El trimestre decisivo que reordena la gobernanza de la IA en España y Europa

Entre abril y junio se concentran los expedientes que van a convertir la regulación de la inteligencia artificial (IA) en una cuestión de negocio, cumplimiento y litigación. España entra en el trimestre con su ley nacional por decantar y con la segunda convocatoria del entorno controlado de pruebas pendiente de confirmación oficial. Bruselas, por su parte, abre una fase de simplificación sin desregular, mientras la responsabilidad civil, el honor digital y las normas ISO dejan de ser debates laterales.

El RIA español entra en su hora política

El punto de partida español sigue siendo el Anteproyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial aprobado por el Consejo de Ministros en marzo de 2025. Su importancia no está solo en que adapta el engranaje nacional al Reglamento europeo, sino en que diseña arquitectura institucional, reparto de competencias y régimen sancionador.

El texto confirma una gobernanza multinivel. AESIA queda como autoridad de referencia en el resto de supuestos, mientras que la Agencia Española de Protección de Datos (AEPD), el Consejo General del Poder Judicial (CGPJ) o la Junta Electoral Central conservan espacios propios en biometría, justicia o procesos democráticos. Para las empresas esto significa algo muy concreto, no bastará con leer el AI Act, habrá que identificar qué autoridad supervisa cada caso de uso.

El anteproyecto también aterriza la reacción frente a incidentes graves y da contenido práctico a las obligaciones de transparencia, incluidas las ultrasuplantaciones o deepfakes. El debate del Q2, por tanto, no es si habrá ley española, sino con qué ajustes llegará a la fase parlamentaria.

(Imagen: Pablo Sáez)

La segunda convocatoria del ‘sandbox’ ya no puede ser cosmética

El segundo gran foco del trimestre es la esperada segunda convocatoria del sandbox español de IA para sistemas de alto riesgo. A fecha de hoy, 6 de abril, no podemos confirmar su publicación oficial. Eso ya es una señal regulatoria.

La primera convocatoria seleccionó 12 sistemas de alto riesgo tras recibir 44 solicitudes, y el Gobierno publicó en diciembre de 2025 dos guías divulgativas, trece guías técnicas y listas de verificación sobre riesgos, gobernanza de datos, transparencia o ciberseguridad. Ese legado convierte la segunda edición, cuando llegue, en algo más exigente que un piloto. Ya no se espera solo acompañamiento, se espera escalabilidad, sectores más complejos y una conexión más directa con evaluación de conformidad y preparación documental.

El entorno de pruebas español ha pasado de experimento pionero a infraestructura de cumplimiento. En Q2 la pregunta ya no es si participar da visibilidad, sino si quedarse fuera resta aprendizaje regulatorio.

El gran asunto del trimestre no es solo qué norma llega, sino qué guía llega a tiempo

Bruselas simplifica, pero no desregula

La votación del Parlamento Europeo del 26 de marzo de 2026 abre una fase decisiva del Ómnibus Digital de IA. La Cámara aprobó su posición negociadora por 569 votos a favor, 45 en contra y 23 abstenciones. Europa quiere rebajar fricción operativa, no desmontar la lógica del AI Act.

La propuesta parlamentaria aplaza al 2 de diciembre de 2027 determinadas exigencias para sistemas de alto riesgo listados en el reglamento, fija el 2 de agosto de 2028 para los sistemas sujetos a legislación sectorial y propone hasta el 2 de noviembre de 2026 para cumplir con el marcado de origen del contenido generado por IA. Además, añade la prohibición de los sistemas nudifier, extiende apoyos a small mid-caps y abre la puerta a obligaciones menos estrictas cuando ya exista una capa sectorial robusta.

La clave empresarial es doble. Primero, gana peso la secuencia guías, estándares, cumplimiento. Segundo, el trílogo con el Consejo, que ya fijó posición en marzo bajo presidencia chipriota, puede redefinir la velocidad del cumplimiento.

(Imagen: Pablo Sáez)

La responsabilidad por ‘software’ deja de ser un debate teórico

En paralelo, el Q2 obliga a mirar con seriedad la Directiva 2024/2853 sobre responsabilidad por productos defectuosos. Su importancia para IA es enorme porque el concepto de producto incluye software y porque la responsabilidad alcanza defectos vinculados a actualizaciones, mejoras o falta de actualizaciones de seguridad.

La directiva se aplicará a productos introducidos en el mercado o puestos en servicio después del 9 de diciembre de 2026, y los Estados miembros deberán transponerla antes de esa misma fecha. Para España, el trimestre es estratégico aunque la norma de transposición aún no centre el debate público. El mercado ya conoce el sentido del cambio, documentación técnica más sólida, trazabilidad de cambios, gobernanza de proveedores y una relación mucho menos relajada con la ciberseguridad.

Dicho de otra forma, el daño causado por IA y software empieza a salir del terreno de la abstracción y entra en el de la prueba, la causalidad y la asegurabilidad.

La simplificación europea no elimina obligaciones, pero sí puede cambiar sus calendarios

El honor digital y la propia imagen suben de rango

La nueva Ley Orgánica del derecho al honor, a la intimidad personal y familiar y a la propia imagen, aprobada en anteproyecto en enero de 2026, es mucho más que una actualización cosmética. Introduce por primera vez la ilicitud del uso no consentido de voz o imagen con fines comerciales mediante IA o tecnologías similares, aclara que compartir una imagen en redes no habilita usos cruzados por terceros y refuerza la protección de menores, víctimas y personas fallecidas.

Aquí hay una advertencia clara para compañías, medios, plataformas, agencias y departamentos de marketing. El riesgo ya no es solo reputacional. Empieza a consolidarse una agenda de exposición civil, cautelar y laboral vinculada a piezas sintéticas y reutilización de imagen o voz en ecosistemas digitales.

(Imagen: Pablo Sáez)

ISO y EIDF, del cumplimiento ornamental al cumplimiento útil

Q2 2026 deja una lección incómoda, la estandarización ya no puede tratarse como un adorno comercial. ISO/IEC 42001 sigue siendo la referencia para estructurar un sistema de gestión de IA, pero el ecosistema útil ya incluye ISO/IEC 23894 para riesgo y, sobre todo, ISO/IEC 42005 para evaluación de impacto de sistemas de IA. No sustituyen al AI Act, pero sí ordenan evidencias, procesos y responsabilidades.

En paralelo, la evaluación de impacto en derechos fundamentales deja de ser un concepto etéreo. El AI Act exige esta evaluación para determinados desplegadores y el AI Office prevé una plantilla específica en 2026. A 6 de abril no podemos confirmar la publicación de ese modelo oficial. Mientras tanto, AESIA gana centralidad como supervisor y difusor de guías, pero el mercado sigue esperando un formato operativo que permita pasar del principio general al expediente defendible.

La responsabilidad por software ya no es una discusión académica, es una variable de producto

Lo que de verdad cambia para las empresas

La recomendación práctica es simple. Q2 2026 no debe vivirse como un trimestre para mirar titulares, sino para rehacer gobernanza interna. Las organizaciones que trabajen con IA deberían revisar ya cinco piezas, inventario real de sistemas, mapa de roles, cadena documental, criterio de impacto sobre derechos fundamentales y estrategia de producto frente a responsabilidad y honor digital.

Quien llegue a verano con una política general de IA, pero sin clasificación de casos de uso, sin lógica de evidencias y sin responsables claros, llegará tarde. Y quien confíe en que el Ómnibus será una amnistía regulatoria, probablemente leerá mal el momento europeo.

El trimestre no anuncia menos gobernanza de la IA. Anuncia una gobernanza más concreta, más sectorial y más exigible.

(Imagen: Pablo Sáez)