Arranca el ‘sandbox’ español de IA para comprobar que esta regulación es segura y respeta el ordenamiento jurídico

Tras la aprobación del Reglamento de inteligencia artificial (IA), España ha puesto en marcha el primer sandbox de IA para, por un lado, promover la innovación en IA de manera responsable y, por otro, convertirse en un apoyo para las pymes y startups en la implementación de los requisitos establecidos por la Ley de IA.

Con este objetivo, se ha lanzado la primera convocatoria para sistemas de inteligencia artificial de alto riesgo. Las solicitudes podrán presentarse hasta el 30 de enero de 2025.

El propósito principal de este entorno controlado de pruebas es proporcionar apoyo y seguridad jurídica en la aplicación de la AI Act, facilitando la implementación de las obligaciones que esta Ley establece, especialmente para pymes y startups que pueden encontrar dificultades para cumplir con los requisitos necesarios para poner en el mercado sistemas de IA de alto riesgo.

La convocatoria seleccionará hasta doce sistemas de IA de alto riesgo y se desarrollará en tres fases a lo largo de un año. Al finalizar el proyecto, se generarán y publicarán guías técnicas basadas en la evidencia y la experimentación, con buenas prácticas y recomendaciones para facilitar la implementación de los requisitos para sistemas de IA de alto riesgo.

Definir las buenas prácticas

A juicio de Moisés Barrio, letrado del Consejo de Estado, experto internacional en derecho digital y director del Posgrado en LegalTech y Transformación Digital de la Universidad Complutense de Madrid, «el sandbox español —elaborado en colaboración con la Comisión Europea— es un espacio digital que busca conectar a las autoridades competentes con las empresas desarrolladoras de IA para definir de forma conjunta buenas prácticas a la hora de implementar la regulación europea».

Dicha regulación se establece desde el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) nº 300/2008, (UE) nº 167/2013, (UE) nº 168/2013, (UE) nº 2018/858, (UE) nº 2018/1139 y (UE) nº 2019/2144, así como las Directivas (UE) nº 2014/90, (UE) nº 2016/797 y (UE) nº 2020/1828 (Reglamento de inteligencia artificial).

Moisés Barrio recuerda qué es un sandbox regulatorio, que es el que se destina a la prueba de productos. (Imagen: Cesión propia)

Para este experto, «como expresa el artículo 1 del Real Decreto 817/2023, de 8 de noviembre —que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial— se trata de un entorno controlado de pruebas para ensayar el cumplimiento de ciertos requisitos por parte de algunos sistemas de inteligencia artificial que puedan suponer riesgos para la seguridad, la salud y los derechos fundamentales de las personas».

En este sentido, Barrio subraya que «es, por tanto, un sandbox regulatorio, que es el que se destina a la prueba de productos. Permite acompañar en un ambiente controlado y con sujeción a menores cargas regulatorias a los desarrolladores de productos innovadores que, al cabo de un tiempo, deben cumplir con la totalidad de la regulación que les resulte aplicable. Esto quiere decir que, tras el periodo de prueba, los proyectos del sandbox no pueden seguir operando sin el cumplimiento de todas las normas que les resultarían aplicables al producto u operador en cuestión».

«España ya cuenta con experiencia práctica en este tipo de instrumentos regulatorios. Concretamente, lo introdujo en el sector FinTech la Ley 7/2020, de 13 de noviembre, para la transformación digital del sistema financiero. De hecho, quiero subrayar que nuestro sandbox de la Ley 7/2020 además funciona como instrumento supervisor, que permite identificar los desarrollos y potenciales efectos de la transformación digital en la prestación de servicios financieros, en la protección a los usuarios y en la estabilidad financiera. Por eso, constituye un buen modelo a seguir», comenta.

A su juicio, «estimo que el entorno de pruebas español —que se adelanta a la aplicación del nuevo Reglamento europeo de inteligencia artificial (RIA)— fomentará la prueba de soluciones técnicas específicas y de procedimientos de cumplimiento normativo, al tiempo que ayudará a las empresas, y especialmente a nuestras pymes, a evitar cargas innecesarias e incertidumbre regulatoria en esta materia. También a determinar la mejor manera de organizar su compliance«.

Al mismo tiempo, destaca que «nuestro sandbox está incluido en el Plan Nacional de Recuperación, Transformación y Resiliencia con un presupuesto de 4,3 millones de euros durante los próximos tres años».

Asimismo, este jurista recuerda que «nuestro sandbox también busca conectar a nuestra Agencia Española de Supervisión de la Inteligencia Artificial (Aesia) con las empresas que desarrollan IA y determinar, de modo conjunto, la mejor manera de hacer operativas las nuevas obligaciones del RIA por medio de unas directrices de buenas prácticas fáciles de seguir y preparadas para el futuro, junto con otros materiales de apoyo”.

En el 2022, España presentaba el proyecto piloto del sandbox regulatorio con Carme Artigas, en aquel entonces secretaria de Estado de Digitalización; y con el Thierry Breton, comisario de Mercado Europeo y Servicios. (Imagen: Ministerio de Transformación Digital)

Para este jurista, “por todo ello, estoy profundamente convencido de que el sandbox español es una herramienta importante para asegurar que la IA sea segura y respete el ordenamiento jurídico, disipando las dudas en su utilización. Alcanzar este objetivo reclama más desarrollo tecnológico, de estándares y pruebas, lo que habilita precisamente el sandbox, y que requiere del trabajo conjunto de instituciones públicas, sector privado y ciudadanos”.

Clave para la autoevaluación

Por su parte, Joaquín Muñoz, socio y director del departamento de commercial y privacy & data protection de Bird & Bird en la oficina de Madrid, destaca que —según un informe de Techopedia— se prevé que el mercado mundial de la IA alcance un valor de 1,35 billones de dólares en 2030. El 91% de las organizaciones líderes están invirtiendo en actividades de IA y, aproximadamente el mismo número, afirma que su inversión en datos y actividades de IA aumenta año tras año.

«En el panorama actual de la implementación de la legislación sobre inteligencia artificial, considero que las iniciativas públicas como los sandboxes regulatorios, junto con los futuros marcos de certificación privada, se convertirán en herramientas clave para que las empresas puedan validar sus autoevaluaciones de riesgos mediante fuentes externas», destaca.

A su juicio, «esto no solo ofrecerá una garantía adicional para los consumidores, sino que también fortalecerá la diligencia que las empresas deben demostrar al gestionar los riesgos asociados con la implementación de sistemas de inteligencia artificial en todos los niveles».

Para este experto, «la filosofía detrás de estos sandboxes o entornos seguros de pruebas es, sin duda, la de ser útiles y apoyar a las empresas tecnológicas en momentos de incertidumbre regulatoria, permitiéndoles avanzar en su desarrollo técnico y de negocio sin que los usuarios finales se vean afectados por los riesgos tecnológicos».

En su opinión, «es esencial aprender de experiencias previas menos exitosas para que la participación en el sandbox sea atractiva para las empresas, permitiéndoles probar sus desarrollos libremente dentro de un marco de flexibilidad institucional».

Joaquín Muñoz cree que el éxito de un sandbox regulatorio depende de una gestión eficiente y de la participación activa de todos los estamentos reguladores que puedan influir en los proyectos. (Imagen: Bird & Bird)

Así, el éxito de un sandbox regulatorio depende de una gestión eficiente y de la participación activa de todos los estamentos reguladores que puedan influir en los proyectos. Es fundamental realizar una selección, seguimiento y evaluación adecuados de los participantes, garantizando la protección de los derechos de los consumidores, los datos personales y la seguridad.

Para este jurista, «además, es importante que el sandbox sea un espacio de colaboración y aprendizaje mutuo entre reguladores e innovadores, donde se compartan experiencias, buenas prácticas y lecciones aprendidas».

Joaquín Muñoz recuerda que «hay muchos ejemplos de sandboxes que han tenido éxito, como por ejemplo sandbox regulatorio de FinTech del Regulador Financiero del Reino Unido (FCA), que fue pionero en 2015 y ha sido replicado en muchos países, aunque en algunos no haya alcanzado el nivel de apoyo a las empresas que se esperaba. Además, la Autoridad de protección de datos del Reino Unido (ICO) está probando el impacto de productos y servcios relacionados con la IA, especialmente en los marcos de privacidad».

«Por nuestra parte, en Bird & Bird, tenemos una experiencia significativa como coordinadores del sandbox de blockchain de la Comisión Europea, donde actualmente trabajamos con la segunda cohorte de 20 proyectos de diversos sectores para validar sus soluciones basadas en esta tecnología», prosigue.

«Creemos que este tipo de iniciativas también deben ser aprovechadas por los reguladores para comprender mejor la tecnología y los nuevos modelos de negocio que surgen a su alrededor. Esto debería reflejarse en una normativa flexible que entienda e integre a los negocios, favoreciendo así el desarrollo y la competitividad tecnológica de nuestras empresas», concluye.

De gran utilidad

Gary Robertson, manager de privacidad, riesgos y cumplimiento normativo en la consultora tecnológica Ecix, recuerda que «España fue pionera al establecer formalmente, mediante un Real Decreto aprobado en noviembre de 2023, un espacio de pruebas controlado a los efectos de una norma que todavía no se había aprobado. Y lo ha vuelto a ser al lanzar, ya en el terreno práctico, la primera convocatoria de participación en el espacio de pruebas».

«La convocatoria no sólo llega antes de la fecha límite que exige el Reglamento de la Unión Europea sobre IA (2 de agosto de 2026), sino que llega antes de que la regulación resulte siquiera aplicable, ya que pese a encontrarse en vigor desde agosto del año pasado, no es hasta el 2 de febrero de este año cuando el Reglamento empieza a ser aplicable parcialmente y a partir del 2 de agosto de 2026 cuando lo sea en su casi totalidad», comenta.

Gary Robertson considera que «a partir de la participación de distintas empresas en el sandbox, el resto de la industria se podrá beneficiar de las buenas prácticas que se generen durante las pruebas realizadas». (Imagen: Ecix)

Para este jurista, «la habilitación de estos espacios resulta de mucha utilidad para distinta clase de agentes. En primer lugar, permite a las empresas ensayar el cumplimiento de las obligaciones de los sistemas de IA de alto riesgo (hasta el momento se han identificado 26 casos de uso) accediendo a la asistencia y soporte de la autoridad de control, al asesoramiento de expertos en IA independientes, e identificando posibles desviaciones de cumplimiento antes o en fases muy tempranas de la puesta en servicio del sistema».

También indica que «conforme al Reglamento de IA, este ensayo se realiza de tal forma que, si se siguen de buena fe las indicaciones de la autoridad de control, no se puedan imponer multas administrativas por incumplimiento del Reglamento al realizar las pruebas, aunque sí que se mantiene la responsabilidad del proveedor de IA ante terceros por cualquier daño que se les genere con la experimentación».

Desde su punto de vista, «a partir de la participación de distintas empresas en el sandbox, el resto de la industria se podrá beneficiar de las guías técnicas, buenas prácticas y material formativo que se genere durante las pruebas realizadas».

Para Robertson, «en segundo lugar, beneficia a la propia autoridad de control, al acercarla a los proveedores de las soluciones de IA, poder conocer nuevas tecnologías y modelos de negocio, así como identificar lagunas u obstáculos en las normativas existentes para poder desarrollar políticas y guías más flexibles y adaptadas a las necesidades de la industria».

Como tercer elemento, por último, beneficia a los consumidores, en la medida en que los sistemas de IA de alto riesgo llegan al mercado con mayor nivel de fiabilidad tras haberse probado en un entorno supervisado por la autoridad de control”.

Este experto indica que «hay que destacar el protagonismo que tienen las pymes y empresas emergentes en el sandbox español. De forma general, (i) la participación en él se encuentra limitada a quienes asumen el rol de proveedor de IA de alto riesgo o bien el de responsable del despliegue, éste segundo siempre de la mano del proveedor de la solución (es decir, directa o indirectamente debe participar el proveedor de la IA en el espacio de pruebas)».

Ahora bien, de forma particular en la convocatoria que se ha lanzado este mes, (ii) sólo se admiten candidaturas de proveedores de sistemas de IA que cuenten con los derechos de propiedad intelectual del sistema y cada solicitud de participación, en la que pueden participar como acompañantes las organizaciones usuarias de la IA o colaboradoras durante su desarrollo, debe contar necesariamente con entre 1 y 5 pymes o empresas emergentes para ser admitidas en la convocatoria.

En este contexto, Robertson comenta que «al margen de lo que es el entorno de pruebas controlado, conviene conocer que el Reglamento de IA también contempla la realización de pruebas reales de un sistema de IA fuera de los espacios controlados, siempre a condición de que el plan de pruebas sea aprobado por la autoridad de control, una modalidad que todavía no se ha explorado ni planteado en España».