El Gobierno ha aprobado el proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial, una norma que adapta al ordenamiento jurídico español el Reglamento Europeo de Inteligencia Artificial y que sitúa a las empresas ante una nueva etapa regulatoria en el uso de sistemas de IA.
El dato que más atención ha generado es el régimen sancionador. Las infracciones más graves podrán alcanzar multas de hasta 35 millones de euros o el 7% volumen de negocio mundial anual de la empresa infractora. La cifra es relevante, pero no explica por sí sola el verdadero impacto de esta regulación.
La cuestión de fondo no es únicamente cuánto puede sancionarse a una empresa por un uso indebido de la inteligencia artificial. El verdadero cambio está en que las organizaciones deberán ser capaces de demostrar cómo utilizan la IA, con qué finalidad, sobre qué datos, mediante qué proveedores, bajo qué controles internos y con qué garantías frente a clientes, usuarios, empleados, socios e inversores.
En la práctica, la nueva Ley de IA en España no debe leerse solo como una norma sancionadora. Debe interpretarse como una señal clara de hacia dónde se dirige el cumplimiento digital: trazabilidad, supervisión humana, gobernanza del dato, control contractual y responsabilidad empresarial.
Qué supone la nueva Ley de IA para las empresas en España
La futura Ley Orgánica de inteligencia artificial tiene como finalidad desarrollar en España el marco de aplicación del Reglamento Europeo de IA, en vigor desde agosto de 2024. Su objetivo es ordenar la supervisión de los sistemas de inteligencia artificial, establecer autoridades competentes, concretar obligaciones para determinados operadores y definir un régimen de infracciones y sanciones.
Este movimiento regulatorio llega en un contexto en el que la inteligencia artificial ya forma parte de la operativa diaria de muchas compañías. No se trata únicamente de grandes empresas tecnológicas o laboratorios de innovación. La IA ya se utiliza en departamentos comerciales, equipos de marketing, áreas de recursos humanos, servicios de atención al cliente, plataformas SaaS, herramientas de análisis de datos, procesos de automatización documental, sistemas de scoring, motores de recomendación y soluciones de productividad interna.
Ese uso extendido plantea una dificultad evidente para muchas empresas: la tecnología ha avanzado más rápido que sus controles jurídicos, contractuales y organizativos.
Muchas compañías han incorporado herramientas de IA sin haber actualizado sus contratos con proveedores, sin haber revisado sus políticas internas, sin inventariar los sistemas utilizados, sin definir qué datos pueden introducirse en cada herramienta y sin establecer mecanismos claros de supervisión humana. Esta distancia entre la realidad operativa y la estructura legal interna es uno de los principales riesgos que abre la nueva regulación.
Multas de hasta 35 millones; por qué el riesgo económico no es el único problema
El régimen sancionador previsto en la normativa ha acaparado buena parte del debate público. Las sanciones por infracciones muy graves podrán llegar hasta los 35 millones de euros o el 7% del volumen de negocio mundial anual, especialmente en supuestos relacionados con sistemas prohibidos o usos que vulneren derechos fundamentales.
Sin embargo, para la mayoría de empresas, el riesgo no empezará necesariamente con una sanción administrativa. Puede aparecer mucho antes, en situaciones menos visibles pero igualmente críticas: una auditoría de cliente, una revisión de proveedor, una ronda de inversión, una due diligence, una licitación pública, una reclamación de usuario, una brecha de seguridad, una solicitud de información de una autoridad o una controversia contractual por el uso de una herramienta de IA.
En sectores como SaaS, fintech, e-commerce, healthtech, legaltech, marketing digital, recursos humanos, plataformas de datos o servicios tecnológicos B2B, el uso de inteligencia artificial puede afectar directamente a la confianza del mercado. Una empresa que no pueda explicar cómo usa la IA, qué datos procesa y qué controles aplica puede ver comprometidas operaciones comerciales, procesos de inversión o relaciones con clientes estratégicos.
La sanción es el escenario más visible. La pérdida de confianza puede ser el impacto más inmediato.
El verdadero riesgo es usar inteligencia artificial sin gobernanza
Uno de los problemas más frecuentes en la empresa actual es la adopción desordenada de herramientas de inteligencia artificial. En muchas organizaciones, la IA no entra mediante un gran proyecto corporativo aprobado por el consejo de administración, sino a través de usos cotidianos, dispersos y poco documentados.
Un equipo puede utilizar una herramienta generativa para redactar propuestas comerciales. Otro puede emplear asistentes de IA para resumir reuniones internas. El área de ventas puede apoyarse en soluciones de enriquecimiento de leads. Recursos humanos puede probar sistemas para analizar candidaturas. Producto puede integrar una API de IA en una funcionalidad. Marketing puede generar imágenes, textos o campañas con herramientas externas.
Cada uno de estos usos puede parecer menor si se analiza de forma aislada. El problema aparece cuando la empresa no tiene una visión global de todos ellos.
Sin un inventario de herramientas, sin una política interna de uso de IA, sin análisis de riesgos, sin revisión contractual y sin mapa de datos, la empresa pierde capacidad de control sobre su propia operativa. No sabe con precisión qué información se introduce en sistemas externos, si existen datos personales o confidenciales, si los proveedores pueden utilizar esa información para entrenar modelos, si hay transferencias internacionales, si las condiciones de uso son compatibles con los compromisos asumidos frente a clientes o si los resultados generados por la IA están siendo revisados antes de incorporarse a decisiones empresariales.
La inteligencia artificial exige una gobernanza jurídica y operativa más sofisticada que la que muchas empresas tienen actualmente implantada.
RGPD, contratos tecnológicos y Reglamento de IA, una misma conversación regulatoria
La Ley de IA en España no puede analizarse de forma aislada. Su aplicación práctica convivirá con otras normas que ya afectan directamente a las empresas que trabajan con datos y tecnología.
El Reglamento General de Protección de Datos seguirá siendo una pieza central cuando los sistemas de IA traten información personal. En esos casos, la empresa deberá justificar la base jurídica del tratamiento, definir finalidades, informar adecuadamente a los interesados, controlar los accesos, revisar encargados y subencargados, evaluar transferencias internacionales y valorar si resulta necesaria una evaluación de impacto.
La contratación tecnológica también adquiere una importancia mayor. Muchos contratos todavía no regulan de forma suficiente el uso de inteligencia artificial, el tratamiento de datos introducidos en sistemas de IA, la titularidad y uso de los resultados generados, las limitaciones de responsabilidad, la supervisión humana, las obligaciones del proveedor, la prohibición o autorización de entrenamiento de modelos, la gestión de incidentes o la trazabilidad de las decisiones automatizadas.
A ello se suma la dimensión organizativa. Las empresas necesitan definir quién puede utilizar herramientas de IA, con qué finalidades, bajo qué límites, qué categorías de información no pueden introducirse, quién valida los outputs, cómo se documentan los usos relevantes y qué controles se aplican cuando la IA interviene en procesos sensibles.
La consecuencia es clara: la regulación de la IA no pertenece únicamente al departamento técnico. Afecta a dirección, legal, compliance, seguridad, producto, recursos humanos, marketing, ventas y contratación.
La IA como contingencia en due diligence, inversión y contratación con grandes clientes
Uno de los impactos más relevantes de la nueva regulación será su efecto en operaciones corporativas y relaciones comerciales complejas. En procesos de inversión, compraventa de empresas, contratación con clientes enterprise o auditorías de proveedores, el uso de inteligencia artificial empezará a ser una materia de revisión específica.
Un inversor o comprador puede querer saber qué sistemas de IA utiliza la compañía, si existen modelos propios o de terceros, qué datos alimentan esos sistemas, si se han revisado las condiciones contractuales de los proveedores, si hay datos personales implicados, si existen decisiones automatizadas, si se han realizado análisis de riesgos y si la empresa puede acreditar un marco interno de gobernanza.
Una compañía que no tenga respuesta para estas cuestiones puede generar contingencias legales, comerciales y reputacionales. En una due diligence, esa falta de control puede traducirse en ajustes de valoración, garantías adicionales, condiciones suspensivas, retenciones de precio o exigencias de regularización previa.
Por eso, la adaptación a la normativa de IA no debería abordarse únicamente desde el miedo a la sanción. También debe entenderse como una cuestión de madurez empresarial, preparación para escalar y capacidad de generar confianza ante terceros.
La visión de Álvaro Ruipérez Candón y SCANDO UP Global Legal
Álvaro Ruipérez Candón, abogado especializado en derecho digital, protección de datos, inteligencia artificial y contratación tecnológica, advierte de que muchas empresas están enfocando la regulación de IA desde una perspectiva demasiado limitada. El problema, explica, no está solo en conocer la norma, sino en traducirla a procesos reales, contratos concretos y controles verificables dentro de la organización.
Desde SCANDO UP Global Legal, despacho especializado en derecho digital, datos, inteligencia artificial, se viene defendiendo una idea cada vez más relevante para el mercado; el cumplimiento digital no puede reducirse a documentos legales aislados, sino que debe integrarse en la arquitectura operativa de la empresa.
Para Ruipérez Candón, la pregunta que deberían hacerse las compañías no es únicamente si están utilizando inteligencia artificial, sino si pueden demostrar que la utilizan correctamente. Eso implica conocer los sistemas desplegados, identificar los datos tratados, revisar proveedores, adaptar contratos, definir responsabilidades internas y conservar evidencias suficientes para responder ante clientes, inversores, auditores o autoridades.
Este enfoque sitúa a SCANDO UP entre los despachos que están trabajando de forma específica en la intersección entre inteligencia artificial, protección de datos, contratos tecnológicos y gobernanza legal del negocio digital, un ámbito que gana importancia a medida que la IA se incorpora a procesos cada vez más sensibles de las empresas.
Qué deberían revisar ahora las empresas que utilizan IA
La aprobación del proyecto de Ley de IA debería servir como punto de partida para que las empresas realicen una revisión interna de su nivel real de exposición. No se trata solo de identificar si usan herramientas de inteligencia artificial, sino de comprobar si ese uso está documentado, controlado y alineado con la normativa aplicable.
Una revisión mínimamente seria debería abarcar el inventario de herramientas de IA utilizadas por la organización, el análisis de los datos tratados, la identificación de proveedores, la revisión de contratos y condiciones de uso, la evaluación de posibles transferencias internacionales, la existencia de políticas internas, la definición de límites de uso por empleados, la supervisión humana de resultados y la documentación de riesgos.
También debería analizarse si la empresa utiliza IA en procesos especialmente sensibles, como selección de personal, scoring financiero, perfiles comerciales, atención automatizada a clientes, sistemas de recomendación, tratamiento de datos de salud, biometría, análisis de comportamiento o toma de decisiones que puedan afectar a derechos de personas físicas.
Cuanto más cerca esté la IA de decisiones relevantes sobre personas, datos personales o derechos fundamentales, mayor será la necesidad de control, documentación y supervisión.
De la política de privacidad a la arquitectura legal digital
Durante años, muchas empresas han entendido el cumplimiento digital como una acumulación de textos legales: política de privacidad, política de cookies, aviso legal, contrato de encargado del tratamiento y algunas cláusulas informativas. Ese enfoque resulta insuficiente en un entorno donde los datos circulan entre plataformas, proveedores, APIs, sistemas de automatización y modelos de IA.
La nueva etapa regulatoria exige pasar de la documentación estática a la arquitectura legal digital. Esto significa diseñar un sistema interno que conecte datos, proveedores, contratos, procesos, riesgos, responsabilidades y evidencias.
En este nuevo escenario, una empresa no estará bien preparada por tener documentos genéricos, sino por poder acreditar que su estructura legal refleja su operativa real. La protección de datos, la inteligencia artificial, la contratación tecnológica y la ciberseguridad dejan de ser áreas separadas para convertirse en una misma conversación de negocio.
La IA puede ayudar a las empresas a ser más eficientes, más competitivas y más escalables. Pero solo será una ventaja sostenible si se implanta con control jurídico, trazabilidad y responsabilidad.
Conclusión
La Ley de IA en España marca un cambio relevante para empresas que utilizan inteligencia artificial en sus procesos internos, productos, servicios o relaciones con terceros. El régimen sancionador, con multas de hasta 35 millones de euros o el 7?l volumen de negocio mundial anual, explica la dimensión del riesgo, pero no agota el análisis.
El verdadero reto para las empresas será demostrar cómo usan la IA, qué datos tratan, qué proveedores intervienen, qué contratos regulan esos usos y qué controles internos existen para evitar daños, errores, discriminaciones, fugas de información o incumplimientos normativos.
La inteligencia artificial ya forma parte de la realidad empresarial. La cuestión ahora es si las compañías están preparadas para gobernarla.
En los próximos años, la diferencia entre una empresa expuesta y una empresa preparada no estará únicamente en la tecnología que utilice, sino en su capacidad para explicar, documentar y defender jurídicamente cómo la utiliza.