Aprobado el proyecto de ley español para la IA, las empresas se adaptan a su control

El pasado martes 26 de mayo se aprobó en el Consejo de Ministros el proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial.

Mientras tanto, las corporaciones van adaptándose a la asimilación de la correcta utilización de esta tecnología, pero a un ritmo inferior al propio uso de la misma.

La inteligencia artificial ya se utiliza de forma cotidiana en empresas de todos los tamaños, muchas veces sin una estrategia formal, sin protocolos internos y sin una supervisión clara. Herramientas como ChatGPT, Copilot, Gemini o Claude han pasado de ser soluciones experimentales a integrarse en procesos de recursos humanos, atención al cliente, finanzas, marketing, análisis o productividad.

Sin embargo, esta adopción acelerada se produce en un momento clave: el Reglamento Europeo de Inteligencia Artificial, conocido como AI Act, ya está desplegando sus obligaciones de forma progresiva y contempla sanciones que pueden alcanzar los 35 millones de euros o el 7% de la facturación anual mundial de una empresa. El Reglamento entró en vigor el 1 de agosto de 2024 y desde el 2 de febrero de 2025 ya se aplican las primeras obligaciones, incluidas las relativas a prácticas prohibidas y alfabetización en IA.

A esto se suma una doble actualización reciente del marco: el Acuerdo Omnibus Digital, cerrado en Bruselas el 7 de mayo de 2026, que reajusta el calendario europeo, y el Proyecto de Ley español de gobernanza de la IA aprobado por el Consejo de Ministros este 26 de mayo de 2026.

Desde CenteIA Consulting, división especializada en transformación tecnológica y gobernanza de inteligencia artificial para empresas, alertan de que muchas organizaciones han incorporado IA antes de establecer una política interna, formar a sus equipos o identificar qué sistemas se están utilizando realmente dentro de la compañía. "La IA ha entrado en muchas empresas por la puerta de atrás: primero como herramienta de productividad, después como hábito diario y ahora como riesgo de gobernanza", explica Juan Luis Pascual, CEO de CenteIA Consulting.

El AI Act deja de ser una conversación futura

La situación cobra especial relevancia en un momento en el que el Reglamento Europeo de Inteligencia Artificial (AI Act), la primera normativa integral de la Unión Europea para regular el desarrollo y uso de sistemas de inteligencia artificial en función de su nivel de riesgo, deja de ser un marco futuro para convertirse en una realidad regulatoria con efectos progresivos ya en marcha. La norma establece obligaciones tanto para las empresas que desarrollan sistemas de IA como para aquellas que utilizan herramientas de terceros dentro de sus procesos.

El calendario ya está en marcha. El AI Act entró en vigor el 1 de agosto de 2024. Desde el 2 de febrero de 2025 se aplican las primeras disposiciones, incluidas las relativas a determinados usos prohibidos y la obligación de alfabetización en IA; y el pasado 2 de agosto de 2025 comenzaron a desplegarse nuevas obligaciones vinculadas a gobernanza y modelos de propósito general.

Este pasado 7 de mayo de 2026, en el marco del Acuerdo Omnibus Digital, el Parlamento Europeo y el Consejo cerraron un acuerdo político provisional que reajusta el calendario: las obligaciones para sistemas de alto riesgo del Anexo III, que debían aplicarse desde el 2 de agosto de 2026, se aplazan al 2 de diciembre de 2027, y las del Anexo I se trasladan al 2 de agosto de 2028. El acuerdo introduce además una prohibición específica para los sistemas de generación de imágenes íntimas no consentidas. Sin embargo, este reajuste no afecta a las obligaciones más relevantes para la mayoría de empresas: la alfabetización en IA, las prácticas prohibidas y el régimen sancionador siguen plenamente exigibles.

La gran fecha para muchas empresas será justo un año después: este próximo 2 de agosto de 2026, cuando comenzará a aplicarse buena parte del Reglamento y sus obligaciones seguirán desplegándose progresivamente en determinados ámbitos de alto riesgo.

El nuevo marco regulatorio establece un sistema basado en niveles de riesgo y contempla sanciones relevantes para los incumplimientos. Las infracciones relacionadas con prácticas prohibidas pueden alcanzar hasta los 35 millones de euros o el 7% de la facturación anual mundial de cada empresa; otros incumplimientos relevantes pueden llegar hasta los 15 millones de euros o el 3%; y facilitar información incorrecta o engañosa a las autoridades puede suponer multas de hasta 7,5 millones de euros o el 1% del volumen de negocio.

Desde la compañía, con presencia en Europa y LATAM en el ámbito de la formación en IA, señalan que el principal problema no es la tecnología en sí, sino la velocidad con la que se está desplegando dentro de las organizaciones. Según la experiencia de CenteIA, muchas organizaciones ya están utilizando sistemas de IA en tareas que afectan directamente a personas o decisiones empresariales relevantes: desde procesos automatizados de selección de personal hasta análisis financieros o herramientas de evaluación y scoring. "Estamos viendo compañías que han incorporado seis o siete herramientas de IA en menos de un año y cuando preguntamos quién es el responsable interno, nadie levanta la mano. La velocidad de adopción ha superado claramente la capacidad de gestión interna", afirma Pascual.

La consecuencia, señalan desde la consultora, es una combinación creciente de riesgos: posibles fugas de información, automatización sin supervisión humana, incumplimientos regulatorios y exposición reputacional.

España aprueba su proyecto de ley nacional de gobernanza de la IA

A escala nacional, el Consejo de Ministros aprobó este mismo pasado 26 de mayo de 2026 el Proyecto de Ley para el buen uso y la gobernanza de la Inteligencia Artificial, que inicia ahora su tramitación parlamentaria. El texto adapta al ordenamiento español el Reglamento europeo, refuerza la supervisión humana sobre sistemas de alto riesgo, incorpora la prohibición específica de deepfakes sexuales y mantiene un régimen sancionador alineado con la norma europea, con multas que pueden alcanzar los 35 millones de euros o el 7% del volumen de negocio mundial, la cifra que resulte mayor.

"Lo que esta semana hemos visto en España y lo que vimos a comienzos de mayo en Bruselas con el Omnibus Digital van en la misma dirección: el marco se consolida y las empresas necesitan saber con precisión qué obligaciones les aplican y cuándo. La prórroga de algunos plazos no es una pausa, es una ventana para ordenar las cosas bien", señala Pascual.

Formación y gobernanza: las nuevas prioridades

Para CenteIA, uno de los puntos más desconocidos del AI Act es la obligación de alfabetización en IA, ya aplicable desde febrero de 2025. Esta obligación implica que las organizaciones deben procurar que las personas que utilizan sistemas de IA dispongan de un nivel suficiente de conocimiento, formación y comprensión de los riesgos asociados, teniendo en cuenta su función y contexto de uso.

"Muchas empresas creen que formar en IA significa enseñar a usar mejor ChatGPT. Pero la alfabetización en IA va más allá: implica entender qué datos no deben introducirse, cuándo debe intervenir una persona, qué usos pueden generar sesgos y qué responsabilidades asume la organización", señala Pascual.

La entrada progresiva de nuevas obligaciones y el papel de la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) añaden presión a un escenario donde gran parte del tejido empresarial todavía no ha iniciado procesos de evaluación interna. Para la consultora, las compañías que se adapten antes podrán convertir el cumplimiento en una ventaja competitiva y responder mejor a las nuevas exigencias del mercado.

Empresas de todos los tamaños empiezan a prepararse

Este nuevo escenario regulatorio ya está teniendo un efecto directo en el mercado. A medida que aumenta la presencia de la inteligencia artificial en procesos críticos, cada vez más organizaciones comienzan a revisar qué sistemas utilizan realmente, cómo se están aplicando y cuál es su nivel de exposición regulatoria.

Desde CenteIA aseguran que el interés ya no se limita a grandes corporaciones tecnológicas.

"El error es pensar que el AI Act solo afecta a quien desarrolla inteligencia artificial. Si una empresa utiliza IA en procesos internos o en decisiones que afectan a personas, también debe preguntarse qué obligaciones tiene", explica Pascual.

Del uso informal al uso gobernado

Según CenteIA, el reto ya no es frenar la adopción de la inteligencia artificial, sino pasar de un uso informal a un uso gobernado. Esto implica identificar qué herramientas se utilizan, en qué departamentos, con qué datos y bajo qué criterios de supervisión. "La pregunta ya no es si una empresa utiliza IA. La pregunta es si sabe quién la usa, para qué, con qué datos y con qué supervisión", afirma Pascual.

Pese a ello, desde CenteIA consideran que las empresas todavía están a tiempo de prepararse. "Que el AI Act tenga un calendario progresivo no significa que las empresas puedan esperar. Al contrario: es probablemente la última ventana realista para ordenar el uso de la inteligencia artificial antes de que las obligaciones sean plenamente exigibles. El debate ya no es si la IA va a formar parte de las decisiones críticas de una empresa, sino cuánto control tendrá la organización sobre ella", concluye Juan Luis Pascual, CEO de CenteIA Consulting.