Novedades del Anteproyecto de Ley de Inteligencia Artificial en España (Mayo 2026).

España avanza en la adaptación interna al Reglamento Europeo de Inteligencia Artificial con la publicación del Anteproyecto de Ley sobre gobernanza y uso responsable de la inteligencia artificial. El texto busca dotar al ordenamiento español de un marco sancionador y organizativo para aplicar el Reglamento (UE) 2024/1689, así como regular determinados usos especialmente sensibles, como la identificación biométrica remota en tiempo real en espacios de acceso público.

La publicación llega, además, en un momento especialmente relevante: el paquete europeo Ómnibus VII, anunciado en el marco de la agenda de simplificación normativa de la UE, introduce cambios significativos en el calendario de aplicación de las obligaciones relativas a sistemas de IA de alto riesgo. Ello obliga a leer el anteproyecto español no solo a la luz del Reglamento de IA original, sino también de las modificaciones europeas en tramitación.

⚡ 1. MAPA DE AUTORIDADES SUPERVISORAS

El AI Act creó la obligación de designar autoridades y este anteproyecto de ley lo concreta.

El esquema resultante en caso de aprobarse en estos términos sería el siguiente:

→ AESIA: punto de contacto único con la Comisión Europea y autoridad principal para IA prohibida (en buena parte de los supuestos), sistemas de alto riesgo en biometría general, infraestructuras críticas, educación, empleo y servicios esenciales.

→ AEPD (y autoridades autonómicas): competente para prácticas prohibidas relacionadas con datos, biometría en aplicación de la ley y control de fronteras, seguridad pública y migración.

→ Banco de España + CNMV: sistemas de IA de alto riesgo en evaluación de solvencia y calificación crediticia.

→ Dirección General de Seguros y Fondos de Pensiones: IA en evaluación de riesgos y fijación de precios en seguros de vida y salud.

→ CGPJ + Junta Electoral Central: administración de justicia y procesos democráticos, respectivamente.

Cuando una autoridad sectorial carezca de medios, la AESIA asume temporalmente sus competencias. Y si surge un área no cubierta o nuevos sectores regulados por la Comisión vía actos delegados, será la Secretaría de Estado de Digitalización quien designe la autoridad competente.

⚡ 2. RÉGIMEN SANCIONADOR. Cuantías y tramos concretos

Tres aspectos que no estaban en el Reglamento:

▸ Regla de grupo: Cuando la empresa infractora pertenece a un grupo, el límite de sanción se calcula sobre la facturación consolidada del grupo, no solo de la filial. Esto cierra la vía de estructurar la actividad de IA a través de vehículos pequeños para limitar artificialmente la exposición sancionadora.

▸ Pymes: En infracciones leves, se aplica el menor de los dos límites (cuantía fija o porcentaje). Además, el procedimiento puede archivarse sin multa si la pyme adopta las medidas correctoras requeridas e indemniza los daños causados, siempre que la infracción no sea muy grave.

▸ Sector público: Sin multas económicas, pero con apercibimiento formal, medidas correctoras obligatorias y posibilidad de incoar expediente disciplinario. Si hay directivos con informes técnicos ignorados, la resolución se publica en el BOE con mención del cargo responsable.

⚡ 3. EL "DERECHO DE DESCONEXIÓN"

El anteproyecto lo califica expresamente como novedad en el ámbito europeo, cuando un sistema de IA haya provocado un incidente grave (fallecimiento, perjuicio grave para la salud, alteración irreversible de infraestructuras críticas, vulneración de derechos fundamentales o daños graves al medio ambiente), la sanción podrá incluir, además de la multa, la retirada del mercado o la desconexión del sistema.

La autoridad podrá imponer, junto con la multa, medidas de retirada, desconexión o prohibición del sistema; y podrá acordarlas cautelarmente durante la tramitación cuando exista riesgo inaceptable.

⚡ 4. IDENTIFICACIÓN BIOMÉTRICA «EN TIEMPO REAL» . Autorización judicial obligatoria

→ Autoridad competente: Juzgados de lo Contencioso-Administrativo. Control judicial previo, no policial.

→ Plazo máximo de resolución: 48 horas. Silencio negativo.

→ Duración máxima del uso: un mes, prorrogable.

→ Lista cerrada de finalidades en el Anexo I: víctimas de trata o desaparecidos, amenazas terroristas inminentes e identificación de sospechosos de delitos con pena superior a 4 años (15 categorías tasadas).

→ Obligación de notificar cada uso a la AEPD.

⚡ 5. PROCEDIMIENTO SANCIONADOR

▸ Canal anónimo: La AESIA habilitará un buzón electrónico. En 10 días hábiles decide si inicia expediente o lo remite a la autoridad competente.

▸ Plazos de resolución: 18 meses para infracciones muy graves y graves; 9 meses para leves. Transcurrido sin resolución: caducidad de oficio.

▸ Reducción por colaboración: 20% por reconocimiento de responsabilidad + 20% por pago voluntario (25% + 25% para pymes). Acumulables entre sí.

▸ Prescripción: Leves, 1 año; Graves, 3 años; Muy graves, 5 años.

⚡ 6. CALENDARIO DE APLICACIÓN. Atentos a la publicacion del Ómnibus

El acuerdo provisional del paquete Ómnibus VII, alcanzado el 7 de mayo de 2026, altera el calendario de aplicación de las obligaciones de alto riesgo. Aunque la Comisión había propuesto vincular el aplazamiento a la disponibilidad de normas y herramientas confirmada por la propia Comisión, el acuerdo provisional introduce finalmente fechas fijas: 2 de diciembre de 2027 para sistemas de alto riesgo independientes y 2 de agosto de 2028 para sistemas de alto riesgo integrados en productos. El anteproyecto español mantiene, por ahora, las fechas originales del Reglamento de IA (2 de agosto de 2026 y 2 de agosto de 2027), lo que genera una tensión que deberá resolverse si el Ómnibus se aprueba formalmente en esos términos.

⚡ 7. ¿QUÉ DEBEN HACER AHORA LAS ORGANIZACIONES?

Aunque el calendario europeo pueda moverse, el mensaje para las organizaciones no debería ser de espera pasiva. El anteproyecto español confirma que la supervisión nacional de la IA avanza y que el régimen sancionador tendrá un papel relevante en la aplicación del Reglamento.

En particular, las empresas y entidades públicas deberían:

• Mapear los sistemas de IA que utilizan, desarrollan, integran o comercializan.

• Clasificarlos por nivel de riesgo conforme al Reglamento de IA.

• Identificar si alguno puede encajar en prácticas prohibidas o en sistemas de alto riesgo.

• Revisar obligaciones de transparencia, documentación técnica, gobernanza de datos, supervisión humana y gestión de riesgos.

• Seguir la evolución del Ómnibus VII para ajustar sus hojas de ruta de cumplimiento.

• 
  

El aplazamiento de algunas obligaciones no elimina la necesidad de preparación. En la práctica, puede ofrecer una ventana adicional para diseñar programas de cumplimiento más sólidos y proporcionados.

⚡ 8. CLAVE FINAL. EL ANTEPROYECTO DEBERÁ ADAPTARSE A LA NORMA EUROPEA.

La principal cuestión técnica es que el anteproyecto español se ha redactado sobre el calendario original del Reglamento de IA, mientras que el Ómnibus VII introduce un nuevo calendario para los sistemas de alto riesgo.

Por ello, en la tramitación parlamentaria o incluso antes de su aprobación como proyecto de ley, será necesario revisar al menos tres puntos:

1. La disposición final cuarta, para adaptar las fechas de aplicación del régimen sancionador de sistemas de alto riesgo.

2. La tipificación de prácticas prohibidas, para incorporar o cubrir adecuadamente la nueva prohibición relativa a contenido sexual o íntimo no consentido y material de abuso sexual infantil.

3. Las referencias a sandboxes, transparencia y normativa sectorial, para evitar inconsistencias con el nuevo marco europeo simplificado.

   
   

En definitiva, España da un paso importante hacia la aplicación efectiva del Reglamento de IA, pero el calendario definitivo dependerá de cómo se cierre el Ómnibus VII. La oportunidad para el legislador español está en aprobar una norma que no solo sancione, sino que proporcione seguridad jurídica, coordinación institucional y una transición razonable hacia el nuevo marco europeo de inteligencia artificial.

⚠️ Esto es un anteproyecto, pendiente de informe del Consejo de Estado y aprobación parlamentaria. El texto puede modificarse en tramitación.

#InteligenciaArtificial #AIAct #RegulacionIA #Compliance #DerechoDigital