Ley Orgánica de IA: España aterriza el ‘AI Act’ con AESIA, sanciones y ‘sandboxes’

El 12 de junio de 2026 el Congreso publicó el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial. La fecha no es una anécdota parlamentaria: abre el primer gran aterrizaje español del Reglamento Europeo de Inteligencia Artificial y desplaza el debate desde la ética declarativa hacia la arquitectura institucional, sancionadora y administrativa con la que España pretende supervisar la IA en empresas, administraciones, servicios esenciales y espacios donde la automatización ya afecta a derechos, decisiones, oportunidades y garantías fundamentales.

G

Agrega

como fuente preferida en Google

La promesa de IA responsable deberá poder probarse ante una autoridad

España abre la fase ejecutiva del ‘AI Act’

El texto parte de una premisa correcta: el Reglamento (UE) 2024/1689 es directamente aplicable, pero necesita autoridades, procedimientos, coordinación interna y un régimen sancionador nacional. La ley española no inventa un AI Act propio; lo hace operable. Designa quién vigila, quién sanciona, quién canaliza reclamaciones, cómo funcionan los espacios controlados de pruebas y qué debe hacer el sector público estatal cuando incorpora sistemas de IA a procedimientos administrativos.

La opción por una ley orgánica no es cosmética. La IA puede afectar a igualdad, intimidad, protección de datos, tutela judicial efectiva, no discriminación, menores, empleo y participación democrática. Por eso el proyecto asume que la gobernanza algorítmica ya no puede quedar en recomendaciones blandas, códigos voluntarios o comités internos sin trazabilidad. La supervisión humana deja de ser una cláusula estética y pasa a convertirse en presupuesto de legitimidad cuando la tecnología influye en decisiones relevantes.

La ley española no inventa un AI Act propio; lo hace operable

Un mapa institucional complejo

La pieza central será la AESIA, llamada a actuar como autoridad principal de vigilancia de mercado, punto de contacto único y gestora del espacio controlado de pruebas obligatorio. Pero el modelo no es monolítico. La Dirección General de Inteligencia Artificial será autoridad notificante para los sistemas del Anexo III; la Agencia Española de Protección de Datos (AEPD) conservará un papel decisivo en biometría, datos y fronteras; el Consejo General del Poder Judicial (CGPJ) intervendrá en justicia; y los supervisores financieros, de seguros y de producto mantendrán competencias sectoriales.

Esta distribución tiene sentido técnico, pero también encierra el primer riesgo práctico: la fragmentación competencial. Una empresa que despliegue IA en empleo, solvencia, seguros, biometría o servicios públicos no podrá mirar solo a una autoridad. Tendrá que entender qué sistema utiliza, con qué finalidad, sobre qué datos opera, en qué sector se integra y qué norma complementaria resulta aplicable. La gobernanza de IA se convierte así en una cuestión de mapa regulatorio, no solo de cumplimiento documental.

(Imagen: E&J)

Reclamaciones y vigilancia preventiva

El proyecto incorpora una ventanilla única en AESIA para que cualquier persona física o jurídica pueda comunicar posibles incumplimientos. No se trata de convertir cada reclamación en procedimiento sancionador automático, sino de crear una vía de detección temprana. La autoridad competente podrá pedir información, realizar comprobaciones, exigir medidas correctoras, archivar motivadamente o iniciar expediente de oficio. También se protege al informante en el marco de la legislación española y europea. Este punto es esencial: la supervisión de IA no dependerá solo de auditorías programadas, sino también de señales procedentes de usuarios, empleados, competidores, consumidores y afectados.

Sanciones que cambian el incentivo

El capítulo sancionador es el gran aviso al mercado. Las infracciones por prácticas prohibidas pueden alcanzar 35 millones de euros o el 7% del volumen de negocios mundial. Otras infracciones muy graves pueden llegar a 15 millones o al 3%; las graves, a 7,5 millones o al 1%; y las leves, a 500.000 euros o al 0,5%. El proyecto añade medidas accesorias: retirada, desconexión, prohibición del sistema, multas coercitivas y publicación coordinada de sanciones.

No obstante, el texto incorpora matices relevantes. Para pymes y empresas emergentes se atiende al criterio más favorable previsto por el Reglamento europeo. Para infracciones leves se abre la puerta a medidas correctoras antes de una sanción plena. Y para el sector público se prevé un régimen específico de apercibimiento y medidas correctoras, sin perjuicio de responsabilidades disciplinarias. Ahí se jugará una parte de la credibilidad del sistema: la Administración no puede exigir al mercado una diligencia que no practique internamente.

La supervisión humana deja de ser una cláusula estética y pasa a convertirse en presupuesto de legitimidad

El sector público entra en escena

Una de las novedades nacionales más relevantes es el capítulo dedicado al buen uso de la IA en el sector público estatal. Las entidades deberán informar sobre los sistemas utilizados, registrar sus herramientas, alimentar un inventario nacional interoperable y designar un delegado de IA con conocimientos técnicos y regulatorios. Esta figura puede convertirse en el equivalente funcional del DPO en el gobierno algorítmico: no decide por la organización, pero debe ordenar criterios, advertir riesgos y documentar decisiones.

La consecuencia es inmediata para la contratación pública. Antes de comprar o desplegar IA, los órganos de contratación tendrán que preguntar por clasificación de riesgo, supervisión humana, sesgos, trazabilidad, documentación técnica, registro, accesibilidad, medidas de transparencia y evaluaciones de impacto. El pliego tecnológico dejará de ser un anexo técnico menor y pasará a ser una pieza jurídica central.

(Imagen: E&J)

‘Deepfakes’, menores y transparencia

El proyecto refuerza además la dimensión de transparencia. La identificación de contenidos generados por IA, la información a personas que interactúan con sistemas automatizados y el marcaje de resultados sintéticos serán elementos críticos. En un entorno saturado por deepfakes, clonación de voz, imágenes sexuales no consentidas y pornografía infantil generada artificialmente, España quiere situar la protección de menores y de la dignidad personal en el centro del despliegue normativo.

La clave estará en no confundir transparencia con mero etiquetado. Advertir que algo ha sido generado por IA puede ser insuficiente si el daño ya se ha producido, si el contenido se viraliza o si afecta a menores, reputación, prueba judicial o integridad electoral. La transparencia útil debe ser preventiva, comprensible, verificable y acompañada de medidas de retirada, trazabilidad y responsabilidad.

La gobernanza de IA se convierte en una cuestión de mapa regulatorio, no solo de cumplimiento documental

‘Sandboxes’: innovación con autoridad

Los espacios controlados de pruebas son el contrapunto innovador del proyecto. AESIA deberá establecer el sandbox obligatorio previsto por el AI Act y otras autoridades podrán crear entornos sectoriales. Bien diseñados, pueden ser una vía para probar sistemas antes de su comercialización, aclarar requisitos, involucrar a autoridades de derechos fundamentales y reducir incertidumbre para empresas, universidades y administraciones.

Pero el sandbox no debe convertirse en una etiqueta de impunidad reputacional. Participar en un entorno controlado no equivale a obtener licencia general para desplegar tecnología. Su valor estará en la calidad de la documentación, en la supervisión real y en la transferencia de aprendizaje hacia el mercado.

(Imagen: Pablo Sáez)

La nueva diligencia de las empresas

Para proveedores y responsables del despliegue, la conclusión es clara. El primer deber práctico será inventariar sistemas de IA, clasificarlos por riesgo, identificar roles, revisar contratos, documentar supervisión humana, evaluar impactos en derechos fundamentales, controlar datos, preparar trazabilidad y revisar materiales comerciales. La promesa de “IA responsable” deberá poder probarse ante una autoridad.

El proyecto tampoco opera en solitario. Convive con RGPD, Ley 15/2022, normativa laboral, consumo, producto seguro, contratación pública, ciberseguridad, propiedad intelectual y derecho sectorial. La licitud de un sistema bajo el AI Act no agota su validez jurídica. La IA que decide, recomienda o perfila personas deberá superar varias capas de legalidad.

El pliego tecnológico dejará de ser un anexo técnico menor y pasará a ser una pieza jurídica central

La verdadera prueba española

España ha llegado pronto al momento decisivo. Tiene AESIA, tradición en derechos digitales, experiencia de sandbox y una oportunidad para liderar una aplicación seria del AI Act. Pero el éxito no dependerá del BOE, sino de medios, talento, coordinación, independencia y cultura de cumplimiento.

La ley no cerrará el debate; lo institucionalizará. Desde ahora, la pregunta relevante no será si una organización usa IA, sino si puede explicar para qué la usa, quién la supervisa, qué riesgos genera, qué evidencia conserva y qué autoridad podría revisar su actuación. Ahí empieza la verdadera gobernanza común de la inteligencia artificial en España. Y ahí se medirá si el país convierte su ventaja regulatoria en confianza, seguridad jurídica e innovación responsable, o si la complejidad institucional termina diluyendo el impulso inicial de una norma llamada a ordenar la década algorítmica en España.

(Imagen: E&J)

Cuadro normativo sugerido

Cuadro de jurisprudencia

Fuentes principales verificadas

• Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial, BOCG, Serie A, núm. 97-1, 12 de junio de 2026: https://www.congreso.es/public_oficiales/L15/CONG/BOCG/A/BOCG-15-A-97-1.PDF
• Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial.
• Real Decreto 729/2023, de 22 de agosto, por el que se aprueba el Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial.
• Real Decreto 817/2023, de 8 de noviembre, por el que se establece un entorno controlado de pruebas para IA.
• Libro de Estilo de Economist & Jurist: pautas de accesibilidad, claridad, titular, entradilla, sumarios, ladillos y estructura para artículos de análisis jurídico.