España ha presentado en el Congreso su Proyecto de Ley Orgánica para el uso responsable y la gobernanza de la inteligencia artificial. El texto, publicado en el Boletín Oficial de las Cortes Generales, no reemplaza al Reglamento Europeo de IA, conocido como AI Act, pero concreta la puesta en marcha de algunos aspectos clave en España: designación de autoridades competentes, organización institucional, régimen sancionador, espacios controlados de pruebas y obligaciones específicas para el sector público.
La Mesa del Congreso ha decidido remitir el dictamen a la Comisión de Economía, Comercio y Transformación Digital y ha abierto un plazo de enmiendas de quince días hábiles, que finaliza el 30 de junio de 2026. A partir de entonces, el texto continuará su tramitación en el Parlamento, por lo que aún puede experimentar modificaciones antes de su aprobación definitiva.
Una ley española que complementa el AI Act
El proyecto parte de una premisa clara: aunque el Reglamento Europeo de IA es de aplicación directa en todos los Estados miembros, deja en manos de cada país la designación de autoridades nacionales, la organización de la supervisión y la regulación del régimen sancionador. España aprovecha esta ley para crear esa arquitectura institucional a nivel nacional.
La normativa regula cuatro bloques principales: gobernanza y supervisión del mercado, espacios controlados de pruebas, buen uso de la IA en el sector público estatal y sanciones por incumplimientos del Reglamento Europeo de IA.
| Área | Qué regula el proyecto |
|---|---|
| Gobernanza | Designación de autoridades nacionales competentes |
| Supervisión | Vigilancia de mercado, inspección y coordinación |
| Sandbox | Espacios controlados de pruebas para IA |
| Sector público | Inventario de sistemas y delegado de IA |
| Sanciones | Infracciones leves, graves y muy graves |
| Reclamaciones | Ventanilla única a través de AESIA |
| Medidas provisionales | Restricción, retirada, desconexión o prohibición de sistemas |
El texto subraya que no crea una regulación paralela al AI Act, sino que adapta la normativa española a sus requisitos. En su exposición de motivos, se recuerda que el Reglamento Europeo regula la introducción en el mercado, puesta en servicio y uso de sistemas de IA en la Unión Europea, y que las obligaciones recaen en proveedores, responsables del despliegue, importadores, distribuidores y otros actores implicados.
AESIA, el núcleo del sistema nacional pero no la única autoridad
La Agencia Española de Supervisión de la Inteligencia Artificial, AESIA, será el eje central del sistema de regulación en España. El proyecto la designa como autoridad de supervisión del mercado para la mayoría de sistemas de IA y como el punto de contacto único ante la Comisión Europea, la Oficina de IA, el Consejo de IA y las autoridades de otros Estados miembros.
No obstante, el modelo no es completamente centralizado. La ley prevé una supervisión repartida según el sector y el tipo de sistema, asignando competencias específicas a diferentes organismos. La Agencia Española de Protección de Datos (AEPD) y las autoridades autonómicas asumirán responsabilidades en ámbitos sensibles relacionados con biometría, identificación, migración, asilo y control fronterizo. Además, el Consejo General del Poder Judicial tendrá competencia sobre ciertos sistemas de IA utilizados en el ámbito de la justicia y para garantizar el cumplimiento legal.
| Autoridad | Competencias principales |
| AESIA | Supervisión general, punto de contacto y coordinación |
| Dirección General de Inteligencia Artificial | Autoridad notificante para sistemas del anexo III del Reglamento Europeo |
| ENAC | Evaluación técnica y supervisión de organismos de evaluación de la conformidad |
| AEPD y autoridades autonómicas | Biometría, migración, asilo y control fronterizo en casos específicos |
| CGPJ | IA en justicia y cumplimiento legal |
| Banco de España | Sistemas de IA para solvencia y calificación crediticia en entidades supervisadas |
| CNMV | IA en relación con la solvencia en su ámbito de competencia |
| Dirección General de Seguros | Evaluación de riesgos y precios en seguros de vida y salud |
La Dirección General de Inteligencia Artificial, que depende de la Secretaría de Estado de Digitalización e Inteligencia Artificial, ejercerá como autoridad notificante para los sistemas del anexo III del Reglamento Europeo. Su labor será apoyada por ENAC, el organismo nacional de acreditación, en la evaluación y supervisión de organismos de evaluación de la conformidad.
El diseño intenta equilibrar especialización y colaboración. La AESIA podrá ofrecer asistencia técnica a otras autoridades, pero el texto deja claro que este apoyo no compromete la independencia ni la especificidad sectorial de cada organismo.
Inventario de IA y delegado en el sector público
Una de las novedades más relevantes afecta al sector público en su conjunto. Las entidades públicas deberán mantener un inventario actualizado de los sistemas de IA que emplean en sus funciones. Este inventario será interoperable con el registro europeo de sistemas de alto riesgo, fortaleciendo la transparencia en procedimientos administrativos electrónicos.
Este inventario no sustituye los requisitos de registro del AI Act para sistemas de alto riesgo, sino que añade una capa adicional de transparencia nacional. La información mínima que deberán registrar comprende: proveedor, responsable del despliegue, actores implicados y categorización del sistema.
| Obligación del sector público | Alcance |
| Informe sobre sistemas IA | Información actualizada y pertinente |
| Crear inventario | Interoperable con el registro europeo |
| Identificación | Proveedor, responsable y categorías |
| Categorización | Según el marco regulador |
| Capacitación | Fomentar uso responsable y confiable |
| Delegado de IA | Coordinar y garantizar cumplimiento interno |
Además, la ley establece la figura del delegado de inteligencia artificial en cada organismo del sector público. Este profesional será responsable de coordinar las políticas internas, asegurar el cumplimiento de las normativas y promover un uso ético y seguro de la IA. También podrá asesorar en evaluaciones de impacto relacionadas con sesgos discriminatorios o derechos fundamentales cuando sea necesario.
No todo será de acceso público. El texto contempla excepciones para sistemas vinculados a actividades militares, defensa, seguridad nacional, infraestructuras críticas, investigación previa, ciberseguridad, fraude fiscal o protección del sistema de prestaciones sociales, cuando su publicidad pueda afectar a la eficacia o incrementar el riesgo de elusión o ataque.
Sanciones de hasta 35 millones de euros o el 7 % de la facturación global
El régimen sancionador es uno de los aspectos centrales del proyecto. Establece una clasificación en infracciones leves, graves y muy graves, con umbrales similares a los del AI Act. Las sanciones más severas afectarán a prácticas prohibidas por la normativa, como aquellas que impliquen un uso ilegal de la IA.
| Tipo de infracción | Sanción máxima |
| Muy graves por prácticas prohibidas | 35 millones de euros o 7 % del volumen de negocio mundial anual |
| Otras muy graves | 15 millones de euros o 3 % del volumen de negocio mundial anual |
| Graves | 7,5 millones de euros o 1 % del volumen de negocio mundial anual |
| Leves | 500.000 euros o 0,5 % del volumen de negocio mundial anual |
Para pequeñas y emergentes, las multas podrán fijarse en función del porcentaje de facturación o del importe absoluto, el que sea menor, en línea con el reglamento europeo. También se contemplan medidas correctivas como la retirada de productos, desconexión de sistemas IA o prohibiciones de uso cuando la infracción implique riesgos graves o irreparables.
Las infracciones consideradas graves incluyen incumplimientos en transparencia, falta de registro en sistemas de alto riesgo, resistencia a inspecciones, revelación de información engañosa a las autoridades, y el incumplimiento de obligaciones de proveedores, importadores, distribuidores y responsables de despliegue o autoridades notificadas.
El plazo para sancionar será de un año en infracciones leves, tres años en las graves y cinco en las muy graves. Los procedimientos podrán resolverse en un máximo de 18 meses en casos de infracciones graves y muy graves, y en 9 meses en infracciones leves.
Reclamaciones, denunciantes y medidas cautelares
El proyecto incorpora un mecanismo de reclamaciones para que cualquier persona física o jurídica pueda denunciar posibles incumplimientos del Reglamento Europeo de IA. La AESIA deberá establecer una ventanilla única para canalizar estas reclamaciones y remitirlas a la autoridad competente en un plazo máximo de diez días hábiles.
Presentar una reclamación no garantiza automáticamente que el denunciador sea parte interesada en un proceso sancionador, pero puede activar análisis, solicitudes de información, inspecciones, requerimientos de medidas correctoras, archivos motivados o el inicio de procedimientos oficiales.
Se prevé también la protección a los informantes que comuniquen infracciones conocidas en el marco de una relación laboral o profesional, en línea con las normativas de protección de denunciantes tanto en España como en la Unión Europea.
| Herramienta | Función |
| Ventanilla única | Canalizar denuncias a través de AESIA |
| Actuaciones previas | Investigar hechos antes de decidir acciones |
| Inspección | Verificación y requerimiento de información | Medidas provisionales | Prevenir daños o agravamientos |
| Protección al informante | Confidencialidad y protección frente a represalias | Difusión de sanciones | Coordinación y publicación por AESIA |
Las autoridades podrán adoptar medidas provisionales, como exigir la modificación del sistema, impedir su comercialización, devolverlo al proveedor, inutilizarlo, desactivarlo o alertar a los usuarios sobre los riesgos.
Espacios controlados de pruebas para innovar con seguridad jurídica
El proyecto también regula los espacios de pruebas controladas de IA, conocidos como sandboxes. AESIA será responsable de establecer un sandbox obligatorio, siguiendo las recomendaciones del Reglamento Europeo, aunque otras autoridades podrán crear espacios adicionales en sus ámbitos.
Estos entornos facilitarán el desarrollo, la prueba y la validación de sistemas innovadores de IA antes de su lanzamiento comercial o puesta en uso. Deberán contar con gobernanza sectorial, recursos apropiados y comunicar su existencia a la Oficina de IA y al Consejo de IA mediante el punto de contacto único.
Se hace especial mención al ámbito sanitario y sociosanitario, donde el despliegue de IA deberá respetar la dignidad, autonomía, privacidad, seguridad del paciente, calidad asistencial y autonomía profesional.
Qué deben hacer las organizaciones ahora
Aunque todavía está en tramitación, las empresas y administraciones que ya utilizan IA en España pueden sacar una conclusión clara: la gobernanza de la IA pasa de ser una recomendación a convertirse en una obligación concreta y operativa.
Lo más recomendable es que las organizaciones empiecen por identificar qué sistemas de IA emplean, quién los suministra, quién los implementa, con qué finalidad, qué datos utilizan y si entran en categorías de alto riesgo o requieren transparencia. El cumplimiento no dependerá solo del proveedor tecnológico: el responsable del despliegue también tendrá obligaciones, especialmente si utiliza sistemas de alto riesgo en ámbitos como empleo, educación, servicios esenciales, crédito, seguros, biometría o sector público.
| Prioridad | Acción recomendada |
| Inventario | Mapear todos los sistemas de IA en la organización |
| Clasificación | Determinar si son prohibidos, de alto riesgo, de transparencia u otros |
| Documentación | Registrar proveedor, finalidad, datos, modelo y responsables |
| Impacto | Revisar derechos, sesgos y protección de datos |
| Supervisión | Designar responsables, capacitados y con autoridad |
| Transparencia | Informar cuando se interactúe con IA o contenido sintético |
| Incidentes | Desarrollar protocolos para notificación y respuesta |
| Auditoría | Conservar registros, trazabilidad y documentación técnica |
| Capacitación | Formar a los equipos en alfabetización en IA |
| Gobierno interno | Designar responsables claros de cumplimiento y revisión |
El cambio más importante no será solo en multas, sino en la necesidad de demostrar control. Las organizaciones deberán saber qué IA usan, qué riesgos conlleva, quién responde por ella y cómo se supervisa. Esa trazabilidad será clave para cumplir la ley y para gestionar mejor los riesgos reputacionales y operativos.
Un marco en desarrollo con efectos inmediatos en la planificación
El Proyecto de Ley aún no es ley formal, pero su publicación permite anticipar la orientación regulatoria en España. La meta es que AESIA sea el centro de coordinación, distribuir competencias en sectores sensibles, habilitar sandboxes y dotar al AI Act de un régimen sancionador interno.
Para las empresas tecnológicas, el mensaje es claro: desplegar IA en España exigirá más que una buena tecnología. Será necesario documentación, controles, evaluaciones de riesgos, transparencia, capacidad para actuar ante incidentes y una relación estrecha con las autoridades competentes.
Para la Administración Pública, también subirán los estándares. El inventario de sistemas y el delegado de IA modificarán la forma en que se compran, despliegan y explican los algoritmos en el sector público. La IA en el sector público será más trazable, aunque se reservarán excepciones por razones de seguridad, fraude o ciberseguridad.
España no desarrolla un AI Act propio, sino que construye la infraestructura institucional para implementarlo. Esa infraestructura tendrá un impacto directo en empresas, administraciones, proveedores tecnológicos, responsables de cumplimiento, departamentos jurídicos y equipos de producto. La IA avanzará, pero ahora será más difícil desplegarla sin un gobierno interno sólido, trazabilidad y responsables claramente definidos.
Preguntas frecuentes
¿Qué es el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la IA?
Es una norma en trámite que adapta la normativa española al AI Act europeo, asigna autoridades competentes, regula sandboxes, establece obligaciones para el sector público y prevé sanciones.
¿Sustituye al AI Act europeo?
No. El AI Act es un reglamento europeo de aplicación directa. La ley española complementa con aspectos nacionales, como la designación de autoridades, coordinación, procedimientos y sanciones.
¿Qué papel jugará la AESIA?
AESIA será la autoridad de supervisión general del mercado para la mayoría de sistemas de IA, además del punto de contacto único y responsable del espacio controlado de pruebas obligatorio.
¿Cuáles son las multas máximas previstas?
Las infracciones más graves podrán multarse con hasta 35 millones de euros o el 7 % de la facturación mundial anual, si esa cifra es superior.