¿Está preparada tu empresa para la nueva ley de inteligencia artificial española?

El Consejo de Ministros, a propuesta del Ministerio para la Transformación Digital y de la Función Pública, ha aprobado el proyecto de ley orgánica para el buen uso y la gobernanza de la inteligencia artificial.

Ahora, el borrador deberá ser refrendado por el Congreso de los Diputados. Así pues, su aprobación está condicionada por la frágil situación del Gobierno presidido por Pedro Sánchez.

Sin embargo, tarde o temprano, las Cortes tendrán que dar luz verde este proyecto de ley, puesto que todos los estados miembros de la UE han de adaptar su ordenamiento jurídico al Reglamento europeo de Inteligencia Artificial (RIA).

Y si no es éste, será un texto muy similar, por lo que conviene ir familiarizándose con el mismo, para saber qué tendrá que hacer nuestra empresa para dar respuesta a sus exigencias.

¿A quiénes afecta la ley de inteligencia artificial?

Lo primero que hemos de saber es si esta nueva ley de inteligencia artificial afectará a nuestro negocio y cómo lo hará.

Josep Bardallo, Cybersecurity & Cloud director de Excelia, explica que “afecta a cualquier empresa que use inteligencia artificial, no sólo a las tecnológicas, porque la mayoría son responsables del despliegue de sistemas de terceros”.

“Las más expuestas son las que operan sistemas de alto riesgo —RRHH, scoring crediticio, seguros, biometría, educación o sanidad— y quienes incurran en prácticas prohibidas”, detalla.

Además, subraya que “aplica a empresas de todos los tamaños, con criterios de proporcionalidad para pymes y startups”.

La administración pública tampoco queda exenta de control, aunque la ley prevé principalmente apercibimientos y medidas disciplinarias, en vez de sanciones económicas.

¿Qué novedades trae?

Bardallo señala que “la aportación específica del texto español es la gobernanza y el régimen sancionador”.

“Los sistemas no regulados por legislación de producto (empleo, biometría o educación) se atribuyen principalmente a la Agencia Española de Supervisión de Inteligencia Artificial (AESIA), junto con la Agencia Española de Protección de Datos (AEPD) y el Consejo General del Poder Judicial (CGPJ) según el ámbito, actuando la AESIA como punto de contacto único”, puntualiza.

Además, explica que el proyecto de ley añade el etiquetado obligatorio del contenido generado por inteligencia artificial cuando pueda inducir a error o confusión, la supervisión humana efectiva de los sistemas de inteligencia artificial de alto riesgo y la gobernanza de los entornos de pruebas (sandbox).

En cuanto al sector público, contempla un inventario de sistemas y la figura del delegado de inteligencia artificial.

Todo ello, sin olvidarnos de las prohibiciones ya vigentes en el Reglamento europeo, ampliadas a iniciativa de España con los deepfakes sexuales; y el grueso de obligaciones para los sistemas de alto riesgo, que entra en vigor en agosto de 2026.

Si haces esto, déjalo ya

Aunque esta ley todavía no haya sido aprobada, es probable que tu empresa esté incurriendo en infracciones relacionadas con el uso de la inteligencia artificial. Si es así, deberías actuar de inmediato.

“Muchas empresas están incumpliendo la ley sin saberlo porque algunas prohibiciones del Reglamento europeo ya son aplicables desde febrero de 2025. El caso más cotidiano es inferir emociones de empleados o candidatos mediante inteligencia artificial o el scoring de comportamiento social”, advierte el experto de Excelia.

Además, hace hincapié en que usar inteligencia artificial para cribar currículos o decidir contrataciones, promociones o despidos, algo que hoy es legal, pasará a ser calificado como práctica de alto riesgo a partir de agosto de 2026. Es decir, seguirá siendo legal, pero estará sujeto a un cumplimiento exigente.

Asimismo, recalca que “publicar contenido generado por inteligencia artificial sin etiquetarlo pasa también a ser sancionable”.

Un estricto régimen sancionador

Incumplir esta ley nos puede costar un importante disgusto, poniendo incluso en riesgo la continuidad de la empresa.

“Las multas pueden alcanzar hasta 35 millones de euros o el 7% del volumen de negocio mundial en los casos más graves; y hasta 500.000 euros o el 0,5% en los más leves, con tramos intermedios y la aplicación de la cuantía menor para pymes”, pormenoriza Bardallo.

No obstante, anota que “se priorizan los mecanismos de corrección frente a la sanción”, con reducciones por pronto pago o por adoptar medidas correctoras.

Para los supuestos más graves, reseña que se podría llegar a ordenar la retirada o la desconexión del sistema de inteligencia artificial.

Asimismo, recalca que sus consecuencias van más allá de las sanciones. Por ejemplo, el incumplimiento de la ley puede generar un daño reputacional y dará lugar a responsabilidad por vulnerar derechos fundamentales.

¿Cómo evitar problemas?

En EMPRENDEDORES ya hemos ofrecido algunas claves para cumplir con la Ley de IA de la UE.

Además, el experto de Excelia señala cinco pasos fundamentales para evitar sanciones: “inventariar toda la inteligencia artificial, incluida la ‘IA en la sombra’ embebida en herramientas SaaS; clasificarla por nivel de riesgo y por el rol de la empresa (proveedor o desplegador); eliminar de inmediato cualquier práctica prohibida; implantar gobernanza con supervisión humana, etiquetado y formación del personal (la alfabetización en IA ya es exigible); y exigir documentación de cumplimiento a los proveedores”.

“Todo ello se apalanca en lo que muchas organizaciones ya tienen (ISO 27001, RGPD, NIS2) y se ordena con la norma ISO/IEC 42001”, añade.

Por otro lado, insiste en la importancia de acudir a partners especializados en temas de gobierno de la inteligencia artificial. “Es fundamental para ayudar a las empresas a hacer un uso de la inteligencia artificial responsable y en línea con el cumplimiento normativo”, apostilla.

Asimismo, pone el acento en en la necesidad de implicación por parte de la alta dirección. “El error de fondo es tratarlo como un asunto técnico cuando es gobierno corporativo, materia de consejo de administración”, concluye.