| Informe | 2026-0005 |
| Enlace | 📋 |
Resumen del Informe Jurídico de la AEPD sobre el Proyecto de Ley de Inteligencia Artificial
El informe de la Agencia Española de Protección de Datos (AEPD) analiza un borrador normativo que adapta el Reglamento (UE) 2024/1689 (Reglamento de Inteligencia Artificial, RIA) al ordenamiento jurídico español. El documento identifica cuestiones clave en materia de gobernanza, supervisión, régimen sancionador y protección de derechos fundamentales, proponiendo modificaciones para garantizar su compatibilidad con el marco legal europeo y español.
Principales observaciones y recomendaciones
Impacto presupuestario y recursos humanos:
La AEPD cuestiona la falta de dotación presupuestaria en la Memoria de Análisis de Impacto Normativo (MAIN), que asume un coste cero para las Autoridades de Vigilancia del Mercado (AVM). Según el artículo 70.3 del RIA, los Estados miembros deben garantizar recursos financieros, técnicos y humanos adecuados para las AVM, incluidas las designadas como autoridades independientes (como la AEPD).
Se adjuntan dos anexos técnicos que estiman un incremento de 3 millones de euros para la creación de una Subdirección de IA en la AEPD.
Se critica que el proyecto delega funciones en la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) mediante convenios, lo que vulneraría la independencia de las AAI en violación del artículo 109.2 de la Ley 40/2015 y el artículo 70.3 del RIA.
Gobernanza y designación de autoridades:
Autoridad notificante: El proyecto designa a la Dirección General de Inteligencia Artificial como autoridad notificante (artículo 4 APLIA), pero el RIA no incluye competencias sancionadoras para esta figura. La AEPD sugiere excluir estas atribuciones para preservar su independencia (artículo 74.8 RIA).
Autoridades de Vigilancia del Mercado (AVM):
La AEPD se designa como AVM para sistemas de IA de alto riesgo relacionados con datos personales (artículo 5.3 APLIA), pero el informe advierte que este ámbito compete a autoridades sectoriales (como el Consejo General del Poder Judicial o la Fiscalía) para asuntos penales.
Se cuestiona la falta de claridad en la designación de la AESIA como «punto de contacto único» (artículo 5.2 APLIA), ya que el RIA no exige tal centralización.
Se alerta de que algunas previsiones como la asistencia técnica de la AESIA a otras AVM (artículo 5.16 APLIA) menoscaban la autonomía de las AAI.
Régimen sancionador:
Se critica que no se regula el procedimiento de autorización para sistemas de identificación biométrica remota en tiempo real (IBRTR), lo que invalida los tipos infractores propuestos (por ejemplo, sancionar el uso no autorizado sin definir previamente qué se autoriza).
Falta de armonización con el RIA en materias como:
Transparencia (artículo 5.2.h APLIA): Se recomienda delimitar claramente qué obligaciones de transparencia del RIA se aplican (ej. artículo 50 RIA sobre transparencia de sistemas de alto riesgo).
Registro de sistemas de IA: Se omite la referencia al registro en la base de datos de la UE para sistemas de alto riesgo, limitándose al registro nacional.
Infracciones por operadores: No se tipifican infracciones graves/gravísimas por uso indebido de sistemas de IA (ej. usar un sistema para un fin distinto al previsto por el proveedor).
Procedimiento administrativo sancionador:
Se sugiere modificar el artículo 27.5 APLIA para eliminar la frase «siempre que no se hayan iniciado actuaciones previas de investigación» en el archivo de expedientes por medidas correctoras, alineándolo con la Ley 39/2015.
Canal de denuncias anónimas: La centralización en la AESIA (artículo 29 APLIA) limita la autonomía de las AVM-AAI. Se propone permitir que estas autoridades creen sus propios canales.
Graduación de sanciones (artículo 25 APLIA): Falta un mecanismo para verificar reclamaciones ante la AESIA (ej. que determine si otras autoridades sancionaron previamente al mismo operador por infracciones similares).
Medidas de carácter provisional y corrector:
El artículo 33 APLIA (medidas provisionales) entraría en conflicto con las competencias de las AAI si no se excluye su aplicación para estas últimas.
El artículo 34.2 APLIA (apercibimientos en la Administración Pública) remite genéricamente al Reglamento de Régimen Disciplinario, sin incluir una lista cerrada de infracciones disciplinarias, lo que podría generar inseguridad jurídica.
Procedimiento de reclamación y garantías:
Se advierte un riesgo de vulneración del derecho a la tutela judicial efectiva (artículo 24 CE) por el silencio administrativo en la resolución de reclamaciones (artículo 28.5 APLIA), que podría dejar al reclamante sin respuesta expresa en 3 meses.
Propuestas de mejora
La AEPD realiza recomendaciones concretas para cada capítulo:
Ajustar el impacto presupuestario de la MAIN para reflejar los costes reales de las funciones derivadas del RIA.
Excluir la competencia sancionadora de la autoridad notificante sobre organismos notificados (especialmente si son AAI).
Precisar las obligaciones de transparencia y los sistemas de IA a los que se aplican.
Retrasar la entrada en vigor (6 meses) para permitir la adaptación de las autoridades.
Modificar el régimen sancionador para los sistemas IBRTR, condicionándolo a la existencia previa de un régimen de autorización en España.
Garantizar la independencia de las AAI en la coordinación con la AESIA (ej. excluyendo alineamientos vinculantes a través del artículo 7 APLIA).
Conclusión
El informe de la AEPD destaca la necesidad de alinear el proyecto de ley con el RIA y la normativa española, preservando:
**La independencia de las autoridades independi