El Consejo de Ministros ha aprobado para su remisión al Congreso de los Diputados el proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial. Con esta norma, que adapta al ordenamiento jurídico español el Reglamento europeo de Inteligencia Artificial (RIA), en vigor desde agosto de 2024, España se dota de un instrumento que permitirá una supervisión humana y un uso confiable de la inteligencia artificial, tal y como han recalcado desde el Ministerio para la Transformación Digital y de la Función Pública.
Índice de temas
Construcción de una IA confiable, ética y humanista
Durante la intervención del ministro Óscar López, ha recordado que nuestro país cuenta con dos fábricas de IA de la UE, un proyecto de gigafactoría, empresas punteras como Multiverse Computing, un modelo propio de IA en español, ALIA, al tiempo que abandera la apuesta por una IA ética y confiable.
En este sentido, la norma exige responsabilidad a los responsables de la IA que usen sistemas prohibidos por la Unión Europea; impone la supervisión humana en casos que puedan afectar a los derechos fundamentales; promueve la transparencia algorítmica; e incluye medidas específicas para la protección de los menores.
El proyecto de ley identifica en España los organismos de supervisión del Reglamento de IA y establece su régimen sancionador. Además, incorpora como novedad una serie de premisas para fomentar que en el sector público estatal se adopte la inteligencia artificial.
Marco de gobernanza
En concreto, la Ley establece un marco de gobernanza mediante la designación de autoridades notificantes y autoridades de vigilancia del mercado, encargadas de supervisar el cumplimiento de la normativa. Establece que aquellos productos ya regulados por normas sectoriales, como maquinaria, juguetes, vehículos o productos sanitarios, mantendrán su misma Autoridad notificante y Autoridad de Vigilancia del Mercado, en línea con la propuesta del Reglamento de IA.
La Ley establece un marco de gobernanza mediante la designación de autoridades notificantes y autoridades de vigilancia del mercado, encargadas de supervisar el cumplimiento de la normativa
El resto de los sistemas no regulados por legislación de producto, como los relativos al empleo, biometría o educación, se atribuyen principalmente a la Agencia de Supervisión de Inteligencia Artificial (AESIA), así como a la Agencia Española de Protección de Datos (AEPD) y el Consejo General del Poder Judicial (CGPJ), en función del ámbito a supervisar. También promueve un modelo de colaboración institucional reforzado, incluyendo mecanismos de coordinación entre autoridades y un punto de contacto único para cuestiones de supervisión a través de la AESIA.
Impulso de España al Reglamento de IA y nuevos sistemas prohibidos
El Reglamento de IA, una norma pionera en el marco internacional que fue impulsado en el marco de la Presidencia española del Consejo de la Unión Europea, constituye una norma armonizada de aplicación directa en todos los Estados miembros. Clasifica los sistemas de IA en función de su potencial riesgo para las personas, prohíbe aquellos que tienen un riesgo inaceptable para la seguridad o salud de las personas y establece las obligaciones que deben cumplir el resto para su puesta en servicio o comercialización en el mercado europeo.
A iniciativa de España, con el apoyo de Francia, el pasado 7 de mayo la Unión Europea acordó añadir dos sistemas prohibidos que se suman a los ocho en vigor: prohibir en todo el territorio comunitario la introducción en el mercado, puesta en servicio y el uso de sistemas de inteligencia artificial que generen ‘deepfakes’ sexuales, tras la polémica generada por los desnudos de mujeres y menores creados por Grok, el asistente virtual de la red social X, y que ya a mediados de marzo logró el apoyo de la Unión para ser incluida en la reforma del Reglamento.
Otros ejemplos de sistemas prohibidos son aquellos que:
• Usan técnicas subliminales (imágenes o sonidos imperceptibles) para manipular decisiones sin consentimiento, causando un perjuicio considerable a la persona (adicciones, violencia de género o menoscabo de su autonomía). (Ej: un chatbot que identifica usuarios con adicción al juego y les incita a entrar, con técnicas subliminales, en una plataforma de juego online).
• Explotan vulnerabilidades relacionadas con la edad, la discapacidad o situación socioeconómica para alterar sustancialmente comportamientos de modo que les provoque o pueda provocar perjuicios considerables (Ej: Un juguete infantil habilitado con IA que anima a los niños a completar retos que les producen o pueden producirles daños físicos graves).
• Clasifican con biometría a las personas por raza u orientación política, religiosa o sexual. (Ej: Un sistema de categorización facial biométrica capaz de deducir la orientación política o sexual de un individuo mediante análisis de sus fotos en redes sociales).
• Puntúan a individuos o grupos basándose en comportamientos sociales o rasgos personales como método de selección para, por ejemplo, denegarles la concesión de subvenciones o préstamos.
Régimen sancionador
En cuanto al régimen sancionador, la Ley se rige por principios de proporcionalidad y eficacia. Como contempla la Ley 40/2015, la potestad sancionadora requiere una norma con rango de Ley en la que se tipifiquen las infracciones y se determinen las sanciones y el procedimiento. Así, las infracciones se clasificarán en muy graves, graves y leves, garantizando la proporcionalidad. Las sanciones pueden alcanzar hasta los 35 millones de euros o el 7% del volumen de negocio en los casos más graves y hasta 500.000 euros o el 0,5% del volumen de negocio en las más leves.
Las infracciones se clasificarán en muy graves, graves y leves. Las sanciones pueden alcanzar hasta los 35 millones de euros o el 7% del volumen de negocio en los casos más graves y hasta 500.000 euros o el 0,5% del volumen de negocio en las más leves
El texto proporciona flexibilidad para las autoridades en la aplicación de las sanciones, adaptándolas a la gravedad, intencionalidad o reincidencia. Además, se incorporan mecanismos que priorizan la corrección frente a la penalización, como las reducciones de sanción por pronto pago o la adopción de medidas correctoras, así como la consideración específica del tamaño empresarial para proteger a pymes y startups, en línea con lo indicado en el RIA, exponen desde el Ejecutivo.
Buen uso de la IA en el sector público estatal
Otra de las aportaciones de la norma, que no procede de la adaptación del RIA, es impulsar el buen uso de la IA en el sector público estatal, medida que se incluye a petición de numerosas propuestas incluidas en la audiencia pública. Para ello, introduce la creación de un inventario de sistemas de IA utilizados en procedimientos administrativos, no sólo para sistemas de alto riesgo, reforzando la transparencia.
El texto introduce la creación de un inventario de sistemas de IA utilizados en procedimientos administrativos y establece la figura del delegado de IA
Además, establece la figura del delegado de IA, que estará encargado de coordinar la aplicación normativa y asesorar en proyectos y contratación pública. Tanto el inventario como el delegado se desarrollarán por Real Decreto. Adicionalmente, se dará impulso a la formación y concienciación de los empleados públicos en materia de inteligencia artificial.
Entornos de pruebas a escala nacional
Aunque ya el Ministerio para la Transformación Digital y de la Función Pública se anticipó con un entorno controlado de pruebas para ayudar a los proveedores de IA a cumplir la legislación, el texto determina cómo articular la gobernanza de los sandboxes y medidas facilitadoras. Sobre este particular reconoce la necesidad de fomentar la innovación en un entorno controlado, incorporando el espacio controlado de pruebas a escala nacional de obligada creación por el Reglamento de IA, que será operado por la AESIA.
Asimismo, se permite la creación de sandbox de IA adicionales siempre que sean creados por Autoridades de vigilancia del mercado o notificante, y asociados a su sector de supervisión. Y especifica que, en todos los sandbox deberán participar las autoridades responsables de definir las políticas públicas en los sectores cubiertos por el sandbox, y a las autoridades de derechos fundamentales relacionadas.
