La inteligencia artificial en España se rige por el Reglamento (UE) 2024/1689 (AI Act), la primera ley integral de IA del mundo, de aplicación directa en todos los Estados miembros. Entró en vigor el 1 de agosto de 2024 y se aplica de forma escalonada hasta 2027. En España, la autoridad de supervisión es la AESIA y las multas pueden llegar a 35 millones de euros o el 7% de la facturación mundial.
En resumen
- El marco lo fija el Reglamento (UE) 2024/1689, directamente aplicable; España lo complementa con una ley de gobernanza de la IA, cuyo anteproyecto se aprobó el 11 de marzo de 2025.
- Calendario: prácticas prohibidas y alfabetización en IA desde el 2 de febrero de 2025; modelos de uso general y gobernanza desde el 2 de agosto de 2025; aplicación general el 2 de agosto de 2026.
- Cuatro niveles de riesgo: inaceptable (prohibido), alto, limitado (transparencia) y mínimo.
- La AESIA (Real Decreto 729/2023, sede en A Coruña) supervisa el cumplimiento en España.
- Sanciones de hasta 35 M€ o el 7% del volumen de negocio mundial por usar sistemas prohibidos (art. 99).
Qué es el Reglamento Europeo de IA (AI Act)
El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, conocido como AI Act o Reglamento Europeo de Inteligencia Artificial, establece normas armonizadas para la introducción en el mercado, la puesta en servicio y el uso de sistemas de IA en la Unión Europea. Es la primera norma jurídica integral sobre IA a nivel mundial.
Conviene entender un matiz jurídico clave. Un reglamento europeo es una norma de aplicación directa: obliga en España sin que el Estado tenga que aprobar una ley propia que lo copie. Una directiva, en cambio, fija un objetivo y deja a cada país que lo traslade a su legislación. Como el AI Act es un reglamento, rige en España tal cual. Entró en vigor el 1 de agosto de 2024, veinte días después de su publicación en el Diario Oficial de la Unión Europea. La legislación nacional solo desarrolla aspectos como las autoridades competentes y el procedimiento sancionador, no el contenido sustantivo.
Calendario de aplicación: ¿cuándo entra en vigor la ley de IA?
El Reglamento no se aplica de golpe. El artículo 113 fija una entrada en vigor escalonada para dar margen de adaptación a empresas y administraciones. Esta es la hoja de ruta, fecha a fecha:
| Fecha | Qué empieza a aplicarse |
|---|---|
| 1 de agosto de 2024 | Entrada en vigor del Reglamento. |
| 2 de febrero de 2025 | Prohibición de prácticas de riesgo inaceptable (art. 5) y obligación de alfabetización en IA (art. 4). |
| 2 de agosto de 2025 | Obligaciones para modelos de IA de uso general (GPAI), gobernanza y régimen sancionador. |
| 2 de agosto de 2026 | Aplicación general, incluida la mayoría de obligaciones para sistemas de alto riesgo del Anexo III. |
| 2 de agosto de 2027 | Sistemas de alto riesgo integrados en productos ya regulados (art. 6.1 y Anexo I). |
Clasificación de los sistemas de IA por nivel de riesgo
El AI Act adopta un enfoque basado en el riesgo: cuanto mayor es el peligro para la salud, la seguridad o los derechos fundamentales, más estrictas son las obligaciones. Se distinguen cuatro categorías, de la más peligrosa a la más inocua.
Riesgo inaceptable (prohibido)
El artículo 5 prohíbe determinados sistemas por considerarse una amenaza clara para los derechos de las personas. Entre las prácticas vedadas:
- Técnicas subliminales o manipuladoras que distorsionen el comportamiento.
- Explotación de vulnerabilidades de menores, personas con discapacidad o en situación de vulnerabilidad socioeconómica.
- Sistemas de puntuación social (social scoring): asignar a las personas una nota según su comportamiento que conduzca a un trato perjudicial.
- Evaluación o predicción del riesgo de que una persona cometa un delito basándose únicamente en su perfil o rasgos de personalidad.
- Ampliación de bases de reconocimiento facial mediante extracción masiva de imágenes de internet o de CCTV.
- Inferencia de emociones en el trabajo o centros educativos (salvo excepciones médicas o de seguridad).
- Categorización biométrica por datos sensibles y la identificación biométrica remota en tiempo real en espacios públicos (con excepciones tasadas).
Alto riesgo
Los sistemas de IA de alto riesgo (Anexo III y productos del Anexo I) no se prohíben, pero se someten a obligaciones estrictas: sistema de gestión de riesgos, gobernanza de datos, documentación técnica, registro de actividad, transparencia, supervisión humana, robustez y ciberseguridad, además de evaluación de conformidad y marcado CE. Incluye IA en empleo y selección de personal, educación, servicios esenciales, banca, sanidad, justicia o gestión migratoria. Esta es la categoría más relevante para el ámbito del derecho y la inteligencia artificial.
Riesgo limitado
Sujetos a obligaciones de transparencia (art. 50): el usuario debe saber que interactúa con una máquina (chatbots) y los contenidos generados o manipulados por IA, como los deepfakes (vídeos o audios falsos creados con IA que imitan a personas reales), deben etiquetarse en un formato legible por máquina como generados o manipulados artificialmente.
Riesgo mínimo
La gran mayoría de aplicaciones (filtros de spam, videojuegos, recomendadores). No tienen obligaciones específicas, aunque se fomentan los códigos de conducta voluntarios.
Obligaciones de transparencia y gobernanza para empresas y desarrolladores
El Reglamento distribuye obligaciones según el papel del operador, principalmente proveedor (quien desarrolla o comercializa el sistema) y responsable del despliegue (la empresa que lo utiliza). Las obligaciones clave para las organizaciones son:
- Alfabetización en IA (art. 4): garantizar que el personal que opera sistemas de IA tenga formación suficiente, exigible desde el 2 de febrero de 2025.
- Transparencia (art. 50): informar de la interacción con IA y etiquetar contenidos sintéticos.
- Modelos de uso general (GPAI): los proveedores de modelos como los grandes modelos de lenguaje deben aportar documentación técnica, política de cumplimiento de derechos de autor y resumen de los datos de entrenamiento.
- Sistemas de alto riesgo: evaluación de conformidad, registro en la base de datos de la UE, supervisión humana y vigilancia poscomercialización.
Casi cualquier sistema de IA empresarial trata datos personales, así que el AI Act no sustituye al RGPD: se aplican a la vez. Si tu empresa es una pyme, te orientará nuestra guía sobre las obligaciones del RGPD para pymes; y si el sistema actúa a través de tu web, revisa los cambios de la LOPDGDD y las obligaciones para webs. En proyectos con vehículos societarios o de cumplimiento mercantil puede ayudar consultar recursos como openmercantil.es.
La AESIA y el régimen sancionador en España
La Agencia Española de Supervisión de Inteligencia Artificial (AESIA) es la autoridad nacional de vigilancia del mercado y punto de contacto único ante la UE. Se creó por el Real Decreto 729/2023, de 22 de agosto (BOE-A-2023-18911), que aprobó su Estatuto, con sede en A Coruña (edificio La Terraza) y adscrita al ministerio competente en materia de digitalización a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial. Le corresponde la supervisión, inspección y sanción del cumplimiento del Reglamento.
No actúa sola: en sus respectivos ámbitos también supervisan la Agencia Española de Protección de Datos (AEPD) (biometría, migración, fronteras), el Consejo General del Poder Judicial (uso de IA en la justicia) y la Junta Electoral Central. España aprobó además, el 11 de marzo de 2025, el anteproyecto de Ley para el buen uso y la gobernanza de la IA, que adapta el régimen sancionador interno; ese texto avanzó después como Proyecto de Ley Orgánica remitido a las Cortes en 2026.
Las multas administrativas del artículo 99 del Reglamento se estructuran en tres tramos. Como regla general se aplica la cifra mayor entre el importe fijo y el porcentaje del volumen de negocio mundial:
| Tipo de infracción | Importe máximo |
|---|---|
| Uso de sistemas de IA prohibidos (art. 5) | 35 M€ o 7% del volumen de negocio mundial |
| Incumplimiento de otras obligaciones (alto riesgo, transparencia) | 15 M€ o 3% |
| Información incorrecta o engañosa a las autoridades | 7,5 M€ o 1% |
Para pymes y empresas emergentes, en estos tres tramos del artículo 99 se aplica la cuantía menor entre el importe fijo y el porcentaje, como medida de proporcionalidad.
Las multas a los proveedores de modelos de uso general (GPAI) se rigen por una regla distinta, la del artículo 101: hasta 15 M€ o el 3% del volumen de negocio mundial, aplicándose en este caso la cifra mayor de las dos (lógica inversa a la regla de proporcionalidad de las pymes del art. 99).
Ejemplo práctico
Imagina una empresa española de selección de personal que implanta una herramienta de IA para filtrar currículos y puntuar candidatos. Como la IA aplicada al empleo figura en el Anexo III, ese sistema es de alto riesgo: la empresa, como responsable del despliegue, debe asegurarse de que el proveedor realizó la evaluación de conformidad, mantener supervisión humana real sobre las decisiones, vigilar que el sistema no discrimine y formar al personal que lo maneja (alfabetización en IA, exigible desde el 2 de febrero de 2025). Si además el sistema dedujera el estado de ánimo de los candidatos durante una entrevista, entraría en terreno prohibido: la inferencia de emociones en el ámbito laboral es una práctica vedada por el artículo 5, sancionable con hasta 35 M€ o el 7% de la facturación mundial. La mayoría de obligaciones de alto riesgo del Anexo III son exigibles desde el 2 de agosto de 2026, así que el momento de adaptarse es ahora.
Preguntas frecuentes
¿Qué dice la ley de inteligencia artificial en España?
Que la IA debe ser segura, ética y respetuosa con los derechos fundamentales. El marco es el Reglamento (UE) 2024/1689, directamente aplicable, que prohíbe ciertos usos, exige obligaciones estrictas a los sistemas de alto riesgo e impone transparencia. España lo complementa con la AESIA como supervisora y con una ley de gobernanza de la IA en tramitación.
¿A quién obliga el Reglamento Europeo de IA?
A proveedores que desarrollan o comercializan sistemas de IA y a responsables del despliegue (empresas y administraciones que los usan), incluso si están fuera de la UE pero sus sistemas se utilizan en ella. También a importadores, distribuidores y proveedores de modelos de uso general.
¿Cuándo entra en vigor la ley de IA?
Entró en vigor el 1 de agosto de 2024. Las prácticas prohibidas y la alfabetización se aplican desde el 2 de febrero de 2025; las reglas de modelos de uso general y gobernanza desde el 2 de agosto de 2025; y la aplicación general (incluido el grueso de los sistemas de alto riesgo) el 2 de agosto de 2026.
¿Cuáles son los niveles de riesgo de la IA?
Cuatro: riesgo inaceptable (prohibido), alto riesgo (obligaciones estrictas), riesgo limitado (transparencia) y riesgo mínimo (sin obligaciones específicas).
¿Qué pasa si una empresa incumple el AI Act?
Se expone a sanciones administrativas de hasta 35 millones de euros o el 7% de su facturación mundial por usar sistemas prohibidos, y de hasta 15 millones o el 3% por otras infracciones. En España, la AESIA es la encargada de inspeccionar y sancionar.
Guías relacionadas
Fuentes oficiales
- Reglamento (UE) 2024/1689 (AI Act), texto completo — EUR-Lex
- AI Act, artículo 5 — Prácticas de IA prohibidas
- AI Act, artículo 50 — Obligaciones de transparencia
- AI Act, artículo 99 — Sanciones (tres tramos y regla pymes)
- AI Act, artículo 101 — Multas a proveedores de modelos GPAI
- AI Act, artículo 113 — Entrada en vigor y calendario de aplicación
- Real Decreto 729/2023, Estatuto de la AESIA — BOE-A-2023-18911
- Anteproyecto de Ley para el buen uso y la gobernanza de la IA — digital.gob.es
Contenido informativo elaborado por nuestro equipo de trabajo a partir de fuentes oficiales (Reglamento UE 2024/1689 vía EUR-Lex, BOE-A-2023-18911 y digital.gob.es). No constituye asesoramiento jurídico; cada caso debe valorarse de forma individual.
Información orientativa; no sustituye el asesoramiento de un abogado. Verifica tu caso concreto. Si lo necesitas, puedes consultar tu caso con un profesional.