España ya tiene sobre la mesa la pieza que faltaba para aterrizar en su propio ordenamiento el Reglamento Europeo de Inteligencia Artificial. El Consejo de Ministros ha aprobado el proyecto de ley para el buen uso y la gobernanza de la IA, en vigor en Europa desde agosto de 2024, con un objetivo muy concreto que las reglas comunes puedan aplicarse de verdad aquí.
No hablamos solo de principios generales. La futura norma fija sanciones de hasta 35 millones de euros en los casos más graves de incumplimiento, prohíbe los deepfakes de carácter sexual y regula el uso de marcas de agua en contenidos elaborados con inteligencia artificial.
La ley aterriza un reglamento que ya exige respuestas
Moisés Barrio Andrés, letrado del Consejo de Estado y asesor de diversos Estados y de la propia Unión Europea en regulación digital, sitúa el núcleo del problema en la gobernanza. A su juicio, la ley es el instrumento jurídico necesario para concretar en España lo previsto por el reglamento europeo de acuerdo con el principio de eficacia.
"La futura ley garantizará la imprescindible coherencia, eficacia y correcta aplicación en el marco de nuestro ordenamiento jurídico, especialmente cuando concurren distintos niveles territoriales de Administraciones Públicas y ámbitos sectoriales regulados." - Moisés Barrio Andrés, letrado del Consejo de Estado y asesor en regulación digital
Ese detalle no es menor. Cuando una tecnología atraviesa protección de datos, banca, justicia o servicios públicos, la pregunta deja de ser qué prohíbe Bruselas y pasa a ser quién vigila, quién inspecciona y quién sanciona dentro del país.
La norma, además, tendrá rango de ley orgánica. Eso le permite designar autoridades nacionales, delimitar competencias y articular mecanismos de coordinación entre autoridades de vigilancia del mercado, junto con procedimientos de supervisión e inspección.
El rango orgánico ordena quién manda y quién inspecciona
Barrio Andrés considera fundamental que una norma con rango de ley defina las competencias de determinadas autoridades de vigilancia. Su argumento es jurídico, pero también práctico, porque organismos como la Agencia Española de Protección de Datos, el Banco de España o el Consejo General del Poder Judicial ya tienen regímenes definidos por normas del mismo rango.
Miguel Recio, presidente de la asociación APEP·IA, ve en esa arquitectura institucional una condición previa para que el reglamento europeo no quede en papel mojado. La ley es necesaria para poder aplicar el Reglamento de IA, sostiene al valorar la aprobación del proyecto.
Recio añade que la norma resulta relevante tanto por el marco de autoridades competentes como por el uso que puedan hacer de la IA las empresas y las administraciones públicas. Ahí aparece una de las claves menos visibles del debate, porque regular no solo implica poner límites, sino también aclarar bajo qué reglas puede utilizarse una herramienta.
Las sanciones ponen cifra a una frontera muy concreta
El régimen de infracciones y sanciones es uno de los puntos donde la futura ley baja a tierra el reglamento europeo. Barrio Andrés subraya que la norma incorpora adecuadamente los contenidos que exigen rango legal para tener plena efectividad en el ámbito interno.
La cifra máxima de 35 millones de euros coloca el debate lejos de cualquier gesto simbólico. Cuando una empresa valora riesgos, pocas cosas resultan tan comprensibles como una multa con ocho dígitos.
También hay una señal nítida sobre los usos que no entran en discusión. El texto prohíbe los deepfakes sexuales y regula las marcas de agua para contenidos creados con IA, dos frentes donde la conversación pública suele mezclar libertad técnica, daño personal y dificultad para distinguir lo auténtico de lo fabricado.
El calendario aprieta más que la retórica
Ahora empieza la parte menos vistosa y más decisiva, la tramitación parlamentaria. Recio la identifica como uno de los retos más relevantes a corto plazo, junto con la necesidad de que finalmente salga adelante una ley que considera esperada y necesaria.
Barrio Andrés apunta otro frente igual de exigente. El principal reto vendrá por la necesidad de aprobar normas reglamentarias de desarrollo para varios aspectos de la futura ley, algo que suele marcar la diferencia entre una arquitectura jurídica cerrada y una norma difícil de ejecutar.
Si el trámite parlamentario se demora, el Gobierno podría recurrir a la vía del real decreto ley de urgencia. La presión del calendario no es abstracta, porque las obligaciones europeas para los sistemas de mayor riesgo entrarán plenamente en vigor en dos fases, el 2 de agosto de este año y el 2 de agosto de 2027.
Recio sostiene que el carácter orgánico de la norma también importa cuando la regulación afecta a una IA confiable, ética y respetuosa con los derechos fundamentales. Y ahí está la tensión de fondo, con fechas cerradas en el calendario europeo y una ley española que todavía debe completar su recorrido antes de que lleguen el 2 de agosto de este año y el 2 de agosto de 2027.