España avanza hacia una legislación nacional en materia de inteligencia artificial. Ayer, el Consejo de Ministros aprobó el proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial, que adapta al ordenamiento jurídico español el Reglamento Europeo de IA, acordado en diciembre de 2023, y que deberá completar ahora su tramitación parlamentaria con el objetivo de obtener luz verde antes de diciembre de 2027.
La norma establece un marco de responsabilidad para proveedores y usuarios de sistemas de IA, impone la supervisión humana en decisiones que afecten a derechos fundamentales y fija sanciones de hasta 35 millones de euros o el 7% de la facturación mundial para los casos más graves.
El ministro de Transformación Digital, Óscar López, defendió la ley como un paso «civilizatorio» y subrayó que España es «el país más avanzado del mundo» en la construcción de una inteligencia artificial confiable, ética y humanista. «No compiten regulación e innovación, al revés», afirmó el ministro, quien recordó que España cuenta con dos fábricas de IA de la UE, un proyecto de gigafactoría y un modelo propio de IA en español, ALIA.
Índice de temas
Prohibición de los deepfakes sexuales y que quede clara la generación de contenidos con IA
Uno de los aspectos más destacados de la ley es la incorporación de prohibiciones que van más allá de lo inicialmente previsto en la normativa europea. A propuesta de España, con el apoyo de Francia, la UE acordó el pasado 7 de mayo añadir dos nuevos sistemas prohibidos en todo el territorio comunitario, que se suman a los ocho iniciales: los deepfakes sexuales (vídeos hiperrealistas de contenido sexual generados con IA) y la generación o alteración de pornografía infantil. La iniciativa española surgió tras la polémica generada por los desnudos de mujeres y menores creados por Grok, el asistente de la red social X.
Entre los sistemas ya prohibidos por el Reglamento Europeo se encuentran los que utilizan técnicas subliminales para manipular decisiones sin consentimiento, los que explotan vulnerabilidades relacionadas con la edad o la discapacidad, los que clasifican a personas por raza, orientación política o sexual mediante biometría, y los que puntúan a individuos basándose en comportamientos sociales para, por ejemplo, denegarles subvenciones o préstamos.
A partir del 2 de agosto deberá etiquetarse el contenido IA
Los deepfakes no sexuales seguirán siendo legales, pero deberán etiquetarse de forma clara desde la primera interacción. A partir del próximo 2 de agosto será obligatorio identificar los contenidos sintéticos: las imágenes deberán mostrar las siglas AI en alguna esquina, los vídeos llevarán esa marca de agua visible en todo momento, y los audios deberán incluir una advertencia en la plataforma que los distribuya.
Un régimen sancionador que no penaliza a la Administración
La ley clasifica las infracciones en leves, graves y muy graves. Las sanciones oscilan entre los 500.000 euros o el 0,5% del volumen de negocio en los casos más leves, y los 35 millones de euros o el 7% de la facturación mundial en los más graves. Se contemplan además reducciones por pronto pago y se tiene en cuenta el tamaño de la empresa para proteger a pymes y startups.
Sin embargo, uno de los aspectos más criticados durante la fase de consultas es la ausencia de multas para la Administración. Si un organismo público hace un uso indebido de un sistema prohibido, como el reconocimiento biométrico en tiempo real, solo se contempla una amonestación o apercibimiento, frente a las millonarias sanciones que se impondrían a una empresa privada por la misma infracción.
¿Quién vigila y cómo lo hará?
La ley designa a los organismos responsables de la supervisión. La Agencia de Supervisión de Inteligencia Artificial (AESIA), con sede en A Coruña y dirigida por Alberto Gago, será el organismo central y prevé contar con 50 analistas antes de que acabe el año. La Agencia Española de Protección de Datos (AEPD) asumirá la supervisión del tratamiento de datos biométricos, mientras que el Consejo General del Poder Judicial (CGPJ) tendrá competencia sobre los sistemas que afecten a la Administración de justicia. Hasta ahora, la AESIA no ha detectado en España ningún sistema de los clasificados como prohibidos.
La norma también prevé la creación de un inventario de sistemas de IA utilizados en procedimientos administrativos, la figura del delegado de IA en el sector público y entornos controlados de pruebas —los llamados sandboxes— para que los proveedores puedan desarrollar e innovar dentro del marco legal.
La nueva ley de IA pone deberes a las empresas en términos de compliance
Desde el despacho de abogados Grant Thornton, el socio Joan Saula, asegura: «Desde la óptica del Gobierno corporativo, la nueva ley de IA confirma que, ante una tecnología tan rápida y transformadora, la responsabilidad por su uso debe situarse en los máximos órganos de decisión. La norma refuerza la necesidad de supervisión efectiva y de un marco sancionador suficientemente disuasorio, capaz de actuar como verdadero freno frente a usos indebidos o infracciones».
Por su parte, Cristina Muñoz-Aycuens, socia de forensic y ciberseguridad de Grant Thornton, explica: «La nueva regulación de la IA es un paso necesario para generar confianza y dotar de seguridad jurídica a un entorno tecnológico cada vez más crítico. Su enfoque basado en el riesgo permitirá proteger derechos fundamentales sin frenar la innovación. No obstante, para las empresas supondrá un esfuerzo relevante en términos de cumplimiento, gobernanza, trazabilidad y supervisión humana, especialmente en los sistemas de alto riesgo. La clave estará en traducir esta regulación en una ventaja competitiva basada en la confianza, y no en una barrera a la innovación».
