"La ley de hoy es el paso definitivo", ha afirmado el titular de la cartera para la Transformación Digital y de la Función Pública, Óscar López, en la rueda de prensa posterior al Consejo de Ministros, donde ha defendido que esta ley "refuerza el liderazgo de España como potencia referente en una IA confiable y competitiva".
A su juicio, España es un país "líder" en el desarrollo de la IA con dos fábricas de IA de la Unión Europea (UE), un proyecto de gigafactoría, empresas punteras como Multiverse Computing, un modelo propio de IA en español (ALIA) "público y abierto", al tiempo que abandera la apuesta por una IA "confiable" y "humanista".
"Esta ley es un ejemplo claro de la tercera vía europea: la que combina innovación, competitividad y derechos. Es una respuesta a una inquietud social clara; el 77% de la población española pide más protección de sus derechos digitales ante la IA", ha apuntado López.
En su intervención, Óscar López ha dicho que "es muy de agradecer" una visión como la que trasladó ayer el Papa en la encíclica. "Una visión humanista de la IA, una visión que proteja los derechos, muy especialmente los derechos humanos, y que no sea incompatible con los valores que hemos desarrollado como sociedad. Por eso, es tan importante un mensaje como el de ayer, con el que nos sentimos plenamente identificados", ha añadido.
En cuanto al régimen sancionador, la ley clasifica las infracciones en muy graves, graves y leves, y pueden alcanzar hasta los 35 millones de euros o el 7% del volumen de negocio en los casos más graves y hasta 500.000 euros o el 0,5% del volumen de negocio en las más leves.
Según ha detallado el Ministerio, el texto proporciona "flexibilidad" para las autoridades en la aplicación de las sanciones, adaptándolas a la gravedad, intencionalidad o reincidencia. Además, se incorporan mecanismos que priorizan la corrección frente a la penalización, como las reducciones de sanción por pronto pago o la adopción de medidas correctoras, así como la consideración específica del tamaño empresarial para proteger a pymes y startups, en línea con lo indicado en el RIA.
Entre otras cosas, la norma exige "responsabilidad" a los responsables de la IA que usen sistemas prohibidos por la UE; impone la "supervisión humana" en casos que puedan afectar a los derechos fundamentales; promueve la transparencia algorítmica e incluye medidas específicas para la protección de los menores.
Según ha detallado el Ministerio, la Ley designa a las autoridades notificantes y las autoridades de vigilancia del mercado, encargadas de supervisar su cumplimiento; y establece que aquellos productos ya regulados por normas sectoriales (maquinaria, juguetes, vehículos o productos sanitarios) mantendrán su misma Autoridad notificante y Autoridad de Vigilancia del Mercado, en línea con la propuesta del Reglamento de IA.
En cuanto al resto de los sistemas no regulados por legislación de producto (empleo, biometría o educación), se atribuyen principalmente a la Agencia de Supervisión de Inteligencia Artificial (AESIA), así como a la Agencia Española de Protección de Datos (AEPD) y el Consejo General del Poder Judicial (CGPJ), en función del ámbito a supervisar. También incluye mecanismos de coordinación entre autoridades y un punto de contacto único para cuestiones de supervisión a través de la AESIA.
Respecto al Reglamento de IA, el Ministerio ha destacado que clasifica los sistemas de IA en función de su potencial riesgo para las personas, prohíbe aquellos que tienen un riesgo inaceptable para la seguridad o salud de las personas y establece las obligaciones que deben cumplir el resto para su puesta en servicio o comercialización en el mercado europeo.
Sistema prohibidos
El pasado 7 de mayo, según ha recordado, en el marco de la revisión del reglamento, la UE acordó prohibir en todo el territorio comunitario la introducción en el mercado, puesta en servicio y el uso de sistemas de Inteligencia Artificial que generen 'deepfakes' sexuales, tras la polémica generada por los desnudos de mujeres y menores creados por Grok, el asistente virtual de la red social X; y la generación o alteración de contenido de pornografía infantil mediante cualquier sistema de IA.
"Había herramientas conocidas por todos de IA, alguna de una red social muy importante, que estaba siendo usada en España por algunos niños y niñas, que estaban suplantando personalidad, que estaban utilizando fotografías de compañeras de clase para generar imágenes de contenido sexual. Esto estaba pasando y esto está prohibido", ha explicado el ministro.
Otros sistemas prohibidos son aquellos que usan técnicas subliminales (imágenes o sonidos imperceptibles) para manipular decisiones sin consentimiento, causando un perjuicio considerable a la persona (adicciones, violencia de género o menoscabo de su autonomía), como un chatbot que identifica usuarios con adicción al juego y les incita a entrar, con técnicas subliminales, en una plataforma de juego online.
También se prohíben los que explotan vulnerabilidades relacionadas con la edad, la discapacidad o situación socioeconómica para alterar sustancialmente comportamientos de modo que les provoque o pueda provocar perjuicios considerables, como, por ejemplo, un juguete infantil habilitado con IA que anima a los niños a completar retos que les producen o pueden producirles daños físicos graves.
Asimismo, quedan prohibidos los sistemas que clasifican con biometría a las personas por raza u orientación política, religiosa o sexual, como un sistema de categorización facial biométrica capaz de deducir la orientación política o sexual de un individuo mediante análisis de sus fotos en redes sociales); y aquellos que puntúan a individuos o grupos basándose en comportamientos sociales o rasgos personales como método de selección para, por ejemplo, denegarles la concesión de subvenciones o préstamos.
La IA en el sector público estatal
Otra de las cuestiones que recoge la norma, que no procede de la adaptación del RIA, es el buen uso de la IA en el sector público estatal, que se incluye a petición de "numerosas" propuestas incluidas en la audiencia pública, ha destacado.
Así, introduce la creación de un inventario de sistemas de IA utilizados en procedimientos administrativos, no solo para sistemas de alto riesgo, reforzando la transparencia. Además, establece la figura del delegado de IA, que estará encargado de coordinar la aplicación normativa y asesorar en proyectos y contratación pública. Tanto el inventario como el delegado se desarrollarán por Real Decreto. También se dará impulso a la formación y concienciación de los empleados públicos en materia de IA.
Por otro lado, el texto determina cómo articular la gobernanza de los 'sandboxes' y medidas facilitadoras, y reconoce la necesidad de fomentar la innovación en un entorno controlado, incorporando el espacio controlado de pruebas a escala nacional de obligada creación por el Reglamento de IA, que será operado por la AESIA.
Se permite la creación de 'sandbox' de IA adicionales siempre que sean creados por Autoridades de vigilancia del mercado o notificante, y asociados a su sector de supervisión; y especifica que en todos los sandbox deberán participar las autoridades responsables de definir las políticas públicas en los sectores cubiertos por el 'sandbox', y a las autoridades de derechos fundamentales relacionadas.
