El Consejo de Ministros ha aprobado hoy el proyecto de ley para un uso ético, inclusivo y beneficioso de la inteligencia artificial (IA), que pretende poner orden en la aplicación práctica de estas tecnologías y herramientas. La normativa adapta a nuestra legislación lo establecido en el Reglamento Europeo de Inteligencia Artificial, acordado por las instituciones comunitarias el 8 de diciembre de 2023 y aprobado por el Parlamento Europeo el 13 de marzo del año pasado, desde una perspectiva “humanista y garantista”, según la ministra portavoz, Elma Saiz.
“Es un debate que afecta al presente y al futuro de todo”, ha asegurado después el ministro de Transformación Digital y de la Función Pública, Óscar López. Esta ley orgánica establece responsabilidad para los proveedores de IA y para quienes incorporen esos sistemas. Así, si una empresa despliega un sistema prohibido en la UE, la responsabilidad legal no solo la tiene quien la despliega, sino también quien la usa, según fuentes del ministerio. La ley fija también la obligatoriedad de supervisión humana de los modelos, “algo que está en el corazón de todos los debates”, dijo el ministro.
El texto de la ley incorpora al ordenamiento jurídico español las sanciones por incumplimiento que prevé el Reglamento Europeo, que oscilan entre los 6.000 euros en los casos leves (no cooperar con la autoridad o falta de corrección de la información aportada) y los 35 millones y/o el 7% de la facturación mundial en los casos muy graves (usos prohibidos de la IA). Una de las novedades de la ley, que no estaba inicialmente prevista en la normativa europea, es la prohibición de los deepfakes, o vídeos hiperrealistas, de carácter sexual y de la generación o alteración de pornografía infantil con IA. La UE acordó este mes la introducción de esta enmienda, propuesta por España, en el texto simplificado de la normativa digital en la que trabaja Bruselas. Los deepfakes no sexuales seguirán siendo legales, pero deberán ir marcados “de manera clara y distinguible a más tardar con ocasión de la primera interacción o exposición”, según establece la norma europea.
Etiquetado de contenidos IA
Este etiquetado deberá empezar a aplicarse a partir del próximo 2 de agosto. ¿Cómo debe realizarse exactamente? Según fuentes del ministerio, en las imágenes sintéticas deberá verse en alguna de las esquinas las letras AI (siglas inglesas de inteligencia artificial). En el caso de los vídeos, deberá ser visible en todo momento esa misma marca de agua. En cuanto a los audios, se deberá mostrar ese sello en la aplicación que los distribuya (por ejemplo, Spotify) o incorporar una advertencia de audio.
¿Quién controlará que se cumpla? La gestión y tratamiento de datos biométricos será responsabilidad de la Agencia Española de Protección de Datos (AEPD), aunque los sistemas de IA que puedan afectara la aplicación de la justicia serán competencia del Consejo General del Poder Judicial.
El resto de casos los estudiará la Aesia. Con sede en A Coruña, el organismo está dirigido por Alberto Gago y planea contar antes de acabar el año con 50 analistas, que deberán revisar la adecuación de distintas aplicaciones de IA a la normativa. Hasta el momento, la Aesia no ha encontrado que en España opere ningún sistema de los calificados como prohibidos.
Transparencia de los algoritmos, responsabilidad de los directivos y protección de los menores son, ha insistido López, asuntos troncales de esta norma. “Es un debate civilizatorio, de avanzar o retroceder”, insistió el ministro. “Cuando hablamos de un modelo de IA confiable, que proteja los derechos de los ciudadanos, somos el país más avanzado del mundo”, aseguró López, antes de enumerar las iniciativas del Gobierno en este ámbito.
“Por eso es muy de agradecer una visión como la que el Papa trasladó ayer”, dijo López en referencia a la primera encíclica de León XIV. “Una visión que proteja los derechos humanos, con la que nos sentimos plenamente identificados”, aseguró el ministro al presentar esta ley, en contraposición a “los grandes tecnoligarcas”, que están “en contra de la regulación, de la protección de datos y de la protección de los menores”.
De camino a Roma y al encuentro con el Papa, una convicción compartida: o ponemos el progreso al servicio de las personas, o el futuro será la condena de generaciones enteras.
La encíclica ‘Magnifica Humanitas’ de León XIV nos interpela a todos. La IA no es neutral, y el poder…
— Pedro Sánchez (@sanchezcastejon) May 26, 2026
El proyecto de ley, que llega al Consejo de Ministros un año después de presentarse el anteproyecto y tras someterlo a un periodo de alegaciones y de información pública, debe iniciar ahora su tramitación parlamentaria. El objetivo es que obtenga la luz verde final antes de diciembre de 2027, fecha hasta la que se ha prorrogado la aplicación de la mayoría de las disposiciones del Reglamento Europeo de IA entrarán en vigor. El etiquetado de contenidos sintéticos, sin embargo, será obligatorio a partir del 2 de agosto, aunque, cuando eso no suceda, no se podrá sancionar a la empresa responsable (eso sucederá a partir del momento en que entre en vigor la ley).
Adaptación del marco europeo
El Reglamento Europeo de IA, considerado el más avanzado del mundo en este asunto, clasifica las distintas aplicaciones de IA en función del riesgo que implica su uso y establece distintos requisitos y obligaciones. Estos van desde el uso sin restricciones (por ejemplo, un filtro de spam o un recomendador de contenidos) hasta la prohibición total. Estos casos, más graves, se refieren a aquellas aplicaciones “que trasciendan la conciencia de una persona o técnicas deliberadamente manipuladoras”, las que exploten sus vulnerabilidades o las que infieran emociones, raza u opiniones políticas de las personas.
Entre ambos extremos se sitúan las llamadas tecnologías de “alto riesgo”, sujetas a una supervisión permanente. Esas son las que monitoriza la Aesia. Se encuadran en esta categoría los sistemas de identificación biométrica remota, los sistemas de categorización biométrica o el reconocimiento de emociones. También los sistemas que afecten a la seguridad de las infraestructuras críticas y los relacionados con la educación (evaluación de comportamientos, sistemas de admisión y exámenes), el empleo (selección de personal) y la prestación de servicios públicos esenciales, la aplicación de la ley o la gestión de la migración.
El Reglamento establece también que se deberán realizar informes periódicos para actualizar esta clasificación, de manera que, cuando surjan nuevas aplicaciones no contempladas en el documento, se determine en qué categoría se encuadran (uso sin restricciones, uso sujeto a restricciones o prohibición).
Eso mismo pasó, por ejemplo, con la IA generativa, la tecnología que está detrás de herramientas como ChatGPT: su irrupción se produjo cuando la negociación del reglamento estaba ya muy avanzada. Se discutió si hacer mención específica de ella o no. Finalmente, se incluyó y se estableció que los llamados modelos fundacionales tendrán que cumplir criterios de transparencia, como especificar si un texto, una canción o una fotografía se han generado a través de IA, así como garantizar que los datos que se han empleado para entrenar a los sistemas respetan los derechos de autor.
Sin multas a la Administración
Uno de los aspectos de la ley más criticados durante la fase de consultas es el hecho de que el régimen sancionador previsto no afecta a la Administración. El reglamento deja a la discreción de cada Estado miembro establecer qué tipo de sanciones aplican en ese caso. En España, la ley aprobada hoy solo prevé “amonestaciones”, “apercibimientos” y “actuaciones disciplinarias”. Es decir, un mal uso por parte de la Policía de una tecnología prohibida, como los sistemas de identificación biométrica remota en tiempo real, solo comportaría un toque de atención, frente a las multas de hasta 35 millones de euros que se impondrían a una empresa privada.
El texto de la ley aproabada hoy no incorpora novedades en este sentido: seguirá sin haber multas para la Administración en caso de que se exceda en el uso de sistemas peligrosos.