¿QUE NOS TRAE EL RECIENTE ANTEPROYECTO DE LEY PARA EL BUEN USO Y LA GOBERNANZA DE LA INTELIGENCIA ARTIFICIAL EN ESPAÑA?
España sigue dando avances decididos respecto a la regulación interna que debe aprobarse en relación a la Inteligencia Artificial, adecuando el reciente Anteproyecto de Ley para el buen uso y la gobernanza de la Inteligencia Artificial, al Reglamento europeo de IA, estableciendo un marco nacional alineado con los niveles de riesgo y obligaciones definidos por la UE. Este Proyecto aun se encuentra en procedimiento de aprobación pero contiene aspectos sumamentes interesantes en materia de IA.
Bâsicamente, este Anteproyecto tiene los siguientes relevantes aspectos:
1. Establece un semáforo que permitan identificar e informar al usuario que el origen es “artificial”, cuyo incumplimiento es considerado infracción grave. De hecho, los deepfakes (ultrafalsificaciones) se equiparan a usos de “alto riesgo” y su difusión sin etiquetar conllevará sanciones severas.
2. Esta Ley establecería el régimen jurídico sancionador aplicable a los sistemas de IA introducidos, puestos en servicio, comercializados o en pruebas en condiciones reales, en territorio español (extraterritorialidad), por incumplimientos del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, entre otros. Asimismo, regula el régimen jurídico de autorización de uso de los sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho; es decir, se prohíbe la identificación biométrica masiva en espacios públicos (salvo excepciones muy delimitadas, como investigaciones policiales específicas).
3. Se establece una gobernanza clara en materia de vigilancia y supervisión, con funciones claramente delimitadas entre las distintas entidades involucradas, cada una en materia de sus competencias. Asi pues, en el Art. 6 del Anteproyecto, que trata de las “Autoridades de vigilancia del mercado”, (i) se designa a la Agencia Española de Supervisión de Inteligencia Artificial como Punto de contacto único de acuerdo con lo establecido en el artículo 70.2 del Reglamento (UE) 2024/1689, de 13 de junio, y como autoridad de vigilancia del mercado de determinados sistemas de IA; (ii) se designa a la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, como autoridades de vigilancia del mercado de determinados sistemas de IA; asi como también, (iii) se designa al Banco de España y a la Comisión Nacional de Mercados y Valores (CNMV); la Dirección General de Seguros y Fondos de Pensiones; la Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial; y, la Junta Electoral Central. Es decir, no debiera existir conflicto de competencias cuando las funciones han sido claramente delimitadas. Asi mismo, se consolida las funciones claves que corresponden a la Agencia Española de Supervisión de Inteligencia Artificial.
4. Prácticas prohibidas: Siguiendo el enfoque europeo, el Art. 10 del anteproyecto identifica y prohíbe ciertos usos de la IA por considerarlos contrarios a los derechos fundamentales. Asi pues, (i) queda prohibido la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA cuya práctica se defina como prohibida según lo recogido en el artículo 5.1[2] del Reglamento (UE) 2024/1689, asi como, (ii) queda prohibida la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA de identificación biométrica remota «en tiempo real» en espacios de acceso público.
5. Sistemas de alto riesgo: El Anteproyecto cataloga aplicaciones de IA de alto riesgo (en línea con la clasificación de la UE) y establece obligaciones para sus desarrolladores y usuarios. Estos sistemas deberán cumplir requisitos estrictos de seguridad, transparencia y supervisión humana. El incumplimiento de las normas para IA de alto riesgo también conllevará sanciones importantes.
6. Régimen sancionador y supervisión: En el Artículo 13 del Anteproyecto se clasifican las infracciones de carácter administrativo, en muy graves, graves o leves. Las sanciones podrán llegar hasta 35 millones de euros o desde el 2% hasta el 7% del volumen de negocio mundial correspondiente al ejercicio anterior, si este límite superior fuese mayor que el anterior, en casos de usos prohibidos de IA. En las infracciones muy graves por prácticas de IA prohibidas y en las infracciones en que un sistema de IA haya causado un incidente grave, la sanción impondrá adicionalmente la retirada del producto o la desconexión o prohibición del sistema de IA, en el ámbito territorial de la autoridad de vigilancia del mercado sancionadora.
Resulta relevante lo considerado en el Artículo 31 del Proyecto, relativo a la Prescripción: (i) Las infracciones leves prescribirán al año, las graves a los tres años y las muy graves a los cinco años, y (ii) El plazo de prescripción de las infracciones comenzará a contarse desde el día en que la infracción se hubiera cometido.
7. Sin duda, uno de los aspectos mas relevantes es lo considerado respecto a la “reparación del daño e indemnización” en el Art. 34 del Proyecto. En efecto, se consigna que sin perjuicio de la sanción que se pudiera imponer, el infractor quedará obligado a la reposición de la situación alterada por el mismo a su estado originario, así como a la indemnización de los daños y perjuicios causados, que podrán ser determinados por la autoridad competente, debiendo, en este caso, comunicarse al infractor para su satisfacción en el plazo que al efecto se determine. Cuando los daños fueran de difícil evaluación, para fijar la indemnización se tendrán en cuenta el coste teórico de la restitución y reposición, y el valor de los bienes o derechos dañados, debiendo aplicarse el que proporcione el mayor valor. Este particular será interesante monitorear cuando se apruebe y ejecute en los hechos, asi como, la responsabilidad que se traslada a las personas jurídicas que son sucesoras de una persona juridica sancionada. Interesante.
¿COMO VA EL MARCO REGULATORIO DE LA IA EN EL PERU -LEY 31814—Y SU PROYECTO DE REGLAMENTO?
Recordemos que Perú aprobó en 2023 su primera ley en materia de inteligencia artificial: la Ley N.º 31814, Ley que promueve el uso de la IA en favor del desarrollo económico y social del país. Publicada el 5 de julio de 2023, esta norma establece las bases para impulsar la IA en el contexto de la transformación digital peruana, priorizando a la persona y el respeto de los derechos humanos. Si bien se ha publicado el Proyecto de Reglamento de esta Ley (R.M. N° 132-2024-PCM) a la fecha, éste no ha sido aprobado.
En el artículo 1, de esta Ley, se indica que su objeto es fomentar el desarrollo y uso de la IA para el beneficio económico-social “en un entorno seguro que garantice su uso ético, sostenible, transparente, replicable y responsable”. Estos principios –ética, sostenibilidad, transparencia, replicabilidad y responsabilidad– marcan un enfoque humanista similar al europeo, aunque la ley peruana enfatiza la promoción de la IA como motor de desarrollo.
Veamos sus principales aspectos:
1. Declaración de interés nacional: La norma declara de interés nacionalel aprovechamiento de las tecnologías emergentes (incluida la IA) para mejorar servicios públicos, educación, salud, justicia, seguridad ciudadana y otras actividades sociales y económicas. Es decir, reconoce la importancia estratégica de la IA para el bienestar general y la modernización del Estado.
2. Autoridad nacional de IA: La ley designa a la Presidencia del Consejo de Ministros (PCM), a través de su Secretaría de Gobierno y Transformación Digital, como la autoridad encargada de dirigir, evaluar y supervisar el uso y desarrollo de la IA en el país. Esta entidad tiene un rol rector y normativo, responsable de promover e impulsar la IA en coordinación con las políticas de transformación digital. Entre sus funciones están: fomentar la adopción de IA como herramienta de bienestar, formar talento humano en IA, fortalecer infraestructura digital y de datos, emitir lineamientos éticos para un uso responsable, y articular un ecosistema de IA a nivel nacional e internacional.
3. Principios y enfoque ético: Si bien la ley en sí no detalla categorías de riesgo ni prohibiciones específicas, sí pone un fuerte acento en principios rectores. La persona humana es el centro y se busca que la IA se desarrolle respetando derechos fundamentales, similar a los valores que inspiran la regulación española.
4. Proyecto de Reglamento 2024: En mayo de 2024, la PCM publicó el Proyecto de Reglamento de la Ley 31814para consulta pública, evidenciando una clara influencia de los marcos internacionales en su contenido. Este borrador de reglamento propone clasificar los sistemas de IA por niveles de riesgo (inaceptable, alto, medio y bajo), tomando como criterio su posible impacto en el trato equitativo, la transparencia y los derechos fundamentales. Este proyecto SI sigue la tendencia del Reglamento europeo de IA, donde ciertos usos de riesgo inaceptable serían prohibidos y los de alto riesgo sometidos a controles. El problema es que este Reglamento ES el que debiera haber sido LEY, por lo que suponemos, que la demora en su aprobación es que excede largamente a la Ley que pretende normar.
5. Gobernanza: Mientras España está creando una institucionalidad específica para hacer cumplir la regulación de IA: una agencia especializada (AESIA) y roles distribuidos a entes con competencias afines (protección de datos, justicia, autoridad electoral); Perú, en cambio, ha asignado la rectoría de IA a un órgano existente que es una Secretaría dentro de un Ministerio (la PCM), que es de carácter más político y coordinador que sancionador. No se ha creado una agencia técnica independiente con recursos suficientes y enforcement sólo para IA. La creación de organismos especializados en Perú podría ser una oportunidad futura.
6. Retos pendientes: Perú podría adoptar los principios y categorías de riesgo similares a los europeos, que se encuentran dentro de las mejores prácticas internacionales. Esto facilitaría la interoperabilidad legal y tecnológica, beneficiando la colaboración con empresas e instituciones extranjeras en materia de IA. Debe asumir el desafío.
[1] Maestrando en la IE University (Sede Madrid) actualmente.
[2] El Art. 5 del Reglamento (UE) 2024/1689, trata sobre la prohibición absoluta de prácticas de IA, tales como, (i) técnicas subliminales o manipuladoras o engañosas con el objetivo de distorsionar una decisión, (ii) explotación de vulnerabilidades, debido a su edad, discapacidad o de una situación social o económica específica; entre otras.
Por: Ing. María José Rodríguez[1]
Jefa de Transformación Digital – Nakagawa Consultores Regulatorios
administración@nakagawa.pe
