Ley de gobernanza de la IA: el deber de inventariar y supervisar el uso de inteligencia artificial recae sobre las empresas con sanciones de hasta 35 millones de euros
El proyecto de ley aprobado por el Consejo de Ministros traslada al ordenamiento español el ‘AI Act’ y configura un régimen de responsabilidad para las organizaciones que utilicen sistemas de IA
La mayor parte del uso de IA en las empresas se produce hoy sin trazabilidad ni supervisión, lo que afecta directamente a la diligencia exigible a sus órganos de administración. (Imagen: E&J)
Ley de gobernanza de la IA: el deber de inventariar y supervisar el uso de inteligencia artificial recae sobre las empresas con sanciones de hasta 35 millones de euros
El proyecto de ley aprobado por el Consejo de Ministros traslada al ordenamiento español el ‘AI Act’ y configura un régimen de responsabilidad para las organizaciones que utilicen sistemas de IA
La mayor parte del uso de IA en las empresas se produce hoy sin trazabilidad ni supervisión, lo que afecta directamente a la diligencia exigible a sus órganos de administración. (Imagen: E&J)
El Consejo de Ministros ha aprobado el proyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial, norma que adapta al ordenamiento español el Reglamento (UE) 2024/1689 (AI Act) y configura el régimen sancionador asociado. Las infracciones más graves podrán castigarse con multas de hasta 35 millones de euros o el 7% del volumen de negocio anual mundial del infractor, conforme a la horquilla prevista en el propio Reglamento.
La supervisión recaerá sobre la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), y el grueso de las obligaciones del AI Act será plenamente exigible desde el 2 de agosto de 2026.
La norma no se limita en las prohibiciones de uso (deepfakes sexuales, técnicas subliminales, sistemas de puntuación social). Establece un conjunto de deberes positivos que afectan a cualquier empresa que utilice, despliegue o integre sistemas de IA en su actividad: inventariar dichos sistemas, clasificarlos por nivel de riesgo, documentar su uso con trazabilidad suficiente, dotarse de políticas internas de gobernanza, garantizar supervisión humana efectiva y, conforme al artículo 4 del AI Act (en vigor desde el 2 de febrero de 2025), asegurar un nivel adecuado de alfabetización en IA del personal con responsabilidades sobre estos sistemas.
La diligencia exigible al órgano de administración pasa, por tanto, a incluir la gobernanza de la IA como materia propia, en línea con la jurisprudencia ya consolidada en materia de cumplimiento penal y de protección de datos.
Suscríbete a nuestra
NEWSLETTER
(Imagen: E&J)
El obstáculo práctico: un uso de IA que la empresa no puede acreditar
La dificultad jurídica de cumplir estas obligaciones radica en que, en la práctica, una parte sustancial del uso de IA en las organizaciones se produce al margen de cualquier control formal. Empleados que introducen información sensible (datos personales, secretos empresariales, documentación contractual, código fuente) en servicios de IA generativa accesibles desde el navegador como ChatGPT, Claude, Gemini o Copilot, mediante cuentas personales o no gestionadas por la organización. Es lo que el sector denomina shadow AI (IA no autorizada o no gestionada). A ello se suma una segunda categoría de uso, igualmente relevante para el régimen sancionador, los agentes de IA que las propias empresas están desplegando con creciente intensidad y que, sin supervisión adecuada, ejecutan tareas autónomas sobre datos y sistemas internos.
Los datos públicos ilustran la magnitud del problema. Según el informe Cost of a Data Breach 2025 de IBM, la shadow AI estuvo implicada en el 20% de las brechas de datos analizadas y añadió de media unos 670.000 dólares al coste de cada incidente, mientras que el 63% de las organizaciones carece de cualquier política de gobernanza de IA. Un estudio de UpGuard de noviembre de 2025 estima en más del 80 % los trabajadores que utilizan herramientas de IA no aprobadas por su empresa, resultado que se eleva hasta cerca del 90% entre los propios profesionales de seguridad. Distintos informes sectoriales sitúan entre el 45% y el 7% los empleados que acceden a estas herramientas a través de cuentas personales, fuera del perímetro técnico y jurídico de la organización.
Desde la perspectiva del cumplimiento normativo, este escenario plantea un problema directo, si la empresa no puede acreditar qué sistemas de IA se utilizan en su organización, con qué finalidad y sobre qué datos, difícilmente podrá demostrar ante la AESIA el cumplimiento de los deberes de inventariado, clasificación y supervisión que la norma le impone. La carga de la prueba documental, en línea con el principio de accountability del Reglamento General de Protección de Datos, recae sobre el propio responsable.
Lo que cambia con esta Ley es que la falta de visibilidad sobre el uso interno de IA deja de ser un problema de seguridad para convertirse en un problema de responsabilidad. Las empresas tendrán que poder demostrar ante el supervisor qué sistemas de IA usan, con qué fines y bajo qué controles, incluida la IA que sus propios empleados están utilizando hoy fuera del radar y los agentes autónomos que despliegan internamente. Quien no pueda documentarlo, no podrá acreditar la diligencia que la norma exige.
(Imagen: E&J)
Una obligación que se conecta con el RGPD, los secretos empresariales y el deber de diligencia
La nueva ley no opera en un vacío. Las obligaciones que impone se solapan y refuerzan otras ya vigentes. El uso de IA sin control afecta al cumplimiento del Reglamento General de Protección de Datos cuando se introducen datos personales, a la Ley de Secretos Empresariales cuando lo que sale de la organización es información reservada con valor económico y al deber general de diligencia del órgano de administración previsto en la Ley de Sociedades de Capital. La acumulación de regímenes sancionadores convierte un mismo hecho (un empleado pegando información confidencial en un modelo de IA) en un riesgo potencial bajo varias normas a la vez.
