El Gobierno ha aprobado el proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial , una norma que desarrolla en España el Reglamento europeo de IA y fija el marco nacional de supervisión, sanciones y uso público de esta tecnología. El texto llega cuando muchas empresas y organizaciones ya utilizan IA en procesos sensibles, desde selección de personal hasta atención ciudadana o generación de contenidos, mientras los mecanismos internos de control siguen aún en fase de ajuste. La futura ley de IA no parte de cero, porque el reglamento comunitario es directamente aplicable, aunque convierte sus principios en un mapa nacional de autoridades, sanciones, inventarios públicos y obligaciones operativas.
El texto, impulsado por el Ministerio para la Transformación Digital y de la Función Pública, será remitido al Congreso de los Diputados para su tramitación. Su rango orgánico responde a que afecta a derechos fundamentales, desde la protección de datos hasta la no discriminación, la tutela judicial o el acceso a servicios públicos. La cuestión de fondo no es solo qué sistemas quedan prohibidos, sino quién responde cuando un algoritmo toma parte en una decisión que afecta a una persona.
El proyecto mantiene la lógica de riesgos del AI Act. En la base se sitúan los sistemas de riesgo mínimo, como filtros de spam o herramientas de recomendación sin efectos jurídicos relevantes. En un nivel intermedio aparecen los sistemas sometidos a obligaciones de transparencia, incluidos chatbots, contenidos generados por IA y ultrafalsificaciones. Más arriba quedan los sistemas de alto riesgo, utilizados en empleo, educación, justicia, migración, infraestructuras críticas o servicios financieros. En la cúspide figuran los usos prohibidos, aquellos que el legislador considera incompatibles con la seguridad, la salud o los derechos fundamentales.
La AESIA gana centralidad en la supervisión de la IA
La Agencia Española de Supervisión de la Inteligencia Artificial, con sede en A Coruña, se convierte en el eje de la gobernanza nacional. No será la única autoridad, pero sí el punto de coordinación del sistema. Los productos ya sometidos a regulación sectorial, como maquinaria, juguetes, vehículos o productos sanitarios, mantendrán sus autoridades notificantes y de vigilancia del mercado. Para el resto de sistemas, la AESIA compartirá competencias con organismos como la Agencia Española de Protección de Datos, el Consejo General del Poder Judicial, el Banco de España, la CNMV o la Dirección General de Seguros y Fondos de Pensiones, según el ámbito afectado.
Esa distribución evita concentrar toda la supervisión en un solo organismo, aunque también introduce una dificultad práctica: las empresas que desarrollen o integren IA tendrán que entender qué autoridad les corresponde, qué documentación deben conservar y cómo acreditar que sus sistemas cumplen con las exigencias europeas y españolas. Para un proveedor tecnológico, un banco, una aseguradora o una empresa de recursos humanos, el cumplimiento dejará de ser una cuestión genérica de «ética algorítmica» y pasará a formar parte de la gestión ordinaria de riesgos.
La ley también articula el espacio controlado de pruebas a escala nacional, que será operado por la AESIA. España ya había ensayado un sandbox de IA antes de que el reglamento europeo lo exigiera, y ahora el proyecto fija la gobernanza de estos entornos. La promesa es facilitar la innovación bajo supervisión. La tensión, sin embargo, estará en los criterios de acceso, la capacidad real de las autoridades para acompañar proyectos y la utilidad de estos espacios para pymes y startups, no solo para grandes compañías con equipos jurídicos especializados.
Deepfakes sexuales, biometría y manipulación algorítmica
Uno de los bloques más sensibles del proyecto es el de los sistemas prohibidos. La norma incorpora las prácticas vetadas por el Reglamento europeo de IA, entre ellas el uso de técnicas subliminales para manipular decisiones sin consentimiento, la explotación de vulnerabilidades vinculadas a edad, discapacidad o situación socioeconómica, la clasificación biométrica por raza, religión, orientación política o sexual, la puntuación social y determinados usos de reconocimiento emocional en entornos laborales o educativos.
El texto añade especial énfasis en los deepfakes sexuales. España ha impulsado en el ámbito europeo la prohibición de sistemas de IA que generen ultrafalsificaciones sexuales sin consentimiento, tras varios episodios de imágenes creadas o manipuladas con IA que afectaron a mujeres y menores. La norma también contempla la prohibición absoluta de generar o alterar pornografía infantil mediante sistemas de inteligencia artificial.
La obligación de transparencia alcanza además a imágenes, audios o vídeos generados o manipulados por IA que puedan confundirse con contenidos reales. Quien los difunda deberá advertirlo de forma clara antes de la primera exposición del usuario. Esto afecta a plataformas, medios, agregadores, marcas y servicios digitales que integren IA generativa en sus procesos de comunicación. No basta con que el contenido haya sido creado por un tercero. La difusión también entra en el perímetro de responsabilidad.
Sanciones de hasta 35 millones o el 7% del negocio
El régimen sancionador es una de las piezas con mayor impacto empresarial. Las infracciones se clasifican en muy graves, graves y leves. En los supuestos más severos, las multas podrán alcanzar los 35 millones de euros o el 7% del volumen de negocio. En los casos leves, el techo será de 500.000 euros o el 0,5% de la facturación.
El proyecto incorpora criterios de proporcionalidad, como la gravedad del daño, la intencionalidad, la reincidencia, el tamaño de la empresa y la adopción de medidas correctoras. También contempla reducciones por pronto pago o por corrección temprana. Para startups y pymes, este punto será determinante. Una sanción diseñada para disuadir a grandes operadores puede tener efectos muy distintos en una compañía emergente que aún no ha estabilizado ingresos.
La Administración queda en una posición diferente. El proyecto introduce obligaciones específicas para el sector público estatal, pero no prevé multas económicas para las administraciones. En su lugar, contempla apercibimientos, medidas disciplinarias y mecanismos internos de corrección. Esta diferencia abre una discusión política y operativa relevante: el Estado impone al sector privado un régimen sancionador estricto, mientras opta para sí mismo por herramientas de control administrativo.
La inteligencia artificial en el sector público tendrá inventario y delegado
La parte más singular de la ley afecta al uso de IA en el sector público estatal. El proyecto crea un inventario de sistemas utilizados en procedimientos administrativos, no limitado a los sistemas de alto riesgo. También introduce la figura del delegado de IA, encargado de coordinar la aplicación normativa, asesorar en contratación pública, impulsar políticas internas y promover la formación de empleados públicos.
El inventario puede convertirse en una herramienta clave de transparencia si permite conocer qué algoritmos intervienen en decisiones públicas, con qué finalidad, bajo qué criterios y con qué supervisión humana. Aunque su desarrollo dependerá de un real decreto posterior, la dirección es relevante para empresas proveedoras de tecnología a la Administración: vender soluciones de IA al sector público exigirá más trazabilidad, documentación y capacidad de explicación.
La futura ley también obliga a reforzar la supervisión humana cuando la IA pueda afectar a derechos fundamentales. En la práctica, esto implica que los sistemas automatizados no podrán operar como cajas negras en decisiones sensibles. La documentación técnica, la calidad de los datos, la gestión de riesgos, la trazabilidad y la notificación de incidentes dejan de ser atributos deseables y pasan a formar parte del cumplimiento regulatorio.
Para las empresas españolas, la norma llega con una doble lectura. Aporta más seguridad jurídica en un mercado donde la adopción de IA avanza rápido, pero también eleva los costes de cumplimiento y exige revisar procesos internos, contratos, proveedores y sistemas ya desplegados. El calendario parlamentario permitirá introducir cambios, aunque el mensaje para el tejido productivo ya está fijado: la inteligencia artificial entra en una fase en la que el despliegue técnico deberá convivir con auditoría, supervisión y responsabilidad documentada.
