Problema
La conversación pública sobre la nueva norma española de IA se está quedando en lo más ruidoso: multas millonarias, deepfakes, sistemas prohibidos y el papel de la AESIA.
Ese ruido importa, pero no es el centro operativo.
El 26 de mayo de 2026, el Consejo de Ministros aprobó para su remisión al Congreso el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial. Esto es importante: hablamos de un proyecto en tramitación parlamentaria, no de una ley ya cerrada. Aun así, la dirección es clara. España está creando la capa nacional que aterriza el Reglamento Europeo de IA: autoridades, supervisión, sanciones, sandboxes y obligaciones específicas para el sector público estatal.
La empresa que lea esto como “otro tema legal” llegará tarde. La empresa que lo lea como “tenemos que saber qué sistemas de IA usamos, para qué, con qué riesgo, con qué owner y con qué evidencia” empezará a crear ventaja.
Tesis
La multa no es el problema. La multa es la consecuencia visible de no tener sistema.
El verdadero riesgo para una empresa mediana no es que use ChatGPT, Gemini, Claude, Midjourney, ComfyUI o un módulo de IA dentro del CRM. El riesgo es no saber qué IA está influyendo en decisiones reales: selección de candidatos, scoring comercial, soporte al cliente, priorización de leads, creación de contenido, análisis de empleados, decisiones financieras o automatizaciones internas.
Cuando la IA pasa de herramienta suelta a activo regulado, el compliance deja de ser un documento y se convierte en una arquitectura operativa.
Framework
La forma práctica de leer el Proyecto de Ley de IA en España no es “qué sanción me cae”. Es esta:
| Capa | Pregunta ejecutiva | Evidencia mínima |
|---|---|---|
| Inventario | Qué sistemas de IA usamos o integramos | Registro vivo de herramientas, workflows y proveedores |
| Finalidad | Qué decisión u output influye cada sistema | Mapa de casos de uso y procesos afectados |
| Riesgo | Es uso prohibido, alto riesgo, transparencia o bajo riesgo | Clasificación alineada con el Reglamento Europeo de IA |
| Owner | Quién responde si el sistema falla | Responsable operativo y responsable jurídico/técnico |
| Supervisión | Qué humano puede intervenir, corregir o parar | Decision rights, override y criterios de escalado |
| Evidencia | Cómo demostramos que actuamos bien | Logs, documentación, evaluaciones, contratos y revisiones |
Este es el cambio mental. La IA no se gobierna por marca de herramienta. Se gobierna por uso, impacto y control.
Dos empresas pueden usar el mismo modelo y tener riesgos distintos. Una lo usa para resumir notas internas. Otra lo usa para filtrar candidatos. La herramienta puede ser la misma; la exposición no.
Por que importa ahora
Hay cuatro razones por las que este tema merece entrar en el magazine ya.
Primero, porque el Proyecto de Ley aterriza en España un marco que ya existe: el Reglamento Europeo de IA está en vigor desde agosto de 2024 y aplica con calendario progresivo. El artículo 99 fija sanciones de hasta 35 millones de euros o el 7% del volumen de negocio mundial para prácticas prohibidas, hasta 15 millones o el 3% para determinados incumplimientos de obligaciones, y hasta 7,5 millones o el 1% por información incorrecta, incompleta o engañosa ante autoridades.
Segundo, porque el propio Gobierno ha explicado que el proyecto español identifica organismos de supervisión y establece un régimen sancionador nacional. La nota oficial habla de infracciones muy graves, graves y leves, con sanciones que pueden llegar a 35 millones o el 7% en los casos más graves y hasta 500.000 euros o el 0,5% en las más leves.
Tercero, porque agosto de 2026 no es una fecha abstracta. Las obligaciones generales del Reglamento empiezan a tener impacto práctico para muchas empresas, y las obligaciones de transparencia del artículo 50 afectan a sistemas que interactúan con personas o generan/manipulan contenido sintético. Esto toca soporte, marketing, producto, contenido, atención al cliente y operaciones.
Cuarto, porque la parte más interesante no es solo privada. El proyecto también introduce para el sector público estatal un inventario de sistemas de IA usados en procedimientos administrativos y la figura del delegado de IA, a desarrollar por Real Decreto. Si el Estado necesita inventario y responsables, una empresa que use IA en procesos sensibles no puede seguir funcionando con “lo lleva cada equipo”.
Anti-ejemplo
El anti-ejemplo es la empresa que reacciona con una política interna de dos páginas:
“No introduzcas datos sensibles. Usa IA de forma responsable. Revisa los outputs.”
Eso no gobierna nada.
Cuando aparece el problema, nadie sabe qué herramienta se usó, qué datos entraron, qué versión del modelo generó el resultado, qué humano aprobó la decisión, qué proveedor estaba implicado, si había obligación de informar al afectado o si el sistema debía estar directamente prohibido.
La política no falla por mala intención. Falla porque no está conectada a inventario, owners, logs, compras, seguridad, legal, datos y operaciones.
El peor escenario no es “nos sancionan por usar IA”. El peor escenario es “no podemos explicar como usamos IA”.
Protocolo (3 pasos)
-
Inventaria lo que ya existe. No empieces por un workshop. Empieza por una tabla con herramientas, proveedores, procesos y decisiones afectadas. Incluye IA comprada, IA integrada en SaaS, automatizaciones internas, prompts compartidos y modelos usados por equipos creativos o técnicos.
-
Clasifica por exposición, no por hype. Separa usos prohibidos, potencial alto riesgo, obligaciones de transparencia y usos de bajo riesgo. No todo se registra. No todo es alto riesgo. Pero todo lo que influye en personas, derechos, dinero, empleo, acceso a servicios o contenido público merece tratamiento específico.
-
Convierte compliance en backlog. Cada riesgo debe generar una tarea cerrable: pedir documentación al proveedor, definir owner, crear override humano, activar logging, actualizar DPIA, etiquetar contenido sintético, revisar contrato o bloquear un caso de uso.
| Semana | Trabajo | Resultado |
|---|---|---|
| 1 | Inventario de herramientas y workflows con IA | Lista única con owner por sistema |
| 2 | Clasificación de riesgo y obligaciones | Mapa de usos prohibidos, alto riesgo, transparencia y bajo riesgo |
| 3 | Evidencia y proveedores | Logs, contratos, documentación técnica y gaps |
| 4 | Backlog de gobernanza | Acciones priorizadas con responsable y fecha |
La regla: si una obligación no se convierte en item de trabajo, no existe.
Relacionado
- EU AI Act 2026: las 5 cosas que un CEO de empresa mediana española debe cambiar antes de octubre
- AI Governance Backlog: convertir riesgo en trabajo ejecutable
- AI Decision Ledger: el registro de decisiones que vuelve auditable tu IA
- Tool Registry: el mapa de riesgos que necesitan los agentes enterprise
- AI Content Labels: el aviso legal se convierte en infraestructura de confianza
Fuentes consultadas
- Ministerio para la Transformación Digital y de la Función Pública: nota de prensa del Consejo de Ministros, 26 de mayo de 2026
- La Moncloa: Referencia del Consejo de Ministros del 26 de mayo de 2026
- Reglamento (UE) 2024/1689 de Inteligencia Artificial en EUR-Lex
- Cuatrecasas: Proyecto de Ley Orgánica para el buen uso y gobernanza de la IA
Proximo paso
No esperes a que el texto termine su tramitación para empezar. El trabajo útil no depende de que cambie una coma: inventario, clasificación, owners, supervisión humana, trazabilidad y proveedores.
Si hoy no puedes responder qué sistemas de IA influyen en decisiones de negocio, el primer proyecto no es legal. Es operativo. Empieza por el inventario y conviértelo en un diagnóstico de gobernanza IA.