Comenzando la cuenta atrás para que llegue el 2 de agosto, fecha en la que tendrá lugar la entrada en vigor de gran parte del Reglamento de Inteligencia Artificial, no pasa desapercibido el debate y los interrogantes que se han generado sobre la aplicación e interpretación de esta norma.
De hecho, el pasado lunes 29 de junio, el Consejo de la Unión Europea ha aprobado de forma definitiva la modificación de parte del articulado del Reglamento, fijando nuevos plazos para la aplicación de obligaciones de los sistemas de Inteligencia Artificial (IA) de alto riesgo autónomos, entre otros.
Este texto normativo desde su publicación no ha estado exento de polémica, dado que las empresas tecnológicas, principalmente, temen que la aplicación de los estándares y obligaciones exigidos dificulten la competencia y puesta a disposición en el mercado europeo de la IA y obstaculice el asentamiento de empresas de este sector en el futuro.
Si bien, de todos los aspectos controvertidos de esta norma y teniendo en cuenta la magnitud del régimen sancionador, cuyas multas administrativas podrían alcanzar hasta los 35.000.000 euros, consideramos que podría ser interesante abordar de manera breve las funciones de supervisión que la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) y la Agencia Española de Protección de Datos (AEPD) tendrían sobre la IA.
En primer lugar, tanto la AESIA como la AEPD han sido catalogadas como Autoridades de Vigilancia del Mercado (AVM), estas instituciones, según el Reglamento de IA son las responsables de investigar, aplicar y supervisar el cumplimiento de esta norma. Por tanto, tienen la facultad de intervenir cuando los sistemas de IA planteen riesgos o no cumplan con los requisitos del Reglamento de Inteligencia Artificial.
En cualquier caso, cabría preguntarnos frente a qué incumplimientos actuaría AESIA y frente a cuáles la AEPD. La AEPD ya ha tenido ocasión de pronunciarse al respecto y la misma ha confirmado su capacidad sancionadora frente a los sistemas de IA prohibidos que traten datos personales[1] (pero también sería competente frente a otros sistemas que empleen datos personales).
Igualmente, el Comité Europeo de Protección de Datos (CEPD) expuso en su Declaración de 16 de julio de 2024[2] la importancia y el beneficio de contar con las autoridades de protección de datos nacionales como AVM por su experiencia y conocimientos especializados en el estudio y en la adopción de medidas y acciones sobre cuestiones vinculadas a la IA con respecto al tratamiento de datos personales.
En este sentido, conforme al Proyecto de Ley Orgánica para el Buen Uso y la Gobernanza de la Inteligencia Artificial[3], la AEPD tendrá atribuida la función de AVM para los siguientes sistemas de IA:
- Creación o ampliación de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales de internet o circuitos cerrados de televisión.
- Categorización biométrica que clasifiquen individualmente a las personas físicas sobre la base de datos biométricos para deducir o inferir en sus opiniones políticas, raza, etc.
- Identificación biométrica remota y sistemas destinados a la categorización biométrica en función de atributos o características sensibles o protegidos basada en la inferencia de dichos atributos o características.
- Sistemas utilizados para el reconocimiento de emociones si se usan en el ámbito de la migración, asilo y gestión del control transfronterizo y para uso general en estos aspectos.
No obstante, pese a que exista esta designación tasada de la función de vigilancia y supervisión de la AEPD, habría que tener en cuenta que esta Autoridad seguiría resultando competente para conocer cualquier infracción que derivado de un sistema de IA pueda suponer un incumplimiento y correspondiente vulneración de la normativa de protección de datos.
De hecho, atendiendo al estado de situación actual de la regulación de la IA, podría considerarse que la AEPD es la Autoridad de Control de cabecera que está llevando a cabo la principal función sancionadora en la materia.
Ya que, como puede observarse, las principales labores que hasta ahora ha estado asumiendo la AESIA son principalmente didácticas y de sensibilización en la supervisión y el desarrollo de la IA. La prueba de ello se puede encontrar en la multiplicidad de guías que se han publicado en la web oficial de la Agencia con el objeto de hacer más comprensible el Reglamento de Inteligencia Artificial[4]
Este papel de la AEPD puede deberse al recorrido y experiencia que la institución ha ido atesorando, frente a la reciente creación de la AESIA, y a su amplio conocimiento en el ámbito de las tecnologías, teniendo en cuenta que el manejo y tratamiento de datos personales lleva aparejada una estrecha vinculación con el desarrollo y la innovación tecnológica.
En definitiva, frente a la cuenta atrás de la aplicación del Reglamento, podríamos decir que se echaría en falta un mayor esclarecimiento respecto al reparto de funciones de supervisión entre ambas Agencias y, sobre todo, respecto a cómo serán sus labores de cooperación, especialmente en los casos en que el incumplimiento de la norma requiera de la función de inspección y sanción de ambas Agencias. Como sería el supuesto de aquellas situaciones en las que haya vulneración del Reglamento de Inteligencia Artificial y de la normativa de protección de datos.
[1]https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-aepd-recuerda-que-ya-puede-actuar-ante-sistemas-de-ia
[2] Declaración 3/2024 sobre el papel de las autoridades de protección de datos en el marco de la Ley de Inteligencia Artificial.
[3] 121/000096 Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial. 12 de junio de 2026.