El Gobierno aprueba el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial
El pasado 12 de junio de 2026 se publicó en el Boletín Oficial de las Cortes Generales el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial (en adelante, el “Proyecto” o la “LOIA”), tras el acuerdo adoptado por la Mesa del Congreso de los Diputados el 8 de junio de 2026, por el que se encomienda su dictamen a la Comisión de Economía, Comercio y Transformación Digital y se abre un plazo de enmiendas de quince días hábiles que finaliza el 30 de junio de 2026.
El Proyecto tiene por objeto adaptar el régimen jurídico español al Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (en adelante, el “RIA” o el “Reglamento de IA”). La norma no reproduce las obligaciones ya previstas en el Reglamento, que es directamente aplicable, sino que se limita a desarrollar los aspectos que este delega expresamente en los Estados miembros, evitando duplicidades en nuestro ordenamiento.
A tal efecto, regula:
1. El régimen de gobernanza y supervisión en el ámbito nacional, mediante la designación de las autoridades nacionales competentes:
La LOIA adapta el marco de gobernanza y supervisión del RIA, distinguiendo entre la autoridad notificante y las autoridades de vigilancia del mercado, a las que se atribuye la potestad sancionadora. Se designa como autoridad notificante a la Dirección General de Inteligencia Artificial, dentro de la Secretaría de Estado de Digitalización e Inteligencia Artificial, responsable de la evaluación, designación y supervisión de los organismos de evaluación de la conformidad, apoyándose para ello en la Entidad Nacional de Acreditación (ENAC).
Se opta por un modelo de supervisión descentralizado. Se designa a la AESIA como autoridad de vigilancia del mercado y asume, entre otros, los sistemas de alto riesgo en materia de infraestructuras críticas, educación, empleo o biometría no reservada a otras autoridades, así como las obligaciones de transparencia del artículo 50 del RIA.
Así mismo se designan como autoridades sectoriales a la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, asumiendo estas los sistemas de biometría, migración y gestión de fronteras. Por su parte, el Consejo General del Poder Judicial, asume los sistemas relativos a la Administración de Justicia. Y, el Banco de España, la CNMV y la Dirección General de Seguros y Fondos de Pensiones, los sistemas de evaluación de solvencia y de seguros de vida y salud, en sus respectivos ámbitos.
Se atribuye en todo caso a la AESIA el rol de punto de contacto único asumiendo la interlocución con las autoridades y organismos europeos de IA.
Por otro lado, se articula un sistema de reclamaciones que permite a cualquier persona física o jurídica poner en conocimiento de las autoridades los posibles incumplimientos del Reglamento, mediante una ventanilla única gestionada por la AESIA, que deberá remitirlas a la autoridad de vigilancia competente en un plazo máximo de diez días hábiles desde su recepción, sin que su presentación confiera la condición de interesado en un eventual procedimiento sancionador. Se prevé igualmente en el artículo 10 un régimen específico de protección de las personas informantes, en línea con la Ley 2/2023, de 20 de febrero.
2. La gobernanza de los espacios controlados de pruebas para la IA previstos en el artículo 57 del RIA:
La LOIA regula los espacios controlados de pruebas para la IA, orientados a fomentar la innovación y a facilitar el desarrollo, las pruebas y la validación de sistemas innovadores antes de su comercialización. La AESIA será la autoridad responsable del espacio de obligada creación conforme al artículo 57.1 del RIA, si bien podrán crearse espacios adicionales por las autoridades competentes dentro de su ámbito de competencia.
La transposición derogatoria única deroga el Real Decreto 817/2023 de 8 de noviembre que establecía un entorno controlado de pruebas para el ensayo del cumplimiento de lo que entonces era aún una propuesta de Reglamento Europeo de IA.
3. Las medidas organizativas para promover el buen uso de la IA en el sector público estatal:
El capítulo IV de la LOIA recoge las actuaciones para el buen uso de la IA en el sector público estatal, entre las que destacan:
- Inventario de sistemas de IA: la obligación de elaborar un inventario interoperable con el registro europeo de sistemas de alto riesgo, con determinadas excepciones (defensa, seguridad nacional, ciberseguridad o prevención del fraude).
- Delegado de IA: la designación, por cada entidad del sector público, de un delegado de inteligencia artificial encargado de coordinar la correcta aplicación del marco regulatorio y el buen uso de esta tecnología.
- Concienciación y formación: la promoción de actuaciones de divulgación y formación en el desarrollo y uso responsable, sostenible y confiable de la IA.
4. El régimen sancionador aplicable a los sistemas de IA por incumplimiento del RIA:
Por útlimo, la LOIA establece la clasificación de las infracciones y el régimen sancionador, en cumplimiento del mandato del artículo 99 del RIA conforme al siguiente cuadro[1]:
Categoría | Conductas | Sujetos | Sanción máxima |
Muy grave (art. 14 LOIA) | Uso o puesta en servicio de prácticas de IA prohibidas por el artículo 5 del RIA (manipulación subliminal, puntuación social, identificación biométrica remota en tiempo real no autorizada, etc.). | Proveedor, responsable del despliegue o cualquier sujeto que introduzca, ponga en servicio o utilice el sistema. | 35.000.000 € o 7 % del volumen de negocios mundial. |
Muy grave (art.15 LOIA) | Falta de notificación de un incidente grave a la autoridad de vigilancia del mercado competente (art. 73 RIA). | Proveedores (y responsables del despliegue en su defecto). | 15.000.000 € o 3 % del volumen de negocios mundial. |
Grave (art.17 LOIA) | Introducción en el mercado de sistemas de alto riesgo sin sistema de gestión de la calidad, sin evaluación de conformidad previa, sin documentación técnica o sin representante autorizado. | Proveedores. | 7.500.000 € o 1 % del volumen de negocios mundial. |
Grave (art. 21 LOIA) | Incumplimiento de las obligaciones de supervisión humana, falta de evaluación de impacto sobre derechos fundamentales (art. 27 RIA) o uso de identificación biométrica remota sin autorización. | Responsables del despliegue. | 7.500.000 € o 1 % del volumen de negocios mundial |
Grave (art. 19 y 20 LOIA) | Falta de verificación de la conformidad del sistema antes de su introducción en el mercado. | Importadores y distribuidores. | 7.500.000 € o 1 % del volumen de negocios mundial. |
Grave (art.16 LOIA) | Resistencia u obstrucción a la inspección, incumplimiento de medidas provisionales impuestas por la autoridad de vigilancia, y presentación de información engañosa a los organismos notificados o a las autoridades nacionales. | Cualquier operador. | 7.500.000 € o 1 % del volumen de negocios mundial. |
Grave (art. 17 y 21 LOIA) | No informar al usuario de que interactúa con un sistema de IA o no marcar debidamente los contenidos sintéticos generados por IA. | Proveedores y responsables del despliegue. | 7.500.000 € o 1 % del volumen de negocios mundial. |
Leve (arts. 23 a 29 LOIA) | Aportación de información inexacta o incompleta a las autoridades o a los organismos notificados, incumplimiento de obligaciones formales de marcado, falta de declaración UE de conformidad, o incumplimientos de identificación y documentación. | Cualquier operador. | 500.000 € o 0,5 % del volumen de negocios mundial. |
5. Disposiciones finales:
Entre las disposiciones finales destacan la modificación de la Ley General Tributaria, para reforzar el carácter reservado de los sistemas algorítmicos y de IA utilizados en la prevención y control del fraude tributario, la modificación de la Ley General de la Seguridad Social y, la modificación de la Ley Orgánica del Régimen Electoral General, que designa a la AESIA como autoridad de vigilancia del mercado de los sistemas de IA empleados en procesos democráticos. Asimismo, la disposición adicional segunda prevé la adaptación de la AESIA, en el plazo de seis meses, a una entidad de derecho público dotada de plena independencia orgánica y funcional.
Como siguientes pasos, el Proyecto continúa su tramitación parlamentaria, encontrándose abierto el plazo de presentación de enmiendas hasta el 30 de junio de 2026. Dado el carácter orgánico de determinados preceptos y su estrecha vinculación con el Reglamento de IA, su aprobación definitiva exigirá seguir de cerca tanto el debate parlamentario como el calendario de aplicación del propio Reglamento, cuyas obligaciones se despliegan de forma progresiva.
[1] En el caso de pymes y empresas emergentes, se aplicará el menor de los dos importes (porcentaje del volumen de negocios mundial o cuantía fija), conforme al artículo 99.6 del RIA. Para las entidades del sector público y los órganos constitucionales o con relevancia constitucional, no procede la imposición de multas administrativas, sino apercibimiento y adopción de medidas correctoras, de acuerdo con el artículo 39 del Proyecto.
Nota informativa del área de TMT de ECIJA Madrid.
