1. Home
  2. Strategic Intelligence Series & Insights
  3. Public Affairs
  4. Ley Orgánica para el Buen Uso y la Gobernanza de la Inteligencia Artificial (España, 2026)

Ley Orgánica para el Buen Uso y la Gobernanza de la Inteligencia Artificial (España, 2026)

tiempo estimado de lectura : 10
Ley Orgánica para el Buen Uso y la Gobernanza de la Inteligencia Artificial (España, 2026)

La Ley Orgánica para el buen uso y la gobernanza de la Inteligencia Artificial se tramita como ley orgánica porque afecta a derechos fundamentales, lo que exige mayoría absoluta del Congreso para su aprobación. Más allá de su tramitación, la norma articula el marco nacional de supervisión: quién vigila, quién sanciona en España y cómo se coordinan las competencias entre la AESIA y otros organismos sectoriales (AEPD, Banco de España, CNMV).

Lo que la ley española añade sobre el AI Act europeo — que ya es exigible — es fundamentalmente ese andamiaje institucional nacional y un régimen sancionador detallado con tramos específicos adaptados al sistema jurídico español.



1. Sistema de clasificación por niveles de riesgo

La norma clasifica los sistemas de IA en cuatro categorías en función de su potencial de daño. La categoría asignada determina las obligaciones aplicables.




2. Usos prohibidos expresamente

Los siguientes usos de IA quedan prohibidos desde la entrada en vigor de la norma. Algunos de ellos ya son ilegales bajo el AI Act europeo desde febrero de 2025:

• Técnicas subliminales o manipuladoras que alteren decisiones de personas sin su conocimiento.

• Sistemas que aprovechen vulnerabilidades relacionadas con edad, discapacidad o situación económica.

• Deepfakes sexuales no consentidos o material íntimo generado por IA sin autorización.

• Sistemas de puntuación social (social scoring) aplicados a ciudadanos.

• Identificación biométrica remota en tiempo real en espacios públicos, salvo excepciones tasadas (seguridad nacional, búsqueda de personas desaparecidas).



3. Obligación de etiquetado de contenidos generados por IA

Toda empresa que genere o publique contenido mediante IA — imágenes, vídeos, audio o texto que pueda confundirse con la realidad — deberá incluir una marca de agua o etiqueta visible. Para textos, las letras "AI"en tamaño y posición determinados por la norma de desarrollo.


4. Régimen sancionador

Las infracciones se clasifican en tres niveles. Para empresas privadas, no existe periodo de gracia una vez la norma sea definitiva. La AESIA ya puede emitir apercibimientos en este momento, con ley aprobada o sin ella.


5. Obligaciones para empresas

Cualquier empresa que use o despliegue sistemas de IA — independientemente de su tamaño o facturación —tiene obligaciones regulatorias reales desde ya. La norma no distingue entre quien desarrolla la IA y quien la usa: si tu empresa utiliza ChatGPT, Claude, Copilot o cualquier otra herramienta en procesos profesionales, eres un deployer sujeto al marco regulatorio.



6. Plazos, moratorias y acciones inmediatas



7. Hoja de ruta práctica — acciones antes de agosto de 2026

Para la mayoría de empresas, el cumplimiento básico es alcanzable en un plazo razonable si se estructura bien. 

A continuación, el plan de trabajo recomendado:

MES 1 Inventario y diagnóstico

• Mapear todos los sistemas de IA en uso — incluyendo shadow AI (herramientas que empleados usan por iniciativa propia).

• Clasificar cada sistema según la taxonomía de riesgo del AI Act.

• Identificar cuáles tratan datos personales y activan obligaciones cruzadas con el RGPD.

• Entregable: Inventario completo con clasificación de riesgo por sistema.

MES 2 Documentación y política interna

• Redactar la política de uso de IA: herramientas autorizadas, datos permitidos, responsables, flujo deaprobación.

• Si hay sistemas de alto riesgo: iniciar documentación técnica requerida.

• Coordinar la EIPD del RGPD con la evaluación de conformidad del AI Act (reducción de coste decumplimiento).

• Entregable: Política interna aprobada + evaluación de impacto coordinada.

MES 3 Formación, control y revisión

• Implementar el programa de AI literacy documentado y específico por rol.

• Establecer supervisión humana donde se requiera con procedimientos verificables.

• Definir proceso de revisión periódica del inventario y la política.

• Entregable: Programa de formación documentado + mecanismo de revisión activo.



8. Mecanismos para PYMES y STARTUPS: los SANDBOXES regulatorios

La norma incorpora entornos controlados de prueba — sandboxes regulatorios — que permiten a startups y pequeñas empresas probar sistemas de IA bajo supervisión de la AESIA antes de tener que cumplir con todas las exigencias regulatorias completas. El objetivo es evitar que el exceso regulatorio frene la innovación en empresas emergentes.

Sin embargo, conviene ser preciso: los sandboxes no eximen de las prohibiciones de riesgo inaceptable ni de la obligación de alfabetización. Permiten un camino supervisado hacia el cumplimiento pleno para sistemas en desarrollo.



9. El doble estándar: administración pública fuera del régimen sancionador

La Administración Pública queda obligada a mantener un inventario de sistemas de IA y a designar delegadosde IA en cada organismo. Sin embargo, el texto aprobado excluye a los organismos públicos del régimen sancionador económico.



10. Convergencia con otros marcos regulatorios europeos

 La ley de IA no opera en aislamiento. Converge con otros cinco reglamentos y directivas europeas cuyas obligaciones se solapan y cuyos plazos coinciden en 2025-2026. Una estrategia de cumplimiento integrada es significativamente más eficiente que abordar cada marco por separado.



CONCLUSIONES Y RECOMENDACIONES

• Actuar ya, no esperar a la ley española: El AI Act europeo es exigible ahora. Esperar a la aprobación parlamentaria de la ley española equivale a incumplir obligaciones que ya están en vigor.

• Inventario como primer paso: Antes de cualquier otra acción, mapear qué sistemas de IA usa la empresa y clasificarlos. Sin ese diagnóstico, no es posible dimensionar el riesgo real.

• Integrar cumplimiento IA y RGPD: La evaluación coordinada de ambos marcos reduce significativamente el coste y la carga administrativa.

• Priorizar por riesgo: No todos los usos de IA tienen el mismo nivel de obligación. La mayoría de herramientas de uso cotidiano en una pyme caen en riesgo mínimo o limitado. Los sistemas de RRHH, scoring y decisiones automatizadas requieren atención inmediata.

• Documentar para defender: En caso de investigación por parte de la AESIA, la existencia de documentación — inventario, política interna, registros de supervisión — es el principal factor de atenuación de sanciones.


Puedes descargar el informe completo 👇

Descargar archivoPDF • 24KB
Ley IA Ley Orgánica Gobernanza AI Act Europeo España 2026
El reto de una Ley de trasparencia que regule los grupos de interés.
Ley española sobre grupos de interés y el lobby
🔟Puntos clave de la Directiva (UE) 2026/1021 de 29 de abril de 2026 relativa a la lucha contra la corrupción.