El Gobierno obligará a las empresas a etiquetar los contenidos de IA, con sanciones elevadas si no lo hacen

El Consejo de Ministros ha dado luz verde este martes al anteproyecto de ley que adaptará el ordenamiento jurídico español a la normativa europea sobre inteligencia artificial (IA), y que pretende facilitar que los usuarios puedan diferenciar fácilmente los contenidos que son reales de los que son virtuales, además de evitar el uso perverso de esta tecnología.

Estos sistemas deberán cumplir una serie de obligaciones y, en caso de incumplimiento, se exponen a sanciones en función de su gravedad. Por ejemplo, las infracciones muy graves se castigan con multas de entre los 7,5 y los 15 millones de euros o hasta el 2% y el 3% del volumen de negocio mundial del ejercicio anterior; y las graves, entre 500.000 euros y 7,5 millones de euros o entre el 1% y el 2% del volumen de negocio mundial.

Óscar López, ministro de Transformación Digital y Función Pública, ha indicado que el anteproyecto de ley, que se tramitará por la vía de urgencia, seguirá ahora los trámites preceptivos antes de volver al Consejo de Ministros para su aprobación definitiva como proyecto de ley y su envío a las Cortes para que den luz verde a la norma.

Además, incorpora un nuevo derecho digital de retirada provisional del mercado español de sistemas de IA por la autoridad de vigilancia competente cuando hayan provocado un incidente grave.

Una norma de importante cabecera

Como destaca Moisés Barrio, letrado del Consejo de Estado, experto internacional en Derecho Digital y director del posgrado en LegalTech y transformación digital de la Universidad Complutense de Madrid, la denominada ‘ley sobre inteligencia artificial’ se promulgó como Reglamento de la Unión Europea. De conformidad con el artículo 288 del TFUE, el reglamento tendrá un alcance general; y será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Por eso, “estimo que el anteproyecto será la norma de cabecera de la regulación de la IA en España y deberá aportar seguridad jurídica, fomentar el desarrollo responsable de la IA y reforzar la competitividad digital de nuestro país con una regulación equilibrada y proporcionada”.

Moisés Barrio cree que cuando esta normativa se apruebe será clave en el desarrollo de la IA en nuestro país. (Imagen: cesión propia)

En su opinión, “la aplicabilidad directa del reglamento no priva a los Estados miembros de toda capacidad normativa sobre la materia regulada. Antes bien, están obligados —dijo el Consejo de Estado en su dictamen n.º 757/2017, de 26 de octubre—, a adaptar los ordenamientos nacionales para garantizar que aquella cualidad se haga efectiva”.

Así este experto destaca que “en primer lugar, el legislador nacional puede promulgar normas que queden fuera del ámbito de aplicación material del RIA. Durante el proceso legislativo se incluyeron numerosos ámbitos excluidos en el artículo 2 RIA, por ejemplo, el RIA no se aplica a los sistemas de IA exclusivamente con fines militares, de defensa o de seguridad nacional”.

En segundo lugar, más relevantes en la práctica que las exenciones del ámbito de aplicación mencionadas antes, “son las cláusulas de remisión al Derecho nacional expresamente previstas en algunos lugares del RIA. La más importante es el establecimiento de un régimen sancionador”, comenta Barrio. “A tenor del artículo 99.1 del RIA, los Estados miembros también disponen de un relevante margen de maniobra a la hora de establecer sanciones y otras medidas de ejecución, como advertencias o medidas no pecuniarias, para las infracciones del RIA. Además, los Estados miembros están obligados a adoptar disposiciones sobre la imposición de multas a las autoridades y organismos públicos y a garantizar las garantías procesales adecuadas al imponer multas. Precisamente a cumplir este mandato obedece una parte muy importante del anteproyecto”, subraya este experto.

Como tercer elemento, hay que tener en cuenta que la clasificación de riesgos según el RIA no contiene ninguna declaración sobre la legalidad del uso de un sistema de IA al margen de las disposiciones del Reglamento. El uso de un sistema que haya sido clasificado como sistema de IA de alto riesgo en el RIA no debe interpretarse, según el considerando artículo 63, “como indicador de que su uso sea lícito con arreglo a otros actos del Derecho de la Unión o del Derecho nacional compatible con el Derecho de la Unión”, y cita como ejemplos la protección de los datos personales o la utilización de polígrafos y herramientas similares u otros sistemas para detectar el estado emocional de las personas físicas. “Esto permite a los Estados miembros prohibir el uso de sistemas de IA de alto riesgo a pesar de estar autorizados por el RIA”, indica.

Moisés Barrio recuerda que “en numerosas ocasiones he advertido que el RIA es técnicamente una norma muy compleja. Lo podemos calificar como ‘Reglamento General de IA’, que no agota toda la regulación. El anteproyecto tiene margen para introducir reglas sobre el uso de sistemas de IA, si bien nuestro legislador tiene que asegurarse que las medidas previstas no se solapan con las del RIA”.

“La misma complejidad la encontramos a nivel de autoridades competentes. Además de la AESIA, son competentes la Agencia Española de Protección de Datos (AEPD) en cuanto a la protección de datos, así como en lo relativo a los sistemas de IA de gestión de migraciones y asilo; el Consejo General del Poder Judicial (CGPJ) para sistemas de IA en la Administración de Justicia; la Junta Electoral Central para sistemas de IA en procesos electorales; el Banco de España para sistemas de IA de clasificación de solvencia crediticia; la Dirección General de Seguros y Fondos de Pensiones del Ministerio de Economía, Comercio y Empresa para sistemas IA en seguros; y la Comisión Nacional del Mercado de Valores (CNMV) para sistemas de IA en mercados de capitales”, resalta este jurista.

El Consejo de Ministros ha dado luz verde este martes al anteproyecto de ley sobre la gobernanza de la Inteligencia Artificial (IA), una normativa que busca alinear la legislación nacional con el Reglamento Europeo de IA, que ya está en vigor. (Imagen: archivo)

Una normativa necesaria

Por su parte, Joaquín Muñoz, socio responsable de Commercial y Privacy & Data Protection en Bird & Bird España, cree que esta futura normativa nacional se “ajusta a la voluntad del Gobierno por establecer un marco normativo que garantice un uso beneficioso y responsable de la IA, respondiendo al marco normativo creado por el Reglamento Europeo de IA”. “A falta de conocimiento del texto, comprendo que el anteproyecto de ley intenta calibrar el Derecho español con el Reglamento Europeo de IA, que ya entró en vigor, conjugando un enfoque regulatorio con la inspiración de la innovación”.

“Esta iniciativa es necesaria, ya que reconoce el potencial de la IA para mejorar nuestras vidas en múltiples aspectos. Sin embargo, también subraya la necesidad de una gobernanza adecuada para evitar usos maliciosos que puedan perjudicar a la sociedad”.

En opinión de este experto, “de la nota de prensa emitida se desprende que una de las características más llamativas del anteproyecto es su énfasis en la transparencia. Se espera que las empresas dejen claro cuándo los contenidos publicados han sido producidos por IA. Entiendo que esto es algo especialmente relevante en algunos ámbitos como son el ámbito de la publicidad o la generación de contenidos”.

“Este tipo de medidas son cruciales para mantener la confianza del público y garantizar que los consumidores estén plenamente informados sobre la naturaleza del contenido que consumen. Además, el anteproyecto propone limitar el uso excesivo de la IA para fines poco éticos, lo cual es un desafío considerable dado el rápido avance de la tecnología y su adopción en diversos sectores”, comenta Muñoz.

A su juicio, “el anteproyecto también trata sobre la falta de creación de un entorno de pruebas controlado, o sandbox de IA, para incentivar la innovación y aliviar la cumplimiento de la regulación por parte de los proveedores de IA. Iniciativa que ya se lanzó hace algunos meses dado que España se adelantó a la obligación europea de creación de estos sandboxes”.

Joaquín Muñoz cree que esta iniciativa es necesaria, ya que reconoce el potencial de la IA para mejorar nuestras vidas en múltiples aspectos, sin embargo, también subraya la necesidad de una gobernanza adecuada. (Imagen: Bird & Bird)

“Es también importante destacar que regular el uso ético de la tecnología por parte de las empresas es una tarea compleja. La ética es un concepto intrínsecamente subjetivo y puede variar significativamente entre diferentes culturas y contextos. Por lo tanto, aunque el anteproyecto de ley establece un marco para la transparencia y la limitación de usos poco éticos de la IA, su implementación y efectividad dependerán en gran medida de la cooperación y el compromiso de las empresas”, subraya el socio de Bird & Bird España.

En su opinión, “además, habrá que esperar a conocer el texto completo del anteproyecto para evaluar en detalle sus implicaciones y cómo se alineará con el Reglamento Europeo de IA”. “Este Reglamento ya recoge limitaciones para algunos de los usos dañinos de la IA y obligaciones más rigurosas para sistemas clasificados como de alto riesgo, por ejemplo, prohíbe el uso de técnicas subliminales para afectar decisiones sin consentimiento y la manipulación de vulnerabilidades conexas a la edad o discapacidad”.

Al mismo tiempo ese jurista recuerda que “también establece penas significativas para las infracciones, que pueden ir desde los 7,5 hasta los 35 millones de euros, o desde el 2% hasta el 7% del volumen de negocio mundial del ejercicio anterior, régimen sancionador que el mencionado anteproyecto busca aterrizar y armonizar al régimen administrativo sancionador español”.

Régimen sancionador importante

Daniel López, socio del área de Tecnología, Medios y Telecomunicaciones y Protección de datos y Privacidad de ECIJA, destaca que “a raíz de la información facilitada tras el Consejo de Ministros y, pendientes de conocer el texto del anteproyecto, nos encontramos ante un paso más en el proceso de regulación de la inteligencia artificial en el ámbito nacional, partiendo del marco europeo tras la vigencia del Reglamento de IA”.

“Entre los aspectos que hemos venido conociendo, cabe resaltar la clarificación en relación con la aplicación de sanciones. A modo de ejemplo, sobre las prácticas prohibidas y de riesgo alto, viene a recoger los porcentajes sobre volumen de negocio y cuantías, así como la minoración para el caso de las PYMES”, indica López.

Daniel López advierte que, adicionalmente, se procede a introducir el Derecho Digital de retirada provisional del mercado de aquellos sistemas de IA que hayan podido provocar incidentes graves. (Imagen: ECIJA)

Este abogado señala que “en el ámbito sancionatorio, en el anteproyecto se contemplan sanciones específicas para la difusión de contenido generado con IA sin la debida identificación (deepfakes), con el fin de mitigar los riesgos de desinformación y manipulación”.

“También se procede a definir claramente las autoridades competentes para vigilar el correcto cumplimiento normativo, concretamente la Agencia Española de Protección de Datos, el Consejo General del Poder Judicial, la Junta Electoral Central (para sistemas que IA que afecten a procesos democráticos), y la Agencia Española de Supervisión de la Inteligencia Artificial en el resto de los casos. En todos estos casos, será fundamental ver los mecanismos de coordinación que se establezcan y la necesaria colaboración y criterios de las mismas”, revela.

Daniel López señala que, “adicionalmente, se procede a introducir el Derecho Digital de retirada provisional del mercado de aquellos sistemas de IA que hayan podido provocar incidentes graves (daños irreversibles a personas o infraestructuras). Un derecho que viene a reforzar la protección de los usuarios y, por tanto, la observancia de las entidades afectadas, junto con la supervisión de las autoridades citadas”.

“Finalmente, entre los aspectos reseñables, no puede obviarse la creación de sandboxes regulatorios, posibilitando a las empresas poder avanzar en la experimentación con sistemas de IA en condiciones controladas, con el fin de fomentar la innovación en entornos seguros, garantizando el cumplimiento tanto de la normativa sobre IA como de aquella otra con incidencia en la materia (a modo de ejemplo, protección de datos, ciberseguridad o propiedad intelectual)”, destaca.

Este sandbox español es pionero en Europa en cuanto a su implementación (Imagen: E&J)

Este experto revela que “sentado lo anterior, habrá que esperar a conocer el anteproyecto y su tramitación parlamentaria para poder concluir si el mismo viene a aportar una mayor seguridad jurídica, como se desprende lo que hemos conocido, o, por el contrario, podemos encontrarnos en determinados aspectos ante un exceso de regulación que dificulte su aplicación práctica”.

Desde su punto de vista, “así, estamos ante una nueva revolución en todos los ámbitos que cambia la forma en la que nos relacionamos, hacemos negocios, producimos, etc.; con un impacto en todas las áreas del Derecho, con una necesidad de adecuarse, redefinir procesos e, incluso, el entendimiento de los propios modelos de negocio”.

“Aspectos que ponen de manifiesto la imperiosa necesidad de contar con una norma que regule el presente, pero que esté preparada para el futuro (teniendo en cuenta que está evolucionando a gran velocidad), respetando derechos y posibilitando el crecimiento empresarial”, indica este socio de ECIJA.

Por último, López advierte que “queda por ver cómo se van a ir abordando otros aspectos cruciales de la IA, como es la ética en la definición y adopción de casos de uso y el impacto en el ámbito de las responsabilidades que pueda llevar aparejada”.