España adapta su ordenamiento jurídico al reglamento europeo de IA en vigor desde agosto de 2024

El Consejo de Ministros aprobó el pasado 26 de mayo el proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial, una norma destinada a incorporar al ordenamiento jurídico español el Reglamento europeo de Inteligencia Artificial. El texto define las autoridades responsables de la supervisión, establece un régimen sancionador, regula los entornos de pruebas para desarrolladores e incorpora medidas específicas para reforzar la transparencia y el uso responsable de estas tecnologías en la Administración General del Estado.

La norma determina cómo articular la gobernanza de los entornos de pruebas y el establecimiento de medidas facilitadoras a escala nacional para ayudar a los proveedores de IA a cumplir la legislación.

Aprobado a propuesta del Ministerio para la Transformación Digital y de la Función Pública, el proyecto de Ley Orgánica iniciará ahora su tramitación parlamentaria en el Congreso de los Diputados. La futura norma adapta la legislación española al Reglamento europeo de Inteligencia Artificial (RIA), en vigor desde agosto de 2024, y persigue garantizar una supervisión humana adecuada y un uso confiable de estas tecnologías.

Según el Ejecutivo, la ley combina las obligaciones derivadas del marco regulatorio europeo con medidas orientadas a favorecer el desarrollo de la inteligencia artificial dentro de un entorno de garantías. Entre otros aspectos, contempla mecanismos destinados a reforzar la transparencia algorítmica, exigir supervisión humana cuando puedan verse afectados derechos fundamentales y establecer medidas específicas de protección para los menores.

Además de adaptar el Reglamento europeo, el texto identifica las autoridades competentes encargadas de supervisar su cumplimiento en España y establece el correspondiente régimen sancionador. También incorpora medidas orientadas a favorecer la adopción de la inteligencia artificial en el sector público estatal y regula el funcionamiento de los espacios controlados de pruebas o sandbox.

La futura ley configura un modelo de gobernanza basado en autoridades notificantes y autoridades de vigilancia del mercado. En aquellos productos que ya cuentan con regulación sectorial específica, como maquinaria, vehículos, juguetes o productos sanitarios, continuarán actuando los organismos competentes actualmente responsables de su supervisión.

Para el resto de sistemas de inteligencia artificial que no estén vinculados a legislación de producto, incluidos ámbitos como el empleo, la biometría o la educación, la principal responsabilidad recaerá sobre la Agencia Española de Supervisión de Inteligencia Artificial (AESIA). Dependiendo del ámbito concreto, también participarán la Agencia Española de Protección de Datos y el Consejo General del Poder Judicial. La norma contempla igualmente mecanismos de coordinación institucional y atribuye a la AESIA la función de punto único de contacto en materia de supervisión.

Como ya se ha indicado, el proyecto se enmarca en la aplicación del Reglamento europeo de Inteligencia Artificial, una normativa que clasifica los sistemas según su nivel de riesgo y prohíbe aquellos considerados incompatibles con la protección de los derechos y la seguridad de las personas.

Entre las novedades recogidas en el texto figura la incorporación de nuevas categorías de sistemas prohibidos acordadas recientemente en el ámbito comunitario. España impulsó, junto con Francia, la prohibición de los sistemas capaces de generar deepfakes sexuales, una medida aprobada por la Unión Europea el pasado 7 de mayo tras varios episodios que suscitaron preocupación sobre el uso de este tipo de tecnologías.

La normativa europea también veta los sistemas que utilicen técnicas subliminales para manipular decisiones sin consentimiento cuando puedan ocasionar perjuicios relevantes, aquellos que exploten vulnerabilidades relacionadas con la edad, la discapacidad o la situación socioeconómica de las personas, y las aplicaciones destinadas a clasificar individuos mediante biometría en función de aspectos como la raza, las creencias religiosas, la orientación política o la orientación sexual.

Asimismo, quedan prohibidos los sistemas de puntuación social utilizados para condicionar el acceso a ayudas, servicios o beneficios.

La ley incorpora un régimen sancionador propio que clasifica las infracciones en leves, graves y muy graves. Las sanciones previstas para los incumplimientos más severos podrán alcanzar los 35 millones de euros o el 7% del volumen de negocio global de la entidad responsable. En el caso de las infracciones leves, las multas podrán llegar a 500.000 euros o al 0,5% de la facturación.

El texto permite modular las sanciones atendiendo a circunstancias como la gravedad de los hechos, la reincidencia o la intencionalidad. También incorpora mecanismos que favorecen la corrección de incumplimientos mediante reducciones por pronto pago o por la adopción de medidas correctoras.

Además, contempla criterios específicos para evitar impactos desproporcionados sobre pequeñas y medianas empresas y startups.

Una de las principales aportaciones del proyecto fuera de las obligaciones estrictamente derivadas del Reglamento europeo es la creación de un inventario de sistemas de inteligencia artificial utilizados en procedimientos administrativos de la Administración General del Estado. La medida pretende reforzar la transparencia sobre el uso de estas herramientas en el ámbito público.

La norma contempla además la figura del delegado de inteligencia artificial, encargado de coordinar la aplicación de la legislación y prestar apoyo en proyectos y procesos de contratación pública relacionados con estas tecnologías. Tanto el inventario como esta nueva figura serán desarrollados posteriormente mediante real decreto.

A ello se suma el impulso de actuaciones de formación y concienciación dirigidas a los empleados públicos.

El proyecto de ley dedica un capítulo específico a los entornos controlados de pruebas. Tras la experiencia desarrollada por España en los últimos años para facilitar el cumplimiento normativo de los proveedores de inteligencia artificial, la norma establece el marco de gobernanza de los sandbox exigidos por el Reglamento europeo. El espacio nacional será gestionado por la AESIA y permitirá evaluar el cumplimiento de los requisitos legales en condiciones supervisadas.

Asimismo, se prevé la creación de otros sandbox promovidos por autoridades de vigilancia o notificación en ámbitos sectoriales concretos. En todos ellos deberán participar tanto los organismos responsables de las políticas públicas relacionadas con el sector correspondiente como las autoridades competentes en materia de derechos fundamentales, con el objetivo de garantizar una supervisión integral de los sistemas sometidos a evaluación.