O RIA goza de efecto directo e establece un marco de harmonización plena que fixa un chan normativo uniforme en toda Europa. Así e todo, a norma deixa marxes de manobra cruciais aos Estados membros, aos que lles compete organizar as súas autoridades nacionais de supervisión (art. 70), establecer un réxime sancionador efectivo (art. 99), regular o uso da IA no sector público ou habilitar espazos controlados de proba. É na ocupación progresiva destas marxes onde se insiren as estratexias de Italia e España, que, sendo os primeiros Estados membros en actuar en base ás remisións á dereito nacional do RIA, reflicten ritmos diferentes dentro dun mesmo marco europeo.
Italia: primeira lei de IA nacional
En canto España situouse como pioneira institucional ao crear a primeira autoridade de supervisión da IA na UE (a AESIA), atópase aínda nunha fase de debate parlamentario para aprobar a lei habilitante que lle permita sancionar. Pola contra, Italia converteuse no primeiro Estado membro en aprobar unha normativa nacional integral, a Lei 132 do 23 de setembro de 2025, deseñada especificamente para complementar e facer operativo o RIA no seu ordenamento xurídico.
A lei italiana, é descrita como un “punto de partida” estratéxico máis que unha meta final, é o exemplo paradigmático de como un Estado pode lexislar nos espazos non harmonizados exhaustivamente polo RIA. A norma resolve a cuestión organizativa designando dúas autoridades nacionais competentes para garantir a aplicación da normativa europea: a Agenzia per l’Italia Digitale [Axencia pola Italia Dixital], encargada de funcións de promoción e xestión da innovación, e a Agenzia per la cybersicurezza nazionale [Axencia pola ciberseguridade nacional], responsable da vixilancia, inspección e sanción dos sistemas de IA, así como da ciberseguridade. Lonxe de ser unha mera norma de procedemento, o texto regula sectores críticos con disposicións específicas, como o uso da IA no ámbito sanitario (artigos 7 e 12-bis) e laboral (artigo 11), e establece principios xerais de supervisión humana, esixindo que a tecnoloxía respecte a autonomía e o poder de decisión das persoas.
Ademais da estrutura administrativa, Italia promoveu salvagardas adicionais que reflicten a súa política nacional sen contradicir o marco europeo. Destaca a introdución de disposicións penais no Código Penal e no Código Civil para agravar as penas cando os delitos se cometan mediante o uso de sistemas de IA, así como unha forte énfase na protección dos dereitos fundamentais e dos menores. Neste contexto, o país transalpino amosa unha postura proactiva na supervisión dos xigantes tecnolóxicos, empregando ferramentas de competencia que serven de antesala á futura aplicación efectiva do RIA. Un exemplo claro desta contundencia é a recente actuación da súa autoridade antimonopolio, que impuxo unha multa de 98,6 millóns de euros a Apple por abuso de posición dominante. A sanción motivouse pola implementación da función App Tracking Transparency [Transparencia no Seguimento de Aplicacións], a cal, baixo a xustificación da protección da privacidade, impuña un requisito de “dobre consentimento” aos desenvolvedores de aplicacións terceiras para o rastrexo de datos. A autoridade italiana considerou que esta esixencia era desproporcionada respecto ao obxectivo de protección de datos e prexudicial para a competencia, afectando gravemente a quen depende da publicidade dixital, mentres Apple aplicaba regras diferentes para si mesma. Este tipo de intervencións demostran que Italia non só lexisla, senón que dispón de organismos reguladores dispostos a enfrontarse ás Big Tech cando as súas políticas de datos —combustible esencial tamén para a IA— entran en conflito coas normas do mercado europeo.
España : Axencia (aínda) sen competencias
A estratexia española caracterízase por un forte liderado institucional e infraestrutural, aínda que avanza a unha velocidade diferente no plano estritamente normativo se a comparamos coa execución italiana. España sitúase na vangarda europea ao ser o primeiro país en crear unha autoridade de supervisión específica, a Axencia Española de Supervisión da Intelixencia Artificial (AESIA), con sede na Coruña, adiantándose ás esixencias organizativas do regulamento europeo. Así e todo, a diferenza do caso italiano, España non aprobou aínda a súa lei nacional sobre a materia.
O réxime sancionador necesario para castigar os incumprimentos do RIA depende da aprobación definitiva do Anteproxecto de lei para o bo uso e gobernanza da IA. Este texto é crucial, pois non só tipifica as infraccións e cuantifica as multas —que poden acadar os 35 millóns de euros ou o 7% da facturación global para prácticas prohibidas—, senón que tamén nomea como autoridades de vixilancia do mercado á AESIA e outros organismos sectoriais (Autoridade Española de Protección de Datos, Banco de España, Comisión Nacional del Mercado de Valores, entre outras). Finalmente, regula a autorización de uso dos sistemas de identificación biométrica remota en tempo real en espazos de acceso público, con fins de garantía de cumprimento do Dereito (por exemplo, o uso recoñecemento facial en tempo real durante eventos de gran afluencia).
Mentres se completa esta arquitectura legal, o Estado apostou pola experimentación práctica como motor normativo. España foi pioneira na UE ao lanzar o primeiro sandbox [entorno controlado de probas]para sistemas de IA de alto risco, meses antes da aprobación final do RIA. Esta iniciativa, desenvolvida en estreita colaboración coa Comisión Europea, permite a empresas e administracións probar as obrigas de conformidade nunha contorna segura, xerando guías de boas prácticas que faciliten a implementación do regulamento, especialmente para PeMES e startups.
Esta gobernanza complétase cunha aposta decidida pola “infraestrutura soberana”, entendendo que a regulación non pode ser efectiva sen capacidade técnica propia. Neste eido, España destaca por ser un dos tres únicos países da UE —xunto con Alemaña e Polonia— que logrou a aprobación de dúas AI Factories [Fábricas de IA] pola Comisión Europea. Estas instalacións estratéxicas combinan talento, datos e a potencia da supercomputación europea (EuroHPC) para adestrar modelos xenerativos fiables e éticos. As dúas factorías situaránse no Barcelona Supercomputing Center (BSC-CNS) e, moi salientablemente, no Centro de Supercomputación de Galicia (CESGA) en Santiago de Compostela. Esta última, denominada 1HealthAI e dotada cun investimento de 82 millóns de euros, estará especializada en saúde e biotecnoloxía, demostrando que a estratexia española busca aterrar a ética e a normativa europea sobre unha base tecnolóxica tanxible e descentralizada.
Conclusión
En conxunto, Italia e España sitúanse como os Estados membros pioneiros en iniciar o desenvolvemento normativo para complementar o RIA, ben mediante lexislación nacional específica, ben a través da creación dunha arquitectura institucional avanzada. Esta rápida resposta ao RIA evidencia un compromiso temperán coa aplicación efectiva do regulamento europeo.
Accede ao conxunto da serie desde a ficha da autora
