El Consejo de Ministros, a propuesta del Ministerio para la Transformación Digital y de la Función Pública, ha aprobado el proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial para su remisión al Congreso de los Diputados. Con esta norma, que adapta al ordenamiento jurídico español el Reglamento europeo de Inteligencia Artificial (RIA), en vigor desde agosto de 2024, España se dota de un instrumento orientado a garantizar la supervisión humana y un uso confiable de la inteligencia artificial.
En rueda de prensa, el ministro para la Transformación Digital y de la Función Pública, Óscar López, defendió que esta ley refuerza el liderazgo de España como potencia referente «en la construcción de una IA confiable, ética y humanista». Añadió que «España es el mejor ejemplo de que no compiten regulación y la innovación, al revés», y recordó que el país ocupa una posición de liderazgo mundial tanto en el desarrollo y la adopción de la IA como en su regulación, según estudios de la Universidad de Stanford y de Microsoft. López también enumeró otros activos nacionales en este ámbito: dos fábricas de IA de la UE, un proyecto de gigafactoría, empresas como Multiverse Computing y el modelo propio de IA en español ALIA.
«Hemos dado un salto muy importante en un debate que es absolutamente civilizatorio. Estamos hablando de avanzar o retroceder», subrayó el ministro al presentar una norma que, además, responde a los compromisos del presidente del Gobierno para hacer más seguros los entornos digitales. En concreto, la ley exige responsabilidad a quienes usen sistemas prohibidos por la Unión Europea, impone la supervisión humana en casos que puedan afectar a derechos fundamentales, promueve la transparencia algorítmica e incluye medidas específicas para la protección de los menores.
Marco de gobernanza y autoridades competentes
La ley establece un marco de gobernanza mediante la designación de autoridades notificantes y autoridades de vigilancia del mercado encargadas de supervisar el cumplimiento de la normativa. Los productos ya regulados por normas sectoriales —maquinaria, juguetes, vehículos o productos sanitarios— mantendrán su misma autoridad notificante y de vigilancia del mercado, en línea con lo que establece el propio Reglamento de IA. Para el resto de sistemas no cubiertos por legislación de producto, como los relativos al empleo, la biometría o la educación, la supervisión se atribuye principalmente a la Agencia de Supervisión de Inteligencia Artificial (AESIA), con participación también de la Agencia Española de Protección de Datos (AEPD) y el Consejo General del Poder Judicial (CGPJ) según el ámbito correspondiente. La AESIA actuará además como punto de contacto único para cuestiones de supervisión.
Sistemas prohibidos: dos nuevas incorporaciones a iniciativa de España
El Reglamento de IA, impulsado durante la Presidencia española del Consejo de la Unión Europea, clasifica los sistemas de IA según su potencial riesgo y prohíbe los que representan un riesgo inaceptable para la seguridad o la salud de las personas. A iniciativa de España, con el apoyo de Francia, el pasado 7 de mayo la UE acordó añadir dos nuevas categorías a las ocho prohibiciones ya vigentes: la prohibición de sistemas que generen deepfakes sexuales —impulsada tras la polémica suscitada por los desnudos de mujeres y menores generados por Grok, el asistente virtual de la red social X— y otra prohibición que ya había obtenido el respaldo de la Unión a mediados de marzo.
Entre los sistemas prohibidos que ya recoge el reglamento figuran los que utilizan técnicas subliminales para manipular decisiones sin consentimiento causando un perjuicio considerable —como un chatbot que identifica usuarios con adicción al juego y les incita, mediante estímulos imperceptibles, a acceder a una plataforma de juego online—; los que explotan vulnerabilidades relacionadas con la edad, la discapacidad o la situación socioeconómica para alterar sustancialmente comportamientos en perjuicio de la persona —como un juguete infantil con IA que anima a los niños a completar retos que pueden causarles daños físicos graves—; los que clasifican con biometría a las personas por raza u orientación política, religiosa o sexual —como un sistema capaz de deducir la orientación sexual de un individuo a partir del análisis de sus fotos en redes sociales—; y los que puntúan a individuos o grupos basándose en comportamientos sociales o rasgos personales como criterio para, por ejemplo, denegarles subvenciones o préstamos.
Régimen sancionador proporcional
El régimen sancionador se rige por principios de proporcionalidad y eficacia. Las infracciones se clasifican en muy graves, graves y leves. Las sanciones pueden alcanzar hasta 35 millones de euros o el 7% del volumen de negocio en los casos más graves, y hasta 500.000 euros o el 0,5% del volumen de negocio en los más leves. El texto incorpora mecanismos que priorizan la corrección frente a la penalización, como reducciones de sanción por pronto pago o la adopción de medidas correctoras, y contempla de forma específica el tamaño empresarial para proteger a pymes y startups, en consonancia con lo previsto en el propio Reglamento de IA.
Buen uso de la IA en el sector público estatal
La norma introduce también, más allá de la mera transposición del RIA y a petición de las propuestas recibidas durante la audiencia pública, un conjunto de medidas para fomentar el buen uso de la IA en el sector público estatal. Entre ellas destaca la creación de un inventario de sistemas de IA utilizados en procedimientos administrativos —no limitado a los sistemas de alto riesgo—, con el fin de reforzar la transparencia. Asimismo, se establece la figura del delegado de IA, encargado de coordinar la aplicación normativa y asesorar en proyectos y contratación pública. Tanto el inventario como esta figura se desarrollarán mediante Real Decreto. La ley contempla también el impulso a la formación y concienciación de los empleados públicos en materia de inteligencia artificial.
Entornos de pruebas a escala nacional
Aunque el Ministerio para la Transformación Digital y de la Función Pública ya se anticipó a la obligación europea con un entorno controlado de pruebas —el denominado sandbox de IA—, el proyecto de ley regula ahora cómo articular la gobernanza de estos espacios y las medidas facilitadoras asociadas. El sandbox nacional de obligada creación por el Reglamento de IA será operado por la AESIA. La ley permite además la creación de sandboxes adicionales, siempre que sean promovidos por autoridades de vigilancia del mercado o autoridades notificantes y estén vinculados a su sector de supervisión. En todos ellos deberán participar las autoridades responsables de definir las políticas públicas en los sectores cubiertos, así como las autoridades competentes en derechos fundamentales relacionadas.
Artículo redactado con asistencia de IA (Ref. APA: Anthropic. (2026). Claude Haiku 4.5 [28 de mayo]. Anthropic. https://www.anthropic.com)
