El Gobierno aprueba el anteproyecto de la Ley de Gobernanza de la IA

Con este nuevo marco normativo, España adapta su legislación al reglamento europeo de IA, que ya se encuentra en vigor, estableciendo medidas para mitigar riesgos y fomentar la innovación en el sector.

El anteproyecto de ley sigue un enfoque dual: por un lado, impone restricciones a usos considerados peligrosos o maliciosos de la IA, y por otro, promueve un entorno favorable para la investigación y el desarrollo tecnológico. Según el ministro para la Transformación Digital y de la Función Pública, Óscar López, el objetivo es maximizar los beneficios de la IA, evitando sus potenciales riesgos, como la difusión de desinformación o su uso en ataques contra la democracia.

El reglamento europeo establece una serie de prohibiciones y obligaciones para los sistemas de IA según su nivel de riesgo. Asimismo, introduce un nuevo derecho digital que permite la retirada provisional del mercado de sistemas de IA que hayan provocado incidentes graves, como el fallecimiento de una persona.

Prácticas prohibidas en el uso de la IA

Desde el 2 de febrero de 2025, ciertas prácticas en el uso de la IA están expresamente prohibidas en la Unión Europea. A partir del 2 de agosto de 2025, estas restricciones podrán ser sancionadas con multas y otras medidas correctivas. Entre las prácticas vetadas se encuentran:

• La utilización de técnicas subliminales para manipular decisiones sin el consentimiento del usuario, generando perjuicios graves, como fomentar adicciones o inducir comportamientos dañinos.
• El aprovechamiento de vulnerabilidades de personas en situación de vulnerabilidad (por edad, discapacidad o situación socioeconómica) para modificar sus decisiones con fines perjudiciales.
• La clasificación biométrica de individuos según criterios de raza, orientación política, religiosa o sexual.
• La puntuación de ciudadanos basada en su comportamiento social o características personales, que pueda afectar su acceso a subvenciones o préstamos.
• La predicción del riesgo de cometer delitos basándose en datos personales sin justificación legal.
• La inferencia de emociones en entornos laborales o educativos como criterio de evaluación para promociones o despidos, salvo por razones médicas o de seguridad.

Las sanciones por incumplimiento oscilan entre los 7,5 y los 35 millones de euros o entre el 2% y el 7% del volumen de negocio mundial del ejercicio anterior, aplicándose la mayor de ambas cifras, salvo para pymes, donde se aplicará la menor.

La supervisión de estas prácticas recaerá en diferentes organismos según la materia: la Agencia Española de Protección de Datos para cuestiones biométricas y de gestión de fronteras, el Consejo General del Poder Judicial para IA en el ámbito judicial, y la Junta Electoral Central para el control de sistemas que puedan afectar a procesos democráticos. En el resto de los casos, la autoridad competente será la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA).

Regulación de los sistemas de IA de alto riesgo

El reglamento europeo también define una categoría de sistemas de IA considerados de alto riesgo, los cuales deberán cumplir estrictos requisitos para su desarrollo y comercialización. Estos incluyen sistemas empleados en:

• Productos industriales que incorporen elementos de seguridad, como maquinaria, equipos de protección o dispositivos médicos.
• Sectores críticos como biometría, infraestructuras estratégicas, educación, empleo, servicios financieros, acceso a prestaciones públicas, migración y gestión fronteriza.
• Administración de justicia y procesos democráticos.

Las empresas que operen con estos sistemas deberán implementar medidas como gestión de riesgos, supervisión humana, transparencia en el uso de datos, documentación técnica detallada y sistemas de calidad. El incumplimiento de estas obligaciones conllevará sanciones económicas proporcionales a la gravedad de la infracción.

Entre las infracciones más severas se encuentra la omisión de la notificación de incidentes graves, como la muerte de una persona o daños a infraestructuras críticas. Estas faltas pueden conllevar multas de hasta 15 millones de euros o el 3% del volumen de negocio global de la empresa. También se considerará una infracción grave el uso indebido de sistemas de IA en la supervisión laboral mediante biometría o el incumplimiento de la obligación de etiquetar correctamente imágenes, audios o vídeos generados con IA (deepfakes).

Sandbox de IA

El reglamento europeo establece que, a partir del 2 de agosto de 2026, los países miembros deberán contar con al menos un entorno controlado de pruebas para sistemas de IA, conocidos como sandboxes. Estos espacios permitirán a los desarrolladores probar y validar nuevas tecnologías en un entorno seguro y bajo supervisión regulatoria antes de su comercialización.

España se adelantó a esta medida y lanzó su propio sandbox en diciembre de 2024 un programa piloto que seleccionará hasta 12 sistemas de IA de alto riesgo para su evaluación en un entorno de pruebas. Las conclusiones extraídas de esta iniciativa servirán para desarrollar guías técnicas que ayuden a las empresas a cumplir con la normativa vigente.