Gobernanza de la IA en la UE y España: hitos y retos para 2026

I. Introducción

El año 2026 se perfila como un período de inflexión para la gobernanza de la inteligencia artificial (IA) en la Unión Europea y, por extensión, en España. Lejos de ser un futuro distante, nos encontramos en el umbral de la materialización de un marco regulatorio que ha sido objeto de intensos debates y negociaciones durante los últimos años. Este año no solo marcará la entrada en vigor de normativas cruciales, sino que también pondrá a prueba la capacidad de las instituciones recién creadas para ejercer una supervisión efectiva y garantizar que el desarrollo tecnológico se mantenga alineado con los valores y derechos fundamentales europeos. La convergencia de hitos regulatorios y la consolidación de nuevas agencias de supervisión anuncian una nueva era en la que la IA dejará de ser un mero concepto tecnológico para convertirse en una realidad jurídicamente ordenada.

El presente artículo se propone ofrecer una mirada aproximativa a los principales hitos y desafíos que configurarán la gobernanza de la IA durante 2026. Para ello, se analizarán cinco ejes temáticos que constituyen los pilares de este nuevo paradigma: la entrada en vigor de las obligaciones para los sistemas de IA de «alto riesgo» del Reglamento Europeo de IA (AI Act); las controvertidas Propuestas de Reglamento Ómnibus Digital; el Anteproyecto de Ley española sobre el buen uso de la IA y el régimen sancionador de la AESIA; la segunda convocatoria del Sandbox de IA español; y la consolidación de la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA). La tesis central que guía este análisis es que 2026 no será simplemente un año de implementación normativa, sino un verdadero test de estrés para el modelo europeo de gobernanza de la IA, donde la capacidad de equilibrar innovación y protección de derechos determinará el éxito o fracaso de la apuesta regulatoria europea.

II. La mayoría de edad del «alto riesgo»: La aplicación plena del Reglamento Europeo de IA (AI Act)

El 2 de agosto de 2026 marca un antes y un después en el panorama de la inteligencia artificial en Europa. En esta fecha, las disposiciones del Reglamento Europeo de IA (AI Act) relativas a los sistemas de «alto riesgo» serán plenamente exigibles, sometiendo a sus proveedores a un conjunto de obligaciones sin precedentes en la historia de la regulación tecnológica [1]. Este marco normativo, pionero a nivel mundial, busca garantizar que los sistemas de IA que puedan tener un impacto significativo en la vida de las personas sean seguros, transparentes y respetuosos con los derechos fundamentales. La entrada en vigor de estas obligaciones supone la mayoría de edad para la regulación de la IA, pasando de la teoría a la práctica y estableciendo un estándar global para el desarrollo y la comercialización de esta tecnología transformadora.

El corazón de estas nuevas exigencias se encuentra en el Artículo 16 y la Sección 2 del Capítulo III del AI Act, que detallan los requisitos que deberán cumplir los sistemas de alto riesgo. Entre ellos destaca la obligación de establecer un sistema de gestión de riesgos robusto y continuo, que permita identificar, evaluar y mitigar los posibles peligros asociados al uso de la IA a lo largo de todo su ciclo de vida. Asimismo, se establecen estrictos requisitos de gobernanza de los datos, que exigen que los conjuntos de datos utilizados para entrenar, validar y probar los sistemas sean de alta calidad, pertinentes y representativos, con el fin de evitar sesgos y discriminaciones que podrían perpetuar desigualdades existentes. La documentación técnica exhaustiva y el registro de eventos se convierten en herramientas indispensables para garantizar la trazabilidad y la rendición de cuentas, permitiendo a las autoridades comprender el funcionamiento de los sistemas y auditar sus decisiones.

La transparencia y la supervisión humana son otros dos pilares fundamentales del nuevo régimen, que obligan a los proveedores a informar a los usuarios cuando estén interactuando con un sistema de IA y a diseñar los sistemas de forma que puedan ser supervisados y controlados por personas. Finalmente, se imponen altos estándares de precisión, robustez y ciberseguridad. La implementación de estas obligaciones plantea importantes desafíos para las empresas, especialmente para las pymes y startups, que pueden encontrar dificultades para asumir los costes de adaptación. La necesidad de talento especializado en áreas como la ética de la IA, el derecho digital y la ciberseguridad se hará más acuciante que nunca. A pesar de estos retos, el AI Act también ofrece una oportunidad para generar confianza en el mercado y aumentar la seguridad jurídica, lo que podría traducirse en una ventaja competitiva para las empresas europeas que logren adaptarse.

(Imagen: E&J)

III. ¿Simplificación o retroceso? El debate en torno a las Propuestas de Reglamento Ómnibus Digital

En paralelo a la consolidación del AI Act, el año 2026 será testigo de un debate legislativo de enorme trascendencia: la discusión y votación de las Propuestas de Reglamento Ómnibus Digital [2]. Presentadas por la Comisión Europea a finales de 2025, estas iniciativas buscan, en teoría, simplificar el complejo entramado normativo digital de la Unión, reducir las cargas administrativas y potenciar la competitividad de la economía europea. Sin embargo, bajo esta aparente vocación de eficiencia subyace una profunda controversia que marcará la agenda política y jurídica del año, especialmente en lo que respecta a la gobernanza de la inteligencia artificial.

Una de las piezas centrales de este paquete legislativo es la propuesta específica que afecta a la Ley de IA. Con el fin de agilizar su aplicación, la Comisión plantea una serie de modificaciones que han encendido todas las alarmas. Entre ellas, se contempla la posibilidad de retrasar la aplicación de los exigentes requisitos para los sistemas de alto riesgo, una medida que, si bien podría dar un respiro a las empresas que aún no han completado su proceso de adaptación, genera una notable incertidumbre jurídica y podría posponer la protección efectiva de los ciudadanos frente a los riesgos de la IA [3]. Quizás aún más controvertida es la propuesta de redefinir el concepto de «datos personales», permitiendo que los datos seudonimizados sean tratados como no personales por entidades sin capacidad de reidentificación. Esta flexibilización, pensada para facilitar el entrenamiento de modelos de IA con grandes volúmenes de datos, es vista por muchos como una puerta trasera para erosionar las garantías del Reglamento General de Protección de Datos (RGPD), pilar del modelo europeo de protección de la privacidad [4].

La tramitación de estas propuestas durante 2026 pondrá de manifiesto la tensión fundamental que recorre la política digital europea. Por un lado, el sector empresarial y las voces pro-innovación argumentan que la UE debe aligerar su carga regulatoria para no perder el tren de la competitividad global frente a gigantes como Estados Unidos y China, que operan en entornos normativos más laxos [5]. Desde esta perspectiva, la simplificación es una condición sine qua non para que el ecosistema tecnológico europeo pueda florecer y competir en igualdad de condiciones. Por otro lado, un amplio abanico de organizaciones de la sociedad civil y defensores de los derechos digitales alertan de que estas propuestas, bajo la bandera de la simplificación, podrían suponer un peligroso retroceso en materia de derechos fundamentales, debilitando la rendición de cuentas y la protección de datos en la era de la IA [6]. El hito clave será la votación de estas propuestas en el Parlamento Europeo y en el Consejo, cuyo resultado definirá el rumbo de la política digital europea para los próximos años y determinará si Europa mantiene su liderazgo en regulación ética o cede ante las presiones competitivas.

IV. El brazo ejecutor de la ley: La Ley española de IA y el régimen sancionador de la AESIA

Si el Reglamento Europeo de IA (AI Act) establece el qué, las normativas nacionales deben definir el cómo. En este sentido, 2026 será un año crucial para España con la previsible publicación de la versión definitiva del Anteproyecto de Ley para el Buen Uso y la Gobernanza de la IA. Esta norma no es un mero ejercicio de transposición, sino la pieza que activará el engranaje de la supervisión y el control en el territorio nacional, dotando a la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) de las herramientas coercitivas necesarias para hacer cumplir la ley. La aprobación de esta ley convertirá a la AESIA, la primera agencia de este tipo en Europa, en el verdadero brazo ejecutor del AI Act en España.

El elemento más esperado y determinante de esta futura ley es, sin duda, el régimen sancionador. El anteproyecto, aprobado por el Consejo de Ministros en marzo de 2025, ya dibuja un sistema de infracciones y sanciones diseñado para ser eficaz y disuasorio [7]. Se establecen tres niveles de infracciones: leves, graves y muy graves. Las sanciones para las infracciones muy graves, como la comercialización de sistemas de IA que realicen prácticas prohibidas (por ejemplo, la puntuación social, la manipulación subliminal o la explotación de las vulnerabilidades de colectivos especialmente protegidos), podrían alcanzar los 35 millones de euros o el 7% del volumen de negocio anual mundial de la empresa infractora, optándose por la cantidad más elevada. Este severo régimen punitivo envía un mensaje inequívoco al mercado: el incumplimiento de la normativa de IA tendrá consecuencias económicas significativas, alineando los incentivos de las empresas con el respeto a la legalidad y los derechos fundamentales.

La ley también detallará el procedimiento administrativo-sancionador, definiendo las fases de investigación, instrucción y resolución que deberá seguir la AESIA para imponer una sanción. Este procedimiento deberá respetar todas las garantías jurídicas de los presuntos infractores, como el derecho a la audiencia, a la defensa y a la presunción de inocencia. Uno de los mayores desafíos para la AESIA será, precisamente, la gestión eficaz de estos procedimientos, que requerirán una alta especialización técnica para evaluar la complejidad de los sistemas de IA y determinar la existencia de una infracción. Además, la norma deberá clarificar la coordinación de la AESIA con otras autoridades de supervisión, como la Agencia Española de Protección de Datos (AEPD) o la Comisión Nacional de los Mercados y la Competencia (CNMC), cuyas competencias a menudo se solapan en el ecosistema digital. Evitar conflictos de competencias y establecer mecanismos de colaboración fluidos será fundamental para garantizar una supervisión coherente y sin fisuras, un reto que pondrá a prueba la madurez del entramado institucional español en 2026.

(Imagen: E&J)

V. Del laboratorio a la realidad: La segunda convocatoria del Sandbox de IA y la consolidación de la AESIA

La gobernanza efectiva de la inteligencia artificial no puede basarse únicamente en la teoría regulatoria y la amenaza de la sanción; requiere de mecanismos prácticos que faciliten la adaptación y de instituciones supervisoras fuertes y competentes. En este terreno, España ha adoptado una posición de liderazgo en Europa a través de dos instrumentos que alcanzarán un punto de madurez clave en 2026: el Sandbox de IA y la propia AESIA. Estos dos elementos, intrínsecamente conectados, representan la transición del laboratorio de ideas a la realidad del mercado, un paso indispensable para que la regulación sea un catalizador de la innovación y no un freno.

El Sandbox de IA español, el primero de su clase en Europa, se ha revelado como una herramienta de gobernanza de primer orden. Tras una exitosa primera convocatoria a finales de 2024, que atrajo a 44 solicitantes y seleccionó 12 proyectos de alto riesgo en sectores tan diversos como la sanidad, las infraestructuras críticas, el empleo y la biometría, todas las miradas están puestas en la segunda convocatoria, prevista para 2026 [8]. Este entorno de pruebas controlado permite a las empresas, especialmente a las pymes y startups, experimentar con sus sistemas de IA y alinearlos con los requisitos del AI Act bajo la supervisión directa de la AESIA. Funciona como un «laboratorio regulatorio» en tiempo real, donde se identifican ambigüedades normativas, se desarrollan soluciones prácticas y, fundamentalmente, se generan guías de buenas prácticas que servirán de referencia para todo el ecosistema. El Sandbox, por tanto, no es solo un espacio de experimentación, sino una fuente de conocimiento aplicado que reduce la incertidumbre y democratiza el acceso al cumplimiento normativo.

Paralelamente, 2026 será el año de la consolidación definitiva de la AESIA. Habiendo superado su fase inicial de establecimiento, la agencia se enfrentará al desafío de convertirse en una autoridad supervisora plenamente operativa y respetada. Esto implica varios retos mayúsculos: la captación y retención de talento altamente especializado; la obtención de un presupuesto adecuado que garantice su independencia y capacidad operativa; y, quizás el más importante, la habilidad para mantenerse actualizada ante la vertiginosa evolución tecnológica. La publicación de sus 16 guías técnicas a finales de 2025 fue un primer paso fundamental, proporcionando una hoja de ruta clara para las empresas que buscan cumplir con el Reglamento Europeo de IA (AI Act) [9]. Ahora, la AESIA deberá demostrar su capacidad para aplicar esas guías, resolver consultas complejas y ejercer su potestad supervisora con rigor y criterio. La sinergia entre ambos instrumentos es evidente: la experiencia y los datos obtenidos del Sandbox nutrirán la labor orientadora y supervisora de la AESIA, permitiéndole ajustar sus criterios y enfocar sus recursos de manera más eficiente.

VI. Conclusión

El año 2026 se erige, en definitiva, como la verdadera prueba de fuego para el ambicioso modelo de gobernanza de la inteligencia artificial diseñado por la Unión Europea y sus Estados miembros. Los hitos analizados —desde la aplicación plena de las obligaciones de alto riesgo del AI Act hasta la consolidación de la AESIA y la resolución del controvertido paquete Ómnibus Digital— no son eventos aislados, sino las piezas interconectadas de un complejo engranaje que comenzará a girar a pleno rendimiento. Este año se pasará de la arquitectura regulatoria a la fontanería institucional, un tránsito plagado de desafíos que pondrán a prueba la resiliencia, la coherencia y la eficacia del enfoque europeo.

Europa se encuentra en una encrucijada histórica: aspira a consolidar su liderazgo como referente global en una regulación de la IA ética y centrada en el ser humano, pero se enfrenta a la presión de no quedar rezagada frente a competidores que operan con menos ataduras normativas.

En última instancia, el éxito de la gobernanza de la IA en 2026 no se medirá por la cantidad de leyes aprobadas o de sanciones impuestas, sino por la capacidad real de pasar de la teoría a la práctica. Se trata de construir un ecosistema donde la regulación no sea vista como un obstáculo, sino como un marco que habilita una innovación responsable y sostenible. El camino que se trace en 2026 definirá si el modelo europeo de IA se convierte en un caso de éxito global o en un noble experimento superado por la arrolladora velocidad del cambio tecnológico. Como bien se ha dicho, “la IA no reemplazará a los profesionales, pero los profesionales que usen IA reemplazarán a los que no la usen”. En 2026 veremos si Europa y España han sabido dotar a sus profesionales y empresas de las herramientas para liderar esta nueva era.