El Gobierno aprueba la Ley de IA con multas de hasta 35 millones, restricción de deepfakes sexuales y mayor regulación de contenidos manipulados

La norma establece obligaciones para las herramientas “de alto riesgo” y genera debate sobre el régimen sancionador aplicable a las administraciones públicas

La pantalla de un teléfono móvil muestra la interfaz de la App Store de Apple. Un hombre descarga la aplicación Grok.

El Consejo de Ministros ha aprobado el proyecto de Ley para el uso responsable y la gobernanza de la inteligencia artificial (IA), con el que España adapta su normativa al Reglamento europeo de IA y establece sanciones para los incumplimientos más graves. El texto contempla multas de entre 6.000 euros y 35 millones, según la gravedad del caso, para situaciones como la comercialización o puesta en servicio de herramientas prohibidas.

El propósito es asegurar un uso “ético, inclusivo y provechoso” de esta tecnología, según lo expresado por el Ministerio para la Transformación Digital y de la Función Pública. Para ello, el proyecto crea un marco de supervisión sobre la inteligencia artificial, prohíbe los usos considerados de riesgo inaceptable y obliga a advertir cuando ciertos contenidos hayan sido generados o manipulados artificialmente.

PUBLICIDAD

El texto se remitirá ahora a las Cortes Generales para su tramitación parlamentaria. El Gobierno ya había aprobado un primer anteproyecto en marzo de 2025 y posteriormente lo sometió a consulta pública. Desde entonces, ha sido revisado por distintas entidades, entre ellas el Consejo General del Poder Judicial, antes de regresar al Consejo de Ministros.

Qué usos quedan prohibidos

Uno de los elementos clave de la futura ley es la prohibición de determinadas prácticas consideradas “de riesgo inaceptable”. Entre ellas figuran aquellas que emplean técnicas subliminales, manipuladoras o engañosas para modificar la capacidad de decisión de una persona, alterar significativamente su comportamiento y causarle un perjuicio notable.

PUBLICIDAD

Asimismo, se prohíbe explotar vulnerabilidades de individuos o colectivos por motivos de edad, discapacidad o situación social o económica.

La normativa española adopta el modelo europeo, que clasifica estas tecnologías según su nivel de riesgo. Los usos considerados inaceptables están prohibidos. Por su parte, los de alto riesgo no se prohiben de manera general, pero deben cumplir con obligaciones más estrictas.

PUBLICIDAD

Carl Öhman, investigador experto en legado digital, señala que tras el fallecimiento se pierden todos los derechos sobre los datos personales. Las compañías tecnológicas se convierten en propietarias de la huella digital, planteando el dilema sobre su gestión.

Multas de hasta 35 millones

El régimen sancionador constituye una de las partes más significativas del proyecto. Las infracciones muy graves vinculadas a prácticas prohibidas podrán ser sancionadas con multas de hasta 35 millones de euros. Si la infracción la comete una empresa, la sanción podrá ascender también hasta el 7% de su volumen de negocio mundial del ejercicio anterior, si dicha cifra resulta mayor.

Para otras infracciones muy graves vinculadas a herramientas de inteligencia artificial catalogadas como de alto riesgo, las multas podrán alcanzar los 15 millones de euros o el 3% del volumen global de negocios. Las infracciones graves oscilarán entre 500.001 y 7,5 millones, mientras que las leves irán de 6.000 a 500.000 euros.

PUBLICIDAD

El texto contempla el tamaño de las compañías. En el caso de pymes y startups, la regulación europea permite aplicar la cuantía menor entre el importe fijo y el porcentaje sobre facturación, para evitar sanciones excesivas.

Además de las multas, se prevén medidas como la retirada del mercado, la desconexión o la prohibición de una herramienta cuando esta haya ocasionado un incidente grave o suponga un riesgo inaceptable.

PUBLICIDAD

Contenidos creados con IA y ‘deepfakes’

Otro objetivo es que la población pueda identificar cuándo un contenido es auténtico y cuándo ha sido producido o manipulado mediante IA. Esta obligación afecta a ciertas herramientas que generan o modifican imágenes, audios, vídeos o textos.

El Reglamento europeo ya impone obligaciones de transparencia para las llamadas ultrasuplantaciones: contenidos audiovisuales que imitan personas, objetos, lugares o hechos reales y pueden hacer creer que son genuinos. En estos casos, quienes los usen deben informar que han sido creados o alterados artificialmente.

PUBLICIDAD

El proyecto asimismo incorpora la prohibición específica de sistemas capaces de generar o manipular imágenes, vídeos o audios realistas con contenido sexual sin consentimiento. Esta medida fue promovida por España en el debate europeo tras la controversia generada por la difusión de desnudos falsos de mujeres y menores, creados con herramientas de IA.

El tema afecta directamente a los deepfakes, una de las aplicaciones más polémicas de la IA generativa. Pueden tener usos creativos o informativos, aunque también se emplean para suplantar identidades, difundir desinformación, cometer fraudes o crear contenido sexual falso.

PUBLICIDAD

Quién supervisará el cumplimiento

La futura ley también regula la gobernanza de la IA en España. La Agencia Española de Supervisión de Inteligencia Artificial (AESIA) desempeñará un rol central en la vigilancia del cumplimiento y en la coordinación con otras autoridades competentes.

El anteproyecto ya contemplaba que cualquier persona pudiera reportar posibles infracciones, incluso de forma anónima. La intención es facilitar la investigación de usos indebidos, especialmente cuando puedan afectar derechos fundamentales o provocar daños significativos.

PUBLICIDAD

España creó la AESIA antes de finalizar la transposición interna del reglamento europeo. Con este proyecto, el Gobierno busca integrar esta estructura nacional dentro del nuevo marco comunitario, que exige a los Estados miembros tener autoridades de supervisión y sanciones efectivas, proporcionales y disuasorias.

Las administraciones públicas quedan exentas de multas

Uno de los aspectos más debatidos durante la tramitación ha sido el tratamiento que reciben las administraciones públicas. Varias asociaciones de internautas, usuarios y especialistas en derecho digital han cuestionado que el texto excluya al sector público del régimen de multas económicas.

Según el anteproyecto, cuando una administración cometa una infracción, la medida consistirá en una resolución que declare el incumplimiento, acompañada de un apercibimiento y acciones correctivas. Además, se podrán iniciar procedimientos disciplinarios o amonestaciones a los responsables, pero no se aplicarán sanciones económicas como las previstas para empresas u otros operadores.

Este punto resulta sensible porque el sector público puede utilizar sistemas automatizados en áreas que afectan directamente a la ciudadanía, como prestaciones, ayudas, empleo, seguridad, justicia o gestión de servicios públicos. Los críticos argumentan que no imponer multas puede debilitar la protección efectiva de los derechos de los ciudadanos.

Scroll al inicio