Close

Inteligencia artificial y entornos controlados de pruebas (“regulatory sandboxes”): Real Decreto 817/2023, de 8 de noviembre (2)

Esta entrada completa la que, con el mismo título, publicamos ayer sobre el Real Decreto 817/2023, de 8 de noviembre, que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial que entró en vigor el viernes 10 de noviembre de 2023

(…)

C) FUNCIONAMIENTO DE LOS ENTORNOS CONTROLADOS DE PRUEBAS EN MATERIA DE INTELIGENCIA ARTIFICIAL

Podemos ordenar este funcionamiento de los ECP en materia de IA conforme al paradigma común de la regulación financiera (convenientemente adaptado) distinguiendo dos grandes fases con sus respectivas etapas, necesarias o eventuales:

C.1) Condiciones de acceso de los proveedores de IA participantes a los ECP en materia de IA

a) Selección

El proceso de selección para participar en un ECP comienza por la exigencia de determinadas condiciones de acceso a los sujetos que deseen participar en condición de proveedores IA o usuarios que deben cumplir con los siguientes requisitos (remitimos al lector al artículo 5 del RD 817/2023 que establece los “requisitos de elegibilidad para la participación en el entorno”):

a.1) Radicación en España, porque aquí deben tener su residencia, un establecimiento permanente o ser parte de una agrupación de entidades, donde el representante de la agrupación o apoderado único siendo integrante de ésta, sea la entidad solicitante y cuyo domicilio o establecimiento principal se encuentre necesariamente en territorio español a los efectos del artículo 9 LSC.

a.2) Personalidad jurídica, ya que podrán acceder en calidad de usuario participante, las personas jurídicas privadas y administraciones públicas y entidades del sector público institucional que hagan uso de un sistema de inteligencia artificial de alto riesgo, sistemas de propósito general, o modelos fundacionales. Ello a condición de que el correspondiente proveedor IA acceda conjuntamente al entorno con el usuario participante.

a.3) Exclusividad del sistema de IA seleccionado. Esta condición de acceso al ECP obedece a que, si bien el proveedor IA que actúe como solicitante podrá presentar su solicitud de participación con uno o varios sistemas de IA que pueden pertenecer a categorías distintas (sistemas de alto riesgo, sistemas de propósito general y modelos fundacionales); el órgano competente seleccionará un único sistema de inteligencia artificial con el que será admitido a participar en el ECP

b) Admisión

La segunda etapa de esta primera fase del funcionamiento de los ECP en materia de IA consiste en la admisión (remitimos al lector al Capítulo II del RD 817/2023 que regula el “procedimiento de admisión en el entorno controlado de pruebas”) y se desarrollará en las etapas siguientes:

b.1) Convocatoria: las convocatorias para la participación en un ECP se aprobarán mediante resolución de la persona titular de la Secretaría de Estado de Digitalización e Inteligencia Artificial y se publicarán en el portal web del órgano competente (art.6).

b.2) Solicitud, que deberá presentarse en el plazo máximo de 20 días hábiles desde el día siguiente a la publicación de la convocatoria y deberá acomodarse a lo requerido en el artículo 7 del RD. El Anexo III ofrece el “contenido mínimo de la Memoria Técnica para la solicitud de participación en el entorno”.

b.3) Valoración de las solicitudes por parte de la Subdirección General de Inteligencia Artificial y Tecnologías Habilitadoras Digitales, con el apoyo de la Oficina del Dato, dependiente de la Secretaría de Estado de Digitalización e Inteligencia Artificial conforme a los criterios reglamentarios (art.8.2).

b.4) Propuesta de resolución motivada por el anterior órgano instructor, previa valoración de las solicitudes (art.9).

b.5) Resolución motivada por el órgano competente conforme a lo previsto en el artículo 21.2 Ley 39/2015 (art.10).

C.2) Condiciones de ejercicio de las actuaciones en los ECP en materia de IA por parte de los proveedores y usuarios participantes

a) Actuaciones

La segunda fase del funcionamiento de los ECP en materia de IA sobreviene tras la admisión y consiste en su desarrollo, donde podemos distinguir la cronología de actuaciones que comenzará con una etapa inicial, en la que el proveedor IA participante llevará a cabo las actuaciones que le permitan cumplir los requisitos del sistema de IA en el ECP descritos reglamentariamente, acordados con el órgano competente y reflejados en el respectivo plan de implementación (arts.11 y 12). A esta etapa inicial le seguirá una declaración de cumplimiento de aquellos requisitos por el proveedor IA participante (art.13 y Anexo VI que relaciona la “Documentación Técnica a presentar a la finalización de la implantación de los requisitos”). Después, se prevé un seguimiento posterior a la comercialización del ECP (art.14). En todo caso, tanto los proveedores IA como los usuarios participantes deberán comunicar al órgano competente cualquier incidente grave en los sistemas que pudiera constituir un incumplimiento de la legislación en vigor, a la mayor brevedad desde que sean conocedores del mismo (art.15). (remitimos al lector al Capítulo III del RD que establece la regulación del “desarrollo de las pruebas, validación del cumplimiento, seguimiento e incidencias”).

b) Garantías

El RD 817/2023 configura un sistema que ofrece a los terceros dos tipos de garantías:

b.1) Garantía general en forma de responsabilidad de los participantes ya que tanto el proveedor IA como el usuario participantes serán responsables de los daños sufridos por cualquier persona como consecuencia de la aplicación del sistema de inteligencia artificial en el contexto del ECP, siempre que dichos daños deriven de un incumplimiento o cuando medie culpa, negligencia o dolo por su parte (art.17.1).

b.2) Garantías específicas, que abarcan la protección de datos personales, los derechos de propiedad intelectual (art.16), la normativa laboral vigente (art.17.2) y los derechos de propiedad industrial e intelectual o secretos empresariales (art.18). Destaca especialmente el régimen de la protección de datos personales, donde el Anexo IV ofrece un modelo de “Declaración responsable de cumplimiento del principio de responsabilidad proactiva en materia de protección de datos” y el Anexo V detalla la “Documentación que se podrá requerir para cumplimiento de la normativa del tratamiento de datos de carácter personal”.

c) Transparencia

El RD 817/2023 configura un sistema del ECP transparente que se proyecta en los canales de comunicación, los flujos de información y los documentos generados en el ECP (art.20 a 22).

d) Mutación

El RD 817/2023 contempla la hipótesis de que, durante la ejecución del ECP, se produzcan modificaciones estructurales en los proveedores o en los sistemas de IA y sus consecuencias en una doble forma (art.19):

d.1) Primero, en forma de obligación de comunicación previa a la Secretaría de Estado de Digitalización e Inteligencia Artificial quien decidirá si el proveedor IA participante continúa o no en el entorno y en qué condiciones.

d.2) Segundo, en forma de facultad de los participantes de retirarse voluntariamente de la experiencia si no estuvieran de acuerdo con las nuevas condiciones establecidas por el órgano competente.

e) Finalización

Antes de que un ECP llegue a su fin, tanto de los proveedores IA como los usuarios participantes entregarán un informe a la Subdirección General de Inteligencia Artificial y Tecnologías Habilitadoras Digitales, que se indicará en las guías que ofrezca el órgano competente. Las entidades que hayan completado las fases del ECP recibirán un documento acreditativo de su participación junto con un informe de valoración de los resultados obtenidos (art.23).

ADDENDUM: Segundo sandbox regulatorio de la CNMC sobre el control de la tensión en las redes eléctricas

En este contexto de la normativa reglamentaria de los entornos controlados en materia de inteligencia artificial que establece el RD 817/2023, parece interesante hacer una referencia final a una experiencia regulatoria tangente cual es la del “segundo sandbox regulatorio de la CNMC sobre el control de la tensión en las redes eléctricas” publicado el pasado 15 de noviembre de 2023 cuando la propia CNMC hizo pública la aprobación de una Resoluciónpor la que se establecen, a propuesta de Red Eléctrica, las condiciones y requisitos para un proyecto de demostración regulatorio de control de tensión, que tiene por objeto alinear el factor de potencia de la demanda con las necesidades del sistema, mediante un ajuste en los incentivos que reciben los grandes consumidores a través de los peajes”. Añade la CNMC que la realización de estos proyectos de demostración regulatoria está amparada por el artículo 24 de la Circular 3/2019, de la propia CNMC, de 20 de noviembre, por la que se establecen las metodologías que regulan el funcionamiento del mercado mayorista de electricidad y la gestión de la operación del sistema. Se trata del segundo proyecto relacionado con el control de la tensión en las redes eléctricas. Ambos sanboxes de la CNMC atienden a la finalidad de “mantener la tensión dentro de los umbrales de seguridad que es una pieza fundamental para garantizar la estabilidad del sistema eléctrico e involucra a todas las instalaciones que forman parte o están conectadas a la red eléctrica (líneas, reactancias, transformadores, generación, demanda, etc.)” (el lector interesado puede consultar la Nota de Prensa de la CNMC de 15.11.2023).