La inteligencia artificial ya no entra en las empresas solo por la puerta grande de un contrato o de un proyecto anunciado en comité. Muchas veces aparece por una cuenta personal, por una prueba rápida o por una herramienta que alguien empezó a usar para ahorrar tiempo. Ahí es donde la nueva ley española quiere intervenir.
El Consejo de Ministros ha aprobado el proyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial, la pieza con la que España adapta a su propio marco el Reglamento (UE) 2024/1689, conocido como AI Act. La vigilancia del cumplimiento recaerá en la Agencia Española de Supervisión de la Inteligencia Artificial, la AESIA.
La norma llega cuando la IA ya circula fuera del control interno
Los datos retratan una paradoja incómoda. Mientras las compañías aceleran la adopción de herramientas de IA, muchas todavía no han construido reglas básicas para saber quién las usa, con qué datos trabaja cada sistema o qué decisión termina delegándose en una máquina.
IBM lo cuantificó en su informe Cost of a Data Breach 2025 cuando la shadow AI apareció en el 20% de las brechas analizadas y añadió de media unos 670.000 dólares al coste de cada incidente. En el mismo estudio, el 63% de las organizaciones reconocía no tener ninguna política de gobernanza de IA.
Además, un estudio de UpGuard publicado en noviembre de 2025 estimó en más del 80% los trabajadores que usan herramientas de IA no aprobadas por su empresa. Entre los profesionales de seguridad, la cifra roza el 90%.
Ese desajuste no resulta menor si una parte de esos accesos ocurre fuera del perímetro corporativo. Distintos informes sectoriales sitúan entre el 45% y el 7% los empleados que entran en herramientas de IA con cuentas personales, una costumbre que complica la trazabilidad y también el control jurídico del dato.
En ese terreno ya había señales previas, como ocurrió con la adopción de IA en pymes, donde la obligación legal convive con usos aún poco formalizados dentro de muchas organizaciones.
El 2 de agosto de 2026 dejará de ser una fecha lejana
El grueso de las obligaciones del AI Act será plenamente exigible desde el 2 de agosto de 2026. Eso coloca a empresas y administraciones ante una cuenta atrás menos teórica de lo que parecía hace unos meses.
No todo empieza ese día. El artículo 4 del AI Act ya está en vigor desde el 2 de febrero de 2025 y obliga a asegurar un nivel adecuado de alfabetización en IA entre el personal con responsabilidades sobre estos sistemas.
Traducido a la práctica, no basta con comprar una herramienta y repartir accesos. La norma exige inventariar los sistemas de IA, clasificarlos por nivel de riesgo, documentar su uso con trazabilidad, aprobar políticas internas de gobernanza y garantizar una supervisión humana efectiva.
Gobernar la IA también significa ordenar responsabilidades
Ahí aparece uno de los cambios menos visibles y más delicados. Cuando una empresa utiliza IA en selección de personal, atención al cliente, análisis documental o tratamiento de información interna, ya no solo gestiona software, también organiza responsabilidades legales que pueden cruzarse entre varios departamentos.
La nueva ley no opera en un vacío. Sus obligaciones se solapan con el Reglamento General de Protección de Datos, la Ley de Secretos Empresariales y la Ley de Sociedades de Capital, de modo que una decisión técnica puede acabar teniendo efectos en privacidad, confidencialidad y deberes de control corporativo.
Visto así, la gobernanza deja de ser un documento decorativo. Inventariar, clasificar y dejar rastro del uso de cada sistema pasa a ser una defensa básica cuando surge una incidencia, una reclamación interna o una inspección.
También ayuda a entender por qué la discusión ya no gira solo en torno a modelos llamativos o asistentes conversacionales. Parte del problema consiste en saber dónde está realmente la IA dentro de la organización, una duda que ya asomaba en la contratación pública de chatbots, donde el uso podía entrar tanto por contratos directos como por servicios empaquetados.
Las multas convierten el desorden interno en un riesgo real
Las infracciones más graves podrán castigarse con multas de hasta 35 millones de euros o el 7% del volumen de negocio anual mundial del infractor. La cifra impresiona, pero lo más relevante quizá sea otra cosa. Un uso informal que antes podía verse como atajo de productividad ahora entra de lleno en el terreno del cumplimiento.
Porque la escena cotidiana cambia poco en apariencia y mucho en consecuencias. Un empleado abre una cuenta personal, pega datos en una herramienta externa, genera un resumen o automatiza una tarea, pero la empresa puede descubrir demasiado tarde que nunca supo qué sistema se usaba, qué información salió de su entorno ni quién debía vigilarlo.
El grueso de las obligaciones será exigible desde el 2 de agosto de 2026, pero la tensión ya está aquí. Por un lado, más del 80% de los trabajadores usa herramientas no aprobadas en su empresa según UpGuard. Por otro, el 63% de las organizaciones aún carece de una política de gobernanza de IA, justo cuando el desorden interno puede costar hasta 35 millones de euros o el 7% del negocio mundial.