El Gobierno encara la recta final de la tramitación interna de la futura ley española de inteligencia artificial. La norma, todavía en fase de anteproyecto y pendiente de su aprobación definitiva como proyecto de ley antes de ser remitida al Congreso, será una de las piezas centrales para aplicar en España el Reglamento europeo de Inteligencia Artificial, en vigor desde el 1 de agosto de 2024 y de aplicación progresiva hasta 2026 y años posteriores para determinados sistemas de alto riesgo. Su objetivo no es crear un marco propio al margen de Bruselas, sino aterrizar en el ordenamiento español quién supervisará los sistemas de IA, qué autoridades serán competentes en cada ámbito, cómo se coordinarán entre sí y qué sanciones podrán imponerse a empresas, administraciones y operadores que incumplan las obligaciones europeas.
El anteproyecto fue aprobado en primera vuelta por el Consejo de Ministros el 11 de marzo de 2025. En aquel momento, el Ejecutivo lo presentó como una norma destinada a garantizar un uso “ético, inclusivo y beneficioso” de la inteligencia artificial y a adaptar la legislación española al Reglamento europeo. Desde entonces, el texto ha recorrido buena parte del circuito consultivo previo a su conversión en proyecto de ley. El Consejo General del Poder Judicial aprobó el 25 de marzo de 2026 su informe sobre el anteproyecto, al considerar que la futura norma afecta a la Administración de Justicia y a la supervisión de determinados sistemas de IA utilizados en ese ámbito. Ese mismo mes, el Consejo Económico y Social aprobó también su Dictamen 3/2026 sobre el texto. Y el Consejo de Estado registró el 30 de abril de 2026 el Dictamen número 385/2026 sobre el “Anteproyecto de ley para el buen uso y gobernanza de la Inteligencia Artificial”, lo que sitúa la iniciativa en una fase ya muy avanzada de la tramitación gubernamental.
La confirmación política llegó en la rueda de prensa posterior al Consejo de Ministros del 5 de mayo de 2026, durante la presentación del Plan Anual Normativo. El Gobierno incluyó la ley de inteligencia artificial entre las iniciativas legislativas previstas para este ejercicio y afirmó que se trata de una norma “ya muy avanzada” por el ministerio competente y que “pronto verá la luz” en el Consejo de Ministros. Esa expresión apunta a que el texto podría estar próximo a su aprobación en segunda vuelta, el trámite que lo convertiría formalmente en proyecto de ley y permitiría su remisión a las Cortes Generales.
El calendario es relevante porque el Reglamento europeo de IA ya ha empezado a desplegar efectos. Las prácticas prohibidas y las obligaciones de alfabetización en inteligencia artificial comenzaron a aplicarse el 2 de febrero de 2025; las reglas de gobernanza y las obligaciones para modelos de IA de uso general se aplican desde el 2 de agosto de 2025; y el reglamento será plenamente aplicable, con excepciones, el 2 de agosto de 2026. La Comisión Europea recuerda además que los sistemas de alto riesgo integrados en productos regulados cuentan con un periodo transitorio ampliado hasta el 2 de agosto de 2028, tras el acuerdo político sobre el paquete de simplificación conocido como “AI Omnibus”.
Agencia Española de Supervisión de la Inteligencia Artificial
La futura ley española será, por tanto, la norma de cierre del engranaje nacional. Su primer gran bloque consiste en definir la arquitectura institucional. El texto atribuye un papel central a la Agencia Española de Supervisión de la Inteligencia Artificial, AESIA, creada como autoridad estatal especializada, pero no configura un modelo de autoridad única. La supervisión se repartirá en función del sector y del tipo de sistema. La Agencia Española de Protección de Datos tendrá competencias relevantes cuando entren en juego tratamientos de datos personales y sistemas biométricos; el Consejo General del Poder Judicial intervendrá en el ámbito de la Administración de Justicia; la Junta Electoral Central asumirá funciones en materia electoral y democrática; y la AESIA actuará como autoridad general en los supuestos no atribuidos a otros organismos.
Ese reparto de competencias es uno de los aspectos más delicados de la norma. El propio CGPJ ha señalado que el anteproyecto atribuye a su Dirección de Supervisión y Control de Protección de Datos la función de autoridad de vigilancia de mercado respecto de determinados sistemas de IA de alto riesgo vinculados a sistemas biométricos utilizados en la Administración de Justicia. El órgano de gobierno de los jueces aprobó incluso en abril de 2026 un protocolo interno para centralizar las consultas de la carrera judicial sobre usos permitidos y prohibidos de sistemas de inteligencia artificial, precisamente en previsión del papel que le reserva la futura ley.
El segundo bloque de la ley se refiere a los espacios controlados de pruebas, los llamados sandboxes regulatorios. España ya puso en marcha un entorno experimental vinculado al Reglamento europeo de IA y el anteproyecto prevé consolidar ese instrumento para que empresas, administraciones y desarrolladores puedan ensayar sistemas de inteligencia artificial bajo supervisión, con reglas específicas y con interlocución con las autoridades competentes. La idea es facilitar innovación y cumplimiento normativo antes de que los sistemas lleguen al mercado o se desplieguen a gran escala en sectores especialmente sensibles.
Régimen sancionador
La tercera pieza es el régimen sancionador. El anteproyecto incorpora al derecho español la escala de multas prevista por el Reglamento europeo. Las infracciones más graves, vinculadas a prácticas prohibidas, podrán castigarse con sanciones de hasta 35 millones de euros o, si el infractor es una empresa, hasta el 7% de su volumen de negocio mundial anual del ejercicio anterior, aplicándose la cuantía que resulte más elevada. Para otras infracciones graves o muy graves relacionadas con sistemas de alto riesgo, documentación, transparencia, cooperación con las autoridades o incumplimiento de obligaciones de proveedores y responsables del despliegue, las multas podrán alcanzar también importes millonarios. En el caso de pymes y empresas emergentes, el texto prevé aplicar los umbrales más bajos cuando así resulte del marco europeo.
Entre las medidas de mayor impacto práctico figura la obligación de identificar determinados contenidos generados o manipulados con inteligencia artificial. El Gobierno ha destacado que la falta de etiquetado adecuado de imágenes, audios o vídeos sintéticos en los que aparezcan personas reales o inexistentes diciendo o haciendo cosas que no han dicho o hecho podrá constituir infracción. Esta previsión afecta de lleno a los deepfakes, a la comunicación política, a la publicidad, a los contenidos audiovisuales generados con IA y a los riesgos de desinformación o suplantación.
La ley incorporará también la lógica de prohibiciones del Reglamento europeo. Quedarán vetados los sistemas que empleen técnicas subliminales o manipuladoras capaces de distorsionar de forma sustancial el comportamiento de las personas, los que exploten vulnerabilidades asociadas a edad, discapacidad o situación social o económica, determinados sistemas de puntuación social, ciertos usos de categorización biométrica y la identificación biométrica remota en espacios públicos salvo supuestos excepcionales, tasados y sometidos a garantías estrictas. En el caso de fuerzas y cuerpos encargados del cumplimiento de la ley, el uso de identificación biométrica remota en tiempo real solo podrá producirse bajo condiciones reforzadas de necesidad, proporcionalidad y autorización.
El texto tendrá especial trascendencia para empresas tecnológicas, administraciones públicas y sectores regulados. Recursos humanos, educación, sanidad, justicia, infraestructuras críticas, servicios esenciales, crédito, seguros, migración, seguridad, procesos electorales, industria y productos sometidos a normativa sectorial serán algunos de los ámbitos más expuestos al nuevo sistema de cumplimiento. No se trata solo de evitar sanciones, sino de documentar riesgos, garantizar supervisión humana, asegurar calidad de datos, informar a usuarios, registrar determinados sistemas y acreditar que los modelos utilizados cumplen las exigencias de transparencia y seguridad del Reglamento europeo.
La tramitación parlamentaria, cuando se abra, será previsiblemente intensa. Una vez que el Consejo de Ministros apruebe el texto en segunda vuelta como proyecto de ley, deberá remitirlo al Congreso. Allí podrá enfrentarse a enmiendas de totalidad, enmiendas al articulado, trabajos de ponencia, comisión y pleno, antes de pasar al Senado. Solo después de ese recorrido, y de la eventual incorporación o rechazo de enmiendas senatoriales, la ley podrá aprobarse definitivamente y publicarse en el Boletín Oficial del Estado. El Gobierno ha optado por mantenerla en el Plan Anual Normativo de 2026, pero el margen temporal se estrecha porque buena parte del Reglamento europeo ya está en aplicación o lo estará plenamente desde agosto de 2026.
La futura norma llega, además, en un contexto de creciente presión sobre los usos públicos y privados de la inteligencia artificial. La expansión de sistemas generativos, la proliferación de contenidos sintéticos, la automatización de decisiones en sectores sensibles y la entrada de modelos de IA de uso general en empresas y administraciones han convertido la gobernanza tecnológica en una cuestión jurídica de primer orden. El anteproyecto español pretende ordenar ese escenario con una arquitectura supervisora propia, un catálogo de infracciones y sanciones y un marco de coordinación institucional que, si el calendario anunciado por el Ejecutivo se cumple, podría llegar al Congreso en los próximos meses.
