Anexos · V
Mapa de guías AESIA para la supervisión del Reglamento (UE) 2024/1689
La Agencia Española de Supervisión de la Inteligencia Artificial publicó el 10 de diciembre de 2025 un paquete de dieciséis guías oficiales, expresamente no vinculantes, que operativizan los doce requisitos del Capítulo III Sección 2 del Reglamento (UE) 2024/1689. Este anexo cartografía el paquete y mapea cada guía con los bloques del corpus CTIF a los que sirve como referencia metodológica de razonabilidad sectorial. La comisión las invoca para exigir al primer nivel ejecutivo un reporting estructurado, no como obligación normativa propia: el vocabulario de obligación se reserva para el propio Reglamento.
Posición institucional del paquete
Dieciséis guías oficiales no vinculantes para operativizar el Reglamento (UE) 2024/1689
El paquete AESIA publicado el 10 de diciembre de 2025 reúne dieciséis guías oficiales —dos introductorias (1 y 2), trece técnicas operativas (3 a 15) y un manual de checklist (16)— acompañadas de trece hojas Excel de autodiagnóstico por dominio. Se elabora en el marco del piloto español de sandbox regulatorio de IA del RD 817/2023, con doce sistemas seleccionados entre cuarenta y una propuestas y un grupo asesor de cuarenta personas expertas. El paquete declara expresamente su carácter no vinculante: no sustituye ni desarrolla la normativa aplicable, sino que proporciona recomendaciones prácticas alineadas con los requisitos del Reglamento (UE) 2024/1689 a la espera de la aprobación de las normas armonizadas europeas (prEN 18229-1 sobre logging, transparencia y supervisión humana; prEN 18229-2 sobre precisión y solidez; prEN 18228 sobre gestión de riesgos; prEN 18286 sobre sistema de gestión de la calidad; prEN ISO/IEC 24970 sobre logging de sistemas de IA) y de la aprobación del Ómnibus Digital que modifica el propio Reglamento. Constituye, a fecha de cierre de este anexo, el cuerpo metodológico más maduro disponible en castellano para operativizar el cumplimiento del Reglamento (UE) 2024/1689 por parte de proveedores y responsables del despliegue de sistemas de IA de alto riesgo.
Cartografía de las dieciséis guías
Dos guías introductorias (1 y 2), trece guías técnicas operativas (3 a 15) que articulan los doce requisitos del Capítulo III Sección 2 del Reglamento (UE) 2024/1689, y un manual de checklist (16) que orquesta operativamente el conjunto. Cada ficha indica el alcance metodológico que la guía detalla, los bloques del corpus CTIF a los que se aplica como referencia de razonabilidad sectorial y el enlace al PDF oficial de AESIA.
- Guía AESIA · 01IntroductoriaRelevancia · Alta
Guía introductoria al Reglamento de Inteligencia Artificial
Alcance metodológico
Recorre el modelo multinivel europeo-nacional (AVM, AN, ON; AESIA como autoridad de vigilancia del mercado principal junto con AEPD, BCE, CNMV, CGPJ y Junta Electoral por sectores), la pirámide de riesgo de cinco niveles del Reglamento y los cinco roles de la cadena de valor (proveedor, responsable del despliegue, representante autorizado, importador, distribuidor). Introduce la doctrina del proveedor sobrevenido por modificación sustancial, marca propia o cambio de finalidad (art. 25).
Bloques del corpus CTIF a los que se aplica
- 01
Sección II · Marco normativo de referencia
- 02
Sección V.4 · Dato e inteligencia artificial (V.4.7, V.4.11)
- 03
Sección IX · Proporcionalidad
- 04
Anexo II · Tabla sinóptica
- 05
Anexo IV · Calendario regulatorio
- 01
- Guía AESIA · 02IntroductoriaRelevancia · Alta
Guía Práctica y Ejemplos para Entender el Reglamento de IA
Alcance metodológico
Glosario didáctico con las principales definiciones operativas del artículo 3 del Reglamento, distinguiendo identificación biométrica (1:N), verificación (1:1) y categorización; sistema de IA, modelo GPAI y GPAI con riesgo sistémico; datos de entrenamiento y datos de entrada; modificación sustancial y mero ajuste. Incluye relación de obligaciones de los artículos 16, 26 y 73 con las trece guías técnicas operativas.
Bloques del corpus CTIF a los que se aplica
- 01
Sección V.4 · Dato e inteligencia artificial (vocabulario operativo)
- 02
Principios II, V, VII
- 03
Anexo II · Tabla sinóptica
- 04
Matriz de capacidades MC.4
- 01
- Guía AESIA · 03Técnica operativaRelevancia · Alta
Guía de evaluación de la conformidad
Alcance metodológico
Desarrolla la doble vía de evaluación de conformidad (Anexo VI por control interno o Anexo VII con organismo notificado) y el régimen aplicable por tipo de sistema. Detalla la responsabilidad indelegable del proveedor incluso cuando subcontrata diseño o producción, y delimita las modificaciones sustanciales frente a los cambios de aprendizaje continuo predeterminados en el Anexo IV.
Bloques del corpus CTIF a los que se aplica
- 01
Sección V.4.8 a V.4.10 · Marcado CE y modificaciones sustanciales
- 02
Sección V.3 · Riesgo y resiliencia digital
- 03
Modelo de Reglamento art. 6 y art. 10
- 04
Anexo IV · Calendario regulatorio
- 05
Matriz de capacidades MC.2 y MC.3
- 01
- Guía AESIA · 04Técnica operativaRelevancia · Alta
Guía del Sistema de Gestión de la Calidad
Alcance metodológico
Operativiza el Sistema de Gestión de la Calidad del artículo 17 del Reglamento en sus trece elementos mínimos, con especial énfasis en la letra m (marco de rendición de cuentas que define las responsabilidades del personal directivo). Detalla el régimen específico para entidades financieras (art. 17.4) y la cláusula doctrinal de que las letras g, h e i (riesgos, vigilancia poscomercialización, incidentes graves) permanecen exigibles en todo caso.
Bloques del corpus CTIF a los que se aplica
- 01
Sección V.4.11 · Documentación y rendición de cuentas
- 02
Sección VII · Relación con otras instancias
- 03
Modelo de Reglamento art. 12
- 04
Principios IV y V
- 05
Matriz de capacidades MC.3
- 01
- Guía AESIA · 05Técnica operativaRelevancia · Alta
Guía de Gestión de Riesgos
Alcance metodológico
Propone metodología de gestión de riesgos alineada con ISO 31000:2018, ISO/IEC 23894 y NIST AI RMF, con vocabulario auditable (amenaza, vulnerabilidad, riesgo, control, apetito, riesgo inherente y residual). Desarrolla el art. 9.10 (integración con marcos sectoriales preexistentes) y el art. 9.9 (atención específica a menores de 18 años y colectivos vulnerables). Incluye catálogo de indicadores como base de cuadro de mando supervisor.
Bloques del corpus CTIF a los que se aplica
- 01
Sección V.3 · Riesgo y resiliencia digital
- 02
Sección V.4.9 · Gestión de riesgos de IA
- 03
Sección VII · Coordinación con comisión de auditoría y riesgos
- 04
Principios II y IX
- 05
Matriz de capacidades MC.3
- 01
- Guía AESIA · 06Técnica operativaRelevancia · Alta
Guía de Vigilancia Humana
Alcance metodológico
Desarrolla la triada gradacional Human-in-Command, Human-in-the-Loop (recomendado en alto riesgo, ex ante) y Human-on-the-Loop (no recomendado en alto riesgo, ex post) como categoría de gobierno corporativo, no técnica. Formula el principio de proporcionalidad inversa: cuanto menor sea el nivel de supervisión que pueda ejercer una persona, mayores y más exigentes serán las verificaciones y la gobernanza. Introduce el modo de error forzado como instrumento contra el sesgo de automatización.
Bloques del corpus CTIF a los que se aplica
- 01
Sección V.4.8 · Supervisión humana
- 02
Sección V.5 · Capacidades organizativas
- 03
Principio III · Responsabilidad última humana
- 04
Modelo de Reglamento art. 8
- 05
Matriz de capacidades MC.3
- 01
- Guía AESIA · 07Técnica operativaRelevancia · Alta
Guía de datos y gobernanza de datos
Alcance metodológico
Estructura el ciclo de vida del dato en seis fases (requisitos de información, recopilación, preparación, disposición y eliminación) y la metodología de calidad en cinco. Distingue los sesgos inherentes a los datos de los sesgos cognitivos humanos, con tres puntos de mitigación (pre, in y post-procesamiento) y métricas formales (equalized odds, equality of opportunity, paridad estadística, igualdad predictiva). Doctrina de variables proxy y advertencia operativa sobre el art. 10.5.
Bloques del corpus CTIF a los que se aplica
- 01
Sección V.4 · Dato e inteligencia artificial (núcleo)
- 02
Sección V.4.7 a V.4.11 · Gobernanza, calidad y sesgos
- 03
Principio VI
- 04
Modelo de Reglamento art. 7 a 10
- 05
Matriz de capacidades MC.3 y MC.4
- 01
- Guía AESIA · 08Técnica operativaRelevancia · Alta
Guía sobre los requisitos de transparencia y comunicación de información a los responsables del despliegue
Alcance metodológico
Consagra el vínculo bidireccional transparencia, supervisión humana y gestión de riesgos. Eleva la elección caja blanca frente a caja negra a decisión estratégica de gobierno corporativo. Incorpora la contrafactualidad como derecho de las personas afectadas: no basta con explicar por qué se tomó una decisión, hay que explicar por qué fue esa y no otra. Catálogo de treinta y dos documentos técnicos como check-list operativo y advertencia sobre data drift, model drift y ataques de envenenamiento.
Bloques del corpus CTIF a los que se aplica
- 01
Sección V.4.8 · Transparencia y explicabilidad
- 02
Principio VIII · Transparencia
- 03
Principio VI
- 04
Modelo de Reglamento art. 12
- 05
Matriz de capacidades MC.4
- 01
- Guía AESIA · 09Técnica operativaRelevancia · Alta
Guía de Precisión
Alcance metodológico
Establece la precisión como métrica cuantitativa que vincula finalidad prevista con desempeño real y, por tanto, principal indicador objetivable que el consejo puede exigir, monitorizar y rendir como cuenta. Requiere log histórico de métricas, paneles de monitorización en producción, tarjetas de modelo (Model Cards) y de base de datos (Datasheets for Datasets) como artefactos de supervisión continua. Distingue rigurosamente métrica de precisión y función objetivo.
Bloques del corpus CTIF a los que se aplica
- 01
Sección V.4.9 a V.4.11
- 02
Sección VIII · Evaluación y transparencia
- 03
Principios V y VII
- 04
Matriz de capacidades MC.3
- 01
- Guía AESIA · 10Técnica operativaRelevancia · Alta
Guía de Solidez
Alcance metodológico
Desarrolla la doctrina de fallo seguro: el sistema fallará y el diseño debe minimizar el peor caso, en lugar de exigir perfección. Distingue incertidumbre aleatoria (irreducible, estocástica) e incertidumbre epistémica (reducible vía más datos). Adopta taxonomía de degradación con desviación del modelo, deriva del modelo y deriva de los datos en el tiempo, y la distinción solidez local y global como test doctrinal del consejo al preguntar al primer nivel ejecutivo.
Bloques del corpus CTIF a los que se aplica
- 01
Sección V.3 · Riesgo y resiliencia digital (fallo seguro)
- 02
Sección V.4.9 a V.4.11
- 03
Principio VIII
- 04
Matriz de capacidades MC.3 y MC.4
- 01
- Guía AESIA · 11Técnica operativaRelevancia · Alta
Guía de Ciberseguridad
Alcance metodológico
Distingue la ciberseguridad TI clásica de la ciberseguridad específica de IA, con catálogo de vectores propios: envenenamiento de datos y de modelos, evasión, inversión, extracción, transferencia, canal lateral, Membership y Property Inference, cadena de suministro de IA y DoS específico de IA. Controles diferenciados (STRIP, RONI/tRONI, destilación defensiva, regularización del gradiente, ART, privacidad diferencial, PATE). Anclaje en ISO/IEC 27001/27017, NIST 800-53, MITRE ATLAS y OWASP ML/AI/LLM Top Ten.
Bloques del corpus CTIF a los que se aplica
- 01
Sección V.3 · Riesgo y resiliencia digital
- 02
Sección V.4 · Dato e inteligencia artificial
- 03
Sección V.5 · Capacidades organizativas
- 04
Sección VII · Coordinación con CISO y DPD
- 05
Principio VII
- 01
- Guía AESIA · 12Técnica operativaRelevancia · Alta
Guía de Registros
Alcance metodológico
Eleva el tratamiento de logs del estatuto de registro técnico al de activo de información gobernable (ISO 15489). Fija el umbral irrebajable del art. 19 (al menos seis meses), siete principios funcionales (confidencialidad, integridad, disponibilidad, autenticidad, accesibilidad y trazabilidad, responsabilidad, retención y eliminación), régimen reforzado del Anexo III.1.a (biometría remota) y régimen especial del art. 19.2 para entidades financieras. Catálogo de diecinueve atributos típicos de registro.
Bloques del corpus CTIF a los que se aplica
- 01
Sección V.4.10 a V.4.11
- 02
Sección VIII · Evaluación y transparencia
- 03
Principio IV · Trazabilidad
- 04
Modelo de Reglamento art. 9 y art. 14
- 01
- Guía AESIA · 13Técnica operativaRelevancia · Alta
Guía de Vigilancia Poscomercialización
Alcance metodológico
Propone metodología para la vigilancia poscomercialización del art. 72 del Reglamento, con distinción operativa entre dato e indicador: un dato bruto solo se convierte en indicador cuando se le asocia una escala (mínimo y máximo aceptables) y un impacto (consecuencias a controlar). Seis elementos del plan (vigilancia continua, periódica, informes de incidentes, comunicación transparente, capacitación, flexibilidad) y advertencia sobre sesgo retroalimentado por reentrenamiento sobre las propias predicciones del modelo.
Bloques del corpus CTIF a los que se aplica
- 01
Sección V.4.10 · Vigilancia poscomercialización
- 02
Sección VI · Información periódica al consejo
- 03
Sección VIII · Evaluación y transparencia
- 04
Principio IV
- 05
Anexo IV · Calendario regulatorio (2 feb 2026)
- 01
- Guía AESIA · 14Técnica operativaRelevancia · Alta
Guía de Gestión de Incidentes
Alcance metodológico
Desarrolla los tres plazos diferenciados del art. 73 (quince días con carácter general; dos días para infracciones generalizadas o afectación a infraestructuras críticas; diez días en caso de fallecimiento) y el principio mutatis mutandis del art. 26.5 cuando el responsable del despliegue no logra contactar con el proveedor. Reserva al consejo la decisión de no alterar el sistema tras un incidente (art. 73.6) y régimen de excepciones por solapamiento normativo (productos sanitarios y otros instrumentos equivalentes).
Bloques del corpus CTIF a los que se aplica
- 01
Sección V.3 · Riesgo y resiliencia digital
- 02
Sección V.4.10
- 03
Sección VI · Información al consejo
- 04
Sección VII · Relación con auditoría
- 05
Principios IV, V y IX
- 01
- Guía AESIA · 15Técnica operativaRelevancia · Alta
Guía de Documentación Técnica
Alcance metodológico
Trata la documentación técnica del art. 11 y Anexo IV como contenedor que integra los productos documentales de prácticamente todas las demás guías. Fija el umbral de conservación de diez años (art. 18.1) con resiliencia explícita a quiebra y cese del proveedor (art. 18.2), régimen específico para entidades financieras (art. 18.3) y doctrina del trade-off documentado (apartado 5.2.b.4): cuando el diseño exija compensaciones entre requisitos, la documentación debe registrar aspectos implicados, motivo, descripción y consecuencias.
Bloques del corpus CTIF a los que se aplica
- 01
Sección V.4.11 · Documentación y rendición de cuentas
- 02
Sección VIII · Evaluación y transparencia
- 03
Principios IV, V y IX
- 04
Modelo de Reglamento art. 11 y art. 14
- 05
Anexo II · Tabla sinóptica
- 06
Anexo IV · Calendario regulatorio (2 feb 2026)
- 01
- Guía AESIA · 16Manual de orquestaciónRelevancia · Media
Manual de checklist de guías de requisitos
Alcance metodológico
Pieza de cierre transversal del paquete: no introduce contenido sustantivo nuevo, sino que orquesta operativamente las quince guías técnicas en una herramienta única de autodiagnóstico y planificación. Aporta la escala L1 a L8 de madurez (de L1 no documentada ni implementada a L5 documentada e implementada; L8 medida no necesaria para el sistema concreto), la distinción Medidas Guía y Medidas Adicionales (validables por SEDIA/AESIA) y la distinción CÓMO y QUÉ que deslinda el alcance de las guías frente a los futuros estándares armonizados.
Bloques del corpus CTIF a los que se aplica
- 01
Sección VI · Funcionamiento (cuadro de mando)
- 02
Sección VIII · Evaluación y transparencia
- 03
Modelo de Reglamento art. 5 a 9
- 04
Principios III, V y VII
- 05
Matriz de capacidades MC.3 y MC.4
- 06
Anexo IV · Calendario regulatorio
- 01
Patrón de uso por la comisión CTIF
Referencia metodológica de razonabilidad sectorial, no obligación normativa propia
La Comisión de Tecnología, Innovación y Futuro invoca el paquete AESIA como referencia metodológica de razonabilidad sectorial, no como obligación normativa propia. En el plan anual de la comisión, en la evaluación periódica del sistema de gestión de la calidad del primer nivel ejecutivo, en los dictámenes elevados al consejo en pleno y en el informe anual de actividad, la comisión cita las guías con el patrón estable "Guía AESIA N · Título exacto" y emplea verbos doctrinalmente correctos —detalla, desarrolla, propone metodología, constituye referencia, operativiza— reservando el vocabulario de obligación para el Reglamento (UE) 2024/1689. La comisión exige al primer nivel ejecutivo reporting estructurado por los doce dominios del Capítulo III Sección 2 del Reglamento, con cuadro de mando agregado y escala de madurez derivada del manual de checklist (Guía 16). El juicio supervisor del consejo no se delega en la validación administrativa de medidas adicionales por SEDIA: el órgano de administración conserva la responsabilidad última.
Articulación con el corpus doctrinal
Las dieciséis guías AESIA cartografiadas en este anexo se integran como referencia operativa en cinco piezas del corpus. Cada una incorpora el paquete desde un ángulo distinto: marco normativo, doctrina aplicada al dato y a la IA, articulado prescriptivo del Modelo de Reglamento, matriz de capacidades del consejo y calendario regulatorio.
Página doctrinal · Herramienta
Autoevaluación AESIA · Gobernanza del dato
Herramienta web interactiva derivada de la Guía 7 y su checklist operativo. Veintiuna medidas, seis subdimensiones, report agregado con scoring, radar de madurez y brechas materiales priorizadas para llevar al consejo.
Sección del maestro · II
Marco normativo de referencia
Identifica a AESIA como autoridad nacional supervisora del Reglamento (UE) 2024/1689 y posiciona el paquete de guías como cuerpo metodológico operativo a la espera de las normas armonizadas europeas.
Subsección del maestro · V.4
Gobernanza del dato y de la inteligencia artificial
Integra el vocabulario operativo de la Guía 2, la metodología de evaluación de conformidad de la Guía 3, la triada HIC/HITL/HOTL de la Guía 6 y el cuadro de madurez del manual de checklist (Guía 16) como rejilla supervisora.
Modelo de Reglamento · Cap. II · Art. 8
Competencias y funciones · Gobernanza del dato y de la IA
Articula referencia técnica a las guías AESIA en el apartado 8.3 (evaluación de conformidad, prácticas prohibidas) y declaración general en el apartado 8.5 sobre el paquete como referencia técnica supletoria sin carácter vinculante.
Anexo · I · MC.4
Matriz de capacidades · Dato e IA
Dimensión MC.4 de la matriz de capacidades del consejo: incorpora la familiaridad con el paquete de guías AESIA como indicador de acreditación de la cualificación técnica en gobernanza del dato y de la IA.
Anexo · IV
Calendario regulatorio aplicable
Sitúa la publicación del paquete AESIA del 10 de diciembre de 2025 como hito específico del calendario de implementación del AI Act, junto con los demás hitos europeos y españoles aplicables.