Close

Inteligencia artificial y entornos controlados de pruebas (“regulatory sandboxes”): Real Decreto 817/2023, de 8 de noviembre (1)

El pasado sábado, 9 de diciembre, el Parlamento Europeo publicó la consecución de un consenso con el Consejo de la UE sobre la nueva Ley Europea de Inteligencia Artificial. A la vista de este anuncio y a la espera de que este consenso se refleje en forma de texto articulado de un Reglamento de la UE (y de que éste entre en vigor a finales de 2026); nos parece particularmente oportuno ofrecer a los lectores de este blog un análisis sintético de la última regulación -vigente desde el 10 de noviembre de 2023- en España de los entornos controlados de pruebas (“regulatory sandboxes”) en materia de Inteligencia artificial por el Real Decreto 817/2023, de 8 de noviembre.

En el BOE núm. 268, del jueves 9 de noviembre de 2023 (Sec. I. Pág. 149138 y ss.) se publicó el Real Decreto 817/2023, de 8 de noviembre, que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial. El impacto de este Reglamento -que entró en vigor el viernes 10 de noviembre de 2023– en nuestro Ordenamiento será muy notable no solo por sus efectos directos en las startups de IA sino por lo que implica de pre-adaptación de nociones básicas para la aplicación del Reglamento del Parlamento Europeo y del Consejo mencionado, empezando por los conceptos de sistemas y modelos de inteligencia artificial.

A) CARACTERÍSTICAS GENERALES DEL REAL DECRETO 817/2023

a) Finalidad

El RD 817/2023 pretende establecer un entorno controlado de pruebas (ECP) para ensayar el cumplimiento de ciertos requisitos por parte de algunos sistemas de IA que puedan suponer riesgos para la seguridad, la salud y los derechos fundamentales de las personas. Para ello, se regula el procedimiento de selección de los sistemas y entidades que participarán en el entorno controlado de pruebas (art.1).

b) Ámbito de aplicación

El RD 817/2023 tiene un amplio espectro de aplicación que abarca tanto a las administraciones públicas y entidades del sector público institucional como a entidades privadas (art.2).

c) Regulación

En general, debemos destacar que este RD 817/2023 permite identificar las piezas básicas con las que se puede ir construyendo el complejo edificio regulatorio de la IA; con la ventaja de que, durante el periodo de espera forzosa a que el consenso alcanzado el pasado 8 de diciembre por el Parlamento Europeo y el Consejo se refleje en forma de texto articulado de un Reglamento de la UE y de que este entre en vigor (a finales de 2026), sienta las bases de una arquitectura jurídicamente estable, que nos permite evitar las especulaciones que -como un tsunami- inundan interesadamente, en los últimos tiempos,  la opinión pública.

Entrando en los aspectos técnico-regulatorios del RD 817/2023, conviene advertir que, conforme al principio de especialidad normativa, la evaluación y adecuación de los sistemas de inteligencia artificial en el marco del entorno controlado de pruebas para ensayar la implantación de los requisitos se regirá por el RD 817/2023 y en las convocatorias aprobadas al amparo de éste, así como en toda la normativa que por su naturaleza sea de aplicación. Por ello, en caso de que un sistema de IA esté regulado por una legislación sectorial específica y no haya sido introducido en el mercado o puesto en servicio con carácter previo a la solicitud de su participación en el entorno controlado de pruebas, su participación en él no eximirá del cumplimiento del requisito de que el sistema de IA deba superar la evaluación de conformidad de acuerdo con la legislación específica previo a que sea puesto en el mercado.

En este sentido, ofrece un especial interés por su utilidad para el operador jurídico la “Lista de legislación de la Unión Europea basada en el nuevo marco legislativo” contenida en el Anexo VII del RD 817/2023.

Destaca la previsión de gratuidad porque ni los proveedores de IA ni los usuarios participantes en el entorno controlado de pruebas recibirán ningún tipo de contraprestación económica o en especie (art.4).

d) Método riesgo/oportunidad

El RD 817/2023 descansa sobre el método riesgo/oportunidad que es común a la regulación global de la IA y producto de la evolución de método coste/beneficio. Ello se refleja en el Preámbulo del RD 817/2023 cuando dice que “la inteligencia artificial es una tecnología disruptiva con una alta capacidad de impacto en la economía y la sociedad. En el plano económico, y junto a otras tecnologías digitales, presenta un alto potencial para el aumento de la productividad, la apertura de nuevas líneas de negocio, el desarrollo de nuevos productos o servicios –basados, por ejemplo, en la personalización, la optimización de los procesos industriales o las cadenas de valor–, la mejora en la facilidad de realización de tareas cotidianas, la automatización de ciertas tareas rutinarias y el desarrollo de la innovación. Este potencial incide positivamente en el crecimiento económico, la creación de empleo y el progreso social. No obstante, los sistemas de inteligencia artificial también pueden suponer riesgos sobre el respeto de los derechos fundamentales de la ciudadanía, como por ejemplo los relativos a la discriminación y a la protección de datos personales, o incluso causar problemas graves sobre la salud o la seguridad de la ciudadanía”.

e) Pre-adaptación parcial del futuro Reglamento sobre la inteligencia artificial

Este aspecto también se refleja en el Preámbulo del RD 817/2023 cuando se refiere a que “la Comisión Europea ha presentado una propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial con el objetivo de asegurar el respeto de los derechos fundamentales de la ciudadanía y generar confianza en el desarrollo y la utilización de la inteligencia artificial de manera holística en la economía y la sociedad. El citado Reglamento busca proveer a la Unión Europea de un marco normativo con el fin de promover una inteligencia artificial fiable, ética y robusta. La propuesta no regula la tecnología en sí, sino las aplicaciones de alto riesgo de inteligencia artificial

Procede añadir que las referencias que sigue haciendo el Preámbulo del RD 817/2023 a las negociaciones entre el Consejo de la Unión Europea y el Parlamento Europeo deben actualizarse respecto del consenso alcanzado por ambas Instituciones el pasado 8 de diciembre al que nos hemos referido al inicio de esta entrada y que desarrollaremos algo más en la del próximo miércoles día 13 de los corrientes. En este sentido, destaca el aspecto didáctico del Anexo I del RD 817/2023 que ofrece un resumen de la “Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial”.

f) Vigencia inmediata y caducidad

Este RD 817/2023 entró en vigor el viernes 10 de noviembre de 2023 (día siguiente a su publicación en el BOE); presentado una característica especialmente destacable, cual es su caducidad que viene referenciada al cumplimiento de una condición alternativa que se refleja en su Disposición final segunda que establece que tendrá una vigencia de:

f.1) Máximo treinta y seis meses desde su entrada en vigor; esto es, el 10 de noviembre de 2016.

f.2) Hasta que sea aplicable en el Reino de España el Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial.

Sin perjuicio de que ambas fechas se aproximarán, es lo cierto que el RD 817/2023 tendrá, en todo caso, una vigencia temporal notable; especialmente apreciable a la vista de la rauda evolución de la IA.

B) ESTRUCTURA DE LOS ENTORNOS CONTROLADOS DE PRUEBAS EN MATERIA DE INTELIGENCIA ARTIFICIAL

B.1) Elementos subjetivos: proveedores y usuarios públicos y privados

a) De carácter público

Pueden participar en los ECP las Administraciones públicas y entidades del sector público institucional que abarcan “las distintas administraciones públicas y entidades del sector público institucional según la definición contenida en el artículo 2 de la Ley 40/215, de 1 octubre, de Régimen Jurídico del Sector Público” (art.3.14).

b) De carácter privado

Pueden participar en los ECP las entidades privadas, ofreciendo el RD 817/2023 sendas definiciones especiales de “Pequeña y mediana empresa (pyme)” conforme a la definición de pyme contenida en el artículo 2 del Anexo I del Reglamento (UE) 651/2014 de la Comisión, de 17 de junio de 2014 por el que se declaran determinadas categorías de ayudas compatibles con el mercado interior en aplicación de los artículos 107 y 108 del Tratado (art.3.14) y de “Empresa emergente” conforme a la definición contenida en el artículo 3 de la Ley 28/2022, de 21 de diciembre de 2022, de fomento del ecosistema de las empresas emergentes (art.3.15).

c) Bivalentes: De carácter público o privado

Los participantes de carácter público o privado en los ECP pueden desempeñar los siguientes roles o papeles:

c.1) «Proveedor de sistemas de Inteligencia Artificial» o «Proveedor IA» definido como “toda persona jurídica privada, entidad del sector público en España, u organismo de otra índole, que ha desarrollado o para quien se ha desarrollado un sistema de inteligencia artificial, y que lo introduce en el mercado o lo pone en servicio bajo su propio nombre o marca comercial, ya sea de forma onerosa o gratuita” El RD 817/2023 precisa que el proveedor AI será designado de dos maneras según la fase del proceso en la que se encuentre: «Proveedor IA solicitante»: definido como “proveedor IA que ha solicitado la admisión en el entorno controlado de pruebas” o «Proveedor IA participante» definido como “proveedor IA que ha sido admitido en el entorno controlado de pruebas”. (art.3.7).

c.2) «Usuario» término que abarca a “las personas jurídicas privadas o las administraciones públicas y entidades del sector público institucional en España bajo cuya autoridad se utilice un sistema de inteligencia artificial”. De forma simétrica al proveedor, el usuario será designado de dos maneras según la fase del proceso en la que se encuentre: «Usuario solicitante»: definido como “usuario del sistema de inteligencia artificial que ha solicitado su admisión en el entorno controlado de pruebas” o «Usuario participante»: definido como “usuario del sistema de inteligencia artificial que ha sido admitido en el entorno controlado de pruebas y que participa juntamente con el proveedor IA en dicho entorno” (art.3.8).

B.2) Elementos objetivos: sistemas y modelos de inteligencia artificial

En el comienzo de esta entrada decimos que la importancia del RD 817/2023 obedece a que implica de pre-adaptación de nociones básicas para la aplicación inminente del Reglamento del Parlamento Europeo y del Consejo mencionado, empezando por los conceptos de sistemas y modelos de inteligencia artificial. Así lo podemos comprobar en las definiciones siguientes:

a) Sistemas de inteligencia artificial

El RD 817/2023 define el «Sistema de inteligencia artificial» como un “sistema diseñado para funcionar con un cierto nivel de autonomía y que, basándose en datos de entradas proporcionadas por máquinas o por personas, infiere cómo lograr un conjunto de objetivos establecidos utilizando estrategias de aprendizaje automático o basadas en la lógica y el conocimiento, y genera información de salida, como contenidos (sistemas de inteligencia artificial generativos), predicciones, recomendaciones o decisiones, que influyan en los entornos con los que interactúa” (art.3.3).

Después, el RD 817/2023 distingue dos clases de sistemas de IA con distinto alcance y efectos que son:

a.1) «Sistema de inteligencia artificial de alto riesgo» que define como un “sistema de inteligencia artificial que cumpla alguno de los siguientes supuestos: a) Un sistema de inteligencia artificial que constituya un producto regulado por la legislación de armonización de la Unión especificada en el anexo VII del presente real decreto se considerará de alto riesgo si debe someterse a una evaluación de la conformidad por un tercero con vistas a la introducción en el mercado o puesta en servicio de dicho producto con arreglo a la legislación mencionada. b) Un sistema de inteligencia artificial que vaya a ser utilizado como un componente que cumple una función de seguridad y cuyo fallo o defecto de funcionamiento pone en peligro la salud y la seguridad de las personas o los bienes en un producto regulado por una norma armonizada de la Unión Europea, si debe someterse a una evaluación de conformidad por parte de un tercero con vistas a la introducción en el mercado o puesta en servicio de dicho producto con arreglo a la legislación de armonización aplicable. Este supuesto será aplicable, aunque el sistema de inteligencia artificial se comercialice o se ponga en servicio independientemente del producto. c) Sistemas de inteligencia artificial mencionados en el anexo II, siempre que la respuesta del sistema sea relevante respecto a la acción o decisión a tomar, y pueda, por tanto, provocar un riesgo significativo para la salud, los derechos de las personas trabajadoras en el ámbito laboral o la seguridad o los derechos fundamentales” (art.3.4).

A estos efectos, debemos reparar en el pormenorizado “listado de áreas de sistemas de inteligencia artificial de alto riesgo específicos que obra en el Anexo II del RD 817/2023.

a.2) «Sistema de inteligencia artificial de propósito general»: definido como “sistema de inteligencia artificial que, independientemente de la modalidad en la que se comercialice o se ponga en servicio, incluso como software de código abierto, está destinado por el proveedor del sistema a realizar funciones de aplicación general, como el reconocimiento de texto, imágenes y del habla; la generación de textos, audios, imágenes y/o vídeos; detección de patrones; respuesta a preguntas; traducción y otras” (art.3.5).

b) Modelos de inteligencia artificial

El RD 817/2023 define el «modelo fundacional» como “un modelo de inteligencia artificial entrenado en una gran cantidad de datos no etiquetados a escala (generalmente mediante aprendizaje autosupervisado y/o con recopilación automática de contenido y datos a través de internet mediante programas informáticos) que da como resultado un modelo que se puede adaptar a una amplia gama de tareas posteriores” (art.3.6).

B.3) Elementos funcionales

a) De tipo técnico

El RD 817/2023 define tres elementos funcionales de tipo técnico comenzando por el propio «Entorno controlado de pruebas o experiencia» como el “entorno o experiencia, con una duración determinada, que proporciona un contexto estructurado para el desarrollo de las actuaciones necesarias que posibiliten a proveedores y usuarios de los sistemas de inteligencia artificial de alto riesgo, sistemas de propósito general y modelos fundacionales que realicen las pruebas necesarias para la implementación de los requisitos establecidos en este real decreto, bajo la supervisión del órgano competente” (art.3.2).

Después, el RD 817/2023 añade otro dos elementos funcionales de tipo técnico  que son la «Autoevaluación de cumplimiento» definido como el “procedimiento de verificación del cumplimiento de los requisitos, del sistema de gestión de la calidad, de la documentación técnica y del plan de seguimiento posterior a la comercialización, todos ellos detallados en este real decreto, realizados por el proveedor IA y en su caso, por el usuario, y que puede servir como referencia para la evaluación de conformidad que define la propuesta del Reglamento europeo por el que se establecen normas armonizadas en materia de inteligencia artificial. La autoevaluación de cumplimiento se circunscribe al ámbito de este entorno, sin que suponga la equiparación a la superación de evaluaciones de conformidad exigidas en otras legislaciones específicas, en particular en la propuesta del Reglamento europeo de Inteligencia Artificial” (art.3.9) y el «Incidente» definido como el “no cumplimiento de determinados procedimientos sin consecuencias lesivas” (art.3.16).

b) De tipo comercial

El RD 817/2023 define tres elementos funcionales de tipo comercial comenzando por la propia «Comercialización» que define como “todo suministro de un sistema de inteligencia artificial para su distribución o utilización en el mercado de la Unión Europea en el transcurso de una actividad comercial, ya se produzca el suministro de manera onerosa o gratuita” (art.3.10); siguiendo por la «introducción en el mercado» definida como ”la primera comercialización en el mercado de la Unión Europea de un sistema de inteligencia artificial” (art.3.11); y acabando por la «puesta en servicio» definida como “el suministro de un sistema de inteligencia artificial para su primer uso ya sea directamente por el usuario o para uso propio, en la Unión Europea de acuerdo con su finalidad prevista” (art.3.12).

Referencia bibliográfica:

El lector interesado en la aplicación de la técnica de los ECP al sector financiero puede consultar nuestros estudios “FINTECH: Comentario urgente de la Ley 7/2020 para la transformación digital del sistema financiero. Espacios controlados de pruebas (“regulatory sandboxes”) y otras medidas de innovación en las tecnofinanzas” `publicado en la Revista de Derecho del Mercado de Valores, RMV n.º 27 (2020), 15 pp.; “Los facilitadores de la innovación de las tecnofinanzas en la Unión Europea y en España. En especial, los espacios controlados de pruebas o “sandboxes”, publicado en la Revista de Derecho del Mercado de Valores, RMV n.º 29 (2021), pp. 1-13; y “Facilitadores de la innovación en las tecnofinanzas: espacios controlados de pruebas («regulatory sandboxes») y centros de innovación («innovation hubs»). Informe del comité mixto de las autoridades europeas de supervisión”, en Revista Iberoamericana del Mercados de Valores (RIMV) n.º 56 (2019), pp. 1-7.

También puede consultar las entradas de este blog de 17.11.2020 sobre “FINTECH: Ley 7/2020 para la transformación digital del sistema financiero: Espacios controlados de pruebas (“regulatory sandbox”) y otras medidas de innovación en las tecnofinanzas”; y de 29 y 30 de noviembre de 2021 sobre la Digitalización financiera e innovadores de las tecnofinanzas en la Unión europea y en España. En especial, los espacios controlados de pruebas (“sandboxes”) como experiencias pioneras de regulación y supervisión públicas”.  II Jornadas de la Red Nacional de Calidad Normativa”.

Por último, quién este interesado, en particular, en la génesis de este RD 817/2023, puede consultar la entrada de 08.09.2023 sobre “Inteligencia artificial y entornos controlados de pruebas (“regulatory sandboxes”):  Informe de la Comisión Nacional de los Mercados y la Competencia (CNMC) de julio de 2023” en la que dábamos cuenta del “Informe sobre el Proyecto de Real Decreto que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial” que emitió la Comisión Nacional de los Mercados y la Competencia (CNMC) el 25 de julio de 2023 (ref. IPN/CNMC/020/23) y publicó el 28 de agosto de 2023.