El proyecto de ley no solo adapta España al AI Act europeo: crea un marco nacional de gobernanza, exige un inventario de sistemas de IA en procedimientos administrativos, introduce la figura del delegado de IA y convierte el sandbox regulatorio en una pieza estable para innovar bajo control.
El Gobierno ha aprobado el proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial, una norma llamada a convertirse en la gran pieza española de adaptación al Reglamento Europeo de IA. El texto, que será remitido al Congreso de los Diputados, pretende ordenar cómo se supervisa la IA en España, qué autoridades serán competentes, qué usos estarán prohibidos, cómo se sancionarán las infracciones y qué garantías deberán cumplir las administraciones cuando utilicen sistemas algorítmicos en procedimientos administrativos.
La ley llega en un momento decisivo. La inteligencia artificial ya no es una promesa de laboratorio ni una herramienta marginal de productividad. Está entrando en servicios públicos, empresas, recursos humanos, educación, sanidad, justicia, seguridad, medios de comunicación, publicidad, banca, plataformas digitales y administración electrónica. El debate, por tanto, ha cambiado. Ya no basta con proclamar una IA ética o con confiar en declaraciones voluntarias de las empresas. La pregunta es quién vigila, quién responde, qué sistemas se usan, qué riesgos generan y qué mecanismos tiene el ciudadano para saber si una decisión pública ha sido asistida o condicionada por inteligencia artificial.
El Ministerio para la Transformación Digital y de la Función Pública presenta la norma como un instrumento para combinar regulación e innovación. Según la nota oficial, el proyecto adapta el ordenamiento jurídico español al Reglamento europeo de Inteligencia Artificial, en vigor desde agosto de 2024, e introduce mecanismos para garantizar supervisión humana y uso confiable de la IA. El ministro Óscar López defendió que España aspira a ser referente en la construcción de una IA “confiable, ética y humanista”, y sostuvo que regulación e innovación no compiten, sino que pueden reforzarse mutuamente.
La frase política es relevante porque resume la ambición del proyecto. España no quiere aparecer como un país que frena la adopción tecnológica, pero tampoco como un mercado abierto a la experimentación sin garantías. La ley intenta ocupar ese espacio intermedio: permitir que proveedores, empresas y administraciones desarrollen inteligencia artificial, pero dentro de un marco de transparencia, supervisión, responsabilidad y control institucional.
El AI Act europeo es el punto de partida. La Comisión Europea define este reglamento como un marco basado en riesgos: los usos de riesgo inaceptable quedan prohibidos, los sistemas de alto riesgo quedan sometidos a obligaciones estrictas y otros usos deben cumplir requisitos de transparencia. El reglamento entró en vigor el 1 de agosto de 2024, las prohibiciones y obligaciones de alfabetización en IA empezaron a aplicarse el 2 de febrero de 2025, las normas para modelos de propósito general comenzaron el 2 de agosto de 2025 y el despliegue completo se producirá por fases hasta 2027, con algunos regímenes transitorios más largos.
La novedad española no está solo en trasladar ese calendario a la legislación nacional. Lo más importante es que el proyecto crea un andamiaje institucional propio. La norma designa autoridades notificantes y autoridades de vigilancia del mercado encargadas de supervisar el cumplimiento. Los productos ya sometidos a regulación sectorial —maquinaria, juguetes, vehículos o productos sanitarios— mantendrán sus autoridades correspondientes. En cambio, los sistemas no regulados por legislación de producto, como los vinculados al empleo, la biometría o la educación, se atribuyen principalmente a la Agencia Española de Supervisión de Inteligencia Artificial, la Agencia Española de Protección de Datos y el Consejo General del Poder Judicial, según el ámbito supervisado.
Esta arquitectura es importante porque la IA no es un sector único. No se supervisa igual un juguete con IA que anima a un menor a realizar retos peligrosos, un sistema biométrico, un algoritmo de selección laboral, una herramienta de apoyo judicial, un producto sanitario con aprendizaje automático o una aplicación de atención ciudadana. La gobernanza eficaz deberá ser distribuida, pero coordinada. Por eso el proyecto prevé un punto de contacto único a través de la AESIA y mecanismos reforzados de colaboración entre autoridades.
La Agencia Española de Supervisión de Inteligencia Artificial queda así en el centro del nuevo modelo. Su reto será enorme. Supervisar IA no consiste en revisar un formulario ni en certificar un programa cerrado. Exige entender modelos, datos, entrenamiento, sesgos, documentación técnica, riesgos de uso, trazabilidad, ciberseguridad, transparencia, impacto sobre derechos fundamentales y cambios posteriores al despliegue. La AESIA deberá combinar conocimiento jurídico, capacidad técnica y autoridad institucional. Sin recursos suficientes, el riesgo es que la supervisión quede desbordada por la velocidad del mercado.
Uno de los aspectos más relevantes del proyecto es el inventario de sistemas de IA utilizados en procedimientos administrativos. Esta medida no procede directamente de la adaptación del Reglamento europeo, sino que responde a una demanda surgida en el proceso de audiencia pública. La ley prevé que el sector público estatal deba crear un inventario no solo de los sistemas de alto riesgo, sino de los sistemas de IA usados en procedimientos administrativos, reforzando así la transparencia.
Ese inventario puede convertirse en una herramienta democrática de primer orden. La administración ya utiliza o puede utilizar IA para tramitar solicitudes, clasificar expedientes, detectar fraude, asignar recursos, priorizar inspecciones, traducir documentos, atender consultas, analizar datos o apoyar decisiones. Si el ciudadano no sabe que un sistema automatizado interviene en un procedimiento, difícilmente podrá comprender, impugnar o cuestionar el proceso. Inventariar los sistemas es el primer paso para sacarlos de la sombra.
La medida tiene además una carga política evidente. En el sector privado, el uso de IA puede afectar a consumidores, trabajadores o usuarios. En el sector público, puede afectar a derechos, prestaciones, permisos, sanciones, ayudas, becas, expedientes, inspecciones o decisiones administrativas. La asimetría de poder es mucho mayor. Por eso la administración debería estar sometida a un estándar de transparencia especialmente alto. No basta con que el algoritmo funcione; debe ser identificable, justificable y revisable.
El proyecto introduce también la figura del delegado de IA. Su función será coordinar la aplicación normativa y asesorar en proyectos y contratación pública. Tanto el inventario como esta figura deberán desarrollarse por Real Decreto. Además, la norma prevé formación y concienciación de empleados públicos en inteligencia artificial.
El delegado de IA puede ser una pieza decisiva si no queda reducido a un cargo formal. Las administraciones necesitarán perfiles capaces de evaluar riesgos antes de comprar o desarrollar sistemas, revisar cláusulas de contratación pública, coordinarse con protección de datos, asegurar supervisión humana, documentar usos, detectar sesgos, exigir explicabilidad y activar canales de corrección. En la práctica, el delegado de IA podría desempeñar un papel similar al que los delegados de protección de datos han tenido en la aplicación del RGPD, pero con una complejidad técnica adicional.
La supervisión humana es otro eje central. El ministro Óscar López subrayó que la norma impone supervisión humana en casos que puedan afectar a derechos fundamentales, promueve la transparencia algorítmica e incluye medidas específicas para proteger a menores. La idea conecta con el artículo 14 del AI Act, que exige que los sistemas de alto riesgo se diseñen de manera que puedan ser supervisados eficazmente por personas durante su uso, con medidas adaptadas al riesgo, nivel de autonomía y contexto.
Pero la supervisión humana no debe confundirse con una validación decorativa. No sirve de mucho que una persona pulse “aceptar” al final de un procedimiento si no entiende el sistema, no puede cuestionarlo, no dispone de información suficiente o trabaja bajo una presión que la lleva a seguir automáticamente la recomendación algorítmica. La supervisión real exige capacidad de intervención, formación, documentación, trazabilidad y autoridad para corregir o detener el sistema.
La ley también incorpora un régimen sancionador. Las infracciones se clasificarán como muy graves, graves y leves. Las sanciones podrán alcanzar hasta 35 millones de euros o el 7% del volumen de negocio en los casos más graves, y hasta 500.000 euros o el 0,5% del volumen de negocio en las infracciones más leves. El texto, según el Ministerio, incorpora criterios de proporcionalidad, gravedad, intencionalidad, reincidencia, corrección temprana, pronto pago y consideración del tamaño empresarial para proteger a pymes y startups.
La cuantía máxima replica la lógica de las grandes normas digitales europeas: las sanciones deben ser suficientemente altas para disuadir también a grandes compañías globales. Una multa simbólica no cambia el comportamiento de una empresa que opera a escala internacional. Una sanción vinculada al volumen de negocio sí puede hacerlo. Aun así, la eficacia no dependerá solo de la cifra, sino de la capacidad real de investigar, probar infracciones, imponer sanciones y resistir litigios.
Los usos prohibidos ocupan el bloque más sensible del proyecto. El Reglamento europeo ya prohíbe prácticas consideradas de riesgo inaceptable. La nota del Ministerio menciona ejemplos concretos: sistemas que usan técnicas subliminales para manipular decisiones sin consentimiento y causar perjuicio considerable; sistemas que explotan vulnerabilidades relacionadas con edad, discapacidad o situación socioeconómica; sistemas que clasifican biométricamente a personas por raza u orientación política, religiosa o sexual; y sistemas de puntuación social que penalizan a individuos o grupos por comportamientos sociales o rasgos personales.
Estos ejemplos muestran que la regulación de la IA no es un tecnicismo. Afecta a la autonomía, la dignidad, la igualdad y la libertad. Un chatbot que detecta una adicción al juego y utiliza técnicas subliminales para empujar al usuario a apostar no es innovación: es explotación algorítmica. Un juguete infantil con IA que anima a menores a realizar retos dañinos no es entretenimiento avanzado: es un riesgo directo para la seguridad. Un sistema que deduce orientación política o sexual mediante biometría facial no es eficiencia: es vigilancia discriminatoria.
El proyecto también incorpora la prohibición de sistemas que generen deepfakes sexuales. Según la nota oficial, España impulsó en la Unión Europea la incorporación de dos nuevos sistemas prohibidos, con apoyo de Francia, tras la polémica generada por desnudos de mujeres y menores creados con Grok, el asistente virtual de X. La medida busca prohibir en todo el territorio comunitario la introducción en el mercado, puesta en servicio y uso de sistemas de IA que generen deepfakes sexuales.
La inclusión de los deepfakes sexuales tiene una importancia social enorme. La creación de imágenes íntimas falsas sin consentimiento se ha convertido en una forma de violencia digital especialmente dañina. Puede afectar a menores, mujeres, personas expuestas públicamente o cualquier ciudadano cuya imagen sea manipulada. El daño no depende de que la imagen sea “real” en sentido físico: depende de su circulación, de la humillación, del chantaje, de la pérdida de control sobre la propia identidad y de la dificultad para frenar su difusión.
El segundo gran bloque de la ley es el sandbox de IA. España ya se había adelantado al AI Act con un entorno controlado de pruebas. En 2023, el Gobierno aprobó un sandbox para ensayar la aplicación de requisitos del futuro Reglamento europeo y ayudar a proveedores y usuarios de IA a prepararse. El entorno debía generar aprendizaje práctico, guías y cooperación entre empresas y autoridades.
Ahora el proyecto determina cómo articular la gobernanza de los entornos de pruebas y las medidas facilitadoras a escala nacional. Reconoce la necesidad de fomentar la innovación en entornos controlados e incorpora el espacio controlado de pruebas de creación obligatoria por el Reglamento europeo, que será operado por la AESIA. Además, permite crear sandboxes adicionales por autoridades de vigilancia del mercado o notificantes, siempre asociados a su sector de supervisión. En todos ellos deberán participar las autoridades responsables de políticas públicas en los sectores cubiertos y las autoridades de derechos fundamentales relacionadas.
Este punto es clave para no convertir la regulación en un obstáculo ciego. La IA plantea riesgos reales, pero también incertidumbres prácticas. Muchas empresas, especialmente pymes y startups, necesitan saber cómo cumplir obligaciones técnicas y jurídicas sin bloquear su desarrollo. Un sandbox puede permitir probar sistemas, documentar riesgos, evaluar requisitos, recibir orientación y adaptar productos antes de su comercialización. Si funciona bien, reduce incertidumbre y mejora la calidad del mercado.
El riesgo, sin embargo, es que los sandboxes se conviertan en espacios de indulgencia o en zonas grises donde se experimenta con derechos. Por eso la participación de autoridades sectoriales y de derechos fundamentales es relevante. Un sandbox no debe ser un atajo para desplegar IA sin garantías, sino un laboratorio regulado para aprender a cumplir mejor. Su éxito dependerá de la transparencia de criterios, la selección de participantes, la publicación de aprendizajes, la protección de datos y la capacidad de convertir la experiencia en guías útiles.
El proyecto español llega en un momento de fuerte tensión europea. La Comisión ha insistido en mantener el calendario de aplicación del AI Act pese a presiones empresariales para retrasarlo. Reuters informó en 2025 de que Bruselas rechazó una pausa general y defendió que los plazos legalmente vinculantes debían seguir adelante, aunque con esfuerzos de simplificación para aliviar cargas, especialmente para pequeñas empresas.
Ese contexto importa porque la ley española no se aprueba en el vacío. Europa intenta demostrar que puede regular una tecnología dominada por grandes actores estadounidenses y chinos sin asfixiar su propia innovación. España, con AESIA, el sandbox, ALIA, fábricas de IA y proyectos de infraestructura, quiere presentarse como laboratorio de esa tercera vía: ni desregulación absoluta ni prohibicionismo, sino innovación sometida a garantías.
La referencia oficial a ALIA, a las fábricas de IA de la UE y a empresas como Multiverse Computing forma parte de esa narrativa. El Gobierno quiere vincular la ley con una estrategia más amplia de país: capacidad tecnológica propia, modelos en español, infraestructura computacional, tejido empresarial y liderazgo normativo. La cuestión será si esa ambición se traduce en ejecución coordinada o si queda dispersa entre anuncios, organismos y programas.
Para las empresas, el mensaje es claro: la fase de experimentación informal con IA empieza a cerrarse. Los proveedores deberán conocer la categoría de riesgo de sus sistemas, documentar procesos, cumplir obligaciones, evitar usos prohibidos, facilitar supervisión y prepararse para inspecciones. Los usuarios profesionales, incluidos quienes integran IA de terceros, también tendrán que asumir responsabilidades. Ya no bastará con decir que el modelo pertenece a otro proveedor si se utiliza en decisiones sensibles.
Para el sector público, el listón debería ser todavía más alto. El inventario de sistemas, el delegado de IA y la formación de empleados públicos pueden crear una cultura administrativa más madura. Pero también existe el riesgo de que se conviertan en burocracia si no van acompañados de recursos, metodologías claras y revisión externa. La ciudadanía no necesita solo saber que existe un inventario; necesita que ese inventario sea útil, comprensible, actualizado y conectado con derechos de información y reclamación.
La contratación pública será uno de los grandes campos de aplicación. Las administraciones compran software, servicios digitales, sistemas de atención, herramientas de análisis y plataformas de automatización. Si los pliegos no incorporan exigencias claras sobre IA, las administraciones pueden adquirir sistemas opacos, difíciles de auditar o incompatibles con el AI Act. El delegado de IA puede ayudar, pero será necesario formar a equipos jurídicos, técnicos y responsables de contratación.
También será decisiva la protección de menores. La nota oficial menciona medidas específicas en ese ámbito. La IA puede afectar a niños y adolescentes mediante juguetes conectados, asistentes educativos, sistemas de recomendación, generación de imágenes, filtros, chatbots emocionales o plataformas de entretenimiento. Los menores son especialmente vulnerables a manipulación, dependencia, exposición a contenidos dañinos y explotación de datos. Regular estos usos no es paternalismo tecnológico: es protección de derechos.
La transparencia algorítmica será otro concepto central, pero deberá concretarse. Transparencia no puede significar publicar documentos incomprensibles o fórmulas inaccesibles. Debe significar que las personas afectadas puedan saber cuándo se usa IA, con qué finalidad, qué datos intervienen, qué consecuencias puede tener, quién supervisa, cómo reclamar y cómo se corrigen errores. En la administración, esa transparencia debe integrarse con los principios de procedimiento administrativo, motivación de decisiones y derecho de defensa.
La ley también deberá convivir con el RGPD. La protección de datos ya regula decisiones automatizadas, tratamiento de datos sensibles, biometría, minimización, finalidad y derechos de los ciudadanos. La nueva norma de IA no sustituye ese marco: lo complementa. En la práctica, muchas organizaciones tendrán que revisar simultáneamente protección de datos, ciberseguridad, AI Act, propiedad intelectual, consumidores, igualdad y responsabilidad civil.
El reto para pymes y startups será especialmente delicado. El proyecto menciona la consideración específica del tamaño empresarial para protegerlas, en línea con el Reglamento europeo. Esta sensibilidad es necesaria. Si cumplir con la regulación exige equipos jurídicos y técnicos inaccesibles, el resultado puede ser paradójico: las grandes tecnológicas podrán absorber los costes y las pequeñas quedarán fuera. La regulación debe proteger derechos sin destruir competencia.
El sandbox puede ayudar precisamente a esas empresas. También pueden hacerlo guías prácticas, plantillas de documentación, herramientas de autoevaluación, asesoramiento sectorial y criterios claros de clasificación de riesgos. La seguridad jurídica no se consigue solo con sanciones; se consigue también explicando cómo cumplir. Si España quiere ser líder en IA confiable, deberá construir una administración capaz de acompañar sin capturar, orientar sin sustituir y sancionar cuando sea necesario.
El proyecto abre además un debate sobre responsabilidad. Cuando una IA causa daño, ¿responde el proveedor, el desplegador, el integrador, la administración, el empleado que la usó o todos en distintos niveles? La norma española aborda supervisión y sanción, pero la práctica diaria será compleja. Muchos sistemas se construyen con capas de proveedores, APIs, modelos generales, datos propios, interfaces, ajustes locales y decisiones humanas. La trazabilidad de responsabilidades será una de las grandes pruebas del nuevo marco.
La dimensión democrática es quizá la más importante. La IA puede ser una herramienta de modernización pública, pero también puede introducir opacidad en el corazón del Estado. Un ciudadano puede aceptar que una administración use tecnología para ser más rápida. Lo que no debería aceptar es que una decisión que afecta a sus derechos se base en una recomendación algorítmica que nadie puede explicar. La eficiencia administrativa no puede lograrse a costa de reducir garantías.
Por eso el inventario de sistemas de IA puede ser más relevante que muchas sanciones espectaculares. Saber qué sistemas usa el Estado, en qué procedimientos, con qué finalidad y bajo qué responsabilidad permite abrir la caja negra de la administración algorítmica. A partir de ahí pueden venir auditorías, evaluaciones de impacto, revisión parlamentaria, control judicial, investigación periodística y participación ciudadana.
La conclusión es clara: el proyecto de ley español marca el paso de la ética declarativa a la gobernanza concreta. Ya no se trata solo de decir que la IA debe ser confiable, humanista o garantista. Se trata de crear autoridades, inventarios, delegados, sandboxes, sanciones, prohibiciones y procedimientos. Ese es el cambio de fase.
Si la ley se aplica con ambición, España puede construir una administración más transparente y un mercado de IA más seguro. Si se queda en formalismos, inventarios incompletos y supervisión débil, la tecnología avanzará por delante de las garantías. La diferencia estará en la ejecución: recursos, talento, independencia, coordinación y voluntad real de exigir responsabilidades.
La IA ya está entrando en decisiones que afectan a personas. La ley pretende recordar algo básico: cuando una máquina clasifica, recomienda, prioriza o genera contenido con impacto social, no desaparece la responsabilidad humana. Al contrario, se vuelve más necesaria. El futuro de la IA confiable no dependerá solo de modelos mejores, sino de instituciones capaces de mirar esos modelos de frente y poner límites cuando haga falta.
