En el Consejo de Ministros del día 11 de marzo de 2025 el Gobierno dio “luz verde al anteproyecto de ley para un uso ético, inclusivo y beneficioso de la Inteligencia Artificial” e informó que, cuando se convierta en ley, adaptará la legislación española al reglamento europeo de IA, ya en vigor, combinará un enfoque regulador con el impulso a la innovación y con ella España se adelantará a la obligación europea de establecer un entorno controlado de pruebas para ayudar a los proveedores de IA a cumplir la legislación.

En estas líneas analizaremos brevemente el contenido de este Anteproyecto de Ley aunque hay que comenzar poniendo de relieve el escaso tiempo que se ha dispuesto para la presentación de posibles alegaciones: se nos informa que la audiencia pública para ello estará abierta “desde el 18 de marzo hasta el 26 de marzo a las 23:59. Durante este periodo, todos los interesados pueden presentar sus contribuciones”. Parece muy poco tiempo para que pueda enriquecerse el texto con las aportaciones ciudadanas aunque el argumento es el recurso al artículo 27.1 de la Ley del Gobierno relativo a la tramitación urgente de iniciativas normativas en el ámbito de la Administración General del Estado, donde se prevé que el Consejo de Ministros, a propuesta del titular del departamento al que corresponda la iniciativa normativa, podrá acordar la tramitación urgente del procedimiento de elaboración y aprobación de anteproyectos de ley cuando fuere necesario para que la norma entre en vigor en el plazo exigido para la transposición de directivas comunitarias o el establecido en otras leyes o normas de Derecho de la Unión Europea. 

Aquí la norma europea que se pretende complementar es el Reglamento (UE) 2024/1689, de 13 de junio de 2024, de inteligencia artificial (RIA), que obliga a los Estados a establecer un régimen sancionador antes de las fechas indicadas para la aplicación del capítulo sancionador, que, en el caso de las prácticas prohibidas del artículo 5, debe establecerse antes del 2 de agosto de 2025. Dado que el Reglamento es de junio de 2024, desde entonces ya se conocía la obligación de aprobar normas complementarias nacionales y se podía haber iniciado anteriormente el proceso de elaboración de esta norma, que es una suerte de “ley de desarrollo”, de manera que hubiera tiempo suficiente para una tramitación relativamente reposada y no se alegaran las presentes urgencias.

Y es que, en segundo lugar, el texto no ofrece especiales novedades, en buena medida porque tampoco podría aportarlas: de los 4 capítulos en los que se organizan los 37 artículos (el I sobre disposiciones generales, el II dedicado a la gobernanza y a las medidas de supervisión, el III sobre las prácticas prohibidas en el uso de sistemas de IA, las excepciones que, de acuerdo con el Reglamento de Inteligencia Artificial pueden autorizarse, y el procedimiento administrativo para gestionar las autorizaciones y el IV, que recoge la clasificación de las infracciones y establece el régimen sancionador) el grueso del Anteproyecto lo ocupa el capítulo de infracciones y sanciones (artículos 12 a 37), con dos terceras partes del total, que son una suerte de desarrollo de las previsiones contenidas en el capítulo XII del RIA (artículos 99 a 101), que ya resultan bastante pormenorizadas en cuanto a importes máximos, hechos sancionables, circunstancias a tener en cuenta a la hora de concretar las sanciones…

El régimen sancionador está ampliamente orientado a su aplicación a sujetos privados que incurran en hechos sancionables; cuando, precisa el artículo 30.4, “una entidad del Sector Público cometiese alguna de las infracciones recogidas en la presente Ley, la autoridad de vigilancia del mercado que resulte competente dictará resolución declarando la infracción, apercibiendo a la entidad actuante, y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, excluyendo la imposición de multas administrativas…”; al respecto, el artículo 99.8 del RIA lo que prevé es que “cada Estado miembro establecerá normas que determinen en qué medida es posible imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro”. El Anteproyecto contempla que la resolución se notificará a la entidad responsable del sistema de IA, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que ostenten la condición de interesados, en su caso. La autoridad de vigilancia del mercado competente propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.

Como ya se ha dicho, el capítulo I (artículos 1 a 3) contiene las disposiciones generales relativas al objeto de la Ley -el régimen jurídico sancionador aplicable a los sistemas de IA introducidos, puestos en servicio, comercializados o en pruebas en condiciones reales, en territorio español, por incumplimientos del RIA y el régimen jurídico de autorización de uso de los sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público-, las definiciones -básicamente ya previstas en el artículo 3 del RIA- y el ámbito subjetivo, también establecido en el RIA (artículo 2).

El capítulo II es de la gobernanza y la supervisión (artículos 4 a 9) y lo más relevante, y en buena medida previsible, es que, en primer lugar, se designa a la Secretaría de Estado de Digitalización e Inteligencia Artificial, a través de la Dirección General de Inteligencia Artificial, como autoridad notificante a los efectos de lo dispuesto en el artículo 28.1 del RIA, como órgano responsable de establecer los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad, así como de su supervisión. Quizás convendría referirse a la Secretaría de Estado de Digitalización e Inteligencia Artificial “u órgano equivalente”, por si cambia la denominación de la primera. 

En segundo término, serán autoridades de vigilancia del mercado de los diferentes sistemas, con funciones inspectoras, la Agencia Española de Supervisión de la IA, la Agencia Española de Protección de Datos, el Banco de España, la Comisión Nacional del Mercado de Valores, la Dirección General de Seguros y Fondos de Pensiones, la Dirección de Supervisión y Control de Protección de Datos del CGPJ y la Junta Electoral Central. Finalmente, la propia Agencia Española de Supervisión de Inteligencia Artificial será la autoridad nacional competente responsable de establecer el espacio controlado de pruebas para la IA de obligada creación en virtud del artículo 57.1 del RIA. Estas previsiones parecen razonables y no se hecha en falta la intervención de otras autoridades.

El capítulo III (artículos 10 y 11) es de las prohibiciones y excepciones. Primero se reitera la prohibición, impuesta en el artículo 5.1 del RIA, de introducir en el mercado, poner en servicio o utilizar una serie de sistemas que implican vulneraciones manifiestas de derechos fundamentales. Nada nuevo tampoco aquí.

En segundo lugar, se articula el procedimiento para las autorizaciones de uso de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho. Nos parece acertado que tal autorización sea “judicial”, en lugar de la alternativa de una autoridad administrativa independiente que también contempla el RIA en el artículo 5. Dicha autoridad judicial será un Juzgado de lo Contencioso-Administrativo, que deberá resolver en 48 horas como máximo, entendiéndose el silencio como desestimatorio. En el Anexo I del Anteproyecto se reiteran los casos en los que se podrá autorizar el uso de estos sistemas ya previstos en el artículo 5.1.h del RIA: 1. La búsqueda selectiva de víctimas concretas de secuestro, trata de seres humanos o explotación sexual de seres humanos, así como la búsqueda de personas desaparecidas. 2. La prevención de una amenaza específica, importante e inminente para la vida o la seguridad física de las personas físicas o de una amenaza real y actual o real y previsible de un atentado terrorista. 3. La localización o identificación de una persona sospechosa de haber cometido un delito a fin de llevar a cabo una investigación o un enjuiciamiento penales o de ejecutar una sanción penal, por alguno de los siguientes delitos que en España se castigan con una pena o una medida de seguridad privativas de libertad cuya duración máxima alcanza o supera los cuatro años. La especialidad es la concreción de esos delitos que hace el legislador español: terrorismo, trata de seres humanos, explotación sexual de menores y pornografía infantil, tráfico ilícito de estupefacientes o sustancias psicotrópicas, tráfico ilícito de armas, municiones y explosivos…

En suma, nos encontramos ante una norma que, si bien es necesaria, en cierta medida resulta redundante, con un perfil similar al de un reglamento en nuestra legislación, que aporta alguna elección acertada (la autorización judicial de la que se acaba de hablar) y que alardea en la Exposición de Motivos de crear un “un nuevo derecho digital garante de derechos fundamentales básicos de la ciudadanía, cual es el derecho de desconexión o retirada del mercado de sistemas de IA que hayan provocado incidentes graves”, cuando, en realidad, se trata de una sanción adicional prevista en el artículo 13.2 para las infracciones muy graves por prácticas de IA prohibidas y las infracciones en que un sistema de IA haya causado un incidente grave, en los términos del artículo 3.49 del Reglamento”.