En 2025, la inversión privada en inteligencia artificial en Estados Unidos alcanzó los 285.900 millones de dólares. En Europa, 20.900 millones. En China, 12.400 millones. Son datos del Stanford AI Index 2026, el informe de referencia mundial sobre el estado de la IA, y dibujan una relación de 1 a 14 entre Europa y Estados Unidos. Mientras tanto, Europa aprueba el reglamento de IA más ambicioso del mundo. Y España lidera su implementación.
¿Son cosas incompatibles? ¿Se puede ser el mejor regulador del planeta y al mismo tiempo el peor financiador? ¿La regulación frena la innovación o genera la confianza que la hace posible? Esas son las preguntas que el 2 de agosto de 2026 obliga a responder. No en abstracto, sino en la práctica: en cada empresa que usa IA, en cada hospital que incorpora un sistema de diagnóstico, en cada banco que lanza un agente conversacional, en cada fábrica que instala visión artificial en su línea de producción.
A partir de ese día, el Reglamento Europeo de Inteligencia Artificial activará sus requisitos más exigentes. Y las empresas que no estén preparadas se enfrentarán a un marco sancionador que puede llegar a los 35 millones de euros o el 7% de la facturación global. Faltan cinco semanas.
Tres capas normativas que conviene no confundir
Lo primero que necesita entender cualquier empresa es que no hay una sola norma. Hay tres capas que se superponen y que, si se confunden, generan exactamente la inseguridad jurídica que la regulación pretendía evitar.
Primera capa: el AI Act europeo. Es la norma base. El Reglamento (UE) 2024/1689, aprobado en junio de 2024 y en vigor desde el 1 de agosto de ese año, se aplica directamente en todos los Estados miembros. No necesita transposición. Se despliega por fases: las prácticas prohibidas y la obligación de alfabetización en IA están activas desde febrero de 2025; las obligaciones para modelos de propósito general (GPAI) desde agosto de 2025; y el 2 de agosto de 2026 entran los requisitos completos para sistemas de alto riesgo, la gobernanza nacional y el régimen sancionador.
Moisés Barrio, letrado del Consejo de Estado y experto del Sandbox de IA del Gobierno, lo explica con una comparación que aclara la lógica del sistema: "Es muy diferente la regulación que tiene un coche autónomo, como sistema de alto riesgo con las máximas garantías y obligaciones, que la del corrector ortográfico de Word, con ninguna obligación imperativa por ser un sistema de riesgo bajísimo. El Reglamento adopta un enfoque asimétrico y proporcionado para regular las distintas clases de sistemas y modelos de IA."
Es un matiz esencial. El AI Act no regula toda la IA por igual. Clasifica los sistemas en cuatro niveles de riesgo (inaceptable, alto, limitado y mínimo) y aplica obligaciones proporcionadas a cada uno. Un sistema de scoring crediticio no tiene las mismas exigencias que un filtro de spam.
Segunda capa: la ley española de adaptación. El 26 de mayo de 2026, el Consejo de Ministros aprobó el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial y lo remitió al Congreso. Aquí hay un matiz que muchos medios pasaron por alto: no es ley todavía. Es un proyecto en tramitación parlamentaria, que puede enmendarse y que no será derecho vigente hasta que se publique en el BOE, previsiblemente antes de diciembre de 2027.
Lo que hace esta ley es completar el AI Act en el plano nacional: designa a la AESIA y a la Agencia Española de Protección de Datos como autoridades de supervisión, establece el régimen sancionador español (hasta 35 millones o el 7% de facturación), crea la figura del delegado de IA en el sector público y prohíbe los deepfakes sexuales, una medida impulsada por España y Francia a nivel europeo.
Tercera capa: el Sandbox de IA. España fue el primer país de la UE en poner en marcha un entorno controlado de pruebas para sistemas de IA de alto riesgo. El Sandbox, que acaba de concluir tras un año de funcionamiento, seleccionó 12 sistemas de IA de alto riesgo entre 44 candidaturas y los puso a prueba junto a un grupo de expertos asesores, la AESIA y la Agencia de Protección de Datos. El resultado: guías técnicas prácticas, ya publicadas, que sirven de referencia para cualquier empresa que necesite cumplir el Reglamento.
Barrio lo sintetiza: "En ocasiones puede parecer difícil determinar si un escenario de uso entra dentro del ámbito de aplicación de la norma o la forma de cumplimiento de las respectivas obligaciones. Por eso el Sandbox español es un instrumento fundamental para aportar seguridad jurídica y buenas prácticas."
Lo que el AI Act exige en la práctica: cinco obligaciones clave
El Reglamento no es un documento filosófico. Impone obligaciones concretas que afectan a cómo se diseñan, se desarrollan, se documentan y se despliegan los sistemas de IA. Cinco de esas obligaciones merecen atención especial porque son las que más van a impactar en la operativa real de las empresas.
1. Gestión de riesgos. Todo sistema de IA de alto riesgo debe contar con un sistema de gestión de riesgos que identifique, evalúe y mitigue los riesgos asociados a su uso. No basta con una evaluación inicial: el sistema debe ser continuo, iterativo y actualizado durante todo el ciclo de vida del producto.
Adrián González Sánchez, Senior AI Architect en Microsoft y participante en el Sandbox, aporta una clave que muchas empresas están pasando por alto: "El ciclo de vida no solo estructura el trabajo técnico. También permite aplicar controles en cada etapa que garantizan la calidad, la seguridad y el cumplimiento regulatorio. Identificar riesgos éticos o técnicos desde el inicio, revisar los datos para evitar sesgos, evaluar los modelos para asegurar que sean justos, seguros y confiables. Es un ejercicio multidisciplinar que requiere una mezcla de conocimiento técnico, humanístico y funcional."
2. Transparencia. Los sistemas de IA deben ser comprensibles para quienes los diseñan, los supervisan y los usan. No se trata de publicar el código fuente, sino de garantizar que las decisiones de la IA sean explicables, trazables y documentadas.
Nuria Delgado, AI Lead en CaixaBank, lo ilustra con un ejemplo cotidiano: "Imagina que una familia solicita una ayuda económica a través de una solución de IA y recibe un simple 'no', sin explicación. Ahora imagina lo contrario: una respuesta clara, humana y útil que explica los motivos y orienta los siguientes pasos. Esa es la diferencia que marca la confianza." Y ofrece una analogía que se entiende bien: "Un buen ejemplo son los medicamentos: los expertos conocen la fórmula y el público tiene el prospecto. Así debe ser la IA: clara para técnicos y para usuarios."
3. Gobernanza de datos. Los conjuntos de datos utilizados para entrenar y validar los sistemas deben cumplir criterios de calidad, representatividad y ausencia de sesgos. Es probablemente la obligación más técnicamente exigente y la que más va a costar a las empresas que llevan años entrenando modelos sin preocuparse demasiado por la procedencia ni la calidad de sus datos.
4. Supervisión humana. Todo sistema de IA de alto riesgo debe poder ser supervisado por personas. No como formalismo, sino como mecanismo real que permita intervenir, corregir o detener el sistema cuando sea necesario. Es el principio que el ministro Óscar López ha presentado como eje de la futura ley española: la obligatoriedad de la supervisión humana de los modelos.
5. Estándares técnicos. La Comisión Europea ha encargado a los organismos de normalización CEN y CENELEC el desarrollo de normas armonizadas en diez áreas críticas. José Antonio Jiménez Caballero, coordinador de Digitalización en la Asociación Española de Normalización (UNE), detalla el alcance: "Los estándares se usarán para los sistemas de inteligencia artificial de alto riesgo, posiblemente para los modelos de IA de uso general y para la presentación de información y documentación. Gracias a esto se podrá mejorar el funcionamiento de los sistemas de IA desde el punto de vista de los recursos, como la reducción del consumo de energía y de agua."
Jiménez revela un dato que pocos conocen: "A nivel nacional, el trabajo de desarrollo de las normas europeas se centraliza en el comité de normalización CTN 71 y su subcomité 42 de Inteligencia Artificial y Big Data, donde están representadas 63 entidades a través de 142 expertos." El proceso de elaboración de estándares está abierto a cualquier interesado a través de UNE.
Cuando la IA toca la salud: el cruce con dispositivos médicos
Hay un escenario que ilustra la complejidad real del nuevo marco regulatorio y que afecta directamente a uno de los sectores con mayor potencial de aplicación de la IA: la salud.
Inmaculada Pérez, responsable de regulación de IA en BSI Group y experta del Sandbox, lo explica con claridad: "Cuando un producto incorpora inteligencia artificial, las obligaciones del nuevo Reglamento se sumarán a las del Reglamento de productos sanitarios. No todos los productos con IA se considerarán de alto riesgo: solo aquellos en los que la IA forme parte de la seguridad del producto o cuando la propia IA sea el producto sanitario y esté clasificado como clase 2a o superior."
La buena noticia, según Pérez, es que "los requisitos podrán integrarse dentro del marco actual, lo que permitirá mantener una sola documentación técnica y un único sistema de calidad". La mala: los fabricantes deberán cuidar "aspectos clave como la transparencia, el uso responsable de los datos y la eliminación de sesgos en los algoritmos". Para dispositivos médicos, estas obligaciones entrarán en aplicación el 2 de agosto de 2027.
Privacidad y protección de datos: la tensión con el GDPR
El Reglamento de IA no opera en el vacío. Convive con el GDPR, con la Data Act, con la DSA y con toda la arquitectura de protección de datos europea. Y esa convivencia genera tensiones que las empresas necesitan gestionar.
Belén Arribas, CEO de BAS Abogados, presidenta de ENATIC y experta del Sandbox, no esquiva la complejidad: "Tenemos que reconocer la tensión inherente entre protección de datos e inteligencia artificial. Por un lado, la IA puede complicar el cumplimiento del GDPR en relación a la minimización de datos, la limitación de la finalidad del tratamiento o el cumplimiento de los derechos del interesado. Por otro lado, el propio GDPR puede ser utilizado para poner a prueba los sistemas de IA."
Arribas identifica los riesgos concretos: "La atribución incorrecta de hechos a individuos, la revelación de información de terceros, que el modelo no cumpla con el principio de minimización, que se procesen datos sensibles, que los datos no sean exactos o que no se atiendan los derechos de los interesados." Y señala la ruta de solución: "Análisis de licitud en los datos de entrada, salida y entrenamiento. Garantizar los derechos del titular. Garantizar la exactitud tanto de los datos utilizados como de los datos generados. Y realizar una evaluación de impacto en protección de datos."
Su conclusión es probablemente la mejor síntesis del reto que tienen las empresas por delante: "Se trata de encontrar ese equilibrio necesario entre cumplimiento normativo y el desarrollo y despliegue pleno de la IA como tecnología que puede tener un gran impacto en nuestras vidas. Solo depende de nosotros cómo poder aprovecharla de forma sostenible y segura, orientada al beneficio de las personas."
La carrera global: cuatro modelos, una pregunta
El AI Act no existe en el vacío geopolítico. Forma parte de una carrera global donde cada bloque ha elegido un modelo distinto de gobernar la inteligencia artificial. Y la elección que cada uno ha hecho dice tanto sobre su visión de la tecnología como sobre su concepción del poder.
Europa ha elegido regular primero. Un marco horizontal, basado en riesgo, con obligaciones ex ante, estándares técnicos y un régimen sancionador disuasorio. La apuesta es que la confianza genera ventaja competitiva: si las empresas europeas pueden demostrar que su IA es segura, transparente y respetuosa con los derechos fundamentales, eso se convierte en un activo de mercado. La crítica es que la implementación está siendo más lenta de lo previsto —el Digital Omnibus ya ha retrasado parte del calendario de alto riesgo a 2027-2028— y que los estándares técnicos aún no están completos.
Estados Unidos ha elegido financiar primero. Bajo la administración Trump, el enfoque federal pivotó hacia la desregulación: se revocaron las directrices de Biden, se lanzó un AI Action Plan centrado en liderazgo, infraestructura y exportación, y se criticó abiertamente la regulación estatal. Pero la realidad es más compleja: a falta de ley federal, los 50 estados están legislando por su cuenta. California exige marcos de seguridad a los desarrolladores de modelos de frontera. Colorado regula la discriminación algorítmica. Texas ha aprobado su propia ley de IA. El resultado es una paradoja: discurso federal pro-desregulación, pero expansión real de normas estatales. Y mientras tanto, 285.900 millones de dólares de inversión privada en un solo año.
China ha elegido controlar primero. No tiene un AI Act único, sino un sistema escalonado por capas: regulación de algoritmos de recomendación (2022), regulación de deepfakes (2023), regulación de IA generativa (2023), etiquetado de contenido sintético (2025) y normas sobre servicios antropomórficos de IA (julio 2026). El Estado define líneas rojas estrictas sobre seguridad nacional, estabilidad social y control de contenidos, pero dentro de ese perímetro permite una competencia feroz entre empresas. DeepSeek demostró en 2025 que China puede competir en modelos de frontera incluso con restricciones de chips.
Reino Unido ha elegido la flexibilidad. Sin ley integral de IA, apuesta por principios transversales aplicados por reguladores sectoriales existentes y por el AI Safety Institute para evaluación de modelos de frontera. Menos carga inmediata, más incertidumbre jurídica.
La pregunta de fondo no es cuál de los cuatro modelos es mejor. Es cuál se convertirá en estándar global. Europa aspira a exportar reglas. Estados Unidos aspira a exportar tecnología. China aspira a exportar infraestructura bajo soberanía digital. Y el resto del mundo —Japón, India, Brasil, Canadá, Corea del Sur, Singapur— intenta no quedar atrapado entre esos tres polos.
España: el país que más ha avanzado en implementación
En ese contexto global, la posición de España merece ser leída con matices. El país puede acreditar cuatro hitos que ningún otro Estado miembro de la UE puede igualar:
Primero, impulsó la aprobación del AI Act durante su Presidencia del Consejo de la UE en 2023. Segundo, creó la AESIA, la primera agencia de supervisión de inteligencia artificial de Europa. Tercero, puso en marcha el primer Sandbox regulatorio de IA del continente, que acaba de concluir con éxito y ha generado guías técnicas prácticas. Y cuarto, es el primer país en tener un proyecto de ley nacional de adaptación en tramitación parlamentaria.
Es un liderazgo regulatorio real y reconocido internacionalmente. Pero convive con una realidad incómoda: la inversión privada en IA en España representó en 2025 los 3.100 millones de euros captados por startups vía venture capital, según Dealroom. Una cifra récord para el ecosistema español, pero que palidece frente a los volúmenes de Estados Unidos o incluso de otros países europeos como Francia (4.360 millones de dólares) o Alemania (3.890 millones).
La tesis que defiende el Gobierno —"regulación e innovación no compiten, se refuerzan"— es atractiva y tiene base argumental. Pero los datos de inversión no la confirman todavía de forma concluyente. La brecha de inversión entre Europa y Estados Unidos precede al AI Act y responde a factores estructurales (capital riesgo, mercado de salida, concentración de hyperscalers, talento, gasto en defensa), pero tampoco puede ignorarse que, en el periodo posterior a la aprobación del Reglamento, Europa no ha acelerado al ritmo estadounidense.
Qué debería estar haciendo tu empresa ahora mismo
A cinco semanas del 2 de agosto, la pregunta práctica es ineludible. Estas son las acciones mínimas que cualquier empresa que use, desarrolle o despliegue sistemas de IA debería tener en marcha:
Inventariar. Mapear todos los sistemas de IA que la organización utiliza —internos, comerciales, experimentales y de terceros— y clasificarlos según el nivel de riesgo del Reglamento.
Documentar. Cada sistema de alto riesgo necesita documentación técnica, registro de actividad, evaluación de riesgos y evidencia de supervisión humana. Si no existe, hay que crearla.
Formar. La obligación de alfabetización en IA ya está vigente desde febrero de 2025. Los equipos que trabajan con IA —y los que toman decisiones sobre ella— necesitan formación adaptada a su rol.
Evaluar datos. Revisar la calidad, la procedencia y la representatividad de los datos de entrenamiento. Verificar el cumplimiento de GDPR en los datasets. Documentar todo.
Consultar las guías del Sandbox. Las guías técnicas generadas por el Sandbox español están publicadas en la web de AESIA y son, a día de hoy, la referencia práctica más completa en español para entender cómo cumplir el Reglamento.
Designar responsables. Aunque la figura del delegado de IA prevista en la ley española aún no es obligatoria, anticiparla es una decisión inteligente. Alguien en la organización tiene que coordinar el cumplimiento.
El Reglamento no premia a los que llegan primero. Pero sanciona a los que llegan tarde.
