En marzo de 2025 publicamos una alerta sobre el entonces Anteproyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial, en la que destacábamos la posición avanzada de España en la implementación nacional del Reglamento (UE) 2024/1689, de 13 de junio, por el que se establecen normas armonizadas en materia de inteligencia artificial (el Reglamento de IA).
El texto ha dado un paso relevante en su tramitación. El Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial (el Proyecto de Ley Orgánica) ha sido publicado en el Boletín Oficial de las Cortes Generales y se encuentra en fase de enmiendas en el Congreso de los diputados. Al igual que el Anteproyecto, desarrolla los aspectos del Reglamento de IA que requieren concreción nacional, y que son los que se exponen a continuación, con especial atención a las modificaciones introducidas respecto del Anteproyecto.
Autoridades competentes y modelo de supervisión
El Proyecto de Ley mantiene la designación de la Dirección General de Inteligencia Artificial, integrada en la Secretaría de Estado de Digitalización e Inteligencia Artificial, como autoridad notificante a efectos del Reglamento de IA. Esta autoridad será responsable de los procedimientos de evaluación, designación y notificación de los organismos de evaluación de la conformidad, con apoyo de la Entidad Nacional de Acreditación (ENAC).
El modelo de supervisión se articula en torno a la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) como autoridad principal, con potestad sancionadora y funciones de punto de contacto único y de vigilancia del mercado. La AESIA comparte determinadas competencias con autoridades sectoriales, coordinadas a través de una Comisión conjunta cuya presidencia y secretaría le corresponden. Respecto del Anteproyecto, el Proyecto de Ley Orgánica introduce dos cambios relevantes: se crea una ventanilla única de reclamaciones ante la AESIA, en sustitución del buzón de información anónima anteriormente previsto; y se reconfigura la Comisión conjunta, incorporando a las autoridades autonómicas y reconociendo el carácter no vinculante de sus decisiones para las autoridades administrativas independientes.
Dos diferencias relevantes respecto del Anteproyecto afectan al cambio en la atribución de competencias de vigilancia del mercado en materia de sistemas vinculados al cumplimiento del derecho, por un lado; y a los procesos democráticos, por otro. En cuanto a lo primero, el Anteproyecto asignaba a la Agencia Española de Protección de Datos (AEPD) la supervisión de los sistemas de alto riesgo del Anexo III.1 del Reglamento de IA (biometría) cuando se utilizaran para garantía del cumplimiento del derecho o gestión de fronteras, así como de los sistemas del Anexo III.6 (cumplimiento del derecho sin uso de biometría); en lo que al cumplimiento del derecho se refiere, el Proyecto de Ley Orgánica traslada esas funciones al Consejo General del Poder Judicial (CGPJ), justificando el cambio en la exigencia de un "particular estatuto de independencia", impuesta por el artículo 74.8 del Reglamento de IA. Por otro lado, el Anteproyecto designaba a la Junta Electoral Central -formada por ocho magistrados del Tribunal Supremo y cinco catedráticos propuestos por las fuerzas políticas- como autoridad de vigilancia del mercado de los sistemas de IA de alto riesgo del Anexo III.8.b), relativo a los procesos democráticos, así como de las prácticas prohibidas de IA que recaigan en este ámbito; mediante una reforma de la Ley Orgánica del Régimen Electoral General, el Proyecto de Ley Orgánica atribuye en cambio a la AESIA estas mismas funciones, añadiéndoles funciones de vigilancia respecto de sistemas que utilicen biometría con fines de identificación remota o de categorización.
Sandboxes y sector público
En materia de sandboxes, el Proyecto de Ley Orgánica mantiene la creación de un espacio controlado de pruebas gestionado por la AESIA, ya prevista en el Anteproyecto, y deroga el Real Decreto 817/2023, de 8 de noviembre, que regulaba el primer sandbox de IA antes de la adopción del Reglamento de IA.
Además, desarrolla con mayor detalle el régimen del nuevo espacio controlado de pruebas, ajustándolo al Reglamento de IA. En cuanto al sector público estatal, el Proyecto de Ley Orgánica introduce un capítulo enteramente nuevo, sin precedente en el Anteproyecto. Entre sus principales previsiones, impone a las entidades del sector público estatal obligaciones de información sobre el uso de sistemas de IA, la participación en un inventario interoperable con el registro europeo de sistemas de alto riesgo, la designación de un delegado de IA y el impulso de medidas de formación en el desarrollo y uso responsable de la IA.
Prácticas prohibidas en identificación biométrica y deepfakes
El Proyecto de Ley Orgánica mantiene las prácticas prohibidas del artículo 5.1 del Reglamento de IA y confirma la autorización del uso de sistemas de identificación biométrica remota "en tiempo real" en espacios de acceso público con fines de cumplimiento del derecho, sujeto a autorización judicial. No obstante, para los responsables del despliegue, determinadas conductas vinculadas a dicho uso –como su empleo fuera de los casos permitidos, sin autorización previa o sin respetar las limitaciones impuestas– pasan de infracción muy grave a grave, rebajando la calificación prevista en el Anteproyecto.
En materia de deepfakes y contenidos generados o manipulados artificialmente, el Proyecto de Ley mantiene la calificación de determinadas infracciones como graves. En particular, se sanciona el incumplimiento de obligaciones de transparencia aplicables a sistemas que interactúan con personas físicas, generan contenido sintético o producen contenidos que constituyen ultrasuplantaciones o textos destinados a informar al público sobre asuntos de interés público.
Régimen sancionador
El régimen sancionador es uno de los ámbitos en los que el Proyecto de Ley Orgánica introduce cambios más significativos. Por un lado, la cláusula general que tipificaba como infracción cualquier contravención del Reglamento de IA o de la legislación nacional se sustituye por un catálogo específico de infracciones muy graves, graves y leves. Por otro, se eliminan los importes mínimos previstos en el Anteproyecto, fijándose únicamente límites máximos:
- Para infracciones muy graves relativas a prácticas prohibidas, hasta €35.000.000 o, si el infractor es una empresa, hasta el 7% de su volumen de negocios mundial total del ejercicio anterior.
- Para las demás infracciones muy graves, hasta €15.000.000 o hasta el 3% del volumen de negocios mundial total.
- Para infracciones graves, hasta €7.500.000 o hasta el 1% del volumen de negocios mundial total.
- Para infracciones leves, hasta €500.000 o hasta el 0,5% del volumen de negocios mundial total.
En el caso de pymes y empresas emergentes, se aplicará el menor de los dos importes: el porcentaje sobre el volumen de negocios o el importe absoluto correspondiente.
Otras novedades relevantes
El Proyecto de Ley Orgánica tipifica como nueva infracción muy grave la falta de notificación de incidentes graves por parte de proveedores o responsables del despliegue de sistemas de alto riesgo. Asimismo, faculta a la autoridad competente para requerir medidas correctoras en relación con infracciones leves, pudiendo no imponerse sanción económica cuando el investigado cumpla dichas medidas y reconozca su responsabilidad. Por último, se suprime el expediente autónomo de responsabilidad por daños y perjuicios previsto en versiones anteriores, si bien se mantienen referencias a la reposición de la situación alterada y a la determinación de indemnizaciones derivadas de la infracción.
Próximos pasos
Al haber adquirido rango de Ley Orgánica, el Proyecto de Ley Orgánica requerirá mayoría absoluta del Congreso de los Diputados para su aprobación, previo su envío al Senado, desde donde volvería al Congreso en el caso de que esta última cámara interpusiese un veto o introdujera enmiendas. Una vez finalizada la tramitación parlamentaria, entrará en vigor el día siguiente al de su publicación en el Boletín Oficial del Estado.
Valoraciones finales
En definitiva, el Proyecto de Ley Orgánica mantiene la arquitectura general del Anteproyecto, pero introduce ajustes relevantes: mejora la sistemática del régimen sancionador, elimina los mínimos de sanción, acota el régimen de infracciones, refuerza la colaboración institucional y aumenta la concreción del papel de la AESIA y de las autoridades sectoriales en la supervisión de la IA en España.
La operatividad de este texto resulta por otro lado ineludible, a fin de hacer efectivamente aplicable en nuestro país el Reglamento de IA. Aunque, también, porque el funcionamiento cotidiano del Reglamento de IA precisa -como aquí se ha expuesto- de concreciones en aspectos decisivos.
Los destinatarios del Reglamento de IA, ya se trate de proveedores, ya de responsables de despliegue o de agentes, no pueden pues relajarse en su paulatina acomodación a las disposiciones de dicho Reglamento. Y ello por más que el Ómnibus digital sobre inteligencia artificial vaya muy próximamente a ampliar los plazos de adaptación al Reglamento de IA, tanto para los sistemas de alto riesgo horizontal (Anexo III), como para los sistemas de alto riesgo industrial (Anexo I). El Reglamento de IA constituye una norma densa, extensa y compleja, que cualquier organización debe comenzar a implantar sin dilación en su estructura y procesos. La última vocación de este Proyecto debe, sin duda, ser la de coadyuvar a esa labor.
Key contacts
Pablo García Mexía
Consultor – Director area derecho digital, Madrid, Madrid
Iria Calviño
Socia, Co-directora regional de ESG en EMEA, Madrid
Jaime Bofill
Socio, Madrid
Disclaimer
The articles published on this website, current at the dates of publication set out above, are for reference purposes only. They do not constitute legal advice and should not be relied upon as such. Specific legal advice about your specific circumstances should always be sought separately before taking any action.