El pasado 26 de mayo de 2026, el Consejo de Ministros aprobó el proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial, dando luz verde a su remisión al Congreso de los Diputados. Con sanciones que pueden alcanzar los 35 millones de euros, esta norma no es una señal de alerta lejana — es una realidad que ya está llamando a la puerta de tu organización. En este artículo te explicamos qué cambia, qué riesgos implica y cómo posicionarte correctamente antes de que la ley entre en plena vigencia.
🏛️ ¿Qué ha aprobado exactamente el Gobierno?
El texto, impulsado por el ministro de Transformación Digital, Óscar López, adapta al ordenamiento jurídico español el Reglamento Europeo de Inteligencia Artificial (AI Act), en vigor desde agosto de 2024, mediante una ley orgánica — lo que significa que afecta directamente a derechos fundamentales de las personas.
El ministro lo resumió con contundencia: «Hemos dado un salto muy importante en un debate que es absolutamente civilizatorio. Estamos hablando de avanzar o retroceder.» Y añadió algo que muchas empresas aún no han interiorizado: en España, regulación e innovación no compiten — se complementan.
España no llega tarde a esta regulación. Al contrario: fue el país que impulsó el AI Act durante su Presidencia del Consejo de la UE, cuenta con la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) — la primera de Europa —, dos fábricas de IA de la UE, un proyecto de gigafactoría y un modelo propio de IA en español, ALIA. El Gobierno lo reivindica con claridad: España aspira a ser líder mundial en regulación de IA, y los datos de Stanford y Microsoft así lo avalan.
El proyecto aún debe superar la tramitación parlamentaria, que se prevé compleja. Pero el mensaje es inequívoco: el marco regulatorio está en marcha y las empresas deben prepararse hoy.
🚫 Sistemas prohibidos: la línea roja que ninguna empresa puede cruzar
Una de las aportaciones más relevantes de esta Ley de Inteligencia Artificial es la tipificación expresa de los sistemas de IA prohibidos, que van más allá de los ocho ya contemplados en el AI Act europeo. De hecho, a iniciativa de España — con el apoyo de Francia —, el pasado 7 de mayo la UE acordó añadir dos nuevas prohibiciones al Reglamento, incluyendo los deepfakes sexuales, tras la polémica generada por el asistente Grok de la red social X.
Los sistemas expresamente prohibidos incluyen:
- Deepfakes de contenido sexual generados sin consentimiento, especialmente cuando afectan a mujeres y menores.
- Técnicas subliminales de manipulación — como un chatbot que detecte usuarios con ludopatía y los dirija a plataformas de juego online mediante estímulos imperceptibles.
- Explotación de vulnerabilidades de colectivos como menores, personas con discapacidad o en situación socioeconómica precaria. Ejemplo: un juguete con IA que anime a niños a completar retos con riesgo de daño físico.
- Clasificación biométrica masiva basada en raza, religión, ideología u orientación sexual — como un sistema que deduzca la orientación política de una persona analizando sus fotos en redes sociales.
- Sistemas de puntuación social que denieguen subvenciones, préstamos u oportunidades basándose en comportamientos o rasgos personales.
Estos usos no solo generan las sanciones más elevadas — implican responsabilidad directa de los responsables de los sistemas, algo que la ley exige de forma explícita.
⚠️ El régimen sancionador: tres niveles que debes conocer
La ley establece un sistema de sanciones escalonado, proporcional y con mecanismos que priorizan la corrección antes que la penalización. Aquí el resumen que toda organización debería tener sobre la mesa:
| Nivel de infracción | Tipo de sistema implicado | Sanción máxima |
|---|---|---|
| 🔴 Muy grave | Sistemas prohibidos (deepfakes, manipulación subliminal, clasificación biométrica indiscriminada) | 35 M€ o 7% del volumen de negocio |
| 🟠 Grave | Sistemas de alto riesgo sin supervisión humana adecuada | 15 M€ o 3% del volumen de negocio |
| 🟡 Leve | Incumplimientos menores de obligaciones formales | 500.000 € o 0,5% del volumen de negocio |
Dos aspectos clave que muchas empresas pasan por alto:
- Las sanciones se modulan en función de la gravedad, intencionalidad y reincidencia.
- Existen reducciones por pronto pago y por adopción de medidas correctoras.
- El tamaño empresarial se tiene en cuenta expresamente para proteger a pymes y startups, en línea con el AI Act.
🏢 El sector público: gobernanza, transparencia y el delegado de IA
Más allá del régimen sancionador, la Ley de Inteligencia Artificial introduce medidas específicas para impulsar el buen uso de la IA en el sector público estatal — una novedad que no procede directamente del AI Act europeo, sino de las propuestas recibidas durante la audiencia pública.
Las dos figuras clave que toda organización que trabaje con o para la Administración debe conocer:
- Inventario de sistemas de IA: registro de todos los sistemas utilizados en procedimientos administrativos, no solo los de alto riesgo, reforzando la transparencia pública.
- Delegado de IA: figura responsable de coordinar la aplicación normativa, asesorar en proyectos y supervisar la contratación pública en materia de IA.
Ambas figuras se desarrollarán mediante Real Decreto, lo que abre una ventana de oportunidad para las organizaciones que quieran posicionarse como referentes en cumplimiento normativo ante la Administración. Adicionalmente, la ley impulsa la formación y concienciación de los empleados públicos en materia de inteligencia artificial.
🔬 Sandboxes regulatorios: innovar con seguridad
Otra novedad destacada es la regulación de los entornos controlados de pruebas (sandboxes) a escala nacional. España ya se adelantó a la obligación europea con su propio Sandbox de IA, y ahora la ley formaliza su gobernanza:
- El sandbox nacional de obligada creación por el AI Act será operado por la AESIA.
- Se permite la creación de sandboxes adicionales por parte de las Autoridades de Vigilancia del Mercado, vinculados a sus sectores de supervisión.
- En todos los entornos de prueba deberán participar las autoridades de políticas públicas sectoriales y las autoridades de derechos fundamentales relacionadas.
Para empresas que desarrollan o despliegan sistemas de IA, los sandboxes representan una vía real para testear soluciones en un entorno seguro y con respaldo regulatorio antes de su comercialización.
🔍 ¿Quién supervisa qué? El mapa de autoridades competentes
La vigilancia del cumplimiento no recae en un único organismo. Dependiendo del sector y el tipo de sistema, la autoridad competente varía:
- AESIA → Sistemas vinculados al empleo, biometría, educación y otros ámbitos generales. También actúa como punto de contacto único para cuestiones de supervisión.
- AEPD (Agencia Española de Protección de Datos) → Cuando el tratamiento de datos personales esté en juego.
- CGPJ (Consejo General del Poder Judicial) → Para aplicaciones en el ámbito judicial.
- Autoridades sectoriales existentes → Para productos como maquinaria, vehículos, juguetes o dispositivos sanitarios que ya tienen su propio marco regulador.
Esta arquitectura de supervisión distribuida implica que muchas empresas deberán coordinarse con más de un organismo regulador, lo que aumenta significativamente la complejidad del cumplimiento.
💡 ¿Qué debe hacer tu empresa ahora mismo?
La aprobación de este proyecto de ley no es el momento de esperar — es el momento de actuar. Desde nuestra experiencia acompañando a organizaciones en el cumplimiento del AI Act europeo y en la implementación de marcos de gobernanza de IA, identificamos cuatro prioridades inmediatas:
- Auditar los sistemas de IA en uso: identificar si alguno cae en categorías de alto riesgo o uso prohibido.
- Mapear las obligaciones aplicables: según el sector, el tipo de datos y los organismos supervisores competentes.
- Designar un responsable interno: la figura del delegado de IA no es solo una exigencia pública — es una buena práctica para cualquier organización que use IA de forma significativa.
- Explorar los sandboxes regulatorios: si desarrollas soluciones de IA, los entornos de prueba son una oportunidad para innovar con seguridad jurídica.
La ley aún recorrerá el Parlamento, pero su orientación es clara e irreversible. Las empresas que empiecen a trabajar en su cumplimiento hoy tendrán una ventaja competitiva real frente a las que esperen a la publicación en el BOE.
🤝 Agile611: tu partner en gobernanza de IA
Navegar este nuevo marco regulatorio puede parecer complejo, pero no tienes que hacerlo solo. En Agile611 acompañamos a organizaciones de todos los tamaños y sectores en el diseño e implementación de sus estrategias de gobernanza de inteligencia artificial — desde la auditoría inicial de sistemas hasta la designación y formación del delegado de IA, pasando por la elaboración de políticas internas, la gestión del riesgo algorítmico y la preparación para la supervisión de la AESIA. Entendemos la ley, conocemos la tecnología y sabemos cómo traducir ambas en procesos reales dentro de tu organización. Porque cumplir con la normativa no es un freno a la innovación — es la base sobre la que construir una IA en la que tus clientes, empleados y reguladores puedan confiar.