Se ha abierto el plazo de enmiendas: https://www.congreso.es/public_oficiales/L15/CONG/BOCG/A/BOCG-15-A-97-1.PDF

0 - Qué hace la ley

Aterrizar en España el Reglamento europeo AIAct
La norma se aplica a proveedores, desplegadores, importadores, distribuidores, fabricantes que incorporen IA, representantes de proveedores no europeos, organismos notificados y también al sector público cuando actúe como operador de IA.

Lo más relevante desde la perspectiva de Xnet

POSITIVO

1 - Transparencia y deepfakes
Algo que llevábamos tiempo pidiendo (ver nuestro libro #FakeYou): será infracción grave no etiquetar correctamente imágenes, audios o vídeos generados o manipulados con IA que muestren a personas reales o inexistentes diciendo o haciendo cosas que no hicieron, es decir, deepfakes. Deben identificarse como generados por IA de manera clara y distinguible desde la primera interacción o exposición. Tanto cuando una persona interactúa con un sistema de IA como cuando se generan contenidos sintéticos de audio, imagen, vídeo o texto que deben estar marcados para detectar su naturaleza artificial.

2 - Prohibiciones
La ley recoge las prácticas prohibidas del Reglamento europeo: manipulación subliminal, explotación de vulnerabilidades, puntuación social, clasificación biométrica sensible, predicción policial basada solo en perfiles, inferencia emocional en trabajo/educación, etc.

3 - Sanciones fuertes al sector privado
Sanciones fuertes para el sector privado, que pueden alcanzar los 35 millones de euros o el 7% del volumen de negocio mundial, además de medidas como la retirada del producto, la desconexión del sistema de IA o su prohibición en casos graves.

NEGATIVO

4 - La ley es más de sanción y vigilancia que de derechos ciudadanos.
Habla de derechos fundamentales, transparencia y supervisión, pero el articulado está centrado en autoridades, competencias, procedimientos y multas. Falta una arquitectura clara de derechos ejercibles por la ciudadanía: derecho a saber cuándo una administración usa IA, derecho a explicación comprensible, auditoría pública, trazabilidad accesible, impugnación efectiva y acceso a documentación técnica cuando afecte a derechos.

5 - El sector público no ofrece garantías de cumplimiento.
Se excluyen multas administrativas (artículo 39), lo cual está bien porque las pagamos todas. Se deja el cumplimiento en manos de apercibimientos, medidas correctoras y eventual disciplina interna. Pero entonces no hay garantías que eviten abusos: incluso cuando constan requerimientos o informes previos no atendidos, el texto indica que se evita explicitamente individualizar responsabilidades personales. Esto debilita gravemente la rendición de cuentas ante abusos algorítmicos públicos.
Desde Xnet, debería reforzarse la responsabilidad efectiva: publicación obligatoria de infracciones, responsabilidad de altos cargos, reparación a personas afectadas, suspensión automática del sistema cuando haya riesgo grave, y no solo “corregir efectos”.

6 - Falta perspectiva de infraestructura pública democrática.
Falta una obligación fuerte de software libre / código auditable en IA pública.
El texto no blinda la soberanía digital y que los sistemas de IA usados por el sector público sean de código abierto, reutilizables o auditables por defecto. Desde Xnet, este es probablemente el hueco central: si la IA afecta a derechos, procesos democráticos, educación, servicios esenciales, empleo o justicia, la trazabilidad no debería depender de proveedores opacos. Habría que introducir obligaciones de contratación pública: evitar dependencia de Big Tech, cláusulas de portabilidad, soberanía de datos, evaluación de impacto antes de comprar, publicación de modelos de riesgo y preferencia por soluciones abiertas y auditables, software libre, estándares abiertos, documentación pública, logs auditables y transparencia algorítmica al menos para todo sistema de IA público o financiado con fondos públicos, con excepciones tasadas y motivadas o la ciudadanía seguirá dependiendo de cajas negras públicas o privatizadas.

7 - Inventario de IA pública muy insuficiente
El proyecto introduce otra petición prioritaria para las organizaciones que defendemos los derechos digitales: un inventario de sistemas de IA del sector público estatal. Es positivo en principio: las entidades del sector público estatal deberán ofrecer información actualizada sobre el uso de IA y registrar sistemas que intervengan en procedimientos administrativos electrónicos. Es un avance, pero queda limitado, lleno de excepciones (art.12) y sin garantías fuertes de auditoría pública, acceso ciudadano, explicación comprensible, código auditable ni trazabilidad completa.

8 - Autoridades fragmentadas y posible captura sectorial.
Gobernanza: quién controla
- La AESIA queda como punto de contacto único y autoridad general para muchos sistemas, incluidos alto riesgo en educación, empleo, infraestructuras críticas, servicios esenciales , procesos electorales y obligaciones de transparencia cuando no haya otra autoridad específica.
- La AEPD supervisa prácticas prohibidas y sistemas de alto riesgo en biometría, fuerzas de seguridad, fronteras, migración y asilo.
- El Banco de España, la CNMV y la Dirección General de Seguros vigilan usos financieros, solvencia, seguros de vida y salud.
- El CGPJ supervisa IA en justicia.

Este reparto puede generar desigualdad de criterios, conflictos de competencia y supervisores demasiado próximos a los sectores regulados.
Riesgo: que la gobernanza derive en una capa de certificadores, sandboxes y organismos técnicos poco transparentes, con fuerte dependencia sectorial, en vez de una auditoría pública, abierta y democrática.

Además el proyecto obliga a cada entidad del sector público estatal a designar un delegado de IA, con funciones de políticas internas, cumplimiento de estándares y asesoramiento en evaluaciones de impacto, incluyendo sesgo discriminatorio y derechos fundamentales. Con el RGDP ya hemos visto que solo funciona en contados casos y muchas veces son retiros dorados y pozos de incompetencia.

9 - Riesgo de biometría policial normalizada por excepción.
Un punto muy sensible es que no prohíbe de forma absoluta el reconocimiento biométrico remoto en tiempo real en espacios públicos porque así lo hace el AIAct. Excepciones: búsqueda de víctimas de secuestro, trata o explotación sexual, personas desaparecidas, amenaza grave e inminente para la vida o seguridad, atentado terrorista, o localización de sospechosos de delitos graves. Cada uso requiere autorización judicial, debe referirse a personas concretas y temporalmente.
Pero hay una excepción de urgencia: puede iniciarse antes de la autorización judicial, siempre que luego se justifique; la solicitud debe resolverse en 48 horas y el silencio es desestimatorio. Es necesaria una posición más garantista: informes públicos detallados, control parlamentario, publicación de estadísticas, auditorías independientes y obligación de evaluar sesgos y falsos positivos antes y después de cada uso.