El Gobierno de España ha dado un paso decisivo en la regulación de la inteligencia artificial con la aprobación del proyecto de ley para el buen uso y la gobernanza de la IA, una norma que adapta al ordenamiento jurídico español el Reglamento Europeo de Inteligencia Artificial, conocido internacionalmente como AI Act. La medida, aprobada por el Consejo de Ministros el 26 de mayo de 2026, inicia ahora su tramitación parlamentaria urgente y anticipa un cambio profundo en la manera en la que empresas, desarrolladores, medios, aseguradoras, plataformas tecnológicas y administraciones deberán construir y utilizar sistemas basados en inteligencia artificial.
Aunque gran parte del debate público se ha centrado en las sanciones económicas —que alcanzan los 35 millones de euros o el 7% de la facturación global—, el verdadero impacto de la norma es mucho más profundo: redefine completamente cómo debe diseñarse una solución de IA desde su origen.
Y ahí es donde aparece uno de los grandes problemas del mercado actual.
Durante los últimos dos años, miles de automatizaciones, asistentes inteligentes, agentes autónomos, sistemas de análisis documental, plataformas de scoring, bots conversacionales, motores predictivos y herramientas generativas se han desarrollado bajo una lógica puramente funcional o comercial, ignorando casi por completo la arquitectura regulatoria europea que ya estaba definida desde la aprobación del AI Act comunitario.
El resultado es contundente: una parte significativa de los desarrollos actuales nace ya técnicamente obsoleta desde el punto de vista regulatorio.
La nueva normativa española no crea un sistema paralelo al europeo. Su función es ejecutar, supervisar y sancionar dentro del territorio español las obligaciones ya establecidas por el Reglamento UE 2024/1689. Esto significa que las empresas no podrán alegar desconocimiento, ni tampoco considerar la regulación como un asunto futuro o secundario.
Qué se aprueba exactamente
El texto aprobado por el Consejo de Ministros no es todavía la ley definitiva. Se trata del proyecto legislativo que será enviado a las Cortes para su tramitación parlamentaria, aunque el Gobierno ha decidido utilizar la vía urgente, reduciendo los plazos administrativos aproximadamente a la mitad.
La norma establece:
• Régimen sancionador nacional.
• Sistema de supervisión y gobernanza.
• Autoridades competentes de control.
• Obligaciones de transparencia.
• Clasificación de riesgos de sistemas IA.
• Prohibiciones específicas.
• Adaptación operativa del AI Act europeo.
La Agencia Española de Supervisión de Inteligencia Artificial (AESIA) tendrá un papel central en la vigilancia y aplicación práctica del marco regulatorio junto a organismos como la Agencia Española de Protección de Datos.
Las multas: el elemento que ha sacudido al sector
El componente más visible de la nueva ley son las sanciones económicas.
La estructura sancionadora replica el enfoque europeo basado en gravedad y riesgo:
Infracciones muy graves
• Hasta 35 millones de euros.
• O hasta el 7% de la facturación mundial anual.
Infracciones graves
• Hasta 15 millones de euros.
• O hasta el 3% de la facturación global.
Infracciones leves
• Hasta 7,5 millones de euros.
• O hasta el 1,5% de facturación.
Además, algunas infracciones administrativas menores arrancan desde los 6.000 euros.
El mensaje político es claro: la IA deja de ser un terreno experimental sin consecuencias regulatorias.
Qué prácticas quedan prohibidas
La legislación establece una categoría denominada “riesgo inaceptable”, directamente prohibida dentro de la Unión Europea.
Entre las prácticas vetadas destacan:
• Manipulación subliminal para alterar decisiones humanas.
• Sistemas que exploten vulnerabilidades de menores, ancianos o colectivos sensibles.
• Sistemas de puntuación social.
• Clasificación biométrica basada en ideología, religión, orientación sexual o raza.
• Uso de IA para manipulación conductual encubierta.
• Deepfakes sexuales.
• Generación o alteración de pornografía infantil mediante IA.
Además, los contenidos generados mediante inteligencia artificial deberán identificarse y etiquetarse claramente cuando puedan inducir a error al usuario.
Esto afecta de lleno a:
• Medios digitales.
• Publicidad.
• Influencers.
• Plataformas educativas.
• Generación automática de voz.
• Vídeos sintéticos.
• Avatares.
• Sistemas comerciales conversacionales.
Los sectores de mayor riesgo
La ley presta especial atención a los sistemas considerados “de alto riesgo”, especialmente aquellos vinculados a derechos fundamentales o toma de decisiones relevantes.
Entre los sectores más expuestos aparecen:
• Sanidad.
• Justicia.
• Recursos humanos.
• Educación.
• Banca y seguros.
• Seguridad pública.
• Infraestructuras críticas.
• Administraciones públicas.
• Sistemas biométricos.
• Evaluación de solvencia.
• Selección laboral automatizada.
Esto implica auditorías, trazabilidad, supervisión humana obligatoria, explicabilidad y controles documentales mucho más estrictos.
El gran problema oculto: automatizaciones sin gobernanza
La norma llega en un momento especialmente delicado para el ecosistema tecnológico europeo.
En los últimos 24 meses se ha producido una explosión masiva de automatizaciones construidas rápidamente sobre APIs de modelos generativos, plataformas low-code y agentes autónomos conectados entre sí.
La mayoría de estos desarrollos priorizó:
• rapidez,
• coste reducido,
• viralidad,
• automatización extrema,
• reducción de personal.
Pero ignoró completamente:
• compliance,
• trazabilidad,
• clasificación de riesgo,
• supervisión humana,
• auditoría,
• protección de datos,
• gobernanza documental,
• segregación de responsabilidades.
Y ahí aparece el verdadero impacto económico de la nueva legislación.
Miles de proyectos desarrollados para:
• despachos legales,
• clínicas,
• aseguradoras,
• recursos humanos,
• scoring financiero,
• automatización documental,
• atención al cliente,
• análisis médico,
• verificación biométrica,
• generación de contenido,
podrían necesitar reconstrucciones completas de arquitectura para seguir siendo legales.
En muchos casos, no bastará con “adaptar” el sistema.
Habrá que rediseñarlo desde cero.
Europa impone un cambio de paradigma
El modelo europeo de IA no está diseñado para maximizar velocidad de despliegue como ocurre en otros mercados.
Está diseñado para:
• proteger derechos fundamentales,
• limitar automatismos opacos,
• exigir responsabilidad jurídica,
• garantizar supervisión humana,
• documentar decisiones algorítmicas.
La consecuencia directa es que Europa está empujando a las empresas hacia una IA mucho más parecida a una infraestructura regulada que a una simple herramienta tecnológica.
Esto cambia completamente:
• presupuestos,
• tiempos de desarrollo,
• arquitectura,
• documentación,
• contratación de perfiles,
• compliance,
• seguros,
• responsabilidad directiva.
Qué ocurrirá ahora
El proyecto inicia ahora su recorrido parlamentario, aunque gran parte del AI Act europeo ya entra progresivamente en vigor entre 2025 y 2027.
Las empresas que todavía consideran la regulación como un asunto lejano podrían encontrarse con varios problemas simultáneos:
• sistemas no adaptables,
• riesgo reputacional,
• imposibilidad de contratación pública,
• litigios,
• bloqueo de despliegues,
• sanciones económicas,
• imposibilidad de certificar soluciones IA.
La industria tecnológica europea entra así en una nueva etapa donde ya no bastará con construir inteligencia artificial.
Será obligatorio demostrar que fue diseñada correctamente desde el primer día.
Las rimas de la IA
La máquina aprendió deprisa
pero Europa pidió memoria
ya no basta crear futuro
si el origen no soporta auditoría ni historia
porque la IA sin control
puede convertir innovación en sanción.