La Inteligencia Artificial ya interviene en procesos de selección, redacta borradores de contratos, filtra currículums, automatiza la atención al cliente y genera contenidos en cuestión de segundos.
Su uso se ha extendido más rápido que las normas encargadas de controlar sus riesgos. España intenta ahora cerrar parte de esa brecha.
El Consejo de Ministros aprobó el 26 de mayo de 2026 el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la Inteligencia Artificial. Su finalidad es completar en España la aplicación del Reglamento Europeo de Inteligencia Artificial, conocido como AI Act, identificar a las autoridades responsables de su supervisión y establecer un régimen sancionador nacional.
Respuesta rápida: el proyecto español de Ley de Inteligencia Artificial prevé multas de hasta 35 millones de euros o el 7% del volumen de negocio mundial por determinadas prácticas prohibidas. Sin embargo, a 13 de julio de 2026, el texto todavía no está aprobado definitivamente ni ha entrado en vigor.
El proyecto fue presentado en el Congreso el 28 de mayo y publicado en el Boletín Oficial de las Cortes Generales el 12 de junio. Actualmente continúa su tramitación parlamentaria, por lo que su contenido puede modificarse mediante enmiendas.
El plazo de presentación de enmiendas se ha ampliado hasta el 2 de septiembre de 2026. Hasta que el texto sea aprobado por las Cortes y publicado en el BOE, debe hablarse de proyecto de ley y no de una ley española plenamente vigente.
Esto no significa que las empresas puedan esperar. Algunas obligaciones del AI Act ya se aplican, como las relacionadas con las prácticas prohibidas y la alfabetización en IA. Otras comenzarán a exigirse a partir del 2 de agosto de 2026.
La pregunta, por tanto, ya no es si las organizaciones van a utilizar IA. Es si saben qué herramientas emplean, para qué las utilizan y qué obligaciones puede generar cada uso.
¿Qué es la nueva Ley de Inteligencia Artificial en España?
La denominada Ley de Inteligencia Artificial en España es, por ahora, un proyecto de ley orgánica que desarrolla determinados aspectos necesarios para aplicar el AI Act europeo dentro del ordenamiento español.
El Reglamento europeo ya es directamente aplicable en los Estados miembros. España no necesita reproducir todo su contenido, pero sí debe concretar cuestiones nacionales como:
- Las autoridades encargadas de supervisar cada ámbito.
- La coordinación entre organismos públicos.
- El procedimiento de inspección.
- La clasificación de las infracciones.
- Las sanciones aplicables.
- Determinadas reglas para el uso de IA en el sector público.
Por tanto, conviene distinguir dos normas relacionadas, pero diferentes:
| Norma | Qué regula | Situación |
|---|---|---|
| AI Act europeo | Clasifica los sistemas de IA por riesgo y fija obligaciones para proveedores, responsables del despliegue y otros operadores. | En vigor y con aplicación progresiva desde 2025. |
| Proyecto español de gobernanza de la IA | Designa autoridades, organiza la supervisión y establece el régimen nacional de infracciones y sanciones. | En tramitación parlamentaria. |
El proyecto español no sustituye al Reglamento europeo. Lo complementa en aquellas materias que requieren una regulación nacional.
Puedes consultar más detalles sobre el Reglamento Europeo de Inteligencia Artificial.
Cómo clasifica el AI Act los sistemas de Inteligencia Artificial
El AI Act utiliza un enfoque basado en el riesgo. Cuanto mayor sea el posible impacto sobre los derechos, la seguridad o la salud de las personas, más exigentes serán las obligaciones.
| Nivel de riesgo | Ejemplos | Consecuencia principal |
|---|---|---|
| Riesgo inaceptable | Manipulación dañina, puntuación social o determinados usos biométricos. | Uso prohibido. |
| Alto riesgo | Selección de personal, educación, servicios esenciales, sanidad o infraestructuras críticas, cuando se cumplan los requisitos del Reglamento. | Permitido con obligaciones reforzadas. |
| Riesgo de transparencia | Chatbots, contenido sintético y determinados deepfakes. | Información y transparencia en los casos previstos. |
| Riesgo mínimo | Filtros de spam, videojuegos o automatizaciones con impacto reducido. | Sin obligaciones adicionales específicas del AI Act en la mayoría de los casos. |
No todo sistema utilizado en recursos humanos, finanzas o sanidad será automáticamente de alto riesgo. Habrá que analizar su finalidad concreta, el contexto en el que se utiliza y si cumple los criterios establecidos en el Reglamento.
Idea clave: las obligaciones no dependen solo del sector o del tamaño de la empresa. También dependen del papel que desempeñe la organización y del riesgo asociado al uso concreto de la IA.
Multas de hasta 35 millones de euros: qué prevé el proyecto
Uno de los puntos centrales del proyecto español es su régimen sancionador.
La futura norma distinguiría entre infracciones leves, graves y muy graves. Dentro de estas últimas, aplicaría un nivel especialmente elevado cuando se utilicen prácticas de IA prohibidas por el Reglamento europeo.
| Tipo de infracción | Sanción máxima prevista | Supuestos orientativos |
|---|---|---|
| Muy grave por prácticas prohibidas | 35 millones de euros o el 7% del volumen de negocio mundial. | Uso de sistemas incluidos entre las prácticas prohibidas por el AI Act. |
| Otras infracciones muy graves | 15 millones de euros o el 3% del volumen de negocio mundial. | Determinados incumplimientos especialmente relevantes previstos en el proyecto. |
| Graves | 7,5 millones de euros o el 1% del volumen de negocio mundial. | Incumplimientos de determinadas obligaciones de transparencia, supervisión o registro. |
| Leves | 500.000 euros o el 0,5% del volumen de negocio mundial. | Determinados incumplimientos formales o de menor entidad. |
En el caso de las empresas, el cálculo puede realizarse tomando como referencia el volumen de negocios mundial total del ejercicio anterior. Con carácter general, se aplicaría el importe que resulte superior entre la cantidad fija y el porcentaje correspondiente.
El proyecto incluye una regla específica para pymes y empresas emergentes. En estos casos, el límite podría ser la cantidad menor entre el porcentaje del volumen de negocio y la cifra fija prevista para la infracción.
La cuantía final no se impondría de forma automática. La autoridad competente tendría que valorar, entre otras circunstancias:
- La naturaleza, gravedad y duración del incumplimiento.
- El número de personas afectadas.
- El daño ocasionado.
- La capacidad económica de la empresa.
- El beneficio obtenido.
- La reincidencia.
- La colaboración con las autoridades.
- Las medidas adoptadas para corregir el incumplimiento.
Una pequeña empresa que detecta un problema, suspende el sistema y colabora con la autoridad no se encuentra en la misma situación que una gran compañía que mantiene deliberadamente una práctica prohibida.
Qué prácticas de IA ya están prohibidas
Las prohibiciones principales no dependen de que España apruebe su proyecto de ley. El artículo 5 del AI Act comenzó a aplicarse el 2 de febrero de 2025.
Entre las prácticas prohibidas se encuentran, con los límites y condiciones establecidos por el Reglamento:
- Técnicas subliminales, manipuladoras o engañosas destinadas a alterar el comportamiento de una persona y que puedan causarle un perjuicio significativo.
- Explotación de vulnerabilidades relacionadas con la edad, la discapacidad o una situación social o económica concreta.
- Sistemas de puntuación social que generen determinados tratamientos perjudiciales o desfavorables.
- Determinados sistemas de policía predictiva basados únicamente en perfiles o rasgos personales.
- Creación de bases de datos de reconocimiento facial mediante la extracción indiscriminada de imágenes de internet o de grabaciones de circuitos cerrados.
- Reconocimiento de emociones en centros de trabajo y educativos, salvo ciertos usos médicos o relacionados con la seguridad.
- Categorización biométrica destinada a deducir determinadas características sensibles.
- Identificación biométrica remota en tiempo real en espacios públicos con fines policiales, salvo excepciones tasadas.
El proyecto español clasifica el incumplimiento de estas prohibiciones como infracción muy grave y establece las autoridades encargadas de investigar y sancionar cada caso.
¿Qué ocurre con los deepfakes sexuales?
En mayo de 2026, las instituciones europeas alcanzaron un acuerdo político para incorporar nuevas prohibiciones relacionadas con sistemas capaces de generar o manipular contenidos sexuales sintéticos sin consentimiento y material de abuso sexual infantil.
No obstante, debe distinguirse entre el acuerdo político y la aprobación formal de la modificación europea. Hasta que el texto definitivo complete su tramitación y se publique, no conviene presentarlo como una prohibición plenamente incorporada al AI Act vigente.
Además, la creación o difusión de imágenes sexuales falsas puede tener consecuencias conforme a otras normas españolas, especialmente en materia penal, protección de datos, derecho al honor, intimidad y propia imagen.
Te recomendamos leer Inteligencia artificial y derechos laborales: qué dice la ley.
¿Es obligatorio avisar cuando un contenido se ha creado con IA?
No todo contenido creado con Inteligencia Artificial debe llevar automáticamente una etiqueta visible.
El AI Act establece obligaciones de transparencia para determinados sistemas y contenidos. Su aplicación dependerá del tipo de material, de su finalidad y del papel que desempeñe la empresa.
Entre los supuestos regulados se encuentran:
- Los sistemas destinados a interactuar directamente con personas, como determinados chatbots.
- Los contenidos de imagen, audio, vídeo o texto sintéticos que deban poder detectarse como generados o manipulados mediante IA.
- Los deepfakes, que deberán identificarse como artificiales o manipulados en los casos previstos.
- Determinados textos generados o manipulados mediante IA que se publiquen para informar al público sobre asuntos de interés general.
El Reglamento también contempla excepciones y formas de cumplimiento adaptadas al contexto. Por ejemplo, no se aplicarán exactamente las mismas reglas a una obra artística que a un vídeo manipulado presentado como una grabación real.
Para marketing y comunicación: usar IA para preparar un borrador interno no genera necesariamente una obligación de etiquetado. El análisis cambia cuando el contenido sintético puede confundirse con uno real, representa a personas o se emplea para informar sobre asuntos de interés público.
¿A qué empresas afecta realmente la normativa de IA?
El AI Act no afecta únicamente a las grandes empresas tecnológicas. Puede alcanzar a cualquier organización que desarrolle, comercialice, importe, distribuya o utilice un sistema de IA dentro de la Unión Europea.
Ahora bien, las obligaciones concretas cambian según el papel de la organización:
| Papel | Qué significa | Ejemplo |
|---|---|---|
| Proveedor | Desarrolla un sistema de IA o lo comercializa bajo su nombre. | Empresa que crea una herramienta de selección automatizada. |
| Responsable del despliegue | Utiliza el sistema bajo su autoridad en una actividad profesional. | Empresa que usa una herramienta de IA para evaluar candidatos. |
| Importador | Introduce en el mercado europeo un sistema procedente de un tercer país. | Distribuidor europeo de una solución desarrollada fuera de la UE. |
| Distribuidor | Comercializa un sistema sin ser su proveedor o importador. | Empresa que incorpora una solución de terceros a su catálogo. |
Una empresa que usa un asistente generativo para redactar correos internos no tendrá las mismas obligaciones que otra que desarrolla un sistema para decidir quién accede a un empleo, un crédito o un servicio esencial.
Ejemplos de actividades empresariales afectadas
Recursos humanos
Filtrado de currículums, clasificación de candidaturas, evaluación de entrevistas o asignación automatizada de tareas.
Despachos y asesorías
Redacción de borradores, análisis documental, revisión de contratos o elaboración de informes con IA generativa.
Marketing y comunicación
Creación de imágenes, vídeos, voces sintéticas, anuncios personalizados o contenidos informativos.
Sector financiero y asegurador
Evaluación de solvencia, análisis de riesgos, detección de fraude o tarificación automatizada.
Atención al cliente
Chatbots, asistentes virtuales o sistemas que clasifican y responden reclamaciones.
Qué obligaciones pueden tener las empresas
No existe una lista única que se aplique por igual a todas las organizaciones. Las exigencias dependen del sistema, de su nivel de riesgo y de si la empresa actúa como proveedora o como responsable de su despliegue.
En el caso de los sistemas de alto riesgo, las obligaciones pueden incluir:
- Implantar medidas de supervisión humana efectiva.
- Utilizar el sistema conforme a sus instrucciones de uso.
- Controlar la calidad y pertinencia de los datos introducidos.
- Conservar determinados registros generados automáticamente.
- Informar de incidentes graves o fallos relevantes.
- Realizar, en ciertos casos, una evaluación de impacto sobre los derechos fundamentales.
- Cooperar con las autoridades de supervisión.
Los proveedores de sistemas de alto riesgo asumen otras obligaciones, como la gestión de riesgos, la documentación técnica, los controles de calidad, el registro o la evaluación de conformidad.
Conviene distinguir: utilizar una herramienta de IA no convierte automáticamente a la empresa en responsable de su desarrollo. Tampoco obliga siempre a documentar cómo fue entrenado el modelo, porque esa información puede corresponder al proveedor.
La alfabetización en IA ya es obligatoria
Una de las obligaciones que con más frecuencia pasa desapercibida ya está vigente.
Desde el 2 de febrero de 2025, los proveedores y responsables del despliegue deben adoptar medidas para garantizar un nivel suficiente de alfabetización en Inteligencia Artificial entre su personal y otras personas que utilicen los sistemas en su nombre.
Esto no significa que todos los trabajadores deban completar el mismo curso ni obtener una certificación oficial. La formación debe adaptarse a:
- Los conocimientos y la experiencia del personal.
- La herramienta utilizada.
- El contexto de uso.
- Los posibles riesgos para clientes, candidatos, trabajadores o usuarios.
Por ejemplo, una persona que utiliza IA generativa para redactar informes debería saber que el sistema puede inventar datos, reproducir sesgos o revelar información confidencial si se introducen documentos sensibles.
Para acreditar el cumplimiento, la empresa puede documentar:
- Las políticas internas de uso de IA.
- La formación impartida.
- Los perfiles autorizados para utilizar cada herramienta.
- Los controles de revisión humana.
- Las instrucciones sobre protección de datos y confidencialidad.
Sector público: control y medidas correctoras, pero sin multas
Uno de los puntos más discutidos del proyecto español es el tratamiento de las administraciones y entidades del sector público.
Con la redacción actual, cuando una entidad pública cometa una infracción no se le impondrían las multas económicas previstas para las empresas privadas.
Esto no significa que el incumplimiento quede sin consecuencias. La autoridad competente podría:
- Declarar formalmente la infracción.
- Emitir un apercibimiento.
- Ordenar el cese de la conducta.
- Exigir medidas para corregir sus efectos.
- Proponer actuaciones disciplinarias cuando correspondan.
El proyecto también incorpora medidas específicas para el sector público estatal, como la elaboración de inventarios de sistemas de IA y la designación de delegados de Inteligencia Artificial.
Importante: la figura del delegado de IA se proyecta para las entidades del sector público estatal. El texto no establece que todas las empresas privadas tengan que crear un puesto equivalente.
¿Quién supervisará la Inteligencia Artificial en España?
La Agencia Española de Supervisión de la Inteligencia Artificial, conocida como AESIA, tendrá un papel central, pero no será la única autoridad competente.
El proyecto distribuye las funciones de vigilancia según el sector y el tipo de sistema. Entre los organismos que pueden intervenir se encuentran:
- La Agencia Española de Supervisión de la Inteligencia Artificial.
- La Agencia Española de Protección de Datos.
- El Banco de España.
- La Comisión Nacional del Mercado de Valores.
- La Dirección General de Seguros y Fondos de Pensiones.
- Las autoridades de protección de los consumidores.
- El Consejo General del Poder Judicial.
- Otros organismos sectoriales con competencias específicas.
Por ejemplo, un sistema utilizado para evaluar la solvencia de clientes puede quedar sometido a autoridades distintas de las que controlarían una herramienta biométrica o una aplicación empleada por una administración pública.
¿Qué pasa con las pymes y startups?
El marco europeo y el proyecto español incorporan mecanismos destinados a evitar que el cumplimiento normativo frene de forma desproporcionada la innovación.
Uno de estos instrumentos son los espacios controlados de pruebas o sandboxes regulatorios. Permiten desarrollar, probar y validar sistemas de IA bajo supervisión y con el acompañamiento de las autoridades.
Participar en un sandbox no convierte el proyecto en una zona sin normas. Tampoco elimina automáticamente la responsabilidad de la empresa. Su función es facilitar el cumplimiento, detectar riesgos antes de la comercialización y aclarar cómo se aplica la regulación a un producto concreto.
Las pymes también pueden beneficiarse de:
- Orientaciones y canales específicos de asesoramiento.
- Acceso prioritario a determinados espacios de prueba.
- Medidas adaptadas a sus recursos y dimensión.
- Límites sancionadores específicos.
Te puede interesar ¿Cómo influye la Inteligencia Artificial en la contabilidad?.
¿La regulación de IA afecta a los autónomos?
Sí, un profesional autónomo puede quedar sujeto al AI Act. Sin embargo, no por el simple hecho de utilizar cualquier herramienta de Inteligencia Artificial.
Las obligaciones dependerán de factores como:
- Si desarrolla o simplemente utiliza el sistema.
- La finalidad profesional de la herramienta.
- El nivel de riesgo.
- El impacto sobre clientes, trabajadores o terceros.
- La información que introduce en el sistema.
Un autónomo que emplea IA para resumir notas internas no se encuentra en la misma situación que quien utiliza un sistema automatizado para evaluar candidatos, decidir el acceso a un servicio o elaborar perfiles con efectos jurídicos.
En todo caso, seguirán siendo aplicables otras normas sobre protección de datos, propiedad intelectual, confidencialidad, consumidores y responsabilidad profesional.
Calendario del AI Act y de la ley española
La aplicación del AI Act es progresiva. Aunque el 2 de agosto de 2026 es una fecha central, no supone que todas las obligaciones comiencen exactamente ese día.
| Fecha | Qué ocurre |
|---|---|
| 1 de agosto de 2024 | Entrada en vigor del AI Act europeo. |
| 2 de febrero de 2025 | Comienzan a aplicarse las prácticas prohibidas, la definición de sistema de IA y la obligación de alfabetización en IA. |
| 2 de agosto de 2025 | Comienzan a aplicarse las reglas de gobernanza y determinadas obligaciones para los modelos de IA de propósito general. |
| 26 de mayo de 2026 | El Consejo de Ministros aprueba el proyecto español de gobernanza de la IA. |
| 12 de junio de 2026 | El proyecto se publica en el Boletín Oficial de las Cortes Generales. |
| 2 de agosto de 2026 | Comienza a aplicarse una parte sustancial del AI Act, incluidas diversas obligaciones de transparencia y supervisión, con las excepciones y calendarios específicos previstos. |
| 2 de septiembre de 2026 | Finaliza el plazo de presentación de enmiendas al proyecto español, salvo que se acuerde una nueva ampliación. |
El calendario de determinadas obligaciones de alto riesgo puede estar sujeto a reglas transitorias y a modificaciones europeas posteriores. Las empresas deben revisar el régimen concreto aplicable a cada sistema, en lugar de utilizar una única fecha para toda la normativa.
Qué deberían hacer las empresas antes del 2 de agosto de 2026
Esperar a que llegue una sanción no es una estrategia de cumplimiento. El primer paso tampoco consiste en preparar cientos de documentos sin saber qué herramientas utiliza realmente la organización.
Una revisión práctica puede comenzar por estas medidas:
- Crear un inventario de herramientas de IA. Debe incluir soluciones contratadas por la empresa y aplicaciones utilizadas por el personal sin autorización formal.
- Identificar la finalidad de cada sistema. No genera el mismo riesgo redactar un correo que evaluar a una persona candidata.
- Determinar el papel de la empresa. Conviene comprobar si actúa como proveedora, distribuidora o responsable del despliegue.
- Clasificar los riesgos. Hay que revisar si el sistema puede estar prohibido, considerarse de alto riesgo o estar sujeto a transparencia.
- Revisar contratos y proveedores. La empresa necesita conocer qué garantías ofrece la herramienta y cómo utiliza los datos.
- Formar al personal. La alfabetización en IA ya es una obligación aplicable.
- Establecer supervisión humana. Las decisiones relevantes no deberían delegarse sin controles ni capacidad real de revisión.
- Documentar las medidas. Las políticas, evaluaciones y acciones formativas deben poder acreditarse.
Ejemplo práctico: una empresa utiliza una herramienta para ordenar candidaturas según su adecuación a una oferta. Antes de continuar, debería analizar qué datos procesa, cómo influye la puntuación en la decisión, si existe revisión humana y si el sistema puede clasificarse como de alto riesgo.
Preguntas frecuentes sobre la Ley de Inteligencia Artificial en España
Estas son algunas de las dudas más habituales sobre el nuevo marco regulatorio:
Fuentes oficiales consultadas
- Tramitación del Proyecto de Ley Orgánica para el buen uso y la gobernanza de la Inteligencia Artificial.
- Texto del proyecto publicado en el Boletín Oficial de las Cortes Generales.
- Referencia del Consejo de Ministros del 26 de mayo de 2026.
- Calendario oficial de aplicación del AI Act.
- Preguntas y respuestas de la Comisión Europea sobre alfabetización en IA.
La regulación de la IA ya está entrando en las empresas
Compliance, protección de datos, auditoría algorítmica, riesgos legales, recursos humanos y contratación pública. La Inteligencia Artificial exige profesionales capaces de comprender la tecnología y aplicar la normativa a situaciones reales.
Formarte ahora te permitirá anticipar los cambios, identificar riesgos y participar en la implantación responsable de sistemas de IA.
La regulación de la Inteligencia Artificial ya no pertenece a un escenario futuro. Parte del AI Act está en aplicación y el 2 de agosto de 2026 comenzará una nueva fase de cumplimiento.
Para las empresas, el reto no consiste únicamente en saber qué herramientas están prohibidas. También deben identificar los sistemas que utilizan, formar al personal, revisar sus procesos y garantizar que las decisiones relevantes mantienen una supervisión humana real.
Entender este nuevo marco es una competencia cada vez más necesaria para profesionales del compliance, el derecho digital, la asesoría, los recursos humanos y la transformación empresarial.






Deja un comentario