Europa, con España a la cabeza, continúa adentrándose en el novedoso universo de la inteligencia artificial (IA). La Comisión Europea ha presentado una propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas con el objetivo de garantizar el respeto de los derechos fundamentales de los ciudadanos y generar confianza en el desarrollo y la utilización. El Reglamento pretende proveer a la UE de un marco normativo que fomente una IA fiable, ética y robusta. En estos momentos está negociándose tanto en el Consejo de la UE como en el Parlamento Europeo y; en este contexto, el Gobierno de España pondrá en marcha en las próximas semanas el sandbox regulatorio, un banco de pruebas que aspira a estudiar la operatividad y cumplimiento de los requisitos establecidos en la propuesta de Reglamento.
El proyecto pretende poner en contacto a autoridades competentes con las empresas que desarrollan IA para definir las buenas prácticas y extraer conclusiones que sienten los mimbres para asegurar la implementación del Reglamento. Asimismo, constituirá la génesis de guías técnicas de ejecución y supervisión basadas en la evidencia y la experimentación para facilitar a las entidades el cumplimiento del futuro Reglamento.
El Reglamento pretende proveer a la UE de un marco normativo que fomente una IA fiable, ética y robusta.
El propósito del Real Decreto es regular la creación y el funcionamiento del sandbox, estableciendo las definiciones, el procedimiento de admisión, la selección de los sistemas, el desarrollo del proyecto y su finalización.
El sandbox regulatorio sobre el Reglamento de la IA forma parte de la estrategia española de transformación digital, Agenda de España Digital 2026; y también encuentra encuadre en el Plan de Recuperación, Transformación y Resiliencia.
El ingreso al entorno de pruebas
Las entidades que lo deseen ya pueden pre registrar su interés en participar en el proyecto. El Real Decreto estipulará los requisitos de elegibilidad. Así, según figura en el borrador al que ha tenido acceso Demócrata, la primera condición es que tanto los proveedores como los usuarios han de ser residentes en España o tener un establecimiento permanente. También se permitirá el ingreso a los que sean parte de una agrupación de entidades donde el representante de la agrupación o apoderado único, siendo integrante de ésta, sea la entidad solicitante y cuyo domicilio o establecimiento principal se encuentre necesariamente en territorio español.
Superado el primer cortafuegos, podrán acceder las personas jurídicas, administraciones públicas y entidades del sector público en España que hagan uso de un sistema de IA de alto riesgo, toda vez que el proveedor IA de este sistema acceda también al entorno controlado.
Los proveedores podrán participar en la convocatoria presentando uno o varios sistemas de IA, toda vez que estos sean diferentes. Por su parte, los solicitantes también podrán presentar una o varias propuestas de sistema de IA de alto riesgo, de propósito general, modelo fundacional, o sistemas de inteligencia artificial generativa.
No todos los sistemas de IA podrán participar en el sandbox. El borrador del real decreto recoge seis excepciones:
- Sistemas de IA desarrollados y puestos en servicio con el solo propósito de investigación y desarrollo con fines científicos.
- Sistemas de IA comercializados o puestos en servicio para actividades militares, de Defensa o Seguridad Nacional.
- Sistemas de IA que se sirvan de técnicas subliminales que trasciendan la consciencia de una persona con el objetivo de alterar efectivamente su comportamiento de un modo que provoque o pueda provocar perjuicios físicos o psicológicos a esa u otra persona.
- Sistemas de IA que aprovechen alguna de las vulnerabilidades de un grupo específico de personas con el objetivo de alterar el comportamiento de una persona de ese grupo de un modo que provoque o pueda provocar, con probabilidad razonable, perjuicios físicos o psicológicos a esa persona o a otra.
- Sistemas de IA que tengan el fin de evaluar o clasificar personas físicas durante un período determinado de tiempo atendiendo a su conducta social o a características personales o de su personalidad conocidas o predichas, de forma que la clasificación social resultante provoque un trato perjudicial o desfavorable.
- Sistemas de identificación biométrica “en tiempo real” para su uso en espacios de acceso público por parte de las Fuerzas y Cuerpos de Seguridad o en su representación, con fines de orden público, salvo y en la medida en que dicho uso sea estrictamente necesario para buscar víctimas de un delito, prevenir una amenaza específica e importante y/o la localización de una persona en el marco de una investigación penal.
Solicitud y evaluación
En las convocatorias se podrán especificar las condiciones de acceso y el número de plazas, puesto que será limitado. La solicitud habrá de ir acompañada de una memoria técnica, una declaración responsable que acredite el cumplimiento de la normativa relativa a la Protección de Datos Personales, así como toda la documentación requerida. Serán evaluadas ateniendo al grado de innovación o complejidad tecnológica, el impacto social o de interés público, la transparencia del algoritmo, el alineamiento de la entidad y el sistema IA con la Carta de Derechos Digitales del Gobierno de España y tipología de alto riesgo, entre otras cuestiones como el grado de madurez del sistema IA, la calidad de la memoria técnica y el tamaño o tipología del proveedor IA.
El órgano competente podrá invitar como observadora a cualquier autoridad cuando su participación pueda ser relevante en la evaluación de sistemas de IA.
La solicitud habrá de ir acompañada de una memoria técnica, una declaración responsable que acredite el cumplimiento de la normativa relativa a la Protección de Datos Personales.
Sistemas de IA, informes y guías
Una vez que el proveedor haya sido admitido para integrar el banco de pruebas, habrá de participar en el mismo asegurándose de que el sistema IA cumple todos los requisitos: establecimiento, implementación, documentación y mantenimiento de un sistema de gestión de riesgo relativo al sistema de IA en cuestión; en casos que impliquen entrenamientos de datos, se desarrollarán sobre conjuntos de datos de entrenamiento, validación y pruebas que cumplan los criterios de calidad especificados; los sistemas de inteligencia artificial deberán técnicamente permitir el registro automático de eventos (logs) a lo largo del ciclo de vida del sistema; será diseñado y desarrollado de forma que se asegure su operación y transparencia; e irá acompañado de instrucciones de uso.
Requisitos de los sistemas: -Establecimiento, documentación y mantenimiento de un sistema de IA de alto riesgo. -Datos de entrenamiento. -Registro automático. -Transparencia. -Instrucciones de uso.
Todo lo anterior habrá de cumplirse garantizando que puedan ser supervisados por personas físicas. Además, todos los participantes están obligados a respetar las disposiciones de la protección de datos aplicables y serán los responsables por los daños sufridos por cualquier persona como consecuencia de la aplicación de sistema de IA, toda vez que dichos daños deriven de un incumplimiento del participante o cuando medie culpa, negligencia o dolo por su parte.
Existirá un buzón de consultas a modo de canal de comunicación para que puedan presentarse dudas o cuestiones suscitadas durante las pruebas. También habrá disponible una vía de notificación urgente.
El sandbox tendrá una duración determinada. Al concluir, los participantes entregarán un informe cuyo contenido mínimo se indicará en las guías que ofrezca el órgano competente.