Recientemente se ha aprobado el Anteproyecto de Ley para el buen uso y la Gobernanza de la inteligencia artificial, que desarrolla el régimen sancionador del Reglamento de la IA de la Unión europea. Hasta el 26 de marzo de 2025 se encuentra en período de audiencia pública para presentar alegaciones.

Estudio sobre el anteproyecto de ley

La opción de investigación profunda que nos ofrecen ChatGPT y otros grandes modelos de lenguaje (LLM´s) permiten analizar textos y materias de cualquier ámbito de modo profesional. Aprovechando la publicación del anteproyecto de ley he querido realizar la prueba de indicarle a ChatGPT que realice un informe en profundidad sobre el mismo, y que aporte sus consideraciones, buscando incongruencias, etc. Por lo tanto, el informe que aquí se presenta está realizado íntegramente por la IA de ChatGPT.

Prompt y documentos usados

He utilizado el modelo 4.5 de esta conocida IA, seleccionando la opción de investigación profunda.

Le he subido los siguientes documentos como parte del contexto:

• Memoria de impacto normativo del anteproyecto.
• Anteproyecto de Ley para el buen uso y la Gobernanza de la inteligencia artificial.
• Reglamento de la IA de la UE

Seguidamente le he dado el siguiente prompt:

«Crea un informe detallado sobre el anteproyecto de ley que te he subido, que se encuentra en período de exposición pública para presentar alegaciones. Quiero saber los puntos clave, las consecuencias prácticas de su aplicación y que me indiques posibles incongruencias y mejoras que se pueden realizar. Proporciona tantos detalles como sea posible para obtener mejores resultados.
También te he subido la memoria de impacto normativo del anteproyecto, así como el reglamento de la IA en el que se basa la futura ley».

A continuación ChatGPT necesitaba más detalles y ha preguntado:

Para elaborar el informe detallado que solicitas sobre el anteproyecto de ley en exposición pública, ¿podrías confirmar si tienes algún enfoque o uso específico en mente? Por ejemplo:

1. ¿Necesitas que el informe esté redactado con un tono jurídico, técnico, divulgativo o administrativo?
2. ¿Hay un sector de aplicación que te interese especialmente (salud, justicia, educación, seguridad, etc.)?
3. ¿Quieres que incluya comparaciones con otras legislaciones similares europeas o internacionales?

Con esto podré ofrecerte un análisis más ajustado a tus necesidades.

Y le he respondido:

1.- tono jurídico
2.- Me interesa sector youtube, blogs y administración pública
3.- Sí, utiliza derecho comparado europeo

A lo que me ha contestado:

Perfecto. Elaboraré un informe detallado con tono jurídico sobre el anteproyecto de ley para el buen uso y la gobernanza de la inteligencia artificial, actualmente en exposición pública. Me enfocaré especialmente en sus implicaciones para el sector de plataformas como YouTube y blogs, así como para la administración pública. También realizaré un análisis comparado con otros marcos regulatorios europeos relevantes.

Te presentaré los puntos clave del texto, las consecuencias prácticas de su aplicación, posibles incongruencias, y sugerencias de mejora, con todo el detalle técnico-jurídico necesario.

Te aviso en cuanto esté listo.

Estudio del anteproyecto realizado con IA

A continuación se ha puesto a estudiar todo y durante 10 minutos ha razonado, ha buscado fuentes, ha indagado en los documentos, y al final me ha dado el informe que os adjunto. Para hacer más fácil la lectura he quitado los enlaces del texto (se quedan en la bibliografía al final, que ha incluido la IA), he separado algunos párrafos y he agregado algunos encabezados (que señalo entre corchetes):

Informe jurídico sobre el Anteproyecto de Ley para el Buen Uso y la Gobernanza de la Inteligencia Artificial en España

I. Introducción y contexto normativo

El Anteproyecto de Ley para el buen uso y la gobernanza de la Inteligencia Artificial (en adelante, Anteproyecto) constituye la respuesta normativa de España a los desafíos planteados por la IA, en armonía con el marco europeo recientemente aprobado. Este Anteproyecto se encuentra en período de exposición pública y tiene como finalidad principal desarrollar a nivel nacional las disposiciones del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, sobre inteligencia artificial (conocido como Ley de IA de la UE o AI Act). El Reglamento europeo, de aplicación directa, establece normas armonizadas en materia de IA, incluyendo la prohibición de ciertas prácticas de “riesgo inaceptable”, requisitos para sistemas de alto riesgo, obligaciones de transparencia para sistemas de riesgo limitado (como chatbots y generadores de contenido), así como un régimen de supervisión y sanción a nivel de la UE​.

El Anteproyecto español complementa este marco, creando el régimen sancionador interno y detallando aspectos de gobernanza nacional, en particular la designación de autoridades competentes, la autorización de usos excepcionales de IA prohibida (p.ej. identificación biométrica remota en tiempo real) y ciertas medidas de fomento de una IA ética.

Exposición de motivos [humano]

La Exposición de Motivos del Anteproyecto enfatiza que la IA supone un potencial enorme de transformación social y económica, pero conlleva riesgos para derechos fundamentales si no se regula adecuadamente​. Se invocan principios internacionales y europeos (Declaración de la OCDE 2019/2024 sobre IA, Directrices Éticas para una IA Fiable de la UE en 2019, etc.) que inspiran la norma, buscando una IA confiable, transparente y centrada en el ser humano.

Así, el Anteproyecto se plantea como instrumento para garantizar que el desarrollo y uso de la IA en España se alinee con los valores democráticos, evitando opacidad algorítmica, discriminación o violaciones de privacidad. En consonancia con ello, el texto sitúa como ejes la protección de derechos fundamentales, la transparencia en los algoritmos y la rendición de cuentas de sus operadores​. Igualmente, se busca fomentar la innovación responsable, mediante sandboxes regulatorios y cierta flexibilidad para pymes, evitando cargas desproporcionadas.

En las siguientes secciones se analizarán los puntos clave del Anteproyecto (y de su Memoria de Impacto Normativo) con especial atención a las obligaciones que atañen a plataformas digitales (como servicios de contenido en línea tipo YouTube o blogs), las implicaciones para la Administración Pública (como usuaria y reguladora de IA), potenciales incongruencias o ambigüedades del texto, y propuestas de mejora. Finalmente, se realizará un análisis comparado con el Reglamento (UE) 2024/1689 (AI Act) –incluyendo referencias a artículos de dicho Reglamento– y con experiencias normativas de otros países europeos relevantes (Alemania, Francia, Italia, entre otros), para enmarcar el Anteproyecto español en el contexto internacional.

II. Puntos clave del Anteproyecto de Ley

1. Objeto, ámbito de aplicación y definiciones (Capítulo I).

El artículo 1 del Anteproyecto define el objeto de la Ley: establecer el régimen jurídico sancionador en España por incumplimientos del Reglamento (UE) 2024/1689 en relación con sistemas de IA introducidos, comercializados o utilizados en territorio español.

Asimismo, regula el régimen de autorización nacional para el uso de sistemas de identificación biométrica remota “en tiempo real” en espacios públicos con fines de aplicación de la ley, dando cumplimiento a las excepciones limitadas previstas en el art. 5 del Reglamento europeo​. De este modo, la Ley española se focaliza en dos aspectos: (i) articular la supervisión y sanción de las obligaciones y prohibiciones del AI Act en el plano interno, y (ii) habilitar legalmente ciertas prácticas de IA prohibidas por el Derecho de la UE salvo autorización (particularmente, el reconocimiento facial en tiempo real por fuerzas de seguridad, que el Reglamento 2024/1689 solo permite con autorización expresa y finalidades tasadas).

El ámbito subjetivo de aplicación abarca a todas las personas jurídicas y entidades del sector público que actúen como operadores de sistemas de IA en los términos del art. 2 del Reglamento UE. Esto incluye, entre otros, a proveedores de sistemas de IA (y de modelos de IA de uso general), a quienes realicen pruebas de IA en condiciones reales antes de su comercialización, a los responsables del despliegue (usuarios profesionales que utilizan IA en sus actividades), así como importadores, distribuidores y representantes autorizados​.

En consecuencia, plataformas digitales, redes sociales, servicios de video bajo demanda, blogs profesionales y cualquier otro prestador que integre sistemas de IA en sus productos o servicios estarán sujetos a la Ley cuando actúen como operadores en ese sentido. El Anteproyecto aclara además que se aplicará a los organismos de evaluación de la conformidad (los organismos notificados que certificarán sistemas de IA de alto riesgo) y que excluye únicamente aquellos supuestos fuera del ámbito del AI Act según el art. 2.3-2.8 de este (p.ej., usos de IA de carácter militar, actividades de seguridad nacional, etc.)​.

Definiciones [humano]

En cuanto a definiciones, la Ley opta por remitir a las definiciones del art. 3 del Reglamento (UE) 2024/1689​, asegurando la coherencia terminológica (por ejemplo, la definición de “sistema de IA”, “proveedor”, “usuario o responsable del despliegue”, “modelo de IA de uso general”, etc., son las establecidas a nivel europeo). Se añaden definiciones específicas para “PYME” (remitiendo al derecho de la UE sobre ayudas de Estado) y de “Sector Público” (conforme a la Ley 40/2015)​, relevantes para la aplicación de la norma a las administraciones.

2. Gobernanza nacional y autoridades competentes (Capítulo II).

Este capítulo adapta en el plano interno la estructura de gobernanza exigida por el AI Act. En particular, el Reglamento UE obliga a los Estados miembros a designar: (i) una autoridad notificante encargada de designar y supervisar a los organismos de certificación de IA (conformidad), (ii) una o varias autoridades de vigilancia del mercado para supervisar el cumplimiento de la Ley de IA en distintos sectores, y (iii) autoridades encargadas de velar por el respeto de los derechos fundamentales en relación con sistemas de IA de alto riesgo (art. 28, 70 y 77 del Reglamento respectivamente)​.

El Anteproyecto, en su artículo 4, designa a la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) –a través de la Dirección General de IA– como autoridad notificante, responsable de tramitar la evaluación, designación y notificación de organismos de evaluación de la conformidad en materia de IA​. No obstante, la evaluación técnica y acreditación de dichos organismos seguirá a cargo de ENAC (Entidad Nacional de Acreditación), conforme al sistema general de acreditación de reglamentos europeos de producto​.

Vigilancia del mercado [humano]

En cuanto a la vigilancia del mercado, el Anteproyecto opta por un modelo mixto: se crea la Agencia Española de Supervisión de la IA (AESIA) –organismo de nueva creación, adscrito a SEDIA– con funciones transversales, pero al mismo tiempo se distribuyen competencias de supervisión entre varias autoridades sectoriales ya existentes, atendiendo a la naturaleza del sistema de IA. En concreto:

• La AESIA es confirmada como punto de contacto único nacional ante la UE (art. 70.2 del Reglamento), y tiene un papel de coordinación general. Además, asumirá directamente la vigilancia de aquellos sistemas no atribuidos expresamente a otro regulador sectorial o en caso de carencia de medios de éstos. El Anteproyecto prevé que si una autoridad sectorial comunica a AESIA que no dispone de recursos técnicos, humanos o financieros suficientes para supervisar ciertos sistemas de IA, la Agencia asumirá temporalmente esas funciones, en coordinación con la autoridad afectada. Igualmente, se faculta a SEDIA para designar mediante resolución nuevas autoridades de vigilancia en áreas emergentes o no contempladas, por ejemplo si la Comisión Europea amplía en el futuro el listado de sistemas de alto riesgo (vía actos delegados conforme al art. 7.1 del Reglamento)​.

Sede de la Agencia Española de Supervisión de la IA (AESIA) en A Coruña. La AESIA coordinará la vigilancia del mercado de sistemas de IA en España, actuando como punto de contacto nacional y asumiendo funciones en casos no cubiertos por otras autoridades sectoriales.

• La Agencia Española de Protección de Datos (AEPD), junto con las autoridades autonómicas de protección de datos, son designadas como autoridades de vigilancia para ámbitos donde los riesgos de IA se relacionan directamente con datos personales y derechos digitales. En particular, la AEPD vigilará: (a) ciertas prácticas de IA prohibidas en el art. 5.1 del Reglamento que afectan a derechos fundamentales (las listadas en las letras d), g) y h), relativas a identificación biométrica y categorización ilícita, como se detalla más adelante)​; (b) los sistemas de IA de alto riesgo en el ámbito biométrico (Anexo III.1 del Reglamento) utilizados para fines de seguridad o gestión de fronteras –exceptuando sistemas de mera verificación de identidad–​; (c) los sistemas de alto riesgo en el ámbito de la garantía del cumplimiento de la ley (Anexo III.6, por ejemplo, herramientas usadas por policía para análisis de datos delictivos)​ y (d) en el ámbito de migración, asilo y control fronterizo (Anexo III.7)​. Esta atribución a la AEPD refleja la estrecha relación entre IA y protección de datos, permitiendo aprovechar su experiencia en vigilancia de tratamientos automatizados.
• En el ámbito financiero, se asigna la supervisión a los reguladores especializados: el Banco de España y la CNMV serán autoridades de vigilancia respecto de sistemas de IA de alto riesgo en solvencia y calificación crediticia (Anexo III.5 letra b, por ejemplo algoritmos de scoring financiero), y la Dirección General de Seguros y Fondos de Pensiones hará lo propio con IA de alto riesgo en seguros de vida y salud (Anexo III.5 letra c, como sistemas de tarificación de primas en función de riesgo)​. De esta forma, los supervisores financieros integrarán la vigilancia de IA dentro de sus competencias tradicionales, garantizando conocimiento del sector.
• En ámbitos relacionados con funciones públicas específicas: la Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial (órgano técnico del CGPJ) vigilará los sistemas de IA de alto riesgo en la Administración de Justicia (Anexo III.8.a, por ejemplo herramientas de apoyo a decisiones judiciales) así como prácticas prohibidas de IA en ese ámbito. Por su parte, la Junta Electoral Central será la autoridad de vigilancia para sistemas de IA de alto riesgo relativos a procesos democráticos (Anexo III.8.b, v.gr. IA usada en campañas electorales para segmentación de mensajes políticos) y las prácticas de IA prohibidas asociadas a dicho ámbito​. Con ello se cubren sectores sensibles (justicia y elecciones) mediante órganos ya existentes y especializados en garantizar la integridad de esas funciones (protección de datos judiciales y garantías electorales, respectivamente).

Este modelo distribuido contrasta con la pretendida unicidad de AESIA señalada en la estrategia estatal: en la práctica, España opta por combinar una agencia central de IA con la descentralización sectorial. Otros países están barajando esquemas distintos –por ejemplo, Alemania prevé repartir la implementación de la Ley de IA entre sus Ministerios de Economía y Justicia, sin haber designado aún organismos específicos; Italia propuso en 2024 confiar la supervisión de IA a su Agencia Nacional de Ciberseguridad y la autoridad notificante a la Agencia de Italia Digital​; Francia aún mantiene indefinida la estructura, quizá apoyándose en organismos existentes como la CNIL (datos) o la Dirección General de Empresas-​.

España, al asignar funciones a autoridades como AEPD, Banco de España, etc., aprovecha su experiencia pero crea un reto de coordinación que el Anteproyecto intenta salvar atribuyendo a AESIA un rol de apoyo y suplencia (art. 5.7, 5.8 del Anteproyecto). En todo caso, antes del 2 de agosto de 2025 deberá notificarse a la Comisión la lista final de autoridades competentes y sus funciones, trámite previsto en el propio Anteproyecto (art. 5.9) encargándolo a SEDIA.

3. Transparencia algorítmica y obligaciones en plataformas digitales (IA “de riesgo limitado”).

Uno de los puntos clave a resaltar en el Anteproyecto es cómo incorpora las obligaciones de transparencia algorítmica del Reglamento europeo, especialmente relevantes para plataformas como YouTube, redes sociales, motores de búsqueda, blogs con contenido automatizado, etc. que utilicen IA en la selección o generación de contenidos.

El Reglamento (UE) 2024/1689 establece en su artículo 50 una serie de obligaciones de transparencia para ciertos sistemas de IA considerados de riesgo limitado: en esencia, se requiere informar a los usuarios cuando estén interactuando con una IA (salvo que esto sea evidente por el contexto), o cuando reciban contenido (texto, imágenes, audio) que ha sido generado o manipulado artificialmente (salvo fines legítimos exentos), para que puedan tomar decisiones informadas sobre su uso​. Igualmente, si se emplean sistemas de reconocimiento de emociones o de categorización biométrica que afecten a personas, debe informarse a estas de que están siendo objeto de tales sistemas (en ámbitos permitidos).

El Anteproyecto, aunque no crea artículos nuevos de transparencia (por tratarse de materia regulada directamente por el Reglamento), sí tipifica como infracciones el incumplimiento de esas obligaciones por parte de los operadores. De este modo, asegura su exigibilidad práctica.

Por ejemplo, se prevé sancionar: “el incumplimiento de la obligación, por parte de un operador, de informar a las personas físicas de que están interactuando con un sistema de IA” conforme al art. 50.1 y 50.5 del Reglamento​; o “el incumplimiento de la obligación, cuando los sistemas de IA generen contenidos no reconocibles, de hacer que pueda detectarse su naturaleza artificial”, según lo exigido por el art. 50.2 y 50.5 del Reglamento​. Esto último alude claramente al deber de etiquetar o marcar los contenidos sintéticos (deepfakes) para señalar que son obra de una IA.

En igual sentido, se sancionará no informar a una persona de que se están evaluando sus emociones o características biométricas mediante IA (art. 50.3)​, o no hacer públicas ciertas informaciones obligatorias (art. 50.4)​. Cabe destacar que plataformas como YouTube o TikTok, que emplean algoritmos de recomendación y moderación de contenido, no están catalogadas en sí mismas como “alto riesgo” por la Ley de IA (a diferencia de, por ejemplo, un sistema de reconocimiento facial policial). Sin embargo, sí utilizan sistemas de IA de uso general o de riesgo limitado que generan feeds personalizados, clasificaciones de contenido o incluso contenido sintético (p.ej., subtítulos generados automáticamente, filtros de realidad aumentada, etc.).

Conforme al marco europeo, dichas plataformas deberán informar claramente cuando se use un chatbot o asistente virtual (indicando al usuario que interactúa con una máquina) y, sobre todo, etiquetar los contenidos enteramente generados por IA que pudieran confundirse con obra humana (imágenes generadas, vídeos “deepfake”, voces sintéticas, etc.).

El Anteproyecto español refuerza esto al prever la sanción del incumplimiento de esas obligaciones de transparencia, considerándolas infracciones graves o leves según el caso. Por ejemplo, si un blog o medio digital publica artículos redactados con IA generativa sin advertir al lector, estaría violando la obligación del art. 50.2 (informar del contenido generado artificialmente) y podría incurrir en infracción sancionable​.

Del mismo modo, un servicio que utilice avatars o voces sintéticas de personas sin revelarlo podría ser sancionado. Estas previsiones cierran la brecha para que las obligaciones de transparencia –que en el Reglamento son directamente exigibles a proveedores y usuarios de IA– tengan un correlato en el derecho interno sancionador, dotando a las autoridades (como la AEPD, designada para este ámbito) de capacidad de actuación.

Es importante señalar que estas obligaciones se solapan parcialmente con otras normativas: por ejemplo, la Ley de Servicios Digitales (Reglamento (UE) 2022/2065, DSA) ya impone a las grandes plataformas obligaciones de transparencia sobre sus sistemas de recomendación y publicidad.

El Anteproyecto de IA, no obstante, actúa en su propio ámbito: la transparencia aquí se refiere a revelar la intervención de IA en la generación o decisión individual (como exigir el aviso “Contenido generado por IA” en una imagen, o “soy un sistema automatizado” en un chat), más que a explicar criterios generales del algoritmo. Ambas exigencias serán complementarias para plataformas: deberán tanto informar del uso de IA caso por caso (Ley IA) como ofrecer información general sobre su funcionamiento (DSA para muy grandes plataformas).

4. Prácticas de IA prohibidas y autorización de excepciones (Capítulo III).

El Reglamento europeo enumera en su artículo 5 una serie de prácticas de IA prohibidas por considerarse “riesgo inaceptable” para los derechos fundamentales y la seguridad.

Son en total ocho supuestos, entre ellos: manipulación subliminal o engañosa que cause perjuicios (por ejemplo, algoritmos que influyan inconscientemente en el comportamiento humano); explotación de vulnerabilidades de colectivos vulnerables (menores, personas con discapacidad) de forma perjudicial​; los sistemas de “social scoring” gubernamental (puntuación social masiva de individuos)​; ciertos sistemas de profiling predictivo en materia penal (evaluar la probabilidad de que alguien cometa delitos, es decir, “policía predictiva” basada únicamente en perfiles)​; la creación de bases de datos de reconocimiento facial mediante recopilación masiva de imágenes de internet o CCTV (lo que busca frenar proyectos de vigilancia masiva); el reconocimiento de emociones en entornos laborales y educativos (salvo fines médicos o de seguridad laboral)​; la categorización biométrica de personas según atributos sensibles (raza, ideología, orientación sexual, etc.) a partir de sus datos biométricos​; y, finalmente, el uso de sistemas de identificación biométrica remota “en tiempo real” en espacios públicos con fines policiales, salvo excepciones tasadas (p.ej., buscar víctimas de delitos graves, prevenir amenazas inminentes como terrorismo, o identificar sospechosos de ciertos delitos graves)​.

Estas son las prácticas a las que se refieren las letras a) a h) del art. 5.1 del Reglamento (UE) 2024/1689, prohibidas en principio en toda la UE.

El Anteproyecto dedica el Capítulo III (arts. 7 a 10 aprox.) a regular cómo se aplican esas prohibiciones en España y el régimen de autorización excepcional en el único supuesto que el Reglamento permite condicionar (la letra h, identificación biométrica remota en tiempo real por autoridades públicas para cumplimiento de la ley, bajo estrictas condiciones). Así:

• Se reitera la prohibición general de incurrir en esas prácticas de IA (incorporando así el mandato del art. 5 del Reglamento al derecho interno, para dotarlo también de base sancionadora). De hecho, como vimos, el Anteproyecto asigna a distintas autoridades la vigilancia del respeto a dichas prohibiciones en sus ámbitos (AEPD para manipulación, scoring social, categorización biométrica; autoridades judiciales para justicia, etc.).
• Respecto de la identificación biométrica remota en tiempo real (es decir, reconocimiento facial en cámaras en espacios públicos para identificar personas sobre la marcha), el AI Act la prohíbe como regla general, pero admite estrictas excepciones si están “expresamente previstas por la ley” de un Estado miembro, con garantías adecuadas y autorización previa de una autoridad competente (judicial o independiente). El Anteproyecto cumple ese requisito habilitador: se establece un procedimiento de autorización judicial previa para que las fuerzas y cuerpos de seguridad puedan utilizar temporalmente sistemas de reconocimiento facial en vivo en espacio público, solo en los supuestos excepcionalísimos que el Reglamento indica (búsqueda de víctimas de secuestro o trata; prevenir un peligro inminente grave para vidas o un ataque terrorista; localizar o identificar a sospechosos de delitos graves tipificados en anexo del Reglamento)​. La competencia para autorizar recae en los Juzgados de lo Contencioso-Administrativo, a los que se les atribuye potestad para otorgar esas autorizaciones caso por caso (control judicial ex ante). Se regula también un procedimiento administrativo para la solicitud por la autoridad policial, su resolución y la posibilidad de informes posteriores​, introduciendo garantías de necesidad, proporcionalidad, limitación temporal y geográfica, etc., en línea con lo exigido por el art. 5.2 del Reglamento (UE) 2024/1689. Este desarrollo legal era imprescindible para que, llegado el caso, pueda hacerse uso legítimo de esta tecnología en España sin contravenir el derecho europeo, por ejemplo en la búsqueda urgente de un menor desaparecido en tiempo real.
• En los demás casos de prácticas prohibidas, el Anteproyecto no prevé excepción alguna (coherente con el hecho de que el Reglamento tampoco las permite). Así, cualquier operador que en España introduzca en el mercado o use un sistema de IA para “manipulación subliminal dañina”, “explotación de vulnerables” u otras prácticas de la lista, estaría incurriendo en una infracción muy grave automáticamente.

Cabe mencionar que la Memoria de Impacto Normativo del Anteproyecto justifica la necesidad de habilitar la excepción del reconocimiento facial en tiempo real para no privar a las fuerzas de seguridad de una herramienta que, en situaciones acotadas, podría ser esencial (por ejemplo, para antiterrorismo), pero subraya que se trata de un “marco limitado” y siempre con autorización previa judicial​.

España, con esto, sigue la línea de otros países de la UE que también contemplan excepciones legales similares (Francia ha debatido su uso en eventos deportivos y lucha antiterrorista; Italia y Alemania igualmente analizan marcos limitados en sus legislaciones policiales). En todo caso, la prohibición sigue siendo la regla general y el Anteproyecto la refuerza al tipificar su incumplimiento como infracción muy grave, como se verá en el régimen sancionador.

5. Sistemas de IA de alto riesgo y memoria de impacto algorítmico.

Si bien el Anteproyecto no reproduce los requisitos técnicos y organizativos para los sistemas de IA de alto riesgo (pues estos emanan directamente del Reglamento: gestión de riesgos, datos de entrenamiento de calidad, documentación técnica, trazabilidad, supervisión humana, etc., arts. 9 a 23 del Reglamento), sí contiene disposiciones importantes sobre su supervisión y evaluación de impacto.

En particular, la norma española hace referencia a la evaluación de impacto relativa a los derechos fundamentales que deben realizar los responsables del despliegue públicos o privados que presten servicios públicos antes de poner en uso un sistema de IA de alto riesgo (según prevé el art. 65 del Reglamento)​.

El Reglamento de IA de la UE obliga, por ejemplo, a que una administración pública que quiera usar un sistema algorítmico en servicios esenciales (educación, asistencia sanitaria, prestaciones sociales, etc.) o una empresa privada que ofrezca servicios públicos en dichos ámbitos, analicen previamente los posibles riesgos para derechos fundamentales (no discriminación, igualdad, privacidad, etc.) y definan medidas para mitigarlos​.

El Anteproyecto incorpora esta exigencia en su articulado (o al menos en su filosofía), previendo mecanismos para que las autoridades de vigilancia del mercado puedan requerir y acceder a dichas evaluaciones de impacto realizadas por los operadores públicos o privados​. Por ejemplo, la AEPD u otra autoridad podrá solicitar la documentación de evaluación de impacto de un sistema de IA de alto riesgo si es necesario para comprobar el cumplimiento normativo en su ámbito.

Sandboxes o entornos controlados [humano]

Asimismo, el Anteproyecto establece la posibilidad de crear entornos controlados de prueba (“sandboxes” regulatorios en IA) bajo supervisión de AESIA​, para fomentar la innovación segura y la experimentación con IA antes de su despliegue real. Esta iniciativa, alineada con el AI Act (que impulsa sandboxes a nivel de la UE), permitirá a empresas y administraciones probar sistemas potencialmente de alto riesgo en condiciones acotadas, con apoyo de la autoridad, minimizando riesgos y facilitando el cumplimiento desde la fase de diseño.

En cuanto a plataformas digitales y IA generativa, si estas desarrollan modelos de IA de uso general (por ejemplo, un gran modelo de lenguaje entrenado por una big tech) o integran IA de alto riesgo en sus servicios (v.gr. herramientas de reconocimiento de contenido ilegal automáticamente), deberán cumplir con las obligaciones pertinentes del Reglamento.

El Anteproyecto, no obstante, no distingue un tratamiento especial para “fundación models” o IA generativa más allá de aplicarles el régimen general de proveedores. La memoria explicativa menciona la relevancia de los avances en IA generativa y la necesidad de marcos éticos y de seguridad, pero confía dichas obligaciones a lo ya previsto en la norma europea (por ejemplo, la obligación de que los proveedores de modelos de IA de uso general implementen medidas de mitigación de riesgos sistémicos, transparencia sobre datos utilizados, etc., que figura en el Capítulo dedicado a “modelos de IA de uso general” del Reglamento). En España, se deberá designar también la autoridad encargada de supervisar estos modelos: previsiblemente AESIA asumirá la vigilancia de los modelos fundacionales no sectoriales, dado que no encajan en otro regulador específico.

6. Régimen sancionador (Capítulo IV).

El Anteproyecto finalmente desarrolla un régimen sancionador completo para infracciones de la normativa de IA, en cumplimiento del art. 99 del Reglamento UE que exige a los Estados miembros establecer sanciones efectivas, proporcionadas y disuasorias por las infracciones del AI Act. Este capítulo es de los más extensos, detallando la clasificación de infracciones (muy graves, graves y leves) atribuidas a cada tipo de operador, y las sanciones (multas) correspondientes, con criterios de graduación inspirados en el RGPD.

Se tipifican por separado las infracciones de proveedores, usuarios/responsables del despliegue, importadores, distribuidores y organismos notificados, reconociendo que las obligaciones varían según el rol. Por ejemplo, para un proveedor de sistemas de IA de alto riesgo se contemplan infracciones como: comercializar un sistema sin marcado CE de conformidad​, no elaborar la declaración UE de conformidad​, no cumplir requisitos de accesibilidad (importante en contextos públicos)​, no registrar el sistema en la base de datos de la UE (Registro de la Comisión, art. 60 del Reglamento)​, etc.

Para usuarios o responsables del despliegue, se tipifica como infracción no cumplir con la obligación de supervisión humana que les incumbe, o usar el sistema contrariando las instrucciones y limitaciones del proveedor, o en un contexto distinto para el que fue evaluado (esto se desprende del AI Act, art. 29-31). Especial mención merece la infracción consistente en incumplir deberes de transparencia u otras obligaciones impuestas por la normativa de IA cuando el sistema no sea de alto riesgo ni prohibido.

Esta cláusula de cierre, ubicada en la designación de autoridad a la AEPD (art. 5.2 g) del Anteproyecto), asegura que incluso los sistemas de IA de riesgo limitado (como los algoritmos de recomendación en plataformas o los generadores de contenido), si no cumplen sus obligaciones de transparencia o información, puedan ser perseguidos como infracción (probablemente tipificada como leve o grave dependiendo de la consecuencia). Así se cubre cualquier incumplimiento al Reglamento, aun fuera de la categoría de alto riesgo.

En cuanto a las sanciones económicas, el Anteproyecto se alinea con los umbrales máximos fijados a nivel europeo: las infracciones muy graves podrán sancionarse con hasta 40 millones de euros o el 7% del volumen de negocios mundial anual del infractor, lo que sea mayor​ (el AI Act preveía hasta 6% o 30 M€; España eleva a 7%/40M€ en ciertos supuestos, demostrando mayor rigor, aunque esta cifra del 7% posiblemente integra la opción de considerar grupo empresarial).

Para infracciones muy graves vinculadas a sistemas de alto riesgo en particular, se prevé un rango algo menor (hasta el 3% del volumen de negocio), mientras que las infracciones graves conllevarían multas de hasta 20 millones de euros o el 4% del negocio global (en el texto: tramo de 1% a 2% del volumen de negocios)​. Las infracciones leves, por su parte, se sancionarían con multa de hasta 10 millones de euros o el 2% del negocio (tramo de 0,5% a 1% del negocio mundial)​.

Adicionalmente, se contemplan multas coercitivas diarias para compelir el cese de una infracción continuada o la corrección de sus efectos, y criterios de agravación o atenuación muy similares a los del régimen de protección de datos (número de afectados, naturaleza del daño, negligencia o intencionalidad, reincidencia, cooperación con la autoridad, etc.), tal como indica la Memoria​.

Un aspecto relevante es el tratamiento de las pymes y administraciones infractoras. Con ánimo de proporcionalidad, el Anteproyecto prevé que si una pyme comete una infracción no muy grave por primera vez, la autoridad sancionadora puede emitir un requerimiento previo invitando a subsanar el incumplimiento y reparar daños, de modo que si lo hace en plazo, el procedimiento sancionador pueda terminar sin multa​. Esto recuerda a la figura del apercibimiento del art. 58.2 del RGPD para administraciones, aplicada aquí a pymes, buscando no asfixiar la innovación de pequeñas empresas con sanciones inmediatas.

En caso de subsanación satisfactoria, la pyme evitaría la multa, fomentándose así una cultura de cumplimiento. Si no obedece el requerimiento, entonces sí se impondría sanción. Para las Administraciones Públicas (entidades del Sector Público), el Anteproyecto no las exime del régimen sancionador –son sujetos sancionables si actúan como operadores–, pero cabe recordar que en el derecho interno muchas veces a las AAPP no se les imponen multas coercitivas sino que se declara la infracción y se adoptan medidas correctivas.

El texto del Anteproyecto (art. 3.3 in fine) no exceptúa a las administraciones de las sanciones, por lo que en teoría podrían imponerse multas a organismos públicos infractores de la Ley de IA. Sin embargo, habrá que estar al desarrollo reglamentario o a la práctica, ya que en ocasiones por principio de unidad de caja, las multas a AAPP carecen de sentido práctico y se sustituyen por apercibimientos o responsabilidades disciplinarias internas. En cualquier caso, la existencia de autoridades de vigilancia específicas para justicia (CGPJ) y procesos electorales (JEC) garantiza que incluso poderes públicos serán supervisados y corregidos en caso de uso indebido de IA​.

En suma, el régimen sancionador dota de dientes a la norma: desde las big tech que operan servicios con IA hasta la pequeña startup o el ayuntamiento que implanta un algoritmo en sus procedimientos, todos deberán cumplir con las obligaciones del AI Act, so pena de multas significativas. Esto equipara la seriedad del cumplimiento en IA a la ya conocida en protección de datos (GDPR), marcando coherencia en la tutela de derechos en la era digital.

Resumen de puntos clave: En conclusión, el Anteproyecto establece (i) la base legal interna para hacer cumplir el Reglamento europeo de IA (con su enfoque de riesgos: prohibiciones absolutas, altos riesgos regulados, transparencia en riesgos limitados), (ii) un modelo de gobernanza con AESIA a la cabeza pero apoyada en agencias sectoriales para la supervisión, (iii) procedimientos específicos para casos delicados como reconocimiento facial policial, (iv) la incorporación de transparencia algorítmica obligatoria que afecta directamente a plataformas y servicios digitales, (v) la inclusión del sector público bajo las mismas obligaciones que los privados, y (vi) un régimen sancionador escalonado para garantizar el cumplimiento, con criterios de proporcionalidad para pymes y coordinación con el marco europeo. A continuación se evaluará cómo impacta esto en la Administración Pública y qué posibles mejoras o clarificaciones requiere el texto.

III. Impacto del Anteproyecto en la Administración Pública

A. Administración Pública como usuaria de sistemas de IA

La Administración Pública española, en sus distintos niveles (estatal, autonómico, local), se verá directamente afectada por el Anteproyecto tanto o más que los sujetos privados. En primer lugar, las administraciones son sujeto destinatario de la norma en la medida en que desarrollen, adquieran o utilicen sistemas de IA para el ejercicio de sus funciones.

El artículo 3.1 del Anteproyecto confirma expresamente que la Ley se aplica a las entidades del sector público cuando actúen como operadores de IA, equiparándolas a cualquier persona jurídica privada​. Esto supone un cambio cultural importante: la administración no solo regula la IA de los demás, sino que también ella misma debe cumplir escrupulosamente con las obligaciones del Reglamento (UE) 2024/1689 al utilizar IA en la prestación de servicios públicos o la toma de decisiones administrativas.

En particular, varios ámbitos de alto riesgo en el AI Act involucran de lleno a la Administración: por ejemplo, educación (sistemas que determinen acceso o evaluación en educación), empleo público (usos de IA en selección de personal o gestión de empleados públicos), servicios y prestaciones esenciales (IA en sanidad pública, bienestar social, ayudas), seguridad pública (IA policial), justicia (IA de apoyo a juzgados) y procesos electorales. En todos esos campos, las autoridades públicas que pretendan emplear sistemas de IA de alto riesgo deberán garantizar que dichos sistemas están certificados conforme al Reglamento, con marcado CE, y deberán implementar los controles humanos, de transparencia y calidad de datos requeridos.

Además, como ya se señaló, antes de usar un sistema de IA de alto riesgo, los organismos públicos responsables deberán realizar una Evaluación de Impacto en Derechos Fundamentales específica​, evaluando cómo el algoritmo puede afectar derechos de los ciudadanos (no discriminación, igualdad de trato, protección de datos, etc.) y qué medidas mitigarán esos riesgos (art. 65 Reglamento).

Esto se asemeja a las evaluaciones de impacto en privacidad (PIA) del RGPD, ampliando la mirada a todos los derechos fundamentales. Por ejemplo, si un Servicio Público de Empleo automatiza el cribado de CVs mediante IA, deberá analizar riesgo de sesgos discriminatorios y establecer supervisión humana y vías de reclamación para candidatos rechazados​. La realización de esta evaluación será exigible y su ausencia podría ser considerada incumplimiento (posible infracción administrativa).

Es previsible que se genere progresivamente una metodología común o guía para estas evaluaciones, quizás elaborada por AESIA en coordinación con la AEPD y el Defensor del Pueblo, para ayudar a las administraciones a cumplir este trámite de forma homogénea.

Otro impacto importante es que la Administración tendrá que adaptar sus procedimientos de contratación pública de tecnología a las exigencias de la Ley de IA. Deberá requerir a los proveedores que entreguen sistemas conformes al Reglamento (con su certificación CE, documentación técnica disponible, etc.), e incluso podría condicionar la adjudicación a garantías adicionales éticas.

La Memoria del Anteproyecto sugiere la conveniencia de centralizar recursos y fomentar compras públicas innovadoras responsables. Por tanto, internamente, los órganos de la Administración deberán capacitarse en comprensión técnica y jurídica de la IA para no incurrir en infracciones involuntarias al desplegar soluciones algorítmicas.

Finalmente, la Administración (salvo contadas excepciones en materias de defensa o seguridad nacional excluidas del AI Act) estará sujeta al régimen sancionador. Si un ministerio u organismo introduce un sistema de IA prohibido o usa un IA de alto riesgo saltándose requisitos esenciales, las autoridades de vigilancia competentes (que en muchos casos son otros entes públicos como la AEPD o el CGPJ) podrían incoar un procedimiento sancionador. Aunque la consecuencia práctica quizá no sea multar a la Hacienda pública, sí se traduciría en una resolución declarativa de infracción, con la posible imposición de medidas correctivas obligatorias (por ejemplo, cesar el uso del sistema, modificarlo, indemnizar a afectados).

Esto refuerza la idea de accountability de las Administraciones: deberán dar ejemplo en el uso ético y legal de la IA. España ya cuenta con precedentes en legislación nacional reconociendo derechos ciudadanos frente a decisiones automatizadas de las Administraciones (v.gr. el art. 13 de la Ley 40/2015 y el art. 46 de la Ley 39/2015 obligan a informar del uso de algoritmos y permiten exigir explicación de decisiones públicas automatizadas). El Anteproyecto se alinea con ese principio, añadiendo la capa sancionadora en caso de violación.

En conclusión, para la Administración como usuaria, el Anteproyecto implica la necesidad de: formación de empleados públicos en IA, colaboración interdisciplinar (juristas, técnicos, eticistas) para implementar IA conforme a ley, dotación de medios presupuestarios para certificaciones y controles, y un cambio hacia la transparencia proactiva con el ciudadano cuando se apoye en algoritmos (por ejemplo, avisos en resoluciones administrativas si intervinieron sistemas de IA, ofreciendo posibilidad de revisión humana). Todo ello con el objetivo de mantener la confianza pública en la adopción de IA gubernamental.

B. Administración Pública como reguladora y garante (rol supervisor)

Por otra parte, el Anteproyecto confiere a diversas entidades públicas la misión de supervisar, inspeccionar y sancionar el uso de IA en España. Es decir, la Administración también actúa como árbitro que vela por el buen uso de la IA por terceros. En este rol, destacan las instituciones ya mencionadas en la gobernanza: AESIA, AEPD, CNMV, Banco de España, DGSFP, CGPJ, JEC, etc., todas ellas entes públicos. Esto supone un nuevo ámbito de actuación administrativa en materia de control de mercados digitales y protección de derechos en entornos algorítmicos.

La creación de la AESIA merece atención especial. La AESIA será una agencia estatal con personalidad jurídica propia, con funciones tanto reactivas (vigilancia, inspección, sanción) como proactivas (promoción de buenas prácticas, asesoramiento, elaboración de guías). Su diseño se inspira en modelos como la Agencia Española de Protección de Datos pero enfocada en IA. Deberá coordinarse con agencias europeas (formará parte de la Junta Europea de IA prevista en el Reglamento para coordinar autoridades nacionales, similar al Comité Europeo de Protección de Datos en GDPR). El Anteproyecto prevé que AESIA, además de suplantar temporalmente a autoridades sectoriales sin medios, pueda suscribir convenios de colaboración para asistencia mutua​. Esto será vital para, por ejemplo, acompañar a la policía foral o a una consejería autonómica de sanidad cuando inspeccionen un sistema de IA en su sector, aportando peritos de AESIA si hace falta.

El impacto interno es que la Administración deberá dotar a estas autoridades de recursos suficientes (personal experto en IA, herramientas de auditoría algorítmica, laboratorios de pruebas). La Memoria recalca la necesidad de concentrar recursos técnicos compartidos para evitar dispersión​. En la fase inicial, es probable que AESIA colabore estrechamente con universidades y centros de investigación para evaluar algoritmos complejos. También que se apoye en la AEPD para sinergias (p.ej., usando su experiencia en auditorías de tratamientos automatizados).

Como reguladora, la Administración también deberá expedir normas de desarrollo y guías interpretativas. El Anteproyecto habilita algunos desarrollos reglamentarios (por ejemplo, podría requerir un reglamento para detallar el procedimiento de autorización judicial de reconocimiento facial, o para precisar la forma de las evaluaciones de impacto en derechos fundamentales).

Asimismo, corresponde a España notificar la transposición de ciertas exenciones del AI Act (por ejemplo, el art. 5.3 del Reglamento permite autorizar ex post ciertos usos de IA prohibida con fines de prueba científica, lo cual tal vez requiera normativa adicional). La Junta de Planificación Normativa deberá incluir estos desarrollos en su agenda para la entrada en vigor escalonada del Reglamento (la mayor parte aplicable a partir de agosto de 2025, pero prohibiciones desde enero 2025, etc.​

Por último, como garante de derechos, la Administración deberá preparar sus mecanismos de reclamación y recurso. El Anteproyecto menciona la creación de canales de comunicación para que los ciudadanos puedan presentar denuncias y consultas en materia de IA​. Es previsible que AESIA o las autoridades competentes establezcan portales de denuncia de usos ilícitos de IA, donde un usuario pueda, por ejemplo, denunciar que una aplicación móvil le engañó simulando ser humana sin avisar (violando transparencia), o que un banco denegó un préstamo mediante un algoritmo potencialmente sesgado.

La Administración, a través de dichas autoridades, deberá tramitar estas quejas, investigarlas y resolver sanciones o medidas. También cabrá el control judicial: las resoluciones sancionadoras podrán ser recurridas ante la jurisdicción contencioso-administrativa, y las denegaciones de autorización de IA prohibida, etc., también serán revisables judicialmente. La preparación de los juzgados (tanto contencioso-administrativos como eventualmente penales, en materia de pruebas con IA) es otra faceta a abordar mediante formación específica, dada la tecnicidad de estos asuntos.

En síntesis, el impacto para la Administración reguladora es la apertura de un nuevo frente de supervisión tecnológica, que exigirá coordinar múltiples organismos, capacitar personal y difundir entre empresas y ciudadanía las nuevas obligaciones. La Administración deberá ejercer un equilibrio: promover la adopción beneficiosa de IA (no ahuyentar la innovación) pero a la vez hacer cumplir con firmeza las salvaguardas legales. El Anteproyecto intenta esa balanza, incorporando medidas de apoyo a pymes y sandboxes, a la par que establece un armazón sancionador robusto.

IV. Posibles incongruencias, ambigüedades o problemas de aplicación práctica

Si bien el Anteproyecto es loable en sus objetivos, en su redacción actual pueden identificarse algunas incongruencias y cuestiones que requerirían clarificación para evitar dificultades en la aplicación:

1. Solapamiento competencial y coordinación inter-agencias: El esquema de múltiples autoridades de vigilancia (AEPD, AESIA, supervisores sectoriales, etc.) podría generar confusión respecto a quién interviene ante determinados incumplimientos. Por ejemplo, si una plataforma en línea viola la obligación de transparencia algorítmica (materia IA) y ello implica a la vez un tratamiento ilícito de datos personales, ¿actúa la AEPD (como autoridad IA designada y autoridad de protección de datos) o la AESIA, o ambas conjuntamente? El texto distribuye ámbitos por tipo de sistema, pero en la práctica un mismo servicio puede entrar en varios (v.gr. un sistema de scoring crediticio usado por un banco involucra a la vez ámbito financiero –CNMV/Banco de España– y tratamiento de datos personales masivo –AEPD–). El Anteproyecto alude a la coordinación, pero no define procedimientos claros de cooperación o prevalencia. Sería deseable explicitar mecanismos de coordinación inter-agencia (creación quizá de un Consejo Coordinador de Supervisores de IA bajo AESIA, intercambio obligatorio de información cuando un caso afecte a competencias mixtas, etc.). De lo contrario, podrían darse lagunas o, peor, dobles sanciones por la misma conducta desde autoridades distintas. Esta necesidad es especialmente patente entre AESIA y AEPD: sus ámbitos (IA vs. privacidad) estarán altamente entrelazados, por lo que un protocolo de actuación conjunta sería recomendable.
2. Definición y alcance de “operadores” del sector público: Si bien la ley abarca a sector público, no especifica si todos los órganos públicos pueden ser sancionados con multa. La práctica en España (por analogía con protección de datos) ha sido no imponer multas pecuniarias a Administraciones, sino apercibirlas. El Anteproyecto no contiene una exención expresa para la Administración (a diferencia del régimen transitorio del art. 77 LOPDGDD 3/2018). Esta omisión podría interpretarse como voluntad de equiparación plena (multas a entes públicos), lo cual puede ser cuestionable por el principio de unidad de tesorería y porque equivaldría a detraer fondos públicos de un bolsillo a otro. Sería conveniente clarificar este punto durante la tramitación: quizás incluyendo una disposición que establezca que, tratándose de entidades del sector público, las infracciones se sancionarán preferentemente con medidas correctivas no pecuniarias, reservando las multas solo para entes de derecho público que operen en mercados en competencia con privados (p.ej. una empresa pública). Esta distinción evitaría ambigüedad sobre si se multará a Ministerios o Ayuntamientos por mala praxis de IA.
3. Ambigüedad en la infracción relativa a IA de riesgo no alto: El art. 5.2.g) del Anteproyecto designa AEPD para sistemas no altos ni prohibidos “cuando puedan incumplir el deber de transparencia u otra obligación aplicable en materia de IA”. Esta redacción es algo vaga: pareciera convertir cualquier sistema de IA “normal” (limitado riesgo) en alto riesgo si incumple obligaciones de transparencia. ¿Cómo “puede incumplir”? ¿Se refiere a que la AEPD actuará cuando detecte que un sistema limitado no respeta transparencia? Sería más claro si se formulara como “la vigilancia del cumplimiento de las obligaciones de transparencia y demás obligaciones del Reglamento para los sistemas de IA no prohibidos ni de alto riesgo” corresponde a AEPD. Además, se podría enumerar expresamente cuáles son esas obligaciones (las del art. 50 del Reglamento, principalmente). Sin esta precisión, podría interpretarse erróneamente que si un sistema limitado incumple transparencia, pasa a ser tratado como alto riesgo (lo cual no es el espíritu de la ley; sigue siendo limitado pero sujeto a sanción por el incumplimiento puntual). Una redacción más clara evitaría interpretaciones confusas.
4. Procedimiento de autorización judicial de identificación biométrica: Aunque se encomienda a los juzgados contencioso-administrativos la autorización de uso de reconocimiento facial en tiempo real, el Anteproyecto no detalla el procedimiento urgente a seguir (recordemos que estas situaciones pueden ser críticas, p. ej. amenaza terrorista inminente). Sería oportuno prever un procedimiento abreviado (similar al de la LO 4/1981 de estados de excepción, salvando distancias, o la Ley de Vigilancia de Comunicaciones) para que el juez de guardia pueda resolver en pocas horas la solicitud policial. La falta de una mención explícita puede generar inseguridad: ¿se tramitará mediante la Ley 29/1998 común? ¿podrá pedirse autorización verbal y ratificación posterior en urgencias extremas? Dado que la eficacia de esta excepción depende de la rapidez, se sugiere que en la tramitación parlamentaria se incorporen pautas procedimentales (p.ej., que se acuda al juez de guardia contencioso, éste resuelva mediante auto en plazo máximo de 24 horas, etc.). Asimismo, debería aclararse el alcance de la autorización: hoy por hoy, el Reglamento exige una autorización “previa” caso por caso. Si surgiera una situación no anticipable con la debida antelación, convendría saber si cabe autorización a posteriori (el Reglamento la permite solo para identificación biométrica diferida con fines de investigación, no para la en tiempo real). Esta cuestión quizás requiera coordinación con Interior y Poder Judicial para su operatividad.
5. Responsabilidad de los developers de código abierto: El AI Act plantea interrogantes sobre el alcance de obligaciones para desarrolladores de IA de código abierto o comunitario. El Anteproyecto no entra en esta casuística; simplemente remite a las definiciones del Reglamento que eximen a quien publique software libre sin destinación comercial específica de ser considerado “proveedor”. Sin embargo, en la práctica, la línea puede ser gris (p. ej., un desarrollador lanza un modelo open source que luego es usado comercialmente por terceros: ¿qué obligaciones recaen sobre él?). Hubiera sido útil una orientación en la Memoria o en la propia Ley sobre cómo abordará la autoridad estos supuestos, para dar seguridad jurídica a la comunidad de IA abierta. La ausencia de mención puede generar ambigüedad hasta que la doctrina europea (o el futuro Tribunal de Justicia de la UE) clarifique cómo encajan los proyectos open source en la regulación. Mientras tanto, convendría que AESIA emitiera guía al respecto al iniciar su funcionamiento.
6. Régimen transitorio y entrada en vigor escalonada: El Reglamento (UE) 2024/1689 prevé una vacatio legis larga y aplicación escalonada de ciertos artículos (algunas prohibiciones entran a los 6 meses de entrada en vigor, otras obligaciones a los 24 meses, etc.)​es.wikipedia.org. El Anteproyecto no menciona nada sobre plazos de aplicación, pero obviamente su eficacia sancionadora no podrá adelantarse a la de las obligaciones europeas. Esta sincronización puede inducir a error a operadores si no se comunica bien. Sería prudente que en la disposición final que entre en vigor la ley simultáneamente al Reglamento (principios de 2025 para prohibiciones, mediados de 2025 en general), o al menos que las autoridades garanticen que no se sancionará ningún hecho anterior a la exigibilidad efectiva de la norma UE. Esto no es tanto una incongruencia del texto, sino un riesgo de falta de claridad temporal. Una mención expresa a la coordinación de vigencia con el Reglamento despejaría dudas.
7. Articulación con legislación nacional existente: España ya tiene ciertas normas tangenciales en vigor, como la Carta de Derechos Digitales (instrumento no vinculante pero referencial) o la mencionada regulación en LOPDGDD sobre explicabilidad de algoritmos públicos. También la Ley 40/2015 establece requisitos para sistemas automatizados en AA.PP. El Anteproyecto apenas los menciona (alude a LOPDGDD en la exposición​), pero no integra cómo convivirán. Podría generarse solapamiento: por ejemplo, la LOPDGDD reconoce al ciudadano derecho a no ser sometido a decisiones automatizadas con efectos jurídicos sin intervención humana (similar al art. 22 GDPR). ¿Qué pasa si un sistema de IA de alto riesgo cumple con la Ley de IA pero vulnera ese precepto (por no haber intervención humana en la decisión)? ¿Prevalece uno u otro? En principio, se deben cumplir ambos. La Administración deberá armonizar estos regímenes, asegurando que la implementación de IA no viole los derechos digitales ya reconocidos. Quizá haría falta un refuerzo expreso en el Anteproyecto indicando que sus disposiciones se entienden sin perjuicio del cumplimiento de la normativa de protección de datos y garantía de derechos digitales (aunque es obvio, su recordatorio normativo evitaría visiones aisladas de cada normativa).
8. Carga para PYMEs y efecto innovador: Si bien el Anteproyecto contempla la posibilidad de requerimiento previo sin multa para pymes, podría argumentarse que la gran cantidad de obligaciones técnicas (derivadas del AI Act) es difícil de cumplir para startups o desarrolladores pequeños. No es propiamente una incongruencia legal, pero sí un posible problema práctico: ¿habrá suficientes mecanismos de apoyo para que PYMEs puedan certificar sus IA de alto riesgo? ¿Se habilitarán fondos o programas para ayudarles a costear evaluaciones de conformidad? La Memoria menciona que se ha procurado simplificar trámites para no generar costes administrativos innecesarios​, pero en la práctica la certificación de un sistema de IA puede ser costosa. La ausencia de medidas concretas aquí puede entorpecer la innovación nacional frente a grandes empresas multinacionales con más medios. Es un aspecto a vigilar: la implementación de sandboxes e incubadoras con apoyo regulatorio será crucial para mitigar este efecto.

En resumen, si bien el Anteproyecto es técnicamente sólido en general, convendría afinarlo en los puntos anteriores para evitar interpretaciones contradictorias y para facilitar su efectividad. Muchas de estas cuestiones podrán resolverse en el trámite parlamentario mediante enmiendas o, posteriormente, con reglamentos y guías administrativas. No obstante, identificarlas desde ahora permite anticipar soluciones.

V. Propuestas de mejora concretas

Derivado del análisis anterior, se sugieren las siguientes propuestas de mejora al texto del Anteproyecto, con el fin de reforzar su claridad, coherencia y eficacia práctica:

1. Fortalecer la coordinación institucional: Incluir en la Ley (quizá en las disposiciones adicionales) la creación de un órgano colegiado de coordinación de las autoridades de vigilancia del mercado de IA, presidido por AESIA e integrado por representantes de AEPD, CNMV, BdE, DGSFP, CGPJ, JEC, etc. Este órgano podría emitir directrices comunes, resolver conflictos de competencia e incluso actuar como “ventanilla única” para determinadas investigaciones que abarquen múltiples ámbitos. Alternativamente o complementariamente, establecer que AESIA ejercerá funciones de coordinación y, en caso de concurrencia de competencias, asumirá el liderazgo de la actuación inspectora, recabando la participación de las autoridades sectoriales pertinentes. Esto evitaría duplicidades y lagunas.

2. Clarificar el régimen sancionador para el Sector Público: Añadir un inciso indicando que, tratándose de autoridades u organismos públicos, las sanciones pecuniarias se sustituirán por apercibimientos o declaraciones de infracción, imponiendo en su caso las medidas correctivas necesarias, salvo que concurran circunstancias excepcionales de negligencia grave o reincidencia que justifiquen multa. Esta excepción podría inspirarse en el régimen de protección de datos. Así se mantiene la eficacia disuasoria (nadie quiere una declaración de infracción en el BOE) sin incurrir en circularidad financiera. En paralelo, prever que cuando la infractora sea una Administración, el órgano competente para exigir responsabilidad disciplinaria a los funcionarios implicados sea informado (generando accountability interna).

3. Precisar la redacción del art. 5.2.g): Reformular la letra g) del apartado 2 del artículo de designación de autoridades, para que diga por ejemplo: “Los sistemas de IA no comprendidos en las letras anteriores (ni prohibidos ni de alto riesgo) en lo relativo al cumplimiento de las obligaciones de transparencia y demás deberes establecidos por el Reglamento (UE) 2024/1689.” De esta forma se delimita claramente el alcance: AEPD supervisará que los sistemas de IA de riesgo limitado cumplan los arts. 50 (transparencia) y otras obligaciones aplicables (p.ej., si mañana se aprueban códigos de conducta voluntarios para IA limitadas, etc.). Con esto también se evitaría la interpretación de que se trata de “sistemas que puedan incumplir”, lo cual sonaba indeterminado.

4. Detallar el Procedimiento de autorización de reconocimiento facial: Incorporar un nuevo artículo (o en el mismo Cap. III) describiendo el proceso: quién puede solicitar (autoridad competente de las FCSE con rango mínimo X), ante qué juzgado (contencioso del lugar, o central), plazos de resolución y forma (auto motivado), posibilidad de medidas de urgencia. Incluir también la obligación de informar a AESIA de las autorizaciones concedidas y sus resultados, para control ex post (esto ayudaría a transparencia y a evaluar la necesidad real de estas excepciones).

Asimismo, se podría exigir que cada autorización defina límites precisos (duración máxima, área geográfica concreta, personas objetivo determinadas) conforme ya sugiere el Reglamento​, y que cumplido el objetivo se cese inmediatamente el uso del sistema. Estas garantías añadidas en la ley reforzarían su legitimidad ante posibles cuestionamientos constitucionales (pues afectan al derecho a la privacidad en espacios públicos).

5. Mención expresa a la protección de datos y otros derechos: Para alinear marcos normativos, añadir una disposición tipo: “Lo dispuesto en esta Ley se aplicará complementariamente al régimen general de protección de datos personales y garantías de los derechos digitales, sin perjuicio de las obligaciones y derechos establecidos en el RGPD, la LOPDGDD y demás normas sectoriales. En caso de decisiones automatizadas que afecten negativamente a personas, las mismas deberán respetar, además de esta Ley, el derecho de los interesados a la intervención humana, a expresar su punto de vista y a impugnar la decisión, según la normativa aplicable«.

Con esto se integra el art. 22 RGPD/ art. 13 LOPDGDD en el ecosistema de IA, recordando a los operadores que no solo deben pensar en cumplimiento del AI Act, sino también en la protección de datos y otros derechos (antidiscriminación, igualdad –por ejemplo, cumplimiento de la Ley 11/2003 de igualdad de trato si un algoritmo discrimina–).

6. Apoyo a PYMEs y formación: Si bien quizás exceda el ámbito de la Ley formal, podría añadirse una disposición final instando al Gobierno a desarrollar programas de asistencia técnica a PYMEs para la adaptación a la Ley de IA. Por ejemplo, la creación de una ventanilla en AESIA para asesorar a startups, la financiación parcial de evaluaciones de conformidad para pequeñas empresas innovadoras, etc. También se debería prever la formación de funcionarios y jueces: el Anteproyecto podría mandatar a INAP, Consejo General del Poder Judicial y otros órganos a incluir módulos sobre IA y su regulación en los planes formativos. Invertir en capacitación garantizará una aplicación homogénea y eficaz.

7. Transparencia y participación pública continua: Proponer que AESIA establezca un registro público de sistemas de IA de alto riesgo desplegados en España (complementario al registro europeo), y un informe anual al Parlamento sobre el estado de la IA (número de infracciones detectadas, sectores con más incidencias, recomendaciones de mejora regulatoria). Este feedback loop legislativo puede ayudar a ajustar la normativa con el tiempo. La referencia en la Memoria a publicar informes periódicos de cumplimiento va en esa línea; sería conveniente plasmarlo como obligación legal de rendición de cuentas de AESIA.

8. Mejora técnica en sanciones: Simplificar, en la medida de lo posible, la enumeración de infracciones para hacerla más digerible, tal vez agrupando por obligaciones fundamentales en lugar de listar artículo por artículo del Reglamento. Esto, sin embargo, puede ser difícil por el mandato de tipicidad. No obstante, se puede acompañar de un anexo aclaratorio o guías orientativas sectoriales para que operadores sepan exactamente qué conductas (ejemplos prácticos) constituyen infracción leve, grave o muy grave. Por ejemplo, incluir en la exposición que el uso de un sistema prohibido sin autorización es muy grave; que no notificar un incidente grave a la autoridad lo es también; que no atender un requerimiento de información de AESIA es leve, etc., en lenguaje llano. La actual lista es exhaustiva pero muy técnica, lo que puede complicar su comprensión a no expertos.

Estas mejoras, de adoptarse, podrían afinar el Anteproyecto dotándolo de mayor seguridad jurídica y facilitando su aplicación sin detrimento de su esencia. Muchas son de matiz y no alteran el alineamiento con el Reglamento (UE) 2024/1689, por lo que son viables en la fase de enmiendas o mediante desarrollo reglamentario.

VI. Derecho comparado: Anteproyecto vs. Reglamento (UE) 2024/1689 y otras legislaciones europeas

1. Relación con el Reglamento (UE) 2024/1689 (AI Act). El Anteproyecto español se configura principalmente como ley de complemento y ejecución del Reglamento europeo. Dado que este es un Reglamento y por tanto directamente aplicable, España no está “transponiendo” (como sería con una Directiva) sino desarrollando aspectos que el AI Act deja a los Estados miembros. Entre ellos, el artículo 99 del Reglamento que obliga a fijar régimen sancionador nacional, y los artículos 28, 70 y 71 que obligan a designar autoridades nacionales y punto de contacto. También el artículo 5.2 del Reglamento que exige a cada Estado que, si quiere habilitar la excepción de reconocimiento facial en vivo, lo haga mediante ley. En todos esos puntos el Anteproyecto actúa diligentemente: establece sanciones e infracciones detalladas​, designa la autoridad notificante y las de vigilancia y regula el procedimiento de autorización de la práctica prohibida (art. 5.1.h, recon. facial)​.

En cuanto al contenido material, la Ley española no repite los requisitos técnicos del Reglamento para no incurrir en duplicidad (lo cual es correcto, pues el Reglamento tiene primacía). Sin embargo, al tipificar infracciones, incorpora por referencia esos requisitos: por ejemplo, define como infracción que un proveedor no cumpla el art. 16 del Reglamento (obligaciones generales de proveedor), o que un usuario no cumpla el art. 29, etc. Por tanto, Reglamento y Anteproyecto deben leerse conjuntamente: el primero establece las obligaciones sustantivas y el segundo establece qué pasa si no las cumples (multas) y qué autoridades lo controlan. Esta técnica de “remisión normativa” es visible en numerosos artículos (v.gr., infracción leve de un importador es no conservar documentación conforme art. 23.5 del Reglamento​.

El Anteproyecto no se aparta del Reglamento, sino que se mantiene dentro del margen permitido. De hecho, en algunos casos adopta literalmente el texto europeo. Hay, no obstante, pequeños matices diferenciadores:

• Graduación de sanciones: El Reglamento da máximos (“hasta 30 M€ o 6%”; “hasta 20 M€ o 4%”; “hasta 10 M€ o 2%”). España opta por intervalos y ligeramente eleva algún porcentaje máximo (7% para muy graves en prohibiciones)​. Esto es aceptable siempre que se mantenga proporcionalidad; posiblemente busca equiparar la multa máxima de 40 M€ para grandes empresas, alineándola con cifras de otras normativas (la DSA fija hasta 6% del volumen de negocio global para incumplimientos muy graves en plataformas).
• Aprovechamiento de flexibilidades: El Reglamento preveía la posibilidad de medidas de apoyo a innovación (sandboxes voluntarios). El Anteproyecto hace uso de ello dando base a sandboxes controlados en territorio nacional​. España así muestra voluntad de ser un hub de pruebas de IA. Otros países lo harán vía programas ministeriales, pero España lo incorpora a la ley.
• Excepción de seguridad pública: No todos los países quizás vayan a autorizar el reconocimiento facial en vivo. España lo hace (cautelosamente) mediante este Anteproyecto. Francia, por ejemplo, inicialmente era reticente pero ha estudiado su empleo en eventos como París 2024; Alemania es más reacia a su uso generalizado. España toma una postura intermedia, permitiéndolo solo judicialmente y por causas graves. Esto es un ejercicio de soberanía que el Reglamento le concede: cada país decide en su territorio si jamás permitirá esos sistemas o si los permite bajo control. España opta por permitirlos bajo control judicial, similar a Italia, que ha aprobado moratorias hasta tener un marco legal.
• Autoridades de derechos fundamentales (art. 77 AI Act): El Reglamento requiere publicar una lista de autoridades encargadas de derechos fundamentales en IA (como igualdad, no discriminación, privacidad). España, con la distribución hecha, implícitamente asigna esa labor a varias: AEPD para privacidad, Consejo General del Poder Judicial para justicia, Junta Electoral para derechos políticos, etc. Otros países tal vez nombren a sus Defensores del Pueblo o agencias antidiscriminación. España no menciona su instituto de igualdad o discapacidad, por ejemplo, como autoridad en IA. Pudiera ser pertinente incluirlos (el Consejo para la Eliminación de la Discriminación Racial, o la Oficina de Atención a la Discapacidad), pues IA sesgadas pueden vulnerar derechos de minorías. No obstante, las autoridades de vigilancia designadas deberán cooperar con dichas entidades especializadas en derechos (art. 77.2 AI Act lo fomenta). En esto, España debería vigilar no dejar resquicios: quizás se podría notificar a la Comisión que la AEPD actuará también como garante de no discriminación algorítmica en su ámbito, o similar.
• Temporalidad y aplicación anticipada: El Reglamento da opción a Estados de aplicar ciertas disposiciones antes de la fecha general (por ejemplo, designar autoridades antes de agosto 2025, efectuar nombramientos). España, con este Anteproyecto, se adelanta y muestra preparación temprana. Esto es positivo comparativamente: en el entorno europeo, Malta ya designó autoridades; otros 11 países tienen borradores legislativos (Italia, Finlandia, etc.)​. España está en el grupo de vanguardia al haber creado AESIA en 2023 y tramitar esta ley en 2024-25, lo que le permitirá estar lista en plazo. Esto la coloca en buena posición para influir en la aplicación inicial de la normativa europea.

En general, el AI Act es de armonización máxima en muchos aspectos (no deja regular más estrictamente los sistemas de bajo riesgo, por ejemplo)​. El Anteproyecto respeta esa armonización: no impone exigencias nuevas a IA de escaso riesgo fuera de las ya dispuestas (transparencia). Tampoco crea categorías de riesgo nuevas. Se limita a implementar lo previsto. Por tanto, podemos concluir que no hay contradicción entre el Anteproyecto y el Reglamento UE; más bien, hay complementariedad.

Las referencias constantes en el texto español a artículos concretos del Reglamento así lo evidencian​. Jurídicamente, esto es correcto: la supremacía del Derecho de la UE implicará que cualquier conflicto se resuelva a favor del Reglamento, pero no se vislumbran conflictos explícitos, sino solapamientos intencionales para aplicar la norma.

2. Comparativa con otras legislaciones europeas nacionales: Dado que el Reglamento es reciente, la mayoría de Estados miembros están en etapas similares a la española, preparando su legislación de adaptación. No existen aún leyes nacionales integrales de IA (de hecho, España sería pionera en aprobar una “Ley de IA” nacional). No obstante, algunos países han tomado medidas legislativas sectoriales o preparatorias relevantes:

• Francia: Aunque Francia no tiene una ley general de IA, sí ha incorporado en normativas sectoriales preexistentes elementos sobre algoritmos. Por ejemplo, la Ley para una República Digital (2016) impuso a las administraciones francesas la obligación de publicar los criterios de sus algoritmos administrativos que toman decisiones individuales (similar al art. 13 LOPDGDD español). Asimismo, la CNIL francesa ha publicado guías sobre IA y ética, y existe un think tank (“Piloto IA Act”) para la implementación. Francia abogó en negociaciones europeas por un enfoque menos duro con los modelos generativos, pero finalmente asumió el compromiso europeo. Seguramente designará a la CNIL como supervisora de aspectos de derechos fundamentales, y a autoridades sectoriales (ARCOM, ARCEP en comunicaciones) para otros. El Anteproyecto español, al repartir en muchos entes, contrasta con la probable tendencia francesa a centralizar más (quizá creen un Comité Interministerial de IA). También Francia tiene una Alta Autoridad de Transparencia Algorítmica en el sector audiovisual (CSA) que podría asumir competencias sobre algoritmos de plataformas audiovisuales. En cualquier caso, por ahora España parece llevar ventaja regulatoria material.
• Alemania: Alemania tampoco tiene ley específica aún, pero su estrategia de IA y su marco constitucional centrado en la dignidad humana la hacen especialmente cuidadosa. Es de esperar que Alemania confíe la supervisión a agencias ya existentes: por ejemplo, la autoridad federal de seguridad informática (BSI) para certificación (dado que en la propuesta de la Comisión, se hablaba de BSI como organismo notificante potencial), la Agencia Federal de Redes o Cartel para IA en plataformas, etc. El Anteproyecto español crea una agencia nueva (AESIA), mientras que Alemania podría reciclar estructuras. Esto refleja culturas administrativas distintas: España opta por una Agencia especializada, Alemania suele repartir competencias en sus Bundesländer y autoridades federales sectoriales. No obstante, es interesante que Alemania propuso en las negociaciones reducir obligaciones para IA de propósito general, en conjunción con Francia e Italia​, lo que sugiere que internamente querrán un enfoque pro-innovación. España, en su Anteproyecto, no establece alivios específicos para IA general, manteniendo lo pactado en la norma UE.
• Italia: Italia ha sido de los primeros en designar intenciones legislativas: un borrador de mayo 2024 (antes de la adopción final del AI Act) asignaba a la Agencia de Ciberseguridad Nacional la función de supervisión de mercado de IA, y a la Agencia para Italia Digital la de autoridad notificante​. Esto indica una preferencia por órganos ya existentes (la Agencia de Ciberseguridad es joven pero operativa). Italia ha tenido incidentes notables, como la orden de su Garante de Privacidad para bloquear ChatGPT temporalmente hasta que cumpliera ciertas exigencias de transparencia y base legal. Esa actuación, aunque bajo GDPR, demostró que las autoridades italianas están dispuestas a intervenir frente a IA generativa. España no ha tenido un caso similar, pero con el Anteproyecto, la AEPD (o AESIA) tendría base para intervenir si un servicio tipo ChatGPT infringiera la obligación de indicar que es una máquina o no implementara controles de edad (como le pidió Italia). En ese sentido, la coordinación hispano-italiana puede ser relevante en IA, dado el peso de la AEPD española y el Garante italiano en protección de datos (ambos seguramente serán actores de primera línea en el futuro Comité Europeo de IA).
• Reino Unido (fuera de la UE, pero relevante): UK optó por no seguir un AI Act centralizado; su enfoque son guidelines éticas y regulación sectorial flexible. España, al seguir el AI Act, adopta un enfoque más regulatorio. Esto puede tener pros (mayor protección de derechos) y contras (posible divergencia con UK y otros competidores en ritmo de innovación). Sin embargo, dado que el AI Act será estándar en la UE, España no tiene mucho margen distinto.
• Otros países de la UE: Países Bajos ha creado un órgano de asesoramiento algorítmico (Autoriteit persoonsgegevens en conjunción con universidad), pero no legislación específica aún. Países nórdicos como Finlandia ya definieron modelo descentralizado (10 autoridades)​, en contraposición a España (1 agencia + multiagencia). Esta comparativa muestra que España ha optado por aprovechar su AEPD y reguladores sectoriales robustos, en vez de relegarlos. Finlandia integró IA en cada regulador sectorial. Ambos modelos tienen méritos; la clave será coordinación.

En síntesis comparativa, España, con este Anteproyecto, se sitúa en la vanguardia regulatoria nacional sobre IA en la UE, creando una de las primeras leyes integrales para implementar el AI Act.

El contenido está en línea con el Reglamento (lo cual era obligado, dada su carácter directamente aplicable), y refleja las mismas categorías de riesgo: riesgo inaceptable prohibido (salvo excepción art.5.h, tratada igual), alto riesgo (objeto de sanción si no cumplen requisitos), riesgo limitado con transparencia (objeto de sanción si no se informa adecuadamente)​, riesgo mínimo sin cargas. Este paralelismo se ilustra claramente en la propia comunicación de la Comisión con su pirámide de riesgos​, que España adopta sin desviaciones.

Donde España aporta especificidad es en la estructura institucional y en enfatizar la protección de derechos ya existentes (como datos personales). También incluye particularidades como la cláusula pymes de clemencia, que no está en el Reglamento pero es coherente con su art. 71 (que invita a considerar tamaño de empresa). De hecho, el AI Act menciona a las pymes en sus considerandos como destinatarias de un trato facilitador (sandboxes, códigos voluntarios)​, y España lo aterriza con el régimen de apercibimiento.

Por último, es interesante notar que la influencia del RGPD es notable: la Memoria indica que muchos criterios sancionadores son casi idénticos a los del RGPD​, buscando aprovechar jurisprudencia y experiencia acumulada en protección de datos. Así, España pretende repetir el efecto “GDPR” en IA: una regulación fuerte que sirva de estándar de confianza. No en vano, el Consilium destaca que la Ley de IA podría convertirse en un estándar global como lo fue GDPR​ y España, adoptándola fielmente, se alinea con ese movimiento.

VII. Conclusión

El Anteproyecto de Ley para el buen uso y la gobernanza de la IA en España representa un paso decidido para dotar al país de un marco jurídico sólido en materia de inteligencia artificial, plenamente armonizado con la nueva regulación europea. Los puntos clave analizados —objeto y alcance, gobernanza multinivel con creación de AESIA, transparencia algorítmica obligatoria (con impacto en plataformas digitales como YouTube, blogs y redes sociales), controles específicos sobre IA de alto riesgo y prohibiciones, y un régimen sancionador estratificado— demuestran un enfoque integral: se busca tanto fomentar una IA confiable e innovadora como prevenir y sancionar sus posibles abusos o desviaciones.

La Administración Pública emerge con una doble responsabilidad: adaptarse internamente a estas exigencias (siendo ejemplar en su uso de IA) y ejercer externamente su poder regulador para proteger a la ciudadanía frente a algoritmos opacos o lesivos.

Si bien el texto es técnicamente detallado y ambicioso, hemos identificado algunas áreas donde conviene perfeccionar la certeza jurídica y la operatividad práctica —desde la coordinación entre autoridades hasta la clarificación de procedimientos y la coherencia con otras normas—.

Las propuestas de mejora ofrecidas pretenden robustecer el Anteproyecto en esos aspectos, facilitando su futura aplicación sin menoscabo de su rigor. Del mismo modo, el análisis comparado evidencia que España se sitúa a la par de sus socios europeos punteros en esta materia, sin desviarse del común denominador establecido por el Reglamento (UE) 2024/1689, e incluso anticipando soluciones (v.gr. la Agencia AESIA ya establecida) que otros países aún tienen en preparación.

En lenguaje jurídico-técnico, podemos concluir que el Anteproyecto es necesario, adecuado y proporcionado para garantizar un desarrollo de la IA conforme al ordenamiento jurídico y a los valores constitucionales. Necesario, porque sin esta norma quedarían vacíos en la aplicación nacional del AI Act (por ejemplo, sin autoridad designada no habría quién vigile, sin régimen sancionador no habría cómo disuadir incumplimientos). Adecuado, porque articula mecanismos idóneos —supervisión especializada, sanciones graduales, autorizaciones judiciales en casos límite— orientados a la finalidad perseguida (uso ético y seguro de la IA).

Y proporcionado, porque equilibra la carga regulatoria con medidas de apoyo (sandboxes, flexibilidad para pymes)​, al tiempo que impone restricciones solo allí donde el riesgo lo amerita (prohibiendo usos claramente inaceptables que atentan contra derechos fundamentales​

En definitiva, esta Ley de IA situará a España en la senda correcta para afrontar la revolución tecnológica de la inteligencia artificial con garantías jurídicas y confianza social. Su aprobación y futura aplicación requerirán, no obstante, un seguimiento estrecho, una dotación adecuada de medios a las entidades implicadas y una continua colaboración con el sector privado y la sociedad civil, pues la materia —altamente técnica y en rápida evolución— demandará probablemente ajustes y aprendizajes sobre la marcha.

Con las mejoras sugeridas incorporadas, el marco normativo resultante podrá servir de referencia e incluso de modelo para otros Estados de nuestro entorno, contribuyendo a un ecosistema europeo de IA seguro, transparente, humanista y orientado al bien común, que es en última instancia el objetivo declarado tanto de la regulación europea como de este Anteproyecto​​

Fuentes y referencias legales:

• Anteproyecto de Ley para el buen uso y la gobernanza de la Inteligencia Artificial (España, 2024), arts. 1 a 37 (en exposición pública).
• Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, Ley de IA de la UE, particularmente arts. 3, 5, 28, 50, 65, 70, 77, 99​.
• Memoria de Análisis de Impacto Normativo del Anteproyecto (extractos)​.
• Documentos comparativos y notas de implementación de la Ley de IA de la UE en Estados miembros (ArtificialIntelligenceAct.eu, 2024)​artificialintelligenceact.eu​.
• Exposición de Motivos del Anteproyecto (referencias a directrices OCDE 2019/2024, Estrategia Nacional de IA 2020, etc.)​.
• Legislación española relacionada: Ley 40/2015 (art. 13 sobre sistemas automatizados en la Admón.), LO 3/2018 (arts. 13-14 y 82 y ss.), etc., citada en Anteproyecto.
• Material divulgativo institucional: “Shaping Europe’s Digital Future – AI Act” (Comisión Europea, 2024)​digital-strategy.ec.europa.eu​digital-strategy.ec.europa.eu; “Artificial Intelligence Act – Consilium Q&A” (Consejo UE, 2024)​consilium.europa.eu​.