La aprobación del Reglamento Europeo de Inteligencia Artificial (en adelante, RIA) supuso un punto de inflexión en la regulación de esta tecnología. Por primera vez, la Unión Europea establecía un marco jurídico específico para un ámbito que, hasta hace muy poco, había evolucionado principalmente bajo criterios técnicos y de autorregulación.
Sin embargo, la entrada en vigor del RIA dejaba abiertas algunas cuestiones esenciales. ¿Qué autoridades serían competentes en cada Estado miembro? ¿Quién supervisaría el cumplimiento de las obligaciones? ¿Cómo se articularía el régimen sancionador? ¿Qué organismos intervendrían en función del sector afectado?
El Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial viene precisamente a responder a estas preguntas. La denominación no es casual: al tratarse de una Ley Orgánica, afecta al ejercicio de derechos fundamentales y requerirá mayoría absoluta en el Congreso para su aprobación, lo que refleja el peso jurídico y político que el legislador atribuye a esta materia.
El texto se encuentra aún en tramitación: publicado en el BOCG el 12 de junio de 2026, el plazo de enmiendas finaliza el 30 de junio.
En cualquier caso, el mensaje es claro: la inteligencia artificial deja de ser únicamente una cuestión tecnológica para convertirse en una cuestión de gobernanza y cumplimiento normativo.
La IA entra de lleno en el terreno del cumplimiento normativo.
En estos últimos años, muchas organizaciones han abordado la inteligencia artificial desde una perspectiva eminentemente operativa. El foco se situaba en las posibilidades de automatización, la mejora de procesos o el incremento de la productividad.
El nuevo escenario es diferente.
La utilización de sistemas de IA ya no puede analizarse únicamente desde criterios de eficiencia o innovación. A partir de ahora, las organizaciones deberán incorporar también variables jurídicas, de gestión del riesgo y de supervisión.
El Proyecto de Ley español se integra dentro de esta lógica y desarrolla las estructuras necesarias para garantizar la aplicación efectiva del RIA. En otras palabras, la gobernanza de la inteligencia artificial deja de ser un concepto teórico para convertirse en una obligación práctica.
Una supervisión repartida entre varias autoridades.
Uno de los aspectos más relevantes del Proyecto de Ley es que apuesta por un modelo de supervisión distribuida.
La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) asume un papel central, pero no exclusivo. El sistema diseñado designa expresamente distintas autoridades en función del ámbito de actividad: la Agencia Española de Protección de Datos (AEPD) será autoridad de vigilancia de mercado para los sistemas de identificación y categorización biométrica y para los utilizados en gestión de fronteras; el Consejo General del Poder Judicial (CGPJ) asumirá esa función para los sistemas de IA aplicados en el ámbito de la justicia; y la Dirección General de Inteligencia Artificial actuará como autoridad notificante para los sistemas recogidos en el Anexo III del RIA.
Para el resto de supuestos, la AESIA será la autoridad de vigilancia de mercado.
Este enfoque busca aprovechar la experiencia previa de organismos especializados y evitar la creación de una estructura completamente nueva para cada sector.
En la práctica, esto significa que la supervisión de la inteligencia artificial no recaerá en una única autoridad, sino que podrá implicar a diferentes organismos dependiendo del tipo de sistema utilizado y del contexto en el que opere.
La gobernanza de la IA, por tanto, se construye sobre una lógica de cooperación institucional más que sobre un modelo centralizado.
Las prácticas prohibidas y los sistemas de alto riesgo dejan de ser un debate teórico.
Hasta hace poco, conceptos como «sistemas de alto riesgo» o «prácticas prohibidas» pertenecían principalmente al ámbito doctrinal y a los debates sobre el futuro de la regulación.
Con la entrada en vigor progresiva del RIA y el desarrollo del marco nacional, estos conceptos pasan a tener consecuencias jurídicas reales.
Determinados usos de la inteligencia artificial quedan directamente prohibidos, mientras que otros estarán sujetos a obligaciones reforzadas de evaluación, documentación, supervisión humana, gestión del riesgo y transparencia.
La cuestión ya no es únicamente qué puede hacer técnicamente un sistema de IA, sino en qué condiciones puede utilizarse y qué responsabilidades genera.
Esta evolución obliga a las organizaciones a adoptar una visión más amplia de sus proyectos tecnológicos. La pregunta deja de ser únicamente si una determinada solución aporta valor, para incorporar también si su utilización resulta jurídicamente sostenible.
Las sanciones dejan claro que la gobernanza no es opcional.
Otro de los elementos más significativos del Proyecto de Ley es el desarrollo del régimen sancionador. Conviene precisar, no obstante, que este régimen alcanza únicamente a las infracciones cuya supervisión corresponde a las autoridades nacionales. Las infracciones relacionadas con modelos de IA de propósito general quedan excluidas del ámbito sancionador español, al ser competencia directa de la Comisión Europea.
La norma articula mecanismos para garantizar el cumplimiento efectivo del RIA y dota a las autoridades competentes de instrumentos para reaccionar frente a los incumplimientos.
Con ello, la gobernanza de la inteligencia artificial abandona el terreno de las recomendaciones o las buenas prácticas voluntarias.
La existencia de un régimen sancionador persigue, precisamente, trasladar a las organizaciones la necesidad de incorporar estas obligaciones desde las fases iniciales de diseño e implantación de los sistemas.
Del mismo modo que hoy resulta impensable desarrollar determinados proyectos sin considerar las implicaciones en materia de protección de datos o ciberseguridad, la inteligencia artificial comienza a exigir un análisis previo propio.
Y probablemente esa sea una de las transformaciones más profundas que introduce este nuevo marco regulatorio.
Más allá de la tecnología.
Uno de los riesgos más frecuentes cuando se habla de inteligencia artificial consiste en abordar la cuestión exclusivamente desde una perspectiva tecnológica.
Sin embargo, tanto el Reglamento europeo como el Proyecto de Ley español parten de una idea diferente.
La inteligencia artificial no es solo una herramienta. Es también una fuente potencial de impacto sobre derechos fundamentales, relaciones laborales, procesos de selección, servicios financieros, sistemas sanitarios o administraciones públicas.
Por ello, la gobernanza ocupa una posición central en el nuevo modelo.
Ya no basta con que los sistemas funcionen. También es necesario garantizar que lo hagan de forma transparente, segura y respetuosa con los derechos de las personas.
En este contexto, conceptos como trazabilidad, supervisión humana, documentación o gestión del riesgo dejarán de ser expresiones reservadas a los departamentos técnicos para convertirse en elementos habituales dentro de la cultura de cumplimiento de las organizaciones.
Un cambio de paradigma para las organizaciones.
Aunque gran parte de la atención se ha centrado en las posibles sanciones o en las obligaciones aplicables a los sistemas de alto riesgo, el verdadero alcance del Proyecto de Ley es más profundo. La norma refleja un cambio de paradigma.
La inteligencia artificial deja de situarse en un espacio de autorregulación y pasa a integrarse dentro de los marcos tradicionales de responsabilidad empresarial.
Las organizaciones deberán aprender a convivir con una nueva realidad en la que el desarrollo tecnológico y la gobernanza jurídica avanzarán necesariamente de la mano.
Porque, del mismo modo que en su día la protección de datos dejó de ser una cuestión exclusiva de abogados o informáticos para convertirse en una materia transversal, todo parece indicar que la inteligencia artificial seguirá el mismo camino.
El Proyecto de Ley completa el marco de aplicación del Reglamento Europeo de IA en España y confirma un cambio de paradigma: la inteligencia artificial deja de ser una cuestión exclusivamente tecnológica para convertirse también en una materia de gobernanza y cumplimiento normativo. Las organizaciones deberán integrar la gestión de riesgos, la supervisión y la protección de derechos en sus estrategias de adopción de la IA. En definitiva, innovar ya no consistirá únicamente en desarrollar nuevas capacidades, sino en hacerlo dentro de un marco de responsabilidad y confianza.
Si te interesan otras entradas de nuestro blog sobre IA, puedes leerlas aquí y aquí.
