Menu

Menu

Menu

De interés

Nuestro propósito y nuestros valores: Código de conducta

Reconocimientos

Loading Results

Breve análisis del Anteproyecto de Ley para el Buen Uso y la Gobernanza de la Inteligencia Artificial

Breve análisis del Anteproyecto de Ley para el Buen Uso y la Gobernanza de la Inteligencia Artificial

Este artículo analiza los aspectos complementarios que el Anteproyecto de Ley presentado por el Consejo de Ministros pretende aprobar en relación con la normativa aplicable a los sistemas de Inteligencia Artificial, previendo disposiciones precisas en relación con las Autoridades competentes para su vigilancia; el régimen jurídico por el cual emplear determinados sistemas de Inteligencia Artificial y; estableciendo el concreto régimen sancionador ante los incumplimientos del Reglamento de Inteligencia Artificial. 

La Inteligencia Artificial (en lo sucesivo “IA”) representa un elemento central en la actual revolución tecnológica, con un significativo potencial para transformar tanto las relaciones económicas como los hábitos sociales. Desde entonces, se han realizado importantes esfuerzos para lograr consensos éticos y legales que promuevan la innovación mientras se protegen los derechos de los ciudadanos. 

Uno de estos primeros esfuerzos ha supuesto la aprobación del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (en lo sucesivo, “RIA”).

El RIA, adopta un enfoque basado en riesgos para regular el uso de la IA, estableciendo usos prohibidos y asegurando el uso ético de la tecnología en función de su impacto en las personas. Resultando aplicable a cualquier sistema de IA en la Unión Europea, establece un marco sancionador en su capítulo XII, delegando a los Estados miembros definir sanciones para garantizar el cumplimiento por parte de proveedores, importadores y distribuidores.

Dando cumplimiento al mandato impuesto por el regulador europeo, el Consejo de Ministros, en fecha 11 de marzo de 2025, aprobó el Anteproyecto de Ley para el Buen Uso y la Gobernanza de la Inteligencia Artificial (en lo sucesivo “Anteproyecto o Ley”). A continuación, se ofrecerá un esbozo de las novedades normativas que pretende introducir este Anteproyecto, teniendo en cuenta que el objeto de la norma es establecer el régimen jurídico sancionador aplicable a los sistemas de IA en España, así como regular el régimen jurídico de autorización de uso de los sistemas de identificación biométrica remota en tiempo real en espacios de acceso público con fines de garantía del cumplimiento del Derecho.

Autoridades de vigilancia del mercado

Una de las tareas encomendadas por el regulador europeo a los Estados miembros era la efectiva designación de las Autoridades de vigilancia del mercado a efectos del cumplimiento del RIA. En este sentido, el artículo 6 del Anteproyecto prevé el siguiente reparto competencial que se expone en esta relación, en función de los sistemas de IA objetos de regulación:

Le corresponderá la vigilancia de las prácticas prohibidas relativas a:

  • sistemas de IA que emplean técnicas subliminales; explotan vulnerabilidades de una persona; generan perfiles relativos a crédito social; crean o amplían bases de datos de reconocimiento facial a través de extracción de imágenes por Internet o; infieran emociones de personas en centros de trabajo o educativos. 

En relación con los sistemas de IA calificados de alto riesgo por el artículo 6 y Anexo III del RIA la AESIA ejercerá sus potestades de vigilancia respecto a aquellas que se emplean en o para:

  • El ámbito de la biometría, siempre que no se destinen a efectos de garantizar el cumplimiento del derecho, gestión de fronteras, justicia o procesos democráticos.
  • Infraestructuras críticas.
  • Educación y formación profesional.
  • Empleo y gestión de las personas trabajadoras.
  • Servicios y prestaciones esenciales.

Del mismo modo, le corresponderá la vigilancia de aquellos sistemas que sean calificados por el artículo 50 del RIA como de riesgo de transparencia y, en consecuencia, se les impone ciertas obligaciones relativas a la facilitación de información que se deba entregar a los usuarios que interactúen con esta.

Le corresponderá la vigilancia de las prácticas prohibidas relativas a:

  • Sistemas de IA que realicen evaluaciones de riesgos de personas con el fin de valorar o predecir un delito; sistemas de categorización biométrica que clasifiquen a personas para deducir o inferir su raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, vida sexual u orientación sexual; sistemas de identificación biométrica remota en tiempo real en espacios de acceso público con fines de garantizar el cumplimiento del Derecho.

En relación con los sistemas de IA calificados de alto riesgo por el artículo 6 y Anexo III del RIA la AEPD ejercerá sus potestades de vigilancia respecto de aquellos sistemas de IA que se emplean en o para:

  • El ámbito de la biometría, cuando los sistemas se utilicen a los efectos de la garantía del cumplimiento del Derecho o la gestión de fronteras;
  • Garantizar el cumplimiento del Derecho;
  • El ámbito de migración, asilo, gestión del control fronterizo.

A ambas instituciones les corresponderá la vigilancia de aquellos sistemas de IA de alto riesgo relativos al ámbito de la evaluación de solvencia o calificación crediticia.

A esta institución le corresponderá la vigilancia de aquellos sistemas de IA de alto riesgo que se emplean para la evaluación de riesgos y la fijación de precios en relación con las personas físicas en el caso de los seguros de vida y de salud.

A esta institución le corresponderá la vigilancia de aquellos sistemas de IA de alto riesgo empleados en el ámbito de la administración de justicia, así como de monitorizar el uso de prácticas prohibidas que afecten a este ámbito.

A esta institución le corresponderá la vigilancia de aquellos sistemas de IA que se emplean en procesos democráticos, así como de monitorizar el uso de prácticas prohibidas de IA que recaigan sobre este ámbito.

Autorización de uso de identificación biométrica remota en tiempo real en espacios de acceso público con fines de garantía del cumplimiento del Derecho.

El artículo 11 del Anteproyecto aborda el uso de sistemas de inteligencia para el cumplimiento de esta finalidad. En este sentido, su uso está estrictamente regulado y limitado a los fines descritos en el Anexo II del RIA. La identificación debe centrarse en personas específicas y requiere una autorización judicial conforme al artículo 5 del mencionado reglamento.

Cada uso del sistema de IA debe ser autorizado por un juzgado de lo contencioso-administrativo. La solicitud de autorización debe ser detallada y contener información específica sobre el sistema de IA y las circunstancias que justifican su uso.

los datos obtenidos no pueden incluir información sobre personas no especificadas en la autorización. Si se recogen datos de personas no autorizadas, estos deben ser eliminados sin demora. Además, los datos obtenidos solo pueden ser utilizados dentro del ámbito de la investigación específica para la cual se concedió la autorización y deben ser eliminados una vez remitidos a la autoridad competente.

La autoridad interesada debe presentar una solicitud que incluya:

  • Referencia del registro del sistema de IA en la base de datos de la UE.
  • Justificación de motivos de urgencia si el sistema no ha sido registrado previamente.
  • Detalles del sistema de IA y las medidas solicitadas, incluyendo la conservación, destrucción o bloqueo de datos.
  • Identificación de las personas afectadas, ámbito geográfico y temporal de las medidas, y la necesidad de uso basada en hechos específicos.

La solicitud debe ser resuelta en un plazo máximo de 48 horas, con el silencio administrativo interpretado como desestimatorio. Dicha resolución incluirá la siguiente información:

  • Sentido de la Resolución, indicando si la solicitud es aprobada o denegada.
  • Valoración de la Necesidad y Proporcionalidad, evaluando la justificación de la necesidad del uso del sistema, la adecuación y proporcionalidad de las medidas solicitadas, y las razones de urgencia si las hubiera.
  • Limitaciones Impuestas, especificando las limitaciones personales, temporales y geográficas en caso de aprobación.
  • Obligación de Desechar Datos. En caso de aprobación, se debe desechar y suprimir los datos biométricos no relacionados con la finalidad de la autorización.
  • Interrupción y Eliminación de Datos. En caso de denegación, se debe interrumpir el uso del sistema inmediatamente y eliminar todos los datos obtenidos hasta ese momento.

La autoridad garante del cumplimiento del Derecho debe notificar a la AEPD los siguientes aspectos de la resolución:

  • Número de personas afectadas.
  • Ámbito geográfico y temporal de las medidas.
  • Justificación de la solicitud según el Anexo I de la Ley.
  • Juzgado donde se presentó la solicitud.
  • Fecha y hora de la solicitud, resolución e inicio del uso.
  • Sentido de la resolución.

Si el uso del sistema se inició por motivos de urgencia antes de obtener la autorización judicial, y la solicitud es denegada, la autoridad debe interrumpir el uso inmediatamente y eliminar todos los resultados obtenidos hasta ese momento, conforme al artículo 5.3 del RIA.

En conclusión, el uso de sistemas de IA para la identificación biométrica en espacios públicos está sujeto a estrictas regulaciones para proteger la privacidad y los derechos de las personas. La autorización judicial es un requisito indispensable, y los datos obtenidos deben ser manejados con extrema precaución, limitándose su uso al ámbito de la investigación autorizada y asegurando su eliminación oportuna.

Clasificación de las infracciones

El artículo 13 del Anteproyecto clasifica las infracciones relacionadas con el uso de sistemas de IA en tres categorías: muy graves, graves y leves. Estas infracciones están detalladas en los artículos 8 a 21 del Anteproyecto y conllevan diferentes sanciones económicas.

En lo que respecta a su clasificación y sanción, destacamos:

  • Infracciones Muy Graves:
    • Sistemas de IA Prohibidos: multa de 7.500.001 a 35.000.000 euros o, si el infractor es una sociedad o grupo de sociedades, del 2% al 7% del volumen de negocios total mundial del ejercicio anterior, eligiendo el mayor de los dos.
    • Sistemas de IA de Alto Riesgo: multa de 7.500.001 a 15.000.000 euros o, si el infractor es una sociedad o grupo de sociedades, del 2% al 3% del volumen de negocios total mundial del ejercicio anterior, eligiendo el mayor de los dos.
    • En casos de infracciones muy graves por prácticas de IA prohibidas o cuando un sistema de IA cause un incidente grave, se impondrá la retirada del producto o la desconexión o prohibición del sistema de IA en el ámbito territorial de la autoridad de vigilancia del mercado sancionadora.
  • Infracciones Graves:
    • Multa de 500.001 a 7.500.000 euros o, si el infractor es una sociedad o grupo de sociedades, del 1% al 2% del volumen de negocios total mundial del ejercicio anterior, eligiendo el mayor de los dos.
  • Infracciones Leves:
    • Multa de 6.000 a 500.000 euros o, si el infractor es una sociedad o grupo de sociedades, del 0,5% al 1% del volumen de negocios total mundial del ejercicio anterior, eligiendo el mayor de los dos.

Para las pequeñas y medianas empresas (pymes), incluidas las empresas emergentes, las multas se aplicarán según el porcentaje o el importe menor, conforme al artículo 99.6 del RIA.

Adicionalmente, si se persiste en el incumplimiento de las obligaciones formales según el artículo 83 del RIA, la autoridad de vigilancia del mercado competente adoptará medidas para restringir o prohibir la comercialización del sistema de IA de alto riesgo o asegurar su retirada del mercado sin demora.

Con ello, el Anteproyecto pretende establecer un marco claro y estricto para la clasificación y sanción de infracciones relacionadas con el uso de sistemas de IA, asegurando que las sanciones sean adecuadas y disuasorias para prevenir el uso indebido de estas tecnologías.

Artículo elaborado por Fernando Herrero Maortua, senior manager de Regulación Digital de PwC Tax & Legal, y Jaime Cifuentes Lorente, associate de Regulación Digital de PwC Tax & Legal.

 

Contacta con nosotros

Fernando Fernández-Miranda

Fernando Fernández-Miranda

Socio de Regulación Digital, PwC Tax & Legal

Email

© 2016 - 2025 PwC. Todos los derechos reservados. No se permite la distribución adicional sin autorización de PwC. “PwC” hace referencia a la red de firmas miembros de PricewaterhouseCoopers International Limited (PwCIL) o, según cada caso concreto, a firmas miembros individuales de la red PwC. Cada firma miembro es una entidad jurídica independiente y no actúa como agente de PwCIL ni de ninguna otra firma miembro. PwCIL no presta servicios a clientes. PwCIL no se responsabiliza ni responde de los actos u omisiones de ninguna de sus firmas miembros, ni del contenido profesional de sus trabajos ni puede vincularlas u obligarlas en forma alguna. De igual manera, ninguna de las firmas miembro son responsables por los actos u omisiones del resto de las firmas miembros ni del contenido profesional de sus trabajos, ni pueden vincular u obligar ni a dichas firmas miembros ni a PwCIL en forma alguna.