El ministro de Transformación Digital y Asuntos Públicos, Óscar López, en Mobile World Congress 2026.

El ministro de Transformación Digital y Asuntos Públicos, Óscar López, en Mobile World Congress 2026.

España

La ley de IA del Gobierno, en detalle: de los 'deepfakes' sexuales a las marcas de agua para contenidos artificiales

El Gobierno fija una arquitectura propia para la AESIA, los sistemas de alto riesgo y los contenidos generados por IA, con una excepción polémica para las administraciones.

El proyecto aprobado ayer desarrolla el reglamento europeo, fija el mapa de riesgos y aterriza las prohibiciones sobre deepfakes y casos relacionados con menores.

Más información: El Gobierno propone una nueva ley de IA con sanciones hasta 35 millones, pero exime a la Administración de multas

Publicada
Las claves

Las claves
Generado con IA

El Gobierno ha aprobado un proyecto de ley que adapta y desarrolla el reglamento europeo sobre inteligencia artificial, incorporando medidas específicas para España.

La ley introduce sanciones de hasta 35 millones de euros para infracciones graves en el sector privado, mientras que la Administración pública solo enfrentará apercibimientos y medidas disciplinarias.

Se prohíben expresamente los deepfakes sexuales sin consentimiento y el uso de IA para generar o modificar pornografía infantil.

La norma establece obligaciones de transparencia y supervisión para sistemas de alto riesgo y crea la figura del delegado de IA en la Administración pública.

El Gobierno ha aprobado ayer el proyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial o, lo que es lo mismo, la particular transposición voluntaria del reglamento europeo que ya data de un par de años y cuya entrada en vigor plena debía ser este verano. Hablamos en pasado puesto que, mientras Moncloa acelera plazos para dotarse de su propio armazón legal en la batalla por la IA, Bruselas negocia aplazar muchas de las obligaciones a diciembre de 2027 ante las críticas de la industria y las reticencias operativas de casi todos los actores del sector.

En cualquier caso, la AI Act europea es de aplicación directa a todos los países miembro de la UE, pero en el caso español se ha decidido adaptarlo con salero patrio y, especialmente, bajarlo a tierra con una arquitectura propia de supervisión, sanción, control sectorial y uso público de la tecnología.

Más allá de clarificar algunos de los impactos sociales más acuciantes de la IA, como los deepfakes sexuales o aquellos ligados a menores, la cartera de Óscar López aprovecha este margen de maniobra para dotar a la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) de un marco nacional explícito, y para concretar un rango de sanciones que no aparece con tamaña precisión en el texto europeo.

El ministro Óscar López, durante la presentación del proyecto de ley de IA.

Qué se ha aprobado

El Consejo de Ministros ha dado luz verde al proyecto de ley que adapta la normativa española al Reglamento (UE) 2024/1689, conocido por todos como la AI Act, en vigor desde agosto de 2024. La norma no nace como una simple trasposición mecánica, porque el reglamento europeo es directamente aplicable, sino como una ley de desarrollo que identifica autoridades, define infracciones, fija sanciones, organiza la coordinación administrativa y añade piezas propias para el sector público estatal.

El Gobierno la presenta como un instrumento para garantizar una supervisión humana y un uso confiable de la IA, y la acompaña de una tesis de fondo: regulación e innovación no son fuerzas opuestas, sino condiciones que deben convivir si el país quiere liderar la transición digital.

La ley se inserta, además, en un momento en que Bruselas reabre el debate con el llamado Ómnibus Digital sobre IA, que busca aligerar ciertas cargas del AI Act sin desmontar su núcleo. España, en cambio, aprieta el paso y cierra ya su marco nacional con un tono más prescriptivo, más detallado y más sancionador. Esa diferencia temporal no es menor: mientras en Europa se discute si algunas obligaciones de alto riesgo pueden flexibilizarse o retrasarse, España opta por consolidar de inmediato un sistema con pretensión de permanencia.

La pirámide de riesgos

El texto parte de una lógica que el propio Gobierno ha querido visualizar como una pirámide. En la base están los sistemas de riesgo mínimo, de uso libre, como filtros de spam, resúmenes automáticos o recomendadores de contenido. Un nivel por encima aparecen los sistemas sometidos a obligaciones de transparencia, donde entran los chatbots, las ultrafalsificaciones y los contenidos generados por IA. Más arriba se sitúan los sistemas de alto riesgo, que exigen supervisión ex ante, y en la cúspide quedan los sistemas prohibidos, las prácticas inaceptables que la ley trata como líneas rojas.

La utilidad de esa pirámide es clara: explica que no toda IA se trata igual y que el legislador busca graduar la respuesta según el daño potencial. Nada nuevo en el horizonte, ya que todo lo anterior estaba planteado ya en la AI Act. Es cierto, empero, que el proyecto español pone especial foco en empleo, justicia, educación, biometría, infraestructuras críticas, migración, seguridad y mercado financiero.

Las prácticas prohibidas

El bloque más duro del texto es el de los sistemas prohibidos, donde la ley copia el enfoque europeo y lo afina con ejemplos concretos. Quedan vetadas las técnicas subliminales destinadas a manipular decisiones causando perjuicios físicos o psíquicos; la explotación de vulnerabilidades ligadas a la edad, la discapacidad o la situación socioeconómica; la clasificación biométrica de personas por rasgos sensibles como raza, religión u orientación sexual; la puntuación social; la vigilancia predictiva basada solo en perfiles o rasgos personales; el reconocimiento de emociones en entornos laborales y educativos; el scraping masivo de rostros para construir bases de datos faciales; y la identificación biométrica remota en tiempo real en espacios públicos, salvo excepciones críticas y mandato judicial.

La ley española añade aquí una novedad especialmente sensible, que podría incorporarse a la AI Act a través del ómnibus digital: la prohibición expresa de los deepfakes sexuales sin consentimiento. No es una cuestión menor ni ornamental. El Gobierno la presenta como un impulso español dentro de la reforma del reglamento europeo, tras la polémica generada por imágenes de mujeres y menores creadas con IA en X a principios de este mismo año. Del mismo modo, la norma también prohíbe de forma absoluta la generación o alteración de pornografía infantil mediante cualquier sistema de IA.

Los sistemas de alto riesgo

El corazón técnico de la norma está en los sistemas de alto riesgo. Aquí la ley se alinea con el AI Act, pero baja varios escalones de abstracción y concreta qué debe hacer un operador para no quedarse fuera de la ley. Los sistemas integrados en sectores críticos, o los que afectan a derechos fundamentales, deberán contar con gestión de riesgos, supervisión humana efectiva, documentación técnica completa, calidad suficiente de los datos, trazabilidad de entrenamiento y funcionamiento, y notificación de incidentes graves.

Además, deberán informar a los usuarios finales de su uso y, cuando proceda, etiquetar claramente el contenido generado por IA en la interacción.

Esto afecta a sistemas de selección de personal, cribado de candidaturas, evaluación educativa, asistencia judicial, gestión de infraestructuras críticas, aplicaciones biométricas, decisiones migratorias y modelos financieros.

La ley del Gobierno español vincula además estos casos a consecuencias materiales sobre personas concretas: una ayuda pública mal concedida, un rechazo educativo sin revisión, una decisión de acceso al empleo que arrastra sesgos históricos o una resolución sanitaria que no se apoya en supervisión humana adecuada. De este modo, el proyecto convierte la noción de “alto riesgo” en una categoría híbrida, técnico-jurídica y política a la vez: no importa solo el sistema, sino el daño que puede producir en una vida cotidiana regulada cada vez más por modelos automatizados.

Transparencia y derechos digitales

Así mismo, el proyecto exige que quien difunda una imagen, audio o vídeo que simule a una persona real indique que es ficticio antes de la primera exposición. Eso significa que la obligación de informar no recae solo en quien crea el contenido, sino también en quien lo pone en circulación.

Es una extensión que obliga a plataformas, medios, agregadores y servicios digitales a repensar sus procedimientos editoriales y de moderación y amplía el perímetro clásico de responsabilidad legal, en uno de los extremos que más han criticado los principales actores del sector.

Además, la ley incorpora un derecho relevante para el ciudadano: cuando una decisión importante haya sido generada por IA (una concesión de ayuda, una decisión médica, una resolución administrativa) deberá informarse al afectado. No en vano, la norma pretende que el ciudadano deje de ser un sujeto pasivo del algoritmo y pase a tener capacidad de identificarlo, cuestionarlo y, en su caso, reclamar.

Desde el Gobierno defienden que no basta con que un sistema sea técnicamente correcto; también debe ser comprensible para quien lo usa, lo padece o lo supervisa. De ahí la insistencia en instrucciones claras, prospectos digitales y advertencias visibles. Un intento del Ejecutivo para, en definitiva, que la inteligencia artificial no opere como una caja negra funcionalmente útil pero democráticamente opaca.

El régimen sancionador

La sanción es la gran palanca disuasoria del proyecto. La ley calca la disposición europea al respecto, clasificando las infracciones en muy graves, graves y leves, y fija multas que pueden llegar hasta los 35 millones de euros o el 7% del volumen de negocio en los casos más graves, mientras que las leves pueden sancionarse con hasta 500.000 euros o el 0,5% de la facturación.

Desde el Ejecutivo aclaran que habrá un cierto margen de flexibilidad para la autoridad competente, con posibles modulaciones según la gravedad, la intencionalidad o la reincidencia (que será penalizada como agravante, aunque considerándose como parte de una misma incidencia y con un tope máximo de 35 millones de euros), e incluso incorporando mecanismos de corrección frente a penalización pura, como la reducción por pronto pago o por adopción temprana de medidas correctoras. También se introduce un tratamiento específico para pymes y startups, para evitar que el régimen de cumplimiento castigue de forma desproporcionada a los actores más pequeños.

El rol de la AESIA

La gobernanza del sistema descansa sobre una combinación de autoridad central y autoridades sectoriales. La Agencia Española de Supervisión de la Inteligencia Artificial se convierte en el eje coordinador de la supervisión de la IA en España, pero no actúa sola. Para los sistemas ya regulados por normas de producto (maquinaria, juguetes, vehículos o productos sanitarios) se mantienen las autoridades notificantes y de vigilancia del mercado ya existentes. Para el resto, la AESIA asume el liderazgo, junto con la AEPD y el CGPJ en función del ámbito material.

La nota oficial añade además la participación del Banco de España, la CNMV y la Dirección General de Seguros y Fondos de Pensiones en los sectores financiero y asegurador.

La Administración, el inventario y el delegado de IA

La parte más singular del texto es la que afecta al sector público estatal. A diferencia del régimen privado, aquí la norma no incorpora sanciones como tal. Es, quizás, uno de los puntos más polémicos del proyecto de ley, en tanto que un uso ilegal de la IA en la Administración tan sólo acarreará "apercibimientos y medidas disciplinarias" que, defienden desde el Ejecutivo, "son más eficaces para asegurar el cumplimiento" que las multas que sí imponen al sector privado.

La premisa de la que parten en Moncloa es evitar que esos usos ocurran siquiera. Para ello, el proyecto de ley introduce un inventario de sistemas de IA utilizados en procedimientos administrativos, no solo para los de alto riesgo, sino para el conjunto de los usos públicos. Además, crea la figura del delegado de IA, encargado de coordinar la aplicación de la norma, asesorar en contratación pública, impulsar políticas internas, velar por el cumplimiento técnico-jurídico y promover la formación de empleados públicos.

Qué cambia respecto al AI Act

La ley española no rompe con el AI Act, pero sí lo concreta y, en algunos puntos, lo empuja un poco más. Mantiene la clasificación por riesgos, las obligaciones para alto riesgo, la transparencia de ciertos sistemas y la lógica de gobernanza compartida. Pero añade elementos propios: la prohibición expresa de los deepfakes sexuales (a la espera de incorporarse también a la norma europea), la organización detallada del sector público estatal, el inventario de sistemas de IA en la Administración, la figura del delegado de IA y la distribución fina de autoridades por sectores.

El punto más delicado es el trato al sector público. Mientras el AI Act no impide que los Estados diseñen su propio sistema sancionador, la ley española opta por dejar a las administraciones fuera de las multas económicas y sustituirlas por apercibimientos y medidas correctoras. Ese movimiento no contradice directamente el reglamento europeo, pero sí marca una diferencia política y simbólica de enorme alcance. A efectos prácticos, la ley endurece el control sobre empresas y operadores privados, pero rebaja la presión sobre el propio Estado.

Apoyo condicionado desde las patronales

Las reacciones del sector digital no han tardado en producirse. Desde la patronal AMETIC valoran positivamente la aprobación del proyecto y lo considera un paso relevante hacia un marco normativo que permita desplegar la IA con garantías. Sostienen a DISRUPTORES - EL ESPAÑOL que la inteligencia artificial es una palanca esencial para la transformación del tejido productivo, y de ahí la regulación debe equilibrar protección de derechos e impulso decidido a la innovación.

AMETIC insiste, eso sí y como condicionante inequívoco, en la certidumbre jurídica y la estabilidad regulatoria como condiciones imprescindibles para invertir y adoptar IA. Piden para ello que, más allá de leyes y documentos varios, lo que haya sean "marcos claros, predecibles y alineados con Europa" porque, advierten, la coordinación con el Reglamento Europeo de IA será determinante para evitar fragmentaciones que penalicen al mercado español.

A su vez, fuentes de Adigital valoran igualmente bien que el Consejo de Ministros haya presentado esta ley como ley orgánica, dado que afecta a derechos fundamentales y requiere las máximas garantías.

Desde la asociación defienden avanzar hacia un marco armonizado a nivel comunitario por lo que es importante que el texto mantenga coherencia para facilitar un desarrollo responsable de la IA. "Por ello, vemos muy positiva la incorporación de un sandbox regulatorio, una herramienta innovadora que puede mejorar la adopción segura de estas tecnologías", indican a este medio.

Qué pasará ahora

El proyecto entra en el Congreso con margen para enmiendas, ajustes técnicos y reequilibrios políticos. Ahí se verá si la exención sancionadora del sector público se mantiene intacta, si se precisa mejor la figura del delegado de IA, si se refuerzan o suavizan algunas obligaciones de transparencia y si las sanciones se afinan para no generar fricción excesiva sobre pymes y startups.

Al afectar a derechos fundamentales, este proyecto tiene rango de ley orgánica, con lo que la dificultad para conseguir mayorías que garanticen su aprobación se antoja mayúscula. Aún así, desde el Gobierno se muestran confiados en que pueda adoptarse un acuerdo "dado el consenso mayoritario" alrededor de este tema en la opinión pública.

Y si lograr un acuerdo parlamentario es complejo, hacerlo en tiempo récord se antoja harto complicado. El Gobierno se ha dado de plazo hasta agosto, cuando entraría en vigor el grueso del AI Act, para tener aprobada la ley patria sobre estos menesteres. Esto es, en poco más de dos meses....