El Consejo de Ministros, a propuesta del Ministerio para la Transformación Digital y de la Función Pública, ha aprobado este martes el proyecto de ley orgánica para el buen uso y la gobernanza de la inteligencia artificial. La norma, calificada por el ministro Óscar López como «el paso definitivo» para consolidar el liderazgo de España en una IA confiable, introduce un marco regulatorio estricto con multas de hasta 35 millones de euros para las empresas infractoras y un cerco específico sobre la manipulación digital y las imágenes falsas no consentidas.
El texto llega a la mesa del Gobierno un año después de su primer anteproyecto, tras superar un periodo de alegaciones públicas y el filtro de órganos consultivos como el Consejo General del Poder Judicial (CGPJ). La legislación persigue de forma directa las técnicas de manipulación psicológica o aquellas herramientas de IA diseñadas para explotar las vulnerabilidades de colectivos desfavorecidos por su edad, discapacidad o situación socioeconómica (como los chatbots que detectan adicciones al juego para incitar a entrar en plataformas online). Asimismo, sitúa la protección de los menores y la prohibición estricta de deepfakes pornográficos o sexuales en el centro de la agenda penal, respondiendo al dato de que el 84% de los montajes eróticos creados con IA afectan a menores.
La vigilancia del mercado español se dividirá en función del producto. Aquellos sectores que ya cuentan con un paraguas normativo previo (como juguetes, vehículos o material sanitario) mantendrán sus inspectores habituales. En cambio, las áreas consideradas de «alto riesgo» que carecían de regulador específico —como el ámbito del empleo, la educación o los sistemas de identificación biométrica— quedarán bajo el control de la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), que actuará en coordinación con la Agencia Española de Protección de Datos (AEPD).
La adaptación española del ‘AI Act’
A diferencia del Reglamento Europeo de IA (AI Act) —que es una ley de aplicación directa en toda la Unión Europea enfocada en fijar las líneas rojas globales y la clasificación técnica del riesgo—, este proyecto de ley español actúa como su brazo ejecutor a nivel nacional, definiendo qué organismos locales vigilan cada sector e implantando el baremo exacto de las multas. El choque más evidente entre ambos textos se encuentra en el tratamiento del sector público: mientras que el AI Act europeo dejaba en manos de cada país la decisión de multar o no a sus administraciones, el texto español ha optado por blindar al Estado. Organizaciones de internautas y expertos en derecho digital ya han criticado duramente que, ante una misma infracción grave (como el uso de sistemas biométricos prohibidos), una empresa privada pueda enfrentarse a la quiebra con sanciones de 35 millones de euros o el 7% de su facturación global, mientras que una entidad pública solo recibirá un «apercibimiento» o aviso disciplinario sin coste económico alguno.
Régimen de sanciones aprobado para el sector privado
El nuevo marco legal establece tres niveles de gravedad económica para el tejido empresarial que opere en territorio nacional:
- Infracciones leves: Multas de hasta 500.000 euros o el 0,5% del volumen de negocio para fallos burocráticos o falta de información requerida por la AESIA, modulables según la reincidencia e intencionalidad de la empresa.
- Infracciones muy graves (Sistemas Prohibidos): Multas de hasta 35 millones de euros o el 7% del volumen de negocio mundial para quienes desarrollen o comercialicen herramientas de IA que vulneren los derechos fundamentales o utilicen sesgos biométricos vetados.
- Infracciones graves: Sanciones económicas intermedias destinadas a quienes comercialicen sistemas de «alto riesgo» (empleo o educación) sin las debidas auditorías humanas o sin el etiquetado visible de transparencia.
