El Consejo de Ministros, en su sesión del día 26 de mayo de 2026, aprobó la remisión al Congreso de los Diputados del Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial (en adelante, “PLOIA”) para su tramitación parlamentaria. El PLOIA fue publicado en el Boletín Oficial del Congreso de los Diputados nº A-97-1 el pasado 12 de junio. Será tras dicha tramitación parlamentaria cuando, en su caso, se apruebe la Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial. Al tratarse de una Ley Orgánica, su aprobación se requiere de la mayoría absoluta del Congreso.
El PLOIA, que se somete ahora a su tramitación parlamentaria durante la que los partidos políticos podrán presentar enmiendas, tiene por objeto adaptar el ordenamiento jurídico español al Reglamento europeo de IA (“RIA”). En concreto, el PLOIA, entre otras medidas:
- Identifica los organismos competentes en materia de IA en España, pudiendo destacar al respecto lo mencionado en nuestro anterior post;
- Crea y regula el procedimiento de reclamaciones ante una autoridad de vigilancia del mercado.
- Regula los espacios controlados de pruebas para la IA.
- Establece disposiciones aplicables para garantizar el buen uso de la IA en el sector público estatal, para lo que establece obligaciones de transparencia (publicidad activa) y crea un inventario de sistemas de IA utilizados en procedimientos administrativos, y
- Establece un régimen sancionador, que se rige por los principios de proporcionalidad y eficacia. Se regula tanto la parte sustantiva como la procedimental.
- Permite a las autoridades tributarias el uso de sistemas de IA para la prevención y control del fraude tributario.
- Prevé la creación de un registro de sistemas de alto riesgo asociados a infraestructuras críticas.
El PLOIA designa a la Dirección General de Inteligencia Artificial, dentro de la Secretaría de Estado de Digitalización e Inteligencia Artificial del Ministerio para la Transformación Digital y de la Función Pública, como autoridad notificante a efectos del RIA. También identifica un total de ocho (8) autoridades de vigilancia del mercado en el ámbito estatal, a las que les corresponde las funciones de vigilancia, inspección y la potestad sancionadora de los sistemas de IA. Pero el número de autoridades de vigilancia del mercado es mayor, porque hay que añadir también las autoridades de vigilancia del mercado de ámbito autonómico correspondientes a los productos con regulación armonizada del Anexo I del RIA.
Las autoridades de ámbito estatal son las siguientes: en el ámbito de sus competencias, a la AESIA; a la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus respectivas competencias; al Consejo General del Poder Judicial; al Banco de España; a la Comisión Nacional del Mercado de Valores; a la Dirección General de Seguros y Fondos de Pensiones. Y en aquellos casos no contemplados expresamente en la ley, le corresponderá al Consejo de Ministros, mediante Acuerdo y a propuesta de la Secretaría de Estado de Digitalización e Inteligencia Artificial, designar a las autoridades de vigilancia del mercado de que se trate.
La regulación de las reclamaciones aclara que el reclamante no adquiere por esa sola razón la condición de interesado en el procedimiento, e incluye una medida de protección del informante.
El impulso del buen uso de la IA en el sector público estatal incluye el establecimiento de una obligación de publicidad activa y la creación del inventario de sistemas de IA para el sector público estatal, interoperable con el registro de sistemas de alto riesgo de la Unión Europea. Hay una lista de sistemas excluidos, como por ejemplo los relativos a la ciberseguridad. Los sistemas utilizados en la prevención y control del fraude tributario se inscribirán en términos compatibles con el carácter reservado de la información. Se obliga a designar un delegado de IA en cada entidad del sector público estatal.
En el caso de las infracciones, éstas se clasifican en leves (prescriben al año), graves (prescriben a los tres años) y muy graves (prescriben a los cinco años), previéndose sanciones que, en virtud del principio de proporcionalidad, van desde una cuantía de hasta 500.000 euros o, en el caso de empresas, el 0,5% del volumen de negocio para las leves hasta los 35.000.000 euros o, en el caso de las empresas, hasta el 7 % del volumen de negocio en caso de las infracciones muy graves. Además, en el caso de infracciones muy graves por prácticas de IA prohibidas y en las infracciones en que un sistema de IA haya causado un incidente grave, podrá imponerse adicionalmente la retirada del producto, la desconexión del sistema de IA o su prohibición, cuando la autoridad de vigilancia del mercado resuelva de forma motivada que el sistema de IA constituye un riesgo inaceptable o grave para las personas. En el caso de las PYMEs, incluidas las empresas emergentes, se prevé que las multas puedan fijarse en el porcentaje del volumen de negocios mundial total correspondiente al ejercicio anterior o los importes ya mencionados, según cuál de ellos sea menor.
Si el infractor es una entidad del sector público, un órgano constitucional o con relevancia constitucional o una institución de una Comunidad Autónoma análoga a aquéllos, se dictará resolución declarando la infracción, apercibiendo a la entidad u órgano actuante, y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción, pero no se impondrá una sanción económica.
El proyecto incluye también una completa regulación del procedimiento sancionador.
