La inteligencia artificial ya no es una cuestión reservada a grandes tecnológicas o departamentos de innovación. Hoy se utiliza en empresas de todos los tamaños para automatizar tareas, analizar datos, atender clientes, crear contenidos, apoyar procesos de selección, detectar riesgos o mejorar la toma de decisiones.
Y precisamente por eso, la regulación empieza a ocupar un lugar central.
El Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial marca un paso importante en España. No hablamos todavía de una ley aprobada definitivamente, sino de un texto en tramitación parlamentaria. Pero su contenido permite anticipar hacia dónde se dirige el marco legal español en materia de IA.
La idea principal es sencilla: el Reglamento Europeo de Inteligencia Artificial establece el marco común para toda la Unión Europea, y España necesita organizar cómo se aplicará ese marco dentro de su propio sistema jurídico.
Esto afecta a empresas que desarrollan inteligencia artificial, pero también a aquellas que simplemente la utilizan en sus procesos internos. Y ahí está una de las claves del nuevo escenario: no basta con decir “yo no desarrollo IA”. Si una empresa la integra en su actividad, puede asumir obligaciones de control, transparencia, documentación y supervisión.
Qué es el Proyecto de Ley Orgánica de Inteligencia Artificial
El Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial tiene como objetivo adaptar el ordenamiento jurídico español al Reglamento Europeo de Inteligencia Artificial, conocido también como AI Act.
El Reglamento europeo establece las reglas generales: qué usos de IA están prohibidos, qué sistemas se consideran de alto riesgo, qué obligaciones deben cumplir los proveedores y responsables del despliegue, y qué garantías deben aplicarse para proteger la salud, la seguridad y los derechos fundamentales.
El proyecto español no crea un régimen paralelo ni puede reescribir ese marco europeo. Su función es más práctica: definir quién supervisa, cómo se tramitan las reclamaciones, qué autoridades intervienen, cómo se aplican las sanciones y qué medidas específicas se adoptan en el sector público estatal.
Dicho de forma sencilla: Europa fija el marco común y España construye el sistema interno para aplicarlo.
Qué desarrolla España del Reglamento Europeo de IA
El Proyecto de Ley desarrolla varios aspectos que el Reglamento Europeo deja en manos de los Estados miembros. Entre ellos, destacan cuatro bloques.
- El primero es la gobernanza nacional. España debe designar autoridades competentes para supervisar el cumplimiento del Reglamento, coordinar la vigilancia del mercado y actuar ante posibles infracciones.
- El segundo es el régimen sancionador. El Reglamento europeo fija los grandes límites, pero cada Estado debe concretar el procedimiento, las autoridades competentes y la forma de aplicar esas sanciones en su territorio.
- El tercero son los espacios controlados de pruebas, también conocidos como sandboxes regulatorios. Estos entornos permiten probar sistemas de IA innovadores bajo supervisión, con mayor seguridad jurídica y antes de su comercialización o puesta en funcionamiento.
- El cuarto es el desarrollo de medidas para el buen uso de la IA en el sector público estatal, una parte especialmente relevante porque la Administración puede utilizar sistemas de IA en procedimientos con impacto directo sobre ciudadanos y empresas.
Por tanto, el proyecto español no debe entenderse como una ley aislada. Es una pieza de ejecución nacional dentro de un marco europeo más amplio.
Qué margen tiene España para regular la inteligencia artificial
El margen de España existe, pero es limitado.
El Reglamento Europeo de IA es una norma de aplicación directa y busca evitar que cada país cree sus propias reglas materiales sobre inteligencia artificial. Si cada Estado miembro estableciera obligaciones diferentes sobre los mismos sistemas, el mercado europeo se fragmentaría y las empresas tendrían que cumplir regímenes distintos en cada país.
Por eso, España no puede decidir de nuevo qué usos están permitidos, cuáles están prohibidos o qué obligaciones técnicas básicas deben cumplir los sistemas de alto riesgo cuando esas cuestiones ya vienen reguladas por Europa.
Lo que sí puede hacer es organizar la ejecución nacional. Es decir, puede decidir qué autoridades intervienen, cómo se reparten las competencias, cómo se tramitan los procedimientos sancionadores, cómo se gestionan las reclamaciones y qué reglas internas se aplican en el sector público estatal.
También puede introducir ajustes en normas sectoriales españolas, siempre que no contradigan el Reglamento Europeo. De hecho, el Proyecto de Ley prevé modificaciones en ámbitos como la Ley General Tributaria, la Seguridad Social y la legislación electoral.
En la práctica, esto significa que las empresas deberán mirar dos planos a la vez: el Reglamento Europeo de IA y la futura normativa española de desarrollo.
A qué empresas puede afectar esta regulación
Uno de los errores más habituales es pensar que la regulación de IA solo afecta a quienes entrenan modelos o desarrollan herramientas desde cero.
No es así.
El nuevo marco puede afectar a proveedores, distribuidores, importadores, integradores y responsables del despliegue de sistemas de IA. En términos empresariales, esto incluye tanto a compañías tecnológicas como a empresas que incorporan soluciones de inteligencia artificial en su operativa diaria.
Por ejemplo, una empresa puede verse afectada si utiliza IA para filtrar candidatos en un proceso de selección, evaluar el rendimiento de trabajadores, clasificar clientes, automatizar decisiones de crédito, gestionar reclamaciones, detectar fraude, personalizar precios o prestar atención automatizada con impacto relevante sobre usuarios.
La clave no está solo en la herramienta, sino en el uso concreto.
No es lo mismo utilizar IA para resumir documentos internos que utilizarla para tomar o condicionar decisiones que afectan a derechos, empleo, acceso a servicios esenciales o tratamiento de datos personales.
Obligaciones prácticas para empresas que usan IA
Para una empresa que no desarrolla inteligencia artificial, pero sí la utiliza internamente, el principal cambio será pasar de un uso informal a una gestión ordenada y documentada.
La primera medida debería ser elaborar un mapa interno de usos de IA. Muchas organizaciones ya utilizan herramientas de IA sin tener una visión completa de dónde están, quién las usa, con qué datos trabajan y qué impacto pueden tener.
Después, conviene clasificar esos usos por nivel de riesgo. Algunos serán de riesgo mínimo, como determinadas herramientas de apoyo a la productividad. Otros pueden exigir más cautela, especialmente cuando la IA interviene en procesos de recursos humanos, crédito, seguridad, cumplimiento normativo, atención al cliente o servicios esenciales.
También será importante revisar contratos con proveedores. La empresa debe saber qué sistema está utilizando, qué garantías ofrece el proveedor, qué documentación existe, qué limitaciones de uso se han establecido y cómo se gestionan la seguridad, los datos y la responsabilidad.
A esto se suma la necesidad de implantar políticas internas. Por ejemplo: qué datos pueden introducirse en herramientas de IA, qué usos están prohibidos, quién autoriza nuevos casos de uso, cómo se supervisan los resultados y qué hacer si se detecta un error, un sesgo o un incidente.
La formación también será clave. La alfabetización en inteligencia artificial no debe limitarse al equipo técnico. Cualquier persona que utilice herramientas de IA en la empresa debería entender sus límites, riesgos y condiciones de uso.
Cómo saber si un sistema de IA puede ser de alto riesgo
Una de las preguntas más importantes para cualquier empresa será esta: ¿el sistema de IA que utilizo puede considerarse de alto riesgo?
Para responder, hay que analizar la finalidad del sistema, su uso real y el contexto en el que se aplica.
El Reglamento Europeo de IA considera de alto riesgo determinados sistemas utilizados en ámbitos especialmente sensibles, como biometría, infraestructuras críticas, educación, empleo, acceso a servicios esenciales, aplicación de la ley, migración, justicia o procesos democráticos.
En el ámbito empresarial, una señal clara de alerta aparece cuando la IA se utiliza para tomar decisiones o influir de forma significativa en decisiones que afectan a personas físicas.
Por ejemplo, puede haber riesgo alto si la IA filtra candidatos, recomienda contrataciones, evalúa empleados, clasifica clientes para conceder financiación, prioriza el acceso a servicios esenciales o interviene en procesos con consecuencias relevantes para una persona.
La empresa no debería quedarse en la etiqueta comercial del proveedor. Que una herramienta se presente como “asistente”, “motor de recomendación” o “solución inteligente” no resuelve el análisis jurídico. Lo relevante es cómo se usa realmente.
Por eso, ante la duda, resulta prudente documentar la evaluación: caso de uso, finalidad, datos tratados, impacto sobre personas, grado de intervención humana, medidas de control y conclusión sobre el nivel de riesgo.
IA, protección de datos y transparencia laboral
El Proyecto de Ley español de IA no sustituye al RGPD ni a la normativa española de protección de datos. Los complementa.
Esto es especialmente importante porque muchos sistemas de inteligencia artificial tratan datos personales. Si una empresa utiliza IA con información de clientes, empleados, candidatos, usuarios o proveedores, seguirá teniendo que cumplir con los principios del RGPD: base jurídica, transparencia, minimización, limitación de finalidad, seguridad, derechos de los interesados y, cuando corresponda, evaluación de impacto.
En el ámbito laboral, la cuestión es todavía más sensible. España ya reconoce el derecho de la representación legal de los trabajadores a recibir información sobre los parámetros, reglas e instrucciones de algoritmos o sistemas de IA que afecten a decisiones con impacto en condiciones de trabajo, acceso al empleo o mantenimiento del empleo.
Esto significa que una empresa que utilice IA en recursos humanos debe coordinar varios planos a la vez: cumplimiento del Reglamento Europeo de IA, protección de datos, transparencia laboral y gestión interna de riesgos.
No basta con implantar una herramienta porque sea eficiente. Hay que saber explicar cómo funciona, qué datos utiliza, qué papel tiene en la decisión y qué supervisión humana existe.
Qué papel tendrá la AESIA
La Agencia Española de Supervisión de Inteligencia Artificial, conocida como AESIA, será una pieza central en el modelo español.
El Proyecto de Ley la sitúa como autoridad de vigilancia del mercado para distintos sistemas de IA, especialmente en ámbitos transversales y en determinados sistemas de alto riesgo. También tendrá un papel relevante en la coordinación, supervisión y aplicación del marco europeo en España.
Ahora bien, la AESIA no actuará sola. El modelo será necesariamente distribuido, porque la IA puede afectar a sectores muy diferentes. Cuando el uso de IA implique tratamiento de datos personales, la Agencia Española de Protección de Datos seguirá teniendo un papel clave. Si afecta a servicios financieros, podrán intervenir autoridades financieras. Si incide en seguros, consumo, competencia, telecomunicaciones, justicia o procesos electorales, pueden entrar en juego otros supervisores.
Para las empresas, esto implica que el cumplimiento no debe pensarse solo en términos tecnológicos. Habrá que analizar el sector, el tipo de datos, el impacto del sistema y la autoridad que puede resultar competente.
En otras palabras: no habrá un único supervisor para todos los casos. Habrá un modelo en red.
Régimen sancionador: por qué conviene prepararse antes
Uno de los aspectos más visibles del Proyecto de Ley es el régimen sancionador.
Las infracciones se clasifican en muy graves, graves y leves. En los casos más graves, las sanciones pueden alcanzar importes muy elevados, siguiendo la lógica del Reglamento Europeo de IA.
Pero el riesgo no es únicamente económico. En determinados supuestos, la autoridad competente podrá adoptar medidas como la retirada del producto, la desconexión del sistema o la prohibición de uso cuando exista un riesgo inaceptable o grave para las personas.
Además, el daño reputacional puede ser significativo. Una empresa sancionada por un uso indebido de IA no solo se enfrenta a una multa, sino también a pérdida de confianza por parte de clientes, inversores, empleados o administraciones públicas.
Por eso, el enfoque correcto no debería ser esperar a que exista una sanción. La clave está en la prevención: inventario, clasificación de riesgos, documentación, contratos, supervisión humana, formación y respuesta ante incidentes.
Buen uso de la IA en el sector público estatal
El Proyecto de Ley dedica una atención específica al sector público estatal.
Esto tiene sentido porque la Administración puede utilizar sistemas de IA en procedimientos administrativos, servicios públicos o actuaciones que afectan directamente a ciudadanos y empresas. En esos contextos, la transparencia y la trazabilidad son especialmente importantes.
El texto prevé obligaciones como ofrecer información actualizada sobre el uso de sistemas de IA, crear un inventario de sistemas utilizados en procedimientos administrativos y designar un delegado de inteligencia artificial en las entidades del sector público estatal.
Este delegado tendrá un papel de coordinación interna, asesoramiento y seguimiento del buen uso de la tecnología. Su función recuerda, en cierto modo, a la lógica del delegado de protección de datos, aunque con un ámbito distinto: impulsar políticas internas, coordinar el cumplimiento normativo y ayudar a integrar criterios técnicos y jurídicos en proyectos de IA.
Aunque estas obligaciones se dirigen al sector público estatal, marcan una tendencia clara para el conjunto del mercado: la IA deberá ser cada vez más explicable, gobernada y documentada.
Sandboxes regulatorios: una oportunidad para startups y empresas tecnológicas
Los espacios controlados de pruebas pueden ser una de las partes más interesantes del Proyecto de Ley para startups, scaleups y empresas tecnológicas.
Un sandbox regulatorio permite probar sistemas de IA innovadores en un entorno supervisado, durante un tiempo determinado y con acompañamiento de la autoridad competente. El objetivo es reducir incertidumbre, facilitar el cumplimiento y permitir que las empresas validen sus soluciones antes de lanzarlas al mercado.
Para una startup, esto puede ser especialmente útil. Muchas empresas emergentes tienen capacidad técnica para desarrollar soluciones avanzadas, pero no siempre cuentan con recursos suficientes para interpretar y aplicar todos los requisitos regulatorios desde el inicio.
El sandbox puede ayudar a identificar riesgos, mejorar la documentación, ajustar controles, validar medidas de mitigación y generar confianza ante clientes, inversores o socios estratégicos.
Eso sí, no debe entenderse como una zona libre de obligaciones. Al contrario: su función es probar e innovar dentro de un marco controlado, con garantías y supervisión.
Qué deberían hacer las empresas en los próximos meses
Aunque el Proyecto de Ley todavía está en tramitación, las empresas no deberían esperar a su aprobación definitiva para actuar.
La preparación puede empezar ya con medidas muy concretas.
En primer lugar, conviene identificar todos los usos de IA dentro de la organización. Esto incluye herramientas oficiales contratadas por la empresa, pero también usos informales por parte de equipos que utilizan soluciones abiertas o aplicaciones de terceros.
En segundo lugar, es recomendable clasificar esos usos por riesgo. No todos requieren el mismo nivel de control, pero todos deberían estar localizados y mínimamente documentados.
En tercer lugar, deben revisarse los contratos con proveedores tecnológicos. La empresa necesita saber qué garantías recibe, qué instrucciones de uso existen, qué responsabilidades asume cada parte y qué ocurre si el sistema falla o genera un impacto no deseado.
En cuarto lugar, resulta aconsejable aprobar una política interna de uso de IA. Esta política debe ser clara, práctica y comprensible para los equipos. No se trata de crear un documento complejo que nadie consulte, sino de fijar reglas útiles para el día a día.
En quinto lugar, hay que formar a las personas que usan IA. La formación debería incluir cuestiones como confidencialidad, protección de datos, sesgos, revisión humana, propiedad intelectual, usos prohibidos y criterios de escalado ante dudas.
Y, por último, es importante designar un responsable o equipo de coordinación. La gobernanza de la IA no puede depender de decisiones aisladas. Debe conectar a legal, compliance, tecnología, recursos humanos, negocio y seguridad de la información.
Una regulación que también puede generar confianza
La regulación de la inteligencia artificial suele leerse desde el punto de vista de las sanciones. Es comprensible, porque las multas pueden ser elevadas. Pero el verdadero cambio va más allá.
El nuevo marco obliga a las empresas a preguntarse cómo usan la IA, con qué controles, con qué datos, con qué supervisión y con qué impacto sobre las personas.
Esto puede parecer una carga, pero también es una oportunidad. Las organizaciones que ordenen su uso de la inteligencia artificial estarán mejor preparadas para innovar con seguridad, negociar con proveedores, responder ante clientes, participar en licitaciones, atraer inversión y reducir riesgos.
La IA no se va a frenar. Lo que cambia es que su uso tendrá que ser más responsable, más transparente y más gobernado.
La IA ya es una cuestión legal y estratégica
El Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial confirma una realidad que muchas empresas ya están viviendo: la inteligencia artificial ha dejado de ser solo una herramienta tecnológica.
Es también una cuestión legal, organizativa y estratégica.
Para las empresas, el mensaje es claro: no basta con adoptar IA. Hay que saber qué se está utilizando, para qué, con qué datos, bajo qué condiciones, con qué riesgos y con qué controles.
Y para startups y compañías tecnológicas, el nuevo marco también abre una oportunidad: desarrollar soluciones de IA con mayor seguridad jurídica, especialmente si se aprovechan herramientas como los espacios controlados de pruebas.
En este escenario, contar con asesoramiento especializado en derecho digital, protección de datos, nuevas tecnologías y cumplimiento normativo será clave para implantar inteligencia artificial de forma segura, proporcionada y alineada con el marco europeo y español.
