El Gobierno aprueba la ley de IA: multas de hasta 35 M€

El Consejo de Ministros aprobó el martes el proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial, que ahora deberá ser debatido y respaldado en el Congreso de los Diputados. La norma adapta al ordenamiento jurídico español el Reglamento europeo de IA (RIA), en vigor desde agosto de 2024, e introduce medidas propias para el sector público que van más allá de la mera transposición europea. Las sanciones más graves pueden alcanzar 35 M€ o el 7% del volumen de negocio anual de la empresa infractora.

El texto no es solo una ley de cumplimiento regulatorio. El proyecto establece quién vigila, qué está prohibido, cuánto cuesta incumplir y cómo debe usar la Administración la inteligencia artificial. Cada uno de esos bloques tiene implicaciones directas para empresas tecnológicas, consultoras, administraciones públicas y, en última instancia, para cualquier organización que opere con sistemas de IA en España.

Diez sistemas prohibidos, dos nuevos a iniciativa de España

El Reglamento de IA clasifica los sistemas según su nivel de riesgo y prohíbe aquellos que representan un riesgo inaceptable para la seguridad o la salud de las personas. Hasta mayo de 2026, el listado recogía ocho categorías prohibidas. A iniciativa de España, con el respaldo de Francia, la Unión Europea acordó el 7 de mayo incorporar dos nuevas prohibiciones que amplían el perímetro de protección a escala comunitaria.

La más visible de las dos nuevas prohibiciones es la de los 'deepfakes' sexuales: sistemas de IA que generen imágenes íntimas de personas sin su consentimiento. La medida llega directamente vinculada a la polémica generada por los desnudos de mujeres y menores producidos por Grok, el asistente virtual de la red social X. España empujó esta prohibición desde el inicio de la negociación europea.

Entre los ocho sistemas ya vedados figuran los que utilizan técnicas subliminales —imágenes o sonidos imperceptibles— para manipular decisiones sin consentimiento causando perjuicios considerables; los que explotan vulnerabilidades vinculadas a la edad, la discapacidad o la situación socioeconómica para alterar comportamientos; los que clasifican personas mediante biometría en función de raza u orientación política, religiosa o sexual; y los que asignan puntuaciones sociales a individuos o grupos para denegarles, por ejemplo, subvenciones o préstamos.

Régimen sancionador: de 500.000 € a 35 M€

El texto tipifica las infracciones en tres niveles —muy graves, graves y leves— aplicando principios de proporcionalidad y eficacia. Las sanciones más severas alcanzan los 35 M€ o el 7% del volumen de negocio anual. Las más leves se sitúan en 500.000 € o el 0,5% del volumen de negocio. La graduación tiene en cuenta la gravedad del hecho, la intencionalidad y la reincidencia del infractor.

El régimen introduce además mecanismos que priorizan la corrección frente a la penalización: el texto contempla reducciones de sanción por pronto pago y por la adopción de medidas correctoras antes de que concluya el expediente. De forma explícita, la norma recoge una consideración específica del tamaño empresarial para proteger a pymes y startups, en línea con lo ya establecido en el propio Reglamento europeo.

Tres autoridades y un punto de contacto único

La ley designa a los organismos que asumirán la supervisión del Reglamento en cada ámbito sectorial. Los productos regulados por legislación específica —maquinaria, juguetes, vehículos, productos sanitarios— mantendrán sus propias autoridades notificante y de vigilancia del mercado. El resto de sistemas —los relativos al empleo, la biometría o la educación, entre otros— se atribuyen principalmente a la Agencia de Supervisión de Inteligencia Artificial (AESIA), junto con la Agencia Española de Protección de Datos (AEPD) y el Consejo General del Poder Judicial (CGPJ), cada uno según su ámbito competencial. La AESIA actuará también como punto de contacto único para cuestiones de supervisión e integrará la coordinación entre autoridades.

IA en el sector público: inventario, delegado y formación

El proyecto incorpora un bloque de medidas que no procede directamente de la adaptación del Reglamento europeo, sino de propuestas recogidas durante la audiencia pública. La norma crea un inventario de sistemas de IA utilizados en procedimientos administrativos —no únicamente los de alto riesgo—, lo que refuerza la transparencia en el uso de esta tecnología por parte de la Administración. Junto al inventario, el texto establece la figura del delegado de IA, encargado de coordinar la aplicación normativa y de asesorar en proyectos y contratación pública. Ambas figuras se desarrollarán mediante Real Decreto. El proyecto también impulsa programas de formación y concienciación para los empleados públicos en materia de inteligencia artificial.

Sandboxes nacionales operados por la AESIA

El texto determina cómo articular la gobernanza de los entornos controlados de prueba, los denominados 'sandboxes', que el propio Reglamento de IA hace obligatorios. El espacio controlado de pruebas a escala nacional será operado por la AESIA, aunque la ley permite la creación de sandboxes adicionales a cargo de otras autoridades de vigilancia del mercado, siempre vinculados a su sector de supervisión. En todos los casos, deberán participar las autoridades responsables de las políticas públicas del sector cubierto y las autoridades de derechos fundamentales relacionadas.

El proyecto de ley deberá ahora superar su tramitación en el Congreso de los Diputados para entrar en vigor. No se ha detallado el calendario previsto para su debate parlamentario.