Table of Contents
El Consejo de Ministros ha aprobado este martes el anteproyecto de ley de gobernanza de la inteligencia artificial (IA), que -según indica- «busca garantizar un uso de la inteligencia artificial que sea ético, inclusivo y beneficioso para las personas». Este instrumento normativo adaptará la legislación española al reglamento europeo de IA, ya en vigor, incluyendo multas para las grandes plataformas y empresas que van desde los 7,5 y los 35 millones de euros, o entre el 2% y el 7% del volumen de negocio mundial del ejercicio anterior, salvo en el caso de pymes, donde podrá ser la menor de las dos cuantías.
Entre las prácticas que están prohibidas se encuentra el uso de técnicas subliminales (imágenes o sonidos imperceptibles) para manipular decisiones sin consentimiento, causando un perjuicio considerable a la persona (adicciones, violencia de género o menoscabo de su autonomía), como por ejemplo un chatbot que identifica usuarios con adicción al juego y les incita a entrar, con técnicas subliminales, en una plataforma de juego online.
La ley de inteligencia artificial también penalizará explotar vulnerabilidades relacionadas con la edad, la discapacidad o situación socioeconómica para alterar sustancialmente comportamientos de modo que les provoque o pueda provocar perjuicios considerables, como un juguete infantil habilitado con IA que anima a los niños a completar retos que les producen o pueden producirles daños físicos graves; o la clasificación biométrica de las personas por raza u orientación política, religiosa o sexual, como un sistema de categorización facial biométrica capaz de deducir la orientación política o sexual de un individuo mediante análisis de sus fotos en redes sociales.
Entidades supervisoras
También estará penalizada la puntuación de individuos o grupos basándose en comportamientos sociales o rasgos personales como método de selección para, por ejemplo, denegarles la concesión de subvenciones o préstamos; valorar el riesgo de que una persona cometa un delito basándose en datos personales como su historial familiar, nivel educativo o lugar de residencia, con excepciones legales; o inferir emociones en centros de trabajo o educativos como método de evaluación para promoción o despido laboral, salvo por razones médicas o de seguridad.
Las autoridades encargadas de vigilar los sistemas prohibidos serán la Agencia Española de Protección de Datos (para sistemas biométricos y gestión de fronteras); el Consejo General del Poder Judicial (para sistemas de IA en el ámbito de la justicia), la Junta Electoral Central (para sistemas que IA que afecten a procesos electorales) y la Agencia Española de Supervisión de la inteligencia artificial (AESIA) en el resto de los casos.
La nueva ley clasifica además los sistemas de inteligencia artificial como de alto riesgo, como los que puedan añadirse como elementos de seguridad a productos industriales (máquinas, ascensores, sistemas de protección-EPIS, equipos a presión o aparatos a gas), juguetes, equipos radioeléctricos, productos sanitarios incluyendo diagnósticos in vitro, productos de transportes (aviación, ferrocarril, equipos marinos y vehículos a motor de dos y tres ruedas y agrícolas, embarcaciones y transporte por cable).
Inteligencia artificial
También incluirá sistemas que formen parte de los siguientes ámbitos: biometría, infraestructuras críticas, educación y formación profesional, empleo, acceso a servicios privados esenciales (como servicios crediticios o de seguros) y a servicios y prestaciones públicos esenciales (como servicios de emergencias o triajes) y disfrute de estos servicios y prestaciones; sistemas para la garantía del derecho, migración, asilo y gestión del control fronterizo o sistemas para su uso en la administración de justicia y en procesos electorales.
Estos sistemas deberán cumplir una serie de obligaciones, como disponer de un sistema de gestión de riesgos y de supervisión humana, documentación técnica, una gobernanza de datos, conservación de registros, transparencia y comunicación de información a los responsables del despliegue, sistema de calidad, etc. En caso de incumplimiento, se exponen a sanciones en función de su gravedad.
Por ejemplo, se entenderá como una infracción muy grave de la ley de inteligencia artificial cuando el operador de un sistema de IA no comunica un incidente grave (como la muerte de una persona, un daño que haya comprometido una infraestructura crítica o un daño al medio ambiente), o cuando incumpla las órdenes de una autoridad de vigilancia de mercado. Las sanciones en este caso oscilarán entre los 7,5 y los 15 millones de euros o hasta el 2% y el 3% del volumen de negocio mundial del ejercicio anterior.
Infracciones graves
Ejemplos de infracciones graves son el no introducir supervisión humana en un sistema de IA que incorpore la biometría en el trabajo para controlar la presencialidad de los trabajadores o no disponer de un sistema de gestión de calidad en robots con IA que desarrollan las tareas de inspección y mantenimiento en sectores industriales, entre otros. Las sanciones oscilarán en estos casos entre 500.000 euros y 7,5 millones de euros o entre el 1% y el 2% del volumen de negocio mundial.
También se considerará como una infracción grave en la ley de inteligencia artificial, no cumplir con la obligación de etiquetar correctamente cualquier imagen, audio o vídeo generado o manipulado con IA y que muestren a personas reales o inexistentes diciendo o haciendo cosas que nunca han hecho o en lugares donde nunca han estado, lo que constituye una ultrasuplantación (deepfake). Estos contenidos deberán identificarse como contenidos generados por IA «de manera clara y distinguible a más tardar con ocasión de la primera interacción o exposición», tal y como especifica el reglamento europeo. Se considerarán infracciones leves no incorporar el marcado CE en el sistema de IA de alto riesgo o, cuando no sea posible, en su embalaje o en la documentación que lo acompañe, para indicar la conformidad con el Reglamento de IA.
Las autoridades encargadas de vigilar los sistemas de alto riesgo serán las que por defecto ya estén supervisando al sector afectado cuando se trate de productos sujetos a legislación armonizada. Adicionalmente, serán competentes la Agencia Española de Protección de Datos (para sistemas de gestión de migraciones y asilo asociados a las Fuerzas y Cuerpos de Seguridad del Estado); el CGPJ para sistemas de IA en administración de justicia y la Junta Electoral Central (para sistemas de procesos electorales); el Banco de España para sistemas de clasificación de solvencia crediticia; la Dirección General de Seguros (para sistemas de seguros) y la CNMV para sistemas de mercados de capitales. En el resto de los casos, la autoridad competente será la AESIA.
