Con el objetivo de garantizar un uso de la tecnología de inteligencia artificial (IA) ético, inclusivo y beneficioso para las personas, el Gobierno de España ha aprobado el anteproyecto de ley de gobernanza de la inteligencia artificial. De esta forma, se adaptará la legislación española a la Ley de IA de la Unión Europea, ya en vigor y con un enfoque que impulsa la innovación.
El anteproyecto de ley, que se tramitará por la vía de urgencia, seguirá ahora los trámites preceptivos antes de volver al Consejo de Ministros para su aprobación definitiva como proyecto de ley y su envío a las Cortes para que den luz verde.
Para establecer un marco legal común para el desarrollo, comercialización y uso de sistemas de IA que evite los riesgos para las personas, el reglamento prohíbe determinados usos de esta tecnología, introduce obligaciones más rigurosas para sistemas considerados de alto riesgo y determina unos requisitos mínimos de transparencia para el resto.
Además, incorpora un nuevo derecho digital de retirada provisional del mercado español de sistemas de IA por la autoridad de vigilancia competente cuando hayan provocado un incidente grave.
Aplicación de las prácticas de IA prohibidas
Las prácticas prohibidas entraron en vigor el pasado 2 de febrero y, a partir del próximo 2 de agosto, se podrá aplicar el régimen sancionador que incorpora el anteproyecto de ley, dentro de las horquillas que fija la legislación europea.
Entre las prácticas prohibidas, figuran el uso de técnicas subliminales para manipular decisiones sin consentimiento causando un perjuicio personal considerable, explotar vulnerabilidades relacionadas con la edad, la discapacidad o situación socioeconómica para alterar sustancialmente comportamientos de modo que se puedan provocar perjuicios considerables; la clasificación biométrica de las personas por raza u orientación política, religiosa o sexual; la puntuación de individuos o grupos en base a comportamientos sociales o rasgos personales como método de selección, valorar el riesgo de que una persona cometa un delito en base a datos personales (con excepciones legales) o inferir emociones en centros de trabajo o educativos como método de evaluación para promoción o despido laboral (salvo por razones médicas o de seguridad).
Las autoridades encargadas de vigilar las prácticas prohibidas serán la Agencia Española de Protección de Datos (para sistemas biométricos y gestión de fronteras), el Consejo General del Poder Judicial (en el ámbito de la justicia), la Junta Electoral Central (procesos democráticos) y la Agencia Española de Supervisión de la Inteligencia Artificial en el resto de casos.
Protección ante los sistemas de IA de alto riesgo
La legislación considera sistemas de IA de alto riesgo todos los que puedan añadirse como elementos de seguridad a productos industriales, juguetes, equipos radioeléctricos y productos sanitarios y de transportes.
También los de los siguientes ámbitos: biometría, infraestructuras críticas, educación y formación profesional, empleo, acceso a servicios privados esenciales y a servicios y prestaciones públicos esenciales, así como disfrute de estos servicios y prestaciones; para la garantía del derecho, migración, asilo y gestión del control fronterizo; y para su uso en la administración de justicia y procesos democráticos.
Se entenderá como una infracción muy grave cuando el operador de un sistema de IA no comunique un incidente grave o incumpla las órdenes de una autoridad de vigilancia de mercado.
Un ejemplo de infracción grave es no cumplir con la obligación de etiquetar correctamente cualquier imagen, audio o vídeo generado o manipulado con IA y que muestre a personas reales o inexistentes diciendo o haciendo cosas que no han hecho o en lugares donde no han estado. Estos contenidos deberán identificarse como contenidos generados por IA.
Las autoridades encargadas de vigilar estos sistemas serán las que por defecto ya estén supervisando al sector afectado. Adicionalmente, tendrán competencias la Agencia Española de Protección de Datos (para sistemas de gestión de migraciones y asilo asociados a las Fuerzas y Cuerpos de Seguridad del Estado), el CGPJ (administración de justicia), la Junta Electoral Central (procesos electorales), el Banco de España (clasificación de solvencia crediticia), la Dirección General de Seguros (seguros) y la CNMV (mercados de capitales). En el resto de casos, la autoridad competente será la AESIA.
Sandbox para el desarrollo de la IA
A partir del 2 de agosto de 2026, la Ley de IA de la UE obligará a los Estados miembros a establecer al menos un sandbox de IA que fomente la innovación. Estos entornos controlados de pruebas facilitarán el desarrollo, las pruebas y la validación de sistemas innovadores de IA durante un tiempo limitado antes de su comercialización o puesta en servicio y de manera acordada entre los proveedores y la autoridad competente.
España ya lanzó el pasado mes de diciembre una convocatoria para seleccionar hasta un total de 12 sistemas de IA de alto riesgo que, durante un año, participarán en un sandbox. Las lecciones aprendidas nutrirán unas guías técnicas sobre el cumplimiento de los requisitos de los sistemas de alto riesgo.