El 26 de mayo de 2026 el Consejo de Ministros dio luz verde a una de las normas tecnológicas más relevantes de los últimos años. El Consejo de Ministros aprobó para su remisión al Congreso de los Diputados el proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial. Para cualquier empresa que desarrolle, comercialice o simplemente utilice sistemas de IA, esta ley marca un antes y un después en materia de cumplimiento normativosistemas de IA.
En este artículo te explicamos qué establece la nueva ley de IA en España, a quién obliga, qué prácticas prohíbe y qué sanciones contempla, para que puedas anticiparte antes de que el texto culmine su tramitación parlamentaria.
Qué es la nueva Ley de IA en España
La norma es la pieza que faltaba para encajar la legislación española con el marco europeo. Adapta al ordenamiento jurídico español el Reglamento europeo de Inteligencia Artificial (RIA), en vigor desde agosto de 2024, y trata de garantizar la supervisión humana de la tecnología y un uso confiable de la IA.
El Reglamento (UE) 2024/1689 entró en vigor el 1 de agosto de 2024, pero su aplicación es escalonada: las prohibiciones y disposiciones generales son aplicables desde el 2 de febrero de 2025; las normas sobre gobernanza, organismos notificados y obligaciones para proveedores de modelos de IA de uso general desde el 2 de agosto de 2025; y la aplicación general del Reglamento, incluidas las obligaciones de alto riesgo, desde el 2 de agosto de 2026.
Hablamos actualmente de un proyecto de ley, no de una norma todavía vigente.
El texto ha sido aprobado por el Gobierno y remitido a las Cortes, donde deberá completar su tramitación. El Reglamento europeo, en cambio, sí es de aplicación directa. El Capítulo II del Reglamento (prácticas prohibidas) resulta aplicable desde el 2 de febrero de 2025; no obstante, las normas de enforcement de ese capítulo no son operativas hasta el 2 de agosto de 2026, fecha en que las autoridades nacionales competentes deben estar designadas.
Sistemas de IA prohibidos
El corazón de la norma está en la lista de usos vetados. El Reglamento europeo clasifica los sistemas de IA según su riesgo y prohíbe directamente aquellos que considera inaceptables. Entre las prácticas prohibidas figuran:
- Técnicas subliminales (imágenes o sonidos imperceptibles) destinadas a manipular decisiones sin consentimiento y causar un perjuicio considerable.
- La explotación de vulnerabilidades asociadas a la edad, la discapacidad o la situación socioeconómica para alterar gravemente el comportamiento de una persona.
- La categorización biométrica que clasifica a las personas por su r
- aza u orientación política, religiosa o sexual.
- El social scoring: puntuar a individuos o grupos por su comportamiento social o rasgos personales para, por ejemplo, denegarles ayudas o préstamos.
Deepfakes sexuales y protección de menores
La novedad más comentada es el veto a los deepfakes sexuales. A iniciativa de España y con el apoyo de Francia, la Unión Europea acordó el 7 de mayo añadir dos sistemas prohibidos a los ocho ya en vigor, entre ellos los sistemas de IA que generen ‘deepfakes’ sexuales. La medida llega después de la polémica por imágenes de desnudos de mujeres y menores generadas mediante asistentes virtuales, y refuerza el bloque de protección de los colectivos más vulnerables.
Los niveles de riesgo de la IA
La lógica del Reglamento, que la ley española asume, es la del riesgo escalonado. La Ley de IA define cuatro niveles de riesgo para los sistemas de IA, y prohíbe directamente los que suponen una amenaza clara para la seguridad, los medios de subsistencia y los derechos de las personas. Por debajo del nivel inaceptable se sitúan los sistemas de alto riesgo (como los vinculados al empleo, la educación o la biometría), sujetos a obligaciones estrictas; los de riesgo de transparencia, como los chatbots; y los de riesgo mínimo, que pueden utilizarse sin obligaciones adicionales. Cuanto mayor es el riesgo, mayores son las exigencias para proveedores y responsables del despliegue.
Transparencia: cómo sabremos qué contenido ha generado una IA
Si hay un cambio que el ciudadano de a pie va a notar en su día a día, es este. La nueva ley de IA refuerza la trazabilidad del contenido sintético, ya que el texto establece la obligatoriedad de etiquetar los contenidos generados mediante sistemas de inteligencia artificial, que deberán incorporar marcas de agua identificativas.
¿El objetivo? Que ciudadanos, empresas y administraciones puedan distinguir con claridad qué es real y qué ha sido generado o manipulado artificialmente. En un contexto de desinformación creciente, esa «marca de agua» se convierte en una de las herramientas más prácticas de toda la norma y en una obligación directa para cualquier empresa que publique imágenes, vídeos, audios o textos creados con IA.
El marco de gobernanza: quién vigila y cómo se aplicará la ley
Una ley solo es tan eficaz como su sistema de control. Y aquí el proyecto español hace tres cosas a la vez: reparte la vigilancia entre varias autoridades, ordena la propia Administración y abre un espacio seguro para innovar.
Ponte en contacto
Necesitas ayuda
¿Quién supervisa cada sistema de IA?
La ley no concentra el control en un único organismo, sino que reparte competencias según el ámbito de cada sistema. Los productos ya regulados por normas sectoriales mantienen su autoridad de vigilancia, mientras que el resto de sistemas se atribuyen principalmente a la AESIA, la AEPD y el CGPJ:
| Ámbito del sistema de IA | Autoridad de supervisión |
|---|---|
| Maquinaria, juguetes, vehículos, productos sanitarios y otros productos ya regulados | Su autoridad sectorial de vigilancia actual |
| Empleo, biometría, educación y resto de sistemas de alto riesgo | AESIA, AEPD y CGPJ |
| Punto de contacto único en materia de supervisión | AESIA |
La IA dentro de la propia Administración
El texto no se limita a transponer el Reglamento europeo, también pone orden en el uso público de la tecnología. Crea un inventario de los sistemas de IA utilizados en procedimientos administrativos y establece la figura del delegado de IA, que tendrá tres funciones principales:
- Coordinar la aplicación de la normativa de IA en su organismo.
- Asesorar en el diseño de proyectos que incorporen inteligencia artificial.
- Velar por el cumplimiento en los procesos de contratación pública.
Ambos instrumentos se desarrollarán por Real Decreto y vendrán acompañados de un refuerzo en la formación de los empleados públicos.
Un sandbox para innovar con seguridad jurídica
Por último, la norma reserva un espacio para las empresas que quieren ir por delante. El texto incorpora un espacio controlado de pruebas (sandbox) a escala nacional, de creación obligatoria según el Reglamento de IA y operado por la AESIA. España ya fue pionera en este terreno, y la ley permite además crear sandboxes adicionales asociados a sectores concretos.
¿Para qué sirve, en la práctica? Para que una empresa que desarrolla soluciones de IA pueda validar el cumplimiento de la norma antes de lanzar su producto al mercado, reduciendo la incertidumbre regulatoria justo en la fase más delicada.
Cómo afecta la nueva Ley de IA a tu empresa
Si tu organización desarrolla, integra o utiliza sistemas de inteligencia artificial, conviene empezar a prepararse sin esperar a la aprobación definitiva.
Algunas acciones recomendables son:
- Inventariar los sistemas de IA que utiliza la empresa y clasificarlos por nivel de riesgo.
- Revisar que ninguno incurra en una práctica prohibida.
- Implantar etiquetado y mecanismos de transparencia en los contenidos generados con IA.
- Documentar la supervisión humana en los procesos que afecten a derechos de las personas.
- Asignar responsabilidades internas de cumplimiento y formación.
Preguntas frecuentes sobre la Ley de IA en España
El proyecto de ley se ha remitido al Congreso y todavía debe tramitarse, por lo que aún no está vigente como norma española. El Reglamento europeo de IA, en cambio, ya se aplica de forma directa desde 2024.
A las entidades públicas y privadas que actúen como proveedores, operadores o responsables del despliegue de sistemas de IA en España.
El Reglamento (RIA) es la norma europea de aplicación directa. La ley española lo complementa: designa las autoridades de supervisión, fija el régimen sancionador, regula los entornos de pruebas y añade medidas para el buen uso de la IA en el sector público.
Sí. La norma exige identificar mediante marcas de agua los contenidos generados o manipulados con inteligencia artificial, en línea con las obligaciones de transparencia del marco europeo.
En Supra Legit Lawyers acompañamos a empresas y autónomos en la adaptación a la nueva regulación de IA: análisis de riesgo de tus sistemas, revisión de prácticas prohibidas, transparencia y régimen sancionador. Contacta con nuestro equipo y prepara tu negocio antes de que la ley culmine su tramitación.
Ponte en contacto
Necesitas ayuda
Fuentes:
- Ministerio para la Transformación Digital y de la Función Pública — «El Gobierno aprueba el proyecto de ley que garantizará una supervisión humana y un uso confiable de la IA» (26/05/2026).
- Comisión Europea — «Ley de IA» (11-05-2026).
