El pasado 11 de marzo de 2025, el Gobierno de España aprobó el anteproyecto de ley para el buen uso y la gobernanza de la inteligencia artificial (“IA”). Se trata de una norma pionera que adapta el ordenamiento jurídico español al Reglamento (UE) 2024/1689, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de Inteligencia Artificial o “RIA”). Con esta propuesta legislativa, España se posiciona como uno de los primeros Estados miembros en desarrollar un marco nacional específico para implementar las obligaciones europeas en materia de IA, reforzando la protección de los derechos fundamentales y la supervisión pública.
Principios rectores del texto normativo
La Exposición de Motivos del anteproyecto subraya que la IA ofrece un enorme potencial de transformación social y económica, pero conlleva riesgos para derechos fundamentales si no se regula adecuadamente. Por ello, el texto se inspira en principios internacionales y europeos (como la Declaración de la OCDE sobre IA de 2019 y las Directrices Éticas de la UE de 2019 para una IA fiable) con el fin de promover una IA confiable, transparente y centrada en el ser humano. El anteproyecto se plantea como instrumento para alinear el desarrollo y uso de la IA con los valores democráticos, evitando la opacidad algorítmica, la discriminación o las violaciones de la privacidad. En consonancia con estos principios, sitúa como ejes fundamentales la protección de los derechos fundamentales, la transparencia de los algoritmos y la rendición de cuentas de sus operadores. Igualmente, se promueve la innovación responsable, incorporando herramientas como sandboxes regulatorios (entornos de prueba controlados) y flexibilidad para pymes a fin de evitar cargas desproporcionadas. Estos principios rectores muestran la intención de lograr un equilibrio entre el fomento de la IA y la garantía de un buen uso respetuoso con los derechos humanos y el Estado de Derecho.
Clasificación de los sistemas en función del riesgo
Siguiendo la lógica del RIA, el anteproyecto distingue entre sistemas prohibidos, sistemas de alto riesgo, sistemas de riesgo limitado y aquellos de riesgo mínimo. Los primeros incluyen usos que se consideran contrarios a los derechos fundamentales, como la manipulación subliminal o la puntuación social automatizada. Los sistemas de alto riesgo se vinculan con sectores sensibles como la educación, la justicia, el empleo o la seguridad, y deberán cumplir requisitos estrictos de calidad, trazabilidad, supervisión humana y documentación técnica. Los sistemas de riesgo limitado, aunque no sujetos a autorizaciones previas, deberán garantizar un nivel mínimo de transparencia, como informar a los usuarios de que están interactuando con una IA o etiquetar los contenidos generados artificialmente. Por último, los sistemas de riesgo mínimo no estarán sujetos a obligaciones específicas más allá de las normas generales aplicables.
Cabe destacar que el anteproyecto utiliza las mismas definiciones de términos que el RIA, para asegurar coherencia. Así, conceptos como “sistema de IA”, “proveedor”, “usuario o responsable del despliegue” o “modelo de IA de uso general” se definen por remisión al artículo 3 del RIA. Esto evidencia el afán de armonización terminológica; la ley española no crea categorías propias de riesgo ni redefine la IA, sino que se adapta al marco común europeo de clasificación de sistemas en función de su riesgo.
Como particularidad del modelo español, se aborda con especial detalle el uso de sistemas de identificación biométrica remota en tiempo real en espacios públicos por parte de las fuerzas y cuerpos de seguridad. El RIA contempla esta posibilidad de manera excepcional y supeditada a normas nacionales, y el anteproyecto español regula esta excepción de forma expresa, estableciendo condiciones específicas y mecanismos de autorización y control. En otras palabras, permite un uso que en principio está prohibido por el Derecho de la UE, pero que el propio RIA deja a criterio del legislador nacional autorizar en casos excepcionales. Esto representa una diferencia respecto a países que quizás opten por mantener la prohibición total.
Responsabilidades de los operadores
El anteproyecto establece obligaciones claras para los distintos operadores que participan en el ciclo de vida de un sistema de IA. Los proveedores deberán evaluar y mitigar los riesgos derivados del uso de sus sistemas, aplicar mecanismos de supervisión y registrar adecuadamente su funcionamiento. En particular, los sistemas de alto riesgo solo podrán comercializarse tras superar una evaluación de conformidad y contar con el correspondiente marcado CE. Por su parte, los usuarios profesionales, incluidos los operadores públicos, tendrán que garantizar un uso conforme a las instrucciones del proveedor, activar la supervisión humana prevista y, en determinados casos, realizar una evaluación de impacto sobre derechos fundamentales antes del despliegue del sistema. Esta última obligación será especialmente relevante en los sectores público y social, donde el uso de algoritmos de decisión automatizada podría tener efectos estructurales sobre colectivos vulnerables.
Estas obligaciones reflejan las disposiciones del RIA, y el anteproyecto opta por no reproducirlas uno por uno en su texto (dado que son de aplicación directa por el reglamento europeo) sino más bien por remitir a ellas para evitar duplicidades, enfocándose en cómo se supervisará su cumplimiento en España mediante sanciones.
Modelo de gobernanza y supervisión
La propuesta normativa define un modelo de gobernanza basado en la colaboración entre autoridades. La Agencia Española de Supervisión de la Inteligencia Artificial (“AESIA”) asumirá un papel coordinador en la vigilancia del cumplimiento normativo, especialmente en aquellos ámbitos que no cuenten con una autoridad sectorial específica. El modelo prevé que otras autoridades especializadas asuman competencias de supervisión en sus respectivos ámbitos, como la Agencia Española de Protección de Datos en materia de biometría y tratamiento de datos personales, el Banco de España y la Comisión Nacional del Mercado de Valores en el ámbito financiero, o el Consejo General del Poder Judicial y la Junta Electoral Central en el uso de IA en procesos judiciales y democráticos. Este modelo garantiza la rendición de cuentas de los operadores de IA ante autoridades públicas: los sistemas de IA estarán sujetos a vigilancia y, en su caso, a inspecciones, requerimientos y medidas correctivas por parte de los reguladores competentes.
Adicionalmente, la AESIA tendrá un papel en la promoción de la innovación en IA de forma segura. El anteproyecto le encarga la supervisión de los sandboxes o entornos controlados de prueba en IA. Recordemos que el RIA obliga a partir de agosto de 2026 a establecer al menos un sandbox regulatorio para IA en cada Estado miembro. España se ha adelantado a este mandato, ya que en diciembre de 2024 lanzó una convocatoria para seleccionar 12 proyectos de IA de alto riesgo que operarán durante un año en un entorno controlado con apoyo de la AESIA. La experiencia recabada servirá para elaborar guías técnicas de cumplimiento. La AESIA liderará estas iniciativas de sandbox, proporcionando acompañamiento a desarrolladores para que experimenten con nuevas IA bajo la tutela del regulador. Esto encaja con su misión más amplia no solo de “policía” de la IA, sino también de facilitador de una IA ética e innovadora.
Régimen sancionador y medidas de aplicación
En cuanto al régimen sancionador, se prevén infracciones clasificadas por su gravedad (leves, graves y muy graves), con sanciones que pueden llegar hasta los 35 millones de euros o el 7% del volumen de negocio global del infractor en caso de ser una empresa. La autoridad competente podrá imponer multas proporcionales a la infracción cometida, atendiendo a factores como la intencionalidad, la reincidencia o la colaboración en la resolución de los hechos. En el caso de las pequeñas y medianas empresas, el texto prevé una respuesta más flexible, permitiendo en determinados supuestos que la autoridad opte por apercibirlas y exigirles la corrección del incumplimiento en un plazo, en lugar de multarlas de inmediato. De esta forma, si la PYME subsana el problema en el plazo dado y repara los posibles daños, se podría concluir el expediente sin sanción económica. Esta previsión refuerza el objetivo de no obstaculizar la innovación ni imponer cargas desproporcionadas a operadores de menor tamaño.
En definitiva, este anteproyecto representa una apuesta decidida por un desarrollo seguro y responsable de la IA. Desde Vintert, ponemos a disposición de nuestros clientes el asesoramiento necesario para interpretar este nuevo marco jurídico y adaptar sus sistemas y procesos a los requisitos que se deriven de la futura norma.
¡Contacta con nosotros!
Los campos con asterisco (*) son obligatorios.