Anteproyecto de Ley para el buen uso y gobernanza de la IA

El pasado 11 de marzo el Consejo de Ministros aprobó el Anteproyecto de Ley para el buen uso y la gobernanza de la Inteligencia Artificial (“Anteproyecto de Ley de IA”), que desarrolla el régimen sancionador y de gobernanza previsto en el Reglamento (UE) 2024/1689 (“Reglamento de IA” o “RIA”). Del 18 al 26 de marzo ha estado abierto a consulta pública.

El Anteproyecto de Ley tiene como objetivo principal adaptar la legislación española al Reglamento de IA, que establece normas armonizadas para la introducción en el mercado, la puesta en servicio y la utilización de sistemas de IA en la Unión Europea.

Novedades del régimen sancionador y del procedimiento sancionador

El Anteproyecto ha concretado el régimen sancionador aplicable, conforme al Art. 99 RIA. En particular, establece una clasificación de las infracciones en leves, graves o muy graves, asociando en cada caso las siguientes sanciones:

• Las infracciones muy graves se sancionan con multas oscilarán entre los 7,5 y los 15 millones de euros o hasta el 2% y el 3% del volumen de negocio mundial del ejercicio anterior, si fuese mayor, salvo en el caso de pymes, donde podrá ser la menor de las dos cuantías.
• En relación con las infracciones graves, las sanciones oscilarán en estos casos entre 500.000 euros y 7,5 millones de euros o entre el 1% y el 2% del volumen de negocio mundial, si fuese mayor, salvo en el caso de pymes, donde podrá ser la menor de las dos cuantías.
• En el caso de infracciones leves, las sanciones aplicables oscilarán entre multa de entre 6.000 euros hasta 500.000 euros o de entre un 0,5% hasta el 1% del volumen de negocios mundial, si fuese mayor, salvo en caso de pymes.

Adicionalmente, en las infracciones muy graves por prácticas de IA prohibidas y en las infracciones en que un sistema de IA haya causado un incidente grave, la autoridad de vigilancia del mercado podrá imponer la retirada del producto o la desconexión o prohibición del sistema de IA.

Asimismo, se regulan los criterios de graduación de las sanciones, con atención especial a su repercusión y su trascendencia por lo que respecta a la salud y seguridad de las personas y a sus derechos fundamentales.

Sin perjuicio de la sanción que se pudiera imponer, el artículo 34 del Anteproyecto establece que el infractor quedará obligado a la reposición de la situación alterada por el mismo a su estado originario, así como a la indemnización de los daños y perjuicios causados, que podrán ser determinados por la autoridad competente.

Por otro lado, el Anteproyecto regula el procedimiento sancionador, que podrá iniciarse a raíz de denuncia de particular a través del buzón o canal que pondrá a disposición la Agencia Española de Supervisión de Inteligencia Artificial, conforme al Art. 85 RIA.

Destaca igualmente la facultad de las autoridades competentes de adoptar medidas cautelares para garantizar la eficacia de la resolución sancionadora, incluyendo la posible retirada cautelar del producto o la desconexión o prohibición del sistema de IA cuando la continuidad del sistema de IA en el mercado durante la tramitación del expediente implique un riesgo inaceptable.

Prácticas Prohibidas de IA

El Art. 10 del Anteproyecto de Ley de IA recoge las prácticas de IA prohibidas por el Reglamento. Conforme al Reglamento de IA, estas prohibiciones ya son aplicables desde el 2 de febrero de 2025, y podrán ser sancionadas a partir del 2 de agosto de 2025 (puede consultarse aquí nuestra publicación relativa al inicio de aplicación parcial del Reglamento de IA y aquí nuestra publicación relativa a las Directrices sobre prácticas de IA prohibidas). El Anteproyecto tipifica las prácticas prohibidas como infracciones muy graves.

Sistemas de IA de alto riesgo

Por su lado, los sistemas de IA considerados de alto riesgo (art. 6 RIA) –que deben cumplir con múltiples obligaciones como, por ejemplo, disponer de un sistema de gestión de riesgos, supervisión humana, etc.– se exponen a sanciones en función de su gravedad.

El Anteproyecto tipifica las infracciones de los proveedores de sistemas de IA de alto riesgo. Se considerará infracción muy grave que el operador de un sistema de IA no comunique un incidente grave o incumpla las órdenes de una autoridad de vigilancia de mercado. Será infracción grave, entre otras, el incumplimiento de los requisitos de los sistemas de IA de alto riesgo conforme al Capítulo III, Sección 2 RIA, como la supervisión humana o del sistema de gestión de calidad. Se considerará infracción leve, por ejemplo, no incorporar el marcado CE en el sistema de IA de alto riesgo (o, cuando no sea posible, en su embalaje o en la documentación que lo acompañe), para indicar la conformidad con el Reglamento de IA.

En relación con los responsables del despliegue de sistemas de IA de alto riesgo, se tipifican como infracciones graves, conforme al Art. 26 del RIA, entre otras, no adoptar medidas técnicas y organizativas adecuadas para garantizar el uso del sistema según las instrucciones, o no encomendar la supervisión humana del sistema a personas con la adecuada competencia, formación y autoridad.

Transparencia

En consonancia con el Art. 50 del Reglamento de IA, el Art. 16 del Anteproyecto tipifica como infracción grave para los proveedores de sistemas de IA el incumplimiento de la obligación de etiquetar correctamente cualquier imagen, audio o vídeo generado o manipulado con IA que constituya una ultrasuplantación (deepfake) o cualquier texto destinado a informar al público sobre asuntos de interés público, así como el incumplimiento de la obligación de informar a las personas afectadas sobre el hecho de que están interactuando con un sistema de IA. Los contenidos indicados deberán identificarse como contenidos generados por IA “de manera clara y distinguible a más tardar con ocasión de la primera interacción o exposición”.

Autoridades de vigilancia del mercado

El art. 6 del Anteproyecto designa las autoridades de vigilancia del mercado competentes para el ejercicio de la potestad sancionadora. Así, se detalla la competencia de los siguientes organismos:

• Agencia Española de Supervisión de Inteligencia Artificial, a quien se atribuye la potestad sancionadora en relación con la mayoría de las prácticas prohibidas, así como con buena parte de los sistemas de alto riesgo del Anexo III del Reglamento, y con las obligaciones de transparencia de determinados sistemas.
• Agencia Española de Protección de Datos y las autoridades autonómicas en el ámbito de sus competencias, a quienes se atribuye la potestad sancionadora sobre algunas de las prácticas prohibidas, así como sobre algunos de los sistemas alto riesgo recogidos en el Anexo III.
• Banco de España y Comisión Nacional del Mercado de Valores, en el ámbito de sus competencias en relación con sistemas de IA de evaluación de solvencia o calificación crediticia.
• Dirección General de Seguros y Fondos de Pensiones, para sistemas de IA en el ámbito de seguros de vida y de salud.
• Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial, para sistemas de IA en el campo de la administración de justicia.
• Junta Electoral Central, para los sistemas de IA que afecten a los procesos democráticos.

Próximos pasos

El Anteproyecto de Ley, que se tramitará por la vía de urgencia, seguirá ahora los trámites preceptivos antes de volver al Consejo de Ministros para su aprobación definitiva como Proyecto de Ley y envío a las Cortes Generales para su tramitación parlamentaria.