O Governo aprova o projeto de Lei Orgânica sobre a utilização responsável e a governação da inteligência artificial
Em 12 de junho de 2026, o Projeto de Lei Orgânica sobre a Utilização Adequada e a Governação da Inteligência Artificial (doravante designado por «Projeto» ou«LOIA») foi publicado no Jornal Oficial do Parlamento espanhol, na sequência da decisão adotada pela Mesa do Congresso dos Deputados em 8 de junho de 2026, que remeteu o projeto de lei à Comissão de Economia, Comércio e Transformação Digital para que esta emitisse o seu parecer e abriu um prazo de quinze dias úteis para a apresentação de alterações, que terminou a 30 de junho de 2026.
O objetivo do projeto de lei é harmonizar a legislação espanhola com o Regulamento (UE) n.º 2024/1689 do Parlamento Europeu e do Conselho, de 13 de junho de 2024, que estabelece regras harmonizadas em matéria de inteligência artificial (doravante designado «RIA» ou«Regulamento da IA»). A legislação não reproduz as obrigações já estabelecidas no regulamento, que é diretamente aplicável, mas limita-se a aprofundar os aspetos que o regulamento delega expressamente aos Estados-Membros, evitando assim a duplicação no nosso ordenamento jurídico.
Para o efeito, regula:
1. O quadro de governação e supervisão a nível nacional, através da designação das autoridades nacionais competentes:
A LOIA adapta o quadro de governação e supervisão do Regulamento da IA, distinguindo entre a autoridade notificante e as autoridades de fiscalização do mercado, às quais é conferido o poder de impor sanções. A Direção-Geral de Inteligência Artificial, no âmbito da Secretaria de Estado para a Digitalização e a Inteligência Artificial, é designada como autoridade notificante. É responsável pela avaliação, designação e supervisão dos organismos de avaliação da conformidade, contando com o apoio do Organismo Nacional de Acreditação (ENAC).
Foi adotado um modelo de supervisão descentralizado. A AESIA é designada como autoridade de fiscalização do mercado e é responsável, entre outras coisas, pelos sistemas de alto risco relacionados com infraestruturas críticas, educação, emprego ou biometria não reservados a outras autoridades, bem como pelas obrigações de transparência previstas no artigo 50.º do Regulamento relativo à IA.
Da mesma forma, a Agência Espanhola de Proteção de Dados e as autoridades regionais de proteção de dados são designadas como autoridades setoriais, assumindo estas últimas a responsabilidade pelos sistemas relacionados com a biometria, a migração e a gestão das fronteiras. Por seu lado, o Conselho Geral do Poder Judicial é responsável pelos sistemas relacionados com a administração da justiça. Além disso, o Banco de Espanha, a CNMV e a Direção-Geral de Seguros e Fundos de Pensões são responsáveis pelos sistemas de avaliação de solvência e pelos sistemas de seguros de vida e de saúde, no âmbito das respetivas áreas de competência.
Em todos os casos, a AESIA é designada como ponto de contacto único, responsável pela articulação com as autoridades e organismos europeus no domínio da IA.
Além disso, é criado um sistema de reclamações que permite a qualquer pessoa singular ou coletiva comunicar às autoridades eventuais violações do Regulamento através de um balcão único gerido pela AESIA, que deve encaminhar essas reclamações para a autoridade de supervisão competente no prazo máximo de dez dias úteis a contar da receção, sem que tal apresentação confira o estatuto de parte interessada em quaisquer processos disciplinares subsequentes. O artigo 10.º prevê igualmente um regime específico para a proteç�ão dos denunciantes, em conformidade com a Lei n.º 2/2023, de 20 de fevereiro.
2. A governação dos ambientes de teste controlados para a IA previstos no artigo 57.º do RIA:
A LOIA regula os ambientes de teste controlados para a IA, com o objetivo de promover a inovação e facilitar o desenvolvimento, o teste e a validação de sistemas inovadores antes da sua comercialização. A AESIA será a autoridade responsável pelo ambiente de ensaio que deve ser criado nos termos do artigo 57.º, n.º 1, do RIA, embora possam ser criados ambientes de ensaio adicionais pelas autoridades competentes no âmbito das respetivas esferas de competência.
A transposição derrogatória única revoga o Real Decreto n.º 817/2023, de 8 de novembro, que estabelecia um ambiente de testes controlado para avaliar a conformidade com o que, na altura, ainda era um projeto de regulamento europeu relativo à IA.
3. Medidas organizacionais para promover a utilização responsável da IA no setor público estatal:
O Capítulo IV da LOIA estabelece as medidas para a utilização responsável da IA no setor público estatal, incluindo as seguintes:
- Inventário de sistemas de IA: a obrigação de elaborar um inventário interoperável com o registo europeu de sistemas de alto risco, salvo determinadas exceções (defesa, segurança nacional, cibersegurança ou prevenção da fraude).
- Responsável pela IA: a nomeação, por cada entidade do setor público, de um responsável pela IA encarregado de coordenar a correta aplicação do quadro regulamentar e a utilização responsável desta tecnologia.
- Sensibilização e formação: a promoção de iniciativas de sensibilização e formação sobre o desenvolvimento e a utilização responsáveis, sustentáveis e fiáveis da IA.
4. O regime sancionatório aplicável aos sistemas de IA em caso de incumprimento da RIA:
Por último, a LOIA estabelece a classificação das infrações e o regime sancionatório, em conformidade com o disposto no artigo 99.º da RIA, conforme ilustrado na tabela abaixo[1]:
Categoria | Conduta | Partes | Sanção máxima |
Muito grave (artigo 14.º da LOIA) | Utilização ou implementação de práticas de IA proibidas pelo artigo 5.º do RIA (manipulação subliminar, pontuação social, identificação biométrica remota em tempo real não autorizada, etc.). | Fornecedor, a parte responsável pela implementação ou qualquer pessoa que introduza, coloque em funcionamento ou utilize o sistema. | 35 000 000 € ou 7 % do volume de negócios global. |
Muito grave (artigo 15.º da LOIA) | Omissão de notificação à autoridade competente de fiscalização do mercado de um incidente grave (artigo 73.º do RIA). | Prestadores de serviços (e, na sua falta, os responsáveis pela implantação). | 15 000 000 de euros ou 3 % do volume de negócios global. |
Grave (artigo 17.º da LOIA) | Colocação no mercado de sistemas de alto risco sem um sistema de gestão da qualidade, sem avaliação prévia da conformidade, sem documentação técnica ou sem um representante autorizado. | Fornecedores. | 7 500 000 € ou 1 % do volume de negócios global. |
Grave (Artigo 21.º da LOIA) | Incumprimento das obrigações de supervisão humana, não realização de uma avaliação de impacto sobre os direitos fundamentais (artigo 27.º do RIA) ou utilização não autorizada de identificação biométrica à distância. | Os responsáveis pela implementação. | 7 500 000 € ou 1 % do volume de negócios global |
Grave (Artigos 19.º e 20.º da LOIA) | Incumprimento da obrigação de verificar a conformidade do sistema antes da sua colocação no mercado. | Importadores e distribuidores. | 7 500 000 € ou 1 % do volume de negócios global. |
Grave (Artigo 16.º da LOIA) | Resistência ou obstrução a uma inspeção, incumprimento das medidas provisórias impostas pela autoridade de supervisão e apresentação de informações enganosas a organismos notificados ou a autoridades nacionais. | Qualquer operador. | 7 500 000 € ou 1 % do volume de negócios global. |
Grave (Artigos 17.º e 21.º da LOIA) | Não informar o utilizador de que está a interagir com um sistema de IA ou não identificar adequadamente o conteúdo sintético gerado pela IA. | Prestadores de serviços e responsáveis pela implementação. | 7 500 000 € ou 1 % do volume de negócios global. |
Menor (Artigos 23.º a 29.º da LOIA) | Fornecimento de informações imprecisas ou incompletas às autoridades ou aos organismos notificados, incumprimento das obrigações formais de rotulagem, ausência de uma declaração de conformidade da UE ou infrações relacionadas com a identificação e a documentação. | Qualquer operador. | 500 000 € ou 0,5 % do volume de negócios global. |
5. Disposições finais:
Entre as disposições finais, destacam-se a alteração à Lei Geral Tributária, destinada a reforçar o caráter confidencial dos sistemas algorítmicos e de IA utilizados na prevenção e no controlo da fraude fiscal, a alteração à Lei Geral da Segurança Social; e a alteração à Lei Orgânica do Sistema Eleitoral Geral, que designa a AESIA como a autoridade de fiscalização do mercado para os sistemas de IA utilizados em processos democráticos. Além disso, a segunda disposição adicional prevê a transformação da AESIA, no prazo de seis meses, num organismo de direito público dotado de plena independência organizacional e funcional.
Como próximos passos, o projeto de lei prossegue o seu processo parlamentar, permanecendo aberto o prazo para a apresentação de alterações até 30 de junho de 2026. Dada a natureza orgânica de certas disposições e a sua estreita ligação ao Regulamento relativo à IA, a sua aprovação final exigirá um acompanhamento atento tanto do debate parlamentar como do calendário de implementação do próprio Regulamento, cujas obrigações estão a ser implementadas progressivamente.
[1] No caso das PME e das empresas em fase de arranque, aplica-se o montante mais baixo dos dois (percentagem do volume de negócios global ou montante fixo), em conformidade com o n.º 6 do artigo 99.º do Regulamento relativo à IA. No que diz respeito às entidades do setor público e aos órgãos constitucionais ou de importância constitucional, não serão aplicadas coimas administrativas; em vez disso, serão adotadas advertências e medidas corretivas, em conformidade com o artigo 39.º do Projeto.
Nota informativa do departamento de TMT da ECIJA Madrid.
