ANTEPROYECTO DE LEY PARA EL BUEN USO Y LA GOBERNANZA DE LA INTELIGENCIA ARTIFICIAL

EXPOSICIÓN DE MOTIVOS

I

La inteligencia artificial (en adelante, IA) es una pieza clave en la actual revolución tecnológica, con unenorme potencial de crecimiento y transformación, tanto en las relaciones económicas como en loshábitos de comportamiento sociales. La capacidad y capilaridad de esta tecnología la convierten en un instrumento transversal, con incidencia en un amplio espectro de sectores, multiplicando la penetración y el impacto positivo en la productividad de la economía a nivel global.

Los sistemas de IA pueden llegar a funcionar con un elevado grado de autonomía y autoaprendizaje. Una vez entrenados, estos sistemas pueden inferir por sí mismos recomendaciones, decisiones, predicciones o contenidos, sin que sea necesario conocer y programar previamente qué datos y qué valoraciones originaron esos resultados ofrecidos por el sistema.

Esta autonomía puede, por otro lado, suponer un desafío en cuanto a la transparencia y trazabilidad.En la ejecución de numerosos sistemas de IA es difícil establecer una correlación entre los datos de entrada y de salida, que el sistema determina de forma autónoma. Esta falta de trazabilidad conllevariesgos cuando el uso de estos sistemas tenga un impacto sobre las personas, la sociedad o la economía. Por ello, es necesario definir un marco normativo de uso de esta tecnología que promueva la adopción de una IA fiable y centrada en el ser humano.

Muchos Estados y entidades supranacionales, en particular la Unión Europea, han abordado el desarrollo de estos marcos normativos conceptuales. La «Declaración de Principios de la IA» que laOCDE publicó en 2019, y que actualizó en 2024, abordando los avances tecnológicos recientes, enparticular, la IA generativa, destaca el principio de que la tecnología debe respetar los derechos humanos y los valores democráticos, incluyendo además en su principio de responsabilidad en el desarrollo de la IA los aspectos ligados a la seguridad, la protección y la privacidad, así como con los derechos laborales y de propiedad intelectual. También en 2019, la Comisión Europea creó el Grupode Expertos de Alto Nivel en Inteligencia Artificial, que publicó ese mismo año su documento angular, «Directrices éticas para una IA Fiable», dando forma al concepto cada vez más universal de la IA confiable. Sobre esa base, el Grupo de Expertos publicó en 2020 el «Libro Blanco sobre InteligenciaArtificial», un documento estratégico que establece un enfoque europeo para promover el desarrollo de la IA, basado en dos pilares, la excelencia técnica y la confianza en la IA, que se ha de sustentar en instrumentos jurídicos vinculantes. Esta trayectoria hace a la Unión Europea pionera de una regulación que ya entonces se adivinaba imprescindible para abordar la nueva realidad tecnológica.

Desde entonces, no han sido pocos los esfuerzos realizados por Estados, entidades supraestatales o internacionales, o asociaciones empresariales, para llegar a consensos sobre las cuestiones éticasque envuelven el uso de la IA, protegiendo al mismo tiempo el fomento de la innovación. Así, la «Recomendación sobre la ética de la inteligencia artificial» publicada por la UNESCO en 2021, yadoptada por 193 Estados, se centra en cómo puede afectar la IA a los colectivos vulnerables, la sostenibilidad medioambiental y la alfabetización digital. Por otro lado, la «Declaración de Betchley» dela Cumbre de seguridad de la IA de 2023, se enfoca en la necesidad de colaboración entre los Estadosparticipantes para detectar los riesgos comunes de seguridad de la IA, así como del desarrollo conjunto de políticas para mitigarlos. En 2023 surge también con fuerza la IA generativa, y el «Proceso de IA de Hiroshima», basándose en los principios de la OCDE, enfoca en ella sus esfuerzos, introduciendo un código de conducta con mecanismos de monitorización y promoviendo la colaboración internacional.En mayo de 2024, el Comité sobre Inteligencia Artificial del Consejo de Europa aprueba el «Convenio Marco sobre Inteligencia Artificial, Derechos Humanos, Democracia y Estado de Derecho», que constituye el primer tratado internacional jurídicamente vinculante destinado a garantizar el respeto de los derechos humanos, del Estado de derecho y las normas jurídicas democráticas en el uso de los sistemas de IA.

También la Organización de las Naciones Unidas continúa con su impulso: Tras su recomendación deUNESCO de 2021, crea en 2023 el «Órgano Consultivo de Alto Nivel sobre Inteligencia Artificial de las Naciones Unidas»; en marzo de 2024, se aprueba por aclamación una resolución liderada por losEstados Unidos que pide a los Estados que se abstengan de utilizar sistemas de inteligencia artificialque no cumplan las normas internacionales de derechos humanos o los pongan en riesgo, y enseptiembre del mismo año, el Órgano Consultivo sobre IA publica su informe «Gobernanza de la IA en beneficio de la humanidad», que propone la creación de un grupo internacional de científicos, de foros internacionales sobre normas y políticas de gobernanza IA, de una red de centros de desarrollo de capacidades en IA, de un marco mundial de datos, y de un fondo de financiación para reducir la brecha. En esta línea, durante la Cumbre del Futuro, celebrada el 22 de septiembre de 2022 en Nueva York, se adoptó el Pacto Digital Global, que aboga por una inteligencia artificial segura y fiable e impulsa la gobernanza internacional de una inteligencia internacional en beneficio de la humanidad.

Queda patente la actividad de muchos Estados para alcanzar consensos internacionales de protecciónde las personas y sus derechos fundamentales y para acordar unos valores éticos en el uso de la IA que no deben ser cuestionables. La Unión Europea, por su parte, ha sido pionera en la regulación deluso de la IA con la aprobación en del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (en adelante, Reglamento (UE) 2024/1689, de 13 de junio).

II

El Reglamento (UE) 2024/1689, de 13 de junio, sigue un enfoque basado en riesgos del uso de la tecnología y establece unos usos prohibidos de la IA como consecuencia de éstos. Para los usos permitidos, y según su nivel de riesgo sobre los efectos que tiene sobre las personas, se establecen medidas para asegurar que la IA se utilice de forma ética y confiable. El Reglamento (UE) 2024/1689, de 13 de junio, tiene un alcance universal, estando sujeto a su cumplimiento cualquier sistema de IA puesto en el mercado o utilizado en la Unión Europea, incluso para aquellos sistemas que no hayan sido desarrollados dentro de ella. Como Reglamento de la Unión, es de aplicación directa en todos los Estados miembros, aunque delega en ellos el desarrollo de algunos de sus aspectos, que se aborda en esta Ley.

Así, el Reglamento, en su capítulo XII, presenta un marco sancionador, e impone el mandato a los Estados miembros de desarrollar el régimen de sanciones y otras medidas de ejecución, como advertencias o medidas no pecuniarias, aplicables a las posibles infracciones. Este régimen sancionador resulta imprescindible para asegurar el cumplimiento de las obligaciones que establece el Reglamento a los proveedores, responsables del despliegue, importadores y distribuidores, representantes autorizados, potenciales proveedores en espacios de pruebas y personas afectadas por sistemas de IA establecidos o ubicados en la Unión Europea.

ando cumplimiento a esta obligación, y dentro de ese marco, la presente Ley establece un régimensancionador y un esquema de sanciones que se plantean como efectivas, proporcionadas y disuasoria. Se tienen en cuenta condiciones específicas de las pymes y empresas emergentes, procurando con ello asegurar el equilibrio entre el cumplimiento de las obligaciones establecidas por el Reglamento y la protección de la innovación científica y técnica.

El Reglamento introduce también mecanismos de gobernanza a escala de la Unión, que se apoyan en organismos comunitarios de reciente creación, con objeto de armonizar la aplicación de la legislación. Así, la Oficina de IA es el órgano de la Comisión encargado del desarrollo del conocimiento y lascapacidades de la unión en el ámbito de la IA; el Comité Europeo de IA, formado por representantes de los Estados, asiste y asesora a la Comisión y los Estados en la aplicación coherente del Reglamento; yel Foro Consultivo, formado por representantes de partes interesadas, incluyendo industria, academia ysociedad, junto con el Grupo de Expertos Independientes, aportan sus conocimientos técnicos.

Para la gobernanza a escala nacional, el Reglamento define las autoridades nacionales competentes, que incluyen a las autoridades notificantes y las autoridades de vigilancia de mercado, e impone a los Estados miembros el mandato de establecer o designar al menos a una de cada tipo, y regular sus funciones de acuerdo con el Reglamento.

Dando cumplimiento a esta obligación, esta Ley define cuáles serán estas autoridades, y cuáles susmecanismos de gobernanza nacional. En este esquema, tiene particular relevancia la creación en España de la Agencia Española de Supervisión de la Inteligencia Artificial, cuyo estatuto se aprueba por el Real Decreto 729/2023, de 22 de agosto.

Además, la atribución de competencias en materia de supervisión de sistemas de IA por parte de las Autoridades administrativas en los sectores regulados exige la previsión normativa de mecanismos de coordinación que permitan soslayar una aplicación diferenciada o incluso contradictoria de lassanciones aplicables por las diferentes Autoridades de Vigilancia del Mercado españolas. Por ello, con el fin de garantizar una actuación uniforme, coordinada y eficaz en el desarrollo de las funciones que les atribuye esta Ley, se crea la Comisión mixta de coordinación de autoridades de vigilancia del mercado atribuyendo a la Agencia Española de Supervisión de Inteligencia Artificial su presidencia, la secretaría y su gestión.

 El Ministerio para la Transformación Digital y de la Función Pública, y concretamente la Secretaría deEstado de Digitalización e Inteligencia Artificial, a través de su Dirección General de Inteligencia Artificial, es el departamento de la Administración General del Estado encargado, entre otras competencias, del desarrollo normativo en materia de IA, de acuerdo con el artículo 4.1.c) del Real Decreto 210/2024, de 27 de febrero, por el que se establece la estructura orgánica básica del Ministerio para la Transformación Digital y de la Función Pública.

III

El marco regulatorio de la IA en el que se integra la presente Ley forma parte de un conjunto de actuaciones más amplias destinadas al desarrollo de la IA en España. A través de estas actuaciones se ha avanzado en aunar la acción de los diferentes sectores estratégicos, para favorecer el impulso y fomento de la innovación, tanto en la Administración Pública como en el sector privado.

Consecuentemente, se han puesto en marcha diversos planes estratégicos siguiendo la senda europea para promover un desarrollo de la IA ético, inclusivo y beneficioso para la sociedad que, además de fortalecer el crecimiento económico y social, se realice de forma alineada con la Carta de Derechos Digitales.

En 2020, fue presentado el plan estratégico España Digital 2025, luego actualizado a España Digital2026, con el objetivo de llevar a cabo el proceso de transformación digital del país. De este plan formaba parte, en el eje 9 «Economía de dato e Inteligencia Artificial», la Estrategia Nacional de Inteligencia Artificial (ENIA), publicada ese mismo año ampliándose, paralelamente, el alcance de sus medidas con el Componente 16 del Plan de Recuperación, Transformación y Resiliencia. La ENIA yadefinía dentro de su objetivo estratégico 6 «Establecer un marco ético y normativo que refuerce laprotección de los derechos individuales y colectivos, a efectos de garantizar la inclusión y el bienestar social», poniendo el foco en la necesidad de desarrollar un trabajo normativo que permita regular el uso de la IA basándose en principios éticos.

La Estrategia Nacional de Inteligencia Artificial (ENIA) ha sido actualizada a través de la Estrategia deInteligencia Artificial 2024, aprobada por Consejo de Ministros en mayo de 2024, que se articula entorno a tres ejes fundamentales: i) reforzar las palancas clave para el desarrollo de la Inteligencia Artificial, ii) facilitar la expansión de la Inteligencia Artificial en el sector público y privado fomentando la innovación y la ciberseguridad y iii) desarrollar una Inteligencia Artificial transparente, responsable y humanística.

Sobre el tercer eje de esta Estrategia de Inteligencia Artificial 2024 se asienta la base sobre la que vertebrar la supervisión de los usos de la IA, destacando en el ámbito nacional la Agencia Española de Supervisión de Inteligencia Artificial (AESIA), cuyos estatutos fueron publicados a través del RealDecreto 729/2023, de 22 de agosto, por el que se aprueba el Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial, y la regulación de un marco de pruebas seguro de IA a través del Real Decreto 817/2023, de 8 de noviembre, que establece un entorno controlado para el ensayo delcumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial.

El desarrollo de un régimen sancionador que contribuya a dar aplicación al marco regulatorio que promulga el Reglamento (UE) 2024/1689, de 13 de junio, es una herramienta esencial para el correcto funcionamiento de las autoridades de vigilancia del mercado y demás organismos de supervisión en materia de IA, dotando a estos organismos de una base jurídica sobre la que poder llevar a cabo sus actividades de supervisión e inspección.

IV

Las sanciones previstas en la presente Ley no se limitan a la imposición de una multa pecuniaria. El Reglamento (UE) 2024/1689, de 13 de junio, ya advierte que la IA puede generar riesgos inaceptables y menoscabar los intereses públicos y los derechos fundamentales que protege el Derecho de la Unión. Dicho menoscabo puede dar lugar a perjuicios graves, definiendo el propio Reglamento lo que considera “incidente grave” y entendiendo que resulta necesario prohibir las prácticas y los sistemas deIA que plantean riesgos inaceptables para intereses públicos relevantes de la Unión (Considerandos 5, 26, 46 y 179).

La presente Ley establece la necesidad de adecuar la sanción al hecho constitutivo de la infracción, previendo los mecanismos necesarios para garantizar la efectividad de la resolución que se dicte, especialmente, en los casos más graves por su trascendencia respecto a la vida y seguridad de las personas y a sus derechos fundamentales.

Se introduce por medio de esta Ley, de forma novedosa en el ámbito de la Unión Europea, un nuevo derecho digital garante de derechos fundamentales básicos de la ciudadanía, cual es el derecho dedesconexión o retirada del mercado de sistemas de IA que hayan provocado incidentes graves. Al regularse el inicio del expediente sancionador por medio de denuncia, se anticipa la aplicación del derecho que recoge, a partir del año 2026, el artículo 85 del Reglamento. Ello determinará, pues, un derecho de desconexión o de retirada de sistemas de IA en aquellos supuestos en los que se denuncie que un sistema ha provocado un incidente grave, como el fallecimiento de un familiar. Elartículo 14 del Reglamento (UE) 2019/1020, de 20 de junio, permite a las Autoridades de Vigilancia delMercado en esos casos, prohibir o restringir la comercialización de un sistema de IA, o su retirada si se encuentra integrado en un producto. El Reino de España continúa, pues, liderando la incorporación de derechos digitales en beneficio de la ciudadanía, como ocurrió con el reconocimiento del “derecho al olvido”, a instancias de la Abogacía General del Estado y de la Agencia Española de Protección dedatos, por el Tribunal de Justicia de la Unión Europea.

En relación con el procedimiento sancionador, se introducen especialidades al procedimiento general. La primera es la ya mencionada, relativa al inicio del expediente mediante el derecho de reclamación, que establecerá el Reglamento (UE) 2024/1689, de 13 de junio, en su artículo 85 a favor de toda persona física o jurídica a partir del 2 de agosto de 2026. En este sentido, con la finalidad de promover el cumplimiento del Derecho de la Unión Europea, se facilita que cualquier ciudadano, mediante una información anónima, pueda dar lugar al inicio del expediente sancionador, articulando los mecanismos de recepción de dichas informaciones de forma centralizada a través de la Agencia Española de Supervisión de Inteligencia Artificial.

Destaca igualmente la posibilidad de adoptar las disposiciones cautelares que sean precisas para garantizar la eficacia de la resolución sancionadora en tanto no sea ejecutiva, incluyendo la posible retirada cautelar del producto o la desconexión o prohibición del sistema de IA en el ámbito territorialde la autoridad de vigilancia del mercado sancionadora cuando la continuidad del sistema de IA en el mercado durante la tramitación del expediente implique un riesgo inaceptable. Esta medida tiene su fundamento en el artículo 73.8 del Reglamento (UE) 2024/1689, de 13 de junio, que permite la adopción de las medidas adecuadas para la retirada de productos respecto de los que se haya notificado un incidente grave. Por ello, se acoge una regulación genérica de las medidas que pueden adoptarse, para adaptarse en el futuro a cualesquiera sistemas de IA que puedan introducirse en el mercado, ponerse en servicio o usarse en territorio nacional.

Por último, como especialidad se establece un mecanismo específico para pymes en los casos de comisión de una infracción leve, permitiéndose el apercibimiento a la entidad actuante, y estableciendo las medidas pertinentes para cesar la conducta o corregir los efectos de la infracción quese hubiese cometido, excluyendo la imposición de multas administrativas, de conformidad con el artículo 99.8 del Reglamento (UE) 2024/1689, de 13 de junio.

V

La Ley consta de treinta y siete artículos, agrupados en cuatro capítulos, dos disposiciones adicionales, cuatro disposiciones finales, y un anexo.

El primer capítulo recoge las disposiciones generales, incluyendo el objeto, las definiciones y el ámbitosubjetivo. El objeto de esta Ley es, en cumplimiento del Reglamento europeo de Inteligencia Artificial, laregulación del régimen sancionador aplicable en España a los sistemas de IA, así como el régimenjurídico de autorización del uso de los sistemas de identificación biométrica «en tiempo real» en espacios de acceso público, con el fin de garantizar del cumplimiento del Derecho. Esta ley aplica a las personas jurídicas y entidades del sector público que actúen como operadores, según los define el propio Reglamento.

El segundo capítulo regula la gobernanza establecida en el Reglamento (UE) 2024/1689, de 13 de junio, para adaptar las diferentes menciones que dicho Reglamento establece en cuanto a las funciones atribuidas en materia de IA a los Estados miembros. Dicha regulación complementa las competencias en materia sancionadora recogidas en los artículos 4 a 6 respecto de la designación, estableciendo los órganos competentes para realizar la designación de autoridades de vigilancia del mercado y su comunicación a la Comisión europea. De igual forma, se regula la asunción de competencias por la Agencia Española de Supervisión de Inteligencia Artificial en defecto temporal del ejercicio de dichas competencias por una autoridad de vigilancia del mercado en un sector armonizadode los enumerados en la Sección A del Anexo I del Reglamento. Igualmente, se regula el posible establecimiento de pruebas en entornos controlados y en condiciones reales, con el fin de garantizar lanecesaria coherencia y cooperación en la realización de las prácticas en el territorio nacional. Por último, se posibilita la asistencia por la Agencia Española de Supervisión de Inteligencia Artificial a las demásautoridades de vigilancia del mercado por medio de convenios de colaboración.

El tercer capítulo establece los supuestos de uso de la IA para la identificación biométrica remota «en tiempo real» en espacios de acceso público, con el fin de garantizar el cumplimiento del Derecho que podrá autorizarse, concediendo a los juzgados de lo contencioso-administrativo la potestad de conceder las autorizaciones, e introduciendo un procedimiento administrativo para la solicitud, concesión e informe del uso. Así mismo, el Reglamento (UE) 2024/1689, de 13 de junio considera un marco limitado al uso de esta tecnología, siempre mediando autorización previa por una autoridad competente, autorización que estará restringida a la identificación de personas específicas, por causas concretas que encajen en los objetivos mencionados, y con limitaciones geográficas y temporales. En este capítulo también se recoge la regulación de estas excepciones en territorio nacional.

El cuarto capítulo recoge la clasificación de las infracciones, y establece el régimen sancionador para el Reglamento (UE) 2024/1689, de 13 de junio, en virtud de la obligación que impone a los Estados Miembros en su artículo 99. En primer lugar, se establecen unos límites superiores e inferiores a las sanciones por las infracciones leves, graves y muy graves, que permiten una aplicación proporcionada, disuasoria y efectiva, y que están dentro de los límites que impone el Reglamento. Se establecen además las circunstancias en que puede imponerse la restricción o retirada del sistema. Dado que las sanciones máximas pueden quedar limitadas por el volumen anual de negocio de la entidad infractora se considera que, cuando la empresa directamente responsable de la infracción es parte de un grupo de empresas, será el volumen de negocios del grupo el que fije el límite superior, evitando así que grandes empresas, actuando a través de pequeñas empresas de su grupo, puedanrecibir sanciones que, por su baja cuantía, no cumplieran los criterios de proporcionalidad, efecto disuasor y efectividad.

En segundo lugar, se procede a una clasificación de todas las infracciones. Dada la variedad de tipos del ámbito subjetivo, la diferencia entre las obligaciones que se imponen a cada uno, y la cantidad de éstas, las infracciones se reparten entre varios artículos, según su clasificación y la naturaleza del sujeto a quien se apliquen, con el objetivo de una mayor claridad del texto.

Se consideran muy graves, en atención al límite máximo de la sanción que les impone el Reglamento, las infracciones relativas a las prácticas prohibidas, incluyendo las relativas a la identificación biométrica remota «en tiempo real» que pueden autorizarse puntualmente según se regula en elcapítulo III de esta Ley. También se consideran muy graves por parte de los operadores la no notificación de incidentes graves a las autoridades de vigilancia, y el incumplimiento de las medidas correctoras que estas últimas les impongan, por ignorar los controles que el sistema de vigilancia puede imponer para detener la expansión de los perjuicios.

Se consideran graves la mayor parte de las infracciones de las obligaciones que se imponen a los operadores, en atención al límite máximo de sanción que les impone el Reglamento (UE) 2024/1689, de 13 de junio. Algunas de estas obligaciones que pueden considerarse faltas administrativas de consecuencias limitadas y fácilmente subsanables, se consideran leves.

Se aborda, a continuación, la graduación de las sanciones, introduciendo criterios que obligatoriamente habrá que valorar cuando sean aplicables, y que en su mayoría se establecen en el Reglamento (UE) 2024/1689, de 13 de junio, siendo casi idénticos a los que establece el Reglamento(UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protecciónde datos. Dado el carácter general de los criterios, se establece la posibilidad de su desarrolloreglamentario, atendiendo al principio de tipicidad establecido en el artículo 27 de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público.

Se concede la competencia sancionadora para una infracción a la autoridad de vigilancia de mercado competente, que será la que haya sido designada para la supervisión del sector del mercado en elque opere el sistema de IA con el que la presunta infracción se comete, y se establece un procedimiento administrativo para la tramitación y posible imposición de las sanciones.

Se establece un régimen de actuaciones previas necesario para que la autoridad competente recabeinformación sobre los hechos, y de medidas de carácter provisional para asegurar la eficacia de la resolución y evitar el mantenimiento de los riesgos o daños que pudieran estar causándose sobre los derechos fundamentales, la seguridad o la salud. Se definen, además, los plazos de prescripción.

Para el caso de que el sujeto infractor sea una pyme, y la infracción no fuera muy grave, se establece un régimen de requerimiento por el que la resolución podrá terminar el procedimiento sancionador con la adopción por el responsable, en plazo y forma, de las medidas correctoras pertinentes y la indemnización total de los daños y perjuicios causados, en su caso.

Asimismo, para el caso de que el sujeto infractor fuera una entidad del sector público, se establece que la resolución podrá apercibir al infractor e imponerle medidas correctoras, excluyendo la imposición de multas, como dispone el artículo 99.8 del Reglamento (UE) 2024/1689, de 13 de junio. La autoridad devigilancia de mercado también podrá iniciar acciones disciplinarias, siguiendo el régimen disciplinario o sancionador aplicable al caso.

La sanción aplicada podrá ser reducida, por reconocimiento de responsabilidad y por pago voluntario. En todo caso, y sin perjuicio de la sanción que pudiera recaer, será obligatoria la restauración de lasituación previa a la infracción, así como la indemnización de daños y perjuicios. Se prevé la aplicación de multas coercitivas, hasta que esta restauración se produzca, y la ejecución subsidiaria de las mismas.

La disposición adicional primera establece cuándo se elaborarán los primeros informes con carácter anual que el Reglamento establece como obligatorios para los Estados Miembros.

La disposición adicional segunda prevé la creación y regulación de una base de datos nacional en España donde registrar los sistemas de IA dedicados a la gestión de infraestructuras críticas que, porsu importancia para la seguridad, se han establecido como excepciones en el Reglamento para su registro europeo, el cual será publicado.

La disposición final primera recoge la modificación la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, para atribuir a los juzgados de lo contencioso- administrativo la competencia para la concesión de autorizaciones de prácticas prohibidas que regula el capítulo II.

La disposición final segunda recoge el título competencial que ampara la ley.

La disposición final tercera habilita el desarrollo reglamentario de la Ley y de sus anexos. La disposición final cuarta recoge la entrada en vigor de la Ley.

En cuanto a los anexos de la norma, el anexo contiene los objetivos, de los contemplados en elReglamento (UE) 2024/1689, de 13 de junio, para los que esta Ley considera aceptable hacer excepciones a la prohibición general. Se consignan, de partida, todos los objetivos y delitos que contempla dicho Reglamento, con el objeto de suprimir los que se consideren inaceptables en España.

Esta Ley atiende a los principios de buena regulación establecidos en el artículo 129 de la Ley 39/2015, de 1 de octubre de Procedimiento Administrativo Común de las Administraciones Públicas.

En su virtud, a propuesta del Ministro para la Transformación Digital y de la Función Pública, previo informe de la Ministra de Hacienda, de acuerdo con el Consejo de Estado y previa deliberación del Consejo de Ministros, en su reunión del día XX de XXXXX de 2025.

DISPONGO

CAPÍTULO I: DISPOSICIONES GENERALES

 Artículo 1. Objeto.

 Esta Ley establece el régimen jurídico sancionador aplicable a los sistemas de IA introducidos, puestos en servicio, comercializados o en pruebas en condiciones reales, en territorio español, por incumplimientos del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) nº 300/2008, (UE) nº 167/2013, (UE) nº 168/2013, (UE) 2018/858,(UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828. Asimismo, regula el régimen jurídico de autorización de uso de los sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho, en cumplimiento con el artículo 5 del mismo Reglamento.

Artículo 2. Definiciones.

1. A los efectos de esta Ley, serán de aplicación las definiciones del artículo 3 del Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024.
2. PYME: Se considera pyme, a los efectos de esta Ley, aquella entidad que cumpla con la definición de pequeñas y medianas empresas establecida en el anexo I del Reglamento (UE) 651/2014 de la Comisión, de 17 de junio de 2014, por el que se declaran determinadas categorías deayudas compatibles con el mercado interior en aplicación de los artículos 107 y 108 del Tratado.
3. Sector Público: A los efectos de esta Ley, se consideran sector público las entidades así consideradas en el artículo 1 y 2.2 de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público.
4. Reglamento (UE) 2024/1689, de 13 de junio: Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia deinteligencia artificial y por el que se modifican los Reglamentos (CE) nº 300/2008, (UE) nº 167/2013,(UE) nº 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828.
5. Reglamento de Seguridad de Productos: Reglamento (UE) 2023/988 del Parlamento Europeo y delConsejo de 10 de mayo de 2023 relativo a la seguridad general de los productos, por el que se modifican el Reglamento (UE) nº 1025/2012 del Parlamento Europeo y del Consejo y la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2001/95/CE del Parlamento Europeo y del Consejo y la Directiva 87/357/CEE del Consejo.
6. Reglamento de Vigilancia del Mercado y la Conformidad de los Productos: Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a la vigilancia delmercado y la conformidad de los productos y por el que se modifican la Directiva 2004/42/CE y los Reglamentos (CE) n° 765/2008 y (UE) n° 305/2011.
7. Reglamento general de protección de datos: Reglamento (UE) 2016/679 del Parlamento Europeo ydel Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta altratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
8. Directiva de tratamiento datos personales en asuntos penales: Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la decisión marco 2008/977/JAI del Consejo.
9. Espacio de acceso público: A efectos de esta Ley se consideran espacios de acceso público aquellos definidos a través del considerando 19 del Reglamento (UE) 2024/1689, de 13 de junio.

Artículo 3. Ámbito subjetivo.

1. La presente Ley se aplica, en los términos que establece artículo 2 del Reglamento (UE) 2024/1689, de 13 de junio, tanto a las personas jurídicas como a las entidades del sector público, cuando actúen como operadores, en concreto:
   • a. Proveedores de sistemas de IA y de modelos IA de uso general.
   • b. Proveedores potenciales de sistemas de IA y de modelos IA de uso general que realicen pruebas en condiciones reales antes de la introducción en el mercado o puesta en servicio.
   • c. Responsables del despliegue de sistemas de IA.
   • d. Fabricantes de productos que introduzcan en el mercado o pongan en servicio un sistema de IA junto con su producto y con su propio nombre o marca.
   • e. Representantes autorizados de proveedores que no estén establecidos en la Unión.
   • f. Importadores y distribuidores de sistemas de IA.
2. La presente Ley se aplica igualmente a los organismos notificados.
3. Las infracciones y sanciones previstas en la presente Ley no serán de aplicación a los supuestos excluidos del Reglamento (UE) 2024/1689, de 13 de junio en su artículo 2, apartados 3 a 8.

CAPÍTULO II: GOBERNANZA Y SUPERVISIÓN

Artículo 4. Autoridad notificante.

1. La autoridad notificante designada en el presente artículo será competente para el ejercicio de la potestad sancionadora de los organismos notificados recogidos en el artículo 4 sección e).
2. Se designa a la Secretaría de Estado de Digitalización e Inteligencia Artificial, a través de la Dirección General de Inteligencia Artificial, como autoridad notificante a los efectos de lo dispuesto en el artículo 28.1 del Reglamento (UE) 2024/1689, de 13 de junio, como órgano responsable de establecer los procedimientos necesarios para la evaluación, designación y notificación de los organismos de evaluación de la conformidad, así como de su supervisión.
3. No obstante, la evaluación y la supervisión de los organismos notificados se realizarán por el organismo nacional de acreditación de conformidad con el Real Decreto 1715/2010, de 17 de diciembre, por el que se designa a la Entidad Nacional de Acreditación (ENAC) como organismo nacional de acreditación de acuerdo con lo establecido en el Reglamento (CE) n.º 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y vigilancia del mercado relativos a la comercialización de los productos y por el que se deroga el Reglamento (CEE) n.º 339/93, en virtud del artículo 28.2 del Reglamento (UE) 2024/1689, de 13 de junio.
4. Cuando se compruebe que un organismo notificado previamente designado ya no satisface los requisitos establecidos en el artículo 31 del Reglamento (UE) 2024/1689, de 13 de junio la autoridad notificante designada o el organismo nacional de acreditación, en su caso, retirará la designación, previa tramitación del correspondiente procedimiento administrativo, con audiencia al interesado, e informará de ello a la Comisión Europea y a los demás Estados miembros de acuerdo con lo recogido en el artículo 36 de dicho Reglamento.

Artículo 5. Comité Europeo de Inteligencia Artificial.

Corresponde a la Secretaría de Estado de Digitalización e Inteligencia Artificial la designación del representante en el Consejo de IA establecida en el artículo 65.3 del Reglamento (UE) 2024/1689, de 13 de junio.

Artículo 6. Autoridades de vigilancia del mercado.

1. Será competente para el ejercicio de la potestad sancionadora respecto de los sujetos mencionados en el apartado 1 del artículo 3 la autoridad de vigilancia del mercado competente designada de conformidad con el presente artículo.
2. Se designa a la Agencia Española de Supervisión de Inteligencia Artificial como Punto de contacto único de acuerdo con lo establecido en el artículo 70.2 del Reglamento (UE) 2024/1689, de 13 de junio, y como autoridad de vigilancia del mercado de los siguientes sistemas de IA:
   • a. Los que realicen prácticas de IA prohibidas recogidas en los apartados a), b), c), e) y f) del artículo1 del Reglamento (UE) 2024/1689, de 13 de junio, siempre que los sistemas no se utilicen a los efectosde la garantía del cumplimiento del derecho, la gestión de fronteras, y la justicia o los procesos democráticos.
   • b. Los sistemas de IA de alto riesgo descritos en el Anexo III del Reglamento (UE) 2024/1689, de13 de junio, apartado 1, relativo al ámbito de la biometría, siempre que los sistemas no se utilicen a losefectos de la garantía del cumplimiento del derecho, la gestión de fronteras, y la justicia o los procesosdemocráticos, y excluyendo, en consonancia con el Anexo 1 a) de dicho Reglamento, los sistemas para identificación biométrica remota cuya única finalidad sea confirmar que una persona física concreta es la persona que afirma ser.
   • c. Los sistemas de IA de alto riesgo descritos en el Anexo III del Reglamento (UE) 2024/1689, de 13 de junio, apartado 2, relativo al ámbito de infraestructuras críticas.
   • d. Los sistemas de IA de alto riesgo descritos en el Anexo III del Reglamento (UE) 2024/1689, de 13 de junio, apartado 3, relativo al ámbito de la educación y formación profesional.
   • e. Los sistemas de IA de alto riesgo descritos en el Anexo III del Reglamento (UE) 2024/1689, de 13 de junio, apartado 4, relativo al ámbito del empleo y gestión de las personas trabajadoras.
   • f. Los sistemas de IA de alto riesgo descritos en el Anexo III del Reglamento (UE) 2024/1689, de 13 de junio, apartado 5, relativo al ámbito de los servicios y prestaciones esenciales, exceptuando aquellos descritos en la letra b) y c), relativos a sistemas para la evaluación de solvencia o calificacióncrediticia y a los de evaluación de riesgos y la fijación de precios en relación con las personas físicas en el caso de los seguros de vida y de salud, respectivamente.
   • g. Los sistemas de IA que no se categoricen como prohibidos o de alto riesgo, cuando puedan incumplir el deber de transparencia u otra obligación establecida en la normativa aplicable en materia de IA.

3. Se designa a la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus respectivas competencias, como autoridades de vigilancia del mercado de los siguientes sistemas de IA:
   • a. Los que realicen prácticas de IA prohibidas recogidas en los apartados d), g) y h) del artículo 5.1 del Reglamento (UE) 2024/1689, de 13 de junio.
   • b. Los sistemas de IA de alto riesgo descritos en el Anexo 1 del Reglamento (UE) 2024/1689, de 13 de junio, relativo al ámbito de la biometría, cuando los sistemas se utilicen a los efectos de lagarantía del cumplimiento del derecho o la gestión de fronteras, excluyendo, en consonancia con el Anexo III.1 a) de dicho Reglamento, los sistemas para identificación biométrica remota cuya única finalidad sea confirmar que una persona física concreta es la persona que afirma ser.
   • c. Los sistemas de IA de alto riesgo descritos en el Anexo 6 del Reglamento (UE) 2024/1689, de 13 de junio, relativo al ámbito de la garantía del cumplimiento del derecho, y las prácticas prohibidas de IA que recaigan en este ámbito.
   • d. Los sistemas de IA de alto riesgo descritos en el Anexo 7 del Reglamento (UE) 2024/1689, de13 de junio, relativo al ámbito de migración, asilo y gestión del control fronterizo, y las prácticas prohibidas de IA que recaigan en este ámbito.

4. Se designa al Banco de España y a la Comisión Nacional de Mercados y Valores (CNMV) como autoridades de vigilancia del mercado, en el área de competencia que cada una ostenta en relación dela supervisión financiera de entidades financieras con arreglo a la legislación relativa a la supervisión de servicios financieros, de los sistemas de IA de alto riesgo descritos en el Anexo III.5 b) del Reglamento (UE) 2024/1689, de 13 de junio, relativo a sistemas del ámbito de la evaluación de solvencia o calificación crediticia.

5. Se designa a la Dirección General de Seguros y Fondos de Pensiones, en el área de competencia que ostenta con arreglo a la legislación relativa a la supervisión de seguros de vida y de salud, como autoridad de vigilancia del mercado de los sistemas de IA de alto riesgo descritos en el Anexo III.5 c) del Reglamento (UE) 2024/1689, de 13 de junio, relativo a sistemas de IA destinados aser utilizados para la evaluación de riesgos y la fijación de precios en relación con las personas físicas en el caso de los seguros de vida y de salud.
6. Se designa a la Dirección de Supervisión y Control de Protección de Datos del Consejo Generaldel Poder Judicial como autoridad de vigilancia del mercado de los sistemas de IA de alto riesgo descritos en el Anexo 8.a) del Reglamento (UE) 2024/1689, de 13 de junio, relativo a los ámbitos de la administración de justicia, y las prácticas prohibidas de IA que recaigan en este ámbito. Así mismo, sedesigna a la Junta Electoral Central como autoridad de vigilancia de mercado de los sistemas de IA de alto riesgo descritos en el Anexo III.8.b) de dicho Reglamento, relativa a procesos democráticos, así como las prácticas prohibidas de IA que recaigan en este ámbito.
7. Las autoridades de vigilancia del mercado designadas en virtud de los actos legislativos enumerados en el anexo I, sección A del Reglamento (UE) 2024/1689, de 13 de junio, actuarán como autoridades de vigilancia del mercado de los sistemas de IA de alto riesgo asociados a los productos regulados por dichos actos legislativos de armonización.
   Cuando una de estas autoridades de vigilancia del mercado comunique a la Agencia Española de Supervisión de la Inteligencia Artificial la carencia de medios técnicos, financieros y humanos idóneos para la supervisión, inspección y sanción de sistemas de IA, asumirá tales funciones la Agencia, garantizando la coordinación con la autoridad sectorial de vigilancia del mercado pertinente, hasta que dicha autoridad comunique disponer de los medios idóneos para ejercer las funciones de vigilancia, inspección y sanción.

8. Para el resto de los casos no contemplados en la presente Ley, o en caso de nuevas áreas de supervisión de inteligencia artificial establecidas por la Comisión a través de actos delegados de acuerdo con su artículo 7.1 corresponderá a la Secretaría de Estado de Digitalización e Inteligencia Artificial, por Resolución de la persona titular, la designación de otras autoridades de vigilancia delmercado diferentes de las establecidas en el presente artículo, incluyendo el supuesto previsto en el párrafo 2º del artículo 74.3 del Reglamento. Dicha designación exigirá la previa evaluación de la idoneidad de los medios financieros y humanos asignados.
9. Corresponden a la Secretaría de Estado de Digitalización e Inteligencia Artificial las comunicaciones a la Comisión sobre las identidades y funciones de las autoridades de vigilancia de mercado que establece el artículo 70.2 del Reglamento (UE) 2024/1689, de 13 de junio.
10. Corresponde a las autoridades de vigilancia del mercado todas las funciones de vigilancia, inspección y sanción de los sistemas de inteligencia artificial establecidas en el Capítulo IX del Reglamento (UE) 2024/1689, de 13 de junio.
11. En cualesquiera supuestos en los que las decisiones o las actuaciones de una autoridad de vigilancia puedan afectar a los intereses o a las competencias de otras, deberá aquella recabar informe de estas antes de resolver.
12. Con carácter excepcional y cuando sea necesario para evitar o mitigar las consecuencias derivadas de incidentes graves causados por sistemas de IA, la Agencia Española de Supervisión de Inteligencia Artificial promoverá, coordinará o adoptará cuantas medidas sean necesarias, con lacolaboración de las autoridades antes descritas, con la Comisión Europea y de acuerdo con sus respectivas competencias.
13. La Agencia Española de Supervisión de Inteligencia Artificial presentará a la Comisión el informe previsto en el artículo 70.6 del Reglamento (UE) 2024/1689, de 13 de junio, acerca del estado de los recursos financieros y humanos de las autoridades competentes, que incluirá una evaluación de su idoneidad.
14. Las autoridades de vigilancia de mercado presentarán a la Agencia Española de Supervisión de laInteligencia Artificial, con carácter anual o a petición de la Agencia, un informe sobre el estado de sus recursos financieros y humanos, incluyendo una evaluación de su idoneidad.
15. La Agencia Española de Supervisión de Inteligencia Artificial podrá prestar, en el ámbito del Reglamento (UE) 2024/1689, de 13 de junio, asistencia técnica a las autoridades de vigilancia de mercado competentes, incluyendo la tramitación de expedientes y el posible ejercicio de potestades públicas o administrativas, en los términos que se establezcan en los oportunos convenios de colaboración.

Artículo 7. Actuaciones inspectoras.

1. Las autoridades de vigilancia del mercado realizarán las actuaciones inspectoras que sean precisas para el ejercicio de su función de supervisión y control. El personal funcionario adscrito a las unidades administrativas competentes que realicen la inspección tendrá la consideración de autoridad pública en la instrucción de los procedimientos sancionadores previstos en la presente Ley.
2. Las autoridades de vigilancia de mercado podrán ser asistidas por la Agencia Española de Supervisión de Inteligencia Artificial, así como, de acuerdo con los actos delegados de la Comisión, porlos expertos descritos en el artículo 69 del Reglamento (UE) 2024/1689, de 13 de junio, en las laboresde supervisión y control que les asigna dicho Reglamento (UE) 2024/1689, de 13 de junio y esta Ley.
3. Podrá requerirse la realización de pruebas en laboratorios o entidades especializadas para acreditar el cumplimiento de determinados En este caso, los proveedores sancionados deberán asumir todos los gastos que ocasione esta evaluación.
4. En todos estos supuestos se deberán garantizar los deberes de confidencialidad exigidos en el artículo 78 del Reglamento (UE) 2024/1689, de 13 de junio.

Artículo 8. Coordinación de las autoridades de vigilancia del mercado.

1. Con el fin de garantizar una actuación uniforme, coordinada y eficaz en el desarrollo de las actuaciones que les atribuye esta Ley, las autoridades de vigilancia del mercado se suministrarán e intercambiarán cualquier información operativa que asegure la adecuada coordinación en el ejercicio de sus funciones.
   En las actuaciones de inspección, vigilancia y control de lo dispuesto en el Reglamento (UE) 2024/1689, de 13 de junio, las autoridades de vigilancia del mercado tendrán especialmente en cuenta los hallazgos e intercambios producidos en el contexto del Comité Europeo de Inteligencia Artificial y, en todo caso, las directrices sobre la aplicación la aplicación del mencionado Reglamento que, según éste describe en su artículo 96, elabore la Comisión.
2. De acuerdo con lo establecido en el apartado anterior, las autoridades de vigilancia del mercado:
   • a. Informarán sobre los incidentes graves, de acuerdo con los artículos 73 y 76 del Reglamento (UE) 2024/1689, de 13 de junio.
   • b. Ante la identificación de un riesgo presentado por un sistema de IA, cuando la autoridad de vigilancia del mercado estime que la infracción excede el territorio nacional, informarán sobre la evaluación del sistema, las medidas correctoras dictadas al operador y, en su caso, las medidas provisionales adoptadas, de acuerdo con el artículo 79 del Reglamento (UE) 2024/1689, de 13 de junio.
   • c. Cuando la autoridad de vigilancia del mercado estime que es de alto riesgo un sistema de IA que el operador clasificó como no de alto riesgo, y que la utilización del sistema no se circunscribe al territorio nacional, informará sobre la evaluación del sistema, las medidas correctoras dictadas al operador y, en su caso, las medidas provisionales adoptadas, de acuerdo con el artículo 80 del Reglamento (UE) 2024/1689, de 13 de junio.
   • d. Cuando la autoridad de vigilancia del mercado concluya que un sistema de IA de alto riesgo quees conforme con el Reglamento (UE) 2024/1689, de 13 de junio presenta riesgos para la salud o laseguridad de las personas, los derechos fundamentales u otros aspectos de protección del interés público,informará con detalle sobre las conclusiones obtenidas, de acuerdo con el artículo 82 del Reglamento (UE) 2024/1689, de 13 de junio.
     Dicha información se remitirá en un plazo no superior a 72 horas a través del sistema Safety Gate contemplado en el Reglamento de Seguridad de Productos, o cualquier otro que lo sustituya.

3. Las autoridades de vigilancia del mercado harán uso del sistema de información y comunicacióndel artículo 34 del Reglamento de Vigilancia del Mercado y de la Conformidad de los Productos, con el fin de intercambiar datos sobre cuestiones relativas a la aplicación del Reglamento (UE) 2024/1689, de 13 de junio y de otra legislación de seguridad de producto que pueda ser de aplicación en el ejercicio de sus funciones.
4. La Agencia Española de Supervisión de Inteligencia Artificial podrá poner en marcha las medidas que resulten más adecuadas para lograr la efectiva coordinación de las actuaciones orientadas a la prevención de los riesgos y a la aplicación del régimen de supervisión de sistemas de inteligencia artificial establecido en el Reglamento (UE) 2024/1689, de 13 de junio.
5. A efectos de garantizar dicha coordinación, se crea la Comisión mixta de coordinación de autoridades de vigilancia del mercado a efectos de asegurar la aplicación de las competencias definidas en esta Ley. La Agencia Española de Supervisión de Inteligencia Artificial ostentará su presidencia, la secretaría y la gestión del órgano.
6. Sin perjuicio de las medidas de coordinación y colaboración que se establezcan reglamentariamente, las autoridades de vigilancia del mercado designadas bajo esta Ley intercambiarán la información anual sobre las actividades que realicen para garantizar la elaboración del informe anual que se establece como obligación en los artículos 5 y 6 del Reglamento (UE) 2024/1689, de 13 de junio.

Artículo 9. Gobernanza de los espacios controlados de pruebas para la IA.

1. La Agencia Española de Supervisión de Inteligencia Artificial será la autoridad nacional competente responsable de establecer el espacio controlado de pruebas para la IA de obligada creación en virtud del artículo 57.1 del Reglamento (UE) 2024/1689, de 13 de junio. Este espacio controlado de pruebas se sujetará a lo establecido en el Capítulo VI de dicho Reglamento, además de a los actos de ejecución adoptados por la Unión, tal y como establece el artículo 1 de dicho Reglamento.
2. La creación de un espacio controlado de pruebas en el ámbito del Capítulo VI del Reglamento (UE) 2024/1689, de 13 de junio, adicional al que exige su artículo 57.1, deberá ser propuesta por una autoridad nacional competente con competencias de ámbito nacional, en aras de proporcionar, de forma homogénea, la orientación, supervisión y apoyo dentro del espacio controlado de pruebas para la IA que determinan los apartados 6 y 7 del artículo 57 de dicho Reglamento.
   La autoridad nacional competente proponente deberá recabar informe preceptivo de la Agencia Española de Supervisión de Inteligencia Artificial con carácter previo al establecimiento del espacio controlado de pruebas adicional. En dicho informe se evaluará la asignación de recursos suficientes y garantizará el nivel de cooperación exigido por el artículo 57.4 del Reglamento (UE) 2024/1689, de 13 de junio.
3. La creación de entornos controlados de pruebas en el ámbito del Capítulo VI del Reglamento (UE) 2024/1689, de 13 de junio adicionales a escala regional o local, o de ámbito sectorial, contemplados en el artículo 57.2 del Reglamento (UE) 2024/1689, de 13 de junio, será posible siempre que se sujete a lo estipulado en este artículo, a efectos de garantizar las obligaciones de coordinación y de información a las autoridades europeas sobre el desarrollo de entornos de pruebas controlados recogidos en los artículos 57.4 y 57.15 de dicho Reglamento.

CAPÍTULO III: PROHIBICIONES Y EXCEPCIONES

 Artículo 10. Prácticas prohibidas.

1. Queda prohibida la introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA cuya práctica se defina como prohibida según lo recogido en el artículo 5.1, párrafos a), b), c), d), e), f) y g) del Reglamento (UE) 2024/1689, de 13 de junio.
2. Queda prohibida la introducción en el mercado, la puesta en servicio o la utilización de un sistema deIA de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho, salvo que su uso sea estrictamente necesario para el cumplimiento de los fines que se describen en el Anexo II del Reglamento (UE) 2024/1689, de 13 de junio, y en ese caso en los términos descritos en el artículo 5 de esta Ley y en el artículo 5 de dicho Reglamento.

Artículo 11. Autorizaciones de uso de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho.

1. Cada uso de un sistema de IA de identificación biométrica «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho, por parte de una autoridad garante del Derecho interesada, se limitará a uno de los fines que se describen en el Anexo II del Reglamento (UE) 2024/1689, de 13 de junio, tendrá como objetivo la identificación de personas específicas, y estará sujeto a autorización judicial, en cumplimiento del artículo 5 de dicho Reglamento.
   No se podrán tratar datos sobre personas diferentes a las especificadas en la autorización. El responsable del despliegue del sistema de IA velará por que los datos de personas diferentes a las especificadas que se obtengan en el uso autorizado sean desechados y suprimidos sin demora indebida.
   Asimismo, los datos obtenidos durante el uso autorizado no podrán ser utilizados fuera del ámbito de lainvestigación de los hechos en que se justifica la autorización, y su existencia no tendrá cabida fuera del conjunto de evidencias correspondiente a esa investigación. El responsable del despliegue delsistema de IA velará por que los datos obtenidos sean desechados y suprimidos sin demora indebida una vez remitidos a la autoridad garante del Derecho interesada, que será responsable de su custodia como evidencia en los términos que fija la Ley.

2. La concesión de las autorizaciones mencionadas corresponderá a los Juzgados de lo Contencioso-administrativo.
3. La autoridad garante del Derecho interesada formulará una solicitud de autorización para cada uso, mediante escrito que contendrá los siguientes extremos:
   • a. URL o referencia inequívoca de la entrada del registro del sistema de IA en la base de datos de la UE, de conformidad con el artículo 5.2 del Reglamento (UE) 2024/1689, de 13 de junio.
   • b. Si motivos de urgencia hubieran impedido hasta el momento el registro en la base dedatos mencionado en el párrafo anterior, justificación de los motivos de urgencia, fecha de inicio del primer uso del sistema por parte de la autoridad solicitante del permiso, y los datos sobre el sistema descritos en el Anexo VIII, sección C, apartados 1, 2, 4, 5, y sección A, apartados 1, 2, 3, 4, 8 del Reglamento (UE) 2024/1689, de 13 de junio.
   • c. Si por motivos de urgencia se hubiera dado comienzo al uso antes de solicitar autorización judicial, justificación de estos motivos, y momento en que se haya dado comienzo al uso.
   • d. Especificación de las medidas concretas que se solicitan. Estas medidas deberán hacer mención a la conservación, destrucción o en su caso, bloqueo de los datos una vez finalizada la autorización de uso de identificación biométrica, debiendo establecer el modo de proceder con los datos una vez finalizada la autorización.
   • e. Identificación de la persona o personas afectadas por las medidas.
   • f. Ámbito geográfico donde hayan de practicarse las medidas solicitadas.
   • g. Ámbito temporal de las medidas solicitadas, que no podrá exceder de un mes, prorrogable por sucesivos períodos iguales en caso de necesidad.
   • h. Supuesto, de entre los enumerados en el Anexo I de la presente Ley, en que se justifica la necesidad de uso.
   • i. Hechos en que se apoya la solicitud, fines que la motivan y razones que hacen necesaria la autorización de las medidas solicitadas.
4. La solicitud deberá resolverse, mediante resolución motivada estimatoria o desestimatoria, en un plazo máximo de 48 horas, entendiéndose el silencio como desestimatorio.
5. La resolución detallará, al menos:
   • a. El sentido de la resolución.
   • b. La valoración del objetivo declarado, de la justificación de su necesidad, de la adecuación y proporcionalidad de las medidas solicitadas para alcanzarlo y, en su caso, de las razones de urgencia aducidas.
   • c. Las limitaciones personales, temporales y geográficas impuestas, en caso de estimación.
   • d. La obligación de desechar y suprimir aquellos datos biométricos que, durante la tramitación de la autorización de uso de identificación, sean ajenos a la finalidad de la autorización, en caso de estimación.
   • e. La obligación de interrumpir el uso con carácter inmediato y desechar y suprimir inmediatamente los datos e información obtenidos hasta ese momento, en caso de desestimación.
6. Ante resolución expresa o presunta de la solicitud, la autoridad garante del cumplimiento del Derecho notificará los siguientes aspectos de ésta a la Agencia Española de Protección de Datos:
   1. Número de personas afectadas.
   2. Ámbito geográfico donde hayan de practicarse las medidas solicitadas.
   3. Ámbito temporal de las medidas solicitadas.
   4. Supuesto, de entre los enumerados en el Anexo I de la presente Ley, en que se justifica la solicitud.
   5. Juzgado de lo contencioso-administrativo donde se presentó la solicitud.
   6. Fecha y hora de la solicitud.
   7. Fecha y hora de la resolución.
   8. Fecha y hora del inicio del uso.
   9. Sentido de la resolución.
7. Si, por motivos de urgencia, se hubiera iniciado el uso antes de disponer de autorización judicial, ante la desestimación expresa o presunta de la solicitud, la autoridad garante del cumplimiento del Derecho interrumpirá inmediatamente el uso y desechará y suprimirá inmediatamente todos los resultados obtenidos hasta el momento, según el artículo 5.3 del Reglamento (UE) 2024/1689, de 13 de junio.

CAPÍTULO IV: INFRACCIONES Y SANCIONES

Artículo 12. Infracciones.

Las acciones u omisiones no tipificadas como delito que contravengan lo dispuesto en el Reglamento (UE) 2024/1689, de 13 de junio o lo dispuesto en esta Ley tendrán el carácter de infracciones administrativas.

Artículo 13. Clasificación de las infracciones.

1. Las infracciones se clasifican como muy graves, graves o leves en los artículos 8 a 21 de la presente Ley, y darán lugar a la imposición de las siguientes sanciones:
   • a. Las infracciones muy graves en sistemas de IA prohibidos se sancionarán con una multa de desde 7.500.001 euros hasta 35.000.000 euros o, si el infractor es una sociedad o grupo de sociedades, desde el 2% hasta el 7% del volumen de negocios total mundial correspondiente al ejercicio anterior, si este límite superior fuese mayor que el anterior.
   • b. Las infracciones muy graves en sistemas de IA de alto riesgo se sancionarán con una multa de desde 7.500.001 euros hasta 15.000.000 euros o, si el infractor es una sociedad o grupo de sociedades, desde el 2% hasta el 3% del volumen de negocios total mundial correspondiente al ejercicio anterior, si este límite superior fuese mayor que el anterior.
   • c. Las infracciones graves se sancionarán con una multa de desde 001 euros hasta 7.500.000 euros o, si el infractor es una sociedad o grupo de sociedades, desde el 1% hasta el 2% del volumen de negocios total mundial correspondiente al ejercicio anterior, si este límite superior fuese mayor que el anterior.
   • d. Las infracciones leves se sancionarán con una multa de desde 6.000 euros hasta 500.000 euros o, si el infractor es una sociedad o grupo de sociedades, desde un 0,5% hasta el 1% del volumen de negocios total mundial correspondiente al ejercicio anterior, si este límite superior fuese mayor que el anterior.
     En el caso de las pymes, incluidas las empresas emergentes, cada una de las multas a las que se refiere el presente artículo podrá ser por el porcentaje o el importe a que se refieren los párrafos a), b) c) y d), según cuál de ellos sea menor, tal y como se establece en el artículo 99.6 del Reglamento (UE) 2024/1689, de 13 de junio.

2. En las infracciones muy graves por prácticas de IA prohibidas y en las infracciones en que un sistema de IA haya causado un incidente grave, en los términos del artículo 3.49 del Reglamento (UE) 2024/1689, de 13 de junio, la sanción impondrá adicionalmente la retirada del producto o la desconexión o prohibición del sistema de IA, en el ámbito territorial de la autoridad de vigilancia del mercado sancionadora.
3. En el supuesto de persistir en el incumplimiento del deber de subsanación de las obligaciones formales a que se refiere el artículo 83 del Reglamento (UE) 2024/1689, de 13 de junio, la autoridad de vigilancia del mercado adoptará en la resolución sancionadora las medidas necesarias para restringir o prohibir la comercialización del sistema de IA de alto riesgo o para asegurar que se recupera o retira del mercado sin demora.
4. A efectos de lo establecido en el presente artículo se considera un grupo de sociedades cuando una sociedad ostente o pueda ostentar, directa o indirectamente, el control de otra u otras, según lo dispuesto en el artículo 42 del Real Decreto, de 22 de agosto de 1885, por el que se publica el Código de Comercio.
   Así mismo, cuando una sociedad infractora pertenezca a un grupo de sociedades, se considerará el volumen de negocios del grupo de sociedades, a efectos del cálculo de límites de sanciones.

5. Las sanciones deberán ser proporcionadas a la actividad económica y empresarial de la empresa infractora, no pudiendo perder, en ningún caso, su carácter efectivo y disuasorio.

Artículo 14. Infracciones muy graves.

1. A efectos de esta Ley, se considerarán infracciones muy graves, relativas a las prácticas de IA prohibidas recogidas en el artículo 5 del Reglamento (UE) 2024/1689, de 13 de junio, las siguientes:
   • a. La introducción en el mercado, puesta en servicio o utilización de un sistema de IA cuya práctica se defina como prohibida según lo recogido en el artículo 1 apartados a), b), c), d), e), f) y g) del mencionado Reglamento (UE) 2024/1689, de 13 de junio de 2024.
   • b. El uso de un sistema de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho, fuera de los casos recogidos por el artículo 5.1.h) del mencionado Reglamento (UE) 2024/1689, de 13 de junio de 2024.
   • c. El uso de un sistema de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho sin disponer previamente de la autorización a la que hace referencia el artículo 5.3 del mencionado Reglamento (UE) 2024/1689, de 13 de junio de 2024, salvo en caso de urgencia debidamente justificada.
   • d. El uso de un sistema de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho cuando, dándose el caso de emergencia debidamente justificada, se iniciará el uso antes de solicitar la autorización, y esta solicitud no se produjera en las 24 horas siguientes al inicio del uso de este, conforme al artículo 5.3 del Reglamento (UE) 2024/1689, de 13 de junio de 2024.
   • e. El uso de un sistema de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho, sin respetar las limitaciones temporales, geográficas o personales, dispuestas en la autorización de uso del mismo, conforme al artículo 5.3 del Reglamento (UE) 2024/1689, de 13 de junio de 2024.
   • f. El incumplimiento de la obligación de eliminar los datos, resultados e información de salida generados por un sistema de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho, cuando por causas de emergencia se hubiera iniciado el uso antes de la resolución de la solicitud de su autorización, y esta solicitud fuera desestimada, conforme al artículo 5.3 del Reglamento (UE) 2024/1689, de 13 de junio de 2024.
   • g. El incumplimiento de la obligación de notificar cada uso de un sistema de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho, conforme al artículo 4 del Reglamento (UE) 2024/1689, de 13 de junio de 2024.

2. A efectos de esta Ley, se considerarán infracciones muy graves, relativas a los operadores de sistemas de alto riesgo, las siguientes:
   • a. La ausencia de notificación por un proveedor de sistemas de IA de alto riesgo, o del responsable del despliegue en su defecto, de cualquier incidente grave, a la autoridad de vigilancia del mercado competente, en los términos establecidos en el artículo 73 del Reglamento (UE) 2024/1689, de 13 de junio de 2024.
   • b. El incumplimiento total o parcial por un operador de las medidas definitivas impuestas por una autoridad de vigilancia del mercado, en el plazo requerido en cualquiera de los procedimientos previstos en el Reglamento (UE) 2024/1689, de 13 de junio de 2024 en sus artículos 79 y 80, sin la debida justificación.
3. La comisión de una infracción grave en el plazo de dos años desde que hubiese sido sancionado por una infracción grave de la misma naturaleza, contados desde la fecha de notificación de la resolución sancionadora firme, excepto aquellas que se deriven de la aplicación del artículo 99.5 del Reglamento (UE) 2024/1689, de 13 de junio de 2024.

Artículo 15. Infracciones graves aplicables a cualquier operador.

1. A efectos de esta Ley se considerarán infracciones graves por parte de cualquier operador:
   • a. La resistencia, obstrucción o negativa ante una actuación de evaluación, de verificación o de inspección de una autoridad de vigilancia del mercado en cualquiera de los procedimientos establecidos en los artículos 79 y 80 del Reglamento (UE) 2024/1689, de 13 de junio.
   • b. El incumplimiento total o parcial por un operador de las medidas provisionales impuestas por una autoridad de vigilancia del mercado, una vez transcurrido el período establecido para la adopción de las medidas, en cualquiera de los procedimientos previstos en los artículos 79 y 80 del Reglamento (UE) 2024/1689, de 13 de junio de 2024.
   • c. La resistencia u obstrucción injustificada por un operador al ejercicio por una autoridad de vigilancia del mercado de cualquiera de los poderes reconocidos en artículo 74 del Reglamento (UE) 2024/1689, de 13 de junio de 2024.
   • d. El incumplimiento total o parcial por un operador, en el plazo requerido, de las medidas impuestas por una autoridad de vigilancia del mercado en el procedimiento previsto en el artículo 82 del Reglamento (UE) 2024/1689, de 13 de junio de 2024, sin la debida justificación.
   • e. La falta de información, o su presentación deficiente, cuando sea requerida por una autoridad de vigilancia del mercado, a partir del vencimiento del plazo que establezca el segundo requerimiento de dicha información.
2. Se considerará infracción grave la comisión de una infracción leve en el plazo de dos años desde que hubiese sido sancionado por una infracción leve de la misma naturaleza, contados desde la fecha de notificación de la resolución sancionadora firme.

Artículo 16. Infracciones graves por parte de los proveedores y proveedores potenciales de sistemas de IA.

1. A efectos de esta Ley se considerarán infracciones graves por parte de los proveedores de sistemas de IA:
   • a. El incumplimiento de las obligaciones de documentación y registro que establece el artículo 6, apartado 4 del Reglamento (UE) 2024/1689, de 13 de junio, para los proveedores de sistemas de IA de cualquier categoría del Anexo III que consideren, en virtud del apartado 3 del mismo artículo, que el sistema no es de alto riesgo.
   • b. El incumplimiento de la obligación, cuando los sistemas de IA estén destinados a interactuar con personas físicas, de informar a estas personas de que están interactuando con un sistema de IA, conforme al artículo 50, apartados 1 y 5, del Reglamento (UE) 2024/1689, de 13 de junio de 2024.
   • c. El incumplimiento de la obligación, cuando los sistemas de IA generen contenido sintético de audio, imagen, video o texto, de marcar los resultados de salida de tal modo que pueda detectarse su naturaleza artificial, conforme al artículo 50, apartados 2 y 5, del Reglamento (UE) 2024/1689, de 13 de junio de 2024.
2. A efectos de esta Ley se consideran infracciones graves por parte de los proveedores de sistemas de IA de alto riesgo:
   • a. La introducción en el mercado o la puesta en servicio de sistemas de IA de alto riesgo que incumplan, por error u omisión, los requisitos definidos en el capítulo III, sección 2 del Reglamento (UE) 2024/1689, de 13 de junio de 2024.
   • b. El incumplimiento de la obligación que establece el Reglamento (UE) 2024/1689, de 13 de junio, en el artículo 16, letra k), de demostrar, previa solicitud motivada de la autoridad competente, laconformidad del sistema de IA de alto riesgo con los requisitos definidos en el capítulo III, sección 2 de dicho Reglamento.
   • c. La introducción en el mercado o la puesta en servicio de sistemas de IA de alto riesgo sin haber establecido e integrado un sistema de gestión de la calidad conforme al artículo 17 del Reglamento (UE) 2024/1689, de 13 de junio de 2024.
   • d. El incumplimiento de alguna de las obligaciones de redacción o conservación de documentación a las que se refiere el artículo 18 del Reglamento (UE) 2024/1689, de 13 de junio de 2024.
   • e. El incumplimiento de la obligación de conservar los archivos de registros generados automáticamente por los sistemas de IA de alto riesgo cuando estos archivos estén bajo el control del proveedor, conforme al artículo 19 del Reglamento (UE) 2024/1689, de 13 de junio de 2024.
   • f. No adoptar las medidas correctoras necesarias o no facilitar la información exigida, conforme al artículo 20 del Reglamento (UE) 2024/1689, de 13 de junio de 2024, relativo a la adopción de medidas correctoras ante indicios de no conformidad o detección de riesgos, y las obligaciones de información resultantes.
   • g. La introducción en el mercado o la puesta en servicio de sistemas de IA de alto riesgo sin haber nombrado a un representante autorizado por parte de los proveedores establecidos en tercerospaíses o, habiéndolo nombrado, la obstrucción a la realización de las tareas especificadas en el mandato, conforme al artículo 22 del Reglamento (UE) 2024/1689, de 13 de junio de 2024.
   • h. La introducción en el mercado o la puesta en servicio de sistemas de IA de alto riesgo que no hayan superado una evaluación de conformidad según establece el artículo 43 del Reglamento (UE) 2024/1689, de 13 de junio de 2024.
   • i. El incumplimiento de las obligaciones de registro en la base de datos nacional para los sistemas de IA de alto riesgo catalogados en el Anexo III del Reglamento (UE) 2024/1689, de 13 de junio, apartado 2, relativo a sistemas de IA para infraestructuras críticas, incluyendo los supuestos deincumplimiento en caso de modificación sustancial del sistema de Se exceptúa el supuesto en el que el proveedor haya designado al representante autorizado para cumplirlas, en particular si elproveedor ha concluido que el sistema de IA no es de alto riesgo en virtud del artículo 6.3 del Reglamento mencionado.

3. A efectos de esta Ley se considerarán infracciones graves por parte de un proveedor o proveedor potencial las siguientes acciones relativas a pruebas de sistemas de IA de alto riesgo en condiciones reales:
   • a. El incumplimiento, durante las pruebas en condiciones reales, de cualquiera de las condiciones que el Reglamento (UE) 2024/1689, de 13 de junio de 2024, en su artículo 60.4, establece como necesarias para su realización.
   • b. El incumplimiento de cualquiera de las medidas contempladas en el artículo 76.3 del Reglamento (UE) 2024/1689, de 13 de junio de 2024, que pueda imponer una autoridad de vigilancia del mercado en la supervisión de las pruebas en condiciones reales.

 Artículo 17. Infracciones graves por parte de los representantes autorizados de sistemas de IA.

 A efectos de esta Ley se consideran infracciones graves por parte de los representantes autorizados de sistemas de IA de alto riesgo:

• a. El incumplimiento de las obligaciones de registro en la base de datos nacional que establece el Reglamento (UE) 2024/1689, de 13 de junio para los sistemas de IA catalogados en el Anexo III,apartado 2, relativo a sistemas de IA para infraestructuras críticas, incluyendo los supuestos de incumplimiento en caso de modificación sustancial del sistema de IA, cuando el proveedor haya designado al representante autorizado para cumplirlas, en particular si el proveedor ha concluido queel sistema de IA no es de alto riesgo en virtud del artículo 3 del Reglamento (UE) 2024/1689, de 13 de junio.
• b. El incumplimiento de las obligaciones de los representantes autorizados que establece el artículo 22.3 del Reglamento (UE) 2024/1689, de 13 de junio de 2024.
• c. No poner fin al mandato recibido del proveedor e informar de ello conforme al artículo 22.4 del Reglamento (UE) 2024/1689, de 13 de junio de 2024, cuando el representante autorizado considere o tenga motivos para considerar que el proveedor contraviene las obligaciones que le atañen.

Artículo 18. Infracciones graves por parte de los importadores de sistemas de IA.

A efectos de esta Ley se consideran infracciones graves por parte de los importadores de sistemas de IA de alto riesgo:

• a. El incumplimiento de la obligación de verificar la conformidad del sistema con el Reglamento (UE) 2024/1689, de 13 de junio, conforme al artículo 23.1 de ese mismo Reglamento.
• b. La introducción en el mercado del sistema teniendo motivos para dudar de su autenticidad ode su conformidad con el Reglamento (UE) 2024/1689, de 13 de junio, conforme al artículo 2 de ese mismo Reglamento.
• c. La falta de indicación de su nombre, marca o nombre registrados y de los datos de contacto, conforme al artículo 23.3 del Reglamento (UE) 2024/1689, de 13 de junio.
• d. El incumplimiento de la obligación de asegurar, mientras sean responsables del sistema, que durante el almacenamiento o transporte no queden comprometidos los requisitos establecidos en el capítulo III, sección 2, del Reglamento (UE) 2024/1689, de 13 de junio, conforme al artículo 23.4 de dicho Reglamento.
• e. El incumplimiento de la obligación de proporcionar a las autoridades competentes la información necesaria para demostrar la conformidad del sistema con el Reglamento (UE) 2024/1689, de 13 de junio, conforme al artículo 23.6 de ese Reglamento.

Artículo 19. Infracciones graves por parte de los distribuidores de sistemas de IA.

A efectos de esta Ley se consideran infracciones graves por parte de los distribuidores de sistemas de IA de alto riesgo:

• a. El incumplimiento del artículo 1 del Reglamento (UE) 2024/1689, de 13 de junio, relativo a la verificación de que el producto venga debidamente marcado y acompañado de los documentos e información necesarios.
• b. El incumplimiento del artículo 24, apartados 2 y 4, del Reglamento (UE) 2024/1689, de 13 de junio, relativos a acciones que deben emprender los distribuidores cuando tengan razones para considerar que el sistema no es conforme con los requisitos que el mismo Reglamento establece en el capítulo III, sección 2.
• c. El incumplimiento del artículo 3 del Reglamento (UE) 2024/1689, de 13 de junio, relativo a la necesidad de asegurar condiciones de almacenamiento y transporte del sistema que no comprometan el cumplimiento de los requisitos establecidos en capítulo III, sección 2 del mismo Reglamento.
• d. El incumplimiento del artículo 6 del Reglamento (UE) 2024/1689, de 13 de junio, relativo a la cooperación con las autoridades competentes en las medidas que éstas adopten para el sistema.

Artículo 20. Infracciones graves por parte de los responsables del despliegue de sistemas de IA.

1. A efectos de esta Ley se consideran infracciones graves por parte de los responsables del despliegue de sistemas de IA:
   • a. El incumplimiento del artículo 3 del Reglamento (UE) 2024/1689, de 13 de junio, relativo a la obligación de informar a las personas físicas, en los términos que establece en apartado 5 del mismo artículo, de su exposición a la utilización del sistema cuando se trate de un sistema de reconocimiento de emociones o de categorización biométrica.
   • b. El incumplimiento del artículo 4 del Reglamento (UE) 2024/1689, de 13 de junio, relativo a la obligación de hacer pública, en los términos que establece el apartado 5 del mismo artículo, la naturaleza artificial de los resultados de salida de un sistema que genere o manipule imágenes o contenidos de audio o video que constituyan una ultrasuplantación, o que genere o manipule texto destinado a informar al público sobre asuntos de interés público.
2. A efectos de esta Ley se consideran infracciones graves por parte de los responsables del despliegue de sistemas de IA de alto riesgo:
   • a. El incumplimiento del artículo 1 del Reglamento (UE) 2024/1689, de 13 de junio, relativo a la necesidad de adoptar medidas técnicas y organizativas adecuadas para garantizar que el uso del sistema se hace de acuerdo con las instrucciones que lo acompañen.
   • b. El incumplimiento del artículo 2 del Reglamento (UE) 2024/1689, de 13 de junio, relativo a la necesidad de encomendar la supervisión humana del sistema a personas con la adecuada competencia, formación y autoridad.
   • c. El incumplimiento del artículo 4 del Reglamento (UE) 2024/1689, de 13 de junio, relativo a la obligación de asegurar que los datos de entrada sean pertinentes y representativos en vista de la finalidad del sistema.
   • d. El incumplimiento del artículo 5 del Reglamento (UE) 2024/1689, de 13 de junio, relativo a la obligación de vigilancia poscomercialización de los sistemas de IA basada en las instrucciones quelos acompañan, de información de riesgos e incidentes a otros operadores y a la autoridad de vigilancia del mercado, y a la posible necesidad de suspensión de uso del sistema ante la aparición de riesgos.
   • e. El incumplimiento del artículo 6 del Reglamento (UE) 2024/1689, de 13 de junio, relativo a la obligación del responsable del despliegue de conservar los archivos de registros generados automáticamente por sus sistemas de IA de alto riesgo, cuando estos archivos estén bajo su control.
   • f. El incumplimiento del artículo 7 del Reglamento (UE) 2024/1689, de 13 de junio, relativo a la obligación, cuando se despliegue un sistema de IA de alto riesgo en un lugar de trabajo, de informar a los representantes de las personas trabajadoras y a las personas trabajadoras afectadas de que estarán expuestos a la utilización de éste.
   • g. El incumplimiento del artículo 9 del Reglamento (UE) 2024/1689, de 13 de junio, relativo a la obligación de utilizar la información sobre el sistema que facilite el proveedor, conforme al artículo 13 del mismo Reglamento, cuando los responsables del sistema realicen una evaluación de impactorelativa a la protección de datos en cumplimiento del Reglamento General de Protección de Datos o la Directiva de tratamiento de datos personales en asuntos penales.
   • h. El incumplimiento del artículo 10 del Reglamento (UE) 2024/1689, de 13 de junio, relativo a las obligaciones y limitaciones en el uso de un sistema de IA de identificación biométrica remota en diferido en la búsqueda de una persona sospechosa de haber cumplido un delito o condenada por ello, por incurrir en una demora superior a 72 horas en la solicitud de permiso, o incumplir cualquier otra de las obligaciones y limitaciones que el mencionado artículo impone.
   • i. El incumplimiento del artículo 11 del Reglamento (UE) 2024/1689, de 13 de junio, relativo a la obligación de informar a las personas físicas de su exposición a la utilización del sistema cuando se trate de un sistema de alto riesgo de los descritos en el Anexo III de dicho Reglamento que participe en decisiones relacionadas con estas personas.
   • j. El incumplimiento del artículo 12 del Reglamento (UE) 2024/1689, de 13 de junio, relativo a la obligación de cooperar con las autoridades competentes pertinentes en las medidas que éstas adopten en relación con el sistema para aplicar el Reglamento.
   • k. El incumplimiento del artículo 27 del Reglamento (UE) 2024/1689, de 13 de junio, que regula la obligación de realizar una evaluación de impacto relativa a los derechos fundamentales cuando los responsables del despliegue sean organismos de Derecho público, o entidades privadas que prestan servicios públicos, y los responsables del despliegue de sistemas de IA de alto riesgo a que se refiereel anexo III de dicho Reglamento, punto 5, letras b) y c) del mencionado Reglamento.

Artículo 21. Infracciones graves por parte de los organismos notificados.

A efectos de esta Ley se consideran infracciones graves parte de los organismos notificados:

• a. Realizar funciones de proveedor de sistemas de IA cuando lleven a cabo actividades de evaluación de conformidad con respecto a dichos sistemas, o la ausencia de independencia del organismo notificado en relación a cualquier otro operador con un interés económico en los sistemas de IA de alto riesgo que se evalúen, así como de cualquier competidor del proveedor, conforme a lo establecido en el artículo 31.4 del Reglamento (UE) 2024/1689, de 13 de junio.
• b. La intervención por parte de personal directivo o del personal responsable de las evaluaciones de tareas de evaluación de conformidad de un organismo notificado en el diseño, desarrollo, comercialización o uso de sistemas de IA de alto riesgo, o la representación de las partes que llevan a cabo dichas actividades, así como la realización de cualquier actividad que pueda entrar en conflicto con su independencia de criterio o su integridad en relación a las actividades deevaluación de conformidad para las que fueron notificados, conforme a lo estipulado en el artículo 31.5 del Reglamento (UE) 2024/1689, de 13 de junio.
• c. La ausencia o la alteración, en sentido negativo, de la estructura y procedimientos por parte de los organismos notificados que garanticen la independencia, objetividad e imparcialidad de sus actividades, conforme al artículo 31.6 del Reglamento (UE) 2024/1689, de 13 de junio.
• d. La ausencia o falta de respeto de los procedimientos documentados que garanticen que el personal, comités, filiales, subcontratistas y organismos asociados o personal de organismos externos mantengan la confidencialidad de la información que llegue a su poder por parte de los organismosnotificados, conforme al artículo 7 del Reglamento (UE) 2024/1689, de 13 de junio.
• e. El incumplimiento de las obligaciones de cese de actividades de evaluación de conformidad por parte de los organismos notificados, tal y como se describen en el artículo 3 del Reglamento (UE) 2024/1689, de 13 de junio.
• f. La ausencia de suscripción del seguro de responsabilidad adecuado para las actividades de evaluación de conformidad de los organismos notificados, conforme el artículo 9 del Reglamento (UE) 2024/1689, de 13 de junio.

Artículo 22. Infracciones leves por parte de cualquier operador.

A efectos de esta Ley, se considerarán infracciones leves por parte de cualquier operador no facilitarcualquier información requerida por las autoridades de vigilancia del mercado en el ejercicio de sus competencias o facilitarla de forma incompleta, inexacta o engañosa por un operador, de acuerdo con el artículo 99.5 del Reglamento (UE) 2024/1689, de 13 de junio, siempre que no constituya una infracción más grave.

Asimismo, constituirán infracciones leves el incumplimiento de las obligaciones impuestas a cualquier operador determinadas por el Reglamento (UE) 2024/1689, de 13 de junio, que no constituyaninfracción grave o muy grave conforme a lo dispuesto en los ocho artículos anteriores.

Artículo 23. Infracciones leves por parte de los proveedores de sistemas de IA.

A efectos de esta Ley, se consideran infracciones leves por parte de los proveedores de sistemas de IA:

• a. No indicar la información comercial y de contacto en los sistemas de IA de alto riesgo en el embalaje del sistema o en la documentación que lo acompañe, según proceda, conforme al artículo 16 b) del Reglamento (UE) 2024/1689, de 13 de junio de 2024.
• b. No subsanar en el plazo establecido por la autoridad de vigilancia del mercado los incumplimientos formales relativos a obligaciones de marcado del sistema de IA de alto riesgo conforme a los artículos 16 h) y 83 del Reglamento (UE) 2024/1689, de 13 de junio de 2024.
• c. El incumplimiento de la obligación de elaborar la declaración UE de conformidad, conforme al artículo 47 del Reglamento (UE) 2024/1689, de 13 de junio.
• d. La introducción en el mercado o la puesta en servicio de sistemas de IA de alto riesgo sin haber realizado el oportuno marcado CE, conforme al artículo 48 del Reglamento (UE) 2024/1689, de 13 de junio.
• e. El incumplimiento por parte del sistema de IA de alto riesgo de los requisitos que establece el artículo 16, apartado l, del Reglamento (UE) 2024/1689, de 13 de junio, de accesibilidad de conformidad con las Directivas (UE) 2016/2102 de 26 de octubre de 2016, sobre la accesibilidad de los sitios web y aplicaciones para dispositivos móviles de los organismos del sector público, y (UE) 2019/882 de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios.
• f. El incumplimiento de las obligaciones de registro a las que se refiere el artículo 49, apartado 1 del Reglamento (UE) 2024/1689, de 13 de junio.

Artículo 24. Infracciones leves por parte de los importadores de sistemas de IA.

A efectos de esta Ley, se considera infracción leve por parte de los importadores el incumplimiento de laobligación de conservar documentación del sistema conforme al artículo 23.5 del Reglamento (UE) 2024/1689, de 13 de junio.

Artículo 25. Infracciones leves por parte de los responsables del despliegue de sistemas de IA.

 A efectos de esta Ley se consideran infracciones leves por parte de los responsables del despliegue:

• a. El incumplimiento, por parte de los responsables del despliegue que sean autoridades públicas, o instituciones, órganos y organismos de la Unión, del artículo 8 del Reglamento (UE) 2024/1689, de 13 de junio, relativo a las obligaciones de registro a que se refiere el artículo 49 del citado Reglamento.
• b. El incumplimiento del artículo 10 del Reglamento (UE) 2024/1689, de 13 de junio, relativo a las obligaciones y limitaciones en el uso de un sistema de IA de identificación biométrica remota en diferido en la búsqueda de una persona sospechosa de haber cumplido un delito o condenada por ello, por incurrir en una demora superior a 48 horas e inferior a 72 horas en la solicitud.

Artículo 26. Infracciones leves por parte de los organismos notificados.

 A efectos de esta Ley se consideran infracciones leves por parte de los organismos notificados:

• a. El cese o la omisión de los requisitos establecidos por parte de los organismos notificados en materia organizacional, de gestión de la calidad, recursos y procesos necesarios para el desempeño de sus funciones, así como en materia de ciberseguridad, y que no constituyan infracción grave.
• b. La falta de respeto u omisión en el diseño de los procedimientos para desempeñar los procedimientos de los organismos notificados que deba tener en cuenta el tamaño de los operadores,el sector en que operan, su estructura y el grado de complejidad del sistema de IA de que se trate.
• c. La ausencia de competencias técnicas internas suficientes para evaluar las tareas que lleven a cabo agentes externos en su nombre o la falta de personal adecuado conforme se describe en el artículo 31.11 del Reglamento (UE) 2024/1689, de 13 de junio.
• d. La falta de participación en las actividades de coordinación a las que se refiere el artículo 38 del Reglamento (UE) 2024/1689, de 13 de junio.
• e. El incumplimiento de alguna de las obligaciones operativas a las que están sujetos conforme al artículo 34 del Reglamento (UE) 2024/1689, de 13 de junio.

Artículo 27. Graduación de las sanciones.

1. Las Administraciones públicas deberán guardar la debida adecuación entre la sanción y el hecho constitutivo de la infracción, considerando especialmente su repercusión y su trascendencia por lo querespecta a la salud y seguridad de las personas y a sus derechos En particular, deberá evaluarse para cada caso concreto:
   • a. La naturaleza, la gravedad y la duración de la infracción y de sus consecuencias, teniendo en cuenta la finalidad del sistema de IA y, cuando proceda, el número de personas afectadas y el nivel de los daños que hayan sufrido.
   • b. Si otras autoridades de vigilancia del mercado, tanto en el ámbito nacional como como en el de la Unión Europea han impuesto ya multas administrativas al mismo operador por el mismo tipo infractor.
   • c. Si otras autoridades han impuesto ya multas administrativas al mismo operador por infracciones de otros actos legislativos nacionales o de la Unión, cuando dichas infracciones se deriven de la misma actividad u omisión que constituya una infracción pertinente del presente Reglamento.
   • d. El tamaño, el volumen de negocios anual y la cuota de mercado del operador que comete la infracción.
   • e. Cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.
   • f. El grado de cooperación con las autoridades nacionales competentes con el fin de subsanar la infracción y mitigar sus posibles efectos adversos.
   • g. El grado de responsabilidad del operador, teniendo en cuenta las medidas técnicas y organizativas aplicadas por este.
   • h. La forma en que las autoridades nacionales competentes tuvieron conocimiento de la infracción, en particular si el operador notificó la infracción y, en tal caso, en qué medida puso de manifiesto y acreditó todos los hechos relevantes.
   • i. La intencionalidad o negligencia en la infracción.
   • j. Las acciones emprendidas por el operador para mitigar o reparar los perjuicios sufridos por las personas afectadas antes de iniciarse el procedimiento de supervisión, evaluación o inspección por la autoridad competente.
   • k. Las infracciones previas que hubiera cometido el mismo operador en el pasado o el hecho de haber sido previamente requerida una pyme por el mismo tipo infractor.
   • l. La existencia de sucesión de empresas o la aplicación de la doctrina del levantamiento del velo en situaciones abusivas o fraudulentas.
2. Los criterios de graduación podrán desarrollarse reglamentariamente.

Artículo 28. Publicidad de las sanciones.

1. Las autoridades de vigilancia del mercado y, en su caso, la autoridad notificante correspondiente, publicarán, una vez firmes en vía administrativa, las sanciones impuestas por las infracciones cometidas contra la Ley, los hechos constitutivos de tales infracciones, así como la identidad del infractor y comunicarán dichos extremos a la Agencia Española de Supervisión de Inteligencia Artificial, salvaguardando la confidencialidad de la información y los datos obtenidos conforme al artículo 78 del Reglamento (UE) 2024/1689, de 13 de junio.
2. La Agencia Española de Supervisión de Inteligencia Artificial publicará en un plazo no superior a 15 días hábiles desde que se produzca la firmeza administrativa, y comunicará a la Comisión Europealas sanciones administrativas que se hayan impuesto durante ese año en virtud de esta Ley, en cumplimiento del artículo 99.11 del Reglamento (UE) 2024/1689, de 13 de junio.
3. En toda resolución publicada se excluirá todo dato de carácter personal o que exija confidencialidad.

Artículo 29. Procedimiento.

1. Las sanciones correspondientes se impondrán por resolución motivada de la autoridad de vigilancia del mercado, previa instrucción del correspondiente expediente y de acuerdo con lo previstoen el Título IV de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, con las particularidades que se establecen en el presente artículo.
2. Los procedimientos sancionadores por las infracciones administrativas tipificadas en esta Ley se iniciarán siempre de oficio, mediante petición razonada de otros órganos administrativos o en virtud de denuncia de un tercero, conforme al trámite establecido en el artículo 85 del Reglamento (UE) 2024/1689, de 13 de junio que será de aplicación desde la entrada en vigor de la presente Ley.
3. Las denuncias deberán expresar la identidad de la persona o personas que las presentan y el relato de los hechos que se ponen en conocimiento de la Autoridad. Si el denunciante ha manifestado su deseo de confidencialidad o se entiende la necesidad de garantizar la confidencialidad de la identidad del denunciante, podrá denegarse el acceso a los datos del denunciante mediante resolución motivada del órgano que deba resolver, excepto a la Autoridad judicial, al Ministerio Fiscal en el marco de unainvestigación La denuncia no confiere, por sí sola, al tercero la condición de interesado en el procedimiento.
4. La Agencia Española de Supervisión de Inteligencia Artificial establecerá un buzón o canal externo de información, por medios electrónicos, a través del cual toda persona física podrá informar de forma anónima de los hechos que hayan dado lugar a la comisión de cualquier infracción incluida en el ámbito de aplicación de esta ley. Presentada la información de forma anónima, dicha Autoridad procederá a su registro, decidiendo en un plazo de 10 días hábiles, de forma motivada, si inicia o no deoficio un procedimiento sancionador o si remite dicha información a la autoridad de vigilancia del mercado que considere competente para su tramitación.
5. En los expedientes sancionadores, la autoridad de vigilancia del mercado deberá garantizar la confidencialidad de la información y los datos obtenidos en el ejercicio de sus funciones inspectoras y sancionadoras, de conformidad con las obligaciones establecidas en el artículo 78 del Reglamento (UE) 2024/1689, de 13 de junio. El plazo para resolver y notificar en estos procedimientos será dedieciocho meses en los expedientes por infracciones muy graves y graves, y de nueve meses cuandose incoen por infracciones leves. Transcurrido este plazo sin resolución expresa, se declarará de oficio la caducidad del procedimiento.
6. La resolución será ejecutiva cuando ponga fin a la vía administrativa. En la resolución se podrán adoptar las disposiciones cautelares precisas para garantizar su eficacia en tanto no sea ejecutiva, incluyendo la posible retirada cautelar del producto o la desconexión o prohibición del sistema de IA, en el ámbito territorial de la autoridad de vigilancia del mercado sancionadora.

Artículo 30. Actuaciones previas.

1. Con anterioridad al inicio del procedimiento y de acuerdo con el artículo 2 de la Ley 39/2015, de 1de octubre, los órganos con competencia sancionadora podrán abrir un período de información oactuaciones previas para determinar, con la mayor precisión posible, los hechos susceptibles de motivar la incoación del procedimiento, la identificación de la persona o personas que pudieran resultar responsables y las circunstancias relevantes que concurran en unos y otros, sin perjuicio de las competencias que se les atribuyen en materia de solicitud de información, supervisión e inspección, de acuerdo con el Capítulo IX del Reglamento (UE) 2024/1689, de 13 de junio y el Capítulo V del Reglamento de Vigilancia del Mercado y la Conformidad de los Productos.
2. En el marco de las actuaciones previas de investigación, la autoridad de vigilancia del mercado competente podrá requerir de los responsables de las conductas que pudieran ser constitutivas de infracción del Reglamento (UE) 2024/1689, de 13 de junio de 2024, y de la presente ley cualquier información que considere necesaria para determinar los hechos susceptibles de motivar la incoación del procedimiento.
   Así mismo, y en el mismo marco, la autoridad de vigilancia del mercado competente podrá, cuando nohaya podido realizar la identificación por otros medios, recabar de las Administraciones Públicas, incluidas las tributarias y de la Seguridad Social, las informaciones y datos que resulten imprescindibles con la exclusiva finalidad de lograr la identificación de los responsables de las conductas que pudieran ser constitutivas de infracción del Reglamento (UE) 2024/1689, de 13 de junio de 2024, y de la presente ley.
3. Los órganos con competencia sancionadora, atendida la naturaleza de los hechos en el supuesto en que el sujeto infractor sea una pyme, podrán acordar la suspensión de la tramitación del procedimiento sancionador, requiriendo al sujeto responsable, a fin de que, en el plazo que el órgano sancionadordetermine, acredite la adopción de las medidas correctoras que, en cada caso, resulten pertinentes, siempre que los hechos no fuesen constitutivos de infracción muy grave conforme a lo dispuesto en esta Ley, y se indemnicen la totalidad de los daños y perjuicios causados, en su caso.
   La notificación del requerimiento al sujeto infractor suspenderá el plazo máximo para resolver el procedimiento sancionador.
   En el caso de darse cumplimiento dentro del plazo establecido por el sujeto responsable a la totalidad de las medidas correctoras y a la indemnización que, en su caso, establezca el requerimiento, seacordará por medio de resolución la terminación del procedimiento por el órgano sancionador competente.
   Si el requerimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado, se reanudará el procedimiento sancionador por dicho incumplimiento.
4. Cuando una entidad del Sector Público cometiese alguna de las infracciones recogidas en la presente Ley, la autoridad de vigilancia del mercado que resulte competente dictará resolución declarando la infracción, apercibiendo a la entidad actuante, y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que sehubiese cometido, excluyendo la imposición de multas administrativas de conformidad con el artículo 99.8 del Reglamento (UE) 2024/1689, de 13 de junio.
   La resolución se notificará a la entidad responsable del sistema de IA, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que ostenten la condición de interesados, en su caso.
   La autoridad de vigilancia del mercado competente propondrá también la iniciación de actuaciones disciplinarias cuando existan indicios suficientes para ello. En este caso, el procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario o sancionador que resulte de aplicación.
   Asimismo, cuando las infracciones sean imputables a autoridades y personal directivo, y se acredite la existencia de informes técnicos o requerimientos que no hubieran sido debidamente atendidos, en la resolución en la que se imponga la sanción se incluirá una amonestación con denominación del cargoresponsable y se ordenará la publicación en el Boletín Oficial del Estado, así como en el boletín autonómico, en su caso.

Artículo 31. Prescripción.

1. Las infracciones leves prescribirán al año, las graves a los tres años y las muy graves a los cinco años.
2. El plazo de prescripción de las infracciones comenzará a contarse desde el día en que la infracción se hubiera cometido.
3. En los supuestos de infracciones continuadas, el plazo de prescripción comenzará a contar desde el momento de la finalización de la actividad o del último acto con el que la infracción se consuma. En el caso de que los hechos o actividades constitutivos de infracción fueran desconocidos por carecer de signos externos, dicho plazo se computará desde la introducción en el mercado, su comercialización o su puesta en servicio.
4. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reiniciándose el plazo de prescripción si el expediente sancionador estuviera paralizado durante más de seis meses por causa no imputable al presunto responsable. Se exceptúa el supuesto en el que el presunto responsable haya sido requerido conforme a lo dispuesto en el artículo 29, en cuyo caso no se interrumpirá la prescripción durante el plazo concedido para la adopción de lasmedidas correctoras pertinentes y para indemnizar los daños y perjuicios causados.
5. Las sanciones impuestas por la comisión de infracciones leves prescribirán al año, las impuestas por faltas graves a los tres años y las impuestas por faltas muy graves a los cinco años.
6. El plazo de prescripción de las sanciones comenzará a contarse desde el día siguiente a aquel en que sea ejecutable la resolución por la que se impone la sanción o haya transcurrido el plazo para recurrirla.
7. Interrumpirá la prescripción de la sanción la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si aquel está paralizado durante más de un mes por causa no imputable al infractor.
8. Si en el curso de las actuaciones previas o durante la instrucción del procedimiento se advirtiera que la infracción ha prescrito, el órgano con competencia sancionadora acordará de oficio y sin dilación la terminación de las actuaciones previas o la conclusión del procedimiento sancionador, notificándolo al interesado.

Artículo 32. Concurrencia de sanciones.

1. No podrán sancionarse los hechos que hayan sido sancionados penal o administrativamente, en los casos en que se aprecie identidad de sujeto, hecho y fundamento.
2. En los supuestos en que los hechos que motivan la incoación del procedimiento sancionador pudieran ser constitutivos de delito o falta, la administración competente pasará el tanto de culpa al órgano jurisdiccional competente y se abstendrá de proseguir el procedimiento sancionador mientras la autoridad judicial no haya dictado sentencia firme o resolución que ponga fin al procedimiento. De nohaberse estimado la existencia de delito o falta, la administración competente podrá continuar el expediente sancionador, quedando vinculada por los hechos declarados probados en resolución judicial firme.
3. Cuando un solo hecho constituya dos o más infracciones con arreglo a esta Ley, y a otras leyes quefueran de aplicación, se impondrá al sujeto infractor la sanción correspondiente a la infracción de mayor gravedad.

Artículo 33. Medidas de carácter provisional.

1. Iniciado el procedimiento sancionador, la autoridad de vigilancia del mercado competente podrá adoptar en cualquier momento, mediante acuerdo motivado, las medidas de carácter provisional que estime necesarias para asegurar la eficacia de la resolución que pudiera recaer y evitar el mantenimiento de los riesgos o daños para la seguridad, la salud o los derechos fundamentales.Dichas medidas deberán ser proporcionadas a la naturaleza y gravedad de las presuntas infracciones.
2. Con la misma finalidad, la autoridad de vigilancia del mercado competente, en los casos de urgencia inaplazable y para la protección provisional de los intereses implicados, podrá adoptar de forma motivada las medidas provisionales imprescindibles, con anterioridad a la iniciación del procedimiento, con los límites y condiciones establecidos en el artículo 2 de la Ley 39/2015, de 1 deoctubre, y demás normativa aplicable, sin que puedan en ningún caso sobrepasar el plazo de tres meses.
3. Estas medidas de carácter provisional tendentes a evitar la propagación de daños, sin que constituyan un listado exclusivo ni limitante, podrán ser las siguientes:
   • a. Requerir la adaptación del sistema de IA para que sea conforme, incluso respecto de incumplimientos formales;
   • b. Impedir que el sistema de IA se comercialice;
   • c. Retirar el sistema de IA inmediatamente y alertar al público del riesgo que presenta;
   • d. Destruir el sistema de IA o inutilizarlo de otro modo;
   • e. Publicar advertencias adecuadas, redactadas de forma clara y comprensible sobre los riesgos, en la lengua o lenguas que se determine;
   • f. Alertar de forma adecuada a los usuarios finales del riesgo, incluso mediante la publicación de advertencias en el propio sistema de IA en la lengua o las lenguas que se determine.
4. Las medidas descritas en este artículo serán de aplicación sin perjuicio de cuantas otras se puedan tomar por parte de las autoridades de vigilancia del mercado, de acuerdo con el Capítulo IX del Reglamento (UE) 2024/1689, de 13 de junio y los capítulos IV y V del Reglamento de Vigilancia del Mercado y de la Conformidad de los Productos.

Artículo 34. Reparación del daño e indemnización.

1. Sin perjuicio de la sanción que se pudiera imponer, el infractor quedará obligado a la reposición de la situación alterada por el mismo a su estado originario, así como a la indemnización de los daños y perjuicios causados, que podrán ser determinados por la autoridad competente, debiendo, en este caso, comunicarse al infractor para su satisfacción en el plazo que al efecto se determine.
2. Cuando los daños fueran de difícil evaluación, para fijar la indemnización se tendrán en cuenta elcoste teórico de la restitución y reposición, y el valor de los bienes o derechos dañados, debiendo aplicarse el que proporcione el mayor valor.

Artículo 35. Pago voluntario.

1. Una vez iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad, se podrá resolver el procedimiento con la imposición de la sanción que proceda. En este caso, el órgano sancionador competente aplicará una reducción del 20% sobre el importe de la sanción propuesta.
2. Cuando la sanción propuesta tenga únicamente carácter pecuniario, el pago voluntario por el presunto responsable, en cualquier momento anterior a la resolución, implicará igualmente la terminación del procedimiento, salvo en lo relativo a la reposición de la situación alterada o a la determinación de la indemnización por los daños y perjuicios causados por la comisión de la infracción. En este caso, el órganosancionador competente aplicará una reducción del 20 % sobre el importe de la sanción propuesta.
   En estos supuestos la infracción se podrá calificar conforme al grado que resulte del importe económico de la sanción.
3. En los supuestos en que la entidad infractora sea considerada como pyme, el órgano sancionador incrementará los porcentajes de reducción al 25% en caso de reconocimiento de la responsabilidad y al 25% en caso de pago voluntario anterior a la resolución.
4. Las citadas reducciones serán acumulables entre sí, deberán estar determinadas en la notificación de iniciación del procedimiento y su efectividad estará condicionada al desistimiento o renuncia de cualquier acción o recurso en vía administrativa contra la sanción.

Artículo 36. Multas coercitivas y ejecución subsidiaria.

1. Si los infractores no procedieran a la restauración o indemnización, de acuerdo con lo establecido en el artículo 29, y una vez transcurrido el plazo señalado en el requerimiento correspondiente, la autoridad de vigilancia del mercado competente podrá acordar la imposición de multas coercitivas o la ejecución subsidiaria. La cuantía de cada una de las multas no superará un 10% de la multa fijada por la infracción cometida.
2. La imposición de multas coercitivas exigirá que en el requerimiento se indique el plazo de que se dispone para el cumplimiento de la obligación, que en ningún caso podrá ser inferior a un mes, y lacuantía de la multa que puede ser En todo caso, el plazo deberá ser suficiente para cumplir la obligación. En el caso de que, una vez impuesta la multa coercitiva, se mantenga el incumplimientoque la ha motivado, podrá reiterarse por lapsos de tiempo que sean suficientes para cumplir lo ordenado.
3. Las multas coercitivas son independientes y compatibles con las que se puedan imponer en concepto de sanción.
4. Las multas coercitivas impuestas, al igual que las sanciones pecuniarias, tendrán naturaleza de crédito de Derecho público titularidad de la entidad u organismo sancionador y su importe podrá ser exigido por la vía administrativa de apremio.

Artículo 37. Sucesores de personas jurídicas.

1. Las sanciones que pudieran proceder por las infracciones cometidas por las sociedades y entidades a las que se refiere el artículo 3 serán exigibles a los sucesores de las mismas en los términos expuestos en el siguiente apartado y, en su caso, hasta el límite del valor determinado conforme a lo dispuesto en el artículo 40.1 de la Ley 58/2003, de 17 de diciembre, General Tributaria.
2. En los supuestos de extinción o disolución sin liquidación de sociedades y entidades con personalidad jurídica, las sanciones pecuniarias y multas coercitivas pendientes de las mismas se transmitirán a las personas o entidades que sucedan o que sean beneficiarias de la correspondiente operación. Esta norma también será aplicable a cualquier supuesto de cesión global del activo y pasivo de una sociedad y entidad con personalidad jurídica.

 

Disposición adicional primera. Primeros informes y datos exigidos bajo el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024.

1. Los informes anuales sobre el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho que deban publicarse conforme al artículo 5 del Reglamento (UE) 2024/1689, de 13 de junio, tendrán su primera fecha de publicación antes del 31 de diciembre de 2025 y se publicarán posteriormente con frecuencia anual.
2. Los informes anuales sobre el uso sistemas de identificación biométrica remota en diferido que deban elaborar los responsables del despliegue conforme al artículo 26 del Reglamento (UE) 2024/1689, de 13 de junio, tendrán su primera fecha de publicación antes del 31 de diciembre de 2026 y se publicarán posteriormente con frecuencia anual.
3. Los informes anuales relativos a la información de progreso y resultados de los espacios controlados de pruebas que se mencionan en el artículo 57.16 del Reglamento (UE) 2024/1689, de 13 de junio se publicarán por primera vez antes del 2 de agosto de 2027 y se publicarán posteriormente con frecuencia anual.
4. La Agencia Española de Supervisión de Inteligencia Artificial publicará un primer informe antes del2 de agosto de 2025 sobre el estado de los recursos financieros y humanos de las autoridades nacionales competentes, que incluirá una evaluación de su idoneidad. Dicho informe se publicará posteriormente cada dos años.

Disposición adicional segunda. Base de datos nacional para registro de sistemas de alto riesgo.

Reglamentariamente se regulará la base de datos nacional para el registro a que se refiere el Anexo III del Reglamento (UE) 2024/1689, de 13 de junio, punto 2, referente a sistemas de IA para infraestructuras críticas, de conformidad con lo dispuesto en el artículo 49.5 de dicho Reglamento. Disposición final primera. Modificación de la Ley 29/1998, reguladora de la jurisdicción contencioso- administrativa.

Se añade un nuevo párrafo al apartado 6 del artículo 8, con la siguiente redacción:

«Adicionalmente, corresponderá a los Juzgados de lo Contencioso-administrativo la autorización deprácticas prohibidas de sistemas de IA de reconocimiento biométrico remoto en tiempo real, que las autoridades administrativas competentes consideren urgentes y necesarias, adoptadas con arreglo al artículo 5 del Reglamento (UE) 2024/1689, de 13 de junio, por el que se establecen normas armonizadas en materia de inteligencia artificial.»

Disposición final segunda. Título competencial.

Esta Ley se dicta al amparo del artículo 149.1, 1.ª, 6ª y 13.ª, de la Constitución, que atribuye al Estado las competencias sobre las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales, la legislación procesal y las bases y coordinación de la planificación general de la actividad económica, respectivamente.

Disposición final tercera. Habilitación para el desarrollo reglamentario.

Se faculta al Gobierno para que, en el ámbito de sus competencias, pueda dictar cuantas disposiciones sean necesarias para el desarrollo y aplicación de esta Ley, así como actualizar su anexo.

Disposición final cuarta. Entrada en vigor.

1. La presente Ley entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».
2. El régimen sancionador contenido en la presente Ley, relativo a los sistemas de inteligencia artificial prohibidos, será de aplicación desde el 2 de agosto de 2025.
3. El régimen sancionador aplicable los organismos notificados será de aplicación desde el 2 de agosto de 2025.
4. El régimen sancionador aplicable a operadores relacionados con sistemas de IA de alto riesgo contenidos en el anexo III del Reglamento (UE) 2024/1689, de 13 de junio será de aplicación desde el 2 de agosto de 2026.
5. El régimen sancionador aplicable a operadores relacionados con sistemas de IA de alto riesgo contenidos en el anexo I del Reglamento (UE) 2024/1689, de 13 de junio será de aplicación desde el 2 de agosto de 2027.
6. El régimen sancionador aplicable a operadores relacionados con sistemas de IA de alto riesgo contenidos en el anexo III del Reglamento (UE) 2024/1689, de 13 de junio será de aplicación desde el 2 de agosto de 2026.

Por tanto,

Mando a todos los españoles, particulares y autoridades, que guarden y hagan guardar esta Ley.

ANEXO I: CASOS EN QUE SE PODRÁ AUTORIZAR EL USO DE SISTEMAS DE IA DE RECONOCIMIENTO BIOMÉTRICO «EN TIEMPO REAL» EN ESPACIOS DE ACCESO PÚBLICO CON FINES DE GARANTÍA DEL CUMPLIMIENTO DEL DERECHO

Objetivos para los que podrá ser autorizado el uso de sistemas de identificación biométrica remota «en tiempo real» en espacios de acceso público con fines de garantía del cumplimiento del Derecho:

1. La búsqueda selectiva de víctimas concretas de secuestro, trata de seres humanos o explotación sexual de seres humanos, así como la búsqueda de personas desaparecidas,
2. La prevención de una amenaza específica, importante e inminente para la vida o la seguridad física de las personas físicas o de una amenaza real y actual o real y previsible de un atentado terrorista,
3. La localización o identificación de una persona sospechosa de haber cometido un delito a finde llevar a cabo una investigación o un enjuiciamiento penales o de ejecutar una sanción penal, por alguno de los siguientes delitos que en España se castigan con una pena o una medida de seguridad privativas de libertad cuya duración máxima alcanza o supera los cuatro años:
   • a. Terrorismo,
   • b. Trata de seres humanos,
   • c. Explotación sexual de menores y pornografía infantil,
   • d. Tráfico ilícito de estupefacientes o sustancias psicotrópicas,
   • e. Tráfico ilícito de armas, municiones y explosivos,
   • f. Homicidio voluntario, agresión con lesiones graves,
   • g. Tráfico ilícito de órganos o tejidos humanos,
   • h. Tráfico ilícito de materiales nucleares o radiactivos,
   • i. Secuestro, detención ilegal o toma de rehenes,
   • j. Delitos que son competencia de la Corte Penal Internacional,
   • k. Secuestro de aeronaves o buques,
   • l. Violación,
   • m. Delitos contra el medio ambiente,
   • n. Robo organizado o a mano armada,
   • ñ. Sabotaje,
   • o. Participación en una organización delictiva implicada en uno o varios de los delitos enumerados en esta lista.

 

ELÉVESE AL CONSEJO DE MINISTROS

Madrid,          de                             de 2025

EL MINISTRO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA

Oscar López Águeda

---