Skip to main content

Análisis y contexto de la nueva "Ley italiana de IA"

Escrito por Gabriele Vestri el .

Por Gabriele Vestri

Frente al nuevo proyecto de ley italiano sobre inteligencia artificial, aprobado por el Senado el 17 de septiembre de 2025, llaman la atención dos elementos generales: por un lado, la intención política de “sujetarse” al Reglamento Europeo de IA (RIA); por otro, la opción de implantar bloques de disciplina sectorial y penal que anticipan y enmarcan el uso de la IA en el ordenamiento italiano. La ley se presenta así como un puente —más que como un código— entre principios, aplicación de la UE y especificidades nacionales (sanidad, trabajo, AAPP, justicia, derecho de autor, penal).

El análisis jurídico, en un contexto social italiano marcado por brechas digitales, centralidad de las pymes y una fuerte sensibilidad por la privacidad y los derechos, exige mantener unidas ambiciones y cautelas.

El primer eje es de valor y de método. La ley reafirma una dimensión “antropocéntrica” de la IA, anclada en la Constitución italiana y en los derechos de la UE, con palabras clave recurrentes: transparencia, proporcionalidad, seguridad, exactitud, no discriminación, explicabilidad, además de la protección de las personas con discapacidad y el acceso inclusivo a las tecnologías. Se subraya asimismo que el desarrollo de modelos y sistemas —especialmente los “de propósito general”— debe ser supervisado a lo largo de todo el ciclo de vida y con la ciberseguridad como condición previa, conforme a un enfoque “basado en el riesgo”. (véase el RIA). Es interesante la cláusula de salvaguardia democrática: la IA no debe perjudicar el método democrático de la vida política ni la libertad del debate frente a injerencias ilícitas. Y, sobre todo, RIA, explicitando su función de alineamiento más que de sobreregulación. Jurídicamente, es una opción precisa: se evita la proliferación desorganizada de cumplimientos nacionales, pero se corre el riesgo de quedarse poco contundentes justo cuando aumentan las expectativas sociales sobre garantías y remedios.

En el capítulo dedicado a la información y a la confidencialidad, el texto invoca el pluralismo, la libertad de expresión y el tratamiento lícito de los datos, exigiendo al usuario información “clara y sencilla” sobre los riesgos asociados a los tratamientos efectuados mediante IA. Un punto sensible tiene que ver con los menores de edad: por debajo de los 14 años se requiere el consentimiento de los titulares de la responsabilidad parental; de los 14 a los 18 años se admite el consentimiento del menor, siempre que la información sea efectivamente accesible y comprensible. Este umbral dialoga con el RGPD y busca, quizá, un equilibrio entre la autonomía progresiva del menor y las exigencias de tutela. En el contexto social italiano —donde escuela y familias están experimentando rápidamente con herramientas generativas—, la claridad de la información no es un adorno formal: es la condición para un consentimiento realmente “libre e informado”.

En el frente económico, la ley viste un traje proinnovación: promoción de la IA para la productividad y la organización, atención a las cadenas de las pymes, ecosistemas competitivos, acceso a datos de alta calidad. Cabe destacar una orientación —muy concreta— en materia de contratación pública: la posibilidad de “dar preferencia” a soluciones que localicen y procesen datos estratégicos en centros de datos nacionales, con continuidad operativa y recuperación ante desastres en el territorio. Es una señal de “soberanía tecnológica” dentro del perímetro de la UE, pero debe gestionarse con cuidado para evitar fricciones con el mercado interior y con los principios de no discriminación: el texto invoca expresamente la competencia y la proporcionalidad. Entre líneas se presiente el propósito de convertir el dato en un factor de competitividad, no solo de cumplimiento.

Uno de los capítulos más densos —también simbólicamente— es el de la sanidad. Aquí la IA se define como “apoyo” y no sustitución: la decisión sigue correspondiendo al médico. Los sistemas deben ser fiables, verificados y actualizados, y el interesado tiene derecho a saber cuándo se emplea la IA. Se establece una plataforma nacional de IA en AGENAS, con servicios de apoyo “no vinculantes” para médicos, profesionales y usuarios, y con una gobernanza de datos que enfatiza la necesidad, la evaluación de impacto y medidas técnicas y organizativas coherentes con el RGPD. El marco de investigación-datos se potencia ulteriormente: la investigación en el ámbito sanitario con IA se califica de “relevante interés público”, con canales dedicados para anonimización, seudonimización y datos sintéticos. Se prevé un mecanismo de silencio positivo/estimatorio (30 días) ante el Garante para iniciar los tratamientos, sin perjuicio de sus poderes inspectores e inhibitorios. La ventaja es evidente: se reducen fricciones burocráticas y se acelera la innovación clínica; el riesgo es “normalizar” grandes canalizaciones de datos sanitarios sin inversiones adecuadas en la calidad de los conjuntos de datos, en la mitigación de sesgos y en auditorías independientes. La cláusula de no vinculación de las recomendaciones protege la autonomía clínica, pero no resuelve por sí sola los problemas de responsabilidad en caso de error inducido por recomendaciones engañosas.

En el ámbito del empleo, el marco es de tutela y transparencia: la IA debe mejorar las condiciones y la seguridad, no comprimir la dignidad y los derechos fundamentales; el empleador debe informar al trabajador con base en el art. 1-bis del D.Lgs. 152/1997. Se instituye un Observatorio en el Ministerio de Trabajo para monitorizar impactos sectoriales, definir la estrategia y promover la formación de trabajadores y empleadores. Es un planteamiento coherente con el derecho de la UE y con el debate sindical italiano sobre trazabilidad, clasificación (ranking) y vigilancia algorítmica. La virtud es la centralidad del principio informativo y el impulso a la formación y a la alfabetización; la criticidad, sin embargo, es la ausencia —a nivel primario— de reglas detalladas sobre auditorías independientes de los sistemas que inciden en turnos, incentivos, evaluaciones, despidos, o sobre “derechos a la revisión humana” inmediatamente exigibles en la empresa más allá de lo que ya se deriva del RGPD: la remisión a la transparencia podría no bastar en los contextos más asimétricos.

La Administración pública y la justicia se tratan con un hilo común: la IA como instrumento, la persona como decisor. En las AAPP, se habla de eficiencia, tiempos de los procedimientos, calidad de los servicios, con obligaciones de “conocibilidad del funcionamiento” y trazabilidad del uso; pero se reitera que la IA apoya la actividad resolutoria y que la responsabilidad y la decisión permanecen en manos humanas. En la justicia, las decisiones interpretativas y probatorias corresponden siempre al magistrado; el Ministerio disciplina usos para organización y simplificación; hasta la plena aplicación del RIA. Las experimentaciones y usos en las oficinas judiciales ordinarias requieren autorización ministerial; se promueve la formación digital de magistrados y personal. Es un equilibrio razonable en el plano constitucional (art. 101 y ss.), pero que deja abiertos dos nudos: los márgenes de “explicabilidad” efectiva de las herramientas utilizadas (sobre todo si son propietarias) y el perímetro de la “trazabilidad” en procedimientos complejos, donde documentar cómo una recomendación algorítmica ha influido puede resultar esencial para la defensa y el control jurisdiccional.

Cabe señalar, en el plano institucional, la designación de AgID y ACN como autoridades nacionales para la IA, con funciones distintas y complementarias: AgID promueve la innovación y gestiona notificaciones, evaluaciones y acreditaciones de los sujetos encargados de la conformidad; ACN vigila (también con potestades inspectoras y sancionadoras) y tutela los perfiles de ciberseguridad. Ambas autoridades gestionan conjuntamente “espacios de experimentación” (sandboxes), con conexiones específicas para justicia y perfiles duales defensa/civil, y con coordinación con el Banco de Italia, la CONSOB y la IVASS para los sectores supervisados. Se instituye también un Comité de coordinación en la Presidencia del Consejo. La arquitectura es inteligente —separa promoción y vigilancia, pero obliga a la coordinación—; el riesgo, no obstante, es la superposición de competencias y la fragmentación regulatoria si no se aclaran a tiempo criterios, tiempos y módulos de inspección, así como estándares comunes para auditoría y reporte.

La estrategia nacional para la IA —elaborada por la Presidencia competente en innovación digital, aprobada con cadencia al menos bienal por el CITD— indica colaboración público-privada, coordinación de las AAPP, promoción de la investigación y atención a los principios del derecho internacional humanitario. Es una cláusula “de amplio alcance”, que introduce la IA en el circuito de las políticas públicas de largo plazo. La presencia de la cláusula de DIH no es un detalle menor: advierte que el desarrollo tecnológico debe medirse también en la escala de los derechos humanos, inclusive en escenarios de empleo.

En el terreno de los recursos, la ley autoriza hasta mil millones de euros para inversiones, capital, en pymes y empresas innovadoras en IA, ciberseguridad y tecnologías habilitadoras (cuántica, 5G y evoluciones, mobile edge, arquitecturas abiertas de software, Web3, procesado de señal). Se utiliza el Fondo de apoyo al capital riesgo y se involucra, en los órganos de los fondos, a la estructura de la Presidencia y a la ACN. Es una señal robusta: la IA no es solo materia de reglas, sino también de capital e infraestructuras. El reto será la ejecución: criterios de selección, atracción de coinversores, medición del impacto y salidas industriales.

Dos bloques merecen una reflexión adicional: el derecho de autor y el penal. En el ámbito autoral, se aclara —novedad simbólica y sistémica— que las “obras del ingenio humano” siguen siéndolo aunque se creen con auxilio de herramientas de IA, siempre que el resultado sea fruto del trabajo intelectual del autor. Se introduce luego un nuevo art. 70-septies sobre text and data mining (TDM) para modelos y sistemas de IA, remitiendo a los límites ya conocidos de los arts. 70-ter y 70-quater. En el lado represivo, se añade al catálogo de conductas penalmente relevantes la extracción/reproducción de texto o datos en violación de las reglas TDM, y sobre todo se interviene con un nuevo art. 612-quater del Código Penal contra la difusión ilícita de contenidos “deepfake” idóneos para inducir a error sobre la autenticidad, penada de uno a cinco años, perseguible a instancia de parte mediante querella (con algunas excepciones de oficio). Es un paso importante en el plano social: en Italia el daño reputacional y la vulnerabilidad de personas e instituciones frente a campañas de desinformación requerían una tipificación específica. Queda, sin embargo, la cuestión probatoria (¿quién generó qué?) y la de la responsabilidad de los intermediarios, que no puede resolverse solo con tipos penales sin un ecosistema de instrumentos procesales ágiles para retirada e inhibición.

Junto a las previsiones sustantivas, la ley delega al Gobierno la disciplina —en el plazo de 12 meses— del uso de datos, algoritmos y métodos matemáticos para el entrenamiento, definiendo derechos, obligaciones, tutelas (resarcitorias e inhibitorias) y sanciones, y atribuyendo a las secciones especializadas en materia de empresa las controversias. Una ulterior delegación amplía el perímetro, solicitando instrumentos para inhibir y retirar contenidos generados ilícitamente, tipos penales por omisión de medidas de seguridad en la producción y puesta en circulación de sistemas, criterios de imputación de la responsabilidad penal y de la entidad, reglas sobre el reparto de la carga de la prueba en la responsabilidad civil, y una disciplina ad hoc para el uso de la IA en las investigaciones preliminares. Aquí se librará la partida más delicada: cómo transformar los principios en reglas operativas sobre conjuntos de datos, documentación, trazabilidad, registros, reproducibilidad de resultados, auditorías y “supervisión humana” realmente exigibles en juicio.

Un inciso no menor se refiere a seguridad y defensa. Las actividades con fines de seguridad nacional, ciberseguridad y defensa (incluidos los perfiles policiales sobre determinados delitos transnacionales) quedan excluidas del ámbito de aplicación, si bien “con respeto a los derechos fundamentales” y con remisiones a reglas sectoriales sobre tratamientos de datos por parte de los aparatos. Es una cláusula típica, pero que interpela a la sociedad: la innovación más potente, precisamente por ser invasiva, atraviesa las fronteras entre lo civil y la seguridad; se precisa vigilancia democrática y control jurisdiccional para evitar que el perímetro de la excepción se dilate silenciosamente.

Ahora bien:

Pros de la norma. La ley tiene el mérito de no duplicar exactamente el RIA y de construir una infraestructura nacional coherente: principios claros, roles de AgID (promoción y conformidad) y ACN (vigilancia y sanciones), sandboxes conjuntos, estrategia bienal, recursos para inversiones. En los sectores sensibles, como sanidad, trabajo, AAPP y justicia, emerge una gramática común: apoyo sí, sustitución no; transparencia, trazabilidad y decisión humana final. En el plano social, la norma sobre menores y la información clara, el resguardo contra los deepfakes y la atención a discapacidad y accesibilidad son respuestas a riesgos concretos. El capítulo de inversiones desplaza el eje de la sola compliance al crecimiento, con atención a las tecnologías habilitadoras y a las cadenas de valor.

Contras (o, mejor, criticidades). Primero: la opción “no más obligaciones que el RIA” corre el riesgo de dejar espacios no resueltos justamente donde se necesita especificidad nacional (p. ej., trabajo y AAPP), salvo que las delegaciones se ejerzan con coraje técnico-jurídico. Segundo: la arquitectura dual AgID/ACN, aún siendo sensata, debe traducirse en actos claros para evitar conflictos y dobles exigencias. Tercero: en sanidad, la institución de la plataforma AGENAS es potente, pero exige gobernanza de datos, estándares de calidad, validación clínica independiente y una rendición de cuentas clara cuando las “sugerencias” influyen en los resultados. Cuarto: en el trabajo, sin auditorías robustas de los sistemas que impactan en carreras y garantías, el principio informativo corre el riesgo de resultar insuficiente. Quinto: lo penal no puede ser el único instrumento contra las patologías digitales; se necesitan procedimientos civiles y administrativos rápidos, eficaces y garantistas para retirada e inhibición, con especial atención a la prueba técnica y a la pericia forense en entornos de IA. Por último, las opciones de contratación orientadas a la localización de datos estratégicos, aún equilibradas en el texto, requerirán una aplicación cuidadosa para no comprimir la competencia y la innovación.

Mirando al contexto italiano, esta ley llega en un momento en que crece la adopción de la IA generativa en las empresas y en el sector público (a menudo sin gobernanza). El texto intenta “atar cabos”: fijar los principios, señalar las autoridades, disponer espacios de prueba regulados, poner dinero en el ecosistema, intervenir donde el impacto social es más fuerte (sanidad, trabajo, AAPP, justicia), actualizar los códigos donde se necesitaba una señal nítida (deepfakes, TDM).

El éxito dependerá de tres factores: 1) calidad y rapidez de los decretos delegados sobre datos, algoritmos y responsabilidad; 2) capacidad de las administraciones (AgID, ACN, Ministerios) para traducir los principios en procedimientos claros, interoperables y verificables; 3) inversión seria en competencias —en escuelas, universidades, AAPP, empresas—, porque los derechos no se protegen con etiquetas, sino con la capacidad concreta de comprender, impugnar, corregir y, cuando sea necesario, detener los sistemas.