El pasado 11 de marzo el Gobierno dio luz verde al Anteproyecto de Ley de gobernanza de la Inteligencia Artificial (IA), que se tramitará por la vía de urgencia para adaptar a la legislación española el reglamento europeo de IA, que tiene por objeto garantizar un uso de la Inteligencia Artificial ético, inclusivo y beneficioso para las personas, que combine un enfoque regulador a la par que se impulse la innovación.
El ministro para la Transformación Digital y de la Función Pública, Óscar López, en rueda de prensa subrayaba:
“La IA es una herramienta muy poderosa, que puede servir para mejorar nuestras vidas o atacar a la democracia; puede tener buenos usos o malos usos. La IA puede ser utilizada para investigar el cáncer o el Alzheimer, para prevenir catástrofes naturales, para descubrir nuevos medicamentos; o puede ser usada para difundir bulos y mentiras, esparcir odio y atacar a nuestra democracia. Por eso es oportuno su buen uso y gobernanza”.
El 1 de agosto de 2024 entraba en vigor el Reglamento Europeo de Inteligencia Artificial. Reglamento, que no sólo proporciona requisitos y obligaciones claros en relación con usos específicos de la IA, si no que se erige como el marco común para los países de la UE, a través de su enfoque basado en el riesgo. Prohibiendo determinados usos maliciosos de la IA, estableciendo obligaciones más rigurosas para sistemas considerados de alto riesgo y determinando unos requisitos mínimos de transparencia para el resto.
El texto que como decíamos adaptará la normativa nacional al Reglamento Europeo, aborda:
Prácticas prohibidas de la IA
El 2 de febrero, el capítulo II, Prácticas de IA prohibidas, comenzaba a ser de aplicación, siendo sancionable desde el 2 de agosto de 2025, cuando resultará plenamente aplicable el régimen sancionador que incorpora el anteproyecto de ley, dentro de las horquillas que se fijan en el Reglamento. Entre las prácticas prohibidas encontramos, a modo de ejemplo: sistema de IA que se sirva de técnicas subliminales; la utilización de un sistema de IA que explote personas o colectivos vulnerables para alterar de manera sustancial comportamientos de modo que provoque, o pueda provocar razonablemente perjuicios considerables.
Régimen de sanciones:
Las sanciones oscilarán entre los 7,5 y los 35 millones de euros, o entre el 2% y el 7% del volumen de negocio mundial del ejercicio anterior, si esta última cifra es superior, salvo en el caso de pymes, que podrá ser la menor de las dos cuantías.
Las autoridades que tengan que velar por vigilar los sistemas prohibidos serán:
- La Agencia Española de Protección de Datos (para sistemas biométricos y gestión de fronteras)
- El Consejo General del Poder Judicial (para sistemas de IA en el ámbito de la justicia)
- La Junta Electoral Central (para sistemas que IA que afecten a procesos democráticos)
- La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) en el resto de los casos
Sistemas de alto riesgo
Son considerados sistemas de IA de alto riesgo, según el Reglamento:
- Los que estén destinados a ser utilizados como componentes de seguridad, entre otros de: máquinas, juguetes, embarcaciones de recreo, motos acuáticas, ascensores y componentes de seguridad para ascensores, aparatos y sistemas de protección para uso en atmósferas potencialmente explosivas, equipos radioeléctricos, equipos a presión, productos sanitarios, productos sanitarios para diagnóstico in vitro.
- Los sistemas de IA que formen parte de cualquiera de los ámbitos siguientes: biometría, infraestructuras críticas, educación y formación profesional, empleo, gestión de los trabajadores y acceso al autoempleo, acceso a servicios privados esenciales y a servicios y prestaciones públicos esenciales y disfrute de estos servicios y prestaciones
- Sistemas para la garantía del cumplimiento del Derecho, migración, asilo y gestión del control fronterizo.
- Sistemas para su uso en la Administración de justicia y procesos democráticos.
Los sistemas de IA de alto riesgo, deben cumplir requisitos más estrictos, como sistemas de reducción del riesgo, o supervisión humana, etc.,
Régimen de sanciones:
- Las infracciones muy graves como puede ser que el operador de un sistema de IA no comunica un incidente grave (un daño que haya comprometido una infraestructura crítica), podrá conllevar sanciones que oscilarian entre los 7,5 y los 15 millones de euros o hasta el 2% y el 3% del volumen de negocio mundial del ejercicio anterior.
- Las infracciones graves, como puede ser no introducir supervisión humana en un sistema de IA que incorpore la biometría en el trabajo para controlar la presencialidad de los trabajadores, podrá conllevar sanciones que oscilarían entre 500.000 euros y 7,5 millones de euros o entre el 1% y el 2% del volumen de negocio mundial.
- Las infracciones leves, como no incorporar el marcado CE en el sistema de IA de alto riesgo.
- Incorpora, un nuevo derecho digital de retirada provisional del mercado español de sistemas de IA por la autoridad de vigilancia competente cuando hayan provocado un incidente grave, como el fallecimiento de una persona.
Las autoridades encargadas de vigilar los sistemas de alto riesgo serán:
- Las que por defecto ya estén supervisando al sector afectado cuando se trate de productos sujetos a legislación armonizada.
- La Agencia Española de Protección de Datos (para sistemas de gestión de migraciones y asilo asociados a las Fuerzas y Cuerpos de Seguridad del Estado)
- El CGPJ para sistemas de IA en administración de justicia y la Junta Electoral Central (para sistemas de procesos electorales)
- El Banco de España para sistemas de clasificación de solvencia crediticia
- La Dirección General de Seguros (para sistemas de seguros) y la CNMV para sistemas de mercados de capitales.
- La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) en el resto de los casos
Apoyo a la innovación en IA
España se adelantó el pasado diciembre a la obligación (a partir del 2 de agosto de 2026, para los Estados miembros) a nivel europeo de crear un entorno controlado de pruebas que permita a los proveedores de IA cumplir con sus obligaciones normativas. La participación en este espacio controlado de los sistemas de IA de alto riesgo supondrá una experiencia que contribuirá para publicar una serie de guías técnicas sobre el cumplimiento de los requisitos aplicables a los sistemas de alto riesgo.
