Los ‘sandboxes’ para el desarrollo seguro y responsable de la IA

Por Moisés Barrio

Letrado del Consejo de Estado. Profesor de Derecho digital. Director del Diploma de Alta Especialización en Legal Tech y transformación digital (DAELT) de la Escuela de Práctica Jurídica de la Universidad Complutense de Madrid.

TWITTER @moisesbarrioa

Introducción

Un sandbox o espacio controlado de pruebas es una herramienta que proporciona un contexto estructurado para la experimentación, permitiendo probar tecnologías, productos o servicios innovadores de IA en un entorno real durante un tiempo limitado y bajo supervisión del regulador. Permite a los innovadores probar las innovaciones en un entorno controlado y proporciona a los reguladores una mejor comprensión de las nuevas tecnologías.

El acceso al sandbox no implica la autorización para la comercialización de la solución de IA en el mercado de la Unión Europea, y los proyectos piloto deben cumplir con las disposiciones de la ley y el protocolo correspondiente. Además, se deben garantizar plenamente los objetivos de protección de datos personales, protección a los usuarios y demás obligaciones previstas en la normativa sectorial que resulte aplicable.

Los sandboxes reguladores se desarrollaron inicialmente para promover la innovación en el sector de los servicios financieros, pero también están empezando a surgir en otros ámbitos como el comercio, la energía, la sanidad, la movilidad o la regulación de la IA. Su objetivo en todas estas áreas es permitir la innovación y garantizar la seguridad a través de la seguridad jurídica, el cumplimiento del Derecho y la flexibilidad.

En España contamos ya con un sandbox de IA pionero en la Unión Europea, regulado en el Real Decreto 817/2023, de 8 de noviembre, que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial.

El ‘sandbox’ en el Reglamento Europeo de Inteligencia Artificial

El Reglamento Europeo de Inteligencia Artificial tiene como objetivo proporcionar un marco jurídico uniforme para la IA, fomentando la innovación a través de la seguridad jurídica y garantizando al mismo tiempo un alto nivel de protección de la salud, la seguridad y los derechos fundamentales. En sus artículos 57, 58 y 59 se establece el marco normativo del «sandbox» como una de las «medidas de apoyo a la innovación». Su objetivo es apoyar la innovación, acelerar el acceso al mercado, mejorar la seguridad jurídica y contribuir al aprendizaje normativo basado en las pruebas.

El artículo 57.5 del RIA define el sandbox de IA como un entorno controlado que fomenta la innovación y facilita el desarrollo, el entrenamiento, la prueba y la validación de sistemas innovadores de IA durante un período limitado antes de su introducción en el mercado o su puesta en servicio, con arreglo a un plan del espacio controlado de pruebas específico acordado entre los proveedores o proveedores potenciales y la autoridad competente. Podrán “incluir pruebas en condiciones reales supervisadas dentro de ellos”.

Según el artículo, los Estados miembros establecerán al menos un sandbox de IA a escala nacional. También podrán cumplir esta obligación estableciendo un sandbox conjuntamente con otros Estados miembros, o participando en un sandbox ya existente. La Oficina Europea de la IA pondrá a disposición del público una lista de los sandboxes previstos y existentes. Las autoridades nacionales competentes presentarán a la Oficina y al Consejo Europeo de IA informes anuales con información sobre los progresos y resultados de la aplicación de los espacios (un año después de la creación del espacio controlado, cada año a partir de entonces, y un informe final). Estos informes estarán publicados en línea y a disposición del público. En cuanto a los pormenores de creación, desarrollo, aplicación, funcionamiento y supervisión de los sandboxes, el artículo 58 encomienda a la Comisión Europea que adopte actos de ejecución que los especifiquen.

El marco de los sandboxes permite la orientación jurídica, la supervisión y el apoyo de las autoridades nacionales competentes para aumentar la seguridad jurídica de los innovadores y garantizar el cumplimiento del RIA y demás legislación pertinente de la Unión o nacional. La actividad de supervisión del compliance identificará los riesgos, en particular para los derechos fundamentales, la salud y la seguridad. Cualquier riesgo significativo para ellos dará lugar a una mitigación adecuada. Las autoridades nacionales competentes identificarán de este modo las medidas y su eficacia. Si no es posible una mitigación eficaz, las autoridades nacionales competentes podrán suspender el proceso de ensayo o la participación en el sandbox, de forma temporal o permanentemente. Se espera que las autoridades nacionales competentes ejerzan sus poderes discrecionales con flexibilidad, pero dentro de los límites de la legislación pertinente, y con el objetivo de apoyar la innovación. La conformidad de los sistemas de IA con los requisitos del RIA durante las pruebas del sandbox puede tenerse en cuenta posteriormente durante una evaluación de conformidad. Esta previsión podría contribuir a agilizar el proceso de acceso al mercado de las innovaciones de IA.

El RIA también proporciona una base jurídica para que los reguladores se abstengan de imponer multas administrativas. Así, si los posibles proveedores respetan el plan específico y las condiciones y siguen de buena fe las orientaciones de la autoridad nacional competente, no se impondrán multas administrativas por infracción. Sin embargo, el RIA también estipula que la responsabilidad por los daños causados durante las pruebas sigue siendo del innovador. Esto significa que, aunque el sandbox proporciona una exención del cumplimiento de la normativa, no protege a los participantes de la responsabilidad.

Conclusión

A mi juicio, la imposición continuada de responsabilidad a los participantes en el sandbox por cualquier daño infligido a terceros puede limitar la innovación. Aunque no debería permitirse a los desarrolladores utilizar el sandbox como escudo para eludir su responsabilidad, someterlos al mismo régimen de responsabilidad general que a todos los actores durante las pruebas del sandbox podría desalentar la participación (art. 57.12 RIA). Esta previsión podría disuadir a los desarrolladores de IA de participar en los sandboxes, ya que expondrían sus secretos empresariales y algoritmos sin el beneficio de la protección de la exención de responsabilidad.

Por eso, el régimen de responsabilidad debe aplicarse con prudencia, con un enfoque equilibrado entre la garantía de la responsabilidad y la rendición de cuentas. En última instancia, las directrices de la Comisión Europea tendrán que esforzarse en conseguir tal enfoque equilibrado.