Facebook-f Linkedin-in
CONTACTO

Ley de IA en España. ¿Qué debe hacer tu empresa para cumplirla?

La nueva Ley de IA española adapta el Reglamento Europeo de Inteligencia Artificial (AI Act) al ordenamiento nacional ¿Quieres saber cómo afectan estas normativas a tu empresa de manera concreta?
Facebook
X
LinkedIn
Índice de contenidos

El Consejo de Ministros acaba de aprobar el proyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial, con sanciones que pueden alcanzar los 35 millones de euros o el 7% de la facturación mundial de una empresa si llegara a no cumplirse. Pero este comienzo, aunque resulta llamativo, no cuenta la historia completa.

La Ley de IA española no llega sola. Es la última pieza de un paquete normativo europeo que incluye el RGPD, la Ley de Servicios Digitales, el Reglamento de Datos, la directiva de ciberseguridad NIS2 y el reglamento DORA para el sector financiero. Seis marcos regulatorios cuyos plazos de cumplimiento convergen entre 2025 y 2026, y cuyas obligaciones se solapan de formas que la mayoría de empresarios no tiene en el radar.

Si diriges una PYME en Canarias , o en cualquier punto de España, y tu equipo ya usa ChatGPT, Claude, Copilot o cualquier herramienta de IA generativa, tienes obligaciones regulatorias reales desde febrero de 2025. Y el reloj corre hacia agosto de 2026, cuando el grueso de las exigencias entre en plena aplicación.

La nueva Ley de IA española adapta el Reglamento Europeo de Inteligencia Artificial (AI Act) al ordenamiento nacional, establece un régimen sancionador propio y atribuye competencias de supervisión a la AESIA, la AEPD, el CGPJ, el Banco de España y la CNMV, cada uno en su ámbito. Para una empresa que no pertenezca al sector financiero ni gestione infraestructuras críticas, las obligaciones más inmediatas giran en torno a tres ejes:

  • saber qué sistemas de IA se usan internamente,
  • documentar cómo se supervisan,
  • etiquetar cualquier contenido generado que pueda confundirse con la realidad.

 

PUNTOS CLAVE DEL ARTÍCULO
  • Las multas del AI Act se acumulan con las del RGPD. Un solo incumplimiento puede activar dos sanciones simultáneas. Si tu empresa usa IA para procesar datos de clientes o empleados, la evaluación de impacto del RGPD y la del AI Act se solapan. No preparar ambas duplica el riesgo real. La AEPD ya ha abierto investigaciones por uso indebido de IA con datos personales.
  • La obligación de alfabetización en IA aplica a toda empresa que use herramientas como ChatGPT o Claude, sin umbral mínimo de facturación. Desde febrero de 2025 es exigible documentar qué sistemas de IA se usan, para qué y quién los supervisa. El artículo 4 del AI Act no distingue entre una empresa de 2 personas y una de 200.000.
  • La Ley de IA no llega sola: converge con el RGPD, el Data Act, la NIS2 y la DSA en un paquete que exige una estrategia de cumplimiento integrada. Una auditoría coordinada permite cubrir los solapamientos y reduce la carga administrativa real.
  • La AESIA ya está operativa y ha abierto investigaciones, el enforcement no esperará a que la ley española complete su tramitación parlamentaria. El AI Act europeo es de aplicación directa. La AESIA, con sede en A Coruña y operativa desde 2023, ya tiene competencias para supervisar, investigar e imponer sanciones.

Qué aprobó el Gobierno y qué falta por recorrer.

El 26 de mayo de 2026, el Consejo de Ministros aprobó el proyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial. Es un proyecto de ley, no una ley en vigor: ahora inicia su tramitación parlamentaria en las Cortes, donde puede sufrir modificaciones antes de su aprobación definitiva.

Pero, y esto es lo que muchos empresarios no tienen claro, el Reglamento Europeo de IA (AI Act) no necesita esta ley nacional para ser exigible. Es un reglamento de aplicación directa, igual que el RGPD en su día. Sus prohibiciones de riesgo inaceptable ya están vigentes desde febrero de 2025. La obligación de alfabetización en IA (artículo 4) también. Y el grueso de las obligaciones para sistemas de alto riesgo entra en plena aplicación el 2 de agosto de 2026, con ley española o sin ella.

Lo que la ley española añade es el marco nacional de supervisión: quién vigila, quién sanciona, cómo se articulan las competencias entre la AESIA y otros organismos, y un régimen sancionador detallado con tramos específicos.

Hay un matiz que ha pasado desapercibido: la Administración Pública queda exenta de las multas económicas en el texto aprobado. Las empresas privadas, no.

Para una PYME, la consecuencia práctica es clara: el marco sancionador aplica con toda su fuerza al sector privado, y no hay periodo de gracia.

El paquete normativo europeo: seis marcos que convergen en 2025-2026.

Analizar la Ley de IA de forma aislada es un error estratégico. La Unión Europea ha construido un ecosistema regulatorio digital en el que cada pieza se conecta con las demás. Para un empresario o empresaria, lo relevante no es memorizar cada reglamento, sino entender dónde se solapan y cómo afectan a su operativa real.

El paquete normativo digital europeo: 6 marcos que convergen en tu empresa
Plazos de cumplimiento, sanciones máximas y organismo supervisor en España para cada normativa.

Normativa A quién aplica Plazo clave Multa máxima Supervisor
AI Act Toda empresa que use o despliegue IA Ago 2026 35 M€ / 7% AESIA
RGPD Toda empresa que trate datos personales Ya vigente 20 M€ / 4% AEPD
DSA Plataformas y servicios digitales Ya vigente 6% facturación CNMC
Data Act Fabricantes y gestores de productos IoT Sep 2026 20 M€ / 4% Por designar
NIS2 Empresas >50 emp. o >10 M€ en sectores críticos En transposición 10 M€ / 2% INCIBE + sectoriales
DORA Entidades financieras y proveedores TIC críticos Ya vigente Según sector BdE / CNMV

Las multas se expresan como cuantía fija o porcentaje de facturación mundial, lo que sea mayor. Para pymes, se aplica el menor de ambos. Las sanciones del AI Act y el RGPD son acumulativas entre sí.

AI Act + RGPD: la doble exposición

El AI Act regula los sistemas de IA. El RGPD regula los datos personales que esos sistemas procesan. Si tu empresa usa un sistema de IA que trata datos de clientes o empleados, estás sujeto a ambos marcos simultáneamente.

La consecuencia más directa: si ese sistema falla o se usa indebidamente, puedes enfrentarte a una sanción del AI Act más otra del RGPD. No son excluyentes. La AEPD ya ha abierto investigaciones usando el RGPD como palanca para supervisar el uso de IA.

El solapamiento también genera una oportunidad de eficiencia: la evaluación de impacto en protección de datos (EIPD) del RGPD y la evaluación de conformidad del AI Act comparten gran parte de su estructura. Si se abordan de forma coordinada, el coste de cumplimiento baja significativamente.

TE PUEDE INTERESAR | Actualiza la estrategia de cumplimiento y protección de datos en tu ecosistema laboral.

DSA: transparencia en servicios digitales

La Ley de Servicios Digitales (Reglamento UE 2022/2065) está en plena aplicación desde febrero de 2024. Para la mayoría de pymes, su impacto directo es limitado. Pero si tu empresa opera un marketplace o un servicio digital con usuarios europeos, las obligaciones de transparencia aplican.

Data Act: acceso a datos de productos conectados

El Reglamento de Datos (UE 2023/2854) está en aplicación general desde septiembre de 2025, con obligaciones de «acceso por defecto» desde septiembre de 2026. Las multas pueden alcanzar los 20 millones de euros o el 4% de la facturación global.

NIS2: ciberseguridad con responsabilidad personal

La Directiva NIS2 (UE 2022/2555) afecta a empresas con más de 50 empleados o más de 10 millones de euros de facturación en sectores críticos. NIS2 introduce la responsabilidad personal del CEO y del consejo de administración. Las sanciones pueden alcanzar los 10 millones de euros o el 2% de la facturación mundial.

DORA: resiliencia digital para el sector financiero

El Reglamento DORA (UE 2022/2554) es específico del sector financiero y está en aplicación desde enero de 2025. Si prestas servicios tecnológicos a entidades financieras, puedes heredar obligaciones relevantes.

El mapa completo: quién supervisa qué

La AESIA supervisa el AI Act. La AEPD supervisa el RGPD. La CNMC coordina la DSA. El Banco de España y la CNMV supervisan DORA. Para NIS2, el INCIBE y autoridades sectoriales. Una estrategia de cumplimiento integrada es la forma más eficiente de gestionar esta realidad.

Obligaciones reales para una PYME que usa IA generativa.

Después de desgranar el panorama y la fotografía legal a la que nos enfrentamos, vamos a lo concreto. Si tu empresa es una PYME española que usa herramientas de IA generativa, estas son las obligaciones que te aplican.

Alfabetización en IA (ya exigible)

El artículo 4 del AI Act establece que cualquier empresa que use o despliegue sistemas de IA debe garantizar que su personal tenga un nivel suficiente de alfabetización en IA. Es una obligación exigible desde febrero de 2025, sin umbral mínimo.

¿Qué implica en la práctica? Documentar qué herramientas de IA se usan en la empresa, para qué procesos, quién las utiliza y con qué nivel de supervisión. Y formar al equipo en los riesgos y las buenas prácticas de uso.

Inventario de sistemas de IA

Antes de cumplir cualquier otra obligación, necesitas saber qué tienes. Un inventario de sistemas de IA que recoja: qué herramientas se usan (incluidas las que los empleados usan por su cuenta), qué datos procesan, qué decisiones apoyan y quién es responsable de supervisarlas.

Clasificación de riesgo

El AI Act clasifica los sistemas en cuatro niveles: riesgo inaceptable (prohibido), alto riesgo, riesgo limitado y riesgo mínimo. La mayoría de usos cotidianos de IA generativa en una PYME caen en riesgo mínimo o limitado. Pero si usas IA para selección de personal, evaluación crediticia o decisiones automatizadas sobre empleados, estás en territorio de alto riesgo.

Política interna de uso de IA

El paso más inmediato y de menor coste: redactar y aprobar una política interna que establezca qué herramientas están autorizadas, qué datos pueden procesarse con ellas, quién autoriza nuevos usos y cómo se documentan.

Etiquetado de contenidos: qué exige la norma y qué no.

El AI Act obliga a etiquetar contenido generado por IA que se asemeje de forma notable a personas, lugares u objetos reales. Las imágenes generadas deben incorporar marcas de agua con las siglas «IA».

Lo que no exige la norma: etiquetar artículos redactados con asistencia de IA, infografías de diseño editorial, presentaciones o documentos internos. El criterio es si el contenido puede confundirse con una captura directa de la realidad.

Sanciones: cómo se calculan y por qué se acumulan.

Régimen sancionador: cuánto cuesta no cumplir
Escala de multas del AI Act para empresas privadas. Para pymes, se aplica el menor entre la cuantía fija y el porcentaje de facturación.

Muy grave — Prácticas prohibidas
Deepfakes sexuales, técnicas subliminales, puntuación social
35 M€ o 7% facturación

Muy grave — Sistemas de alto riesgo
Scoring, selección de personal, decisiones automatizadas
15 M€ o 3%

Grave
Incumplimientos de transparencia, etiquetado, documentación
7,5 M€

Leve
Faltas de información, incumplimientos menores
500.000 €
Desde 6.000 €

 
Las sanciones del AI Act y del RGPD son acumulativas.
Un sistema de IA que vulnere ambas normativas puede ser sancionado por la AESIA y por la AEPD de forma independiente. El coste real de un incumplimiento no es una multa: son dos.

Para pymes, la sanción se calcula como el menor entre la cuantía fija y el porcentaje de facturación. Un 7% de 2 millones de facturación son 140.000 euros, una cifra que puede comprometer la viabilidad de una PYME.

Y lo más relevante: estas sanciones no son excluyentes con las de otras normativas. Un sistema de IA que vulnere el AI Act y el RGPD puede ser sancionado por ambos marcos. El coste real de un incumplimiento no es una multa: son dos.

TE PUEDE INTERESAR | Conoce las implicaciones legales de la empresa digital

Hoja de ruta práctica: tres meses para estar preparado.

La buena noticia: para la mayoría de pymes, el cumplimiento básico es alcanzable en un plazo razonable si se estructura bien.

Hoja de ruta: 3 meses para cumplir con el AI Act
Plan de trabajo orientativo para una PYME que usa IA generativa y necesita estar preparada antes de agosto de 2026.

1

Mes 1
Inventario y diagnóstico
Mapear todos los sistemas de IA en uso (incluido shadow AI). Clasificar cada uno por nivel de riesgo. Identificar cuáles tratan datos personales y activan obligaciones del RGPD.
Entregable: Inventario completo con clasificación de riesgo por sistema.

2

Mes 2
Documentación y política interna
Redactar la política de uso de IA: herramientas autorizadas, datos permitidos, responsables, flujo de aprobación. Si hay sistemas de alto riesgo, iniciar documentación técnica. Coordinar EIPD del RGPD con evaluación del AI Act.
Entregable: Política interna aprobada + evaluación de impacto coordinada (si aplica).

3

Mes 3
Formación y mecanismos de control
Implementar el programa de AI literacy para el equipo (documentado y específico por rol). Establecer supervisión humana donde se requiera. Definir proceso de revisión periódica del inventario y la política.
Entregable: Programa de formación documentado + mecanismo de revisión activo.

Esta hoja de ruta cubre las obligaciones básicas para pymes con uso de IA de riesgo mínimo o limitado. Empresas con sistemas de alto riesgo o en sectores regulados necesitan un plan de cumplimiento más complejo.

Esta hoja de ruta cubre las obligaciones básicas. Si tu empresa opera sistemas de alto riesgo o trabaja en sectores regulados, el plan será más complejo.

La convergencia del AI Act con el RGPD, el Data Act, la NIS2 y la DSA dibuja un panorama regulatorio en el que el cumplimiento aislado ya no funciona. Las empresas que aborden estas normativas de forma integrada ganarán una ventaja competitiva real.

TE PUEDE INTERESAR | Verifactu: Nueva normativa de facturación para autónomos y empresa

En BIPLAZA, llevamos años acompañando a empresarios canarios y peninsulares en la traducción de complejidad normativa a decisiones de negocio claras. La dimensión fiscal, laboral y de consultoría de estos cambios es terreno que conocemos bien; para la parte de compliance técnico en IA, trabajamos con colaboradores especializados de confianza. Si no sabes por dónde empezar, una primera conversación orientativa puede ahorrarte meses de incertidumbre.

¿Quieres saber cómo afectan estas normativas a tu empresa de manera concreta?

 

Cuenta con nuestro equipo de expertos

Solicita una reunión con nuestro equipo

Contactar

Preguntas Frecuentes (FAQs)

¿Mi empresa tiene obligaciones con el AI Act si solo usamos ChatGPT para redactar emails y borradores? Sí. El artículo 4 del AI Act aplica a cualquier empresa que use o despliegue sistemas de IA, sin umbral de facturación. La obligación mínima es documentar qué herramientas se usan, para qué, y garantizar formación básica del equipo.

¿Pueden multarme por el AI Act y por el RGPD a la vez por el mismo hecho? Sí. Son marcos regulatorios independientes. Ambos organismos (AESIA y AEPD) pueden aplicar sanciones de forma acumulativa. Una auditoría coordinada reduce significativamente el riesgo.

¿Tengo que etiquetar con marca de agua los artículos de mi blog si uso IA para redactar borradores? No. La obligación aplica a contenido que pueda confundirse con una captura directa de la realidad. Un artículo editorial revisado por humanos no entra en esa categoría.

¿Qué pasa si la ley española de IA no se aprueba antes de agosto de 2026? Las obligaciones del AI Act europeo entran en plena aplicación el 2 de agosto de 2026 independientemente de la tramitación parlamentaria española. Es un reglamento de aplicación directa.

Glosario de términos clave

  • AESIA: Agencia Española de Supervisión de la IA. Con sede en A Coruña, operativa desde 2023. Primer organismo de este tipo en la UE.
  • AI Act (Reglamento UE 2024/1689): Primer marco regulatorio integral de IA. Clasifica los sistemas en cuatro niveles de riesgo. Aplicación directa en toda la UE.
  • AI literacy: Obligación del artículo 4 del AI Act. Exige formación, documentación y supervisión del uso de IA en la organización.
  • Data Act (Reglamento UE 2023/2854): Regula el acceso equitativo a datos generados por productos conectados. Aplicación general desde septiembre 2025.
  • Deployer (desplegador): Cualquier empresa que utiliza un sistema de IA en su actividad profesional, aunque no lo haya desarrollado.
  • DORA (Reglamento UE 2022/2554): Resiliencia operativa digital para el sector financiero. Obliga a entidades financieras y sus proveedores TIC críticos.
  • EIPD: Evaluación de Impacto en Protección de Datos. Obligatoria bajo el RGPD cuando el tratamiento entraña alto riesgo. Se solapa con la evaluación del AI Act.
  • NIS2 (Directiva UE 2022/2555): Directiva de ciberseguridad. Aplica a empresas con más de 50 empleados o 10 M€ en sectores críticos. Introduce responsabilidad personal de directivos.

 

IMAGEN | Conny Schneider para Unsplash

Imagen de Miguel Velázquez

Miguel Velázquez

Área Fiscal
Etiquetas
Compartir
Facebook
X
LinkedIn

EXPERTOS EN FISCALIDAD CANARIA

Generando recomendaciones inteligentes para ti…

Más información
Recomendación personalizada con Hiper-IA
También te puede interesar
Contenido relacionado
Imagen aesthetic de varios cilindros unidos `para ilustrar el artículo Grupos de Empresas y ZEC en 2025: Estrategias Avanzadas de Consolidación Fiscal de BIPLAZA consultoría y aseoría de empresas en Canarias

Grupos de Empresas y ZEC. Estrategias avanzadas de Consolidación Fiscal.

Gestionar un grupo de empresas en Canarias requiere una arquitectura fiscal de alta precisión. Hacerlo desde la ZEC, requiere conocimiento. En este artículo hablamos sobre cómo la consolidación fiscal y la ZEC pueden fusionarse para crear el escudo fiscal definitivo para tu holding.
Imágenes de papeles arrugados para ilustrar el artículo sobre 7 desperdicios del Lean que frenan a tu empresa (y cómo eliminarlos con digitalización) del blog perspectiva de BIPLAZA, consultoría y asesoría de empresas en Canarias

7 desperdicios organizacionales que frenan a tu empresa (y cómo eliminarlos con digitalización).

La mayoría de proyectos de digitalización en PYMEs fracasan no por la tecnología, sino por el enfoque. Hablamos acerca de cómo optimizar tu estrategia gracias a la digitalización operativa.
Imagen de la bandera de la Unión Europea para el artículo: EU Inc. y el REF canario: una combinación que debes conocer de BIPLAZA, asesoría y consultaría de empresas en Canarias

EU Inc. y el REF canario: una combinación que debes conocer.

Si tu empresa opera o quieres que opere en Canarias analiza junto a nosotros el EU Inc., el nuevo régimen europeo que no elimina el REF. Y eso lo cambia todo para emprendedores y empresarios de las Islas.

Guía para comercializar en Canarias: claves fiscales, logísticas y estratégicas.

¿Estás pensando en vender productos o servicios en Canarias? Te explicamos los aspectos clave que debes considerar para comercializar en las islas y aprovechar al máximo un entorno fiscal y logístico único dentro de España y la Unión Europea.
Imagen de tres piezas de ajedrez para el artículo sobre resistencia al cambio dentro de las organizaciones de BIPLAZA consultoría y asesoría de empresas en Canarias

Poder Formal, Informal y de Valor: Claves  para hackear la resistencia al cambio en tu empresa.

Tu organización no es una estructura estática, sino un ecosistema vivo donde conviven tres gobiernos paralelos: el Poder Formal, el Poder Informal y el Poder de Valor. Un artículo con claves para gestionar la resistencia al cambio, mapeando las redes invisibles que realmente mueven tu negocio.
Imagen de una red natural de araña, para ilistrar el artículo Jerarquías vs. Redes. Rediseña tu organigrama empresarial para ser más ágil de BIPLAZA, asesoría y consultoria de empresas en Canarias

Jerarquías vs. Redes. Rediseña tu organigrama empresarial para ser más ágil.

El diseño organizativo de tu organigrama empresarial ya no es un ejercicio estético, ni estático. Si quieres operar de manera más ágil, revisa la estructura de tu empresa.
Perspectiva
Facebook-f Linkedin-in
CONTACTO