España servirá de banco de pruebas –a nivel comunitario– para ensayar en un entorno controlado («sandbox») el cumplimiento de ciertos requisitos por parte de aquellos sistemas de inteligencia artificial que puedan suponer riesgos para la seguridad, la salud y los derechos fundamentales de las personas.
El banco de pruebas se regirá por lo establecido en el Real Decreto 817/2023, de 8 de noviembre, que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial.
El «sandbox» tiene por objetivo estudiar la operatividad de los requisitos establecidos en la propuesta de Reglamento de Inteligencia Artificial, así como la autoevaluación de cumplimiento y la prueba del régimen de supervisión de los sistemas de inteligencia artificial de alto riesgo.
La participación en el entorno controlado de prueba se centra en los sistemas de inteligencia artificial clasificados:
- De Alto Riesgo.
- De Propósito General.
- Modelos Fundacionales.
Podrán participar en la experiencia las entidades seleccionadas sujetas a la jurisdicción española, por lo que será obligatorio que se trate de entidades residentes en España o con un establecimiento permanente en España. Pueden ser «proveedores» de sistemas de inteligencia artificial, las entidades de derecho privado, las Administraciones públicas y las entidades del sector público.
Por otro lado, están los «usuarios» de dichos sistemas de inteligencia artificial que, igualmente, han de ser residentes en España o con un establecimiento permanente en España.
Los interesados presentarán su candidatura acompañando una memoria técnica con el contenido referido en el Anexo III, así como una declaración responsable de cumplimiento de la normativa de protección de datos, pudiendo requerirse la siguiente documentación:
- Indicación del responsable o corresponsables del tratamiento de datos.
- Registro de Actividades de Tratamiento.
- Indicación de los encargados del tratamiento intervinientes, en su caso.
- Listado de cumplimiento normativo.
- Medidas y garantías de protección de datos por defecto.
- Análisis de riesgos para los derechos y libertades de personas físicas.
- Evaluación de impacto relativa a la protección de datos o justificación de la improcedencia de realizar la misma.
- Medidas de seguridad.
- Procedimientos para la gestión de brechas de seguridad.
- Informe del Delegado de Protección de Datos en relación con el cumplimiento de la normativa de la protección de datos en el sistema de inteligencia artificial o justificación de la improcedencia de dicho informe.
Las solicitudes serán resueltas por la Secretaría de Estado de Digitalización e Inteligencia Artificial, previa evaluación por la Subdirección General de Inteligencia Artificial y Tecnologías Habilitadoras Digitales, teniendo en cuenta diferentes criterios: a) el grado de innovación o complejidad tecnológica del producto o servicio; b) su impacto social, empresarial o de interés público; c) el grado de explicabilidad y transparencia del algoritmo; d) el alineamiento de la entidad y el sistema de inteligencia artificial con la Carta de Derechos Digitales; e) la tipología de alto riesgo del sistema, buscando una representación variada de tipologías; f) el grado de grado de madurez del sistema; g) la calidad de la memoria técnica.
Quedan excluidos determinados sistemas, en concreto, los destinados a actividades militares, de defensa o seguridad nacional, los que se sirvan de técnicas subliminales o se aprovechen de vulnerabilidades personales, los que tengan por finalidad la realización de determinadas evaluaciones o clasificaciones de personas físicas y los de identificación biométrica remota en tiempo real, salvo en casos de interés público.
Los seleccionados deberán evaluar sus sistemas de inteligencia artificial siguiendo las guías y las especificaciones técnicas que la Secretaría de Estado de Digitalización e Inteligencia Artificial ponga a su disposición, que podrán ir actualizándose y que, lógicamente, estarán basadas en los requisitos que se espera que el Reglamento de Inteligencia Artificial imponga.
Críticas de la CNMC
La Comisión Nacional de los Mercados y de la Competencia (CNMC) elaboró, en su día, un informe bastante crítico sobre la propuesta de «sandbox» regulatorio del Gobierno. Dejo enlazado aquí dicho informe.
A juicio de la CNMV, los requisitos de elegibilidad (residencia en España, personalidad jurídica, número de proyectos de inteligencia artificial y fines) limitan el acceso a los entornos de prueba, pudiendo ser discriminatorios. También denuncian que la participación puede otorgar ventajas competitivas injustificadas, por ejemplo, por el hecho de acceder a información no disponible para el resto de agentes del mercado.
Conclusión
El «sandbox» entró en vigor el 10 de noviembre de 2023 y lo hace con fecha de caducidad, pues se prevé que deje de estar operativo transcurridos treinta y seis meses desde su entrada en vigor, es decir, hasta noviembre de 2026 o, en su caso, hasta que sea plenamente aplicable en España el Reglamento de Inteligencia Artificial, cuyas obligaciones para sistemas de alto riesgo en el Anexo III se aplicarán a partir del 2 de agosto de 2027.
Se espera que este ensayo sirva para establecer directrices de buenas prácticas, lecciones aprendidas y guías técnicas de ejecución y supervisión basadas en la evidencia y la experimentación. El éxito o el fracaso del ensayo dependerá del grado de participación de proveedores y usuarios.
Más información
Si quieren ampliar la información sobre el «sandbox» les comparto el artículo de Carlos Fernández Hernández publicado en el Diario LA LEY Nº 78, Sección Ciberderecho, 13 de Noviembre de 2023, que pueden encontrar haciendo clic aquí.
—
Actualización
