Revista AJA 1001-articulos

inline Rectangle nº 1.001 - 30 de noviembre de 2023

Aprobado el primer ‘sandbox’ regulatorio de Inteligencia Artificial

inline Rectangle

Miguel Valdés Borruey. Partner-Lawyer. Digital Law and Intellectual Property.at EJASO

María Ñíguez Olalla. Senior Associate-Lawyer. Digital Law and Innovation at EJASO

Nos encontramos en un momento de suma importancia que viene marcado por la simultaneidad temporal entre la negociación de la Propuesta de Reglamento de IA y la creación del primer sandbox de IA

La participación no implica contraprestación económica de ningún tipo, pero conlleva la aplicación de un régimen de responsabilidad

España ha publicado el Real Decreto 817/2023, de 8 de noviembre, que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la Propuesta de Reglamento en materia de Inteligencia Artificial (en lo sucesivo, «Real Decreto»).

De este modo, se pone en marcha el primer sandbox europeo de IA (en lo sucesivo, «Sandbox de IA») con el objeto de ensayar el cumplimiento de ciertos requisitos que la Propuesta de Reglamento de IA exigirá a los sistemas que puedan suponer riesgos para la seguridad, la salud y los derechos fundamentales de las personas. Esta iniciativa dará lugar al desarrollo de un informe de buenas prácticas y a la elaboración de guías técnicas de ejecución y supervisión, que podrán servir de base para el desarrollo de guías por parte de la Comisión Europea y como aportación para futuros procesos de estandarización por parte de los organismos de normalización.

Por lo tanto, el Sandbox de Inteligencia Artificial es un Sandbox pre-regulatorio y, por este motivo, tiene prevista una vigencia máxima de treinta y seis meses o hasta que entre en vigor y sea aplicable el nuevo Reglamento europeo de IA, lo que ocurra antes.

Requisitos de elegibilidad

En cuanto a la participación en el Sandbox de IA, el Real Decreto establece los requisitos que deben cumplir los sistemas de IA y las entidades para poder resultar elegibles. Así, está previsto que puedan acceder al Sandbox de IA los sistemas de alto riesgo, sistemas de propósito general y modelos fundacionales, siempre que puedan suponer un riesgo para la seguridad, la salud y los derechos fundamentales de las personas, que no sean un tipo de sistema excluido y que tengan un nivel de desarrollo suficientemente maduro. Por su parte, podrán participar en las convocatorias del Sandbox de IA las administraciones públicas, las entidades del sector público y empresas privadas residentes en España o que tengan un establecimiento permanente en España.

Participación en el Sandbox de IA

Las citadas entidades podrán participar en el Sandbox de IA como proveedores de sistemas o como usuarios participantes en el entorno controlado de pruebas. A este respecto, los proveedores de IA y los usuarios participantes deberán cumplir con el Real Decreto y con las previsiones descritas en la convocatoria en cuestión, la normativa de protección de datos, la normativa laboral, la legislación sectorial que resulte de aplicación al sistema y con lo previsto en la normativa de propiedad intelectual.

Asimismo, la participación en el Sandbox de IA requiere la dedicación voluntaria de tiempo y recursos y no implica contraprestación económica de ningún tipo. No obstante, dicha participación conlleva la aplicación de un régimen de responsabilidad, en virtud del cual, el proveedor IA y el usuario participante serán responsables de los daños sufridos por cualquier persona que se deriven de la aplicación del sistema de IA en el contexto del Sandbox IA, siempre que dichos daños deriven de un incumplimiento o cuando medie culpa, negligencia o dolo por su parte.

Procedimiento de admisión y funcionamiento

La Subdirección General de Inteligencia Artificial y Tecnologías Habilitadores Digitales con el apoyo de la Oficina del Dato procederá a la valoración de las solicitudes presentadas teniendo en cuenta, entre otros aspectos: (i) el grado de innovación, complejidad tecnológica, impacto social o interés público del producto o servicio; (ii) el grado de explicabilidad y transparencia del algoritmo; (iii) el alineamiento de la entidad y sistema con la Carta de Derechos Digitales; (iv) la tipología de alto riesgo del sistema de IA; (v) el grado de madurez del sistema de IA; y (vi) la calidad de la memoria técnica, la evaluación de la declaración responsable y la acreditación de la normativa de protección de datos personales.

Durante la fase de desarrollo de pruebas y validación del cumplimiento, los participantes que hayan sido admitidos al Sandbox de IA, tendrán que llevar a cabo las actuaciones necesarias para implementar los requisitos enumerados en el artículo 11 del Real Decreto, entre otros: (i) establecer, implementar, documentar y mantener un sistema de gestión de riesgos relativo al sistema de IA; (ii) diseñar y desarrollar sistemas suficientemente transparentes para los usuarios y evitar que el sistema genera sesgos discriminatorios; y (iii) garantizar un nivel adecuado de precisión, solidez y ciberseguridad.

Implementados tales requisitos, el participante tendrá que realizar una declaración de cumplimiento que se iniciará con la autoevaluación, que no tiene efectos fuera del Sandbox de la IA, para verificar: (i) los requisitos del sistema de gestión de la calidad; (ii) la documentación técnica; y (iii) el plan de seguimiento posterior a la comercialización. Finalmente, el órgano competente analizará la documentación y resolverá con una evaluación favorable o concediendo un plazo de tres meses para que el participante termine de cumplir debidamente con los requisitos.

Una vez se ponga en marcha el sistema de IA, los proveedores y/o usuarios participantes asumen un doble compromiso, por un lado, poner en marcha un sistema de seguimiento posterior a la comercialización que sea proporcional a los riesgos y al uso previsto del sistema de IA y, por otro, notificar al órgano competente tan pronto sean conocedores de cualquier incidente grave en los sistemas de IA que pudiera constituir un incumplimiento de la legislación en vigor.

En conclusión, consideramos que nos encontramos en un momento de suma importancia para la regulación de la IA que viene marcado, entre otras cuestiones, por la simultaneidad temporal entre la negociación de la Propuesta de Reglamento de IA y la creación del primer Sandbox de IA destinado a ensayar el cumplimiento de la citada Propuesta. Esta convergencia entre definición de las reglas de juego y su puesta en práctica marca un hito importante en el desarrollo y comercialización de sistemas de IA en la Unión Europea. ■