Locations
El anteproyecto de ley para el buen uso y la gobernanza de la inteligencia artificial, aprobado por el consejo de Ministros el pasado 11 de marzo de 2025, constituye la respuesta normativa de España frente a los nuevos desafíos de la IA. Esta ley será aplicada para entidades públicas y privadas que actúen como operadores de sistemas de IA en España. A continuación, se presentan cuatro puntos claves del anteproyecto: 1. Gobernanza y Supervisión. 2. Prácticas Prohibidas y 3. Identificación biométrica. 4. Régimen sancionador.
1. Gobernanza y Supervisión
El anteproyecto en su artículo 4, designa a la Secretaría de Estado de Digitalización e IA, a través de la Dirección General de IA, como autoridad notificante, quien será competente para el ejercicio de la potestad sancionadora de los organismos notificados. Además, le corresponderá la designación del representante en el Consejo de IA establecida en el artículo 65.3 del RIA. No obstante, la evaluación y supervisión de los organismos notificados se realizarán por la Entidad Nacional de Acreditación (ENAC).
Se crea la Agencia Española de Supervisión de la IA (AESIA), quien se encargará de la Gobernanza y supervisión nacional, y de ser punto único de contacto.
Asimismo, el anteproyecto en su artículo 6, designa a las siguientes entidades como autoridades de vigilancia del mercado, quienes asumirán competencias cuando la IA impacta en ámbitos de su especialidad:
- La Agencia Española de Supervisión de Inteligencia Artificial: se atribuye la potestad sancionadora en relación con la mayoría de las prácticas prohibidas, así como con buena parte de los sistemas de alto riesgo del Anexo III del RIA.
- La Agencia Española de Protección de Datos y las autoridades autonómicas de pro-tección de datos, dentro del ámbito de sus respectivas competencias: se atribuye la potestad sancionadora sobre algunas de las prácticas prohibidas, así como sobre al-gunos de los sistemas alto riesgo recogidos en el Anexo III
- Banco de España y a la Comisión Nacional de Mercados y Valores (CNMV): en el ám-bito de sus competencias en relación con sistemas de IA de evaluación de solvencia o calificación crediticia.
- Dirección General de Seguros y Fondos de Pensiones, para sistemas de IA en el ám-bito de seguros de vida y de salud.
- Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial: para sistemas de IA en el campo de la administración de justicia.
- La Junta Electoral Central: se atribuye a los sistemas de IA que afecten a los proce-sos democráticos.
- Las Autoridades de Vigilancia del mercado designadas por otras leyes de la Unión Eu-ropa. La enumeración se detalla en el anexo I del RIA.
Corresponde a las autoridades de vigilancia del mercado, todas las funciones de vigilancia, inspección y sanción de los sistemas de IA establecidas en el capitulo IX del RIA. Con la intención de asegurar una debida coordinación en el ejercicio de sus funciones, deberán intercambiar cualquier información operativa.
Como competencia atribuida a la AESIA con carácter excepcional y cuando sea necesario para evitar o mitigar las consecuencias derivadas de incidentes graves causados por sistemas de IA, podrá promover, coordinar y adoptar cuantas medidas sean necesarias, con la colaboración de las autoridades antes descritas.
Asimismo, la AESIA se encargará de presentar a la Comisión de coordinación entre autoridades (órgano que facilita el intercambio de información, criterios y buenas prácticas para una debida aplicación de sanciones y medidas), el informe previsto en el artículo 70.6 del RIA, acerca del estado de los recursos financieros y humanos de las autoridades competentes. Dichos informes son realizados por las autoridades de vigilancia de forma anual o a petición de la AESIA.
Finalmente, otra competencia atribuida a la AESIA, es la promoción de entornos de prueba que permitan una correcta adaptación de los sistemas de IA para reforzar la protección de los usuarios.
2. Prácticas Prohibidas
El anteproyecto se ciñe a señalar que queda prohibido la introducción en el mercado, la puesta en servicio o utilización de un sistema de IA, cuya práctica se defina como prohibida, según lo recogido en el art. 5., letras a) a h), del del RIA, que entraron en vigor el pasado 2 de febrero de 2025.
Es así como, cualquier operador que en España introduzca en el mercado o use un sistema de IA para “manipulación subliminal dañina”, “explotación de vulnerables”, “sistemas de “social scoring” u otras prácticas de la lista, estaría incurriendo en una infracción muy grave automáticamente.
Solo quedará en un régimen de autorización excepcional, el supuesto que el RIA permite condicionar, este es el que aparece en la letra h del art. 5, identificación biométrica remota en tiempo real por autoridades para cumplimiento de la ley, bajo estrictas condiciones. En el próximo punto trataremos sobre este tema.
3. Identificación biométrica
La identificación biométrica en tiempo real es uno de los sistemas prohibidos por el RIA. El artículo 11 del anteproyecto aborda el uso de este sistema. El uso está regulado y limitado a los fines descritos en el Anexo II del RIA y tendrá como objetivo la identificación de personas específicas y estará sujeto a autorización judicial, conforme al artículo 5 del mencionado reglamento.
El anexo I del anteproyecto señala los casos en que se podrá autorizar el uso de sistemas de IA de reconocimiento biométrico, previa autorización judicial motivada: Búsqueda de personas secuestradas, desparecidas, trata de seres humanos o explotación sexual; atentados terroristas; localización de personas sospechosas de delitos como terrorismo, trata de seres humanos, tráfico de armas, tráficos de órganos, entre otros.
Para poder obtener una autorización judicial, la solicitud deberá ser debidamente justificada, detallada y contener información específica sobre el sistema de IA. La resolución de la solicitud debe ser resuelta, por los Juzgados de lo Contencioso- Administrativo, en un plazo máximo de 48 horas. Si en este término no hay pronunciamiento expreso, la solicitud se entenderá denegada por silencio administrativo.
Se deberá tener presente que, solo se puede tratar los datos de las personas autorizadas y solo ser utilizados dentro del ámbito de la investigación para la cual se concedió la autorización, ya que se deberá priorizar la protección de la privacidad y derechos de las personas. En el caso de que se recogieran datos de personas no autorizadas, estos deberán ser eliminados.
4. Régimen sancionador
El anteproyecto pretende dar cumplimiento al marco sancionador para infracciones de la normativa de IA, dibujando un régimen sancionador para el RIA, en virtud de la obligación que impone a los Estados Miembros en su artículo 99.
El artículo 13 del anteproyecto, define tres niveles de infracciones: muy graves, graves y leves, atribuidas a cada tipo de operador, y las sanciones (multas) correspondientes proporcional al volumen del negocio.
- Las infracciones muy graves en los sistemas de IA prohibidas, se castigan con multas de 7,5 hasta 35 millones de euros, o del 2% al 7% del volumen de negocio anual global del ejercicio anterior, adicionalmente se impondrá la retirada del producto o desconexión o prohibición del sistema de IA. Asimismo, en los sistemas de IA de alto riesgo, se castigan con multas de 7,5 hasta 15 millones de euros, o del 2% al 3% del volumen de negocio anual global del ejercicio anterior. A efectos de este anteproyecto se considerarán infracciones muy graves a las acciones señaladas en el artículo 14. La prescripción para este tipo de infracciones es a los 5 años.
- Las infracciones graves, se sancionarán con una multa de desde 500 mil euros hasta 7,5 millones de euros o, si el infractor es una sociedad o grupo de sociedades, desde el 1% hasta el 2% del volumen de negocios total mundial correspondiente al ejercicio anterior. A efectos de este anteproyecto se considerarán infracciones graves, a las acciones señaladas en los artículos 15 al 21. La prescripción para este tipo de infracciones es a los 3 años.
- Las infracciones leves se sancionarán con una multa de desde 6 mil euros hasta 500 mil euros o, si el infractor es una sociedad o grupo de sociedades, desde un 0,5% hasta el 1% del volumen de negocios total mundial correspondiente al ejercicio anterior. A efectos de este anteproyecto se considerarán infracciones leves, a las acciones señaladas en los artículos 22 al 26. La prescripción para este tipo de infracciones es al año.
Con anterioridad al procedimiento de sanción, los órganos con competencia sancionadora podrán abrir un periodo de información o actuaciones previas para determinar la responsabilidad. Durante este periodo la autoridad de vigilancia del mercado competente podrá requerir a los responsables cualquier información que considere necesaria para motivar la incoación del procedimiento. En el caso de las PYMES, se podrá acordar la suspensión de la tramitación del procedimiento sancionador, a fin de que en el plazo determinado por el órgano acredite la adopción de medidas correctoras, siempre que los hechos no hayan constituido una infracción grave. En el caso de una entidad del Sector Púbico, no se le impondrán multas administrativas de conformidad con el artículo 99.8 del RIA, y en el caso de autoridades y personal directivo, se incluirá una amonestación con denominación del cargo responsable.
En cuanto al procedimiento sancionador, el anteproyecto prevé la posibilidad de que este se inicie de oficio, a petición razonada de otros órganos administrativos, o a través de una denuncia. La AESIA establecerá un buzón o canal externo de información, presentada la información de forma anónima o no, la autoridad procederá a su registro y posteriormente se iniciará o no de oficio un procedimiento sancionador.
Una vez iniciado el procedimiento sancionador, si el infractor reconoce su responsabilidad, se podrá aplicar una reducción de 20% sobre el importe de la sanción propuesta. En el caso de que el infractor sea PYME, se podrá aplicar al 25% en caso de reconocimiento de la responsabilidad y al 25% en caso de pago voluntario anterior a la resolución.
Las sanciones correspondientes se impondrán por resolución y debe ser debidamente motivada por la autoridad de vigilancia del marcado, quien deberá garantizar la confidencialidad de la información y los datos obtenidos en el ejercicio de sus funciones. La resolución será ejecutiva cuando ponga fin a la vía administrativa.
Próximos pasos para su entrada en vigor
El anteproyecto de ley para el buen uso y la gobernanza de la inteligencia artificial, permitirá a España poder afrontar la revolución tecnológica de la IA a nivel nacional. Por ahora, se deberá estar pendiente del trámite parlamentario de esta norma, que se tramitará por la vía de urgencia, a través de los trámites preceptivos antes de volver al Consejo de Ministros para su aprobación definitiva como Proyecto de Ley y envío a las Cortes Generales para su tramitación parlamentaria. que, en todo caso, debería aprobarse y entrar en vigor, antes del 2 de agosto de 2026.
Agradecemos a la abogada Paola Valderrama, del área de Tech & Data, por la redacción de este artículo.
El contenido de esta publicación es meramente informativo, sin que el interesado deba tomar una decisión basada en la misma; en tal caso debería solicitar asesoramiento jurídico específico adaptado a sus circunstancias concretas