Área clientes Área clientes
Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Sandbox regulatorio de la inteligencia artificial

España servirá de banco de pruebas –a nivel comunitario– para ensayar en un entorno controlado («sandbox») el cumplimiento de ciertos por parte de aquellos sistemas de inteligencia artificial que puedan suponer riesgos para la seguridad, la salud y los derechos fundamentales de las personas. 

El banco de pruebas se regirá por lo establecido en el Real Decreto 817/2023, de 8 de noviembre, que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial.

El «sandbox» tiene por objetivo estudiar la operatividad de los requisitos establecidos en la propuesta de Reglamento de Inteligencia Artificial, así como la autoevaluación de cumplimiento y la prueba del régimen de supervisión de los sistemas de inteligencia artificial de alto riesgo.

La participación en el entorno controlado de prueba se centra en los sistemas de inteligencia artificial clasificados:

  • De Alto Riesgo.
  • De Propósito General.
  • Modelos Fundacionales.

Podrán participar en la experiencia las entidades seleccionadas sujetas a la jurisdicción española, por lo que será obligatorio que se trate de entidades residentes en España o con un establecimiento permanente en España. Pueden ser «proveedores» de sistemas de inteligencia artificial, las entidades de derecho privado, las Administraciones públicas y las entidades del sector público.

Por otro lado, están los «usuarios» de dichos sistemas de inteligencia artificial que, igualmente, han de ser residentes en España o con un establecimiento permanente en España.

Los interesados presentarán su candidatura acompañando una memoria técnica con el contenido referido en el Anexo III, así como una declaración responsable de cumplimiento de la normativa de protección de datos, pudiendo requerirse la siguiente documentación:

  • Indicación del responsable o corresponsables del tratamiento de datos.
  • Registro de Actividades de Tratamiento.
  • Indicación de los encargados del tratamiento intervinientes, en su caso.
  • Listado de cumplimiento normativo.
  • Medidas y garantías de protección de datos por defecto.
  • Análisis de riesgos para los derechos y libertades de personas físicas.
  • Evaluación de impacto relativa a la protección de datos o justificación de la improcedencia de realizar la misma.
  • Medidas de seguridad.
  • Procedimientos para la gestión de brechas de seguridad.
  • Informe del Delegado de Protección de Datos en relación con el cumplimiento de la normativa de la protección de datos en el sistema de inteligencia artificial o justificación de la improcedencia de dicho informe.

Las solicitudes serán resueltas por la Secretaría de Estado de Digitalización e Inteligencia Artificial, previa evaluación por la Subdirección General de Inteligencia Artificial y Tecnologías Habilitadoras Digitales, teniendo en cuenta diferentes criterios: a) el grado de innovación o complejidad tecnológica del producto o servicio; b) su impacto social, empresarial o de interés público; c) el grado de explicabilidad y transparencia del algoritmo; d) el alineamiento de la entidad y el sistema de inteligencia artificial con la Carta de Derechos Digitales; e) la tipología de alto riesgo del sistema, buscando una representación variada de tipologías; h) el grado de grado de madurez del sistema; i) la calidad de la memoria técnica.

Quedan excluidos determinados sistemas, en concreto, los destinados a actividades militares, de defensa o seguridad nacional, los que se sirvan de técnicas subliminales o se aprovechen de vulnerabilidades personales, los que tengan por finalidad la realización de determinadas evaluaciones o clasificaciones de personas físicas y los de identificación biométrica remota en tiempo real, salvo en casos de interés público.

Los seleccionados deberán evaluar sus sistemas de inteligencia artificial siguiendo las guías y las especificaciones técnicas que la Secretaría de Estado de Digitalización e Inteligencia Artificial ponga a su disposición, que podrán ir actualizándose y que, lógicamente, estarán basadas en los requisitos que se espera que el Reglamento de Inteligencia Artificial imponga.

Críticas de la CNMV

La Comisión Nacional de los Mercados y de la Competencia (CNMV) elaboró, en su día, un informe bastante crítico sobre la propuesta de «sandbox» regulatorio del Gobierno. Dejo enlazado aquí dicho informe.

A juicio de la CNMV, los requisitos de elegibilidad (residencia en España, personalidad jurídica, número de proyectos de inteligencia artificial y fines) limitan el acceso a los entornos de prueba, pudiendo ser discriminatorios. También denuncian que la participación puede otorgar ventajas competitivas injustificadas, por ejemplo, por el hecho de acceder a información no disponible para el resto de agentes del mercado.

Conclusión

Se espera que este ensayo sirva para establecer directrices de buenas prácticas, lecciones aprendidas y guías técnicas de ejecución y supervisión basadas en la evidencia y la experimentación. El éxito o el fracaso del ensayo dependerá del grado de participación –no remunerada– de proveedores y usuarios.

Está previsto que el procedimiento de verificación del cumplimiento de los requisitos, de gestión de la calidad y de la documentación técnica se haga mediante el sistema de autoevaluación, y todo parece indicar que el Reglamento de Inteligencia Artificial dispondrá lo mismo. Se puede entender que la falta o limitación de recursos personales y materiales de los organismos reguladores –como la Agencia Española de Supervisión de la Inteligencia Artificial— no permita otro sistema de evaluación, pero la autoevaluación, sin la debida supervisión, no parece que sea la mejor solución.

El «sandbox» entra en vigor hoy (10 de noviembre de 2023) y lo hace con fecha de caducidad, pues se prevé que deje de estar operativo transcurridos treinta y seis meses desde su entrada en vigor o, en su caso, hasta que sea aplicable en España el Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial.

Más información 

Si quieren ampliar la información sobre el «sandbox» les comparto el artículo de Carlos Fernández Hernández publicado en el Diario LA LEY Nº 78, Sección Ciberderecho, 13 de Noviembre de 2023, que pueden encontrar haciendo clic aquí.

Índice de artículos
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).