La inversión de Red.es abre una ventana de oportunidad histórica, pero también un campo de minas regulatorio para startups y pymes
El 17 de marzo de 2026, la secretaria de Estado de Digitalización e Inteligencia Artificial, María González Veracruz, anunció durante el Foro de la Nueva Economía (NEF) una iniciativa que marcará un antes y un después en el tejido productivo español: el Gobierno invertirá 40 millones de euros, financiados íntegramente con fondos europeos FEDER 2021-2027, para facilitar el acceso de startups y pymes a casos de uso de inteligencia artificial adaptados a su actividad. La promesa es contundente: más eficiencia, menos costes y nuevas oportunidades de negocio para las empresas en España. Sin embargo, en Delvy llevamos meses advirtiendo que existe una ecuación que el entusiasmo tecnológico no debe ocultar: adopción masiva sin adecuación masiva es un riesgo existencial para cualquier organización que pretenda beneficiarse de estos fondos públicos.
Nuestro equipo, liderado por José Morato como director del área de IP/IT/AI y con el apoyo de Pablo Sáez Hurtado como AI Senior Counsel, ha analizado en profundidad las implicaciones jurídicas de esta medida gubernamental. La conclusión es inequívoca: cada startup o pyme que integre uno de estos casos de uso se convertirá automáticamente en responsable del despliegue conforme al Reglamento (UE) 2024/1689, asumiendo obligaciones de cumplimiento que, de ignorarse, pueden derivar en sanciones de hasta 35 millones de euros o el 7 % del volumen de negocio mundial. La inteligencia artificial no sustituye a los abogados; nos eleva a la categoría de auditores arquitectónicos y estrategas de gobernanza algorítmica. Este artículo explica por qué la oportunidad que ofrece Red.es solo será verdaderamente transformadora si va acompañada de una estrategia de adecuación regulatoria impecable y por qué Delvy es el socio jurídico idóneo para garantizar esa transición segura.
La iniciativa Red.es: anatomía de una inversión sin precedentes
La actuación gubernamental se canalizará exclusivamente a través de la entidad pública empresarial Red.es, mediante convenios con entidades colaboradoras que podrán presentarse de forma individual o en consorcios de hasta cinco miembros. Estas entidades, entre las que se incluyen asociaciones profesionales y empresariales, centros tecnológicos y centros de apoyo a la innovación, deberán aportar una cofinanciación mínima del 20 % del presupuesto de su proyecto, pudiendo recibir cada convenio hasta 12 millones de euros de Red.es. Los resultados mínimos exigidos son ambiciosos: al menos 30 casos de uso sectoriales aplicables a distintas ramas de actividad económica y, a partir de estos desarrollos primarios, al menos 15 modelos generales reutilizables y adaptables.
El diseño de esta iniciativa se aleja deliberadamente de las subvenciones tradicionales de capital riesgo para enfocarse en la creación de una infraestructura tecnológica compartida y accesible. El objetivo es que las startups y pymes accedan a plataformas de inteligencia artificial en modo servicio, sin necesidad de desarrollos internos complejos, creando lo que podríamos denominar la «última milla operativa» de la IA. En palabras de la propia González Veracruz durante su intervención en el NEF: «Tenemos una visión 360 para que el verdadero tejido productivo de nuestro país vaya avanzando en esos retos que son una realidad y a los que estamos en disposición de dar respuesta». La medida se enmarca en la estrategia «España como Nación Emprendedora» y complementa otras líneas ya en marcha, como la familia de modelos ALIA, las Factorías de IA, Kit Digital y Kit Consulting, dentro de un plan global de inversión en inteligencia artificial que supera los 1.500 millones de euros.
Este escenario de adopción acelerada, sin embargo, genera un espejismo de invulnerabilidad tecnológica que resulta peligroso. La integración de inteligencia artificial en flujos de trabajo de recursos humanos, calificación crediticia, atención al cliente o control logístico introduce nuevas superficies de riesgo que la tecnología por sí sola no puede mitigar: vulnerabilidades algorítmicas, sesgos en la toma de decisiones automatizadas y exposición de datos personales confidenciales. Cuando una pyme adapta uno de estos modelos generales a sus operaciones de selección de personal o evaluación de clientes, puede estar desplegando, sin saberlo, un sistema clasificado como de alto riesgo por la normativa europea, con todas las obligaciones de auditoría y conformidad que ello implica. La justificación estratégica del enfoque de Red.es es la escalabilidad, pero la escalabilidad sin gobernanza algorítmica es una receta para el desastre regulatorio. Las inversiones recientes en ciberseguridad específica para IA confirman que el mercado ha interiorizado esta realidad.
La tesis de la Doble A: por qué la adopción sin adecuación es un campo de minas
La formulación discursiva más potente en el ámbito del derecho tecnológico contemporáneo radica en la inseparabilidad de dos conceptos que, en Delvy, hemos condensado en la tesis de la «Doble A»: la adopción masiva de inteligencia artificial derivada de esta inversión de 40 millones de euros acarrea, de forma simbiótica e inexcusable, una necesidad de adecuación masiva al marco regulatorio vigente. No se trata de una advertencia retórica ni de un ejercicio académico, sino de una realidad jurídica con consecuencias económicas devastadoras para quien la ignore. La convergencia entre el fomento estatal de la innovación y la imposición de marcos regulatorios hiperestrictos ha generado un entorno de complejidad jurídica sin precedentes.
El Reglamento (UE) 2024/1689 establece con meridiana claridad que el cumplimiento legal no afecta de manera exclusiva a los proveedores que diseñan los sistemas de IA, sino que recae con enorme contundencia sobre los responsables del despliegue (deployers), es decir, las empresas que utilizan dichos sistemas en su actividad profesional. Los artículos 26 y 27 del Reglamento imponen a estos responsables obligaciones específicas que resultan absolutamente ineludibles: adoptar medidas técnicas y organizativas para utilizar los sistemas conforme a las instrucciones del proveedor, asignar la supervisión humana a personas con la competencia y formación necesarias, garantizar la relevancia de los datos de entrada bajo su control, monitorizar el funcionamiento del sistema e informar a proveedores y autoridades sobre riesgos o incidentes graves, conservar los registros generados automáticamente durante al menos seis meses e informar a los representantes de los trabajadores antes de desplegar un sistema de alto riesgo en el lugar de trabajo. Adicionalmente, el artículo 27 exige la realización de una evaluación de impacto sobre los derechos fundamentales antes de poner en funcionamiento cualquier sistema de alto riesgo.
En la práctica, esto significa que toda startup o pyme que integre uno de los 30 casos de uso financiados por Red.es asume inmediatamente la responsabilidad legal sobre las decisiones que dicho algoritmo tome o asista. La IA está democratizando la capacidad de consumidores, usuarios y autoridades para presentar reclamaciones de manera automatizada, lo que incrementa exponencialmente la presión litigiosa sobre las compañías. Estas organizaciones deben ser plenamente capaces de justificar las decisiones de sus sistemas frente a reclamaciones basadas en resultados generados por inteligencia artificial, operando bajo el escrutinio simultáneo de normativas de consumo, el Reglamento General de Protección de Datos (RGPD) y el propio AI Act. En este paradigma, la oferta de valor de un despacho de referencia consiste en asesorar con una visión integral, asegurando que las herramientas tecnológicas optimicen los recursos sin perder el respaldo de una infraestructura jurídica sólida. La adecuación no es un freno a la innovación; es el pasaporte indispensable que permite su comercialización lícita y sostenible en el tiempo.
Arquitectura regulatoria: los tres pilares del cumplimiento
El imperativo de la adecuación normativa se fundamenta en tres pilares regulatorios que conforman el ecosistema más garantista y punitivo del panorama tecnológico global. La comprensión profunda de esta tríada legislativa es condición necesaria para articular cualquier estrategia de asesoramiento dirigida a las startups y pymes beneficiarias de los fondos gubernamentales.
El Reglamento (UE) 2024/1689 y su régimen sancionador
El Reglamento Europeo de Inteligencia Artificial, aprobado por el Parlamento Europeo y el Consejo el 13 de junio de 2024, adopta un enfoque basado en el riesgo que clasifica los sistemas de IA en cuatro niveles: prácticas prohibidas (artículo 5), sistemas de alto riesgo (artículos 6 a 15), sistemas de riesgo limitado con obligaciones de transparencia (artículo 50) y sistemas de riesgo mínimo. Para las startups y pymes españolas, el impacto es particularmente crítico cuando despliegan sistemas que interactúan con personas, procesan datos biométricos o se utilizan en ámbitos sensibles como la educación, el empleo, la gestión de infraestructuras críticas o la calificación crediticia.
El régimen sancionador establecido en el artículo 99 del Reglamento (UE) 2024/1689 es de una severidad diseñada para tener un efecto disuasorio inequívoco:
Para las pymes y startups, el Reglamento establece expresamente que se aplicará el porcentaje o la cantidad que resulte menor, garantizando así la proporcionalidad de las sanciones conforme al principio de capacidad económica del infractor.
El desconocimiento de estas categorías por parte de una pyme que adapta un modelo general de Red.es a sus operaciones puede derivar en la calificación automática de su sistema como de alto riesgo, sometiéndola a auditorías de conformidad ex ante que, de no superarse, paralizarían su actividad empresarial.
El Anteproyecto de Ley para el Buen Uso y la Gobernanza de la Inteligencia Artificial
Mientras el AI Act establece el marco europeo general, el legislador español ha acelerado la transposición punitiva mediante la aprobación por el Consejo de Ministros del Anteproyecto de Ley para el Buen Uso y la Gobernanza de la Inteligencia Artificial. Esta norma establece el régimen jurídico sancionador nacional, diseñado para ser efectivo, proporcionado y disuasorio, con un trato favorable explícito a las pymes. Las infracciones graves conllevan sanciones de entre 500.001 y 7.500.000 euros, o entre el 1 % y el 2 % del volumen de negocio mundial, aplicándose la cifra menor para las pymes. Las infracciones leves oscilan entre 6.000 y 500.000 euros, o entre el 0,5 % y el 1 % del volumen de negocio mundial del ejercicio anterior.
Un aspecto técnico crítico que introduce esta normativa es la obligación irrenunciable de etiquetado: los contenidos generados, manipulados o asistidos por inteligencia artificial deberán identificarse como tales de manera clara y distinguible a más tardar con ocasión de la primera interacción o exposición. La falta de este etiquetado en interfaces de usuario, chatbots de atención al cliente o material de marketing puede desencadenar inspecciones inmediatas y sanciones graves. Además, el Anteproyecto contempla el derecho de desconexión o retirada del mercado por incidentes graves, otorgando a las autoridades la potestad de paralizar la actividad empresarial si se detectan riesgos inaceptables, en consonancia con el artículo 85 del AI Act. A esto se suma el despliegue de una red de supervisión sectorial compleja: autoridades como el Banco de España y la CNMV vigilarán los sistemas de IA de alto riesgo en sus respectivos perímetros, mientras que la AEPD mantendrá sus criterios estrictos sobre el cumplimiento del RGPD. Una Comisión mixta de coordinación, presidida por la AESIA, articulará la cooperación entre todas estas autoridades de vigilancia del mercado.
Las 16 guías prácticas de la AESIA: el mapa de cumplimiento definitivo
Ante la vastedad de las obligaciones impuestas por el AI Act y el Anteproyecto de Ley, la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) publicó en diciembre de 2025 un conjunto histórico de 16 guías de apoyo al cumplimiento normativo. Como analizamos en profundidad en nuestro artículo anterior dedicado a las 16 guías de la AESIA, este corpus documental de 761 páginas marca un hito en la regulación europea al transitar de la abstracción legislativa a la ejecución técnica concreta, con el valor añadido de haber sido validado a través del sandbox regulatorio de IA en España.
El paquete incluye 2 guías divulgativas enfocadas en la alfabetización en IA y la comprensión general del Reglamento, y 13 guías de requisitos técnicos que profundizan en materias extremadamente críticas para las pymes que adopten los casos de uso de Red.es: gestión de riesgos algorítmicos (artículo 9), gobernanza y calidad de los datos de entrenamiento, transparencia hacia los usuarios finales, protocolos de ciberseguridad, sistema de gestión de la calidad (artículo 17) y evaluación de la conformidad (artículo 43). Lo más trascendental para la práctica jurídica es que estas guías se complementan con checklists exhaustivos para cada obligación específica. Estos checklists han sido concebidos como herramientas directas para orientar el establecimiento de la gobernanza interna y los procedimientos de calidad dentro de las empresas. Desde una perspectiva de defensa legal, su cumplimentación exhaustiva no es una mera formalidad burocrática: constituye la prueba documental fehaciente de la diligencia debida en caso de auditoría, investigación o reclamación por daños algorítmicos. En un escenario donde las autoridades de supervisión intensificarán su actividad inspectora, disponer de estos registros puede marcar la diferencia entre una sanción millonaria y la demostración de un cumplimiento proactivo y diligente.
Delvy como puente estratégico: convertir la subvención en ventaja competitiva segura
En Delvy, entendemos que la convergencia entre la oportunidad de Red.es y el laberinto regulatorio exige un enfoque de asesoramiento que trascienda la mera revisión documental. Nuestro equipo de IP/IT/AI ofrece una visión integral que permite a las startups y pymes integrar estas subvenciones sin destruir su negocio por contingencias legales, convirtiendo la carga de cumplimiento en una ventaja competitiva tangible y diferencial frente a competidores menos previsores.
Nuestra propuesta de valor se articula en torno a cuatro ejes fundamentales. En primer lugar, realizamos una auditoría de clasificación de riesgo del sistema de IA que la empresa pretende desplegar, determinando si se encuadra en la categoría de alto riesgo y anticipando las obligaciones de conformidad aplicables. En segundo lugar, diseñamos la arquitectura de gobernanza interna conforme a las 16 guías de la AESIA, implementando los checklists como prueba de diligencia debida desde el primer día de operación del sistema. En tercer lugar, aseguramos el cumplimiento de la obligación de etiquetado del Anteproyecto de Ley, revisando interfaces de usuario, chatbots y materiales de comunicación para garantizar que los contenidos generados por IA se identifiquen correctamente en la primera interacción con el usuario final. En cuarto lugar, preparamos a la empresa para los escenarios de supervisión sectorial, identificando qué autoridad competente fiscalizará su actividad y anticipando los criterios de inspección aplicables a su sector concreto.
La inyección de 40 millones de euros por parte de Red.es es una oportunidad histórica para el tejido productivo español. Pero la proliferación inminente de al menos 30 casos de uso operativos chocará frontalmente con la arquitectura punitiva más sofisticada del continente europeo. La dicotomía entre adopción tecnológica y adecuación normativa no es una disyuntiva teórica: es la realidad operativa que definirá qué empresas prosperan y cuáles sucumben ante el tsunami regulatorio que ya está aquí.
No permitas que la innovación tecnológica se convierta en una contingencia legal que amenace la viabilidad de tu negocio. Contacta con Delvy. Somos el despacho de referencia que permite a startups y pymes adoptar la inteligencia artificial y adecuarse al marco regulatorio sin fisuras. Juntos, construiremos la arquitectura de gobernanza que tu empresa necesita para liderar en la era algorítmica con plena seguridad jurídica.
José Morato – IP-IT & AI Partner y Pablo Sáez – AI Senior Counsel
