El pasado día 11 de marzo se anunció un futuro Anteproyecto de ley de gobernanza de la Inteligencia Artificial (IA) el cual, según se anunció, pretende garantizar un uso de la IA que sea ético, inclusivo y beneficioso para las personas. Esta ley adaptará la legislación española al Reglamento europeo de IA (AI Act) ya en vigor. Se ha dicho que combinará el enfoque regulador con el impulso a la innovación. Por otro lado, se establecen definitivamente cuáles serán las distintas agencias de supervisión de estos sistemas, dependiendo del sector y ámbito de actuación.
Adaptación de la legislación española
El Reglamento IA nació con el objetivo de que la Unión Europea disponga de un marco legal común para el desarrollo, comercialización y uso de sistemas de IA que eviten los riesgos para las personas. Como es sabido, el Reglamento prohíbe determinados usos de la IA por ser contrarios a los principios y valores europeos e introduce obligaciones más rigurosas para sistemas considerados de alto riesgo. Respecto del resto, de riesgo limitado o mínimo, establece unos requisitos mínimos de transparencia.
Novedades
La nueva norma pone en valor que el entorno controlado de pruebas (sandbox regulatorio) ya ha comenzado su andadura en España hace dos meses, adelantándose a la obligación que establece el Reglamento para a partir del 2 de agosto de 2026 de establecer un sandbox que fomente la innovación y facilite el desarrollo, la formación, las pruebas y la validación de sistemas innovadores de IA durante un tiempo limitado antes de su comercialización o puesta en servicio, y de manera acordada entre los proveedores o posibles proveedores y la autoridad competente.
Se ha anunciado, además, que la futura legislación incorporará un nuevo derecho digital. Se trata del derecho de retirada provisional del mercado español de sistemas de IA por la autoridad de vigilancia competente cuando hayan provocado un incidente grave, como el fallecimiento de una persona.
Régimen sancionador
El futuro Anteproyecto de ley establecerá las conductas infractoras y su régimen sancionador, adaptando las previsiones de Reglamento IA al sistema español. Así, para los sistemas prohibidos, las sanciones oscilan entre los 7,5 y los 35 millones de euros, o entre el 2% y el 7% del volumen de negocio mundial del ejercicio anterior, si esta última cifra es superior, salvo en el caso de pymes, que podrá ser la menor de las dos cuantías.
Por su parte, los sistemas de alto riesgo, en caso de incumplimiento de las obligaciones que les son de aplicación, se exponen a sanciones en función de su gravedad: “Se entenderá como una infracción muy grave cuando el operador de un sistema de IA no comunica un incidente grave (como la muerte de una persona, un daño que haya comprometido una infraestructura crítica o un daño al medio ambiente), o cuando incumpla las órdenes de una autoridad de vigilancia de mercado.
Las sanciones en este caso oscilarán entre los 7,5 y los 15 millones de euros o hasta el 2% y el 3% del volumen de negocio mundial del ejercicio anterior. Ejemplos de infracciones graves son el no introducir supervisión humana en un sistema de IA que incorpore la biometría en el trabajo para controlar la presencialidad de los trabajadores o no disponer de un sistema de gestión de calidad en robots con IA que desarrollan las tareas de inspección y mantenimiento en sectores industriales, entre otros.
También se considerará como una infracción grave no cumplir con la obligación de etiquetar correctamente cualquier imagen, audio o vídeo generado o manipulado con IA y que muestren a personas reales o inexistentes diciendo o haciendo cosas que nunca han hecho o en lugares donde nunca han estado, lo que constituye una ultrasuplantación (deepfake).
Estos contenidos deberán identificarse como contenidos generados por IA (…). Las sanciones oscilarán en estos casos entre 500.000 euros y 7,5 millones de euros o entre el 1% y el 2% del volumen de negocio mundial. Se considerarán infracciones leves no incorporar el marcado CE en el sistema de IA de alto riesgo o, cuando no sea posible, en su embalaje o en la documentación que lo acompañe, para indicar la conformidad con el Reglamento de IA”.
Designación de las autoridades de vigilancia
Un elemento muy importante de esta norma es la aclaración definitiva de las distintas autoridades de vigilancia que resultarán competentes para supervisar los sistemas de IA. Está previsto que el Anteproyecto establezca que las autoridades encargadas de vigilar los sistemas de alto riesgo serán las que por defecto ya estén supervisando al sector afectado cuando se trate de productos sujetos a legislación armonizada. Adicionalmente, serán competentes la Agencia Española de Protección de Datos (para sistemas de gestión de migraciones y asilo asociados a las Fuerzas y Cuerpos de Seguridad del Estado); el CGPJ para sistemas de IA en administración de justicia y la Junta Electoral Central (para sistemas de procesos electorales); el Banco de España para sistemas de clasificación de solvencia crediticia; la Dirección General de Seguros (para sistemas de seguros) y la CNMV para sistemas de mercados de capitales. En el resto de los casos, la autoridad competente será la Agencia Española de Supervisión de la IA (AESIA) con sede en La Coruña.