El Gobierno ha aprobado en el Consejo de Ministros el proyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial, una norma que adapta el marco español al Reglamento Europeo de IA y que ahora deberá continuar su tramitación parlamentaria en el Congreso y el Senado antes de convertirse definitivamente en ley. No es, por tanto, una regulación aislada ni una ocurrencia nacional: España está desarrollando las piezas que el AI Act deja en manos de los Estados miembros, especialmente supervisión, gobernanza, autorizaciones y régimen sancionador.
El texto llega con un mensaje claro para empresas, administraciones y proveedores tecnológicos: usar IA ya no será solo una decisión de producto o eficiencia. Será también una cuestión de cumplimiento, trazabilidad, supervisión humana y responsabilidad. Las multas previstas van desde los 6.000 euros para infracciones leves hasta 35 millones de euros o el 7 % del volumen de negocio mundial anual para los incumplimientos más graves vinculados a prácticas prohibidas.
Un régimen sancionador para que el AI Act tenga dientes en España
El Reglamento Europeo de IA, aprobado en 2024, es directamente aplicable en toda la Unión Europea, pero necesita que cada Estado miembro organice su propio sistema de control. El proyecto español cumple esa función: define autoridades, procedimiento sancionador, coordinación entre supervisores y reglas para usos especialmente sensibles, como la identificación biométrica remota en tiempo real en espacios públicos.
La norma clasifica las infracciones en leves, graves y muy graves. Las más duras afectan a prácticas prohibidas por el Reglamento europeo, como determinados usos manipuladores, sistemas de puntuación social, clasificación biométrica ilícita o identificación biométrica remota en tiempo real fuera de los supuestos permitidos.
| Tipo de infracción | Sanción prevista |
|---|---|
| Leve | De 6.000 a 500.000 euros o del 0,5 % al 1 % del negocio mundial |
| Grave | De 500.001 a 7.500.000 euros o del 1 % al 2 % |
| Muy grave en sistemas de alto riesgo | De 7.500.001 a 15.000.000 euros o del 2 % al 3 % |
| Muy grave en prácticas prohibidas | De 7.500.001 a 35.000.000 euros o del 2 % al 7 % |
El proyecto introduce además una regla importante para grupos empresariales: cuando la sociedad infractora forme parte de un grupo, el volumen de negocio que se tendrá en cuenta para calcular el límite de la sanción será el del grupo, no solo el de la filial directamente responsable. Es una forma de evitar que grandes compañías reduzcan el efecto disuasorio de las multas usando sociedades pequeñas.
En el caso de las pymes y empresas emergentes, el texto recoge un tratamiento más proporcionado. Cuando proceda, la multa podrá calcularse aplicando el importe o el porcentaje que resulte menor. Además, para infracciones no muy graves, la autoridad podrá suspender el procedimiento si la empresa corrige la situación e indemniza los daños causados.
El sector público queda en una posición distinta. Si una entidad pública comete una infracción, la autoridad competente podrá declarar la infracción, apercibir a la entidad y exigir medidas correctoras, pero queda excluida la imposición de multas administrativas. Esta excepción ya está generando debate porque algunos expertos y asociaciones consideran que puede debilitar el efecto real de la norma cuando el mal uso de la IA proceda de una administración.
AESIA, AEPD y supervisores sectoriales: quién vigilará qué
La Agencia Española de Supervisión de la Inteligencia Artificial, AESIA, se consolida como punto de contacto único y como una de las autoridades centrales del sistema. Tendrá competencias sobre buena parte de los sistemas de alto riesgo y sobre los incumplimientos vinculados a transparencia u obligaciones generales de IA.
Pero no actuará sola. El proyecto distribuye responsabilidades entre varias autoridades. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos supervisarán determinados usos relacionados con biometría, garantía del cumplimiento del derecho, migración, asilo y control fronterizo. El Banco de España y la CNMV actuarán en sistemas de IA relacionados con solvencia y calificación crediticia. La Dirección General de Seguros y Fondos de Pensiones será competente en sistemas usados para evaluación de riesgos y fijación de precios en seguros de vida y salud. También aparecen el Consejo General del Poder Judicial y la Junta Electoral Central para ámbitos de justicia y procesos democráticos.
Esta arquitectura refleja una realidad incómoda: la IA no cabe en una sola ventanilla. Un sistema usado para seleccionar personal no plantea los mismos riesgos que uno utilizado para conceder crédito, fijar una prima de seguro, analizar imágenes médicas, vigilar infraestructuras críticas o generar contenido sintético. Por eso la gobernanza será necesariamente sectorial, aunque coordinada.
Para evitar criterios contradictorios, el proyecto crea una Comisión mixta de coordinación de autoridades de vigilancia del mercado, presidida y gestionada por AESIA. También prevé mecanismos de intercambio de información, informes anuales y asistencia técnica entre autoridades.
Biometría, deepfakes y contenido sintético
Uno de los apartados más sensibles es el uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público. El proyecto mantiene la prohibición general, pero regula supuestos excepcionales vinculados a fines de garantía del cumplimiento del Derecho. Esos usos deberán estar limitados a personas concretas, causas tasadas, ámbito geográfico y temporal determinado, y autorización judicial de los juzgados de lo contencioso-administrativo.
La autorización deberá resolverse en un plazo máximo de 48 horas. En casos de urgencia, el uso podría iniciarse antes, pero si la autorización se deniega, deberá interrumpirse de inmediato y eliminar los datos obtenidos. La norma también exige que los datos de personas distintas de las especificadas en la autorización sean desechados y suprimidos sin demora indebida.
Otro punto importante afecta al contenido generado o manipulado por IA. Los proveedores deberán informar cuando una persona interactúe con un sistema de IA, y marcar los resultados sintéticos de audio, imagen, vídeo o texto para que pueda detectarse su naturaleza artificial. Los responsables del despliegue también tendrán obligaciones de transparencia cuando usen sistemas de reconocimiento de emociones, categorización biométrica o generen contenidos que puedan constituir deepfakes.
Esto tendrá impacto directo en medios, publicidad, entretenimiento, redes sociales, campañas políticas, recursos humanos, banca, seguros y atención al cliente. La pregunta ya no será solo si una pieza de contenido se ha hecho con IA, sino si está correctamente identificada, documentada y supervisada cuando pueda afectar a derechos o inducir a error.
Qué deberían hacer ya las empresas
El proyecto todavía tiene recorrido parlamentario, pero esperar a la publicación en el BOE sería un error para cualquier organización que ya use IA en procesos relevantes. La preparación empieza por algo básico: saber qué sistemas de IA se están usando, quién los ha contratado, quién los supervisa, qué datos utilizan, qué decisiones apoyan y qué proveedores intervienen.
La mayoría de empresas no necesita una estructura burocrática desmesurada, pero sí un sistema razonable de control. Un inventario interno, clasificación de riesgos, documentación mínima, revisión contractual y formación de equipos pueden evitar problemas mayores. La IA usada para redactar correos internos no plantea el mismo riesgo que un sistema que filtra candidatos, recomienda despidos, calcula primas de seguros o decide acceso a servicios esenciales.
| Área de cumplimiento | Medida práctica |
|---|---|
| Inventario | Registrar sistemas de IA usados, desarrollados o integrados |
| Riesgo | Clasificar cada sistema conforme al Reglamento Europeo de IA |
| Transparencia | Informar cuando haya interacción con IA o contenido sintético relevante |
| Supervisión humana | Definir responsables con formación, autoridad y capacidad de intervención |
| Trazabilidad | Conservar registros, documentación técnica y evidencias |
| Proveedores | Revisar contratos, instrucciones, responsabilidades y garantías |
| Datos | Evaluar calidad, pertinencia, representatividad y protección de datos |
| Impacto | Realizar evaluaciones cuando afecte a derechos fundamentales |
| Formación | Alfabetización en IA para equipos técnicos, jurídicos, directivos y de negocio |
La regulación no impide innovar. Lo que hace es elevar el listón cuando la IA puede afectar a derechos, seguridad, empleo, educación, servicios esenciales o información pública. El riesgo para muchas organizaciones no será usar IA, sino usarla sin saber exactamente dónde, cómo y con qué controles.
El proyecto también contempla medidas provisionales duras. En casos de riesgo para la seguridad, la salud o los derechos fundamentales, la autoridad podrá impedir la comercialización de un sistema, retirarlo, ordenar advertencias públicas, alertar a usuarios o incluso destruirlo o inutilizarlo. En infracciones muy graves o incidentes graves, puede imponerse la retirada del producto o la desconexión del sistema de IA.
El mensaje para los consejos de administración es sencillo: la IA entra en la agenda de riesgos corporativos. Ya no basta con que el área técnica pruebe herramientas o que un departamento contrate soluciones con IA integrada. La dirección tendrá que saber qué sistemas se usan, qué riesgos generan y qué evidencias existen para demostrar cumplimiento.
España no está creando un marco paralelo al europeo, sino bajando el Reglamento de IA a la realidad administrativa y sancionadora nacional. La tramitación parlamentaria podrá introducir cambios, pero la dirección ya está marcada. La IA deja de vivir en una zona gris. A partir de ahora, quien la despliegue tendrá que poder explicar qué hace, por qué lo hace, quién la supervisa y qué pasa si falla.
Preguntas frecuentes
¿La Ley de IA ya está en vigor?
No. El Consejo de Ministros ha aprobado el proyecto de ley, pero todavía debe tramitarse en el Congreso y el Senado, aprobarse definitivamente, sancionarse, promulgarse y publicarse en el BOE.
¿Cuál será la multa máxima por mal uso de la IA?
Para las infracciones más graves vinculadas a prácticas prohibidas, la sanción puede llegar a 35 millones de euros o al 7 % del volumen de negocio mundial anual, si esta cifra resulta superior.
¿Qué papel tendrá AESIA?
La Agencia Española de Supervisión de la Inteligencia Artificial será punto de contacto único y una autoridad central de vigilancia, coordinación y supervisión en materia de IA en España.
¿Qué deberían hacer ahora las empresas?
Inventariar sistemas de IA, clasificar riesgos, revisar proveedores, documentar decisiones, formar equipos, establecer supervisión humana y coordinar cumplimiento con RGPD, ciberseguridad, propiedad intelectual y normativa sectorial.
vía: Digital
