El Ministerio para la Transformación Digital y de la Función Pública ya ha sacado a Audiencia Pública el Anteproyecto de Ley para el buen uso y la gobernanza de la Inteligencia Artificial, aprobado el pasado martes 11 de marzo en Consejo de Ministros. El texto, al que se pueden presentar alegaciones hasta el próximo 26 de marzo, dibuja el mapa de sanciones aplicable así como la gestión de la supervisión y los casos en que se permite la identificación biométrica remota ‘en tiempo real’.
Aterrizando el Reglamento
La IA se ha erguido como una pieza nuclear en la actual revolución tecnológica. Su potencial es abrumador, pero también conlleva riesgos; y precisamente por ello, Europa se ha centrado en regular esas amenazas.
El Reglamento europeo 2024/1689, de 13 de junio, sigue un enfoque basado en los riesgos y establece, en consecuencia, unos usos prohibidos de la IA; al tiempo que enumera una serie de medidas para garantizar que los sistemas de IA que sí pueden ser utilizados se usen de forma ética y responsable.
El Anteproyecto de Ley impulsado por el Gobierno de España pretende dar cumplimiento al marco sancionador, dibujando un esquema particular para las pymes y empresas emergentes con el objeto de equilibrar la balanza entre el cumplimiento de las obligaciones del Reglamento de la UE y la protección a la innovación científica y técnica.
Pero la iniciativa no solo aspira a aterrizar el marco de sanciones, sino la gobernanza. El Anteproyecto de Ley sitúa en lo alto de la cúspide a la Agencia Española de Supervisión de la Inteligencia Artificial, que se encargará de supervisar el sector y coordinar la acción para que sea armonizada. Y tendrá la ayuda de otras autoridades administrativas en los sectores regulados, como son la Agencia Española de Protección de Datos (para sistemas de gestión de migraciones y asilo asociados a las Fuerzas y Cuerpos de Seguridad del Estado); el CGPJ para sistemas de IA en administración de justicia y la Junta Electoral Central (para sistemas de procesos electorales); el Banco de España para sistemas de clasificación de solvencia crediticia; la Dirección General de Seguros (para sistemas de seguros) y la CNMV para sistemas de mercados de capitales.
Todas estas autoridades de vigilancia realizarán las actuaciones inspectoras que sean precisas para blindar la supervisión y el control. Para asegurar la uniformidad de criterios, se crea la Comisión mixta de coordinación de autoridades de vigilancia del mercado atribuyendo a la Agencia Española de Supervisión de Inteligencia Artificial su presidencia, la secretaría y su gestión.
Sistemas prohibidos y sanciones
La clasificación de las sanciones tiene tres niveles: muy graves, graves y leves. El uso de prácticas/sistemas de IA prohibidos forma parte de las muy graves y se sancionará con una multa que oscilaría entre los 7,5 millones de euros y los 35 millones de euros o, si el infractor es una sociedad o grupo de sociedades, desde el 2% hasta el 7% del volumen de negocios total mundial correspondiente al ejercicio anterior, si este límite superior fuese mayor que el anterior.
¿Cuáles son estos sistemas prohibidos? El Anteproyecto de Ley se ciñe al enumerado del Reglamento europeo, que entraron en vigor el pasado 2 de febrero de 2025 y que desde el 2 de agosto de este mismo año podrán ser sancionados:
- El uso de técnicas subliminales (imágenes o sonidos imperceptibles) para manipular decisiones sin consentimiento, causando un perjuicio considerable a la persona (adicciones, violencia de género o menoscabo de su autonomía). Por ejemplo, un chatbot que identifica usuarios con adicción al juego y les incita a entrar, con técnicas subliminales, en una plataforma de juego online.
- Explotar vulnerabilidades relacionadas con la edad, la discapacidad o situación socioeconómica para alterar sustancialmente comportamientos de modo que les provoque o pueda provocar perjuicios considerables. Por ejemplo, un juguete infantil habilitado con IA que anima a los niños a completar retos que les producen o pueden producirles daños físicos graves.
- La clasificación biométrica de las personas por raza u orientación política, religiosa o sexual. Por ejemplo, un sistema de categorización facial biométrica capaz de deducir la orientación política o sexual de un individuo mediante análisis de sus fotos en redes sociales.
- La puntuación de individuos o grupos basándose en comportamientos sociales o rasgos personales como método de selección para, por ejemplo, denegarles la concesión de subvenciones o préstamos.
- Valorar el riesgo de que una persona cometa un delito basándose en datos personales como su historial familiar, nivel educativo o lugar de residencia, con excepciones legales.
- Inferir emociones en centros de trabajo o educativos como método de evaluación para promoción o despido laboral, salvo por razones médicas o de seguridad.
También se incurriría en infracciones muy graves en caso de utilizar sistemas de IA de alto riesgo sin cumplir con las condiciones impuestas, que son disponer de un sistema de gestión de riesgos y de supervisión humana, documentación técnica, una gobernanza de datos, conservación de registros, transparencia y comunicación de información a los responsables del despliegue, sistema de calidad, etc.
Serían sistemas de IA de alto riesgo:
- Todos los que puedan añadirse como elementos de seguridad a productos industriales (máquinas, ascensores, sistemas de protección-EPIS, equipos a presión o aparatos a gas), juguetes, equipos radioeléctricos, productos sanitarios incluyendo diagnósticos in vitro, productos de transportes (aviación, ferrocarril, equipos marinos y vehículos a motor de dos y tres ruedas y agrícolas, embarcaciones y transporte por cable).
- Sistemas que formen parte de los siguientes ámbitos: biometría, infraestructuras críticas, educación y formación profesional, empleo, acceso a servicios privados esenciales (como servicios crediticios o de seguros) y a servicios y prestaciones públicos esenciales (como servicios de emergencias o triajes) y disfrute de estos servicios y prestaciones.
- Sistemas para la garantía del derecho, migración, asilo y gestión del control fronterizo
- Sistemas para su uso en la administración de justicia y en procesos democráticos.
En cuanto a las infracciones graves, se sancionarán con una cuantía económica que oscilaría entre el medio millón y los 7,5 millones de euros; o si el infractor es una sociedad o grupo de sociedades, desde el 1% hasta el 2% del volumen de negocios total mundial correspondiente al ejercicio anterior, si este límite superior fuese mayor que el anterior.
Ejemplos de infracciones graves son el no introducir supervisión humana en un sistema de IA que incorpore la biometría en el trabajo para controlar la presencialidad de los trabajadores o no disponer de un sistema de gestión de calidad en robots con IA que desarrollan las tareas de inspección y mantenimiento en sectores industriales, entre otros.
También se considerará como una infracción grave no cumplir con la obligación de etiquetar correctamente cualquier imagen, audio o vídeo generado o manipulado con IA y que muestren a personas reales o inexistentes diciendo o haciendo cosas que nunca han hecho o en lugares donde nunca han estado, lo que constituye una ultrasuplantación (deepfake).
Estos contenidos deberán identificarse como contenidos generados por IA «de manera clara y distinguible a más tardar con ocasión de la primera interacción o exposición», tal y como especifica el Reglamento europeo.
Por último, las infracciones leves se sancionarán con una multa desde 6.000 euros hasta 500.000 o, si el infractor es una sociedad o grupo de sociedades, desde un 0,5% hasta el 1% del volumen de negocios total mundial correspondiente al ejercicio anterior, si este límite superior fuese mayor que el anterior.
Se considerarán infracciones leves no incorporar el marcado CE en el sistema de IA de alto riesgo o, cuando no sea posible, en su embalaje o en la documentación que lo acompañe, para indicar la conformidad con el Reglamento de IA.
También serán leves no facilitar cualquier información requerida por las autoridades de vigilancia del mercado en el ejercicio de sus competencias o facilitarla de forma incompleta, inexacta o engañosa.
En el caso de las pymes, incluidas las empresas emergentes, cada una de las multas a las que se refiere el presente artículo podrá ser por el porcentaje o el importe menor en función de la infracción.
En cuanto a la caducidad de las infracciones, las leves prescribirán al año, las graves a los tres años y las muy graves a los cinco años. El plazo comenzará a contarse desde el día en que la infracción se hubiera cometido.
En cualquier procedimiento sancionador, la autoridad de vigilancia del mercado competente podrá adoptar las medidas cautelares que considere oportuno.
Identificación biométrica
La identificación biométrica remota ‘en tiempo real’ es uno de los sistemas prohibidos por el Reglamento europeo. Consiste en un sistema que utiliza características físicas o de comportamiento de una persona para verificar su identidad sin contacto físico y de manera instantánea.
Puede ser una imagen del rostro, una huella dactilar, el iris, la voz… Un algoritmo los analiza y compara con una base de datos en tiempo real y la persona puede ser identificada en segundos. Algunos sistemas se valen de ello para suplantar identidades.
El sistema podría utilizarse en control de aeropuertos, en la verificación en banca digital, múltiples usos en seguridad etc.
El Anteproyecto de Ley de IA plantea algunos escenarios en los que sí estaría permitido, previa autorización motivada y por motivos de seguridad:
- Búsqueda de personas secuestradas, desaparecidas, trata de seres humanos o explotación sexual.
- Atentados terroristas.
- Localización de personas sospechosas de delitos tales como terrorismo, trata, tráfico de armas, tráfico de estupefacientes, tráfico de órganos, secuestro de aeronaves o buques, violación, robo a mano armada o similares.