El primer capítulo recoge las disposiciones generales, en las que se explica que el objeto de la Ley Orgánica es la adaptación del régimen jurídico español del Reglamento europeo, también da algunas definiciones a efectos de aplicación de la norma (empresa, Pyme, empresa emergente, autoridad competente y sector público estatal). En cuanto a su ámbito de aplicación, encontramos que es aplicable a proveedores de sistemas de IA y de modelos de IA, responsables del despliegue de estos sistemas, fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca, donde se encuadraría Helena, la IA Jurídica de Sepín; también los representantes autorizados de proveedores que no estén establecidos en la UE; e importadores y distribuidores de sistemas de IA. Igualmente será aplicable a autoridades notificantes, organismos notificados y autoridades de vigilancia y tiene una exclusión establecida en el anexo I. B del Reglamento europeo. Así mismo, el capítulo IV solo será aplicable al sector público estatal.

El segundo capítulo regula la gobernanza y supervisión del mercado para adaptar las previsiones del Reglamento europeo respecto a las funciones atribuidas a los Estados miembros, definiendo tanto la autoridad notificante como las autoridades de vigilancia del mercado, con potestad sancionadora. También establece la posibilidad de asunción de competencias por parte de la Agencia Estatal de Supervisión de la Inteligencia Artificial (AESIA) y su apoyo a otras autoridades de vigilancia.

Sobre las autoridades notificantes es de destacar la designación a la Dirección General de Inteligencia Artificial dentro de la Secretaría de Estado de Digitalización e Inteligencia Artificial, autoridad notificante como órgano responsable de establecer y llevar a cabo los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad, así como de su supervisión y sanción, y que esta Dirección General se apoyará en el organismo nacional de acreditación. Se hace referencia también a las autoridades notificantes en el caso de los sistemas de IA de alto riesgo.

Respecto a las autoridades de vigilancia del mercado, les corresponden todas las funciones de vigilancia, inspección y la potestad sancionadora de los sistemas de inteligencia artificial, siendo la AESIA la autoridad de vigilancia del mercado en unos casos y también junto a ella las autoridades autonómicas de protección de datos respecto a sistemas de IA que realicen prácticas prohibidas, diferentes sistemas de IA de alto riesgo y sistemas de IA sujetos a determinadas obligaciones de transparencia. También será autoridad de vigilancia del mercado el Consejo General del Poder Judicial respecto, entre otros, a los sistemas de IA de alto riesgo relativos al ámbito de la biometría, cuando los sistemas se utilicen a efectos de la administración de justicia, relativos al ámbito de garantía de cumplimiento del derecho y relativo a los ámbitos de la administración de justicia.

Otras autoridades de vigilancia del mercado serían: el Banco de España, la Comisión Nacional del Mercado de Valores, la Dirección General de Seguros y Fondos de Pensiones y, en caso de nuevas áreas de supervisión de prácticas prohibidas de IA, corresponderá al Consejo de Ministros designar autoridades de vigilancia del mercado para dichos casos, siendo hasta ese momento la AESIA la autoridad competente.

La coordinación de todas las actuaciones en relación con la vigilancia de mercado será la AESIA como punto de contacto único, tal como se establece en el art. 6. Se regulan también las actuaciones de las autoridades de vigilancia de mercado, así como la coordinación entre estas y las autoridades notificantes según los principios de cooperación, confianza y lealtad institucional.

Las personas físicas y jurídicas que consideren que se ha producido un incumplimiento de lo dispuesto en el Reglamento europeo, podrán presentar una reclamación ante la autoridad de vigilancia del mercado competente o poner en conocimiento de esta los hechos que puedan constituir incumplimientos, tras lo cual la autoridad deberá llevar a cabo una actuación. Para estas reclamaciones la AESIA establecerá un sistema de ventanilla única. Las personas que lleven a cabo estas reclamaciones podrán acogerse a la Ley 2/2023, de 20 de febrero, de protección del informante.

El capítulo III regula los llamados “Espacios controlados de pruebas para la IA” que tal como expresa el art. 57.5 del Reglamento europeo, consisten en “un entorno controlado que fomente la innovación y facilite el desarrollo, el entrenamiento, la prueba y la validación de sistemas innovadores de IA durante un período limitado antes de su introducción en el mercado o su puesta en servicio, con arreglo a un plan del espacio controlado de pruebas específico acordado entre los proveedores o proveedores potenciales y la autoridad competente. Tales espacios controlados de pruebas podrán incluir pruebas en condiciones reales supervisadas dentro de ellos”, siendo la AESIA la autoridad competente responsable de establecerlos y pudiendo crearlos las autoridades competentes.

El capítulo IV se refiere al buen uso de la IA en el sector público estatal pues debe informarse del uso de esta en las entidades que forman el sector público, elaborando un inventario de los sistemas de IA con remisión de información que deberá incluir el proveedor y responsable del despliegue y la categorización del sistema. Las entidades del sector público deberán promover la concienciación, divulgación y promoción de la formación en el desarrollo y uso responsable, sostenible y confiable de la IA. También deberá nombrarse un delegado de IA en cada entidad del sector público que desarrolle las políticas internas y el cumplimiento de los estándares.

El capítulo V, por último, regula las infracciones y sanciones tanto por no respeto de prácticas prohibidas como por incumplimiento de disposiciones o por presentación de información inexacta, incompleta o engañosa. Las infracciones pueden ser muy graves, graves y leves y se distingue entre ellas según cuál sea el sujeto que comete la infracción: proveedores, operadores en general, proveedores de sistemas de IA (de alto riesgo o no), representantes autorizados de sistemas de IA, importadores de sistemas de IA, distribuidores de sistemas de IA, responsables del despliegue de sistemas de IA y organismos notificados.

En cuanto a las sanciones, estas podrán ser de cuantías entre 500.000 € y 35.000.000 € o porcentajes del volumen de negocios en el caso de empresas entre el 0,5 % y el 7 %.

También podrán imponerse las siguientes sanciones: la desconexión del sistema de IA o su prohibición, restringir o prohibir la comercialización del sistema de IA de alto riesgo y multas coercitivas en caso de no se procediera a la corrección de los hechos reconocidos o declarados en el procedimiento sancionador en el plazo previsto.

Prevé la norma, en cuanto al régimen sancionador: la aplicación de las sanciones; la proporcionalidad de estas; la prescripción tanto de infracciones como de sanciones; la concurrencia de sanciones y prohibición de non bis in idem; su publicidad; procedimiento sancionador, incluidas actuaciones previas, medidas provisionales y requerimientos de adopción de medidas correctoras; el régimen disciplinario en el sector público; el posible pago voluntario; y la sucesión de personas jurídicas.

Las disposiciones adicionales regulan las obligaciones en el orden social y funciones de la Inspección de Trabajo y Seguridad Social, así como el Régimen Jurídico de la AESIA.

La disposición derogatoria es de carácter general en cuanto a las disposiciones de rango igual o inferior que se opongan a lo dispuesto en esta ley y especial del RD 817/2023, de 8 de noviembre, que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial.

Las disposiciones finales prevén la modificación de la Ley General Tributaria (art. 116); Ley General de la Seguridad Social (art. 77); Ley del Régimen Electoral General (añade la Disposición Adicional novena); establece los títulos competenciales, el rango normativo de la Ley Orgánica, estableciendo carácter de ley ordinario a los artículos 21.3, 28 y Disposición final tercera; la habilitación para desarrollo reglamentario; la base de datos nacional para el registro de sistemas de alto riesgo y, por último su entrada en vigor al día siguiente de su publicación, con excepción de la modificación de la Ley Orgánica del Régimen Electoral General.

El contenido de la Ley se hace por derivación al Reglamento (UE) 2024/1689, por lo que es importante tener conocimiento de las disposiciones de este Reglamento unido a la futura Ley Orgánica. Para ello, recomendamos la lectura de la Guías elaborada por la propia AESIA.

Será importante también conocer el Anexo III del Reglamento europeo para tener claro cuales son los sistemas de IA de alto riesgo que en resumen se refieren a datos biométricos, infraestructuras críticas, evaluación de personas y comportamientos, toma de decisiones laborales, riesgos, investigación o interpretación de hechos.