Con este nuevo marco normativo, España adapta su legislación al reglamento europeo de IA, que ya se encuentra en vigor, estableciendo medidas para mitigar riesgos y fomentar la innovación en el sector.
El anteproyecto de ley sigue un enfoque dual: por un lado, impone restricciones a usos considerados peligrosos o maliciosos de la IA, y por otro, promueve un entorno favorable para la investigación y el desarrollo tecnológico. Según el ministro para la Transformación Digital y de la Función Pública, Óscar López, el objetivo es maximizar los beneficios de la IA, evitando sus potenciales riesgos, como la difusión de desinformación o su uso en ataques contra la democracia.
El reglamento europeo establece una serie de prohibiciones y obligaciones para los sistemas de IA según su nivel de riesgo. Asimismo, introduce un nuevo derecho digital que permite la retirada provisional del mercado de sistemas de IA que hayan provocado incidentes graves, como el fallecimiento de una persona.
Desde el 2 de febrero de 2025, ciertas prácticas en el uso de la IA están expresamente prohibidas en la Unión Europea. A partir del 2 de agosto de 2025, estas restricciones podrán ser sancionadas con multas y otras medidas correctivas. Entre las prácticas vetadas se encuentran:
Las sanciones por incumplimiento oscilan entre los 7,5 y los 35 millones de euros o entre el 2% y el 7% del volumen de negocio mundial del ejercicio anterior, aplicándose la mayor de ambas cifras, salvo para pymes, donde se aplicará la menor.
La supervisión de estas prácticas recaerá en diferentes organismos según la materia: la Agencia Española de Protección de Datos para cuestiones biométricas y de gestión de fronteras, el Consejo General del Poder Judicial para IA en el ámbito judicial, y la Junta Electoral Central para el control de sistemas que puedan afectar a procesos democráticos. En el resto de los casos, la autoridad competente será la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA).
El reglamento europeo también define una categoría de sistemas de IA considerados de alto riesgo, los cuales deberán cumplir estrictos requisitos para su desarrollo y comercialización. Estos incluyen sistemas empleados en:
Las empresas que operen con estos sistemas deberán implementar medidas como gestión de riesgos, supervisión humana, transparencia en el uso de datos, documentación técnica detallada y sistemas de calidad. El incumplimiento de estas obligaciones conllevará sanciones económicas proporcionales a la gravedad de la infracción.
Entre las infracciones más severas se encuentra la omisión de la notificación de incidentes graves, como la muerte de una persona o daños a infraestructuras críticas. Estas faltas pueden conllevar multas de hasta 15 millones de euros o el 3% del volumen de negocio global de la empresa. También se considerará una infracción grave el uso indebido de sistemas de IA en la supervisión laboral mediante biometría o el incumplimiento de la obligación de etiquetar correctamente imágenes, audios o vídeos generados con IA (deepfakes).
El reglamento europeo establece que, a partir del 2 de agosto de 2026, los países miembros deberán contar con al menos un entorno controlado de pruebas para sistemas de IA, conocidos como sandboxes. Estos espacios permitirán a los desarrolladores probar y validar nuevas tecnologías en un entorno seguro y bajo supervisión regulatoria antes de su comercialización.
España se adelantó a esta medida y lanzó su propio sandbox en diciembre de 2024 un programa piloto que seleccionará hasta 12 sistemas de IA de alto riesgo para su evaluación en un entorno de pruebas. Las conclusiones extraídas de esta iniciativa servirán para desarrollar guías técnicas que ayuden a las empresas a cumplir con la normativa vigente.