El Consejo de Ministros ha aprobado el anteproyecto de ley de gobernanza de la Inteligencia Artificial (IA), un marco normativo que adapta la legislación española al Reglamento Europeo de IA. La iniciativa, que se tramitará por la vía de urgencia, establece reglas para garantizar un uso ético, inclusivo y beneficioso de la tecnología, al tiempo que promueve la innovación.
Un marco normativo alineado con Europa
El reglamento europeo de IA, en vigor desde este año, impone restricciones sobre determinadas aplicaciones de la tecnología y establece un régimen de sanciones para los incumplimientos. España, en línea con la normativa comunitaria, incorporará medidas específicas para supervisar el desarrollo y uso de estos sistemas en distintos ámbitos, desde la justicia hasta los procesos electorales.
El ministro para la Transformación Digital y de la Función Pública, Óscar López, ha subrayado la dualidad de la IA: “Es una herramienta muy poderosa, que puede servir para mejorar nuestras vidas o atacar a la democracia; puede tener buenos usos o malos usos. Por eso es oportuno su buen uso y gobernanza”.
El anteproyecto contempla la creación de un entorno regulado en el que se establecerán prohibiciones, requisitos de transparencia y obligaciones para sistemas de alto riesgo. Entre las novedades, se reconoce el derecho digital a la retirada provisional de sistemas de IA del mercado español si provocan incidentes graves, como el fallecimiento de una persona.
Prácticas prohibidas y sanciones
Desde el 2 de febrero de 2025, la normativa europea prohíbe ciertas aplicaciones de la IA que pueden manipular o perjudicar a las personas. A partir del 2 de agosto de 2025, se aplicarán sanciones por su incumplimiento, con multas de entre 7,5 y 35 millones de euros, o hasta el 7 % del volumen de negocio global del infractor.
Algunas de las prácticas prohibidas incluyen:
- Manipulación mediante técnicas subliminales: sistemas que empleen imágenes o sonidos imperceptibles para influir en decisiones sin consentimiento, causando perjuicios significativos, como adicciones o violencia.
- Explotación de vulnerabilidades: por edad, discapacidad o situación económica para alterar comportamientos en detrimento de las personas.
- Clasificación biométrica: basada en criterios como raza, orientación política, religiosa o sexual.
- Puntuación social: evaluación de individuos según comportamientos o rasgos personales para condicionar el acceso a beneficios o servicios.
- Predicción delictiva: estimaciones de riesgo de comisión de delitos basadas en datos personales, salvo excepciones legales.
- Inferencia emocional en entornos laborales o educativos: con fines de promoción o despido, excepto en casos de seguridad o salud.
La Agencia Española de Protección de Datos (AEPD), el Consejo General del Poder Judicial (CGPJ), la Junta Electoral Central y la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) serán responsables de la supervisión y control de estos sistemas.
Regulación de los sistemas de IA de alto riesgo
El reglamento europeo también define una categoría de sistemas de alto riesgo, que incluyen aquellos vinculados a infraestructuras críticas, educación, empleo, administración de justicia y procesos democráticos. Estos deberán cumplir requisitos como:
- Supervisión humana y gestión de riesgos.
- Transparencia y documentación técnica detallada.
- Conservación de registros y cumplimiento de normativas de calidad.
El incumplimiento de estas obligaciones puede acarrear sanciones económicas proporcionales a la gravedad de la infracción:
- Infracciones muy graves: como la omisión de la notificación de incidentes graves, con multas de hasta 15 millones de euros o el 3 % del volumen de negocio global.
- Infracciones graves: como la falta de supervisión humana en sistemas biométricos laborales o deficiencias en la gestión de calidad en robots industriales, sancionadas con hasta 7,5 millones de euros o el 2 % del volumen de negocio global.
- Infracciones leves: como la falta de etiquetado de conformidad CE en sistemas de alto riesgo.
Un caso particular de infracción grave es la omisión de etiquetado en contenidos generados por IA, como deepfakes, cuando muestran personas reales o ficticias realizando acciones inexistentes. La normativa exige que estos sean identificados de manera clara en la primera interacción o exposición.
Las autoridades sectoriales existentes supervisarán el cumplimiento de estas normativas, como el Banco de España para IA en solvencia crediticia, la CNMV para mercados de capitales y la AESIA para otros ámbitos.
España adelanta la implantación de sandboxes para IA
A partir de agosto de 2026, los países miembros de la UE deberán establecer entornos controlados de pruebas (sandboxes) para evaluar sistemas de IA antes de su comercialización. España se ha adelantado a este requisito con la puesta en marcha de una convocatoria para seleccionar 12 proyectos de IA de alto riesgo, que participarán en un programa de pruebas durante un año.
El objetivo es generar guías técnicas que ayuden a los proveedores de IA a cumplir los requisitos normativos antes de su despliegue comercial. Este enfoque busca equilibrar la regulación con el impulso a la innovación en el sector tecnológico.
