El pasado 11 de marzo se publicó el Anteproyecto de Ley para el Buen Uso y Gobernanza de la Inteligencia Artificial, que persigue desarrollar aquellos aspectos del Reglamento de Inteligencia Artificial (Reglamento (UE) 2024/1689, de 13 de junio de 2024) cuya aplicación se ha delegado en los Estados miembros.
Conforme al actual texto del artículo 2 del Anteproyecto, la nueva ley nace con un doble objetivo: dotar a las llamadas “Autoridades de Vigilancia del Mercado” españolas del necesario régimen sancionador para garantizar el cumplimiento del Reglamento de IA y determinar los casos en los que se podrá autorizar el uso de sistemas de identificación biométrica remota en tiempo real en zonas de acceso público con fines de garantía del Derecho. En este último punto, el texto ofrece una mayor claridad respecto a las Directrices sobre prácticas prohibidas de inteligencia artificial (IA) publicadas hace unas semanas por la Comisión Europea. En el texto, no obstante, también se regulan los espacios controlados de pruebas para sistemas de IA.
Dependiendo del tipo de sistema de IA en cuestión, el Anteproyecto encomienda la labor de vigilancia del cumplimiento del Reglamento de IA a un nada desdeñable número de hasta seis autoridades diferentes: la Agencia Española de Supervisión de Inteligencia Artificial (la primera de su “especie” en Europa), la Agencia Española de Protección de Datos (junto con las autoridades autonómicas de protección de datos, que supervisan al sector público), el Banco de España, la Comisión Nacional del Mercado de Valores, la Dirección General de Seguros y Fondos de Pensiones y la Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial. Nada bueno augura esta dispersión supervisora. A pesar de los mecanismos de coordinación planteados, dificultará a ciencia cierta la adopción de criterios interpretativos uniformes del Reglamento de IA (incluso cuando contemos con directrices europeas al respecto), generará tensiones entre las propias autoridades cuando la competencia de unas y otras no se pueda determinar de forma inequívoca, y obligará a todos estos órganos administrativos a dotarse de equipos especializados, un planteamiento que se nos antoja poco afín a los principios de eficiencia y eficacia que deben regir la actuación administrativa.
En cuanto al procedimiento sancionador, el Anteproyecto prevé la posibilidad de que este se inicie de oficio, a petición razonada de otros órganos administrativos, por razón de una reclamación o, en línea con lo previsto en otros ámbitos, como el tributario, a resultas de denuncias (que podrán ser anónimas) presentadas por los ciudadanos a través de un buzón o canal externo de información gestionado por la Agencia Española de Supervisión de Inteligencia Artificial. Nada se indica sobre si las reclamaciones podrán presentarse ante cualquiera de estas autoridades (en una suerte de ventanilla única), algo quizá deseable atendiendo al número de Autoridades de Vigilancia del Mercado competentes, o si, por el contrario, serán simplemente rechazadas cuando se presenten ante autoridades que no se consideren competentes para conocerlas.
Dentro de las actuaciones previas al inicio del procedimiento sancionador, además de las habituales potestades para realizar los oportunos requerimientos de información a los responsables de las conductas sometidas a escrutinio, se prevé, para los supuestos en los que su identificación no haya sido posible por otros medios, que las Autoridades de Vigilancia del Mercado puedan recabar la información y datos que precisen de otras administraciones públicas, incluida la tributaria y la de la Seguridad Social.
Cuando el presunto responsable sea una PYME o una empresa emergente (una startup) y no se trate de infracciones muy graves, se podrá acordar la suspensión del procedimiento a cambio de la adopción de medidas correctoras por parte del presunto infractor, que también deberá indemnizar por los daños que hubiera podido causar. Una medida que consideramos acertada y que trata de evitar que el efecto disuasor de un régimen sancionador que plantea sanciones mínimas de entre 6.000 y 500.000 euros para las infracciones más leves se convierta en una muralla infranqueable para la innovación y el emprendimiento. Al igual que sucede en el ámbito de la protección de datos, no se prevén sanciones económicas en caso de infracciones cometidas por entidades del Sector Público.
Los plazos de prescripción establecidos para las infracciones y sanciones, que varían entre uno, tres y cinco años según la gravedad (leves, graves o muy graves), tampoco plantean ninguna novedad significativa. Sin embargo, sí resulta bastante menos habitual el alcance de las medidas de carácter provisional que las Autoridades de Vigilancia del Mercado podrán adoptar, que se deja completamente abierto. En casos de “urgencia inaplazable”, abarcará inclusive la destrucción del sistema de IA en cuestión, algo que tiene mal encaje con la propia naturaleza provisional de este tipo de medidas y que sólo tendrá sentido en situaciones verdaderamente límite (más cercanas en nuestra opinión, al menos en la actualidad, a escenarios hollywoodienses que a la realidad del mercado).
Como comentario final, merece la pena detenerse en la lista de objetivos para los que se podrá autorizar el uso de sistemas de reconocimiento biométrico en tiempo real en espacios públicos, sujeta a autorización judicial (de los Juzgados de lo Contencioso-Administrativo) a solicitud de la autoridad garante del Derecho interesada y que incluye la prevención de cualquier delito grave con penas que alcancen o superen los cuatro años de privación de libertad. Habrá que confiar en que este tipo de medidas se adopten con mesura y siempre con el fin de proteger a las víctimas y reprimir a quienes actuaron o pueden actuar contra ellas, habida cuenta su indudable impacto en el derecho fundamental a la libertad individual.
Seguiremos de cerca el trámite parlamentario de esta norma, que, en todo caso, debería aprobarse y entrar en vigor antes del 2 de agosto de 2026, fecha a partir de la cual los ciudadanos podrán presentar reclamaciones por infracción de lo dispuesto en el Reglamento de IA.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación