La inteligencia artificial avanza a un ritmo vertiginoso, pero su gobernanza no puede quedarse atrás. Mientras el Reglamento Europeo de IA establece el marco general desde agosto de 2024, su aplicación efectiva en España depende de una pieza clave: la futura Ley para el buen uso y la gobernanza de la inteligencia artificial, cuyo proyecto de ley acaba de recibir luz verde del Consejo de Ministros. Los expertos consultados por ComputerWorld coinciden en que esta norma no es un mero trámite, sino un instrumento indispensable para que las empresas y administraciones públicas puedan operar con seguridad jurídica.

¿Por qué es necesaria una ley nacional?

El Reglamento Europeo de IA, aunque directamente aplicable, deja en manos de cada Estado miembro la designación de autoridades de vigilancia y la definición del régimen sancionador. En España, la futura ley orgánica cubre exactamente ese vacío. Como señala Miguel Recio, presidente de la asociación APEP·IA, “la Ley es necesaria para poder aplicar el Reglamento de IA”. Sin ella, las empresas españolas carecerían de un marco claro sobre qué organismo supervisa el cumplimiento y a qué sanciones se enfrentan en caso de infracción.

Moisés Barrio Andrés, letrado del Consejo de Estado y asesor en regulación digital, lo define como un “instrumento jurídico necesario para concretar la gobernanza prevista en el Reglamento Europeo de Inteligencia Artificial de acuerdo con el principio de eficacia”. La norma designa autoridades, delimita competencias, articula mecanismos de coordinación y establece procedimientos de supervisión e inspección. En un país con múltiples niveles administrativos y sectores regulados, esta coordinación es esencial para evitar duplicidades o lagunas legales.

Sanciones de hasta 35 millones y prohibición de deepfakes sexuales

Uno de los aspectos más llamativos de la propuesta es la cuantía de las sanciones: hasta 35 millones de euros para las infracciones más graves. Además, se prohíbe explícitamente el uso de deepfakes de carácter sexual y se regula el marcado de contenidos generados por IA, conocido como ‘watermarking’. Estas medidas buscan proteger derechos fundamentales y garantizar la transparencia en un entorno donde la IA generativa está democratizando la creación de contenido falso.

Rango de ley orgánica: un acierto para los derechos fundamentales

Que la norma tenga rango de ley orgánica no es un detalle menor. Barrio Andrés explica que “únicamente una norma con rango de ley puede tipificar infracciones, graduar sanciones y atribuir competencias sancionadoras conforme a los principios constitucionales de legalidad, proporcionalidad y seguridad jurídica”. Además, al tratarse de una ley orgánica, se garantiza el desarrollo de derechos fundamentales, algo especialmente relevante cuando la IA impacta en ámbitos como la privacidad, la no discriminación o la libertad de expresión.

Recio también valora positivamente este rango, ya que “regula y garantiza el desarrollo de derechos fundamentales”, lo que implica un compromiso con una IA confiable, ética y respetuosa con los derechos humanos. En un contexto donde la gobernanza de la IA en España ya está siendo debatida, este enfoque refuerza la protección del ciudadano frente a posibles abusos tecnológicos.

Retos inminentes: burocracia, transparencia y plazos parlamentarios

A pesar del consenso general sobre la necesidad de la ley, su aplicación práctica no está exenta de desafíos. Las patronales tecnológicas han expresado su preocupación por una posible “sobrerregulación” que imponga a las empresas una carga burocrática excesiva, incluso mayor que la exigida por la Comisión Europea. Además, muchas organizaciones dependen de herramientas comerciales de terceros cuyo código no es completamente transparente, lo que dificulta la auditoría y el cumplimiento normativo.

Barrio Andrés considera que la norma incorpora adecuadamente los contenidos del Reglamento que requieren rango de ley, pero advierte que el principal reto será “la necesidad de aprobar diversas normas reglamentarias de desarrollo”. Esto implica que la ley no será suficiente por sí sola; se necesitarán reglamentos adicionales para concretar aspectos técnicos y procedimentales.

Por su parte, Recio teme que el texto se encalle en las Cortes debido a la compleja aritmética parlamentaria actual. Si la tramitación se demora, el Gobierno podría recurrir a un Real Decreto-ley de urgencia para evitar que España llegue sin marco nacional a las fechas clave: el 2 de agosto de 2025 y el 2 de agosto de 2027, cuando las obligaciones para sistemas de alto riesgo entren en vigor de forma escalonada.

Impacto en empresas y profesionales IT

Para las empresas que desarrollan o utilizan sistemas de IA, esta ley supone un cambio de paradigma. Ya no basta con cumplir el Reglamento Europeo; ahora deben prepararse para auditorías nacionales, designar responsables de cumplimiento y asegurarse de que sus herramientas son auditables. En este sentido, la adopción de paradigmas como Context Lake para agentes de IA puede facilitar la transparencia y el control, pero requerirá inversiones en infraestructura y formación.

Además, la prohibición de deepfakes sexuales y la obligación de marcar contenidos generados por IA afectarán directamente a sectores como el marketing, la producción audiovisual y las redes sociales. Las empresas deberán implementar medidas de seguridad como VPNs y firewalls para proteger sus sistemas de IA, pero también herramientas de detección y etiquetado de contenido sintético.

Por otro lado, la ley abre oportunidades para los profesionales de ciberseguridad y cumplimiento normativo. La necesidad de auditar sistemas de IA, realizar pruebas de penetración y garantizar la ética algorítmica impulsará la demanda de expertos en hacking ético y pruebas de penetración. Asimismo, las empresas que ya han adoptado soluciones en la nube como Microsoft Azure deberán revisar sus configuraciones para alinearse con los nuevos requisitos de gobernanza.

Conclusión: Una ley necesaria, pero con prisa

La futura Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial es, sin duda, un avance significativo para la seguridad jurídica en España. Sin embargo, su éxito dependerá de la rapidez con que se apruebe y de la capacidad de las empresas para adaptarse a un entorno regulatorio cada vez más exigente. Como señalan los expertos, el tiempo corre y los plazos europeos no esperan. La pregunta no es si España tendrá su ley de IA, sino si llegará a tiempo para evitar sanciones y, sobre todo, para construir un ecosistema de IA confiable y competitivo.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.