Alerta: España se adelanta en el desarrollo del Reglamento europeo de IA

El pasado 18 de marzo dio comienzo el proceso de audiencia pública para presentar alegaciones al Anteproyecto de Ley para el Buen Uso y la Gobernanza de la Inteligencia Artificial (el Anteproyecto de Ley).

Con este texto, y una vez se apruebe en Cortes Generales, España presumiblemente se convertirá en el primer país de la UE en desarrollar aspectos del Reglamento 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de Inteligencia Artificial (el Reglamento IA).

Este hecho ha despertado considerable expectación en medios europeos, pues de este modo, nuestro país podría ser modelo para las legislaciones de otros Estados miembros, además de ser especial objeto de análisis por la Comisión Europea. Se mantiene, pues, la estela de liderazgo regulatorio que se abrió con los decretos de creación del Sandbox de IA y de aprobación del estatuto de la propia Agencia Española de Supervisión de IA, ambos de 2023.

Con algunas matizaciones, que más adelante se mencionan, el texto responde fielmente a las pautas y normas establecidas en el Reglamento IA. El Anteproyecto de Ley establece que la futura ley será de aplicación tanto a entidades privadas como a entidades del sector público, cuando actúen como operadores, sin apartarse, en cuanto a los detalles de su ámbito subjetivo, de las categorías previstas en la norma europea.

Con toda lógica, y esta vez en lo que a su ámbito material afecta, el Anteproyecto de Ley no regula los modelos de IA de uso general, toda vez que la concreción de su régimen jurídico se encuentra en pleno proceso de elaboración mediante el correspondiente Código de buenas prácticas, en el seno de la Oficina de IA de la Comisión y hasta el 2 de mayo de 2025. Es claro, eso sí, que el texto ahora en fase de anteproyecto deberá ajustarse al Código de buenas prácticas en esta materia que termine de aprobarse a escala de la Unión, un texto que podría finalmente proceder de la Comisión Europea, en caso de que el borrador de Código no concitase acuerdo final. Uno de los principales objetivos de la futura ley es, asimismo, adaptar a la legislación española el régimen jurídico sancionador aplicable a los sistemas de IA introducidos, puestos en servicio, comercializados o en pruebas en condiciones reales, por incumplimientos del Reglamento IA.

Entre los aspectos que el Anteproyecto de Ley regula, destacamos los siguientes:

• La Secretaría de Estado de Digitalización e Inteligencia Artificial, a través de la Dirección General de Inteligencia Artificial, será la autoridad notificante a los efectos de lo establecido en el artículo 28.1 del Reglamento IA, como órgano responsable de establecer los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad, así como de su supervisión. No obstante, la evaluación y supervisión de los organismos notificados se realizará por la Entidad Nacional de Acreditación (ENAC).
   
• La Agencia Española de Supervisión de Inteligencia Artificial, será el órgano competente para el ejercicio de la potestad sancionadora, punto de contacto único y autoridad de vigilancia del mercado de sistemas IA. Esta Agencia gestionará también los espacios controlados de pruebas de sistemas de IA (los llamados sandboxes), habiéndose ya lanzado una primera convocatoria para 12 sistemas de alto riesgo en diciembre de 2024. Todos los Estados miembros deberán haber designado al menos uno para 2 de agosto de 2026.
  
  No obstante, la Agencia Española de Supervisión de Inteligencia Artificial compartirá algunas de estas funciones con otros órganos o autoridades en determinados ámbitos o sectores como, por ejemplo, el Banco de España y la Comisión Nacional del Mercado de Valores en el ámbito financiero; la Agencia Española de Protección de Datos, respecto de determinados usos prohibidos, sistemas de identificación biométrica o migraciones y asilo, entre otros; o el Consejo General del Poder Judicial (CGPJ), que se encargará de controlar y supervisar los sistemas IA en la administración de justicia. Estas autoridades de vigilancia realizarán las correspondientes inspecciones para el ejercicio de su función de supervisión y control. Además, con el objetivo de garantizar una actuación coordinada de las distintas autoridades de vigilancia, se crea una Comisión mixta de coordinación, cuya presidencia, secretaría y gestión se atribuye a la Agencia Española de Supervisión de Inteligencia Artificial.
  
  Con la designación de un organismo específico en materia de IA, España marca diferencias respecto de otros Estados miembros, que han optado por descentralizar tales funciones en favor de órganos ya existentes, en áreas como las citadas, especialmente las autoridades de protección de datos. Todo lo cual acentúa evidentemente la importancia de tales potestades de coordinación de que la Agencia Española de Supervisión de la Inteligencia Artificial disfrutará.
   
• En el anteproyecto se regulan las prácticas prohibidas dispuestas en el artículo 5.1 del Reglamento IA y, en particular, la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho (a excepción de que el uso del sistema sea para los fines descritos en el Anexo II del Reglamento IA).
  
  Ello obedece a que España pretende autorizar estos sistemas (como a la vista del Reglamento IA puede hacer y a diferencia de lo que muy probablemente harán otros Estados miembros).Dicho uso de un sistema IA estará sujeto a autorización judicial, que corresponde a los Juzgados de lo Contencioso-administrativo, sin perjuicio de los supuestos de empleo "en tiempo real", previstos en el Anexo I, como, por ejemplo: para la búsqueda de personas secuestradas, desaparecidas, etc.; para atentados terroristas; o para la localización de personas sospechosas de delitos como el tráfico de armas, órganos, etc.
   

• El sistema de infracciones y sanciones sigue -de nuevo, fielmente- las pautas del Reglamento IA. Las infracciones se clasificarán en muy graves, graves o leves y tendrán las siguientes sanciones:

  - Muy graves en sistemas IA prohibidos: multa desde €7.500.001 hasta €35.000.000, o en caso de ser una sociedad o grupo de sociedades, desde el 2% hasta el 7% del volumen de negocio total mundial correspondiente al ejercicio anterior.

  - Muy graves en sistemas IA de alto riesgo: multa desde €7.500.001 hasta €15.000.000, o en caso de ser una sociedad o grupo de sociedades, desde el 2% hasta el 3% del volumen de negocio total mundial correspondiente al ejercicio anterior.

  - Graves: multa desde €500.001 hasta €7.500.000, o en caso de ser una sociedad o grupo de sociedades, desde el 1% hasta el 2% del volumen de negocios total mundial correspondiente al ejercicio anterior.

  - Leves: multa desde €6.000 hasta €500.000, o en caso de ser una sociedad o grupo de sociedades, desde un 0,5% hasta el 1% del volumen de negocios total mundial correspondiente al ejercicio anterior.

  Además, para las infracciones muy graves por prácticas de IA prohibidas y en las infracciones de sistemas IA que hayan causado un incidente grave (por ejemplo, la muerte de un familiar), se podrá imponer, adicionalmente, la retirada del producto o la desconexión o prohibición del sistema IA. Se trata de una medida novedosa en la UE, que además se puede iniciar por vía de denuncia (conforme, en general, prevé el artículo 85 del Reglamento IA).
   
• Las principales matizaciones del Anteproyecto de ley respecto del Reglamento IA se refieren a los llamados deepfakes (en su doble modalidad de ultrasuplantaciones de identidad y desinformación). El Anteproyecto de Ley los cataloga como infracciones graves (tanto en su aplicación a proveedores como a responsables del despliegue), más allá de que el texto español opta por asignarles menor sanción de las que el Reglamento IA hace al respecto posibles (hasta €15.000.000 euros o el 3% del volumen de negocio, artículo 99.4.g) del Reglamento IA); y a la hora de tipificar la infracción respecto de los responsables del despliegue, se excluyen las exenciones o condicionamientos que al respecto prevé el artículo 50.4 del Reglamento IA. 

Ver post @Linkedin