Cada vez más conversaciones profesionales giran alrededor de una misma cuestión: ¿cómo nos adaptamos a la inteligencia artificial? España cuenta hoy con un regulador específico de IA plenamente operativo, un sandbox activo y guías prácticas de cumplimiento. Con un marco regulatorio avanzado, debemos plantearnos si las empresas se están preparando al mismo ritmo.

El pasado 26 de mayo de 2026, el Consejo de Ministros aprobó el Proyecto de Ley Orgánica para el Buen Uso y la Gobernanza de la Inteligencia Artificial, publicado en el Boletín Oficial de las Cortes Generales el 12 de junio de 2026. Como ley orgánica, requiere mayoría absoluta del Congreso de los Diputados para ser aprobada, por lo que su recorrido parlamentario es aún incierto. Pero las líneas generales del sistema están trazadas, y el legislador nacional lleva tiempo construyendo un marco normativo amplio del que esta ley constituirá, en su caso, la pieza central.

Además, la regulación vigente es más amplia de lo que generalmente se percibe. El Real Decreto 817/2023 creó el primer sandbox regulatorio europeo de inteligencia artificial, de cuyos trabajos han surgido ya resultados tangibles, como las 16 guías prácticas presentadas por AESIA (Agencia Española de Supervisión de Inteligencia Artificial) el pasado 16 de diciembre de 2025, que funcionan como un manual de precumplimiento del Reglamento europeo de IA y tienen un valor sustancial como mapa operativo, pese a carecer de fuerza jurídica vinculante.

Como nota práctica, existe un canal público de consultas mediante el cual las empresas y profesionales pueden plantear sus dudas durante la fase de adaptación al nuevo marco normativo. Si bien las respuestas no gozan de fuerza jurídica vinculante, pueden resultar muy útiles como orientación interpretativa, y complementar además el registro y documentación de las precauciones adoptadas.

El listado normativo podría continuar: protección de datos, límites en la generación de contenidos, uso de la IA en el ámbito de la justicia, los servicios digitales o el sector público, entre otros, configuran el contexto normativo vigente o en avanzado grado de desarrollo. El Proyecto de Ley sobre IA nos adelanta ahora los ejes sobre los que se pretende edificar el sistema. Uno de ellos es el régimen sancionador de cuatro niveles, con multas de hasta 35 millones de euros o el 7% de la facturación anual global para las infracciones más graves relacionadas con prácticas prohibidas.

En los casos más graves, las autoridades podrán además ordenar la retirada del sistema de IA. También se le dota de un amplísimo ámbito de aplicación, que comprende a cualquier operador de la cadena de valor de la IA y se proyecta sobre cualquier sistema puesto en funcionamiento en España, o que simplemente produzca sus efectos sobre territorio español. Además, AESIA queda designada como punto de contacto único con las restantes instituciones europeas y autoridades de otros Estados miembros, lo que tiene implicaciones directas para los grupos multinacionales.

Conviene tener presente, además, la convivencia de distintos organismos reguladores. La Agencia Española de Protección de Datos (AEPD) y los supervisores sectoriales en áreas como competencia, finanzas, empleo, salud o justicia son actores regulatorios activos en el ámbito de la IA en España. La AEPD ha declarado públicamente que ya puede actuar contra determinados sistemas o usos de IA que impliquen tratamiento de datos personales e infrinjan la normativa de protección de datos, incluso antes de la implementación formal de la nueva ley.

El Proyecto de Ley incorpora, además, un canal único de recepción de denuncias. La protección del informante se articula a través de la Ley 2/2023, a la que el texto vincula expresamente el régimen de reporte de incumplimientos en materia de IA. Y no es este un detalle menor, ya que la experiencia práctica nos ha mostrado el gran impacto que ha tenido la existencia de un cauce formal y protegido para facilitar las denuncia de los incumplimientos.

Debemos preguntarnos cómo se traduce todo esto en la práctica. La respuesta ideal pasa por instaurar un sistema de gobierno corporativo que anticipe estos desafíos e incorpore líneas estratégicas claras, así como por documentar de forma rigurosa los trabajos de cumplimiento normativo. Se trata de cuestiones que las principales compañías llevan tiempo implementando y que los operadores sofisticados observan en detalle a la hora de adquirir y valorar un negocio. Y se trata además de condiciones que permitirán a las compañías lograr una ventaja competitiva, al tiempo que mitigan o evitan riesgos futuros que, sin duda, se traducirán más pronto que tarde en nuevos tipos de disputas y contingencias.

Si hay alguna certeza actualmente, es que una buena previsión y anticipación seguirán siendo el factor diferencial. Y no es esta una nueva receta, sino una pauta que llevamos tiempo observando entre las compañías que presentan las mejores estrategias preventivas. Hoy más que nunca, esperar a que todo esté completamente listo es sinónimo de llegar tarde.

Fuentes:

https://cincodias.elpais.com/legal/2026-06-29/espana-ya-tiene-un-marco-regulatorio-para-la-ia-estan-las-empresas-preparadas.html