Luz verde al anteproyecto de ley para un uso ético, inclusivo y beneficioso de la IA

El Gobierno ha aprobado el anteproyecto de ley de gobernanza de la Inteligencia Artificial, con el que busca garantizar un uso de la IA que sea ético, inclusivo y beneficioso para las personas. Se trata del instrumento normativo que se utilizará para adaptar la legislación española al reglamento europeo de la IA. Este ya está en vigor, con un enfoque regulador que impulsa la innovación.

El anteproyecto se tramitará de manera urgente, y a partir de ahora seguirá los trámites necesarios antes de volver al Consejo de Ministros para que sea aprobado definitivamente como proyecto de ley. Tras eso, se enviará a la Cortes para su aprobación.

Este reglamento prohibe determinados usos maliciosos de la IA, e introduce obligaciones más rigurosas para sistemas considerados de alto riesgo. Para el resto establece unos requisitos mínimos de transparencia. También incorpora un nuevo derecho digital de retirada provisional del mercado español de sistemas de IA, que puede llevar a cabo la autoridad de vigilancia competente cuando hayan producido un incidente grave.

Las prácticas prohibidas entraron en vigor el pasado 2 de febrero, y desde el próximo 2 de agosto se podrán sancionar con multas y otras medidas adicionales. Por ejemplo, se podrá requerir la adaptación de las prácticas para que se realicen de acuerdo al sistema, o impedir que se comercialicen. Se aplicará en cada caso el régimen sancionador incorporado en el anteproyecto de ley, dentro de las horquillas que fija el reglamento europeo.

Entre las prácticas prohibidas está el uso de técnicas subliminales, como imágenes o sonidos imperceptibles, para manipular decisiones sin consentimiento causando un perjuicio grave a la persona. Como adicciones, violencia de género o reducción de su autonomía. También explotar vulnerabilidades relacionadas con la edad, la discapacidad, o la situación socioeconómica para alterar notablemente comportamientos, de manera que provoque o pueda provocar perjuicios graves.

Asimismo, queda prohibida la clasificación biométrica de las personas por raza u orientación política, religiosa o sexual; así como la puntuación de individuos o grupos con base en comportamientos sociales o rasgos personales como método de selección. Un ejemplo de esto es el uso de sistemas de clasificación y puntuación de IA para denegar concesión de préstamos o subvenciones.

Tampoco podrán realizarse valoraciones del riesgo de que una persona cometa un delito con base en datos personales o en el historial de su familia, así como de su nivel educativo o su ligar de residencia, con excepciones legales. Ni inferir emociones en centros de trabajo o educativos como método de evaluación para promoción o despido labora, a no ser que intervengan en este aspecto razones médicas o de seguridad.

Las sanciones que se impondrán para este tipo de sistemas están entre los 7,5 y los 35 millones de euros, o entre el 2% y el 7% del volumen de negocio mundial de la empresa del ejercicio anterior, si esta última cifra es superior. Esto será así salvo en el caso que se trate de pymes. Entonces, la sanción podrá ser la menor de las dos cuantías.

Los sistemas de IA de alto riesgo son los siguientes: todos los que puedan añadirse como elementos de seguridad a productos industriales (máquinas o ascensores, entre otros), juguetes, equipos radioeléctricos, productos sanitarios y productos y vehículos de transporte. También los sistemas que formen parte de los siguientes ámbitos: biometría, infreaestructuras críticas, educación y formación profesional, empleo, acceso a servicios privados esenciales (sistemas de crédito o seguros), a servicios y prestaciones públicas esenciales, y al disfrute de estos servicios y prestaciones.

Asimismo, se considerarán sistemas de IA de alto riesgo los desarrollados para la garantía del derecho, migración, asilo y gestión del control de fronteras, y los pensados para utilizar en la administración de justicia y en procesos democráticos.

Estos sistemas tendrán, entre otras obligaciones, que contar con un sistema de gestión de riesgos y de supervisión humana, documentación técnica, gobernanza de datos, conservación de registros, transparencia y comunicación de información a los responsables del despliegue o sistema de calidad, entre otras cosas. Si no cuentan con una o varias de estas obligaciones pueden ser sancionadas con multas que dependen de la gravedad de la infracción.

Las sanciones muy graves serán, entre otras, la no comunicación de un incidente grave o el incumplimiento de las órdenes de una autoridad de vigilancia de mercado. En este caso las sanciones estarán entre los 7,5 y los 15 millones de euros, o entre el 2% y el 3% del volumen de negocio del ejercicio anterior de la empresa a nivel global.

Las infracciones graves, como no contar con supervisión humana en un sistema de IA que incorpore biometría en el trabajo para controlar la presencialidad, o no contar con un sistema de gestión de calidad en robots con IA, se sancionarán con entre 0,5 y 7,5 millones de euros, o entre el 1% y el 2% del volumen de negocio mundial de la empresa.

También será una infracción grave no etiquetar correctamente una imagen, audio o vídeo generado o manipulado con IA y que muestren a personas reales o no reales diciendo o haciendo cosas que nunca han hecho o en puntos donde no han estado. Es decir, el uso de deepfakes sin identificación. Estos contenidos tendrán que identificarse como contenidos generador por IA de manera clara y distinguible, a más tardar en su primera exposición o interacción.

En cuanto a las infracciones leves está la no incorporación del marcado CE en el sistema de IA de alto riesgo o, cuando no se pueda, en su embalaje o la documentación que acompañe al producto, para indicar la conformidad con el Reglamento de IA.

Además, hay que tener en cuenta que a partir del 2 de agosto de 2026, el reglamento europeo obliga a los países miembros a establecer al menos un entorno controlado de pruebas de IA que fomente la innovación y facilite el desarrollo, la formación, las pruebas y la validación de los sistemas innovadores de IA por tiempo limitado antes de comercializarlos o ponerlos en servicio, acordándolo entre los proveedores y la autoridad competente.

Las autoridades encargadas de vigilar los sistemas prohibidos son la Agencia Española de Protección de Datos para sistemas biométricos y gestión de fronteras, el Consejo General del Poder Judicial para sistemas de IA en el ámbito de la justicia, la Junta Electoral Central para sistemas de procesos electorales, y la AESIA, es decir, la Agencia Española de Supervisión de la Inteligencia Artificial, en el resto de los casos.