Skip to content
Confir.
Prueba gratuita
Blog

La Ley de IA de la UE en Portugal: ANACOM, autoridades designadas y obligaciones empresariales

Country Guide2 April 2026· 25 min de lectura

ANACOM lidera la ejecución de la Ley de IA de la UE en Portugal, coordinando 14 autoridades. Abarca las sanciones, el solapamiento RGPD/EIDF y el plazo de alto riesgo de dic. de 2027.

Portugal avanzó más rápido que la mayoría de los Estados miembros de la UE en uno de los requisitos clave del Reglamento. Aunque la Ley de IA de la UE — el Reglamento (UE) 2024/1689 — entró en vigor en toda la Unión el 1 de agosto de 2024 y se aplica directamente en Portugal sin transposición, los Estados miembros todavía tenían que hacer algo que el Reglamento no podía hacer por ellos: designar a las autoridades nacionales competentes que realmente lo harían cumplir. Portugal completó esa designación en 2025, con su marco confirmado hacia septiembre de 2025, lo que lo sitúa entre los más tempranos en moverse de la UE.

La arquitectura que eligió Portugal es coordinada en lugar de fragmentada. ANACOM — la Autoridade Nacional de Comunicações, la autoridad nacional de comunicaciones de Portugal — se sitúa en el centro como autoridad de vigilancia del mercado, punto de contacto único para la Oficina de IA de la UE y coordinadora de catorce autoridades públicas designadas que abarcan distintos sectores y ámbitos de derechos fundamentales. Para las empresas que operan en Portugal, eso significa que hay una puerta de entrada clara al régimen de ejecución y un conjunto conocible de contrapartes sectoriales detrás de ella.

Un reglamento, no una directiva: no se requiere transposición portuguesa

La Ley de IA de la UE es un reglamento adoptado en virtud del artículo 288 del TFUE. Eso significa que tiene efecto directo — se aplica en Portugal tal como está redactado, sin que Portugal necesite aprobar una ley nacional de aplicación. Las empresas en Portugal no esperan a que exista una ley portuguesa de IA para que las obligaciones surtan efecto. Nunca lo hicieron.

Las prácticas prohibidas del Artículo 5 — la categorización biométrica por características sensibles, la puntuación social, la manipulación subliminal, la explotación de vulnerabilidades personales y la identificación biométrica remota en tiempo real en espacios públicos fuera de las exclusiones para la garantía del cumplimiento del Derecho — se aplican desde el 2 de febrero de 2025. Las obligaciones sobre los modelos de GPAI en virtud del capítulo V se aplican desde el 2 de agosto de 2025. El marco sancionador del Artículo 99 está activo desde esa misma fecha.

Lo que Portugal ha hecho a través de su proceso de designación es determinar quién hace cumplir estas obligaciones a nivel nacional — no crear nuevas obligaciones o un calendario distinto. La sustancia de lo que se exige proviene íntegramente de Bruselas.

El modelo de supervisión coordinado de Portugal

Portugal designó catorce autoridades públicas para supervisar y hacer cumplir la Ley de IA de la UE en sus respectivos ámbitos. ANACOM ostenta tres roles superpuestos dentro de esta estructura.

Como autoridad nacional de vigilancia del mercado (AVM), ANACOM es responsable de supervisar los sistemas de IA introducidos en el mercado portugués, llevar a cabo investigaciones de ejecución, recabar información de los operadores e imponer medidas correctivas y multas en virtud del Artículo 99. Como punto de contacto único (PCU), es la interfaz formal de Portugal con la Oficina de IA de la UE en Bruselas, a través de la cual fluye la información relacionada con la GPAI y se coordina la ejecución transfronteriza. Como coordinadora nacional, ANACOM es responsable de alinear el trabajo de las catorce autoridades designadas — garantizando que, cuando los sistemas de IA entren dentro de un sector regulado, la experiencia de la autoridad específica del sector informe la ejecución sin crear requisitos contradictorios.

Este modelo refleja la lógica del Artículo 70 del Reglamento, que otorga a los Estados miembros flexibilidad en cómo organizan la competencia nacional al tiempo que exige la designación de al menos una autoridad y un punto de contacto único.

La designación temprana y comparativamente asentada de Portugal es notable por razones prácticas. Las empresas pueden identificar a su regulador principal, contactar pronto y planificar las presentaciones. En los países donde la designación sigue pendiente o en disputa, las empresas se enfrentan a la incertidumbre sobre para quién están construyendo sus programas de cumplimiento. En Portugal, esa pregunta ya se ha respondido.

¿Quién hace cumplir la Ley de IA de la UE en Portugal?

ANACOM: vigilancia del mercado y coordinación

ANACOM toma la iniciativa en la ejecución general de la Ley de IA, encargándose de la vigilancia del mercado de los sistemas de IA que no entran de lleno dentro del ámbito regulado de otra autoridad. Su cometido abarca las obligaciones que se aplican de forma general: revisar la documentación técnica en virtud del Artículo 11, comprobar los registros de evaluación de la conformidad en virtud del Artículo 43, supervisar los registros poscomercialización en virtud del Artículo 72 y dictar órdenes correctivas o remitir sanciones cuando se hayan incumplido obligaciones.

Para las empresas que introducen productos de software de uso general o servicios habilitados por IA en el mercado portugués, ANACOM será probablemente la autoridad principal con la que se encuentren.

Autoridades sectoriales

Cuando los sistemas de IA operan en sectores regulados, la autoridad sectorial pertinente trabaja junto a ANACOM. Tres merecen una atención específica para la mayoría de los programas de cumplimiento.

El Banco de Portugal supervisa la IA desplegada por los bancos, las entidades de pago y los proveedores de crédito. Los sistemas de calificación crediticia, los modelos de concesión de préstamos y las herramientas de evaluación de fraude en el sector financiero se sitúan dentro de su competencia. El Anexo III, punto 5, letra b) — la solvencia y la calificación crediticia de personas físicas, excluida la detección de fraude — es una categoría de alto riesgo, y las entidades financieras portuguesas que utilicen tales herramientas deben tratar al Banco de Portugal como la contraparte pertinente cuando surjan dudas sobre la clasificación o el cumplimiento.

La CMVM (Comissão do Mercado de Valores Mobiliários, la Comisión del Mercado de Valores Mobiliarios de Portugal) supervisa la IA desplegada dentro de los mercados de valores. Para las empresas de inversión, los gestores de activos y los centros de negociación regulados por la CMVM, las obligaciones de la Ley de IA se superponen a la MiFID II y a los requisitos de integridad del mercado; la relación de supervisión ya existente de la CMVM con estas empresas es el canal natural para los asuntos de la Ley de IA dentro de su ámbito.

La CNPD (Comissão Nacional de Proteção de Dados) es la autoridad de protección de datos de Portugal. Su papel en el marco de la Ley de IA surge siempre que los sistemas de IA de alto riesgo tratan datos personales — lo que, en la práctica, abarca casi todos los sistemas del Anexo III. El RGPD y la Ley de IA de la UE discurren en paralelo; la CNPD no pierde su competencia de supervisión sobre el tratamiento de datos personales solo porque también se aplique una obligación de la Ley de IA. Las empresas deben esperar que la CNPD muestre un gran interés por los despliegues de alto riesgo que impliquen elaboración de perfiles, biometría o tratamiento a gran escala de información personal.

Oficina de IA de la UE: supervisión de los modelos de GPAI

Las empresas con sede en Portugal que desarrollan e introducen en el mercado modelos de IA de uso general — modelos fundacionales, grandes modelos de lenguaje, sistemas multimodales — no son supervisadas por ANACOM, sino directamente por la Oficina de IA de la UE en Bruselas. La Oficina de IA tiene competencia exclusiva sobre las obligaciones de los modelos de GPAI en virtud de los Artículos 53 y 55, incluidos los requisitos de documentación técnica, los deberes de información para los proveedores posteriores, las políticas de derechos de autor y — para los modelos de riesgo sistémico — las pruebas adversarias y la notificación de incidentes. ANACOM actúa como PCU a efectos de coordinación, pero los proveedores de modelos de GPAI deben participar en el proceso de los códigos de buenas prácticas de la Oficina de IA de la UE en lugar de tratar el cumplimiento de la GPAI como un asunto nacional.

Cómo interactúa el marco de Portugal con el RGPD

La CNPD es la autoridad de protección de datos de Portugal desde que el RGPD entró en vigor en 2018. Administra el RGPD — así como la ley portuguesa de aplicación, la Lei n.º 58/2019 — y ha acumulado práctica de supervisión en los servicios financieros, la sanidad, las telecomunicaciones y la administración pública. Ese conocimiento institucional configura directamente cómo se gestionará la intersección entre el RGPD y la Ley de IA en Portugal.

El solapamiento práctico más inmediato atañe a las evaluaciones de impacto. En virtud del artículo 35 del RGPD, una evaluación de impacto relativa a la protección de datos (EIPD) es obligatoria antes del tratamiento de alto riesgo de datos personales — y casi todos los sistemas de IA del Anexo III reúnen los requisitos. En virtud del Artículo 27 de la Ley de IA de la UE, determinados responsables del despliegue deben completar una evaluación de impacto relativa a los derechos fundamentales (EIDF) antes de poner en servicio un sistema de IA de alto riesgo. Ambos instrumentos exigen un análisis documentado previo al despliegue de los riesgos para las personas, y ambas evaluaciones deben ponerse a disposición de las autoridades de supervisión que las soliciten.

Las dos evaluaciones no son redundantes si se coordinan adecuadamente. El Artículo 27, apartado 4, de la Ley de IA de la UE permite explícitamente que la EIDF se base en una EIPD ya existente — el fundamento fáctico, los flujos de datos, el análisis de riesgos — sin repetir el trabajo ya realizado. Para un organismo público portugués o una empresa que despliega un sistema de evaluación de la solvencia o un modelo de riesgo de seguros de salud o de vida (las dos categorías ajenas a las autoridades públicas en las que se aplica la EIDF del Artículo 27), el enfoque práctico es realizar primero la EIPD y, después, ampliarla para cubrir el alcance de derechos fundamentales de la EIDF. La orientación de la CNPD sobre la EIPD proporciona la base; la EIDF de la Ley de IA añade el análisis de derechos más amplio.

Una segunda interacción atañe a los registros. El Artículo 12 de la Ley de IA de la UE exige que los sistemas de IA de alto riesgo produzcan registros automáticamente. Cuando esos registros capten datos personales — como ocurrirá habitualmente en los contextos de empleo, crédito y prestaciones públicas — también se aplican los requisitos del artículo 22 del RGPD sobre la toma de decisiones automatizada. El artículo 22 del RGPD exige que las personas sujetas a decisiones únicamente automatizadas con efectos significativos tengan derecho a la revisión humana, a una explicación y a la posibilidad de impugnar el resultado. El requisito de supervisión humana del Artículo 14 de la Ley de IA apunta en la misma dirección. Un prestamista portugués que opere un modelo de decisión crediticia automatizada debe cumplir ambos simultáneamente: los deberes del responsable del despliegue del Artículo 26 (incluida la supervisión del Artículo 14) y las salvaguardias del artículo 22 del RGPD. Documentar cómo funciona el paso de revisión humana, y cómo se activa, satisface elementos de ambos.

El calendario de la Ley de IA de la UE tal como se aplica en Portugal

FechaQué se aplica
2 de febrero de 2025Prácticas prohibidas del Artículo 5 y alfabetización en IA del Artículo 4 — ya en vigor
2 de agosto de 2025Obligaciones de GPAI (capítulo V, Artículos 51 a 56), gobernanza, Oficina de IA de la UE, sanciones del Artículo 99
2 de agosto de 2026Aplicación general, incluida la transparencia de riesgo limitado del Artículo 50 (chatbots, ultrafalsificaciones, marcado de contenido sintético)
2 de diciembre de 2027Sistemas de IA de alto riesgo autónomos (Anexo III) — aplazado en virtud del Ómnibus Digital
2 de agosto de 2028IA de alto riesgo como componente de seguridad de productos regulados del Anexo I — aplazado en virtud del Ómnibus Digital

El Artículo 5 ya es exigible. ANACOM tiene autoridad hoy para actuar sobre las prácticas prohibidas — y toda empresa u organismo público portugués cuyos sistemas de IA impliquen categorización biométrica por características sensibles, puntuación social o manipulación de personas explotando vulnerabilidades debería haber completado ya su revisión del Artículo 5.

El plazo de alto riesgo ya no es agosto de 2026. En virtud del Ómnibus Digital — el paquete de modificaciones de la Comisión sobre el que el Parlamento y el Consejo alcanzaron un acuerdo político el 7 de mayo de 2026, con la adopción formal prevista antes del 2 de agosto de 2026 — los sistemas autónomos de alto riesgo del Anexo III tienen ahora hasta el 2 de diciembre de 2027, y la IA de alto riesgo integrada en productos regulados del Anexo I tiene hasta el 2 de agosto de 2028. Eso es tiempo adicional; no es margen adicional. Reunir un sistema de gestión de riesgos del Artículo 9, completar la documentación técnica del Anexo IV, establecer los controles de supervisión humana del Artículo 14 y prepararse para la evaluación de la conformidad en virtud del Artículo 43 lleva a la mayoría de las organizaciones bien dotadas de recursos de seis a doce meses de trabajo dedicado. El momento de empezar es ahora, no a mediados de 2027.

Sanciones: a qué se enfrentan las empresas en Portugal

Las sanciones las establece el Artículo 99 del Reglamento (UE) 2024/1689 y las aplican a nivel nacional ANACOM y las demás autoridades designadas. Hay tres niveles, cada uno «si esta última cifra es mayor» entre una cantidad fija y un porcentaje del volumen de negocios anual mundial total del ejercicio financiero anterior:

  • 35 000 000 EUR o el 7 % — para las infracciones de las prohibiciones del Artículo 5. Este nivel está a disposición de las autoridades desde el 2 de agosto de 2025.
  • 15 000 000 EUR o el 3 % — para el incumplimiento de la mayoría de las demás obligaciones: los requisitos de IA de alto riesgo en virtud de los Artículos 9 a 15, las obligaciones del proveedor en virtud del Artículo 16, las obligaciones del responsable del despliegue en virtud del Artículo 26 y los deberes de transparencia del Artículo 50.
  • 7 500 000 EUR o el 1 % — por facilitar información incorrecta, incompleta o engañosa a los organismos notificados o a las autoridades competentes.

Para las empresas más pequeñas, el Artículo 99, apartado 6, ofrece una protección de proporcionalidad: las multas se limitan al menor de los dos importes, la cantidad fija o el porcentaje. Una empresa portuguesa con un volumen de negocios anual de 4 millones EUR no puede afrontar una multa de 15 millones EUR por una infracción de una obligación de alto riesgo — el 3 % de 4 millones EUR es 120 000 EUR, y ese es el techo para esta empresa. Vale la pena conocer este límite; cambia de forma significativa el cálculo de riesgo para los operadores más pequeños.

Las multas son máximos, no puntos de partida. ANACOM aplicará factores de proporcionalidad — duración, grado de culpa, cooperación e infracciones previas — antes de llegar a una cifra. El techo de 35 M EUR / 7 % para las infracciones del Artículo 5 se aplica desde el momento de la infracción; las empresas que persistan en prácticas prohibidas no deben dar por supuesto que el aplazamiento del alto riesgo ofrece refugio alguno aquí.

Las multas específicas de la GPAI son un instrumento aparte: hasta 15 millones EUR o el 3 %, impuestas por la Comisión directamente a los proveedores de modelos de GPAI en virtud del Artículo 101.

Consideraciones de cumplimiento específicas de Portugal

ANACOM como puerta de entrada única

El modelo coordinado de Portugal — una autoridad líder que coordina a catorce socios sectoriales — ofrece a las empresas un punto de partida más navegable que los marcos de supervisión que distribuyen la competencia entre múltiples autoridades de igual rango con límites en disputa. Para la mayoría de las consultas de cumplimiento, solicitudes de documentación o reuniones de contacto temprano, ANACOM es el primer contacto adecuado. Encaminará los asuntos relativos a la IA bancaria al Banco de Portugal, los de valores a la CMVM y los de protección de datos a la CNPD.

En la práctica, esto significa que las empresas deben invertir en comprender el enfoque de ANACOM respecto de la revisión de la documentación técnica y la vigilancia del mercado. La orientación publicada por ANACOM — y, a nivel de la UE, por la Oficina de IA de la UE — establecerá el estándar práctico frente al cual se evaluarán los paquetes de documentación.

Espacio controlado de pruebas regulatorio: disponible a partir del 2 de agosto de 2026

El Artículo 57, apartado 1, del Reglamento exige que cada Estado miembro establezca al menos un espacio controlado de pruebas regulatorio antes del 2 de agosto de 2026. Los espacios controlados de pruebas dan a las empresas — con acceso prioritario y gratuito para las empresas más pequeñas en virtud del Artículo 58 — un espacio supervisado para desarrollar y probar sistemas de IA antes de su lanzamiento general al mercado, con cierto grado de flexibilidad regulatoria para los casos de uso innovadores que aún no encajan limpiamente dentro del marco existente.

Para las empresas emergentes y en expansión portuguesas que desarrollan sistemas de IA en sectores regulados — fintech, salud, servicios públicos — vale la pena seguir la vía del espacio controlado de pruebas. El contacto con ANACOM sobre la admisibilidad al espacio controlado de pruebas puede comenzar antes de la fecha formal de lanzamiento.

Responsables del despliegue del sector público: EIDF obligatoria en virtud del Artículo 27

Los organismos públicos portugueses que desplieguen sistemas de IA de alto riesgo deben completar una EIDF en virtud del Artículo 27 antes de poner esos sistemas en servicio. Esto se aplica a las agencias gubernamentales, los municipios, los servicios públicos de salud y los organismos públicos de empleo. La EIDF debe documentar la finalidad prevista del sistema de IA, los derechos fundamentales potencialmente afectados, cómo se mitigan los riesgos y cómo pueden las personas afectadas buscar reparación. Debe ponerse a disposición de ANACOM cuando lo solicite y actualizarse cuando el contexto del despliegue cambie de forma material.

Los despliegues de IA del sector público en áreas como la admisibilidad a prestaciones, la intermediación en el empleo público, la tramitación de la inmigración o la administración educativa se sitúan de lleno en el territorio de alto riesgo del Anexo III. El requisito de la EIDF no es opcional, y es probable que el foco inicial de ejecución de ANACOM recaiga en los despliegues del sector público — son visibles, afectan a un gran número de personas y establecen el estándar de cumplimiento que otros observan.

El cambio de rol del Artículo 25 para los personalizadores portugueses

Muchas empresas portuguesas — incluidas las empresas tecnológicas, los integradores de TI del sector público y los proveedores de software específicos de sector — no construyen sistemas de IA desde cero, sino que personalizan e integran capacidades de IA de proveedores anteriores. Esa práctica puede desplazar a una empresa del rol de responsable del despliegue en virtud del Artículo 26 al rol de proveedor en virtud del Artículo 16.

El Artículo 25 establece cuándo ocurre esto: si una empresa introduce un sistema de IA de alto riesgo en el mercado o lo pone en servicio con su propio nombre o marca comercial; modifica sustancialmente un sistema de IA de alto riesgo; o modifica la finalidad prevista de un sistema de modo que lo convierte en de alto riesgo. En los tres casos, la empresa debe completar una nueva evaluación de la conformidad en virtud del Artículo 43, reunir toda la documentación técnica del Anexo IV y emitir una declaración de conformidad del Artículo 47 / Anexo V. Los deberes del responsable del despliegue en virtud del Artículo 26 quedan sustituidos por la pila más pesada del proveedor.

Las empresas portuguesas que hayan ajustado un modelo con datos propios, hayan envuelto un sistema de IA de terceros en su propio producto o hayan configurado una IA de uso general para un uso de alto riesgo concreto deben realizar el análisis del Artículo 25 antes de dar por supuesta la condición de responsable del despliegue.

Cómo ayuda Confir a las empresas en Portugal

Los equipos de cumplimiento portugueses que construyen sus programas de la Ley de IA de la UE se enfrentan a una tarea con gran carga documental: un inventario de IA, registros de gestión de riesgos del Artículo 9, documentación técnica del Anexo IV, EIDF del Artículo 27 para los responsables del despliegue aplicables, preparación de la evaluación de la conformidad en virtud del Artículo 43, declaraciones de conformidad del Artículo 47 / Anexo V y registros de vigilancia poscomercialización del Artículo 72.

Confir es una herramienta de cumplimiento alojada en la UE diseñada específicamente para este trabajo. Su motor de clasificación es determinista y basado en reglas — codifica los Artículos 5 y 6 con la lógica del Anexo III en reglas explícitas, de modo que la misma admisión produce siempre el mismo hallazgo, con una explicación legible por humanos de qué regla se activó. El resultado es defendible ante una auditoría: sin alucinaciones, sin variabilidad, reproducible por diseño.

La evaluación estructurada abarca cuatro áreas: AIRC (clasificación de riesgos en virtud de los Artículos 5, 6, 43 y 50), AITR (datos y solidez técnica en virtud de los Artículos 10, 11 y 15), AITO (transparencia y supervisión humana en virtud de los Artículos 13, 14, 27 y 50) y AIGM (gobernanza y vigilancia poscomercialización en virtud de los Artículos 9, 72 y 73). A partir de esa evaluación, Confir genera el paquete completo de documentación técnica del Anexo IV, la declaración de conformidad del Artículo 47 / Anexo V y la EIDF del Artículo 27.

Qué deberían hacer ahora las empresas en Portugal

De inmediato (las obligaciones del Artículo 5 ya se aplican): Audite todo sistema de IA que pueda implicar categorización biométrica por características sensibles, puntuación social, manipulación subliminal de la toma de decisiones, explotación de vulnerabilidades personales o identificación biométrica en tiempo real en espacios públicos. La prohibición del Artículo 5 es exigible desde el 2 de febrero de 2025. ANACOM tiene autoridad para actuar. Si un sistema encaja en una categoría prohibida sin excepción aplicable, el remedio no es la documentación — es la interrupción o el rediseño.

Antes del 2 de agosto de 2026 (aplicación general y Artículo 50): Los sistemas de IA que interactúan con personas físicas — chatbots, asistentes virtuales, herramientas de contenido generado por IA, interfaces de reconocimiento de emociones — deben cumplir los requisitos de transparencia del Artículo 50. Los usuarios deben saber cuándo interactúan con una IA, cuándo el contenido se ha generado sintéticamente y cuándo se está utilizando el reconocimiento de emociones o la categorización biométrica. El Artículo 50 se aplica a partir del 2 de agosto de 2026; esta fecha no se aplazó.

2026-2027 (preparación de alto riesgo, sistemas del Anexo III): Las empresas con sistemas autónomos del Anexo III tienen hasta el 2 de diciembre de 2027. Utilice el tiempo de forma sistemática: construya el inventario de IA, clasifique cada sistema aplicando el filtro del Artículo 6, apartado 3, determine los roles de proveedor o de responsable del despliegue y comience la pila de documentación. Para los sistemas que impliquen datos personales, coordine el trabajo de la EIPD del artículo 35 del RGPD y la EIDF del Artículo 27. Para los responsables del despliegue que sean organismos públicos, la EIDF es obligatoria y debe priorizarse.

De forma continua: Vigile la orientación y las comunicaciones de ejecución de ANACOM. Esté atento a los códigos de buenas prácticas de GPAI de la Oficina de IA de la UE, que se están desarrollando en 2025-2026 y establecerán las expectativas para los proveedores de modelos de GPAI con independencia de dónde tengan su sede. Si su empresa desarrolla sistemas de IA en la banca o los valores, mantenga el contacto con el Banco de Portugal y la CMVM, cuyas expectativas de supervisión ya existentes para la IA informarán cómo aplican el Reglamento dentro de sus ámbitos.

Preguntas frecuentes

¿Qué autoridad es responsable de la ejecución de la Ley de IA de la UE en Portugal?

ANACOM (Autoridade Nacional de Comunicações) es la autoridad nacional de vigilancia del mercado de Portugal, el punto de contacto único para la Oficina de IA de la UE y la coordinadora de las catorce autoridades públicas designadas. Para la mayoría de las empresas, ANACOM es el principal contacto de ejecución. Las autoridades sectoriales — incluido el Banco de Portugal para la IA bancaria, la CMVM para los valores y la CNPD para los asuntos de protección de datos — operan dentro de sus propios ámbitos regulados bajo la coordinación de ANACOM.

¿Necesitaba Portugal aprobar una ley nacional para aplicar la Ley de IA de la UE?

No. La Ley de IA de la UE es el Reglamento (UE) 2024/1689, directamente aplicable en virtud del artículo 288 del TFUE. Se aplica en Portugal sin transposición. La obligación de Portugal era designar a las autoridades competentes — lo que hizo, con ANACOM confirmada como autoridad líder hacia septiembre de 2025 — no crear nuevas obligaciones sustantivas a través de legislación nacional.

¿Cuándo se aplica el plazo de cumplimiento de alto riesgo de la Ley de IA de la UE en Portugal?

En virtud del Ómnibus Digital (acuerdo político alcanzado el 7 de mayo de 2026), los sistemas de IA de alto riesgo autónomos enumerados en el Anexo III tienen hasta el 2 de diciembre de 2027. La IA de alto riesgo integrada en productos regulados del Anexo I tiene hasta el 2 de agosto de 2028. La fecha original del 2 de agosto de 2026 se aplazó. Las prohibiciones del Artículo 5 se aplican desde el 2 de febrero de 2025 y son exigibles ahora; la transparencia de riesgo limitado del Artículo 50 se aplica a partir del 2 de agosto de 2026.

¿Qué multas pueden afrontar las empresas en Portugal en virtud del Artículo 99?

Se aplican tres niveles: 35 millones EUR o el 7 % del volumen de negocios mundial por las infracciones de las prohibiciones del Artículo 5; 15 millones EUR o el 3 % por la mayoría de las demás obligaciones, incluidos los requisitos de IA de alto riesgo y los deberes del proveedor o del responsable del despliegue; 7,5 millones EUR o el 1 % por facilitar información incorrecta o engañosa a los organismos notificados o a las autoridades competentes. En virtud del Artículo 99, apartado 6, las multas para las empresas más pequeñas se limitan al menor de los dos importes, la cantidad fija o el porcentaje.

¿Tiene la CNPD de Portugal un papel en la supervisión de la Ley de IA de la UE?

Sí. La CNPD conserva su competencia de supervisión del RGPD y es una de las catorce autoridades designadas en el marco de Portugal. Es más pertinente cuando los sistemas de IA de alto riesgo tratan datos personales a escala. La interacción práctica gira principalmente en torno a la EIPD del artículo 35 del RGPD y la EIDF del Artículo 27 de la Ley de IA de la UE — ambas exigidas antes del despliegue para los sistemas de alto riesgo que traten datos personales — y en torno a las obligaciones del artículo 22 del RGPD sobre la toma de decisiones automatizada.

¿Qué es la EIDF del Artículo 27 y qué responsables del despliegue en Portugal deben realizar una?

La EIDF (evaluación de impacto relativa a los derechos fundamentales) es una evaluación previa al despliegue exigida en virtud del Artículo 27 de la Ley de IA de la UE. Se aplica a los organismos públicos que despliegan sistemas de IA de alto riesgo y a los responsables del despliegue de sistemas de solvencia o calificación crediticia (Anexo III, punto 5, letra b)) o de sistemas de riesgo de seguros de vida o de salud (Anexo III, punto 5, letra c)). Los empleadores privados que despliegan IA de contratación o de gestión de la plantilla no deben automáticamente una EIDF. La evaluación debe documentar la finalidad del sistema, los derechos fundamentales en riesgo y las medidas de mitigación, y debe ponerse a disposición de ANACOM cuando lo solicite.

¿Cómo afecta el cambio de rol del Artículo 25 a las empresas portuguesas que personalizan herramientas de IA?

Una empresa que toma un sistema de IA de un tercero y lo introduce en el mercado con su propio nombre, lo modifica sustancialmente o cambia su finalidad prevista para convertirlo en de alto riesgo pasa a ser el proveedor en virtud del Artículo 25 — y hereda toda la pila de proveedor del Artículo 16, incluidas la documentación técnica del Anexo IV, la evaluación de la conformidad del Artículo 43, la declaración de conformidad del Artículo 47 / Anexo V y el registro del Artículo 49. Las empresas tecnológicas, los integradores y los proveedores de software portugueses que personalizan o envuelven capacidades de IA de proveedores anteriores deben verificar su clasificación de rol antes de dar por supuesta la condición de responsable del despliegue. ---

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Country Guide

La Ley de IA de la UE en Austria: autoridades, obligaciones y el camino hacia la ejecución

La Ley de IA de la UE se aplica en Austria sin transposición. La RTR KI-Servicestelle asesora; la designación de la autoridad está pendiente. Sanciones de hasta 35 M EUR. Plazo: dic. de 2027.

Country Guide

La Ley de IA de la UE en Bélgica: autoridades, obligaciones y complejidad federal

El BIPT/IBPT de Bélgica es la autoridad de vigilancia del mercado propuesta para la Ley de IA de la UE. Cubre los 21 organismos del Artículo 77, el solapamiento con el RGPD, las sanciones y el plazo de diciembre de 2027.

Country Guide

La Ley de IA de la UE en Francia: ejecución, autoridades y obligaciones de las empresas

La Ley de IA de la UE se aplica directamente en Francia. Se propone a la CNIL y a la DGCCRF como autoridades de ejecución. Cubre las sanciones, el solapamiento con el RGPD y el plazo de alto riesgo de diciembre de 2027.