Real Decreto 817/2023 que pone en marcha el entorno controlado de pruebas (‘sandbox’) del Reglamento Europeo de IA
El Consejo de Ministros ha aprobado un Real Decreto por el que se habilita al Ministerio de Asuntos Económicos y Transformación Digital, a través de su Secretaría de Estado de Digitalización e Inteligencia Artificial, a abrir la convocatoria a empresas para participar en el entorno controlado de pruebas -sandbox- del Reglamento Europeo de Inteligencia Artificial.
En este momento de auge de esta tecnología, el Parlamento y Consejo europeos están elaborando un Reglamento de Inteligencia Artificial para la región. La aprobación de este texto es una de las prioridades estratégicas de la presidencia española del Consejo de la Unión Europea, que actualmente se encuentra en fase de trílogos (negociación a tres bandas entre la Comisión, el Parlamento y la presidencia del Consejo).
En este contexto, el Gobierno de España, con la colaboración de la Comisión Europea, pone en marcha el primer entorno controlado de pruebas para comprobar la forma de implementar los requisitos aplicables a los sistemas de Inteligencia Artificial (IA) de alto riesgo de la propuesta de Reglamento europeo de inteligencia artificial.
Esta iniciativa forma parte de la estrategia española de transformación digital, denominada Agenda España Digital 2026, que se enmarca en el Plan de Recuperación, Transformación y Resiliencia y, en particular, en la Estrategia Nacional de Inteligencia Nacional.
Objetivo y entrada en vigor
El presente RD tiene por objeto establecer un entorno controlado de pruebas para ensayar el cumplimiento de ciertos requisitos por parte de algunos sistemas de inteligencia artificial (IA) que puedan suponer riesgos para la seguridad, la salud y los derechos fundamentales de las personas. Asimismo, se regula el procedimiento de selección de los sistemas y entidades que participarán en el entorno controlado de pruebas.
El entorno de pruebas posibilita la cooperación entre los usuarios y los proveedores de IA. Además, pretende acercar a las autoridades competentes las empresas desarrolladoras de IA.
El objetivo de la norma será anticiparse a las exigencias que previsiblemente Reglamento europeo de IA incorporará, con el fin de que, sin necesidad de aguardar a que éste se apruebe, proveedores, usuarios y autoridades comiencen a analizar y a poner en práctica los requisitos regulatorios que se espera que introduzca. Esa es, de hecho, la razón que explica que el sandbox vaya a nacer con una fecha de caducidad predeterminada, pues se prevé que deje de estar operativo transcurridos 36 meses desde su creación o cuando el reglamento europeo se apruebe definitivamente, si ello tiene lugar antes.
Así se establece en su Disposición Adicional Segunda:
Este real decreto entrará en vigor al día siguiente de su publicación en el «Boletín Oficial del Estado».
Este real decreto tendrá una vigencia de máximo treinta y seis meses desde su entrada en vigor o, en su caso, hasta que sea aplicable en el Reino de España el Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial.
Ámbito de aplicación
La norma es de aplicación:
- A las administraciones públicas y entidades del sector público institucional, tal y como se define en el artículo 3.14,
- A entidades privadas seleccionadas en el entorno controlado de pruebas de inteligencia artificial.
Definiciones
En el artículo 3 del RD se regulan las definiciones, entre las que podemos destacar:
-
«Sistema de inteligencia artificial»:
Sistema diseñado para funcionar con un cierto nivel de autonomía y que, basándose en datos de entradas proporcionadas por máquinas o por personas, infiere cómo lograr un conjunto de objetivos establecidos utilizando estrategias de aprendizaje automático o basadas en la lógica y el conocimiento, y genera información de salida, como contenidos (sistemas de inteligencia artificial generativos), predicciones, recomendaciones o decisiones, que influyan en los entornos con los que interactúa.
-
«Sistema de inteligencia artificial de alto riesgo»:
Sistema de inteligencia artificial que cumpla alguno de los siguientes supuestos:
a) Un sistema de inteligencia artificial que constituya un producto regulado por la legislación de armonización de la Unión especificada en el anexo VII del presente real decreto se considerará de alto riesgo si debe someterse a una evaluación de la conformidad por un tercero con vistas a la introducción en el mercado o puesta en servicio de dicho producto con arreglo a la legislación mencionada.
b) Un sistema de inteligencia artificial que vaya a ser utilizado como un componente que cumple una función de seguridad y cuyo fallo o defecto de funcionamiento pone en peligro la salud y la seguridad de las personas o los bienes en un producto regulado por una norma armonizada de la Unión Europea, si debe someterse a una evaluación de conformidad por parte de un tercero con vistas a la introducción en el mercado o puesta en servicio de dicho producto con arreglo a la legislación de armonización aplicable. Este supuesto será aplicable, aunque el sistema de inteligencia artificial se comercialice o se ponga en servicio independientemente del producto.
c) Sistemas de inteligencia artificial mencionados en el anexo II, siempre que la respuesta del sistema sea relevante respecto a la acción o decisión a tomar, y pueda, por tanto, provocar un riesgo significativo para la salud, los derechos de las personas trabajadoras en el ámbito laboral o la seguridad o los derechos fundamentales.
-
«Sistema de inteligencia artificial de propósito general»:
Sistema de inteligencia artificial que, independientemente de la modalidad en la que se comercialice o se ponga en servicio, incluso como software de código abierto, está destinado por el proveedor del sistema a realizar funciones de aplicación general, como el reconocimiento de texto, imágenes y del habla; la generación de textos, audios, imágenes y/o vídeos; detección de patrones; respuesta a preguntas; traducción y otras.
-
«Modelo fundacional»:
Es un modelo de inteligencia artificial entrenado en una gran cantidad de datos no etiquetados a escala (generalmente mediante aprendizaje autosupervisado y/o con recopilación automática de contenido y datos a través de internet mediante programas informáticos) que da como resultado un modelo que se puede adaptar a una amplia gama de tareas posteriores.
-
«Proveedor de sistemas de Inteligencia Artificial», en adelante «Proveedor IA»:
Toda persona jurídica privada, entidad del sector público en España, u organismo de otra índole, que ha desarrollado o para quien se ha desarrollado un sistema de inteligencia artificial, y que lo introduce en el mercado o lo pone en servicio bajo su propio nombre o marca comercial, ya sea de forma onerosa o gratuita. El proveedor AI será designado de las formas indicadas a continuación según la fase del proceso en la que se encuentre.
a) «Proveedor IA solicitante»: proveedor IA que ha solicitado la admisión en el entorno controlado de pruebas.
b) «Proveedor IA participante»: proveedor IA que ha sido admitido en el entorno controlado de pruebas.
-
«Usuario»:
las personas jurídicas privadas o las administraciones públicas y entidades del sector público institucional en España bajo cuya autoridad se utilice un sistema de inteligencia artificial. El usuario será designado de las formas indicadas a continuación según la fase del proceso en la que se encuentre.
a) «Usuario solicitante»: usuario del sistema de inteligencia artificial que ha solicitado su admisión en el entorno controlado de pruebas.
b) «Usuario participante»: usuario del sistema de inteligencia artificial que ha sido admitido en el entorno controlado de pruebas y que participa juntamente con el proveedor IA en dicho entorno.
-
«Autoevaluación de cumplimiento»:
Procedimiento de verificación del cumplimiento de los requisitos, del sistema de gestión de la calidad, de la documentación técnica y del plan de seguimiento posterior a la comercialización, todos ellos detallados en este real decreto, realizados por el proveedor IA y en su caso, por el usuario, y que puede servir como referencia para la evaluación de conformidad que define la propuesta del Reglamento europeo por el que se establecen normas armonizadas en materia de inteligencia artificial. La autoevaluación de cumplimiento se circunscribe al ámbito de este entorno, sin que suponga la equiparación a la superación de evaluaciones de conformidad exigidas en otras legislaciones específicas, en particular en la propuesta del Reglamento europeo de Inteligencia Artificial.
-
«Comercialización»:
Todo suministro de un sistema de inteligencia artificial para su distribución o utilización en el mercado de la Unión Europea en el transcurso de una actividad comercial, ya se produzca el suministro de manera onerosa o gratuita.
Las definiciones aquí mencionadas encuentran su razón de ser en el art. 5 del Real Decreto 817/2023, que precisamente señala los requisitos de elegibilidad para la participación en el entorno, y que a continuación comentamos.
Requisitos de elegibilidad para la participación en el entorno
El artículo 5 del RD establece que la participación en el entorno controlado de pruebas está abierta a aquellos proveedores IA y usuarios residentes en España o que tengan un establecimiento permanente en España, o bien, sean parte de una agrupación de entidades, donde el representante de la agrupación o apoderado único siendo integrante de ésta, sea la entidad solicitante y cuyo domicilio o establecimiento principal se encuentre necesariamente en territorio español a los efectos del artículo 9 del Texto Refundido de la Ley de Sociedades de Capital, aprobado por el Real Decreto Legislativo 1/2010, de 2 de julio.
Podrán acceder a este entorno, en calidad de usuario participante, las personas jurídicas privadas y administraciones públicas y entidades del sector público institucional que hagan uso de un sistema de inteligencia artificial de alto riesgo, sistemas de propósito general, o modelos fundacionales, conforme se definen en el artículo 3, siempre que el correspondiente proveedor IA acceda conjuntamente al entorno con el usuario participante.
El proveedor IA solicitante presentará su solicitud de participación con uno o varios sistemas de inteligencia artificial, conforme a las condiciones previstas en la correspondiente convocatoria y de acuerdo con el artículo 7 siempre y cuando éstos pertenezcan a categorías distintas (sistemas de alto riesgo, sistemas de propósito general y modelos fundacionales). La solicitud se realizará de forma electrónica. El órgano competente seleccionará un único sistema de inteligencia artificial con el que será admitido a participar en el entorno controlado de pruebas.
El proveedor IA solicitante podrá presentar una o varias propuestas de sistema de inteligencia artificial de alto riesgo, de propósito general, o modelo fundacional. Estos sistemas podrán ser nuevos desarrollos o sistemas ya establecidos. A la vez, dichos sistemas de inteligencia artificial deben haber alcanzado un nivel de desarrollo suficientemente avanzado como para poder comercializarse o ponerse en servicio dentro del marco temporal del entorno controlado de pruebas o a su finalización. La solicitud se rechazará si el sistema de inteligencia artificial propuesto no está suficientemente maduro.
En su caso, para aquellos sistemas de inteligencia artificial que hagan uso o tratamiento de datos personales deberán cumplir la normativa de protección de datos recogida en el artículo 16 del presente RD.
Los sistemas de inteligencia artificial propuestos por los proveedores IA solicitantes no podrán estar incluidos en los siguientes supuestos:
a) Sistemas de inteligencia artificial comercializados o puestos en servicio para actividades militares, de defensa o seguridad nacional, cualquiera que sea la entidad que desarrolle esas actividades.
b) Sistemas de inteligencia artificial que se sirvan de técnicas subliminales que trasciendan la consciencia de una persona con el objetivo o el efecto de alterar efectivamente su comportamiento de un modo que provoque o pueda provocar, con probabilidad razonable, perjuicios físicos o psicológicos a esa persona o a otra.
c) Sistemas de inteligencia artificial que aprovechen alguna de las vulnerabilidades de un grupo específico de personas debido a su edad o discapacidad o una situación social o económica específica con el objetivo o el efecto de alterar efectivamente el comportamiento de una persona de ese grupo de un modo que provoque o pueda provocar, con probabilidad razonable, perjuicios físicos o psicológicos a esa persona o a otra.
d) Sistemas de inteligencia artificial que tengan el fin de evaluar o clasificar personas físicas durante un período determinado de tiempo atendiendo a su conducta social o a características personales o de su personalidad conocidas o predichas, de forma que la clasificación social resultante provoque una o varias de las situaciones siguientes:
Un trato perjudicial o desfavorable hacia determinadas personas físicas o colectivos en contextos sociales que no guarden relación con los contextos donde se generaron o recabaron los datos originalmente. Un trato perjudicial o desfavorable hacia determinadas personas físicas o colectivos que sea injustificado o desproporcionado con respecto a su comportamiento social o la gravedad de este. e) Sistemas de identificación biométrica remota «en tiempo real» para su uso en espacios de acceso público con fines de aplicación de la ley, salvo y en la medida en que dicho uso sea estrictamente necesario para alcanzar uno o varios de los objetivos siguientes:
La búsqueda selectiva de posibles víctimas concretas de un delito, incluido personas menores desaparecidos. La prevención de una amenaza específica, importante e inminente para la vida o la seguridad física de las personas físicas, para infraestructuras críticas, o un atentado terrorista. La detención, la localización, la identificación o el enjuiciamiento de la persona que ha cometido o se sospecha que ha cometido alguno de los delitos mencionados en el artículo 2, apartado 2, de la Decisión marco 584/2002/JAI del Consejo, para el que la normativa en vigor en el Estado miembro implicado imponga una pena o una medida de seguridad privativas de libertad cuya duración máxima sea al menos tres años, según determine el Derecho de dicho Estado miembro. Procedimiento de admisión y desarrollo (artículos 11 al 15 del RD)
La participación en el entorno controlado de pruebas tendrá como objetivo cumplir, durante el transcurso de este, con la implementación de los siguientes requisitos en los sistemas de inteligencia artificial por parte de los proveedores IA participantes, en base a las especificaciones facilitadas por el órgano competente:
a) Adecuar los sistemas de inteligencia artificial a los criterios establecidos en el anexo I del RD.
b) Cumplir con las pruebas técnicas y escenarios de prueba que establezca el órgano competente, y en caso de no superar las pruebas, ajustar el sistema hasta que cumpla con los requisitos establecidos.
c) Informar al órgano competente de cualquier circunstancia que afecte a la calidad, seguridad o eficacia del sistema de inteligencia artificial que se esté probando.
d) Cumplir con las medidas de seguridad y protección de datos establecidas en el artículo 16 del RD.
e) Colaborar con el órgano competente en la identificación y gestión de riesgos asociados a la utilización de los sistemas de inteligencia artificial.
El órgano competente evaluará la propuesta del proveedor IA solicitante y, en caso de ser admitido, se le comunicará su participación en el entorno controlado de pruebas. Además, se le proporcionarán las instrucciones y especificaciones técnicas necesarias para llevar a cabo el proceso de prueba.
Resultados del entorno controlado de pruebas
Una vez completado el entorno controlado de pruebas, el proveedor IA participante presentará un informe final al órgano competente, detallando los resultados obtenidos durante el proceso de prueba. Este informe incluirá la información sobre la adecuación del sistema a los criterios establecidos en el anexo I del RD, así como cualquier modificación realizada para superar las pruebas técnicas y escenarios de prueba.
El órgano competente evaluará el informe final y emitirá una resolución que reflejará la conformidad o no del sistema de inteligencia artificial con los requisitos establecidos. En caso de conformidad, se otorgará un certificado de prueba que acreditará la participación exitosa en el entorno controlado de pruebas. Este certificado podrá ser utilizado por el proveedor IA para respaldar la comercialización y puesta en servicio del sistema de inteligencia artificial en el mercado español.
Conclusión
El RD establece un marco regulatorio para la participación en un entorno controlado de pruebas de sistemas de inteligencia artificial en España. Los requisitos de elegibilidad, el procedimiento de admisión y desarrollo, así como los resultados del entorno controlado de pruebas están claramente definidos en el texto, proporcionando un marco transparente y estructurado para garantizar la calidad, seguridad y eficacia de los sistemas de inteligencia artificial que se someten a prueba. Este enfoque contribuye a fomentar la confianza en la adopción y uso de la inteligencia artificial en diversos sectores en España.