La ley de IA ya está aquí: así te afecta si tienes una pyme

El 26 de mayo de 2026 el Consejo de Ministros dio luz verde al Proyecto de Ley Orgánica para el buen uso y la gobernanza de la Inteligencia Artificial y lo mandó al Congreso. Varios medios titularon «España aprueba su ley de IA». No es del todo exacto, y la diferencia importa más de lo que parece.

Lo que de verdad se aprobó el 26 de mayo

Lo que se aprobó fue el paso de anteproyecto a proyecto de ley. Ahora empieza la tramitación parlamentaria, con margen para enmiendas, y al tratarse de una ley orgánica necesita mayoría absoluta en el Congreso. El texto se publicó en el Boletín Oficial del Congreso el 12 de junio. Todavía no está en el BOE. Todavía no obliga a nadie de forma directa.

El AI Act ya manda, apruebe España lo que apruebe

Dicho esto, sería un error leer esto como «no pasa nada hasta que se publique». El Reglamento europeo de IA, el AI Act, lleva en vigor desde agosto de 2024 y ya impone obligaciones reales, con independencia de que la ley española termine de aterrizarlo o no. Esta norma nacional lo que hace es definir quién vigila, quién sanciona y con qué autoridad en territorio español: designa a la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) como pieza central, junto a otras siete autoridades de vigilancia de mercado, entre ellas la Agencia Española de Protección de Datos.

Usar IA sin fabricarla también tiene reglas

¿Y qué trae de nuevo para una empresa que no se dedica a construir sistemas de IA, sino que simplemente usa un chatbot de atención al cliente o una herramienta de scoring? Bastante, en realidad. La ley exige supervisión humana en los sistemas de riesgo alto, clasifica las infracciones en tres niveles (leves, graves y muy graves) y fija multas que pueden llegar a los 35 millones de euros en los casos más serios. Ahora bien, el marco sancionador tiene en cuenta el tamaño de la empresa a la hora de aplicar la sanción, algo pensado explícitamente para no machacar a pymes y startups con el mismo rasero que a una multinacional. También incorpora reducciones si corriges el problema antes de que llegue la multa: la idea es que corregir salga más a cuenta que pagar.

No todo riesgo pesa igual

Merece la pena pararse un momento en la clasificación por riesgo, porque es la columna vertebral de todo el reglamento europeo y, por tanto, también de la ley española. Los sistemas de riesgo inaceptable están directamente prohibidos: puntuación social, manipulación subliminal, explotación de vulnerabilidades o identificación biométrica en tiempo real en espacios públicos, entre otros supuestos. Los de alto riesgo —piensa en selección de personal, evaluación crediticia o triaje sanitario— son los que más obligaciones acarrean, y son precisamente los que han visto pospuesto parte de su calendario hasta 2027. Los de riesgo limitado, como un chatbot conversacional, solo exigen transparencia: que el usuario sepa que habla con una máquina. Y los de riesgo mínimo, la inmensa mayoría de las herramientas que usa una pyme del día a día, apenas tienen restricciones. El error habitual es tratar todo por igual, cuando en realidad la ley pide un esfuerzo proporcional al riesgo real de cada sistema.

Una fecha que se ha colado sin que nadie la viera venir

Hay una obligación que muchas empresas están pasando por alto por estar mirando solo al calendario de la ley española: el etiquetado de contenido sintético. El Digital Omnibus europeo adelantó esta fecha al 2 de diciembre de 2026, y aplica independientemente de en qué punto esté la tramitación parlamentaria en España. Si tu empresa tiene un chatbot en la web o en WhatsApp, el usuario tiene que saber que está hablando con una IA. Si generas imágenes o vídeos con herramientas de IA generativa para marketing, ese contenido también debe marcarse cuando corresponda. Es una de esas letras pequeñas que va a pillar a más de uno por sorpresa, precisamente por confundir «la ley no está aprobada» con «no me afecta nada».

Otro matiz importante: parte de las obligaciones para sistemas de alto riesgo, que iban a entrar en vigor en agosto de 2026, se han reescalonado hasta diciembre de 2027. Pero ojo, eso no significa que todo se haya aplazado. Las obligaciones de transparencia y las prohibiciones expresas —sistemas de puntuación social, manipulación subliminal, reconocimiento de emociones en el trabajo o la educación, entre otras— siguen su curso sin cambios.

Por dónde empezar, sin esperar al BOE

Si diriges una pyme, el mejor momento para actuar no es cuando la ley se publique en el BOE, sino ahora: haz un inventario de qué herramientas de IA usas (propias y de terceros), revisa si alguna toca datos personales o decisiones que afectan a personas, y asegúrate de que cualquier interacción automatizada con clientes queda identificada como tal.

Otro elemento que conviene tener en el radar es la figura del delegado de IA, pensada inicialmente para la Administración pública pero que marca una tendencia clara: alguien dentro de la organización tiene que hacerse responsable de vigilar qué sistemas de IA se usan y cómo. En una pyme no hace falta un cargo dedicado en exclusiva a esto, pero sí una persona de referencia —normalmente quien lleva marketing, operaciones o tecnología— que sepa responder a la pregunta «¿qué herramientas de IA usamos y qué datos tocan?» sin tener que investigarlo desde cero cada vez que alguien pregunta.

También existe ya un entorno de pruebas controlado, el sandbox regulatorio de IA, que España puso en marcha antes de que se lo exigiera Europa. Sirve para que empresas y proveedores de sistemas de IA puedan testar su cumplimiento normativo con acompañamiento de la autoridad competente, sin esperar a que la ley esté cien por cien cerrada. No es la vía habitual para una pyme pequeña, pero sí es un indicativo de por dónde va a evolucionar la relación entre empresas y regulador en los próximos meses: menos «aplica la norma y cruza los dedos», más colaboración activa con quien supervisa.

Si no tienes claro por dónde empezar ese inventario de herramientas de IA, o simplemente quieres una segunda opinión antes de que la ley termine de aterrizar, en Roimaiori podemos ayudarte a poner orden. No hace falta esperar a que salga en el BOE para dar los primeros pasos.

Preguntas frecuentes

¿Ya está aprobada la ley de IA en España?

No. El 26 de mayo de 2026 se aprobó el proyecto de ley, que ahora está en tramitación parlamentaria. Falta el debate en el Congreso y el Senado, posibles enmiendas y la votación final antes de su publicación en el BOE.

Si la ley española aún no está aprobada, ¿mi empresa tiene alguna obligación ya?

Sí. El Reglamento europeo de IA (AI Act) está en vigor desde agosto de 2024 y ya impone obligaciones de transparencia, prohibiciones y, desde el 2 de diciembre de 2026, el etiquetado de contenido sintético, con independencia del calendario español.

¿Qué autoridad va a supervisar el cumplimiento de la ley en España?

La AESIA (Agencia Española de Supervisión de Inteligencia Artificial), junto a otras siete autoridades de vigilancia de mercado, entre ellas la Agencia Española de Protección de Datos.

¿A cuánto pueden ascender las sanciones?

Hasta 35 millones de euros en las infracciones más graves, aunque el marco sancionador contempla el tamaño de la empresa y ofrece reducciones si se corrige el problema antes de recibir la sanción.

¿Qué debería hacer ya una pyme que usa herramientas de IA?

Hacer un inventario de las herramientas que usa (chatbots, scoring, recomendadores, filtros de currículums…), comprobar si procesan datos personales o afectan a decisiones sobre personas, y etiquetar como IA cualquier interacción automatizada visible para el cliente.

Comparte el post:

Sabemos cómo hacer que lleguen más clientes.

Déjanos tus datos y te contamos cómo lo haremos, sin coste ni compromiso.