Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial

El Consejo de Ministros aprobó, el 26 de mayo de 2026, a propuesta del Ministerio para la Transformación Digital y de la Función Pública, el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial, que inicia así su tramitación parlamentaria.

La futura ley tiene por objeto adaptar el ordenamiento jurídico español al Reglamento (UE) 2024/1689, de 13 de junio (Reglamento de Inteligencia Artificial o RIA), con especial atención a la gobernanza y supervisión a nivel nacional, los espacios controlados de pruebas (sandboxes), las medidas para el buen uso de la IA en el sector público estatal y el régimen sancionador.

Gobernanza y supervisión a nivel nacional

La ley se aplicará a proveedores de sistemas y modelos de IA de uso general, responsables del despliegue, fabricantes de productos que incorporen IA, representantes autorizados, importadores y distribuidores, así como a las autoridades designadas. Quedan excluidas las autoridades competentes del anexo I, sección B, del RIA, que se rigen por su normativa sectorial específica.

El proyecto configura un sistema descentralizado de vigilancia del mercado, aprovechando la especialización sectorial:

  • La Agencia Española de Supervisión de Inteligencia Artificial actuará como autoridad de vigilancia residual (incluyendo la mayoría de los sistemas del anexo III y los prohibidos), punto de contacto único ante las instituciones europeas y órgano que ostenta la presidencia y secretaría de la Comisión Mixta de colaboración entre autoridades.
  • La Agencia Española de Protección de Datos y las autoridades autonómicas equivalentes supervisarán los sistemas biométricos (en determinados supuestos), así como los relacionados con migración, asilo y gestión de fronteras.
  • El Consejo General del Poder Judicial supervisará los sistemas utilizados en la Administración de Justicia y la garantía del cumplimiento del Derecho.
  • El Banco de España y la CNMV supervisarán los sistemas de evaluación de solvencia o calificación crediticia en el ámbito financiero.
  • La Dirección General de Seguros y Fondos de Pensiones supervisará los sistemas de evaluación de riesgos y fijación de precios en seguros de vida y salud.
  • La Dirección General de Inteligencia Artificial (Secretaría de Estado de Digitalización e Inteligencia Artificial) actuará como autoridad notificante principal, con el apoyo de ENAC para la acreditación de organismos de evaluación de la conformidad.

En el ámbito laboral, la disposición adicional primera preserva las competencias de la Inspección de Trabajo y Seguridad Social; no obstante, la AESIA se configura como autoridad de vigilancia de mercado para los sistemas de IA en empleo y gestión de trabajadores (anexo III, punto 4). La delimitación de competencias requerirá criterios interpretativos claros.

Esta arquitectura plural busca la especialización, pero incorpora mecanismos de coordinación (Comisión Mixta, obligación de informes mutuos y punto de contacto único en la AESIA) para evitar la fragmentación.

Espacios controlados de pruebas (sandboxes)

El proyecto regula los espacios controlados de pruebas previstos en el artículo 57 del RIA. Su finalidad es fomentar la innovación mediante el desarrollo, prueba y validación de sistemas de IA innovadores antes de su comercialización o puesta en servicio, bajo supervisión y con seguridad jurídica.

La AESIA gestionará el sandbox nacional de obligada creación, mientras que las autoridades competentes (notificantes o de vigilancia) podrán crear sandboxes adicionales en su respectivo ámbito.

Se exige la coordinación con autoridades de políticas públicas y de protección de derechos fundamentales, así como la comunicación a la Comisión Europea y a la Oficina de IA.

Buen uso de la IA en el sector público estatal

El capítulo IV introduce obligaciones específicas para el sector público estatal:

  • Inventario de sistemas de IA: obligación de ofrecer información actualizada sobre el uso de IA en el ejercicio de funciones públicas. Se creará un inventario interoperable con el registro europeo de sistemas de alto riesgo (artículo 49 del RIA). Se excluyen los sistemas militares, de seguridad nacional, infraestructuras críticas, investigación y determinados supuestos de confidencialidad.
  • Delegado de IA: figura de nueva creación, análoga al Delegado de Protección de Datos, encargada de coordinar la aplicación del marco regulatorio y promover el buen uso de la IA. Deberá ser funcionario de carrera o personal laboral fijo con conocimientos técnicos.
  • Transparencia hacia la ciudadanía: se configura como un principio rector en el uso de sistemas de IA por parte del sector público estatal, orientado a garantizar el conocimiento efectivo, la comprensibilidad y el control democrático de estas tecnologías. El conjunto de obligaciones establecido persigue hacer efectivo el derecho a una buena administración, la rendición de cuentas y el control público de la actividad administrativa automatizada.

Régimen sancionador

El capítulo V establece la clasificación de infracciones en tres niveles:

  1. Infracciones muy graves: comprenden las prácticas de IA prohibidas del artículo 5 del RIA –como la manipulación subliminal, la puntuación social o el reconocimiento emocional en contextos laborales y educativos sin base legal–, así como la falta de notificación de incidentes graves. Las sanciones pueden alcanzar los 35 millones de euros o el 7 % del volumen de negocios mundial del ejercicio anterior (la cifra que resulte mayor).
  2. Infracciones graves: abarcan la mayor parte de los incumplimientos técnicos, de seguridad, registro y transparencia aplicables a los sistemas de alto riesgo, así como la obstrucción a las actuaciones de inspección. El límite sancionador es de 7,5 millones de euros o el 1 % del volumen de negocios mundial.
  3. Infracciones leves: se reservan para incumplimientos de alcance limitado y fácilmente subsanables, como la falta de información en el etiquetado o la aportación incompleta de la documentación requerida. La sanción máxima es de 500.000 euros o el 0,5 % del volumen de negocios.

Para las pymes y empresas emergentes, se prevé que la multa sea la menor entre el porcentaje del volumen de negocios y el importe fijo, lo que introduce un criterio reforzado de proporcionalidad.

Conclusión

El proyecto constituye, en líneas generales, una adaptación coherente y equilibrada del RIA, reforzando la gobernanza nacional, la innovación segura y la protección de derechos, pero hay un punto que no me convence: que el sector público (administraciones y organismos públicos) quede fuera de las sanciones económicas y se sustituyan por apercibimientos y medidas correctoras, sin perjuicio de una posible responsabilidad disciplinaria. Esa decisión reproduce una debilidad de la LOPDGDD, que afectará negativamente a la efectividad del sistema de cumplimiento del RIA.

Índice de artículos
error: Contenido protegido por derechos de autor. Queda prohibida la reproducción, distribución, transformación, transcripción y almacenamiento de este contenido, sin la autorización previa y expresa del titular de los derechos. Para pedir dicha autorización, diríjase al titular enviando un correo electrónico a info@protecciondata.es