El Govern aprova l'esborrany de la Llei Orgànica sobre l'ús responsable i la governança de la intel·ligència artificial
El 12 de juny de 2026, l'Esborrany de Llei Orgànica sobre l'Ús Adequat i la Governança de la Intel·ligència Artificial (en endavant el "Borrador" o la "LOIA") es va publicar al Butlletí Oficial del Parlament Espanyol, d'acord amb la resolució adoptada per la Mesa del Congrés dels Diputats el 8 de juny de 2026, que va remetre el projecte de llei a la Comissió d'Economia, Comerç i Transformació Digital per a dictamen i va obrir un termini de quinze dies naturals per a esmenes, que va finalitzar el 30 de juny de 2026.
L'objectiu del projecte de llei és adaptar el dret espanyol al Reglament (UE) 2024/1689 del Parlament Europeu i del Consell, de 13 de juny de 2024, que estableix normes harmonitzades sobre la intel·ligència artificial (en endavant, «RIA» o«Reglament sobre la IA»). La legislació no reprodueix les obligacions ja establertes al Reglament, que és d'aplicació directa, sinó que simplement desenvolupa aquells aspectes que el Reglament delega expressament als estats membres, evitant així la duplicació dins del nostre sistema jurídic.
Amb aquesta finalitat, regula:
1. El marc de governança i supervisió a escala nacional, mitjançant la designació de les autoritats nacionals competents:
La LOIA adapta el marc de governança i supervisió del Reglament d'IA, distingint entre l'autoritat notificant i les autoritats de vigilància del mercat, a les quals s'atorga la facultat d'imposar sancions. La Direcció General d'Intel·ligència Artificial, dins de la Secretaria d'Estat de Digitalització i Intel·ligència Artificial, es designa com a autoritat notificant. És responsable de l'avaluació, la designació i la supervisió dels organismes d'avaluació de la conformitat, amb el suport de l'Organisme Nacional d'Acreditació (ENAC).
S'ha adoptat un model de supervisió descentralitzat. L'AESIA està designada com a autoritat de vigilància del mercat i és responsable, entre altres coses, dels sistemes d'alt risc relacionats amb infraestructures crítiques, educació, ocupació o biometria no reservats a altres autoritats, així com de les obligacions de transparència establertes a l'article 50 de la RIA.
De la mateixa manera, l'Agència Espanyola de Protecció de Dades i les autoritats autonòmiques de protecció de dades estan designades com a autoritats sectorials, i aquestes últimes assumeixen la responsabilitat dels sistemes relacionats amb la biometria, la migració i la gestió de fronteres. Per la seva banda, el Consell General del Poder Judicial és responsable dels sistemes relacionats amb l'administració de justícia. A més, el Banc d'Espanya, la CNMV i la Direcció General d'Assegurances i Fons de Pensions són responsables dels sistemes d'avaluació de la solvència i dels sistemes d'assegurances de vida i de salut, dins de les seves respectives àrees de competència.
En tots els casos, l'AESIA està designada com a punt de contacte únic, responsable de la coordinació amb les autoritats i els organismes europeus d'IA.
A més, s'estableix un sistema de reclamacions que permet a qualsevol persona física o jurídica posar en coneixement de les autoritats les possibles infraccions del Reglament a través d'un punt únic gestionat per l'AESIA, que haurà de remetre aquestes reclamacions a l'autoritat supervisora competent en un termini màxim de deu dies laborables des de la seva recepció, sense que aquesta presentació atorgui la condició d'interessat en cap procediment disciplinari posterior. L'article 10 també preveu un règim específic per a la protecció dels denunciants, d'acord amb la Llei 2/2023, de 20 de febrer.
2. La governança dels entorns de prova controlats per a la IA prevista a l'article 57 del RIA:
La LOIA regula els entorns de prova controlats per a la IA, destinats a promoure la innovació i a facilitar el desenvolupament, la prova i la validació de sistemes innovadors abans de la seva comercialització. L'AESIA serà l'autoritat responsable de l'entorn de proves que s'ha d'establir d'acord amb l'article 57.1 de la RIA, tot i que les autoritats competents podran establir entorns de proves addicionals dins de les seves respectives àrees de competència.
La transposició derogatòria única deroga el Reial Decret 817/2023, de 8 de novembre, que establia un entorn de prova controlat per avaluar el compliment del que aleshores encara era un esborrany del Reglament Europeu sobre IA.
3. Mesures organitzatives per promoure l'ús responsable de la IA en el sector públic estatal:
El capítol IV de la LOIA estableix les mesures per a l'ús responsable de la IA en el sector públic estatal, que inclouen les següents:
- Inventari de sistemes d'IA: l'obligació d'elaborar un inventari interoperable amb el registre europeu de sistemes d'alt risc, amb certes excepcions (defensa, seguretat nacional, ciberseguretat o prevenció del frau).
- Responsable d'IA: el nomenament, per part de cada organisme del sector públic, d'un Responsable d'IA responsable de coordinar l'aplicació correcta del marc normatiu i l'ús responsable d'aquesta tecnologia.
- Sensibilització i formació: la promoció d'iniciatives de sensibilització i formació sobre el desenvolupament i l'ús responsables, sostenibles i de confiança de la IA.
4. El règim sancionador aplicable als sistemes d'IA per incompliment de la RIA:
Finalment, la LOIA estableix la classificació de les infraccions i el règim sancionador, d'acord amb les disposicions de l'article 99 de la RIA, tal com es mostra a la taula següent[1]:
Categoria | Conducta | Partides | Sanció màxima |
Molt greus (Article 14 LOIA) | Ús o desplegament de pràctiques d'IA prohibides per l'article 5 de la RIA (manipulació subliminal, puntuació social, identificació biomètrica remota no autoritzada en temps real, etc.). | Proveïdor, la part responsable del desplegament, o qualsevol persona que introdueixi, posi en servei o utilitzi el sistema. | 35.000.000 € o el 7 % de la facturació global. |
Molt greu (article 15 de la LOIA) | Incumpliment de l'obligació de notificar a l'autoritat competent de vigilància del mercat un incident greu (article 73 de la RIA). | Proveïdors (i, si no, els responsables de la implementació). | 15.000.000 € o el 3 % de la facturació global. |
Grèu (Article 17 de la LOIA) | Col·locar sistemes d'alt risc al mercat sense un sistema de gestió de la qualitat, sense avaluació de conformitat prèvia, sense documentació tècnica o sense un representant autoritzat. | Proveïdors. | 7.500.000 € o l'1 % de la facturació mundial. |
Gravíssim (Article 21 de la LOIA) | Incumpliment de les obligacions de supervisió humana, manca de realització d'una avaluació d'impacte en els drets fonamentals (art. 27 RIA) o ús no autoritzat de la identificació biomètrica remota. | Els responsables de la implementació. | 7.500.000 € o l'1 % de la facturació mundial |
Gravíssim (Articles 19 i 20 de la LOIA) | Incumpliment de la verificació de la conformitat del sistema abans de la seva posada en el mercat. | Importadors i distribuïdors. | 7.500.000 € o l'1 % de la facturació mundial. |
Grèu (Article 16 de la LOIA) | Resistència o obstrucció a una inspecció, incompliment de les mesures provisionals imposades per l'autoritat de supervisió i la presentació d'informació enganyosa als organismes notificats o a les autoritats nacionals. | Qualsevol operador. | 7.500.000 € o l'1 % de la facturació mundial. |
Grèu (Articles 17 i 21 de la LOIA) | No informar l'usuari que està interactuant amb un sistema d'IA o no etiquetar correctament el contingut sintètic generat per IA. | Proveïdors i responsables de la implementació. | 7.500.000 € o l'1 % de la facturació mundial. |
Menor (Articles 23 a 29 de la LOIA) | Proporcionar informació inexacta o incompleta a les autoritats o als organismes notificats, incompliment de les obligacions formals d'etiquetatge, manca de declaració de conformitat de la UE o infraccions relacionades amb la identificació i la documentació. | Qualsevol operador. | 500.000 € o el 0,5 % de la facturació mundial. |
5. Disposicions finals:
Cal destacar entre les disposicions finals l'esmena a la Llei General Tributària, per reforçar la naturalesa confidencial dels sistemes algorítmics i d'IA utilitzats en la prevenció i el control del frau fiscal, l'esmena de la Llei general de la Seguretat Social; i l'esmena de la Llei orgànica del règim electoral general, que designa l'AESIA com a autoritat de vigilància del mercat dels sistemes d'IA utilitzats en els processos democràtics. A més, la segona disposició addicional preveu la transformació de l'AESIA, en un termini de sis mesos, en un organisme de dret públic dotat d'independència organitzativa i funcional plena.
Com a passos següents, el projecte de llei continua el seu procés parlamentari, amb el termini per a la presentació d'esmenes obert fins al 30 de juny de 2026. Donada la naturalesa orgànica de certes disposicions i el seu estret vincle amb el Reglament de la IA, la seva aprovació definitiva requerirà un seguiment acurat tant del debat parlamentari com del calendari d'implementació del mateix Reglament, les obligacions del qual s'estan desplegant progressivament.
[1] En el cas de les pimes i les start-ups, s'aplicarà la quantitat més baixa de les dues (percentatge de la facturació global o una suma fixa), d'acord amb l'article 99.6 del Reglament sobre IA. Per a les entitats del sector públic i els organismes constitucionals o d'importància constitucional, no s'imposaran sancions administratives; en canvi, s'adoptaran advertiments i mesures correctores, d'acord amb l'article 39 de l'Esborrany.
Nota informativa del departament TMT d'ECIJA Madrid.
