Las alegaciones del OSPIA al Anteproyecto de Ley de Buen Uso y Gobernanza de la Inteligencia Artificial: resultados y valoración.
por Enrique Javier Benítez Palma
En marzo de 2025, el Ministerio para la Transformación Digital y la Función Pública (el Ministerio, en adelante) abrió un plazo de apenas una semana (desde el 18 hasta las 23:59 horas del 26 de marzo) para recabar la opinión de los ciudadanos y de las organizaciones más representativas sobre la futura Ley para el Buen Uso y la Gobernanza de la Inteligencia Artificial, cumpliendo así los requisitos y objetivos de la fase de audiencia e información pública que establece la legislación. Fue llamativa la elección del procedimiento de urgencia, cuando se trataba de un texto complejo y de cierta trascendencia, dado el asunto a regular y los intereses empresariales y sociales concernidos, pero desde el Observatorio Sector Público Inteligencia Artificial (OSPIA) se hizo un trabajo acelerado y colectivo para presentar alegaciones en plazo, desde la convicción del papel que debe jugar la sociedad civil en la mejora de los textos normativos.
El 26 de mayo de 2026, el Consejo de ministros aprobó el texto definitivo del Proyecto de Ley Orgánica para el Buen Uso y la Gobernanza de la Inteligencia Artificial, que por fin fue publicado en el Boletín Oficial de las Cortes Generales (BOCG) el viernes 12 de junio de 2026. Se inicia así la tramitación parlamentaria de un texto que ha pasado a ser un Proyecto de Ley Orgánica, y que ha experimentado cambios sustanciales desde que se diera a conocer su versión inicial en marzo de 2025.
A diferencia de los modelos anglosajones de participación pública en los procesos normativos, en España no se dispone de un repositorio oficial donde consultar todas las alegaciones presentadas en este procedimiento que nos ocupa. Por una parte, están los dictámenes oficiales preceptivos, correspondientes al Consejo de Estado y al Consejo Económico y Social, y el informe del Consejo General del Poder Judicial (CGPJ). El primero de ellos (Dictamen 385/2026) aún no se ha hecho público a la hora de escribir este texto: la web del Consejo de Estado aparece actualizada a fecha de marzo de 2026 y en el buscador del BOE aún no se puede encontrar. El dictamen del Consejo Económico y Social sí que está disponible, como también lo está el interesante informe del CGPJ, un texto de 45 páginas que merece la pena analizar, cuyo ponente fue José María Fernández Seijo.
En cuanto a las alegaciones presentadas en plazo, una búsqueda en internet ha permitido localizar y descargar los documentos entregados por la Coalición IA Respeta Cultura, la Fundación Hay Derecho, la Asociación de Internautas, la Plataforma Tercer Sector y el consultor José Mussach Gómez, a título individual. Habría sido interesante poder acceder desde una web oficial del Ministerio a todas las alegaciones presentadas, por transparencia, y también por interés general. Sobre la participación en la fase de audiencia e información pública, desde OSPIA valoramos la implicación de la sociedad civil, al tiempo que llama la atención que sólo se conozcan estas aportaciones, de manera que se desconoce si las empresas directamente afectadas por la nueva normativa (o las organizaciones que las agrupan) han participado en un proceso dirigido oficialmente a los ciudadanos y las organizaciones más representativas, o si disponen de otros cauces para hacer llegar sus opiniones y sus peticiones de modificación del texto original. Una valoración en las redes sociales no cuenta como participación. Tanto en el Reino Unido como en los Estados Unidos las empresas, grandes o pequeñas, participan en estos procesos públicos en aparente igualdad de condiciones con la sociedad civil o los ciudadanos particulares, y se trata de un ejercicio de transparencia que aporta confianza en el procedimiento.
En OSPIA hemos utilizado una herramienta de IA para poder evaluar el grado de influencia que han tenido las alegaciones presentadas en el texto definitivo. Se pidió a ChatGPT 5.5 que comparara el texto original de marzo de 2025 (Anteproyecto de Ley de Buen Uso y Gobernanza de la IA) con el texto publicado en el BOCG el 12 de junio. A continuación, tras enumerar y describir los cambios, se pidió que comparara los documentos con las alegaciones presentadas y que analizara qué cambios estaban relacionados con las alegaciones de OSPIA, y dónde se podía ver ese efecto. Para finalizar, se ha hecho una comprobación humana no exhaustiva de las conclusiones aportadas por la IA, para verificar su exactitud. El resultado se transcribe a continuación, con algunas ligeras modificaciones puntuales que contribuyen a entenderlo mejor:
Aquí tienes, punto por punto, qué alegaciones de OSPIA se reflejan en cambios reales del texto final y cómo se materializan en el Proyecto de Ley:
1.- Título, enfoque y “buen uso” más allá del sancionador.
Qué pedía OSPIA: El título y la estructura estaban desalineados con “buen uso/gobernanza”; demasiada centralidad sancionadora; faltaba contenido positivo de gobernanza.
Qué cambió: La Ley añade un Capítulo IV específico de Buen uso en el sector público estatal (inventario de sistemas de IA, transparencia, y Delegado de IA en cada entidad) y desarrolla la gobernanza de sandboxes con más precisión.
Dónde se ve: Cap. IV (arts. 12 y ss.); Cap. III (art. 11). La exposición de motivos incorpora expresamente ese eje de “buen uso”.
2.- Retirada del “derecho de desconexión” automático
Qué pedía OSPIA: Criticó el “nuevo derecho” de desconexión/retirada automática por denuncia y recordó que el Reglamento prevé poderes de autoridad, no un derecho subjetivo.
Qué cambió: Desaparece la noción de “derecho de desconexión” del articulado y de la Exposición de Motivos (EM). La retirada/desconexión pasa a ser potestad motivada y encauzada por los procedimientos del Reglamento.
Dónde se ve: Art. 30.2 de la Ley (“podrá imponerse… de forma motivada… conforme a los arts. 79–83 del Reglamento”) y desaparición del pasaje correspondiente de la EM.
3.- Biometría en tiempo real: supresión del procedimiento nacional y del anexo de delitos.
Qué pedía OSPIA: Cuestionó el diseño de autorizaciones contencioso‑administrativas y el anexo de delitos, apuntando a la necesidad de reubicar la materia y evitar duplicar el Reglamento.
Qué cambió: Se elimina el capítulo nacional de autorizaciones y el anexo con la lista de delitos/fines. La Ley remite al Reglamento y tipifica como infracciones las “operaciones” irregulares, sin crear un procedimiento judicial propio.
Dónde se ve: Desaparece el Cap. de autorizaciones y el Anexo; tipificación en art. 21.3 y art. 28; no hay modificación de la LJCA.
4.- De “buzón anónimo” a “ventanilla única” y protección del informante.
Qué pedía OSPIA: Señaló que el “buzón” era redundante frente a la Ley 2/2023 y pidió coherencia con el marco de protección del informante.
Qué cambió: La Ley crea una ventanilla única de reclamaciones gestionada por la AESIA (sin convertir en interesado al reclamante) y añade una cláusula expresa de protección del informante alineada con la Directiva y la Ley 2/2023.
Dónde se ve: Arts. 9 (reclamaciones, ventanilla única con reenvío en 10 días) y 10 (protección del informante).
5.- Gobernanza: distribución más precisa de autoridades y límites a la “designación abierta”.
Qué pedía OSPIA: Clarificar mapa competencial, evitar proliferación poco justificada de autoridades por simple resolución, y respetar especialización sectorial (p. ej., biometría, justicia, financiero).
Qué cambió: La Ley detalla un mapeo fino: AESIA, AEPD/autoridades autonómicas, CGPJ, Banco de España, CNMV, DGSFP y casos específicos (equipos radioeléctricos). Las nuevas designaciones pasan a Acuerdo de Consejo de ministros (no por simple resolución), con la AESIA como competente “por defecto” transitorio.
Dónde se ve: Art. 5.2–9; el mecanismo de nuevas designaciones exige Acuerdo del Consejo de ministros a propuesta de la SEDIA; art. 6 punto de contacto único separado.
6.- Coordinación reforzada y participación de autoridades de derechos fundamentales.
Qué pedía OSPIA: Enfatizó que la gobernanza no debía limitarse a sanción y que hacía falta cooperación inter‑autoridades y salvaguardas de derechos.
Qué cambió: La Ley exige consultas a departamentos competentes y a autoridades de protección de derechos fundamentales cuando un sistema conforme presente riesgos; fija plazos; crea una Comisión mixta de colaboración con autoridades autonómicas, sin vincular a CGPJ ni a AAI (autoridades administrativas independientes con competencias en el tema).
Dónde se ve: Art. 8.4 (consulta en 10 días hábiles y coordinación); Art. 8.8 (Comisión mixta de colaboración y límites).
7.- Sandboxes: evitar duplicidades, exigir recursos y reporting UE; derogar el RD 817/2023.
Qué pedía OSPIA: Señaló redundancias con el RD 817/2023 y el estatuto de la AESIA; pidió coherencia y coordinación con marcos sectoriales.
Qué cambió: Se deroga expresamente el RD 817/2023; se mantiene el sandbox obligatorio en la AESIA; se restringe la creación de adicionales autoridades competentes, se exige acreditar recursos y se refuerza el reporting a Oficina/Consejo de IA.
Dónde se ve: Art. 11; Disposición derogatoria única; reporting vía punto de contacto (art. 11.4).
8.- Proporcionalidad y graduación de sanciones sin mínimos rígidos; trato a pymes.
Qué pedía OSPIA: Alertó sobre sobrerregulación sancionadora y pidió proporcionalidad; cuestionó el régimen procesal “especial pymes”.
Qué cambió: La Ley elimina mínimos y deja topes “hasta”, reforzando graduación caso a caso y remisiones al art. 99 del Reglamento; desaparece el procedimiento excepcional de suspensión para pymes del Anteproyecto y se introduce un régimen general de requerimiento corrector (aplicable a cualquiera) que permite cerrar leves con advertencia sin publicación.
Dónde se ve: Arts. 30–31 (topes y criterios de graduación); Art. 38 (requerimiento corrector); no figura ya la suspensión específica para pymes del Anteproyecto.
9.- Centralización y transparencia del reporting sancionador.
Qué pedía OSPIA: Mayor coordinación para evitar fragmentación y ne bis in idem; claridad en publicidad.
Qué cambió: la AESIA centraliza publicación y comunicación a la Comisión/Consejo de IA, incluyendo seguimiento de litigios; se refuerzan cauces UE.
Dónde se ve: Art. 34 (publicidad y comunicación centralizada como punto de contacto único).
10.- Independencia y estatuto de la AESIA.
Qué pedía OSPIA: Reforzar la independencia de la AESIA conforme al marco europeo.
Qué cambió: La Ley ordena adaptar la AESIA a entidad de derecho público independiente en seis meses, con garantías de independencia orgánica y funcional, incompatibilidades, nombramientos y recursos suficientes.
Dónde se ve: Disposición adicional segunda.
11.- Coherencia con otros ámbitos (tributario/SS, procesos democráticos, infraestructuras críticas).
Qué pedía OSPIA: Coherencia normativa y coordinación sectorial; mencionó la necesidad de articular mejor ámbitos sensibles y, en sandboxes, coordinar con CNPIC (Centro Nacional de Protección de Infraestructuras Críticas).
Qué cambió: La Ley introduce reformas conexas:
· LGT: reserva estricta de sistemas algorítmicos antifraude.
· LGSS: habilitación de cesión de datos imprescindibles para identificar responsables en actuaciones previas.
· LOREG: la AESIA como autoridad en IA para procesos democráticos (Anexo III.8) y biometría vinculada a esos procesos.
· Infraestructuras críticas: base de datos nacional gestionada conjuntamente con Secretaría de Estado de Seguridad; medidas provisionales con informe preceptivo del CNPIC.
Dónde se ve: Disposiciones finales 1ª, 2ª, 3ª y 7ª; Art. 37.5 (CNPIC).
12.- Correcciones de técnica normativa y terminología
Qué pedía OSPIA: Mejorar precisión terminológica, evitar remisiones oscuras, y emplear denominaciones oficiales (OCDE, “introducción en el mercado”, etc.).
Qué cambió: La Ley depura la Exposición de Motivos (terminología OCDE, Declaración de Bletchley, cronología) y el articulado usa remisiones exactas al Reglamento (introducción en el mercado, art. 74.4, 79–83…), clarificando poderes y procedimientos.
Dónde se ve: Exposición de Motivos y redacción sistemática de cada tipo infractor con referencia al precepto del Reglamento.
Qué alegaciones no se aprecian como adoptadas íntegramente
· Título de la Ley: No se renombra para enfatizar “régimen sancionador”; se mantiene “buen uso y gobernanza”, aunque se refuerza el contenido para justificarlo.
· Inclusión expresa de Carta de Derechos Digitales: No se introduce como eje normativo; la Ley se alinea con Reglamento UE y con obligaciones sectoriales.
· Responsabilidad patrimonial de la Administración por actuación de vigilancia: No se añade un precepto específico sobre responsabilidad patrimonial de la autoridad.
· Mención explícita a AESA u otras autoridades sectoriales concretas en infraestructuras críticas: La Ley opta por reglas generales y coordinación (CNPIC), sin listados extensos de cada autoridad sectorial.
· Canal “ético” algorítmico ciudadano específico: La Ley articula ventanilla única y protección del informante, pero no crea un canal nuevo específico distinto al marco de reclamaciones.
En resumen:
1.- Aceptadas sustancialmente: eliminación del “derecho de desconexión” automático; supresión del procedimiento/anexo de biometría en tiempo real; refuerzo de gobernanza real (buen uso en sector público, delegado de IA, punto de contacto único, comisión de colaboración, consultas a Derechos Fundamentales); ventanilla única y protección del informante; derogación del sandbox previo y ordenación de sandboxes; sanciones más modulables sin mínimos; recentralización del reporting en la AESIA; independencia reforzada de la AESIA; coordinaciones sectoriales clave (CNPIC, LGT, LGSS, LOREG).
2.- Parcialmente atendidas: clarificación competencial y límites a nuevas designaciones (ahora por Consejo de ministros), técnica normativa y precisión de remisiones.
3.- No adoptadas o no íntegramente: cambio del título; referencia normativa fuerte a la Carta de Derechos Digitales; cláusula explícita de responsabilidad patrimonial de la Administración; creación de un canal ético algorítmico específico; mapeo exhaustivo de todas las autoridades sectoriales en el articulado.
CONCLUSIONES
Una vez completado el análisis realizado con apoyo de la IA, desde el OSPIA somos muy conscientes de que no sólo nuestras alegaciones han contribuido a mejorar el texto normativo original: también lo han hecho los dictámenes institucionales y las diferentes aportaciones realizadas por la sociedad civil y la ciudadanía. Pero lo que también tenemos claro es que muchas de las modificaciones introducidas se deben al esfuerzo realizado contra reloj por el tejido asociativo, siempre en defensa del interés general. Sería pertinente y oportuno tener acceso público a todas las alegaciones realizadas a través de la propia página web del Ministerio, para poder así conocer todas las posiciones defendidas durante la fase de audiencia e información pública. Y ahora que comienza la tramitación parlamentaria, OSPIA se pone a disposición del Congreso de los Diputados y del Senado de España para aportar su conocimiento y reflexiones a través de los cauces y mecanismos existentes.
