Mientras casi todo el mundo seguía hablando del reglamento europeo, España aprobó su propia ley de IA. El 26 de mayo de 2026, el Consejo de Ministros dio luz verde al proyecto de Ley Orgánica para el buen uso y la gobernanza de la Inteligencia Artificial. Apenas nadie ha explicado esta ley de IA en cristiano para quien dirige una empresa y no es jurista.

Así que vamos al grano. No es teoría: hay una autoridad con nombre y sede, hay multas con cifras concretas y hay obligaciones que te afectan aunque tú no fabriques inteligencia artificial. En este artículo traducimos qué cambia y, sobre todo, qué te toca hacer.

Importante: esto es divulgación, no asesoramiento jurídico. Además, hablamos de un proyecto de ley, no de una norma en vigor: el texto puede cambiar durante su paso por las Cortes.

¿Qué se ha aprobado exactamente (y qué no)?

El Gobierno aprobó el proyecto de ley y lo remitió a las Cortes para que arranque la tramitación parlamentaria. Dicho de otro modo: el primer paso está dado, pero esta ley de IA todavía no es aplicable. Conviene no confundir el titular con la realidad jurídica.

La norma no inventa reglas de la nada. Desarrolla y aterriza en España el reglamento europeo de IA, conocido como AI Act. Si quieres el contexto europeo de fondo, lo explicamos en nuestra guía sobre qué es el AI Act de la Unión Europea y a quién aplica. La ley española añade lo que el reglamento dejaba en manos de cada país: quién vigila y cómo se sanciona.

¿Quién vigila el cumplimiento de la ley de IA: AESIA y qué otras autoridades?

La autoridad central es la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña. España fue el primer país de la Unión Europea en crear una agencia estatal dedicada a esto, y ahora le toca el papel de supervisor y de punto de contacto con la oficina europea de IA.

Pero AESIA no está sola. El proyecto reparte la vigilancia según el ámbito de cada sistema. Conviene saber quién te puede mirar a ti:

La consecuencia práctica es sencilla. Según el sector en el que uses IA, tu interlocutor puede no ser AESIA. Una entidad financiera responde ante el Banco de España; un proyecto con datos personales, ante la AEPD. Saber a quién rindes cuentas es el primer paso para no llevarte sorpresas.

¿Cuánto puede costarte incumplir la ley de IA? Las sanciones, en claro

Las sanciones de la ley de IA llegan hasta 35 millones de euros, y conviene ponerlas en su sitio. Esa cifra de 35 millones es real, pero es el techo de las infracciones más graves, no la multa por cualquier descuido. El proyecto gradúa las infracciones en tres niveles y para cada uno fija una horquilla:

GravedadMultaO porcentaje del volumen de negocio mundial
Muy grave7,5 M€ a 35 M€2% a 7%
Grave500.000 € a 7,5 M€1% a 2%
Levehasta 500.000 €hasta 0,5%

Hay un matiz que importa, y mucho, a las pymes. Cuando la sanción se puede expresar como cantidad fija o como porcentaje, a las pequeñas y medianas empresas se les aplica la menor de las dos cifras. Es un guiño de proporcionalidad, no una exención: la obligación de cumplir sigue ahí.

¿Qué te obliga la ley de IA si la usas (aunque no la fabriques)?

Este es el punto que más empresas pasan por alto. El mito de "yo no desarrollo IA, así que esta ley de IA no va conmigo" es justo el error más caro. Si usas un agente, un asistente o cualquier sistema de IA en tu operativa, eres usuario a efectos legales y tienes deberes. Dos destacan por encima del resto:

Supervisión humana. La ley exige que haya una persona al mando de los sistemas relevantes. No vale dejar que la IA decida sola en cuestiones que afectan a personas. Por ejemplo, el proyecto contemplaría como infracción grave usar biometría para controlar la presencialidad de los empleados sin supervisión humana. Sobre cómo articular ese control en una pyme escribimos en cómo aplicar la gobernanza de IA en una empresa pequeña.

Etiquetado del contenido sintético. Si generas o manipulas imágenes, audio o vídeo con IA que muestren a personas reales o inexistentes, tienes que etiquetarlo. Según el texto remitido a las Cortes, no hacerlo se calificaría como infracción grave. La norma busca cortar de raíz las ultrasuplantaciones, los llamados deepfakes, y obliga a identificar el contenido para que nadie se confunda.

¿Qué es el sandbox regulatorio de IA para pymes?

No todo son obligaciones. El proyecto incorpora un entorno de pruebas controlado, el sandbox regulatorio, que opera la propia AESIA. España fue pionera en lanzar uno, y está pensado sobre todo para que pymes y startups ensayen sus sistemas de IA de mayor riesgo en condiciones seguras antes de salir al mercado.

Para una empresa pequeña esto es una oportunidad real. Te permite validar que cumples sin jugártela en producción, con el acompañamiento del propio supervisor. Si estás dando tus primeros pasos, encaja con lo que recomendamos en nuestra guía para saber qué obligaciones del AI Act siguen vigentes ya pese a los aplazamientos.

¿Qué hacer esta semana para prepararte, sin agobios?

La ley de IA aún no está en vigor, pero el reloj corre y prepararse ahora es barato. Estos tres pasos no requieren un equipo legal y te dejan en buena posición:

  1. Inventaría tu IA. Haz una lista de dónde usas inteligencia artificial hoy, incluyendo las herramientas que entraron por la puerta de atrás. Te sorprenderá lo que aparece.
  2. Pon un humano al mando. Define quién supervisa cada sistema que tome o sugiera decisiones sobre personas, y deja constancia de ello.
  3. Revisa tu contenido generado con IA. Si publicas imágenes, vídeos o textos creados con IA, prepara el etiquetado antes de que sea obligatorio.

Que España tenga su propia ley de IA no es una amenaza: es una hoja de ruta. El reto, como casi siempre, no es legislar sino ejecutar, algo que analizamos en por qué España lidera en intención de IA pero falla en ejecución. Las empresas que entiendan pronto qué les toca llegarán con ventaja. Y como repetimos siempre, la clave no es la herramienta, sino el criterio humano que la gobierna. Para profundizar en el marco europeo del que parte todo, vuelve a nuestra guía sobre el AI Act explicado por niveles de riesgo.