Proyecto de Ley Orgánica para el buen uso y gobernanza de la IA

El pasado 26 de mayo, el Consejo de Ministros aprobó, a propuesta del Ministerio para la Transformación Digital y de la Función Pública, la remisión al Congreso de los Diputados del Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial. Con ello, se inicia su tramitación parlamentaria en las Cortes Generales.

La norma busca “aterrizar” en España el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (RIA), en vigor desde agosto de 2024.

El Proyecto se alinea con la arquitectura del RIA, identifica autoridades nacionales, cierra vacíos de gobernanza y articula medidas específicas para el sector público estatal. A continuación repasamos el recorrido legislativo ya transitado, los puntos clave y los próximos pasos que deberían contemplar las organizaciones.  

Recorrido legislativo del Proyecto.

La aprobación del Proyecto se produce un año después de que el Anteproyecto de Ley para el buen uso y la gobernanza de la Inteligencia Artificial viera la luz, tras pasar por una fase de consulta pública y por el escrutinio de varios órganos, entre ellos el Consejo General del Poder Judicial (que elaboró un Informe sobre el anteproyecto de Ley para el buen uso y la gobernanza de la Inteligencia Artificial) o el Consejo Económico y Social de España (que también se pronunció sobre el Anteproyecto en su dictamen de 25 de marzo de 2026).

Ejes sustantivos del Proyecto.

Si bien en nuestro anterior post ya abordamos los principales puntos del entonces Anteproyecto, a continuación repasamos las principales novedades del Proyecto.

• Uso confiable de la IA. Supervisión humana, transparencia y protección reforzada de derechos. La norma proyectada enfatiza la supervisión humana efectiva cuando puedan verse afectados derechos fundamentales, refuerza la transparencia algorítmica y contempla medidas específicas de protección de menores, en línea con el compromiso gubernamental de reforzar la seguridad en el entorno digital. Este triángulo –supervisión, explicabilidad y salvaguardas– opera como filtro común para una IA responsable en España.

• Marco nacional de gobernanza y autoridades competentes. El Proyecto construye un marco de gobernanza en el determina los organismos de supervisión del RIA. En particular, designa las autoridades notificantes y de vigilancia del mercado en los sectores ya cubiertos por legislación de producto (e.g., maquinaria, juguetes, automoción o producto sanitario), manteniendo sus competencias. Para los sistemas no cubiertos por normativa de producto –entre ellos, empleo, biometría o educación– se prevé un reparto competencial en el que destaca la Agencia Española de Supervisión de la IA (AESIA), con intervención también de la Agencia Española de Protección de Datos (AEPD) y del CGPJ, según el ámbito de supervisión. Además, se articula un modelo reforzado de coordinación interinstitucional y un punto de contacto único a través de AESIA para cuestiones de supervisión.

• Régimen sancionador: proporcionalidad y efecto disuasorio. El Proyecto configura un régimen sancionador alineado con el enfoque del RIA, graduando infracciones en leves, graves y muy graves, con criterios de proporcionalidad, intencionalidad y reincidencia, y con mecanismos de corrección preferente (por ejemplo, reducciones por pronto pago o medidas correctoras), con atención al tamaño empresarial para pymes y startups. Las sanciones pueden llegar hasta 35 millones de euros o el 7% del volumen de negocio en los casos de mayor gravedad (por ejemplo, por el uso de sistemas de IA prohibidos), pasando por los 15 millones o el 3% para determinados incumplimientos de obligaciones y hasta 500.000 euros o el 0,5% del volumen de negocio en los supuestos más leves.
• Medidas específicas para el sector público estatal. Como novedad –no derivada directamente del RIA–, el Proyecto incorpora un bloque de “buen uso” de la IA en el sector público estatal. Se prevén dos desarrollos posteriores por real decreto: un inventario de sistemas de IA empleados en procedimientos administrativos (más allá de los sistemas de alto riesgo) y la figura del delegado de IA, encargado de coordinar la aplicación normativa y asesorar en proyectos y contratación pública. También se anuncia impulso a formación y concienciación del personal público.

Estas medidas apuntan a un estándar reforzado de transparencia y gobernanza interna y buscan responder a críticas surgidas en la consulta pública sobre el régimen sancionador aplicable a la Administración Pública, donde el uso inadecuado de IA quedaría esencialmente asociado a amonestaciones y actuaciones disciplinarias, sin sanciones económicas.  

• Sandboxes y fomento de la innovación segura. El texto reconoce el valor de los entornos de prueba controlados y articula la gobernanza del sandbox nacional obligatorio previsto por el RIA, que operará la AESIA, abriendo la puerta a sandboxes adicionales ligados a autoridades de vigilancia o notificantes sectoriales. Se exige, en todo caso, la participación de autoridades sectoriales competentes y de autoridades de derechos fundamentales, con el objetivo de facilitar la conformidad regulatoria y acelerar la transferencia segura de la innovación al mercado.

Cómo seguir el ímpetu regulatorio español: qué pueden esperar las empresas y qué hacer mientras tanto.

Con la aprobación del 26 de mayo de 2026, el Proyecto entra en fase parlamentaria.

Con base en lo anterior, parece evidente que España pretende reafirmarse a la vanguardia regulatoria en materia de IA. En ese sentido, para operadores públicos y privados, el mensaje es nítido: conviene anticipar el gobierno técnico-jurídico de los sistemas, porque la conformidad por diseño será, cada vez más, condición de competitividad.

De hecho, el propio Proyecto no ha pillado por sorpresa: además de tener en el radar el Anteproyecto aprobado el año pasado, el Plan Anual Normativo 2026 ya adelantaba la llegada de esta ley y su foco en buen uso, gobernanza y sanciones, lo que podría sugerir una intención de agilidad en lo que a la tramitación se refiere.

En este contexto, las organizaciones deberían aprovechar para ponerse al día en lo que a gobernanza del uso de IA se refiere. En particular, algunas de las actuaciones que parecen antojarse apremiantes serían las siguientes:

• Mapeo de sistemas y riesgos. Inventariar casos de uso y clasificar el riesgo conforme al RIA, anticipando los requisitos de gobernanza, documentación técnica, evaluación de conformidad y registro cuando proceda.

• Supervisión humana y explicabilidad. Diseñar salvaguardas de supervisión humana “significativa”, trazabilidad y evaluación de impacto sobre derechos fundamentales, especialmente en decisiones con efectos jurídicos o similares.

• Gobernanza interna. Preparar políticas, roles y controles de acceso a datos y modelos.

• Ruta de cumplimiento y prueba. Valorar el uso de sandboxes para validar requisitos técnicos y de cumplimiento antes del despliegue real, especialmente en sistemas de alto riesgo.

En cualquier caso, la tramitación parlamentaria todavía puede introducir cambios relevantes. Será clave, por tanto, monitorizar algunos puntos de especial importancia, como el diseño definitivo del régimen sancionador (umbrales e importes en sede nacional), el reparto competencial detallado entre autoridades, el alcance exacto de las obligaciones de transparencia en el sector público o el despliegue reglamentario del inventario y del delegado de IA.

La carrera de la IA ya no es solo una cuestión de innovación: con España acelerando el marco regulatorio, las empresas tendrán que ganar madurez técnica y organizativa para seguir en juego.