La inteligencia artificial ha dejado de ser una promesa tecnológica para convertirse en una herramienta diaria en despachos profesionales, comercios, agencias, clínicas, asesorías, inmobiliarias, talleres, empresas industriales y negocios digitales. Se usa para redactar correos, atender clientes, clasificar currículos, generar imágenes, analizar datos, automatizar presupuestos o responder consultas por WhatsApp. Ahora, el Gobierno quiere que esa adopción avance con reglas claras.
El Consejo de Ministros aprobó el 26 de mayo de 2026 el proyecto de ley para garantizar una supervisión humana y un uso confiable de la inteligencia artificial en España. La norma no crea un marco aislado, sino que adapta la legislación española al Reglamento Europeo de Inteligencia Artificial, que entró en vigor el 1 de agosto de 2024 y clasifica los sistemas de IA según el nivel de riesgo que puedan suponer para la seguridad, la salud o los derechos fundamentales. (La Moncloa)
La filosofía de la regulación es sencilla: no todas las aplicaciones de IA son iguales. No tiene el mismo riesgo usar un asistente para resumir reuniones que emplear un algoritmo para decidir si una persona accede a un empleo, un crédito, una plaza educativa o un servicio esencial. Por eso, el marco europeo distingue entre usos prohibidos, sistemas de alto riesgo, obligaciones de transparencia y aplicaciones de riesgo mínimo o nulo. La Comisión Europea recuerda que la mayoría de sistemas de IA usados actualmente en la UE se consideran de riesgo mínimo o nulo, pero establece requisitos más estrictos para usos sensibles.
Una ley española para aterrizar el reglamento europeo
El proyecto del Gobierno identifica los organismos que supervisarán la aplicación de la normativa en España y establece un régimen sancionador. La Agencia Española de Supervisión de la Inteligencia Artificial, con sede en A Coruña, será uno de los organismos clave, junto a otras autoridades como la Agencia Española de Protección de Datos, el Banco de España o el Consejo General del Poder Judicial, dependiendo del ámbito afectado.
El Gobierno también incorpora reglas para fomentar un uso responsable de la IA en el sector público estatal. Esto es relevante para empresas proveedoras de la Administración, consultoras tecnológicas, desarrolladores de software, compañías de servicios y autónomos que trabajen con organismos públicos, ya que los criterios de transparencia, control humano y gestión de riesgos tenderán a trasladarse a pliegos, contratos y procesos de compra pública.
La norma española llega, además, en un contexto europeo de ajustes. Bruselas ha planteado medidas de simplificación para reducir cargas administrativas y aclarar calendarios, especialmente en sistemas de alto riesgo. Según la Comisión Europea, las normas generales de transparencia entrarán en vigor en agosto de 2026, mientras que algunas obligaciones para sistemas de alto riesgo se aplicarán más tarde, con fechas que pueden llegar a diciembre de 2027 o agosto de 2028, según el tipo de sistema.
Qué usos quedan bajo mayor vigilancia
Para pymes y autónomos, la pregunta clave no es “¿puedo usar IA?”, sino “¿en qué parte de mi negocio la estoy usando?”. La respuesta cambia mucho según el caso.
Un pequeño comercio que utiliza IA para redactar textos promocionales, preparar publicaciones en redes sociales o generar ideas de campañas tendrá, en principio, un nivel de exigencia mucho menor que una empresa que use IA para filtrar candidatos en procesos de selección. La Comisión Europea incluye entre los usos de alto riesgo las herramientas de IA aplicadas al empleo, la gestión de trabajadores y el acceso al trabajo por cuenta propia, como los programas de clasificación de currículos.
También se consideran especialmente sensibles los sistemas utilizados en educación, infraestructuras críticas, acceso a servicios esenciales, evaluación crediticia, identificación biométrica, justicia, migración o fuerzas de seguridad. En estos casos, la empresa que desarrolla, vende o despliega el sistema deberá prestar atención a requisitos como gestión de riesgos, calidad de los datos, documentación técnica, registro de actividad, transparencia, supervisión humana, precisión, robustez y ciberseguridad.
La ley también pone el foco en los contenidos generados por IA. Los usuarios deberán saber cuándo interactúan con una máquina, por ejemplo en el caso de un chatbot, y determinados contenidos sintéticos, como deepfakes o textos generados para informar al público sobre asuntos de interés público, deberán estar identificados de forma clara.
Impacto práctico en pymes: menos improvisación y más trazabilidad
Para una pyme, el cambio principal será cultural y organizativo. Hasta ahora muchas empresas han incorporado herramientas de IA de manera informal: una cuenta de ChatGPT en el departamento comercial, un generador de imágenes en marketing, una automatización en atención al cliente o un plugin de IA en el CRM. La nueva regulación empuja a documentar qué herramientas se usan, con qué finalidad y qué datos se introducen en ellas.
Esto no significa que cada pequeño negocio deba crear un departamento jurídico o tecnológico. Pero sí conviene establecer unas reglas básicas: no introducir datos personales o confidenciales en herramientas no controladas, avisar al cliente cuando interactúa con un bot, revisar los resultados antes de tomar decisiones importantes y conservar evidencia de cómo se utiliza la tecnología en procesos sensibles.
En atención al cliente, por ejemplo, una pyme podrá seguir usando chatbots, pero tendrá que evitar que el cliente crea que está hablando con una persona si realmente interactúa con una máquina. En marketing, podrá generar imágenes, textos o vídeos, pero deberá prestar atención al etiquetado cuando el contenido pueda inducir a error. En recursos humanos, deberá extremar la cautela si usa IA para ordenar candidatos, puntuar perfiles o automatizar descartes.
Autónomos: obligaciones proporcionales, pero no inexistentes
Los autónomos también quedan dentro del nuevo ecosistema regulatorio cuando usan IA en su actividad profesional. Un diseñador que genere imágenes, un asesor que automatice informes, un abogado que use IA para preparar borradores, un consultor que analice datos de clientes o un agente inmobiliario que utilice asistentes conversacionales deberán preguntarse qué tipo de datos manejan y qué impacto puede tener la herramienta sobre terceros.
La mayoría de usos cotidianos serán de bajo riesgo, pero eso no elimina obligaciones básicas de diligencia. En sectores donde ya existen deberes de confidencialidad, protección de datos o secreto profesional, la IA no rebaja esas exigencias; al contrario, puede hacerlas más visibles. El profesional seguirá siendo responsable de lo que entrega al cliente, aunque el primer borrador lo haya generado una herramienta automatizada.
Sanciones y reputación: el nuevo riesgo empresarial
El régimen sancionador será uno de los elementos más observados de la norma española. El proyecto de ley establece el marco nacional de supervisión y sanciones, alineado con el Reglamento Europeo de IA. En la práctica, esto introduce un nuevo riesgo de cumplimiento para las empresas, especialmente para aquellas que desarrollen soluciones de IA, las integren en productos o las usen en procesos con impacto sobre personas.
Pero el riesgo no será solo económico. Una empresa que utilice IA para discriminar candidatos, manipular consumidores, generar contenidos engañosos o tomar decisiones opacas puede enfrentarse también a pérdida de confianza, reclamaciones de clientes, conflictos laborales y daño reputacional.
La otra cara de la regulación es la oportunidad. Para muchas pymes tecnológicas, agencias, consultoras, despachos y proveedores de software, cumplir bien puede convertirse en argumento comercial. Las empresas que puedan demostrar que sus sistemas son auditables, transparentes, seguros y supervisados por personas tendrán ventaja frente a soluciones improvisadas o poco claras.
También se abre espacio para nuevos servicios: auditorías de IA, formación para empleados, consultoría de cumplimiento, adaptación de chatbots, revisión de procesos automatizados, documentación de sistemas, ciberseguridad aplicada a IA y gobierno del dato. La Comisión Europea ha impulsado instrumentos de apoyo como el Pacto sobre la IA, servicios de asistencia y guías para facilitar la aplicación del marco regulatorio.
