Volver a página de inicio

El próximo 2 de agosto se alcanzará otro hito del lento proceso de aplicación del Reglamento europeo de inteligencia artificial (LA LEY 16665/2024) (RIA) (1) .

De acuerdo con lo dispuesto en su artículo 113, ese día comenzarán a ser aplicables:

• • La sección 4 (Autoridades notificantes y organismos notificados) del capítulo III (Sistemas de IA de alto riesgo)
• • El capítulo V (Modelos de IA de uso general)
• • El capítulo VII (Gobernanza)
• • El artículo 78 (Confidencialidad) de la sección 3 (Garantía de cumplimiento) del capítulo IX (Vigilancia poscomercialización, intercambio de información y vigilancia del mercado)
• • El capítulo XII (Sanciones), a excepción del artículo 101(Multas a proveedores de modelos de IA de uso general).

Se trata, pues, de un conjunto de medidas, en primer lugar, de carácter organizativo: la sección 4 del capítulo III (arts. 28 a 39 del RIA), regula la forma de designación, las competencias y el funcionamiento de los organismos encargados de la evaluación de conformidad de los sistemas de alto riesgo, a que refiere la letra f) del artículo 16 del RIA (Obligaciones de los proveedores de los sistemas de IA de alto riesgo).

Por su parte, el capítulo VII (arts. 64 a 70), regula los órganos de gobernanza de la IA, tanto a escala de la Unión (Oficina de IA, Comité Europeo de IA, Foro consultivo y Grupo de expertos científicos independientes), como a escala nacional (autoridades nacionales competentes y punto de contacto único).

En relación con el ejercicio de las competencias que pasan a tener atribuidas estos órganos, cabe entender aplicable la obligación de confidencialidad en sus actuaciones a que se refiere el art. 78, y de ahí el comienzo de su aplicabilidad en esa fecha.

Finalmente, en el plano regulatorio de las prácticas de IA, el 2 de agosto comenzará a ser aplicable la regulación de los modelos de IA de uso general prevista por el capítulo V del RIA (arts. 51 a 56), que establece las reglas de clasificación de los modelos de IA de uso general de riesgo sistémico, las obligaciones de los proveedores de estos modelos y los códigos de buenas prácticas que debe elaborar la Comisión europea para facilitar el cumplimiento de esta normativa.

Y en el muy relevante aspecto de las sanciones aplicables por infracciones del RIA, el 2 de agosto comenzarán a ser aplicables los supuestos sancionables y las sanciones aplicables previstas en el capítulo XII de la norma (arts. 99 y 100), con la notable excepción de que la aplicabilidad de las multas específicas impuestas por la Comisión a los proveedores de modelos de IA de uso general (art. 101) se retrasa hasta el 2 de agosto de 2026.

Recordemos que desde el pasado 2 de febrero ya son aplicables los capítulos I y II del RIA, que establecen, el primero, las disposiciones generales del Reglamento, es decir, su objeto, ámbito de aplicación y definiciones, y la obligación de alfabetización en materia de IA y, el segundo, las prácticas de IA prohibidas (2) .

A continuación, presentamos una breve introducción a cada uno de los apartados de la norma que comenzarán a ser aplicables el próximo 2 de agosto.

I. Autoridades notificantes y organismos modificados. El procedimiento de evaluación de conformidad de los sistemas de IA de alto riesgo

Anticipa el Considerando 123 del RIA que a fin de garantizar que los sistemas de IA de alto riesgo sean altamente fiables, estos deben someterse a una evaluación de la conformidad antes de su introducción en el mercado o puesta en servicio.

Esta obligación se traduce en letra f) del art. 16 de la norma que, entre las obligaciones que deben cumplir los proveedores de sistemas de IA de alto riesgo, incluye la de asegurarse «de que los sistemas de IA de alto riesgo sean sometidos al procedimiento pertinente de evaluación de la conformidad a que se refiere el artículo 43 antes de su introducción en el mercado o puesta en servicio».

A estos efectos, el núm. 20 del art. 3 del RIA define la «evaluación de la conformidad» como el proceso por el que se demuestra si un sistema de IA de alto riesgo ha cumplido con los requisitos establecidos en el capítulo III, sección 2, de la norma (3) .

El art. 43 del RIA permite demostrar el cumplimiento de los requisitos anteriormente establecidos para estos sistemas, mediante dos procedimientos: un control interno por parte del proveedor (4) , o una evaluación realizada por un organismo notificado (5) (6) .

Para poder realizar la evaluación por un organismo notificado, el art. 28 del RIA establece que cada Estado miembro nombrará o constituirá al menos una autoridad notificante (7) que será responsable de establecer y llevar a cabo los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad, así como de su supervisión.

A estos efectos, el núm. 21 del RIA define como «organismo de evaluación de la conformidad» al organismo que desempeña actividades de evaluación de la conformidad de terceros, como el ensayo, la certificación y la inspección, y el núm. 22, como «organismo notificado», al organismo de evaluación de la conformidad notificado con arreglo al presente Reglamento y a otros actos pertinentes de la legislación de armonización de la Unión.

Es decir, la necesaria evaluación de conformidad, previa al despliegue o la puesta en servicio de un sistema de IA de alto riesgo, realizada por terceros, se verificará por los organismos de evaluación de conformidad notificados a tal efecto por las autoridades notificantes que deben designar los Estados miembros.

Por tanto, el comienzo de la aplicación de este capítulo del RIA interpela directamente a los Estados miembros, para que, de acuerdo con la sección 4 del capítulo III, procedan al nombramiento o, al menos, a constituir una autoridad (autoridad notificante) responsable de establecer y llevar a cabo los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad de los sistemas de IA de alto riesgo, así como de su supervisión.

Este procedimiento se inicia con la solicitud de acceder a la notificación por parte de un organismo de evaluación (art. 29) y continúa con el procedimiento de notificación (art. 30).

El art. 31 establece los requisitos que deben cumplir los organismos notificados y sus filiales (art. 33), así como sus obligaciones operativas (art. 34), los posibles cambios en las notificaciones (art. 36), el cuestionamiento de su competencia (art. 37) y su coordinación con otros organismos de otros países.

Se establece igualmente que cuando un organismo de evaluación de conformidad demuestre que cumple los requisitos establecidos en la norma armonizada correspondiente, se presumirá que cumple con los requisitos establecidos en el art. 31 (art. 32).

Por lo que a nuestro país se refiere, el art. 4 del Anteproyecto de Ley para el buen uso y gobernanza de la IA, designa a la Secretaría de Estado de Digitalización e IA, a través de la Dirección General de IA, como autoridad notificante a los efectos de lo dispuesto en el art. 28.1 del RIA, como órgano responsable de establecer los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad, así como de su supervisión (8) .

Por ahora, este texto no ha pasado del trámite de anteproyecto, por lo que habrá que aguardar a su evolución durante los próximos meses. Este retraso, en concreto, va a impedir por el momento que en nuestro país puedan expedirse certificados de conformidad de sistemas de IA de alto riesgo, con los efectos que ello pueda tener en la puesta en marcha de nuevos sistemas de IA.

II. Modelos de IA de uso general

El comienzo de la aplicación de este capítulo V, puesto en relación con el art. 2.1, letra a) de la misma norma, implica que, desde el 2 de agosto, los proveedores que introduzcan en el mercado de la Unión modelos de IA de uso general, quedan sujetos a lo dispuesto en el Reglamento, con independencia de si dichos proveedores están establecidos o ubicados en la Unión o en un tercer país.

Se trata, pues, del comienzo de la regulación de los modelos de uso general o, simplificadamente, de los grandes modelos de lenguaje en los que se basan aplicaciones hoy tan populares como ChatGPT 4o, Claude Sonnet 4 o Gemini 2.5 pro.

Coincidiendo con el comienzo de la aplicación de esta normativa, la Comisión Europea ha emitido una serie de documentos muy relevantes para facilitar la comprensión y aplicación de esta regulación. Se trata, como veremos a lo largo de este capítulo, de las directrices para los proveedores de los modelos de IA de uso general, presentadas el pasado 18 de julio; del Código de buenas prácticas, presentado el 10 de julio, y de una plantilla para que los proveedores de modelos de IA de uso general resuman los datos utilizados para entrenar su modelo, facilitando el cumplimiento del deber de transparencia a que se refiere el art. 53,1 d) del RIA. Todos estos documentos deberán ser tenidos muy en cuenta a la hora de estudiar esta normativa y proceder a su aplicación.

Según el número 63 del art. 3, los modelos de IA de uso general son aquellos modelos de IA, incluidos los entrenados con un gran volumen de datos utilizando autosupervisión a gran escala, que presentan un grado considerable de generalidad, que son capaces de realizar de manera competente una gran variedad de tareas distintas, independientemente de la manera en que el modelo se introduzca en el mercado, y que pueden integrarse en diversos sistemas o aplicaciones posteriores (y con excepción de los modelos de IA que se utilizan para actividades de investigación, desarrollo o creación de prototipos antes de su introducción en el mercado) (9) .

Explicado de otra manera, podemos decir que se trata de modelos de aprendizaje profundo (Deep learning), programados para funcionar con una comprensión contextual general de los patrones, las estructuras y las representaciones contenidas en los datos con los que han sido entrenados, de forma que se pueden ajustar para realizar tareas específicas en casi cualquier sector. De esta manera, los modelos de IA se pueden utilizar para una variedad de objetivos, desde el reconocimiento de imágenes y videos al procesamiento del lenguaje natural (PLN), incluyendo la detección de anomalías, los sistemas de recomendación, el modelado predictivo, la robótica y sistemas de control (10) .

Como indica el Cdo. 99, los grandes modelos de IA generativa (como los grandes modelos de lenguaje o LLM, base de desarrollos hoy bien conocidos, como ChatGPT (OpenAI), Gemini (Google) o Claude (Anthropic), son un ejemplo típico de un modelo de IA de uso general, ya que permiten la generación flexible de contenidos en formato de texto, audio, imágenes o vídeo, que pueden adaptarse fácilmente a una amplia gama de tareas diferenciadas.

Por ello, en la práctica, estamos ante la que probablemente es y va a ser la tecnología de IA más utilizada y relevante a nivel mundial durante los próximos años (11) .

Y por ello también el Reglamento de IA (LA LEY 16665/2024) les dedica una amplia atención, que incluye la definición de los modelos y sistemas de uso general, la inclusión de una categoría de modelos considerada de riesgo sistémico, a la que se imponen particulares obligaciones para proteger los derechos de las personas frente a su uso, y una categoría específica de sanciones para la infracción de las disposiciones anteriores (12) .

Sin embargo, la introducción tardía de estos modelos en el Reglamento, hizo que la sistemática de su regulación resulte muy defectuosa. En lugar de una establecerla de forma unitaria, en un único, capítulo, los modelos y sistemas de uso general se encuentran, en primer lugar, en el Capítulo V del RIA, en cuyos artículos 51 a 56, se introducen las reglas para su clasificación como sistemas con riesgo sistémico, además de las obligaciones de los proveedores de los modelos de IA de uso general y sus representantes y las obligaciones de los proveedores de modelos de uso general con riesgo sistémico, así como los códigos de buenas prácticas que deben contribuir a la correcta aplicación del Reglamento, en relación con las obligaciones de los proveedores de dichos sistemas.

Este capítulo es el que comenzará a ser aplicable el próximo día 2 de agosto.

Por su parte, en la sección 5 del Capítulo IX, relativa a la supervisión, investigación, cumplimiento y seguimiento específicos de los proveedores de los modelos de IA de uso general (arts. 88 a 94), del bloque relativo al seguimiento posterior a la comercialización de estos modelos, se introducen normas relativas al cumplimiento de las obligaciones de los proveedores de modelos de IA de uso general, las medidas de seguimiento, la potestad del grupo de expertos científicos para proporcionar alertas sobre los riesgos sistémicos que pueden plantear estos modelos (13) (art. 90 y Cdo. 163 RIA), los poderes de la Comisión para solicitar documentación e información al respecto, realizar evaluaciones y solicitar la adopción de medidas, así como las garantías procesales de los operadores económicos del modelo de IA de uso general.

Sin embargo, ese importante capítulo del Reglamento no comenzará a ser aplicable hasta el 2 de agosto de 2026, lo que genera una laguna de un año desde el momento de la directa aplicación del capítulo V sobre los modelos de IA de propósito general y los mecanismos de supervisión, investigación, cumplimiento y seguimiento respecto de los proveedores de esos modelos.

Aunque sólo el tiempo permitirá apreciar los efectos de esa falta de posibilidad de control sobre una tecnología que avanza a tanta velocidad, la clave para evitar males mayores podría estar, como se ha señalado (14) , en la capacidad del grupo de expertos científicos previsto por el art. 68 del Reglamento, para activar el sistema de alertas, lo que a su vez obligará a la Comisión a acelerar su puesta en marcha antes del 14 septiembre de 2025, cuando vence la convocatoria de candidaturas (15) .

Este escenario plantea una incertidumbre adicional en términos de efectividad jurídica, ya que, en paralelo, muchos Estados miembros (incluida España, como veremos más adelante) aún no han desarrollado y aprobado los marcos sancionadores nacionales exigidos por el artículo 101 del RIA («Multas a proveedores de modelos de IA de uso general»), lo que podría dificultar gravemente la aplicación práctica del RIA.

Por ahora, es importante destacar que, a partir del próximo 2 de agosto, comenzarán a ser exigibles en la Unión las cuatro secciones del capítulo V del RIA, que establecen:

1. Las reglas de clasificación de los modelos de IA de uso general (arts. 51 y 52)

El Reglamento diferencia entre modelos de IA de uso general «normales» y modelos que plantean un riesgo sistémico.

A estos efectos, se considera como riesgo sistémico el derivado de las capacidades de gran impacto de los modelos de IA de uso general, es decir, del hecho de poseer unas capacidades que igualan o superan las mostradas por los modelos de IA de uso general más avanzados, según el núm. 64 del art. 3.

El legislador considera que estas capacidades pueden tener unas repercusiones considerables en el mercado de la Unión, debido a su alcance o a los efectos negativos reales o razonablemente previsibles en la salud pública, la seguridad, la seguridad pública, los derechos fundamentales o la sociedad en su conjunto. Unas repercusiones que pueden propagarse a gran escala a lo largo de toda la cadena de valor –núm. 65 del art. 3--.

En el Anexo XIII del RIA se establece el procedimiento para proceder a esta clasificación, detallando los criterios para la clasificación de los modelos de IA de uso general con riesgo sistémico a que se refiere el artículo 51.

2. Las obligaciones de los proveedores de modelos de IA de uso general (arts. 53 y 54)

En esta sección se establece, como primera obligación de estos proveedores, la de elaborar y mantener actualizada la documentación técnica del modelo, incluida la relativa a su proceso de entramiento, pruebas y evaluación, de acuerdo con el Anexo XI y la de elaborar, mantener actualizada y poner a disposición de los proveedores de sistemas de IA que tengan la intención de integrar el modelo de IA de uso general en sus sistemas de IA, la información y documentación necesaria.

Aunque vayan a ser aplicables en momentos diferentes, esta sección 2 debe vincularse necesariamente con el contenido de la sección 5 del Capítulo IX (Supervisión, investigación, cumplimiento y seguimiento respecto de proveedores de modelos de IA de uso general, arts. 88 a 94), de acuerdo con el contenido del Anexo XII.

Por otra parte, en el Anexo XI del RIA se detalla la documentación técnica a que se refiere el artículo 53, apartado 1, letra a) y, en el Anexo XII, la información sobre transparencia a que se refiere el artículo 53, apartado 1, letra b) (16) ; documentación técnica de los proveedores de modelos de IA de uso general para los proveedores posteriores que integren el modelo en su sistema de IA.

Se exceptúa de la obligación de elaborar esa información a los proveedores de modelos de IA divulgados con arreglo a una licencia libre y de código abierto y cuyos parámetros estén puestos a disposición del público, salvo que planteen un riesgo sistémico (art. 53.2 del RIA).

Además, antes de introducir en el mercado de la Unión un modelo de IA de uso general, los proveedores establecidos en terceros países tendrán que nombrar, mediante un mandato escrito, a un representante autorizado que esté establecido en la Unión (art. 54).

3. Las obligaciones de los proveedores de modelos de IA de uso general de riesgo sistémico (art. 55)

Además de las obligaciones enumeradas en los artículos 53 y 54, los proveedores de modelos de IA de uso general con riesgo sistémico: a) deberán evaluar los modelos, de conformidad con protocolos y herramientas normalizados que reflejen el estado de la técnica; b) evaluarán y mitigarán los posibles riesgos sistémicos que puedan derivarse del desarrollo, la introducción en el mercado o el uso de dichos modelos, así como el origen de dichos riesgos; c) vigilarán, documentarán y comunicarán, sin demora indebida, a la Oficina de IA y, en su caso, a las autoridades nacionales competentes, la información pertinente sobre incidentes graves y las posibles medidas correctoras para resolverlos y, d) velarán por que se establezca un nivel adecuado de protección de la ciberseguridad, tanto para el modelo de IA de uso general con riesgo sistémico y como para su infraestructura física.

Para todo ello podrán recurrir a códigos de buenas prácticas, que se regulan en la última sección de este capítulo, en el que se establece que estos códigos de buenas prácticas son una herramienta fundamental para permitir a los proveedores demostrar el cumplimiento de las obligaciones que se establecen para los modelos de IA de uso general, en particular, en los arts. 53 y 55 (si bien se señala también que estos proveedores deben poder demostrar el cumplimiento utilizando medios alternativos adecuados si no se dispone de códigos de buenas prácticas o de normas armonizadas, o si deciden no basarse en ellos) (art. 56).

Estos códigos de buenas prácticas deben comprender las obligaciones tanto de los proveedores de modelos de IA de uso general como de modelos de IA de uso general que presenten riesgos sistémicos.

En lo que respecta a los riesgos sistémicos, deben centrarse en medidas específicas de su evaluación y reducción, incluyendo el ayudar a establecer una taxonomía de riesgos en la que figuren el tipo y la naturaleza de los riesgos sistémicos a escala de la Unión, incluidas sus fuentes.

Código de buenas prácticas de la Comisión

Declara el Considerando 117 que, mediante actos de ejecución, la Comisión podrá decidir aprobar un código de buenas prácticas para los modelos de IA de uso general, al objeto de permitir a los proveedores demostrar el cumplimiento de sus obligaciones dentro del plazo previsto, con una validez general dentro de la Unión.

La Comisión Europea recibió la versión final de este Código de buenas prácticas el pasado 10 de julio (17) .

Se trata de una herramienta voluntaria desarrollada por trece expertos independientes, con aportaciones de más de 1 000 partes interesadas, incluidos proveedores de modelos, pequeñas y medianas empresas, académicos, expertos en seguridad de la IA, titulares de derechos y organizaciones de la sociedad civil.

El Código consta de tres capítulos: Transparencia y derechos de autor, ambos dirigidos a todos los proveedores de modelos de IA de uso general, y seguridad y protección, pertinentes solo para un número limitado de proveedores de los modelos más avanzados.

Su contenido no impone obligaciones. Sirve de orientación para ayudar a los proveedores de modelos de IA de uso general a cumplir con sus obligaciones sin crear otras nuevas, ampliar las existentes o imponer cargas adicionales. Sirve como una herramienta voluntaria que ayuda a los proveedores a demostrar el cumplimiento de las disposiciones vinculantes de la Ley de IA, sin exceder su ámbito de aplicación ni imponer cargas adicionales.

Una vez que el Código sea refrendado por los Estados miembros y la Comisión, los proveedores de modelos de IA de uso general que lo firmen voluntariamente podrán demostrar el cumplimiento de las obligaciones pertinentes de la Ley de IA adhiriéndose al Código. Al hacerlo, los signatarios del Código se beneficiarán de una menor carga administrativa y una mayor seguridad jurídica en comparación con los proveedores que demuestren el cumplimiento de otras maneras.

Hasta la fecha, proveedores como OpenAI (18) y Anthropic (19) han manifestado públicamente su intención de adherirse al Código, respaldando su enfoque como vía viable de cumplimiento normativo bajo el nuevo marco europeo. Por el contrario, Meta ha expresado, mediante un post en Linkedin (20) , su rechazo a suscribir el Código de buenas prácticas, alegando preocupaciones sobre su impacto en la innovación y la competitividad digital en Europa.

Directrices de la Comisión

Como complemento al Código de buenas prácticas, el pasado 18 de julio la Comisión presentó sus directrices para los proveedores de los modelos de IA de uso general (21) .

Estas directrices, orientadas al amparo de lo dispuesto en el art. 96 del RIA, se orientan a aclarar el alcance de las obligaciones establecidas y las entidades a las que se aplican. Se centran en cuatro temas clave:

1. Concepto de modelos de IA de uso general

Se considera que un modelo de IA es de propósito general si se ha entrenado utilizando una cantidad de recursos computacionales («compute») superior a 10 elevado a 23 operaciones en coma flotante y si puede generar lenguaje (ya sea en forma de texto o audio), texto a imagen o texto a vídeo.

2. Concepto de proveedor de modelos de IA de propósito general

Las directrices precisan los conceptos de «proveedor» y de «introducción en el mercado» (22) y aclaran cuándo se considera que un agente que modifica un modelo de IA de propósito general se convierte en proveedor.

3. El alcance de las exenciones de determinadas obligaciones aplicables a los proveedores de modelos de IA de propósito generalpublicados bajo licencia libre y de código abierto y que cumplan determinadas condiciones de transparencia pueden quedar exentos de determinadas obligaciones en virtud de la Ley de IA. Estas exenciones no aplican si el modelo de IA es de propósito general con riesgo sistémico.

4. El cumplimiento de las obligaciones por parte de los proveedores

Las directrices explican las implicaciones para los proveedores de modelos de IA de propósito general que decidan adherirse y aplicar el Código de buenas prácticas de la IA de propósito general, y esbozan las expectativas de la Comisión en relación con el cumplimiento a partir del 2 de agosto de 2025. A sensu contrario, los proveedores que no se adhieran a este código deberán demostrar su cumplimiento por otros medios adecuados y podrían estar sujetos a más solicitudes de información.

Estos códigos son una herramienta temporal hasta el desarrollo de normas armonizadas, cuya conformidad otorgará una presunción de cumplimiento.

III. Gobernanza

El comienzo de la aplicación del capítulo VII del RIA plantea un doble conjunto de obligaciones: por una parte, las referidas a las obligaciones de las instituciones europeas, singularmente la Comisión, de constituir, organizar y dotar de recursos a diversos organismos de nueva creación, vinculados a la supervisión de la aplicación del Reglamento a escala de la Unión. Por otro, un mandato a los Estados miembros para que constituyan y pongan en marcha los órganos nacionales necesarios a nivel interno para la aplicación de la norma.

De las primeras se ocupa la sección 1, que establece la creación de la Oficina de la IA, del Comité Europeo de IA, del Foro consultivo y del Grupo de expertos científicos independientes.

1. Órganos europeos de gobernanza

Oficina de la IA

La Oficina de la IA (23) (24) , establecida por el art. 64 del RIA, fue creada en mayo de 2024, antes incluso de la publicación del Reglamento.

Se trata de un órgano dependiente de la Comisión Europea, que tiene como objetivo permitir el desarrollo, la implementación y el uso futuros de la IA de una manera que fomente los beneficios sociales y económicos y la innovación, al tiempo que mitiga los riesgos. La Oficina desempeñará un papel clave en la aplicación de la Ley de IA, especialmente en relación con los modelos de IA de uso general. También trabajará para fomentar la investigación y la innovación en materia de IA fiable y posicionar a la UE como líder en los debates internacionales.

Comité europeo de IA

Este Comité, regulado por los arts. 65 y 66 del RIA, celebró su primera reunión, en Bruselas, el 10 de septiembre de 2024 (25) .

Se trata de un órgano compuesto por representantes de cada Estado miembro de la UE y que cuenta con el apoyo de la Oficina de IA de la Comisión Europea, que actúa como secretaría del Consejo. Está presidido por uno de los Estados miembros de la UE y en sus reuniones participan, en calidad de observadores, el Supervisor Europeo de Protección de Datos y los países EEE-AELC. Contará con subgrupos que servirán de plataformas de colaboración para las autoridades nacionales y subgrupos que se centrarán en temas políticos de IA.

El Comité desempeña un papel crucial en el marco de gobernanza establecido por el RIA, al garantizar la aplicación efectiva de la norma en toda la Unión Europea, con el objetivo de lograr una aplicación y ejecución coherentes del Reglamento en toda la Unión. Además, ayuda a coordinar a las autoridades nacionales competentes responsables de hacer cumplir el Reglamento, y recopila y comparte conocimientos técnicos y reglamentarios, pero también buenas prácticas.

Desempeña un papel más amplio y proactivo en la configuración de la política de IA en toda la UE al asesorar sobre la política de innovación, las asociaciones internacionales en materia de IA y otras cuestiones estratégicas relacionadas con la IA.

Foro consultivo y Grupo de expertos independiente

El Foro consultivo tiene como misión proporcionar conocimientos técnicos y asesorar al Comité de IA y a la Comisión, así como contribuir a las funciones de estos en virtud del presente Reglamento. En julio de 2025 la Comisión abrió una convocatoria para la presentación de candidaturas a formar parte del mismo, abierta hasta el próximo 14 de septiembre (26) .

Por su parte, el Grupo de expertos independientes es un órgano destinado a apoyar a la Comisión en las actividades de garantía del cumplimiento previstas en el Reglamento. En junio de 2025 la Comisión abrió una convocatoria para la presentación de candidaturas a formar parte del mismo, abierta hasta el próximo 14 de septiembre (27) .

2. Órganos nacionales de gobernanza

Según el art. 70 del RIA, cada Estado miembro establecerá o designará al menos una autoridad notificante y al menos una autoridad de vigilancia del mercado como autoridades nacionales competentes a los efectos del presente Reglamento.

Estas autoridades nacionales competentes ejercerán sus poderes de manera independiente, imparcial y sin sesgos, a fin de preservar la objetividad de sus actividades y funciones y de garantizar la aplicación y ejecución del RIA.

A estos efectos, el Anteproyecto de Ley nacional para el buen uso y gobernanza de la IA, de 11 de marzo de 2025 (28) , dedica su capítulo II (Gobernanza y supervisión, arts. 4 a 9) a establecer el marco institucional interno y los organismos nacionales responsables de velar por la correcta aplicación del RIA (29) .

En su virtud, se prevé la designación de:

1. la Secretaría de Estado de Digitalización e IA, a través de la Dirección General de IA, como autoridad notificante a los efectos de lo dispuesto en el art. 28.1 del RIA. Es decir, como hemos apuntado anteriormente, como órgano responsable de establecer los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad, así como de su supervisión (art. 4 del Anteproyecto).

La autoridad notificante designada en el presente art. será competente para el ejercicio de la potestad sancionadora de los organismos notificados recogidos en el art. 99.4 sección e).

No obstante, la evaluación y la supervisión de los organismos notificados se realizarán por el organismo nacional de acreditación de conformidad con el Real Decreto 1715/2010, de 17 de diciembre (LA LEY 27575/2010), por el que se designa a la Entidad Nacional de Acreditación (ENAC) como organismo nacional de acreditación de acuerdo con lo establecido en el Reglamento (CE) 765/2008, de 9 de julio de 2008 (LA LEY 10380/2008), por el que se establecen los requisitos de acreditación y vigilancia del mercado relativos a la comercialización de los productos.

2. Designación de la Secretaría de Estado de Digitalización e IA como representante de España en el Comité europeo de IA (art. 5 del Anteproyecto).

3. Designación de la Agencia Española de Supervisión de la IA (AESIA), como autoridad principal de vigilancia del mercado y como punto de contacto único, de acuerdo con el art. 70.2 del RIA.

4. Designación de la Agencia Española de Protección de Datos, del Banco de España y la Comisión Nacional del Mercado de Valores, de la Dirección General de Seguros y Fondos de Pensiones, de la Dirección de Supervisión y Control de Protección de Datos del CGPJ y de la Junta Electoral Central, como autoridades supervisoras en el ámbito de los sistemas que afecten a la protección de datos y derechos fundamentales relacionados, del ámbito financiero y bancario, de seguros, de los sistemas de IA que impacten en la función judicial y de la protección de la integridad democrática frente a los usos indebidos de la IA, respectivamente.

El art. 7 del Anteproyecto, que regula las actuaciones inspectoras, detalla las facultades de inspección que las autoridades de vigilancia del mercado ejercen para comprobar la conformidad de los sistemas de IA con la normativa aplicable. De este modo, los funcionarios de inspección adquieren la consideración de autoridad pública y pueden exigir realizar pruebas en laboratorio o entidades especializadas para acreditar el cumplimiento de determinados requisitos, e incluso contar con el apoyo técnico de la AESIA o expertos (art. 69 RIA).

Se incorpora, además, el deber de confidencialidad del art. 78 del RIA, salvaguardando la información sensible.No obstante, el texto podría beneficiarse de una mayor especificación de los medios de prueba que pueden emplearse en las investigaciones, así como de las garantías procesales exigibles a los sujetos inspeccionados. En cualquier caso, constituye una fortaleza que la norma incorpore la posibilidad de colaboración con entidades externas, ya que muchos de los elementos a inspeccionar exigen un conocimiento técnico que no siempre está disponible en las estructuras de la Administración.

3. Obligación de confidencialidad

Precisamente en relación con ese deber de confidencialidad de las autoridades europeas y nacionales en la realización de sus actividades inspectoras y de control del cumplimiento del Reglamento, el mismo 2 de agosto comienza a ser aplicable el art. 78 del RIA.

Este precepto establece que tanto la Comisión, como las autoridades de vigilancia del mercado, los organismos notificados y cualquier otra persona física o jurídica que participe en la aplicación del presente Reglamento, de conformidad con el Derecho de la Unión o nacional, respetarán la confidencialidad de la información y los datos obtenidos en el ejercicio de sus funciones y actividades.

Este deber implica el deber de actuar de modo que se protejan, en particular:

• a) los derechos de propiedad intelectual e industrial y la información empresarial confidencial o los secretos comerciales de una persona física o jurídica, incluido el código fuente, salvo en los casos mencionados en el artículo 5 de la Directiva (UE) 2016/943 (LA LEY 9592/2016) del Parlamento Europeo y del Consejo (57);
• b) la aplicación eficaz del presente Reglamento, en particular a efectos de investigaciones, inspecciones o auditorías;
• c) los intereses de seguridad pública y nacional;
• d) el desarrollo de las causas penales o los procedimientos administrativos;
• e) la información clasificada con arreglo al Derecho de la Unión o nacional.

A estos efectos, las autoridades involucradas solo solicitarán los datos que sean estrictamente necesarios para la evaluación del riesgo que presentan los sistemas de IA y para el ejercicio de sus competencias de conformidad con el presente Reglamento y con el Reglamento (UE) 2019/1020, de 20 de junio de 2019 (LA LEY 11044/2019), relativo a la vigilancia del mercado y la conformidad de los productos.

Además, deberán establecer medidas adecuadas y eficaces en materia de ciberseguridad a fin de proteger la seguridad y la confidencialidad de la información y los datos obtenidos, y suprimirán los datos recopilados tan pronto como dejen de ser necesarios para los fines para los que se obtuvieron.

En tercer lugar, la información intercambiada de forma confidencial entre las autoridades nacionales competentes o entre estas y la Comisión no se revelará sin consultar previamente a la autoridad nacional competente de origen y al responsable del despliegue cuando las autoridades garantes del cumplimiento del Derecho, del control de fronteras, de la inmigración o del asilo utilicen los sistemas de IA de alto riesgo a que se refiere el anexo III, puntos 1, 6 o 7, y dicha divulgación comprometería los intereses de seguridad pública y nacional.

Este intercambio de información no comprenderá los datos operativos sensibles relativos a las actividades de las autoridades garantes del cumplimiento del Derecho, del control de fronteras, de la inmigración o del asilo.

IV. Sanciones

Finalmente, el 2 de agosto de este año comenzará a ser aplicable el capítulo XII del Reglamento, regulador de las sanciones.

Hay que mencionar a este respecto que, si bien el Reglamento establece las pautas generales para la aplicación de sanciones por infracciones de su normativa, al igual que el RGPD, remite a la normativa nacional para la precisión de muchos de sus aspectos.

Así, el art. 99 establece que:

• 1. De conformidad con las condiciones previstas en el presente Reglamento, los Estados miembros establecerán el régimen de sanciones y otras medidas de ejecución, como advertencias o medidas no pecuniarias, aplicable a las infracciones del presente Reglamento que cometan los operadores. Además, adoptarán todas las medidas necesarias para garantizar que estas sanciones se aplican de forma adecuada y efectiva, teniendo así en cuenta las directrices que emita la Comisión con arreglo al artículo 96.
• 2. Las sanciones serán efectivas, proporcionadas y disuasorias. A estos efectos tendrán en cuenta los intereses de las pymes, incluidas las empresas emergentes, así como su viabilidad económica.

Aparece como muy relevante, a estos efectos, el contenido del núm. 2 de este artículo, en el que se indica que los Estados miembros comunicarán a la Comisión, sin demora y, como muy tarde, en la fecha de aplicación las normas referentes a las sanciones y otras medidas de ejecución mencionadas en el apartado 1.

Es decir, España, al igual que los demás Estados miembros, debería comunicar antes del próximo 2 de agosto la normativa nacional aplicable a estas sanciones, cosa que, en la actual situación parlamentaria, no parece probable, con las indeseables consecuencias que se pueden derivar de la carencia de un procedimiento sancionador, por ejemplo, en relación con las prácticas de IA prohibidas por el art. 5 del RIA, ya aplicables desde el pasado 2 de febrero de 2025.

A continuación, el número 3 de este artículo tipifica las infracciones al Reglamento, de la siguiente manera:

1. El no respeto de la prohibición de las prácticas de IA a que se refiere el artículo 5 estará sujeto a multas administrativas de hasta 35.000.000 de euros o, si el infractor es una empresa, de hasta el 7 % de su volumen de negocios mundial total correspondiente al ejercicio financiero anterior, si esta cuantía fuese superior.

2. El incumplimiento de:

• a) las obligaciones de los proveedores con arreglo al artículo 16;
• b) las obligaciones de los representantes autorizados con arreglo al artículo 22;
• c) las obligaciones de los importadores con arreglo al artículo 23;
• d) las obligaciones de los distribuidores con arreglo al artículo 24;
• e) las obligaciones de los responsables del despliegue con arreglo al artículo 26;
• f) los requisitos y obligaciones de los organismos notificados con arreglo al artículo 31, al artículo 33, apartados 1, 3 y 4, o al artículo 34,

estará sujeto a multas administrativas de hasta 15.000.000 de euros o, si el infractor es una empresa, de hasta el 3 % de su volumen de negocios mundial total correspondiente al ejercicio financiero anterior, si esta cuantía fuese superior.

3. La presentación de información inexacta, incompleta o engañosa a organismos notificados o a las autoridades nacionales competentes en respuesta a una solicitud estará sujeta a multas administrativas de hasta 7.500.000 de euros o, si el infractor es una empresa, de hasta el 1 % del volumen de negocios mundial total correspondiente al ejercicio financiero anterior, si esta cuantía fuese superior.

A estos efectos, el Anteproyecto de Ley para el buen uso y gobernanza de la IA, aprobado por el Consejo de Ministros del pasado 11 de marzo, establece en su capítulo IV (Infracciones y sanciones, arts. 12 a 37), el régimen nacional de calificación de las infracciones del RIA y de imposiciones de las consiguientes sanciones, en virtud de la obligación que impone a los estados miembros (30) .

A estos efectos, el Anteproyecto procede a una clasificación de las infracciones en tres categorías (muy graves, graves y leves), y a una atribución de sanciones a cada una de ellas según su autor (proveedores, proveedores potenciales, representantes autorizados, importadores, distribuidores, responsables del despliegue y organismos notificados) y, en algunos casos, según se trate de sistemas de IA de alto riesgo o no de alto riesgo.

Además, los artículos 28 a 37 del Anteproyecto establecen el régimen del procedimiento sancionador por infracciones del RIA, previendo que las sanciones correspondientes se impondrán por resolución motivada de la autoridad de vigilancia del mercado, previa instrucción del correspondiente expediente y de acuerdo con lo previsto en el Título IV de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LA LEY 15010/2015), con las particularidades que se establecen en el presente artículo.

Los procedimientos sancionadores por las infracciones administrativas tipificadas en esta Ley se iniciarán siempre de oficio, mediante petición razonada de otros órganos administrativos o en virtud de denuncia de un tercero, conforme al trámite establecido en el artículo 85 del RIA que será de aplicación desde la entrada en vigor de la presente Ley.

Iniciado el procedimiento sancionador, la autoridad de vigilancia del mercado competente podrá adoptar en cualquier momento, mediante acuerdo motivado, las medidas de carácter provisional que estime necesarias para asegurar la eficacia de la resolución que pudiera recaer y evitar el mantenimiento de los riesgos o daños para la seguridad, la salud o los derechos fundamentales.

Cuando los daños fueran de difícil evaluación, para fijar la indemnización se tendrán en cuenta el coste teórico de la restitución y reposición, y el valor de los bienes o derechos dañados, debiendo aplicarse el que proporcione el mayor valor.

Una vez iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad, se podrá resolver el procedimiento con la imposición de la sanción que proceda. En este caso, el órgano sancionador competente aplicará una reducción del 20% sobre el importe de la sanción propuesta.

Cuando la sanción propuesta tenga únicamente carácter pecuniario, el pago voluntario por el presunto responsable, en cualquier momento anterior a la resolución, implicará igualmente la terminación del procedimiento, salvo en lo relativo a la reposición de la situación alterada o a la determinación de la indemnización por los daños y perjuicios causados por la comisión de la infracción. En este caso, el órgano sancionador competente aplicará una reducción del 20 % sobre el importe de la sanción propuesta.

Si los infractores no procedieran a la restauración o indemnización, de acuerdo con lo establecido en el artículo 29, y una vez transcurrido el plazo señalado en el requerimiento correspondiente, la autoridad de vigilancia del mercado competente podrá acordar la imposición de multas coercitivas o la ejecución subsidiaria.

Al igual que en el caso del RGPD, no se prevén sanciones por las infracciones del Reglamento cometidas por entidades públicas.

Sin embargo, el art. 100 del RIA prevé la posibilidad de que el Supervisor Europeo de Protección de Datos pueda imponer multas administrativas a las instituciones, órganos y organismos de la Unión comprendidos en el ámbito de aplicación del presente Reglamento.

En concreto, el no respeto de la prohibición de las prácticas de IA a que se refiere el artículo 5 estará sujeto a multas administrativas de hasta 1.500.000 de euros, y el incumplimiento por parte del sistema de IA de cualquiera de los requisitos u obligaciones establecidos en el presente Reglamento, distintos de los previstos en el artículo 5, estará sujeto a multas administrativas de hasta 750.000 euros.

Anexo

Para representar gráficamente la situación a partir del 2 de agosto, teniendo en cuenta que el Reglamento entró en vigor a los veinte días de su publicación, a partir del 2 de agosto el esquema general de aplicación del Reglamento queda como sigue: