El passat dia 11 de març es va anunciar un futur Avantprojecte de llei de governança de la Intel·ligència Artificial (IA) el qual, segons es va anunciar, pretén garantir un ús de la IA que sigui ètic, inclusiu i beneficiós per a les persones. Aquesta llei adaptarà la legislació espanyola al Reglament europeu d'IA (AI Act) ja en vigor. S'ha dit que combinarà l'enfocament regulador amb l'impuls a la innovació. D'altra banda, s'estableixen definitivament quines seran les diferents agències de supervisió d'aquests sistemes, depenent del sector i àmbit d'actuació.
Adaptació de la legislació espanyola
El Reglament IA va néixer amb l'objectiu que la Unió Europea disposi d'un marc legal comú per al desenvolupament, comercialització i ús de sistemes d'IA que evitin els riscos per a les persones. Com és sabut, el Reglament prohibeix determinats usos de la IA per ser contraris als principis i valors europeus i introdueix obligacions més rigoroses per a sistemes considerats d'alt risc. Respecte de la resta, de risc limitat o mínim, estableix uns requisits mínims de transparència.
Novetats
La nova norma posa de relleu que l'entorn controlat de proves (sandbox regulatori) ja ha començat el seu camí a Espanya fa dos mesos, avançant-se a l'obligació que estableix el Reglament per a partir del 2 d'agost de 2026 d'establir un sandbox que fomenti la innovació i faciliti el desenvolupament, la formació, les proves i la validació de sistemes innovadors d'IA durant un temps limitat abans de la seva comercialització o posada en servei, i de manera acordada entre els proveïdors o possibles proveïdors i l'autoritat competent.
S'ha anunciat, a més, que la futura legislació incorporarà un nou dret digital. Es tracta del dret de retirada provisional del mercat espanyol de sistemes d'IA per l'autoritat de vigilància competent quan hagin provocat un incident greu, com la mort d'una persona.
Règim sancionador
El futur Avantprojecte de llei establirà les conductes infractores i el seu règim sancionador, adaptant les previsions de Reglament IA al sistema espanyol. Així, per als sistemes prohibits, les sancions oscil·len entre els 7,5 i els 35 milions d'euros, o entre el 2% i el 7% del volum de negoci mundial de l'exercici anterior, si aquesta última xifra és superior, tret d'en el cas de pimes, que podrà ser la menor de les dues quanties.
Per la seva part, els sistemes d'alt risc, en cas d'incompliment de les obligacions que els són d'aplicació, s'exposen a sancions en funció de la seva gravetat: "S'entendrà com una infracció molt greu quan l'operador d'un sistema d'IA no comunica un incident greu (com la mort d'una persona, un dany que hagi compromès una infraestructura crítica o un dany al medi ambient), o quan incompleixi les ordres d'una autoritat de vigilància de mercat.
Les sancions en aquest cas oscil·laran entre els 7,5 i els 15 milions d'euros o fins al 2% i el 3% del volum de negoci mundial de l'exercici anterior. Exemples d'infraccions greus són el no introduir supervisió humana en un sistema d'IA que incorpori la biometria en el treball per controlar la presencialitat dels treballadors o no disposar d'un sistema de gestió de qualitat en robots amb IA que desenvolupen les tasques d'inspecció i manteniment en sectors industrials, entre altres.
També es considerarà com una infracció greu no complir l'obligació d'etiquetar correctament qualsevol imatge, àudio o vídeo generat o manipulat amb IA i que mostrin persones reals o inexistents dient o fent coses que mai no han fet o en llocs on mai no han estat, la qual cosa constitueix una ultrasuplantació (deepfake).
Aquests continguts s'hauran d'identificar com continguts generats per IA (...). Les sancions oscil·laran en aquests casos entre 500.000 euros i 7,5 milions d'euros o entre l'1% i el 2% del volum de negoci mundial. Es consideraran infraccions lleus no incorporar el marcatge CE en el sistema d'IA d'alt risc o, quan no sigui possible, al seu embalatge o en la documentació que l'acompanyi, per indicar la conformitat amb el Reglament d'IA".
Designació de les autoritats de vigilància
Un element molt important d'aquesta norma és l'aclariment definitiu de les diferents autoritats de vigilància que resultaran competents per supervisar els sistemes d'IA. Està previst que l'Avantprojecte estableixi que les autoritats encarregades de vigilar els sistemes d'alt risc seran les que per defecte ja estiguin supervisant al sector afectat quan es tracti de productes subjectes a legislació harmonitzada. Addicionalment, seran competents l'Agència Espanyola de Protecció de Dades (per a sistemes de gestió de migracions i asil associats a les Forces i Cossos de Seguretat de l'Estat); el CGPJ per a sistemes d'IA en administració de justícia i la Junta Electoral Central (per a sistemes de processos electorals); el Banc d'Espanya per a sistemes de classificació de solvència creditícia; la Direcció General d'Assegurances (per a sistemes d'assegurances) i la CNMV per a sistemes de mercats de capitals. En la resta dels casos, l'autoritat competent serà l'Agència Espanyola de Supervisió de la IA (AESIA) amb seu a la Corunya.