El Congreso inicia el trámite del proyecto de ley orgánica para el buen uso y la gobernanza de la inteligencia artificial

El Boletín Oficial de las Cortes Generales publicó, el 12-6-2026, el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial, que inicia su trámite parlamentario.

El proyecto llega al Congreso acompañado de amplia documentación, a la que añadirá el dictamen a la Comisión de Economía, Comercio y Transformación Digital y las enmiendas que se presenten hasta el 30-6-2026.

Resumimos las cuestiones más relevantes a continuación.

Comparación con el anteproyecto

Las diferencias principales respecto al anteproyecto conocido son:

• Elimina la regulación específica sobre:
  • el uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público, incluido el procedimiento de autorización judicial;
  • los límites personales, temporales y geográficos, y
  • el anexo de supuestos permitidos.
• Incorpora un capítulo específico sobre el buen uso de la inteligencia artificial (IA) en el sector público estatal.
• Refuerza la regulación de los espacios controlados de pruebas, que pasan a configurarse como un bloque autónomo en el proyecto.
• Refuerza el papel de la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) como punto de contacto único.
• Añade un sistema de reclamaciones y un régimen de protección de informantes, y modifica la atribución de competencias sobre procesos democráticos.
• Sobre sanciones:
  • elimina los importes mínimos,
  • reduce los porcentajes máximos previstos para infracciones graves y leves,
  • concreta las medidas accesorias y provisionales,
  • desarrolla reglas específicas sobre publicación de sanciones, pago voluntario, entidades del sector público y sucesores de personas jurídicas, y
  • desaparece la aplicación escalonada del régimen sancionador.

Objeto y ámbito de aplicación

Finalidad de la norma

Los objetivos de la futura norma son:

• la gobernanza y supervisión nacional,
• la gobernanza de espacios controlados de pruebas,
• las medidas organizativas para promover el buen uso de la IA en el sector público estatal, y
• el régimen sancionador aplicable a sistemas de IA introducidos en el mercado, puestos en servicio o utilizados en territorio español por incumplimientos del reglamento europeo.¹

Entidades afectadas

Son los operadores de sistemas de IA definidos en el reglamento de IA, las autoridades notificantes, los organismos notificados y autoridades de vigilancia del mercado designadas en la ley. Más en concreto:

• proveedores de sistema de IA y de modelos IA de uso general,
• responsables del despliegue de sistemas de IA,
• fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con sus propio nombre o marca,
• representantes autorizados de proveedores que no estén establecidos en la Unión,
• importadores y distribuidores de sistemas de IA,
• autoridades notificantes, organismos notificados y autoridades de vigilancia del mercado designadas en el proyecto.

Autoridades competentes y de supervisión

Son:

1. La Dirección General de Inteligencia Artificial, dentro de la Secretaría de Estado de Digitalización e Inteligencia Artificial, será la autoridad notificante y se apoyará en la Entidad Nacional de Acreditación (ENAC) para evaluar y supervisar los organismos de evaluación de la conformidad.
2. La Agencia Española de Supervisión de Inteligencia Artificial será el punto de contacto único y asumirá funciones como autoridad de vigilancia del mercado para determinados sistemas de IA, incluidos los vinculados a prácticas prohibidas, biometría, infraestructuras críticas, educación y formación profesional, empleo, servicios esenciales, equipos radioeléctricos y obligaciones de transparencia.
3. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos para determinados sistemas vinculados a prácticas prohibidas, biometría, migración, asilo y gestión del control fronterizo.
4. El Banco de España y la Comisión Nacional del Mercado de Valores para los sistemas de IA de alto riesgo de evaluación de solvencia o calificación crediticia, y la Dirección General de Seguros y Fondos de Pensiones para los sistemas de evaluación de riesgos y fijación de precios en seguros de vida y salud.
5. El Consejo General del Poder Judicial será la autoridad de vigilancia para determinados sistemas en justicia y garantía del cumplimiento del Derecho.

Espacios controlados de pruebas

El proyecto regula la gobernanza de los espacios controlados de pruebas para la IA.

Estos espacios pretenden favorecer la innovación y facilitar el desarrollo, entrenamiento, prueba y validación de estos sistemas antes comercializarlos o ponerlos en servicio.

La AESIA será la autoridad competente para gestionar estos espacios.

Sector público estatal

Las entidades del sector público tendrán que informar sobre la utilización de sistemas de IA en el ejercicio de sus funciones.

En este sentido, el proyecto prevé inventariar los sistemas de IA, sin sustituir ni alterar las obligaciones de registro ya previstas en el reglamento de RIA, que incluirá, al menos, el proveedor, el responsable del despliegue y la categoría del sistema.

Las entidades del sector estatal promoverán actos de concienciación, divulgaciones y formación en el uso responsable, sostenible y confiable de IA.

Cada entidad del sector publico deberá asignar un delegado de IA, con conocimientos técnicos y de la regulación en esta materia.

Régimen sancionador

Clasificación de las sanciones

Clasifica las infracciones por incumplimiento del reglamento sobre inteligencia artificial en:

• Muy graves:
  • Introducir en el mercado, poner en servicio o utilizar sistemas prohibidos.
  • Omitir las notificaciones de incidentes graves por proveedores de sistemas de IA de alto riesgo o por el responsable del despliegue en defecto del proveedor.
• Graves:
  • Incumplir requisitos de registro, transparencia, de alto riesgo, de cooperación con autoridades o de medidas provisionales.
  • Emitir información engañosa.
  • Incumplir obligaciones específicas por operador.
• Leves:
  • Emitir información inexacta o incompleta,
  • Incumplir reglas de marcado, accesibilidad, de conservación documental o de otros deberes menores.

Importes máximos de las sanciones

Las sanciones pueden llegar a:

• 35 millones de euros o al 7 % del volumen de negocio mundial, para prácticas prohibidas;
• 15 millones de euros o al 3 %, en otras infracciones muy graves;
• 7,5 millones de euros o al 1 %, en infracciones graves, y
• 500.000 euros o al 0.5 %, en infracciones leves.

Medidas adicionales

Además, podrán:

1. imponer la retirada del producto, la desconexión del sistema de IA o su prohibición, cuando el sistema constituya un riesgo inaceptable o grave para las personas, y
2. aplicar medidas provisionales para aplicar la resolución sancionadora como:
   • requerir que se adapte el sistema de IA;
   • impedir comercializar un sistema de IA que esté en la cadena de suministro;
   • devolver el sistema al proveedor, inutilizarlo o desactivar su uso inmediatamente, y alertar al público del riesgo;
   • alertar de forma adecuada a las personas usuarias finales del riesgo.

Las infracciones y sanciones prescribirán al año si son leves, a los tres años si son graves y a los cinco años si son muy graves.

Entrada en vigor y disposiciones finales

El proyecto prevé las siguientes:

1. Entrada en vigor:
   • Al día siguiente de su promulgación.
   • La disposición adicional tercera, sobre la modificación de la Ley Orgánica 5/1985, entrará en vigor en la misma fecha que la norma de adaptación del régimen jurídico de la AESIA.
2. Otras actuaciones:
   • El Gobierno impulsará la adaptación de la AESIA como entidad de derecho público dentro de los seis meses desde la entrada en vigor.
   • Deroga, en particular, el Real Decreto 817/2023, sobre el entorno controlado de pruebas.
   • Modifica, entre otras, la Ley General Tributaria, el texto refundido de la Ley General de la Seguridad Social y la Ley Orgánica del Régimen Electoral General.