España avanza hacia su propio modelo de gobernanza de la inteligencia artificial: entre la armonización europea y los retos internos

Por Iván Martínez, CEO de Intedya

El proceso de regulación de la inteligencia artificial en Europa entra en una fase decisiva, y España se posiciona ya en la siguiente capa normativa: la adaptación nacional. El Dictamen 3/2026 del Consejo Económico y Social (CES) analiza el Anteproyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial, una pieza clave que no introduce una regulación autónoma completa, sino que actúa como engranaje interno del Reglamento (UE) 2024/1689, el conocido EU AI Act. Este movimiento normativo no es menor, supone, en la práctica, la construcción de la arquitectura institucional, sancionadora y operativa que permitirá aplicar en España el modelo europeo de inteligencia artificial basado en el riesgo.

Un marco nacional al servicio de un reglamento europeo directamente aplicable

El Anteproyecto responde a una obligación clara, los Estados miembros deben configurar los elementos nacionales necesarios para hacer operativa la normativa europea. En este caso, el objetivo central es doble, por un lado, establecer el sistema de gobernanza y supervisión de la inteligencia artificial en España y, por el otro, definir el régimen sancionador aplicable a los incumplimientos del Reglamento europeo en territorio nacional. No se trata, por tanto, de una ley sustantiva sobre inteligencia artificial en sentido amplio, sino de una norma de “infraestructura jurídica”: designa autoridades, articula mecanismos de coordinación, establece procedimientos y concreta cómo se sancionarán las infracciones. Este enfoque es coherente con la naturaleza del AI Act, que es directamente aplicable, pero requiere una capa nacional para su ejecución efectiva.

Gobernanza: una arquitectura institucional compleja y distribuida

Uno de los elementos más relevantes del Anteproyecto es la definición del sistema de autoridades competentes, lejos de optar por un modelo centralizado puro, España configura un esquema híbrido. La Agencia Española de Supervisión de Inteligencia Artificial (AESIA) emerge como actor central, actuando como autoridad de vigilancia en múltiples ámbitos y como punto de contacto único, sin embargo, no monopoliza la supervisión, otras autoridades sectoriales, como el Banco de España, la CNMV o la Agencia Española de Protección de Datos, mantienen competencias sobre sistemas de alto riesgo en sus respectivos ámbitos. Este diseño refleja una tensión clásica en la regulación tecnológica, la necesidad de especialización sectorial frente a la coherencia regulatoria. El CES, de hecho, advierte del riesgo de fragmentación y subraya la importancia de mecanismos efectivos de coordinación interinstitucional. Para mitigar este riesgo, el anteproyecto introduce una Comisión mixta de colaboración entre autoridades, orientada al intercambio de información y buenas prácticas. Sin embargo, el propio dictamen sugiere que esta previsión podría resultar insuficiente si no se refuerza la coordinación con otros actores institucionales, incluidos los ámbitos económico, laboral y social.

El modelo europeo de riesgo: eje estructural del sistema

Aunque el Anteproyecto no redefine el modelo de regulación, sí lo operacionaliza. El sistema descansa sobre el enfoque basado en riesgo del Reglamento europeo, que distingue entre prácticas prohibidas, sistemas de alto riesgo y otros sistemas sujetos a obligaciones de transparencia, este enfoque implica una intervención regulatoria gradual: cuanto mayor es el riesgo potencial para derechos fundamentales, mayor es la carga de obligaciones. El CES destaca que este modelo busca equilibrar dos objetivos que no siempre son compatibles, la protección de derechos fundamentales y el impulso a la innovación tecnológica. En este sentido, la norma nacional no introduce desviaciones relevantes respecto al esquema europeo, sino que lo implementa con fidelidad.

Régimen sancionador: alineación con estándares europeos de disuasión

Uno de los aspectos más contundentes del Anteproyecto es su régimen sancionador. España adopta los márgenes previstos por el AI Act, incluyendo sanciones que pueden alcanzar los 35 millones de euros o el 7% del volumen de negocio global .

Más allá de la cuantía, el diseño del sistema sancionador incorpora varios elementos relevantes:

• Se establece una tipificación detallada de infracciones leves, graves y muy graves, diferenciando además según el tipo de operador (proveedor, desplegador, etc.).
• Se introduce la posibilidad de denuncias incluso anónimas, lo que refuerza los mecanismos de detección.
• Se habilitan medidas provisionales durante la tramitación de expedientes para evitar daños inmediatos.
• Se contempla la obligación de restaurar la situación previa y compensar daños, lo que introduce una dimensión reparadora junto a la sancionadora.

Desde una perspectiva de compliance, este esquema refuerza la necesidad de sistemas internos robustos de control, especialmente en organizaciones que operen con sistemas de alto riesgo.

Administración pública: hacia la transparencia algorítmica

El Anteproyecto dedica un capítulo específico al uso de la inteligencia artificial en la Administración General del Estado. Aquí se observa una clara orientación hacia la transparencia y la rendición de cuentas. Las administraciones deberán informar sobre el uso de sistemas de IA, contribuyendo a la creación de un inventario interoperable. Además, se introduce la figura del “delegado de inteligencia artificial”, responsable de las políticas internas y del cumplimiento normativo. Este elemento resulta especialmente relevante, ya que anticipa una posible evolución hacia estructuras organizativas similares a las ya existentes en protección de datos (DPO), trasladadas al ámbito de la IA. El CES, no obstante, advierte de la necesidad de reforzar la coherencia con otras normas, como la legislación sobre igualdad y no discriminación, especialmente en lo relativo a la evaluación de sesgos algorítmicos.

Déficits detectados: diálogo social y participación

Más allá del contenido técnico, el dictamen introduce una crítica relevante al proceso de elaboración normativa: la ausencia de un diálogo social estructurado. Dado que la inteligencia artificial tiene un impacto directo en el empleo, las relaciones laborales y la organización del trabajo, el CES considera que habría sido deseable una mayor participación de sindicatos y organizaciones empresariales en fases previas. Este punto no es menor. La gobernanza de la IA no es únicamente un problema técnico o jurídico, sino también socioeconómico. La legitimidad y eficacia de la norma dependerán en gran medida de su aceptación por parte de los actores afectados.

Una ley de “segunda capa” con implicaciones estratégicas

El Anteproyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial no es una norma disruptiva en términos sustantivos. No redefine los principios ni los requisitos del sistema europeo. Sin embargo, su importancia es estructural.

Define quién controla, cómo se controla y qué ocurre cuando se incumple. En otras palabras, convierte un marco europeo en un sistema operativo nacional. El verdadero desafío no estará tanto en la aprobación de la norma como en su implementación efectiva: coordinación entre autoridades, capacidad técnica de supervisión, adaptación de las organizaciones y, sobre todo, integración de la cultura de cumplimiento en un ámbito, el de la inteligencia artificial, caracterizado por su rapidez de evolución y su complejidad técnica.