analisis-juridico

Liderazgo y realidad: claves críticas del Proyecto de Ley español de inteligencia artificial (2026)

16 de junio de 2026•

Firma Scarpa · derechoartificial.com
Junio de 2026

Índice

Introducción
Arquitectura de gobernanza nacional: el papel de la AESIA y el modelo de supervisión descentralizado
El régimen sancionador: disuasión económica, asimetrías y plazos
Espacios controlados de pruebas (sandboxes): del éxito piloto a la institucionalización
La IA en el sector público estatal: inventario, Delegado de IA y lagunas
Prácticas prohibidas: el impulso español contra las ultrasuplantaciones
Deficiencias técnicas y propuestas de mejora
Conclusiones
Referencias

1. Introducción

La inteligencia artificial (IA) constituye el eje de la actual revolución tecnológica, con un vasto potencial para transformar las estructuras productivas y los patrones de comportamiento social (1). El grado de autonomía y la capacidad de autoaprendizaje de estos sistemas plantean retos profundos en materia de transparencia, trazabilidad y seguridad para los ciudadanos (1), (2). Ante este escenario, la Unión Europea ha ejercido un papel pionero a escala global con la aprobación del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial [en adelante, RIA], que instituye un marco jurídico armonizado basado en un enfoque de gestión de riesgos orientado a garantizar una IA fiable y centrada en el ser humano (3).

En este contexto, el Gobierno de España aprobó el 26 de mayo de 2026 el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial, cuya tramitación parlamentaria se inició formalmente en junio del mismo año (4), (5). El objeto fundamental de esta norma es adaptar el ordenamiento jurídico nacional a las exigencias del RIA, regulando el sistema de gobernanza, el régimen sancionador y el uso de la tecnología en el sector público (1), (6).

Sin embargo, el análisis de este proyecto requiere una visión crítica que trascienda la narrativa oficial de liderazgo (7). España fue el primer Estado miembro en crear una autoridad de supervisión específica, la Agencia Española de Supervisión de la Inteligencia Artificial [en adelante, AESIA], aunque Alemania y Francia ya disponían de estructuras funcionalmente equivalentes bajo otras denominaciones (8). El proyecto actual se configura esencialmente como un instrumento de ejecución técnica de un mandato comunitario (7). La norma española debe, por tanto, evaluarse por su capacidad real para dotar de seguridad jurídica a los operadores, proteger los derechos fundamentales y evitar que el peso regulatorio comprometa la competitividad de las pequeñas y medianas empresas y las empresas emergentes (5), (6), (9).

2. Arquitectura de gobernanza nacional: el papel de la AESIA y el modelo de supervisión descentralizado

El Proyecto articula un sistema de gobernanza nacional que designa autoridades notificantes y de vigilancia del mercado (1), (9). Su piedra angular es la AESIA, con sede en La Coruña, que fue la primera autoridad de este tipo creada en la Unión Europea (8). Sin embargo, lejos de un modelo centralizado, España ha optado por una estructura de supervisión distribuida que aprovecha la pericia de organismos sectoriales ya existentes (1), (6).

En este esquema, el Consejo General del Poder Judicial (CGPJ) asume la vigilancia de los sistemas utilizados en la Administración de Justicia (1), (6). La Agencia Española de Protección de Datos (AEPD) se encarga de la supervisión de sistemas de identificación y categorización biométrica, así como de aquellos destinados a la gestión de fronteras y migración (1), (10). Los supervisores financieros —Banco de España y CNMV— mantienen sus competencias sobre los sistemas de IA empleados para evaluar la solvencia crediticia en sus respectivos sectores (1), (6).

La AESIA actúa como autoridad de vigilancia para los ámbitos que el artículo 5.2 del Proyecto le atribuye expresamente —empleo, educación, servicios esenciales, infraestructuras críticas, entre otros—, así como para las prácticas prohibidas que no correspondan a otras autoridades (1), (6). Además, se la designa como punto de contacto único ante las instituciones europeas, particularmente ante la Oficina Europea de Inteligencia Artificial (AI Office), creada por Decisión de la Comisión Europea de 24 de enero de 2024 como órgano central de coordinación del sistema de supervisión del RIA en el ámbito de la Unión (20). Para mitigar el riesgo de fragmentación, la norma crea una Comisión mixta de colaboración presidida por la AESIA, aunque los acuerdos adoptados en su seno no vinculan al CGPJ ni a las autoridades administrativas independientes con arreglo a la arquitectura institucional prevista en el propio Proyecto (1).

Este modelo descentralizado representa un acierto en términos de especialización técnica, pero plantea desafíos de coherencia que el análisis comparado contribuye a ilustrar. En Alemania, la Bundesnetzagentur asume con carácter provisional las funciones de autoridad de vigilancia del mercado en materia de IA mientras se tramita la legislación nacional de adaptación al RIA; en Francia, el Comité National de l'IA coordina la política pública, pero la supervisión efectiva recae sobre la CNIL y los reguladores sectoriales, con tensiones competenciales análogas a las del modelo español (26), (27). En ninguno de estos ordenamientos se ha resuelto plenamente la tensión entre especialización sectorial y unidad de criterio, lo que refuerza la relevancia estratégica de los mecanismos de coordinación vinculante para la eficacia de la gobernanza española. El dictamen del Consejo Económico y Social ya advertía precisamente sobre la necesidad de evitar duplicidades y costes excesivos para las empresas (5). La efectividad del sistema dependerá, en última instancia, de la capacidad real de la AESIA para ejercer un liderazgo efectivo sobre organismos de la envergadura de la AEPD o el CGPJ (7), (9). El éxito de la gobernanza española residirá en que la coordinación institucional logre transformar la dispersión de mandatos en una supervisión armónica y predecible (10).

Un elemento positivo que refuerza esta viabilidad es la disposición adicional segunda del Proyecto, que obliga a adaptar la AESIA a una entidad de derecho público en el plazo máximo de seis meses desde la entrada en vigor de la ley, dotándola de personalidad jurídica propia, autonomía de gestión y potestad administrativa (1). Esta adaptación resulta imprescindible para que la Agencia pueda ejercer sus funciones de supervisión y sanción con plena independencia orgánica y funcional. Tanto el Informe Jurídico de la AEPD como el dictamen del CGPJ han subrayado la necesidad de garantizar la independencia técnica de los supervisores y la suficiencia de recursos para evitar la captura regulatoria o la ineficacia del sistema (18), (19). El régimen de incompatibilidades y el procedimiento de nombramiento de sus órganos directivos deberán concretarse en la norma de adaptación (1).

3. El régimen sancionador: disuasión económica, asimetrías y plazos

El Proyecto dedica su quinto capítulo al régimen sancionador, en cumplimiento del mandato del artículo 99 del RIA (1), (3). La efectividad de la norma europea depende de que las consecuencias jurídicas sean efectivas, proporcionadas y disuasorias (1), (9). Este principio de proporcionalidad sancionadora cuenta con un arraigo consolidado en la jurisprudencia del Tribunal de Justicia de la Unión Europea: en la STJUE de 4 de julio de 2023, Meta Platforms Ireland Ltd y otros c. Bundeskartellamt, C-252/21, el Tribunal precisó que la proporcionalidad de las multas impuestas por las autoridades de control exige ponderar tanto el volumen de negocios de la empresa infractora como la naturaleza, gravedad y duración de la infracción, sin que el techo máximo previsto en la norma equivalga a una cuantía de aplicación automática (23). Este criterio, elaborado en el contexto del artículo 83 RGPD —modelo confeso del artículo 99 RIA—, resulta directamente aplicable por analogía al régimen sancionador del Proyecto. El legislador español ha optado por una clasificación tripartita de las infracciones —muy graves, graves y leves— alineada con los umbrales máximos de multas previstos en la normativa comunitaria (1), (6).

Las infracciones muy graves se reservan para el incumplimiento de las prohibiciones del artículo 5 del RIA —manipulación subliminal, puntuación social (social scoring), identificación biométrica remota no autorizada, entre otras— (1), (11). En estos supuestos, las sanciones pueden alcanzar los 35 millones de euros o el 7% del volumen de negocios mundial de la empresa infractora (1), (4). El Proyecto también califica como muy grave la falta de notificación de incidentes graves por parte de los proveedores, dada la amenaza que ello supone para la seguridad pública y la integridad del sistema de supervisión (1). Las infracciones graves incluyen el quebrantamiento de obligaciones sobre sistemas de alto riesgo y deberes de transparencia, con multas de hasta 15 millones de euros o el 3% del volumen de negocios (1), (10). Las infracciones leves se asocian a incumplimientos formales o aportación de información incompleta, con un límite de 500.000 euros o el 0,5% del volumen de negocios (1).

Un aspecto favorable es la protección de las pequeñas y medianas empresas y las empresas emergentes. En línea con el RIA, la norma establece que, para estos operadores, la multa se fijará atendiendo al importe menor entre los porcentajes citados y las cantidades fijas (1), (6). Esta cautela evita que el rigor sancionador comprometa la viabilidad de los operadores con menor capacidad económica (9). Además, el Proyecto introduce mecanismos que priorizan la corrección frente a la penalización: reducciones por pronto pago —hasta el 50% acumulable— y, en infracciones leves, la posibilidad de que la adopción de medidas correctoras conduzca a una advertencia formal sin sanción pecuniaria (1), (4).

Sin embargo, desde una óptica crítica, existen puntos de fricción considerables.

Primero, la exención de multas administrativas para el sector público estatal. El artículo 39 del Proyecto establece que, cuando una entidad del sector público cometa alguna infracción, la autoridad competente dictará resolución declarando la infracción, apercibirá a la entidad y establecerá medidas correctoras, pero excluirá expresamente la imposición de multas administrativas (1). Solo cabe, en su caso, responsabilidad disciplinaria de los empleados públicos. Si bien esta medida evita el trasvase circular de fondos públicos, genera una asimetría que debilita el carácter disuasorio de la norma cuando el infractor es el propio Estado (7). El riesgo de que la Administración se convierta en un agente sujeto al denominado riesgo moral (moral hazard) —concepto proveniente de la teoría económica para designar la reducción del incentivo a actuar con diligencia cuando los costes del incumplimiento recaen sobre terceros— es real, especialmente en un ámbito donde la innovación tecnológica tiende a desbordar la capacidad de autocontrol institucional (10).

Segundo, los plazos de prescripción y tramitación resultan excesivos para la velocidad de evolución de la IA. Las infracciones leves prescriben al año, las graves a los tres años y las muy graves a los cinco años (1). A ello se añaden plazos de resolución de nueve meses para infracciones leves y dieciocho meses para graves y muy graves (1). En un sector donde los sistemas de IA evolucionan en ciclos de semanas o meses, estos tiempos administrativos pueden dar lugar a que, cuando se impone una sanción, el sistema infractor ya haya sido sustituido o que la conducta haya cesado espontáneamente. Sería deseable una reducción de estos plazos y una exigencia de celeridad reforzada en la tramitación (5), (7).

Tercero, la complejidad técnica exigirá personal altamente especializado. La efectividad del régimen sancionador no depende solo de la ley, sino de que las autoridades de vigilancia cuenten con expertos capaces de analizar algoritmos, auditar sistemas de alto riesgo y fundamentar resoluciones antes de que la infracción prescriba o el daño sea irreparable (10). El Proyecto no garantiza explícitamente la suficiencia de recursos para la AESIA y las demás autoridades, más allá de una previsión genérica de dotación presupuestaria (1), (5).

4. Espacios controlados de pruebas (sandboxes): del éxito piloto a la institucionalización

El Proyecto dedica su tercer capítulo a los espacios controlados de pruebas para la IA, conocidos internacionalmente como sandboxes regulatorios (1), (6). Estos entornos permiten el desarrollo, entrenamiento y validación de sistemas de IA bajo supervisión de la autoridad antes de su comercialización definitiva, constituyendo un instrumento esencial para fomentar la innovación responsable (1), (10). España había concluido en junio de 2026 el primer sandbox regulatorio de IA de la Unión Europea, una iniciativa pionera que contó con una inversión de 4,3 millones de euros y la participación de pequeñas y medianas empresas y empresas de nueva creación (12), (13).

El marco normativo nacional institucionaliza ahora esta experiencia piloto. En cumplimiento del artículo 57 RIA, el Proyecto designa a la AESIA como autoridad responsable de establecer el sandbox de obligada creación a escala nacional (1), (9). Sin embargo, la norma española va más allá de la exigencia mínima comunitaria al habilitar a otras autoridades competentes —notificantes o de vigilancia del mercado— para crear espacios de pruebas adicionales dentro de sus respectivos ámbitos sectoriales (1), (14). Esta descentralización busca aportar certidumbre jurídica a los operadores en sectores específicos, asegurando que los criterios de supervisión estén alineados con las realidades técnicas de cada industria (1), (6).

Un aspecto técnico relevante es la exigencia de que en la gobernanza de estos espacios participen no solo las autoridades de supervisión, sino también los organismos encargados de definir políticas públicas y las autoridades de defensa de los derechos fundamentales (1), (4). El objetivo es que los informes de salida y las guías técnicas resultantes sirvan como referencia práctica para todo el ecosistema nacional, facilitando el cumplimiento del RIA en sistemas de alto riesgo (12). Para las empresas participantes, en particular las de menor tamaño, estos entornos ofrecen un marco de seguridad jurídica provisional donde innovar siguiendo las orientaciones de la autoridad, sin riesgo de sanciones administrativas inmediatas, siempre que se actúe de buena fe y con arreglo al plan de pruebas acordado (9), (10).

Desde una perspectiva crítica, la transición de un proyecto piloto exitoso a un marco permanente plantea varios retos.

Primero, los recursos. El Consejo Económico y Social, en su Dictamen 03/2026, señaló que la eficacia de estos entornos dependerá de que las autoridades cuenten con recursos técnicos y humanos suficientes para proporcionar un acompañamiento real, y no meramente burocrático (5). La AESIA necesitará ampliar significativamente su plantilla especializada para atender la demanda de sandboxes sectoriales (8).

Segundo, la coordinación y el riesgo de fragmentación. La proliferación de sandboxes creados por distintas autoridades —AEPD, CGPJ, supervisores financieros, entre otras— puede generar criterios divergentes si no se coordinan estrechamente a través del punto de contacto único de la AESIA (7), (10). Además, la posibilidad de que comunidades autónomas impulsen sus propios entornos de pruebas, con condiciones potencialmente más favorables a través de las autoridades sectoriales con competencias transferidas, podría distorsionar la unidad de mercado y generar una competencia regulatoria entre territorios (1). El Proyecto no contiene mecanismos expresos para evitar esta deriva.

Tercero, la sostenibilidad más allá del piloto. El éxito del primer sandbox español fue incuestionable, pero se desarrolló en un entorno controlado con financiación del Plan de Recuperación, Transformación y Resiliencia. El desafío para España es transformar el impacto mediático de alcance limitado que han generado las narrativas de liderazgo europeo en una infraestructura de soporte técnico recurrente, financiada con fondos ordinarios, que dote de una ventaja competitiva real a las empresas españolas en el mercado único (7). El Proyecto no detalla el modelo de financiación permanente de estos espacios, más allá de la previsión genérica de dotación presupuestaria (1), (5).

5. La IA en el sector público estatal: inventario, Delegado de IA y lagunas

El Capítulo IV del Proyecto, titulado «Buen uso de la IA en el sector público estatal», constituye una de las aportaciones más relevantes del legislador español, al tratarse de un bloque normativo que no deriva estrictamente de la transposición del RIA (1), (6). Esta iniciativa responde a la creciente demanda de transparencia y rendición de cuentas en la actuación automatizada de la Administración Pública, que ejerce un impacto directo y masivo sobre los derechos de la ciudadanía (4), (9).

La medida central es la creación de un inventario de sistemas de IA para el sector público estatal (1). A diferencia del registro europeo, centrado exclusivamente en sistemas de alto riesgo, la norma española amplía el foco al obligar a registrar cualquier sistema de IA que intervenga en procedimientos administrativos electrónicos (1), (4). Este inventario deberá ser interoperable con el registro de la Unión y contendrá, como mínimo, información sobre el proveedor, el responsable del despliegue y la categorización del sistema (1), (10). Se trata de un avance significativo hacia la explicabilidad del Estado, que permite que la Administración abandone su condición de caja negra algorítmica para los administrados (4), (7).

Complementariamente, el Proyecto introduce la figura del Delegado de IA (1). Cada entidad del sector público estatal deberá designar a un profesional —funcionario de carrera o empleado fijo— con conocimientos técnicos y jurídicos suficientes (1), (9). Sus funciones son transversales: desde la coordinación del marco regulatorio hasta el asesoramiento en contratación pública y la realización de evaluaciones de impacto en derechos fundamentales (1), (10). La figura se inspira en el Delegado de Protección de Datos (DPD) instituido por el Reglamento (UE) 2016/679 (RGPD), buscando institucionalizar la cultura del cumplimiento dentro de las estructuras burocráticas (6).

Sin embargo, este ambicioso marco presenta deficiencias de entidad.

Primero, el catálogo de excepciones a la obligación de informar es extenso. Quedan fuera del inventario los sistemas de IA utilizados con fines militares, de defensa nacional, de seguridad pública, gestión de infraestructuras críticas, prevención del fraude fiscal y de la seguridad social, así como aquellos cuya publicidad pudiera incrementar el riesgo de ataque o uso indebido del servicio (1). Si bien estas exclusiones se justifican por razones de seguridad nacional o eficacia administrativa, limitan el control ciudadano precisamente en las áreas donde el sesgo algorítmico puede tener consecuencias más gravosas para los derechos del individuo (1), (7). Especialmente preocupante es el carácter reservado de los sistemas de control tributario (disposición final primera), que impide conocer, reproducir o inferir su funcionamiento, dificultando cualquier auditoría externa independiente (1). Esta opacidad presenta una tensión latente con la jurisprudencia del Tribunal de Justicia: en la STJUE de 22 de junio de 2021, Latvijas Republikas Saeima, C-439/19, el Tribunal declaró que las limitaciones al derecho de acceso derivadas del tratamiento masivo de datos por autoridades tributarias deben estar precisamente delimitadas y ser estrictamente necesarias para el fin perseguido, sin que quepa ampararse en el interés general para justificar la opacidad técnica absoluta sobre los mecanismos de procesamiento algorítmico (24).

Segundo, la eficacia real del capítulo queda diferida a un futuro desarrollo reglamentario. El Proyecto remite a un Real Decreto la concreción del formato del inventario, su interoperabilidad con el registro europeo, las funciones detalladas del Delegado de IA y otros aspectos esenciales (1), (6). Esta técnica normativa, si bien habitual, genera inseguridad jurídica hasta la aprobación de dicho desarrollo.

Tercero, la figura del Delegado de IA carece de garantías de independencia. A diferencia del Delegado de Protección de Datos, cuyo cese requiere informe preceptivo de la AEPD, el Proyecto no establece un régimen tasado de cese ni salvaguardas frente a la jerarquía administrativa (1), (10). El Delegado de IA dependerá orgánicamente de su entidad, lo que puede disuadirle de denunciar incumplimientos graves cuando su superior jerárquico sea el responsable. Sería deseable introducir garantías análogas a las del DPD: duración del mandato, causas tasadas de cese y posibilidad de comunicación directa a la AESIA sin filtros jerárquicos (6), (7).

Cuarto, la asimetría sancionadora ya señalada se agrava en el sector público. El artículo 39 del Proyecto excluye las multas para las administraciones infractoras, sustituyéndolas por el apercibimiento y las medidas disciplinarias internas (1). Esta confianza en la diligencia institucional resulta insuficiente, pues la innovación tecnológica tiende a desbordar los controles internos de las organizaciones (7), (10). Una mejora viable consistiría en introducir sanciones reputacionales —mediante la publicación obligatoria de los incumplimientos en un portal de transparencia específico— y en garantizar al Delegado de IA autonomía para comunicar directamente a la AESIA cualquier infracción grave detectada, con protección efectiva frente a represalias (6).

6. Prácticas prohibidas: el impulso español contra las ultrasuplantaciones

El Proyecto dedica especial atención a la protección de los derechos fundamentales frente a sistemas de IA que presentan un riesgo inaceptable, alineándose con el catálogo de prohibiciones establecido en el artículo 5 del RIA (1), (11). La norma prohíbe taxativamente prácticas como la manipulación subliminal que induzca a comportamientos perjudiciales, la explotación de vulnerabilidades por razón de edad o discapacidad, y la puntuación social (social scoring) (4), (11). El elemento diferencial del Proyecto español es su enfoque proactivo en la lucha contra la violencia digital, especialmente en lo que respecta a la protección de menores y mujeres (4), (15).

Una de las contribuciones más significativas de España al debate europeo ha sido el impulso para incluir las ultrasuplantaciones (deepfakes) de contenido sexual y la generación de material de abuso sexual infantil en el catálogo de prácticas prohibidas de la Unión (4), (15). El acuerdo alcanzado el 7 de mayo de 2026 en el marco de las instituciones europeas, a propuesta de la delegación española, supone un hito en la defensa de la integridad moral y el derecho a la propia imagen (15). El Proyecto nacional integra esta sensibilidad: el artículo 14 remite al artículo 5 del RIA, que ya prohíbe estas prácticas, y califica su incumplimiento como infracción muy grave, estableciendo así un marco de responsabilidad administrativa orientado a atajar la proliferación de contenido sexual falso generado por IA (1), (11). Debe precisarse que la tipificación concreta no desarrolla autónomamente la conducta, sino que se remite a la prohibición europea, lo que es técnicamente correcto pero exige una interpretación integrada de ambas normas (1).

En este punto, resulta especialmente relevante que el Convenio Marco del Consejo de Europa sobre Inteligencia Artificial, Derechos Humanos, Democracia y Estado de Derecho (CETS n.º 225, 2024) —primer instrumento internacional jurídicamente vinculante en materia de IA, abierto a la firma el 5 de septiembre de 2024 en Vilnius y suscrito por España— impone a las Partes la obligación de realizar evaluaciones de impacto ex ante sobre los sistemas que puedan afectar significativamente a derechos fundamentales, con especial rigor en los supuestos de identificación biométrica y deepfakes de contenido sexual (25). La articulación entre el RIA y el CETS n.º 225 refuerza la legitimidad de las prohibiciones contenidas en el Proyecto al inscribirlas en un marco de compromisos internacionales que trasciende el ordenamiento comunitario y dota a las obligaciones españolas de una dimensión convencional adicional.

La norma también refuerza las salvaguardas en torno a la identificación biométrica remota en tiempo real en espacios de acceso público (1), (6). Siguiendo el esquema garantista del RIA, el legislador español mantiene la prohibición general de estos sistemas, permitiendo excepciones estrictas —como la búsqueda de personas desaparecidas o la prevención de amenazas terroristas inminentes— supeditadas siempre a autorización judicial previa y a un control de proporcionalidad riguroso (1), (11). Además, se prohíben los sistemas que categoricen a las personas con base en datos biométricos para deducir atributos sensibles como la orientación política, religiosa o sexual (4), (11).

Desde una perspectiva crítica, aunque el énfasis en las ultrasuplantaciones sexuales es un acierto político y social, la aplicación técnica de estas prohibiciones presenta desafíos complejos (7), (2). La distinción entre el uso malintencionado y el contenido generado con fines artísticos, satíricos, educativos o de ficción permanece difusa en la norma: el RIA y el Proyecto contemplan excepciones para estos supuestos, pero la delimitación entre parodia legítima y daño a la reputación no siempre resulta nítida, lo que puede generar inseguridad jurídica para creadores de contenido, medios de comunicación y plataformas (2). El futuro desarrollo reglamentario o las guías de la AESIA deberán establecer criterios operativos más precisos para trazar esa línea.

La efectividad de estas prohibiciones dependerá asimismo de la capacidad real de la AESIA y la AEPD para monitorizar un entorno digital donde la generación de contenido es instantánea, masiva y a menudo transfronteriza (10), (7). La cooperación internacional y los mecanismos de notificación y retirada ágiles serán tan determinantes como la norma sustantiva. Desde esta óptica, la ausencia en el Proyecto de plazos máximos vinculantes para que las autoridades ordenen la retirada de contenidos ilegales constituye una laguna que debería subsanarse durante la tramitación parlamentaria (1).

7. Deficiencias técnicas y propuestas de mejora

A pesar de la ambición que destila el Proyecto, un análisis técnico riguroso revela deficiencias estructurales que podrían comprometer la efectividad del marco normativo español (7), (10). Su papel como ejecutor del mandato europeo es incuestionable, pero la traslación del RIA al ordenamiento interno presenta puntos de fricción que requieren revisión durante la tramitación parlamentaria (5), (6). A continuación, se sistematizan las principales deficiencias y se ofrecen propuestas concretas.

Primera deficiencia: fragmentación de la supervisión y falta de coordinación vinculante. La convivencia de múltiples autoridades —AESIA, AEPD, CGPJ, Banco de España, CNMV— bajo una Comisión mixta cuyos acuerdos no vinculan a los organismos independientes genera un riesgo real de criterios divergentes (1), (6). Un mismo sistema de IA podría ser evaluado de forma distinta según qué autoridad asuma la competencia, incrementando los costes de cumplimiento para las empresas (5), (7). Propuesta de mejora: reforzar legalmente el carácter ejecutivo de los acuerdos alcanzados en la Comisión mixta, al menos en lo relativo a la interpretación uniforme de los conceptos del RIA, y establecer mecanismos expresos de resolución de conflictos positivos y negativos de competencia entre autoridades, garantizando una unidad de criterio real en todo el territorio nacional (10).

Segunda deficiencia: asimetría sancionadora y ausencia de disuasión efectiva sobre el sector público. El artículo 39 del Proyecto excluye las multas pecuniarias para las administraciones públicas infractoras, limitándose al apercibimiento y a las medidas disciplinarias internas (1), (9). Dado que el sector público gestiona volúmenes masivos de datos y adopta decisiones automatizadas de alto impacto, esta exención puede percibirse como un privilegio injustificado que diluye la rendición de cuentas (5), (7). Propuesta de mejora: introducir sanciones de carácter reputacional —publicación obligatoria y destacada de los incumplimientos en un portal de transparencia accesible al público— y garantizar al Delegado de IA autonomía real para comunicar a la AESIA, directamente y sin filtro jerárquico, cualquier infracción grave que detecte, con protección efectiva frente a represalias (6), (16).

Tercera deficiencia: excepciones excesivas al inventario del sector público. La exclusión de los sistemas utilizados en prevención del fraude fiscal, seguridad social, defensa y seguridad nacional crea zonas de opacidad en áreas donde el riesgo de sesgo algorítmico puede ser crítico para los derechos de los ciudadanos (1), (2). En particular, la reserva absoluta de los algoritmos de control tributario (disposición final primera) impide cualquier auditoría externa independiente (1). Propuesta de mejora: establecer la obligatoriedad de auditorías algorítmicas externas independientes, periódicas y con publicidad de sus conclusiones agregadas, para los sistemas exceptuados del inventario; realizadas bajo mecanismos de garantía confidencial —como una comisión mixta con representación de las autoridades de control— que preserven la seguridad sin eliminar la rendición de cuentas (5), (10).

Cuarta deficiencia: insuficiencia de recursos y financiación no garantizada. La transición del sandbox piloto a un marco permanente, así como el ejercicio de las funciones de vigilancia del mercado, requieren recursos técnicos, humanos y financieros que el Proyecto no asegura de forma explícita (5), (10). La AESIA necesitará ampliar significativamente su plantilla de expertos en algoritmos, auditores y juristas especializados (8). Propuesta de mejora: vincular legalmente un porcentaje de la recaudación por sanciones administrativas —a título ilustrativo, el 10%— al presupuesto de funcionamiento y formación técnica de la AESIA y de las unidades de apoyo de las demás autoridades de vigilancia (9), (10). Esta fórmula de autofinanciación relativa, coherente con el modelo de algunas autoridades europeas de protección de datos, garantizaría una fuente de recursos estable vinculada a la actividad sancionadora efectiva.

Quinta deficiencia: omisión de la responsabilidad civil por daños causados por IA. El Proyecto no regula la responsabilidad civil derivada del uso de sistemas de IA (1). Esta materia quedó diferida inicialmente a la Propuesta de Directiva relativa a la responsabilidad en materia de inteligencia artificial [COM(2022) 496 final], cuya tramitación fue suspendida por la Comisión Europea en 2024 pendiente de revisión (21). Debe señalarse, no obstante, que la Directiva (UE) 2024/2853, relativa a la responsabilidad por los daños causados por productos defectuosos —que actualiza la Directiva 85/374/CEE e incorpora expresamente los sistemas de IA de componente física—, constituye un marco de responsabilidad ya en vigor que resulta parcialmente aplicable a los daños causados por determinados sistemas de IA (22). Sería recomendable que el Proyecto incluyera una disposición que delimitara expresamente la relación entre el régimen administrativo de supervisión y el emergente marco civil de responsabilidad, así como una habilitación al Gobierno para impulsar la aplicación anticipada de la Directiva (UE) 2024/2853 en el plazo más breve posible.

Sexta deficiencia: plazos de prescripción y tramitación desajustados de la realidad tecnológica. Los plazos de prescripción —un año para infracciones leves, tres para graves y cinco para muy graves— y los de resolución —nueve y dieciocho meses, respectivamente— resultan excesivos en un sector donde los ciclos de vida de los sistemas de IA pueden ser de semanas o meses (1), (5). Cuando la sanción se impone, la conducta infractora puede haber cesado o el sistema haber sido sustituido, privando a la medida de su efecto disuasorio (7). El análisis comparado es ilustrativo: el Information Commissioner's Office (ICO) del Reino Unido ha establecido procedimientos de enforcement en materia de protección de datos con plazos de resolución inferiores a seis meses; el Bundesamt fuer Sicherheit in der Informationstechnik (BSI) alemán prevé mecanismos de intervención cautelar en ciberseguridad ejecutables en plazos de días ante riesgos inminentes (7). La celeridad sancionadora no es incompatible con las garantías procedimentales cuando se diseñan fases claras y plazos de audiencia abreviados en supuestos de riesgo inmediato (5). Propuesta de mejora: reducir los plazos de prescripción a seis meses (leves), un año (graves) y dos años (muy graves), los de resolución a cuatro meses (leves) y ocho meses (graves y muy graves), y establecer la posibilidad de adoptar medidas provisionales cautelares de forma ágil para interrumpir el uso de sistemas peligrosos mientras se tramita el procedimiento sancionador (1).

8. Conclusiones

El Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial constituye un paso necesario para dotar de seguridad jurídica al ecosistema tecnológico español (1), (6). Al alinear la legislación nacional con el RIA, se establece un marco previsible que busca armonizar la protección de los derechos fundamentales con el impulso a la innovación en el mercado interior (3), (9). Sin embargo, el análisis integral de la norma permite extraer varias conclusiones críticas.

Primera: matizar la narrativa de liderazgo. España fue el primer Estado miembro en crear una autoridad de supervisión específica —la AESIA— y en concluir con éxito el primer sandbox regulatorio de la Unión (8), (12), (13). Sin embargo, el Proyecto actual se configura esencialmente como un instrumento de ejecución técnica de un mandato comunitario (7). El verdadero liderazgo de España no residirá en la rapidez de la transposición, sino en la capacidad real de sus autoridades para realizar una vigilancia del mercado efectiva, que no se convierta en una carga burocrática inasumible para las empresas de menor tamaño y que proteja a los ciudadanos sin comprometer la innovación (5), (7).

Segunda: la gobernanza descentralizada es un acierto con riesgos. La especialización sectorial que aportan el CGPJ, la AEPD, el Banco de España y la CNMV es valiosa, pero la fragmentación puede generar inseguridad jurídica si los mecanismos de coordinación resultan insuficientes (10), (7). La eficacia de la AESIA como punto de contacto único y presidenta de la Comisión mixta —incluyendo su interlocución con el AI Office de la Comisión Europea— será determinante para evitar criterios divergentes en la evaluación de sistemas de IA transversales (1), (6), (20). El éxito dependerá de que la coordinación institucional alcance una unidad de criterio real que aporte certidumbre a desarrolladores y usuarios (10).

Tercera: el bloque dedicado al sector público estatal es la aportación más singular del Proyecto, pero presenta lagunas preocupantes. El inventario de sistemas de IA y la figura del Delegado de IA son hitos hacia la transparencia algorítmica del Estado (1), (4). Sin embargo, las extensas excepciones —fraude fiscal, seguridad nacional, defensa— y la ausencia de garantías de independencia del Delegado de IA limitan su efectividad real (7), (2). Para que la IA pública sea verdaderamente confiable, la transparencia debe ir acompañada de una rendición de cuentas efectiva, sin privilegios procesales injustificados y con mecanismos de auditoría externa independiente (7), (10).

Cuarta: la asimetría sancionadora debilita la disuasión. La exención de multas pecuniarias para la Administración Pública genera un doble estándar que puede percibirse como un privilegio injustificado (1), (9). El apercibimiento y las medidas disciplinarias internas resultan insuficientes cuando el infractor es el propio Estado, especialmente en un ámbito donde la innovación tecnológica desborda la capacidad de autocontrol institucional (5), (7). La introducción de sanciones reputacionales y el refuerzo de la autonomía del Delegado de IA son mejoras necesarias y técnicamente viables (6), (16).

Quinta: los plazos de prescripción y tramitación son excesivos para la velocidad de la IA. Un año para infracciones leves, tres para graves y cinco para muy graves —junto con plazos de resolución de hasta dieciocho meses— desajustan el régimen sancionador de la realidad tecnológica (1), (5). El modelo de enforcement de autoridades como el ICO o el BSI demuestra que la celeridad sancionadora es compatible con las garantías procedimentales cuando se diseñan fases claras y plazos abreviados en supuestos de riesgo inmediato (7). Una reducción significativa de los plazos y el establecimiento de medidas provisionales más ágiles son reformas indisociables de la efectividad del sistema (7).

Sexta: el impulso contra las ultrasuplantaciones es un acierto, pero su aplicación técnica es compleja. La propuesta española para incluir los deepfakes sexuales en el catálogo de prácticas prohibidas del RIA, avalada en el plano convencional por el CETS n.º 225, es un hito político y social de primer orden (4), (15), (25). Sin embargo, la distinción entre uso malintencionado y contenidos artísticos o satíricos permanece difusa, y la efectividad de las prohibiciones dependerá de la capacidad técnica de las autoridades para actuar en un entorno digital transfronterizo de alta velocidad (2), (7).

En conclusión, España dispone de una base normativa sólida que sitúa al país en el centro de la gobernanza europea de la IA (6), (9). El desafío inmediato es transformar este andamiaje legal en una infraestructura de soporte técnico permanente, dotada de recursos suficientes y mecanismos de coordinación efectivos, que proteja a los ciudadanos de riesgos inaceptables mientras fomenta un ecosistema de innovación capaz de competir en el entorno global (7), (15), (2). La tramitación parlamentaria es la oportunidad para corregir las deficiencias señaladas y mejorar un texto que, pese a sus virtudes, puede y debe perfeccionarse.

9. Referencias

Normativa

(1) Congreso de los Diputados, 121/000096 Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial, Boletín Oficial de las Cortes Generales, Serie A, núm. 97-1, 12 de junio de 2026.

(3) Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial [Reglamento de IA o RIA], DOUE L, 12 de julio de 2024.

(8) Real Decreto 729/2023, de 22 de agosto, por el que se aprueba el Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial (AESIA), BOE núm. 202, 23 de agosto de 2023.

(20) Comisión Europea, Decisión C(2024) 390 final, de 24 de enero de 2024, por la que se establece la Oficina Europea de Inteligencia Artificial (AI Office), DOUE C, 2024.

(21) Comisión Europea, Propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la responsabilidad en materia de inteligencia artificial, COM(2022) 496 final, 28 de septiembre de 2022 [tramitación suspendida, 2024].

(22) Directiva (UE) 2024/2853 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, relativa a la responsabilidad por los daños causados por productos defectuosos, DOUE L, noviembre de 2024.

(25) Consejo de Europa, Convenio Marco sobre Inteligencia Artificial, Derechos Humanos, Democracia y Estado de Derecho (CETS n.º 225), abierto a la firma el 5 de septiembre de 2024, Vilnius.

Jurisprudencia

(23) STJUE de 4 de julio de 2023, Meta Platforms Ireland Ltd y otros c. Bundeskartellamt, C-252/21, EU:C:2023:537.

(24) STJUE de 22 de junio de 2021, Latvijas Republikas Saeima, C-439/19, EU:C:2021:504.

Doctrina científica

(2) CASTILLO PARRILLA, Joaquín Antonio; RECUERO LINARES, Inés (dirs.), «Implicaciones legales de la inteligencia artificial» [monográfico], Anuario de la Facultad de Derecho de la Universidad de Alcalá, vol. XVII, 2024 [análisis sobre deepfakes, responsabilidad civil y sesgo algorítmico].

(7) PAMPLIEGA, E., «Proyecto de Ley de IA en España: mucho liderazgo proclamado y mucho Reglamento europeo que cumplir», Un mundo complejo [análisis de opinión], junio de 2026.

(16) COTINO HUESO, Lorenzo, «Análisis crítico del Proyecto de Ley Orgánica de IA: gobernanza, sanciones y sector público», en Derechos y Garantías en la Era Digital, Tirant lo Blanch, Valencia, 2026 [en prensa].

(26) BUNDESNETZAGENTUR, Vorläufige Aufsichtsfunktionen gemäß EU-KI-Verordnung: Leitfaden für Unternehmen, Bundesnetzagentur, Bonn, 2025.

(27) GOUVERNEMENT DE LA RÉPUBLIQUE FRANÇAISE / COMITÉ NATIONAL DE L'IA, «Gouvernance de l'IA en France: état des lieux et perspectives réglementaires», Paris, 2026.

Documentos institucionales

(4) Ministerio para la Transformación Digital y de la Función Pública, «El Gobierno aprueba el proyecto de ley que garantizará una supervisión humana y un uso confiable de la IA», nota de prensa, 26 de mayo de 2026.

(5) Consejo Económico y Social (CES), Dictamen 03/2026 sobre el Anteproyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial, Madrid, 25 de marzo de 2026.

(6) CUATRECASAS, «Proyecto de Ley Orgánica para el buen uso y gobernanza de la IA: análisis jurídico», Cuatrecasas Legal Alert, 29 de mayo de 2026, disponible en: https://www.cuatrecasas.com.

(9) DLA PIPER, «Spain: Government approves the draft Organic Law on the proper use and governance of artificial intelligence», Privacy Matters, 28 de mayo de 2026.

(10) LINKLATERS, «Spain approves draft AI governance law: what you need to know», Linklaters Insights, 28 de mayo de 2026.

(11) PANTALLAS AMIGAS, «El Gobierno aprueba el proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial», 26 de mayo de 2026.

(12) ESMARTCITY, «Concluye en España el primer sandbox regulatorio de inteligencia artificial de la Unión Europea», junio de 2026.

(13) Gobierno de España, «El Gobierno concluye con éxito el primer Sandbox de inteligencia artificial de Europa», Plan de Recuperación, Transformación y Resiliencia, junio de 2026.

(14) AEPD, Revista de Privacidad, Innovación y Tecnología, núm. 1: «Desafíos regulatorios y espacios controlados de pruebas para la IA», Agencia Española de Protección de Datos, 2026.

(15) Ministerio para la Transformación Digital y de la Función Pública, «La Unión Europea acuerda la propuesta de España de prohibir los deepfakes sexuales», nota de prensa, 7 de mayo de 2026.

(17) MANGAS VERDES, «España lleva al Congreso la ley de IA: la Administración no pagará multas, pero sí amonestaciones», junio de 2026.

(18) Agencia Española de Protección de Datos (AEPD), Informe Jurídico sobre el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial, mayo de 2026.

(19) Consejo General del Poder Judicial (CGPJ), Informe sobre el anteproyecto de Ley para el buen uso y la gobernanza de la Inteligencia Artificial, ponente: José María Fernández Seijo, 2026.