El pasado 26 de mayo de 2026, el Consejo de Ministros aprobó el proyecto de Ley OrgĆ”nica para el buen uso y la gobernanza de la inteligencia artificial, dando luz verde a su remisión al Congreso de los Diputados. Con sanciones que pueden alcanzar los 35 millones de euros, esta norma no es una seƱal de alerta lejana — es una realidad que ya estĆ” llamando a la puerta de tu organización. En este artĆ­culo te explicamos quĆ© cambia, quĆ© riesgos implica y cómo posicionarte correctamente antes de que la ley entre en plena vigencia.

šŸ›ļø ĀæQuĆ© ha aprobado exactamente el Gobierno?

El texto, impulsado por el ministro de Transformación Digital, Ɠscar López, adapta al ordenamiento jurĆ­dico espaƱol el Reglamento Europeo de Inteligencia Artificial (AI Act), en vigor desde agosto de 2024, mediante una ley orgĆ”nica — lo que significa que afecta directamente a derechos fundamentales de las personas.

El ministro lo resumió con contundencia: Ā«Hemos dado un salto muy importante en un debate que es absolutamente civilizatorio. Estamos hablando de avanzar o retroceder.Ā» Y aƱadió algo que muchas empresas aĆŗn no han interiorizado: en EspaƱa, regulación e innovación no compiten — se complementan.

EspaƱa no llega tarde a esta regulación. Al contrario: fue el paĆ­s que impulsó el AI Act durante su Presidencia del Consejo de la UE, cuenta con la Agencia EspaƱola de Supervisión de la Inteligencia Artificial (AESIA) — la primera de Europa —, dos fĆ”bricas de IA de la UE, un proyecto de gigafactorĆ­a y un modelo propio de IA en espaƱol, ALIA. El Gobierno lo reivindica con claridad: EspaƱa aspira a ser lĆ­der mundial en regulación de IA, y los datos de Stanford y Microsoft asĆ­ lo avalan.

El proyecto aún debe superar la tramitación parlamentaria, que se prevé compleja. Pero el mensaje es inequívoco: el marco regulatorio estÔ en marcha y las empresas deben prepararse hoy.

🚫 Sistemas prohibidos: la línea roja que ninguna empresa puede cruzar

Una de las aportaciones mĆ”s relevantes de esta Ley de Inteligencia Artificial es la tipificación expresa de los sistemas de IA prohibidos, que van mĆ”s allĆ” de los ocho ya contemplados en el AI Act europeo. De hecho, a iniciativa de EspaƱa — con el apoyo de Francia —, el pasado 7 de mayo la UE acordó aƱadir dos nuevas prohibiciones al Reglamento, incluyendo los deepfakes sexuales, tras la polĆ©mica generada por el asistente Grok de la red social X.

Los sistemas expresamente prohibidos incluyen:

  • Deepfakes de contenido sexualĀ generados sin consentimiento, especialmente cuando afectan a mujeres y menores.
  • TĆ©cnicas subliminales de manipulación — como un chatbot que detecte usuarios con ludopatĆ­a y los dirija a plataformas de juego online mediante estĆ­mulos imperceptibles.
  • Explotación de vulnerabilidadesĀ de colectivos como menores, personas con discapacidad o en situación socioeconómica precaria. Ejemplo: un juguete con IA que anime a niƱos a completar retos con riesgo de daƱo fĆ­sico.
  • Clasificación biomĆ©trica masivaĀ basada en raza, religión, ideologĆ­a u orientación sexual — como un sistema que deduzca la orientación polĆ­tica de una persona analizando sus fotos en redes sociales.
  • Sistemas de puntuación socialĀ que denieguen subvenciones, prĆ©stamos u oportunidades basĆ”ndose en comportamientos o rasgos personales.

Estos usos no solo generan las sanciones mĆ”s elevadas — implican responsabilidad directa de los responsables de los sistemas, algo que la ley exige de forma explĆ­cita.

āš ļø El rĆ©gimen sancionador: tres niveles que debes conocer

La ley establece un sistema de sanciones escalonado, proporcional y con mecanismos que priorizan la corrección antes que la penalización. Aquí el resumen que toda organización debería tener sobre la mesa:

Nivel de infracciónTipo de sistema implicadoSanción mÔxima
šŸ”“ Muy graveSistemas prohibidos (deepfakes, manipulación subliminal, clasificación biomĆ©trica indiscriminada)35 M€ o 7% del volumen de negocio
🟠 GraveSistemas de alto riesgo sin supervisión humana adecuada15 M€ o 3% del volumen de negocio
🟔 LeveIncumplimientos menores de obligaciones formales500.000 € o 0,5% del volumen de negocio

Dos aspectos clave que muchas empresas pasan por alto:

  • Las sanciones se modulan en función de laĀ gravedad, intencionalidad y reincidencia.
  • ExistenĀ reducciones por pronto pagoĀ y por adopción de medidas correctoras.
  • ElĀ tamaƱo empresarialĀ se tiene en cuenta expresamente para proteger aĀ pymes y startups, en lĆ­nea con el AI Act.

šŸ¢ El sector pĆŗblico: gobernanza, transparencia y el delegado de IA

MĆ”s allĆ” del rĆ©gimen sancionador, la Ley de Inteligencia Artificial introduce medidas especĆ­ficas para impulsar el buen uso de la IA en el sector pĆŗblico estatal — una novedad que no procede directamente del AI Act europeo, sino de las propuestas recibidas durante la audiencia pĆŗblica.

Las dos figuras clave que toda organización que trabaje con o para la Administración debe conocer:

  • Inventario de sistemas de IA: registro de todos los sistemas utilizados en procedimientos administrativos, no solo los de alto riesgo, reforzando la transparencia pĆŗblica.
  • Delegado de IA: figura responsable de coordinar la aplicación normativa, asesorar en proyectos y supervisar la contratación pĆŗblica en materia de IA.

Ambas figuras se desarrollarÔn mediante Real Decreto, lo que abre una ventana de oportunidad para las organizaciones que quieran posicionarse como referentes en cumplimiento normativo ante la Administración. Adicionalmente, la ley impulsa la formación y concienciación de los empleados públicos en materia de inteligencia artificial.

šŸ”¬ Sandboxes regulatorios: innovar con seguridad

Otra novedad destacada es la regulación de los entornos controlados de pruebas (sandboxes) a escala nacional. España ya se adelantó a la obligación europea con su propio Sandbox de IA, y ahora la ley formaliza su gobernanza:

  • El sandbox nacional deĀ obligada creaciónĀ por el AI Act serĆ” operado por laĀ AESIA.
  • Se permite la creación deĀ sandboxes adicionalesĀ por parte de las Autoridades de Vigilancia del Mercado, vinculados a sus sectores de supervisión.
  • En todos los entornos de prueba deberĆ”n participar lasĀ autoridades de polĆ­ticas pĆŗblicas sectorialesĀ y lasĀ autoridades de derechos fundamentalesĀ relacionadas.

Para empresas que desarrollan o despliegan sistemas de IA, los sandboxes representan una vía real para testear soluciones en un entorno seguro y con respaldo regulatorio antes de su comercialización.

šŸ” ĀæQuiĆ©n supervisa quĆ©? El mapa de autoridades competentes

La vigilancia del cumplimiento no recae en un Ćŗnico organismo. Dependiendo del sector y el tipo de sistema, la autoridad competente varĆ­a:

  • AESIA → Sistemas vinculados al empleo, biometrĆ­a, educación y otros Ć”mbitos generales. TambiĆ©n actĆŗa comoĀ punto de contacto ĆŗnicoĀ para cuestiones de supervisión.
  • AEPDĀ (Agencia EspaƱola de Protección de Datos) → Cuando el tratamiento de datos personales estĆ© en juego.
  • CGPJĀ (Consejo General del Poder Judicial) → Para aplicaciones en el Ć”mbito judicial.
  • Autoridades sectoriales existentes → Para productos como maquinaria, vehĆ­culos, juguetes o dispositivos sanitarios que ya tienen su propio marco regulador.

Esta arquitectura de supervisión distribuida implica que muchas empresas deberÔn coordinarse con mÔs de un organismo regulador, lo que aumenta significativamente la complejidad del cumplimiento.

šŸ’” ĀæQuĆ© debe hacer tu empresa ahora mismo?

La aprobación de este proyecto de ley no es el momento de esperar — es el momento de actuar. Desde nuestra experiencia acompaƱando a organizaciones en el cumplimiento del AI Act europeo y en la implementación de marcos de gobernanza de IA, identificamos cuatro prioridades inmediatas:

  1. Auditar los sistemas de IA en uso: identificar si alguno cae en categorĆ­as de alto riesgo o uso prohibido.
  2. Mapear las obligaciones aplicables: segĆŗn el sector, el tipo de datos y los organismos supervisores competentes.
  3. Designar un responsable interno: la figura del delegado de IA no es solo una exigencia pĆŗblica — es una buena prĆ”ctica para cualquier organización que use IA de forma significativa.
  4. Explorar los sandboxes regulatorios: si desarrollas soluciones de IA, los entornos de prueba son una oportunidad para innovar con seguridad jurĆ­dica.

La ley aún recorrerÔ el Parlamento, pero su orientación es clara e irreversible. Las empresas que empiecen a trabajar en su cumplimiento hoy tendrÔn una ventaja competitiva real frente a las que esperen a la publicación en el BOE.

šŸ¤ Agile611: tu partner en gobernanza de IA

Navegar este nuevo marco regulatorio puede parecer complejo, pero no tienes que hacerlo solo. En Agile611 acompaƱamos a organizaciones de todos los tamaƱos y sectores en el diseƱo e implementación de sus estrategias de gobernanza de inteligencia artificial — desde la auditorĆ­a inicial de sistemas hasta la designación y formación del delegado de IA, pasando por la elaboración de polĆ­ticas internas, la gestión del riesgo algorĆ­tmico y la preparación para la supervisión de la AESIA. Entendemos la ley, conocemos la tecnologĆ­a y sabemos cómo traducir ambas en procesos reales dentro de tu organización. Porque cumplir con la normativa no es un freno a la innovación — es la base sobre la que construir una IA en la que tus clientes, empleados y reguladores puedan confiar.

SuscrĆ­bete a nuestro boletĆ­n para recibir las Ćŗltimas noticias y actualizaciones.