Las claves de AESIA, el regulador sobre IA que tendrá un papel dinamizador de esta actividad, según los expertos

El Consejo de Ministros ha aprobado el Real Decreto por el que se desarrolla el estatuto de la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) ya en el BOE desde hace unos días. La Agenda Digital 2026 prioriza el avance tecnológico y la transformación digital. Entre sus planes estratégicos se encuentra la Estrategia Nacional de Inteligencia Artificial (ENIA), que busca ofrecer un marco para el desarrollo de una Inteligencia Artificial «inclusiva, sostenible y centrada en los ciudadanos».

Esta estrategia es una de las medidas del Componente 16, Reforma 1 del Plan de Recuperación, Transformación y Resiliencia (PRTR), que pretende situar a España como país puntero en IA. La AESIA se adscribe al Ministerio de Asuntos Económicos y Transformación Digital a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial.

Para algunos expertos consultados por Economist & Jurisat, con la creación de esta Agencia, España se convierte en el primer país europeo en tener un órgano de estas características y se anticipa a la entrada en vigor del Reglamento Europeo de Inteligencia Artificial. Dicho reglamento establecerá para los Estados miembros la obligación de seleccionar una autoridad nacional de supervisión que se encargue de supervisar la aplicación de la normativa en materia de Inteligencia Artificial.

Abogados digitales e IA

Carlos Saiz, presidente de ENATIC, asociación que engloba a los abogados digitales de nuestro país y socio de EcixGroup, explica que “la aparición de este nuevo regulador en materia de IA y una nueva normativa que se espera para antes de que acabe el año como es el Reglamento Europeo va a suponer otro esfuerzo de entendimiento tanto para las empresas o entidades afectadas como para los propios abogados que trabajamos en temas digitales en la actualidad”.

Carlos Saiz, presidente de ENATIC y socio de EcixGroup (Foto: ENATIC)

En el caso de los abogado digitales, recuerda que “muchos de nosotros vamos a utilizar también esas herramientas de IA en nuestros despachos, con lo cual vamos a saber de primera mano cuál es el impacto de estas tecnologías disruptivas que vienen para quedarse en nuestro entorno empresarial y global. Es un reto para todos nosotros que nos dedicamos al derecho digital”.

Este experto recuerda la transversalidad de la IA en la economía y los múltiples usos que tiene y tendrá en nuestra sociedad. “Es evidente que surgen nuevas obligaciones legales, nuevos requisitos o procedimientos que habrá que implementar. Eso significa que para todos los que nos dedicamos a esta actividad hay mucho trabajo por delante. Con la aparición de AESIA se crea un punto de control importante”.

Según los estatutos de AESIA que se han publicado en el BOE, este nuevo regulador estará operativo en el plazo de tres meses. “Sin embargo hay problema importante, que en estos momentos no tenemos Gobierno. Habrá que ver si se cumplen los plazos. Ese estatuto regula los organismos de la propia agencia, su Consejo Rector o presidente, pero también no podemos dejar de leer y resaltar el articulo 10 de dichos estatutos”.

Respecto a ese artículo, Saiz subraya que “es importante comentarlo porque parece claro que no será una agencia de control de uso tradicional en cuanto a sólo supervisión y sanción. En ese artículo dice también que tendrá un papel importante en la dinamización del mercado para potenciar iniciativas y prácticas innovadoras en el ámbito de la IA”.

Desde este punto de vista, “no es una agencia al uso con objetivos de cumplimiento y de sanción sino también se pretende que desarrolle competencias que van ligadas al fomento de la IA como iniciativa. En otro momento se habla del impulso de la colaboración público-privada para el desarrollo de proyectos de IA, es otro elemento a tener en cuenta. Sin lugar a dudas, lo hace diferente a otras entidades de control que no funcionan con esta perspectiva de ser un elemento disruptivo”.

Relaciones con la AEPD

Para este jurista, “otro de los temas es cómo se va a gestionar con la propia Agencia Española de Protección de Datos (AEPD) para evitar cualquier tipo de solapamiento o duplicación de funciones. La tendencia a nivel europeo ha sido que las autoridades de protección de datos cogieran estas competencias en materia de IA. Así se ha hecho en algunos países y parece que el propio supervisor europeo tomará dichas competencias de IA.

En este contexto, Saiz resalta que “en nuestro caso hemos creado una agencia nueva, diferente de la AEPD ya con una trayectoria importante a sus espaldas, con lo cual no cabe otro remedio que una necesaria y máxima coordinación en todo lo que tenga que ver con tratamiento de datos e IA o a la contra, IA que utilice datos personales. Son escenarios que pueden darse en el mundo global en el que vivimos”.

Desde ENATIC, su presidente señala que “esperamos que haya una coherencia de criterios y una buena relación entre estos reguladores precisamente para aclarar conceptos al mercado y generar la seguridad jurídica que el mercado demanda en estos momentos, y que no haya interpretaciones diferentes. Estos reguladores están condenados a entenderse. Sabemos que muchas de las IA que se utilizan o se van a poner en marcha emplean datos personales”.

En este contexto, no se puede dejar de hablar del reconocimiento fácil, una actividad que ha generado bastante polémica desde su aparición porque gestiona datos personales sensibles. “No podemos olvidar que en el último borrador del Reglamento de IA hay un listado de posibles usos de la IA que están prohibidos y éste era uno de ellos. En protección de datos no hay esa protección porque se puede utilizar con determinados requerimientos y condiciones. Habrá que ver cuál es su futuro y si realmente se sanciona”.

Ciberseguridad e IA

Por su parte, Daniel García, CEO de ISMS Forum se hace eco de las opiniones del AI Research Group, grupo de trabajo de esta entidad sobre Inteligencia Artificial, para valorar la aparición de este nuevo regulador.

Daniel García, CEO de ISMS Forum. (Foto: ISMS Forum)

“Desde ISMS valoramos muy positivamente la creación de la Agencia Española de Supervisión de Inteligencia Artificial (en adelante AESIA). Si observamos lo que se indica en el artículo 4 “Objeto y fines” del R.D. 729/2023 por el que se aprueba el Estatuto de AESIA, vemos varias responsabilidades donde los profesionales de ciberseguridad y privacidad podemos realizar aportaciones clave”, destaca. Para este experto, ese papel queda plasmando en iniciativas como “el asesoramiento, concienciación y formación para la adecuada implementación de toda la normativa relacionada, la minimización de los riesgos que puede suponer el uso de esta nueva tecnología”.

Junto con ellas, los expertos de ISISM Forum también destacan “la concienciación, divulgación y promoción de la formación y del desarrollo y uso responsable, sostenible y confiable de la Inteligencia Artificial, así como la supervisión de la puesta en marcha, uso o comercialización de sistemas que incluyan IA y, especialmente, aquellos que puedan suponer riesgos significativos para la salud, seguridad, la igualdad de trato y no discriminación”.

García considera que “en todas estas responsabilidades que se recoge en el Estatuto subyace la gestión de riesgos asociados a la adopción y uso de estos sistemas de IA. Este es un ámbito de especialidad de las distintas disciplinas que cubrimos los profesionales de seguridad de la información”

Sobre el funcionamiento de este regulador, recuerda que “el proceso de transformación digital en las organizaciones, y por extensión su impacto en la sociedad, se acelera con la IA y es nuestro papel para dar la debida confianza digital a esta transformación acelerada. En este sentido, creemos que AESIA tiene una oportunidad de actuar como catalizador de conocimiento y adopción en materia de la IA”.

“Tras los contactos preliminares que desde ISMS hemos mantenido con la Secretaría de Estado de Digitalización e Inteligencia Artificial para cuestiones asociadas con IA percibimos muy buena predisposición para establecer un marco de colaboración público-privada que posibilite la gestación de iniciativas de valor en torno a la unión de IA con los dominios propios de la Asociación, como son la privacidad y la protección de datos, la ciberseguridad, la continuidad de negocio o el cumplimiento normativo”, apunta.

En cuanto a las relaciones de la AEPD con otros reguladores, Daniel García recuerda que “tal y como se cita en el Artículo 5 del Estatuto, la AESIA cooperará con otros órganos de la Administración General del Estado y de las demás Administraciones Públicas y entidades vinculadas o dependientes de las mismas para lograr actuar coordinadamente. “Este es un punto clave. Desde ISMS hace ya tiempo que sabemos que la colaboración 360º (público-público, público-privada, privada-privada) es fundamental para el éxito en la misión de proteger la información”.

Desde ISMS Forum se es consciente de que “el establecimiento de estas relaciones es un proceso complejo, pues existen diversos reguladores con los que interactuar. A nivel nacional, los más relevantes en seguridad de la información son la Agencia Española de Protección de Datos, la Oficina de Coordinación Cibernética y el Instituto Nacional de Ciberseguridad, así como el Centro Criptológico Nacional en el sector público y otros órganos ministeriales que regulan materias sectoriales; pero también existen otras entidades de referencia a nivel europeo e internacional”.

Para este experto, “la AESIA tiene un reto muy relevante y desde ISMS Forum esperamos poder aportar nuestro grano de arena en la protección de la información allí donde ésta se genera, se almacena, se trata y se consume, punto donde la IA juega ya un papel muy relevante”.

Un elemento clave de la IA que viene

Para Francisco Pérez Bes, socio digital de EcixGroup y exsecretario general de INCIBE, la aprobación del Estatuto de la AESIA es, sin duda, una buena noticia, que debe servir de base para un posterior desarrollo de toda aquella normativa interna que sea necesaria para regular la actividad de este nuevo organismo.

Francisco Perez Bes, socio de derecho digital de Ecix Group y ex secretario general de INCIBE (Foto EcisGroup)

A su juicio, hay que destacar ciertos aspectos que llaman la atención sobre su regulación estatutaria. “En primer lugar, con respecto al asunto de la cesión de la sede, es importante tener en cuenta que, si como es previsible, esta Agencia vaya a tener un gran crecimiento de recursos humanos y una gran necesidad de recursos técnicos, se sienten las bases para analizar las necesidades de una futura sede, en la que pueda darse cobertura a tales necesidades a corto o medio plazo y se disponga de un presupuesto acorde a las circunstancias reales del organismo”.

Señala que, por poner un ejemplo, en el Incibe se comenzó en una pequeña sede para terminar alojado, en pocos años, en un edificio emblemático en propiedad, donde poder albergar todas las capacidades técnicas de investigación y de colaboración con las fuerzas y cuerpos de seguridad, con la Academia, además del propio CERT.

Este jurista señala que “a efectos operativos, y a la vista de la transversalidad de una materia como la de la Inteligencia Artificial, va a ser necesario delimitar bien las actuaciones de un organismo que, en muchas de sus acciones, va a tener que coordinarse con otros organismos muy consolidados”. Así, se refiere a la CNMC, la CNMV, la AEPD, el DSN, el CNI o el propio Incibe, ya que muchas de las controversias que surjan van a afectar a las competencias de aquéllas. Por ello va a ser clave el desarrollar unas capacidades de comunicación y colaboración eficaces.

Otra cuestión que destaca tiene que ver con “las capacidades sancionadoras. Según prevé el artículo 10.1.k van a requerir el diseño de una estructura con suficientes capacidades de inspección, investigación, admisión y tramitación de denuncias y de capacidad de gestión del procedimiento administrativo sancionador”.

Sobre esta cuestión cree que “si bien al principio se prevén escasas, la evolución normal será la de recibir un cada vez mayor número de denuncias, reclamaciones o consultas, tanto desde la ciudadanía como desde los sectores público y privado. Con la dificultad añadida de incorporar la perspectiva de género al aspecto sancionador, elemento que todavía no está lo suficientemente desarrollado en este ámbito, y la complejidad de los elementos técnicos que rodean a todo lo relacionados con estos sistemas algorítmicos”.

Pérez Bes también señala que “ese mismo artículo, en su apartado 2, exige el diseño y aprobación de un Plan Inicial de Actuación, cuyo desarrollo va a ser clave de cara a una adecuada estrategia y dimensionamiento del servicio público que se espera de una Agencia de esta naturaleza, a la vista de las dificultades que plantea la rápida evolución de esta tecnología y de otros aspectos vinculados a la misma, como los políticos, éticos, de seguridad nacional, etc”.

La importancia del Consejo Asesor

Para este jurista, “con respecto a la figura del Consejo Asesor, llama la atención la ausencia de representación del Ministerio del Interior, aunque este aspecto puede quedar salvado a través de la posibilidad de celebrar convenios de colaboración con otras administraciones”. “En cambio, sí se incluye la colaboración en aspectos relativos a la defensa militar, lo que demuestra la sensibilidad del legislador español en todo lo que tiene que ver con aspectos de geopolítica y defensa nacional vinculados a la Inteligencia Artificial”, indica.

Este experto destaca que “en su condición de Agencia, y no de empresa pública, la incorporación de personal funcionario en los órganos de dirección es fundamental”. A este respecto, recuerda que “en la Administración española existen grandes expertos y profesionales, con conocimiento técnico de la inteligencia artificial, que pueden liderar el desarrollo de esta Agencia de un modo eficiente. Quizás la mayor dificultad estribe en la activación de los procesos de selección del personal laboral, en particular a la vista del poco tiempo (tres meses) que se ha previsto de cara a la puesta en marcha del organismo”.

Desde su punto de vista “conviene, en este sentido, no precipitarse en este tipo de contrataciones, ya que del acierto en los perfiles va a depender gran parte del éxito del proyecto de cara a futuro”.

A su juicio, “hay una gran expectativa en ver los primeros pasos de esta AESIA y muchas esperanzas en que se convierta en un elemento de potenciación de la competitividad de la industria nacional, en cuanto tractora de ambiciosos proyectos empresariales, así como en un modelo internacional en todo lo relativo a la regulación de la IA y de los aspectos éticos que engloba esta tecnología, especialmente en la defensa de los derechos humanos, que lleve a España a liderar este campo a nivel internacional».

En su opinión, “la propia ciudad de A Coruña, así como toda la región, deben tomar conciencia de la oportunidad que supone para ese territorio la asunción de la sede de la AESIA, lo que, bien gestionado, puede aportar un alto nivel de crecimiento en todos los aspectos”. Recuerda que “así ocurrió, por ejemplo, en Alicante con la ubicación de la OMPI, que ha potenciado el desarrollo de la Universidad, de la especialización técnica y jurídica de los profesionales locales, o de la visibilidad internacional de la ciudad, por citar sólo algunas”.

Privacidad e IA

Por su parte, Marcos Judel, socio de Audens y presidente de la Asociación Profesional Española de la Privacidad, destaca que “con la aprobación del Estatuto de la Agencia Española de Supervisión de Inteligencia Artificial se da un paso más en contar con una autoridad nacional de supervisión en esta materia, algo que recoge la propuesta de Reglamento Europeo de Inteligencia Artificial”.

Marcos Judel, socio de Audens y presidente de la Asociación Profesional Española de la Privacidad. (Foto: APEP)

En su opinión, “se trata, por un lado, de un elemento supervisor más que responde a la necesidad de vigilar los sistemas de inteligencia artificial para garantizar el cumplimiento de la normativa que les sea aplicables, tal y como reconoce tu título competencial”.

“Entre las competencias que se confieren a la AESIA destacan la promoción, apoyo y ayuda al desarrollo y uso de sistemas de inteligencia artificial bajo una parámetros socialmente importantes como la perspectiva ambiental o de género, el establecimiento de controles para identificar y evitar posibles sesgos discriminatorios de estos sistemas, o la creación de conocimiento, divulgación y formación, pasando por la promoción de la creación de entornos donde estos sistemas de IA puedan probarse de forma segura”, comenta.

“Pero, por otro, se trata también de un nuevo elemento a tener en cuenta por las empresas tecnológicas que desarrollen o implementen sistemas de inteligencia artificial, ya que no sólo tendrán que invertir en el desarrollo de esta tecnología, sino también en cumplimiento normativo”, comenta Judel.

Este experto subraya que nadie se lleve a engaño. “Las fortalezas y beneficios que aportan de estas herramientas tecnológicas no están exentas de riesgos. La tecnología es neutra en sí misma, pero no es el uso que se haga con ella, cómo se programe, el tipo de enseñanza o algoritmo que se le aplique”.

“Al fin y al cabo, se trata de establecer un marco de derechos de las personas en torno a las IA. Los legisladores lo saben y se está trabajando en una legislación enfocada a una responsabilidad de los creadores desde el diseño y por defecto. Al fin y al cabo, la AESIA también tendrá facultades sancionadoras, por lo que es hora de que las empresas comiencen a hacer análisis de riesgos”, cometa.

“Desde esta perspectiva esto trae a colación también la íntima relación de la regulación de la IA y la AESIA con la protección de datos personales y la AEPD. Hay muchas similitudes en los enfoques de ambas normativas y están muy relacionadas en la medida en la que las herramientas de Inteligencia Artificial pueden tener una implicación muy grande y profunda en la privacidad y en los derechos y libertades de las personas. Así, es importante esperar una compenetración entre ambas agencias en los casos en los que haya elementos comunes”, comenta este experto.

Judel recuerda que “creo importante destacar que los profesionales de la privacidad somos elementos fundamentales para ayudar en el cumplimiento normativo de la inteligencia artificial. De hecho, muchos venimos trabajando sobre máquinas reactivas, sobre todo tipo de algoritmos enfocados al e-commerce o a redes sociales o a elementos más concretos de marketing digital como el machine learning desde hace mucho tiempo”, resalta.

Recuerda que desde la Asociación Profesional Española de Privacidad (APEP) “ya trabajamos en programas formativos para dotar de conocimiento y capacidades a nuestros profesionales, brindándoles oportunidades para poder continuar a la vanguardia del asesoramiento a empresas tecnológicas, especialmente ante la revolución que está por llegar”.