Lei de IA na Espanha: AESIA, Obrigações e a Lição para o Brasil

A lei de IA na Espanha saiu do papel em 26 de maio de 2026, quando o Conselho de Ministros aprovou o projeto de lei orgânica para o bom uso e a governança da inteligência artificial. Se a sua empresa vende software ou serviços para o mercado espanhol ou europeu, esse texto deixou de ser notícia distante e virou checklist de conformidade. Como CTO e desenvolvedor, explico o que muda na prática e o que fazer antes de agosto.

TL;DR

• A Espanha aprovou em 26/05/2026 o projeto de lei que adapta o AI Act europeu ao ordenamento jurídico nacional.
• A fiscalização fica com a AESIA, agência criada em 2023, com sede em A Coruña.
• Conteúdo gerado por IA (deepfakes) passa a exigir rotulagem — e há sanções para quem não etiquetar.
• Em agosto de 2026 entram em vigor as obrigações para sistemas de alto risco: gestão de risco, documentação técnica e supervisão humana.
• Para empresas brasileiras, é um ensaio do que vem por aí. Compliance by design deixa de ser opcional.

O que a Espanha aprovou (e por que agora)

O Conselho de Ministros espanhol aprovou o Proyecto de Ley Orgánica para o bom uso e a governança da inteligência artificial, um texto que garante supervisão humana e uso confiável dos sistemas. Na prática, a Espanha está fazendo o dever de casa de transpor para o seu direito interno o Regulamento Europeu de Inteligência Artificial — o AI Act, em vigor desde agosto de 2024.

Por que isso importa para quem não é espanhol? Porque o AI Act tem efeito extraterritorial. Ele alcança qualquer fornecedor cujo sistema de IA seja colocado no mercado ou usado dentro da União Europeia, independente de onde a empresa está sediada. Atendo clientes no Brasil e no exterior há mais de 15 anos, e essa lógica é a mesma do GDPR: a regra não pergunta seu CEP, pergunta onde está o seu usuário.

A lei de IA na Espanha não inventa um regime paralelo. Ela cria a estrutura nacional — autoridade, sanções, procedimentos — para aplicar um regulamento que já é válido. É a diferença entre ter a lei no papel e ter quem bata na porta para cobrá-la.

Espanha não está improvisando

A Espanha investiu cerca de €1.500 milhões na sua estratégia nacional de IA e mantém duas "fábricas de IA" (factorías de IA). Relatórios de referência, como os da Universidade de Stanford e da Microsoft, apontam o país como líder em adoção de inteligência artificial. Ou seja: o país regula o que já usa em escala. Isso costuma produzir regras mais aterradas na realidade operacional do que normas escritas no abstrato.

AESIA: quem fiscaliza a IA na Espanha

A autoridade supervisora é a AESIA — Agencia Española de Supervisión de Inteligencia Artificial. Criada em 2023, com sede em A Coruña, é o órgão que vai checar documentação, investigar incidentes e aplicar sanções. Pense nela como o equivalente, para IA, ao que uma autoridade de proteção de dados representa para a privacidade.

Para uma empresa brasileira, a existência da AESIA muda a conversa de "talvez algum dia alguém pergunte" para "existe um endereço, um CNPJ-equivalente e um procedimento". Quando há um fiscal designado, com competência e orçamento, o risco regulatório deixa de ser teórico. A lei de IA na Espanha dá dentes a essa agência: sem autoridade que cobre, qualquer regulação vira recomendação.

A AESIA não atua sozinha. Ela se conecta ao ecossistema europeu de supervisão previsto no AI Act, o que significa coordenação entre autoridades nacionais. Um problema detectado na Espanha pode ecoar em outros mercados da UE onde o mesmo sistema opera.

O calendário que importa: prazos de 2026

O ponto que mais confunde meus clientes é a sensação de que "já valeu tudo de uma vez". Não foi assim. O AI Act tem aplicação escalonada, e a data mais relevante para a maioria das empresas é agosto de 2026. Montei o calendário abaixo para separar o que já vale do que está chegando.

Data	Marco	O que significa na prática
Agosto de 2024	AI Act em vigor	O regulamento europeu começa a valer, com obrigações entrando de forma escalonada
26 de maio de 2026	Projeto de lei espanhol aprovado	O Conselho de Ministros aprova a adaptação do AI Act ao direito espanhol
2 de agosto de 2026	Transparência e GPAI (UE)	Art. 50: avisar o usuário que ele interage com IA e rotular conteúdo gerado; entram poderes de multa para modelos de propósito geral (GPAI)
Agosto de 2026	Alto risco na Espanha	A maioria das obrigações para sistemas de IA de alto risco passa a valer

O cronograma oficial de aplicação está detalhado na estratégia digital da Comissão Europeia. A leitura honesta dessa tabela: se você opera um sistema de alto risco voltado ao mercado europeu, agosto de 2026 é o seu prazo real. Não dá para começar a montar gestão de risco e documentação técnica em julho. A lei de IA na Espanha apenas dá rosto nacional a um cronograma que já estava correndo desde 2024.

Sistemas de alto risco: o que a sua empresa precisa ter pronto

"Alto risco" é uma categoria técnica do AI Act, não um adjetivo. Ela cobre usos como biometria, infraestrutura crítica, educação, seleção de pessoal, acesso a crédito e serviços essenciais. Se o seu produto se encaixa, as obrigações deixam de ser boas práticas e viram exigência legal — e é aqui que a lei de IA na Espanha morde de verdade.

A partir de agosto de 2026, na Espanha, sistemas de alto risco precisam ter um conjunto mínimo pronto. Resumo o que peço para qualquer time que toque nessa categoria:

1. Sistema de gestão de riscos — um processo contínuo de identificação, avaliação e mitigação de riscos ao longo do ciclo de vida do sistema, não um documento único arquivado.
2. Documentação técnica — descrição do sistema, dados de treinamento, lógica, métricas e limitações, organizada para auditoria.
3. Protocolos de supervisão humana — pessoas com poder real de intervir, corrigir ou desligar o sistema, com papéis e alçadas definidos.
4. Registro e rastreabilidade — logs que permitam reconstruir decisões e investigar incidentes.
5. Governança de dados — controle de qualidade, representatividade e proteção dos dados que alimentam o modelo.

Quando ajudo um time a estruturar esse tipo de governança, costumo conectar a discussão com a forma como agentes de IA estão entrando nas empresas. Um agente que executa ações sozinho concentra exatamente o tipo de risco que a supervisão humana existe para conter — por isso a documentação e os freios precisam nascer junto com o produto.

Quando você NÃO precisa surtar

Nem todo software com IA é alto risco. Um chatbot de FAQ, um classificador de e-mail interno ou um gerador de legendas raramente caem nessa categoria. A armadilha comum é o oposto: tratar tudo como baixo risco por conveniência. Faça a classificação com critério documentado. Se a resposta for "não sei", trate como risco mais alto até provar o contrário.

Deepfakes e conteúdo sintético: a obrigação de rotular

Um dos pontos mais concretos da lei de IA na Espanha é a sanção para quem não rotular ou etiquetar conteúdo gerado por inteligência artificial. Em paralelo, o AI Act ativa em 2 de agosto de 2026 as obrigações de transparência do Art. 50: avisar o usuário quando ele interage com uma IA e identificar conteúdo sintético.

Isso atinge muito mais empresas do que parece. Qualquer negócio que produza imagens, vídeos ou áudios com IA generativa precisa pensar em sinalização. Eu trabalho com pipelines de geração de imagem e vídeo — quem gera mídia em volume, por exemplo usando ComfyUI no Google Colab, precisa embutir a rotulagem no fluxo, e não improvisar depois.

A obrigação não é estética. Ela existe para proteger o público de deepfakes que enganam. Na prática, significa marcação visível e, idealmente, metadados ou marca d'água técnica que sobrevivam à republicação. Quem vende serviço de criação de conteúdo para clientes europeus deveria já estar oferecendo a rotulagem como parte do entregável.

O detalhe que muita gente ignora: a responsabilidade tende a seguir a cadeia. Se uma agência brasileira gera um vídeo sintético para um anunciante na Espanha, a falta de rótulo é um problema dos dois lados. Por isso recomendo padronizar a sinalização na origem, no momento da geração, antes do conteúdo circular.

Compliance by design: governança desde a primeira linha de código

A lei de IA na Espanha acelera um modelo que eu defendo há tempo: compliance by design. Privacidade, governança, transparência e gestão de risco integrados desde a fase inicial de desenvolvimento — não como uma camada colada no fim do projeto.

Já vi muita equipe construir um produto inteiro e só então perguntar "como a gente fica em conformidade?". É a forma mais cara de descobrir. Reescrever logging, rastreabilidade e supervisão humana num sistema pronto custa múltiplas vezes mais do que desenhar isso na arquitetura inicial.

Na minha experiência como CTO do IEJUR, lidando com ambientes que misturam dados sensíveis e tecnologia educacional, a lição se repete: a governança que você adia vira dívida técnica regulatória. E dívida regulatória, diferente da técnica, tem prazo legal e multa associada.

Um checklist mínimo de design

• Decida a classificação de risco antes de codar a primeira feature de IA.
• Defina onde ficam os logs e por quanto tempo, no schema, não depois.
• Escreva quem é o humano no loop e qual o poder real dele.
• Trate a rotulagem de conteúdo sintético como requisito funcional.

A lição para o Brasil (e para quem exporta software)

O Brasil ainda debate sua própria moldura para inteligência artificial. Quem acompanha a tramitação sabe que a inspiração europeia é forte. Apostar que "aqui vai demorar" é uma estratégia frágil por dois motivos.

Primeiro, o efeito extraterritorial. Se você vende SaaS, presta serviço de IA ou licencia modelos para clientes na Espanha ou em qualquer país da UE, o AI Act já te alcança — independente do que o Congresso brasileiro decidir. A lei de IA na Espanha é, para o exportador brasileiro, uma régua que já está medindo.

Segundo, o custo de virada. Empresas que constroem governança agora ganham um ativo comercial: conseguem responder a due diligence de clientes europeus sem pânico. Quando o Brasil aprovar a sua versão — e a direção aponta para alto risco, transparência e supervisão humana, os mesmos pilares —, quem já fez o trabalho só ajusta detalhes.

Vejo isso como vantagem competitiva, não como burocracia. Conformidade vira argumento de venda em mercados onde o comprador tem medo de multa. E o comprador europeu tem. Estudar a lei de IA na Espanha hoje é, no fundo, estudar o contrato que o seu cliente europeu vai te cobrar amanhã.

Por onde começar agora

A lei de IA na Espanha não pede que você pare tudo. Pede que você saiba onde está. Comece mapeando quais dos seus sistemas usam IA, classifique cada um por nível de risco e identifique o que toca usuários ou clientes na União Europeia. Esse inventário, sozinho, já resolve metade da ansiedade.

Depois, priorize: o que é alto risco e mira a UE precisa de gestão de risco, documentação técnica e supervisão humana antes de agosto de 2026. O que gera conteúdo precisa de rotulagem. O resto entra na fila de melhoria contínua.

Se a sua empresa precisa de uma leitura técnica desse cenário — classificar sistemas, desenhar governança ou estruturar a rotulagem de conteúdo gerado por IA — é exatamente o tipo de trabalho que faço na Agathas Web. Antecipar a régua europeia hoje é mais barato do que correr atrás dela depois.