11/03/2025
• Adaptará la legislación española al reglamento europeo de IA, ya en vigor
• Combina un enfoque regulador con el impulso a la innovación
• España se adelanta a la obligación europea de establecer un entorno controlado de pruebas para ayudar a los proveedores de IA a cumplir la legislación
El Gobierno ha dado hoy luz verde al anteproyecto de ley de gobernanza de la Inteligencia Artificial (IA), que busca garantizar un uso de la Inteligencia Artificial que sea ético, inclusivo y beneficioso para las personas. Este instrumento normativo adaptará la legislación española al reglamento europeo de IA, ya en vigor, bajo un enfoque regulador que impulsa la innovación.
“La IA es una herramienta muy poderosa, que puede servir para mejorar nuestras vidas o atacar a la democracia; puede tener buenos usos o malos usos. La IA puede ser utilizada para investigar el cáncer o el Alzheimer, para prevenir catástrofes naturales, para descubrir nuevos medicamentos; o puede ser usada para difundir bulos y mentiras, esparcir odio y atacar a nuestra democracia. Por eso es oportuno su buen uso y gobernanza”, ha destacado el ministro para la Transformación Digital y de la Función Pública, Óscar López, en la rueda de prensa posterior al Consejo de Ministros.
El anteproyecto de ley, que se tramitará por la vía de urgencia, seguirá ahora los trámites preceptivos antes de volver al Consejo de Ministros para su aprobación definitiva como proyecto de ley y envío a las Cortes para su aprobación.
Con el objetivo de que la Unión Europea disponga de un marco legal común para el desarrollo, comercialización y uso de sistemas de IA que eviten los riesgos para las personas, el reglamento prohíbe determinados usos maliciosos de la IA, introduce obligaciones más rigurosas para sistemas considerados de alto riesgo y establece unos requisitos mínimos de transparencia para el resto.
Incorpora, además, un nuevo derecho digital de retirada provisional del mercado español de sistemas de IA por la autoridad de vigilancia competente cuando hayan provocado un incidente grave, como el fallecimiento de una persona.
Prácticas prohibidas de la IA
Las prácticas prohibidas entraron en vigor el 2 de febrero de 2025 y desde el 2 de agosto de 2025 se podrán sancionar mediante multas u otras medidas adicionales (requerir su adaptación al sistema para que sea conforme, impedir que se comercialice…) aplicando el régimen sancionador que incorpora el anteproyecto de ley, dentro de las horquillas que fija el reglamento europeo. A modo de ejemplo, son prácticas prohibidas:
· El uso de técnicas subliminales (imágenes o sonidos imperceptibles) para manipular decisiones sin consentimiento, causando un perjuicio considerable a la persona (adicciones, violencia de género o menoscabo de su autonomía). (Ej: un chatbot que identifica usuarios con adicción al juego y les incita a entrar, con técnicas subliminales, en una plataforma de juego online).
· Explotar vulnerabilidades relacionadas con la edad, la discapacidad o situación socioeconómica para alterar sustancialmente comportamientos de modo que les provoque o pueda provocar perjuicios considerables (Ej: Un juguete infantil habilitado con IA que anima a los niños a completar retos que les producen o pueden producirles daños físicos graves).
· La clasificación biométrica de las personas por raza u orientación política, religiosa o sexual. (Ej: Un sistema de categorización facial biométrica capaz de deducir la orientación política o sexual de un individuo mediante análisis de sus fotos en redes sociales).
· La puntuación de individuos o grupos basándose en comportamientos sociales o rasgos personales como método de selección para, por ejemplo, denegarles la concesión de subvenciones o préstamos.
· Valorar el riesgo de que una persona cometa un delito basándose en datos personales como su historial familiar, nivel educativo o lugar de residencia, con excepciones legales.
· Inferir emociones en centros de trabajo o educativos como método de evaluación para promoción o despido laboral, salvo por razones médicas o de seguridad.
Las sanciones que se pondrán para este tipo de sistemas oscilan entre los 7,5 y los 35 millones de euros, o entre el 2% y el 7% del volumen de negocio mundial del ejercicio anterior, si esta última cifra es superior, salvo en el caso de pymes, que podrá ser la menor de las dos cuantías.
Las autoridades encargadas de vigilar los sistemas prohibidos serán la Agencia Española de Protección de Datos (para sistemas biométricos y gestión de fronteras); el Consejo General del Poder Judicial (para sistemas de IA en el ámbito de la justicia), la Junta Electoral Central (para sistemas que IA que afecten a procesos democráticos) y la Agencia Española de Supervisión de la Inteligencia Artificial en el resto de los casos.
Sistemas de alto riesgo
Los sistemas de IA de alto riesgo son, según el reglamento, los siguientes:
· Todos los que puedan añadirse como elementos de seguridad a productos industriales (máquinas, ascensores, sistemas de protección-EPIS, equipos a presión o aparatos a gas), juguetes, equipos radioeléctricos, productos sanitarios incluyendo diagnósticos in vitro, productos de transportes (aviación, ferrocarril, equipos marinos y vehículos a motor de 2 y 3 ruedas y agrícolas, embarcaciones y transporte por cable).
· Sistemas que formen parte de los siguientes ámbitos: biometría, infraestructuras críticas, educación y formación profesional, empleo, acceso a servicios privados esenciales (como servicios crediticios o de seguros) y a servicios y prestaciones públicos esenciales (como servicios de emergencias o triajes) y disfrute de estos servicios y prestaciones.
· Sistemas para la garantía del derecho, migración, asilo y gestión del control fronterizo
· Sistemas para su uso en la administración de justicia y en procesos democráticos.
Estos sistemas deberán cumplir una serie de obligaciones, como disponer de un sistema de gestión de riesgos y de supervisión humana, documentación técnica, una gobernanza de datos, conservación de registros, transparencia y comunicación de información a los responsables del despliegue, sistema de calidad, etc. En caso de incumplimiento, se exponen a sanciones en función de su gravedad:
· Se entenderá como una infracción muy grave cuando el operador de un sistema de IA no comunica un incidente grave (como la muerte de una persona, un daño que haya comprometido una infraestructura crítica o un daño al medio ambiente), o cuando incumpla las órdenes de una autoridad de vigilancia de mercado. Las sanciones en este caso oscilarán entre los 7,5 y los 15 millones de euros o hasta el 2% y el 3% del volumen de negocio mundial del ejercicio anterior.
· Ejemplos de infracciones graves son el no introducir supervisión humana en un sistema de IA que incorpore la biometría en el trabajo para controlar la presencialidad de los trabajadores o no disponer de un sistema de gestión de calidad en robots con IA que desarrollan las tareas de inspección y mantenimiento en sectores industriales, entre otros. Las sanciones oscilarán en estos casos entre 500.000 euros y 7,5 millones de euros o entre el 1% y el 2% del volumen de negocio mundial.
También se considerará como una infracción grave no cumplir con la obligación de etiquetar correctamente cualquier imagen, audio o vídeo generado o manipulado con IA y que muestren a personas reales o inexistentes diciendo o haciendo cosas que nunca han hecho o en lugares donde nunca han estado, lo que constituye una ultrasuplantación (deepfake). Estos contenidos deberán identificarse como contenidos generados por IA “de manera clara y distinguible a más tardar con ocasión de la primera interacción o exposición”, tal y como especifica el reglamento europeo.
Se considerarán infracciones leves no incorporar el marcado CE en el sistema de IA de alto riesgo o, cuando no sea posible, en su embalaje o en la documentación que lo acompañe, para indicar la conformidad con el Reglamento de IA.
Las autoridades encargadas de vigilar los sistemas de alto riesgo serán las que por defecto ya estén supervisando al sector afectado cuando se trate de productos sujetos a legislación armonizada. Adicionalmente, serán competentes la Agencia Española de Protección de Datos (para sistemas de gestión de migraciones y asilo asociados a las Fuerzas y Cuerpos de Seguridad del Estado); el CGPJ para sistemas de IA en administración de justicia y la Junta Electoral Central (para sistemas de procesos electorales); el Banco de España para sistemas de clasificación de solvencia crediticia; la Dirección General de Seguros (para sistemas de seguros) y la CNMV para sistemas de mercados de capitales. En el resto de los casos, la autoridad competente será la AESIA.
Apoyo a la innovación en IA
A partir del 2 de agosto de 2026, el reglamento europeo obliga a los países miembros a establecer al menos un sandbox de IA (entorno controlado de pruebas) que fomente la innovación y facilite el desarrollo, la formación, las pruebas y la validación de sistemas innovadores de IA durante un tiempo limitado antes de su comercialización o puesta en servicio, y de manera acordada entre los proveedores o posibles proveedores y la autoridad competente.
España se ha adelantado a este requisito con el lanzamiento en diciembre pasado de una convocatoria para seleccionar hasta un total de 12 sistemas de IA de alto riesgo que, durante un año, participarán en un entorno controlado de pruebas. La experiencia acumulada y las lecciones aprendidas servirán para publicar unas guías técnicas sobre el cumplimiento de los requisitos aplicables a los sistemas de alto riesgo.