España ya tiene sobre la mesa parlamentaria su Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial. El texto, publicado en el Boletín Oficial de las Cortes Generales, no sustituye al Reglamento Europeo de Inteligencia Artificial, conocido como AI Act, pero sí aterriza una parte decisiva de su aplicación en España: autoridades competentes, coordinación institucional, régimen sancionador, espacios controlados de pruebas y obligaciones específicas para el sector público estatal.
La Mesa del Congreso acordó encomendar el dictamen a la Comisión de Economía, Comercio y Transformación Digital y abrió un plazo de enmiendas de quince días hábiles, que finaliza el 30 de junio de 2026. A partir de ahí, el texto deberá seguir su tramitación parlamentaria, por lo que todavía puede sufrir cambios antes de su aprobación definitiva.
Una ley española para ejecutar el AI Act
El proyecto parte de una idea clara: el Reglamento Europeo de IA es de aplicación directa, pero deja a los Estados miembros la designación de autoridades nacionales, la organización de la supervisión y el desarrollo del régimen sancionador. España aprovecha esta ley para construir esa arquitectura nacional.
La norma regula cuatro grandes bloques: gobernanza y supervisión de mercado, espacios controlados de pruebas, buen uso de la IA en el sector público estatal y sanciones por incumplimientos del Reglamento Europeo de IA.
| Área | Qué regula el proyecto |
|---|---|
| Gobernanza | Designación de autoridades nacionales competentes |
| Supervisión | Vigilancia de mercado, inspección y coordinación |
| Sandbox | Espacios controlados de pruebas para IA |
| Sector público | Inventario de sistemas y delegado de IA |
| Sanciones | Infracciones leves, graves y muy graves |
| Reclamaciones | Ventanilla única a través de la AESIA |
| Medidas provisionales | Restricción, retirada, desconexión o prohibición de sistemas |
El proyecto insiste en que no crea una regulación paralela al AI Act, sino que adapta el ordenamiento español a sus exigencias. En su exposición de motivos, el texto recuerda que el Reglamento Europeo regula la introducción en el mercado, puesta en servicio y uso de sistemas de IA en la Unión Europea, y que las obligaciones se aplican a proveedores, responsables del despliegue, importadores, distribuidores y otros operadores.
AESIA será la pieza central, pero no la única autoridad
La Agencia Española de Supervisión de la Inteligencia Artificial, AESIA, aparece como el eje del sistema nacional. El proyecto la designa como autoridad de vigilancia de mercado para la mayoría de sistemas de IA y como punto de contacto único ante la Comisión Europea, la Oficina de IA, el Consejo de IA y las autoridades de otros Estados miembros.
Pero el modelo no es completamente centralizado. La ley opta por una supervisión distribuida en función del sector y del tipo de sistema. La AEPD y las autoridades autonómicas de protección de datos asumirán competencias en ámbitos especialmente sensibles ligados a biometría, identificación, categorización biométrica, migración, asilo y control fronterizo. El Consejo General del Poder Judicial tendrá competencias sobre determinados sistemas de IA usados en justicia y garantía del cumplimiento del Derecho.
| Autoridad | Competencias principales |
| AESIA | Vigilancia de mercado general, punto de contacto único y coordinación |
| Dirección General de Inteligencia Artificial | Autoridad notificante para sistemas de IA del anexo III |
| ENAC | Apoyo técnico en evaluación y supervisión de organismos de conformidad |
| AEPD y autoridades autonómicas | Biometría, migración, asilo y control fronterizo en determinados supuestos |
| CGPJ | IA en justicia y garantía del cumplimiento del Derecho |
| Banco de España | Sistemas de IA para solvencia y calificación crediticia en entidades supervisadas |
| CNMV | IA de solvencia en operadores bajo su ámbito |
| Dirección General de Seguros | IA para evaluación de riesgos y precios en seguros de vida y salud |
La Dirección General de Inteligencia Artificial, dependiente de la Secretaría de Estado de Digitalización e Inteligencia Artificial, actuará como autoridad notificante para sistemas de IA del anexo III del Reglamento Europeo. Su labor se apoyará en ENAC, el organismo nacional de acreditación, para la evaluación y supervisión de los organismos de evaluación de la conformidad.
El diseño intenta equilibrar especialización y coordinación. La AESIA podrá prestar asistencia técnica a otras autoridades, pero el texto subraya que ese apoyo no debe comprometer la independencia ni la especialización sectorial de cada organismo.
Inventario de IA y delegado obligatorio en el sector público estatal
Una de las novedades más relevantes afecta al sector público estatal. Las entidades públicas estatales deberán ofrecer información actualizada sobre los sistemas de IA que utilicen en el ejercicio de sus funciones. Para ello, se creará un inventario de sistemas de IA interoperable con el registro europeo de sistemas de alto riesgo.
Este inventario no sustituye las obligaciones de registro previstas por el AI Act para sistemas de alto riesgo, pero introduce una capa nacional de transparencia sobre el uso de IA en procedimientos administrativos electrónicos. La información mínima incluirá proveedor, responsable del despliegue, otros operadores implicados y categorización del sistema.
| Obligación del sector público estatal | Alcance |
| Informar sobre sistemas de IA | Información pertinente y actualizada |
| Crear inventario | Interoperable con el registro europeo |
| Identificar proveedor y responsable | Mínimo de información por sistema |
| Clasificar los sistemas | Categorización según el marco aplicable |
| Promover formación | Uso responsable, sostenible y confiable |
| Nombrar delegado de IA | Coordinación interna y cumplimiento normativo |
El proyecto también introduce la figura del delegado de inteligencia artificial en cada entidad del sector público estatal. Deberá coordinar políticas internas, cumplimiento de estándares aplicables y buen uso de sistemas de IA. Además, podrá asesorar en evaluaciones de impacto sobre sesgo discriminatorio y en evaluaciones de impacto en derechos fundamentales cuando sean exigibles.
No todo quedará publicado. El texto prevé excepciones para sistemas vinculados a fines militares, defensa, seguridad nacional, infraestructuras críticas, investigación previa a la puesta en servicio, ciberseguridad pública, fraude tributario o integridad del sistema de prestaciones y cotizaciones cuando la publicidad pueda comprometer la eficacia del sistema o aumentar el riesgo de elusión o ataque.
Sanciones de hasta 35 millones o el 7 % de la facturación mundial
El régimen sancionador es una de las partes centrales del proyecto. La ley clasifica las infracciones en leves, graves y muy graves, y reproduce los grandes umbrales del Reglamento Europeo de IA. Las infracciones más duras serán las vinculadas a prácticas prohibidas de IA.
| Tipo de infracción | Sanción máxima |
| Muy graves por prácticas prohibidas | 35.000.000 euros o 7 % del volumen de negocio mundial |
| Otras muy graves | 15.000.000 euros o 3 % del volumen de negocio mundial |
| Graves | 7.500.000 euros o 1 % del volumen de negocio mundial |
| Leves | 500.000 euros o 0,5 % del volumen de negocio mundial |
En el caso de pymes y empresas emergentes, la multa podrá fijarse aplicando el porcentaje de facturación o el importe absoluto, según cuál sea menor, de acuerdo con lo previsto en el Reglamento Europeo. La norma también contempla medidas accesorias, como retirada del producto, desconexión del sistema de IA o prohibición de uso cuando exista un riesgo grave o inaceptable.
Entre las infracciones graves aparecen incumplimientos de transparencia, falta de registro de sistemas de alto riesgo, resistencia a inspecciones, presentación de información engañosa a autoridades, incumplimiento de obligaciones de proveedores, importadores, distribuidores, responsables del despliegue y organismos notificados.
La ley también prevé plazos de prescripción: un año para infracciones leves, tres para graves y cinco para muy graves. Los procedimientos sancionadores tendrán un plazo máximo de resolución de dieciocho meses en infracciones graves y muy graves, y de nueve meses en infracciones leves.
Reclamaciones, informantes y medidas cautelares
El proyecto incorpora un sistema de reclamaciones para que cualquier persona física o jurídica pueda poner en conocimiento de las autoridades posibles incumplimientos del Reglamento Europeo de IA. La AESIA deberá establecer una ventanilla única y remitir las reclamaciones a la autoridad competente en un plazo máximo de diez días hábiles.
La presentación de una reclamación no convertirá automáticamente al reclamante en interesado dentro de un eventual procedimiento sancionador, pero sí podrá activar análisis, solicitudes de información, inspecciones, requerimientos de medidas correctoras, archivo motivado o inicio de procedimiento sancionador de oficio.
El texto también establece protección para informantes que comuniquen posibles infracciones conocidas en el contexto de una relación laboral o profesional, en línea con la normativa europea y española de protección de denunciantes.
| Herramienta | Función |
| Ventanilla única | Canalizar reclamaciones a través de AESIA |
| Actuaciones previas | Investigar hechos antes de iniciar procedimiento |
| Inspección | Verificar sistemas y requerir información |
| Medidas provisionales | Evitar daños o agravamiento de riesgos |
| Protección del informante | Garantizar confidencialidad y protección frente a represalias |
| Publicidad de sanciones | Coordinación y publicación por AESIA |
Las autoridades podrán adoptar medidas provisionales para evitar la propagación de daños. Entre ellas se incluyen requerir la adaptación del sistema, impedir su comercialización, devolverlo al proveedor, inutilizarlo, desactivarlo o alertar a los usuarios finales sobre el riesgo.
Sandboxes para innovar con más seguridad jurídica
El proyecto regula también los espacios controlados de pruebas para IA. La AESIA será responsable de establecer el sandbox obligatorio previsto por el Reglamento Europeo, pero otras autoridades competentes podrán crear espacios adicionales dentro de su ámbito.
La finalidad es facilitar el desarrollo, prueba y validación de sistemas de IA innovadores antes de su comercialización o puesta en funcionamiento. Estos entornos deberán contar con gobernanza sectorial, recursos suficientes e información a la Oficina de IA y al Consejo de IA a través del punto de contacto único.
El texto menciona de forma específica el ámbito sanitario y sociosanitario, donde el despliegue de IA deberá preservar la dignidad de la persona, la autonomía de su voluntad, la intimidad, la seguridad del paciente, la calidad asistencial y la autonomía técnica y científica de los profesionales.
Qué deberían hacer ahora las organizaciones
Aunque el proyecto aún debe tramitarse, las empresas y administraciones que usen IA en España ya pueden extraer una conclusión clara: la gobernanza de IA deja de ser una recomendación abstracta y empieza a convertirse en una obligación operativa.
Las organizaciones deberían empezar por identificar qué sistemas de IA utilizan, quién los provee, quién los despliega, con qué finalidad, qué datos usan y si entran en categorías de alto riesgo o transparencia. El cumplimiento no dependerá solo del proveedor tecnológico. El responsable del despliegue también tendrá obligaciones, especialmente cuando use sistemas de alto riesgo en empleo, educación, servicios esenciales, crédito, seguros, biometría o sector público.
| Prioridad | Acción recomendada |
| Inventario | Mapear todos los sistemas de IA usados en la organización |
| Clasificación | Determinar si son prohibidos, alto riesgo, transparencia u otros |
| Documentación | Registrar proveedor, finalidad, datos, modelo y responsables |
| Evaluación de impacto | Revisar derechos fundamentales, sesgos y protección de datos |
| Supervisión humana | Asignar personas competentes, formadas y con autoridad |
| Transparencia | Informar cuando se interactúe con IA o haya contenido sintético |
| Incidentes | Preparar protocolos de notificación y respuesta |
| Auditoría | Conservar logs, trazabilidad y documentación técnica |
| Formación | Impulsar alfabetización en IA para equipos afectados |
| Gobierno interno | Asignar responsables claros de cumplimiento y revisión |
El mayor cambio no estará solo en las multas. Estará en la necesidad de demostrar control. Las organizaciones deberán saber qué IA usan, qué riesgos genera, quién responde por ella y cómo se supervisa. Esa trazabilidad será clave tanto para cumplir la ley como para reducir riesgos reputacionales y operativos.
Una norma aún en trámite, pero con efectos inmediatos en la planificación
El Proyecto de Ley Orgánica para el buen uso y la gobernanza de la IA no es todavía una ley aprobada. Pero su publicación permite anticipar la dirección regulatoria en España. El país quiere colocar a la AESIA como pieza central de coordinación, distribuir competencias en sectores sensibles, habilitar sandboxes y dotar al AI Act de un régimen sancionador interno.
Para el sector tecnológico, el mensaje es evidente. Vender o desplegar IA en España exigirá más que una buena demostración técnica. Harán falta documentación, controles, evaluación de riesgos, transparencia, capacidad de respuesta ante incidentes y una relación clara con las autoridades competentes.
Para la Administración Pública, el listón también sube. El inventario de sistemas de IA y la figura del delegado de IA pueden cambiar la forma en que se compran, despliegan y explican algoritmos en el sector público estatal. La IA pública deberá ser más trazable, aunque el texto reserve determinadas excepciones por seguridad, fraude o ciberseguridad.
España no está creando su propio AI Act. Está construyendo la maquinaria nacional para aplicarlo. Y esa maquinaria tendrá impacto directo en empresas, administraciones, proveedores tecnológicos, responsables de cumplimiento, departamentos jurídicos y equipos de producto. La IA seguirá avanzando, pero cada vez será más difícil desplegarla sin gobierno interno, sin trazabilidad y sin alguien que asuma la responsabilidad.
Preguntas frecuentes
¿Qué es el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la IA?
Es una norma en tramitación que adapta el marco español al Reglamento Europeo de IA, designa autoridades competentes, regula sandboxes, introduce obligaciones para el sector público estatal y define sanciones.
¿Sustituye al AI Act europeo?
No. El AI Act es un reglamento europeo de aplicación directa. La ley española desarrolla aspectos nacionales como autoridades, coordinación, procedimientos y sanciones.
¿Qué papel tendrá la AESIA?
La AESIA será autoridad de vigilancia de mercado para la mayoría de sistemas de IA, punto de contacto único y responsable del espacio controlado de pruebas obligatorio.
¿Cuáles son las multas máximas previstas?
Las infracciones más graves por prácticas prohibidas podrán sancionarse con hasta 35 millones de euros o el 7 % del volumen de negocio mundial anual, si esta cifra fuese superior.
