 2026, los errores que sistemáticamente producen hallazgos son los siguientes.

• Inventario incompleto o desactualizado (la IA invisible no aparece).
• Clasificación de riesgo sin justificación documentada por cada sistema.
• Registro de formación sin firmas de asistencia o con cursos genéricos no adaptados al puesto.
• Política interna publicada pero no comunicada (no se puede demostrar conocimiento por el equipo).
• Avisos Art. 50 ausentes o demasiado discretos en el producto.
• Falta de evaluación de impacto (Art. 27) cuando hay sistema de alto riesgo identificado.
• Ausencia de responsable interno designado por escrito.

Cómo presentar las evidencias en inspección presencial

El día de la visita, el inspector valora la disponibilidad y organización de las evidencias casi tanto como su contenido. Una empresa con dossier ordenado y bien indexado transmite cumplimiento maduro. Una empresa que busca documentos durante la visita transmite cumplimiento improvisado.

Preparativos: dossier accesible en un equipo conectado a pantalla compartida, índice del dossier impreso o digital con enlaces, una sala reservada con buena conexión, café y sillas suficientes. Estos detalles materiales reducen la tensión y agilizan la inspección.

Importante: no aportar documentos no solicitados. Responder exactamente lo que se pregunta. No improvisar respuestas técnicas sobre sistemas que no se dominan: si se duda, dejar la respuesta para el responsable que conoce el tema y aportar la información por escrito tras la visita.

Plazos y posibles desenlaces de la inspección

Tras la inspección, la AESIA emite un acta o informe en un plazo típico de 30 a 60 días. Posibles desenlaces: cumplimiento conforme (sin hallazgos, archivo); cumplimiento con observaciones (recomendaciones de mejora, sin sanción); incumplimiento leve (advertencia formal, plan de adecuación obligatorio); incumplimiento grave (propuesta de sanción que firma la autoridad superior); remisión a fiscalía si se detectan prácticas prohibidas del Art. 5.

El plan de adecuación obligatorio tras incumplimiento leve es la salida más frecuente para PYMEs en 2026: la AESIA pide subsanar en 30 a 90 días los hallazgos y verifica el cumplimiento al cierre del plazo, sin sanción económica si la subsanación es efectiva.

Para minimizar la probabilidad de sanción económica, la combinación más eficaz es: dossier completo + responsable bien preparado + actitud cooperativa en la inspección + subsanación rápida de cualquier hallazgo menor.

Cómo simular la inspección antes de que llegue

La forma más eficaz de prepararse es realizar una inspección simulada interna o con consultor externo. Coste típico en 2026: 800 a 2.500 euros para una PYME de 10 a 50 empleados, dependiendo del número de sistemas IA. La simulación detecta los hallazgos potenciales antes de que la inspección real los detecte.

Una alternativa más barata es usar el módulo de simulación incluido en plataformas como AI Comply, que recorre los criterios oficiales AESIA y emite un informe de hallazgos potenciales con plan de subsanación priorizado. Coste incluido en la suscripción anual.

El mejor momento para hacer la simulación es entre 3 y 6 meses antes del verano de 2026, cuando aún hay margen para subsanar sin presión temporal. Esperar al último trimestre antes de inspección reduce la capacidad de corrección.