I. Introducción

Los avances normativos en materia de regulación de la inteligencia artificial (IA) son imparables y eso, en principio, es una buena noticia. Esto no significa que a una mayor regulación le corresponda una mejor regulación, sin embargo, queda patente que es necesario tomar conciencia de los riesgos que entrañan los sistemas de IA e intentar minimizar las consecuencias empezando, precisamente, por un diseño de los sistemas que permita el debido control.

En este sentido, España está liderando dicho avance regulatorio y lo hace tanto a nivel nacional como a nivel autonómico. Sin desear ser exhaustivo, contamos con la Estrategia Nacional de Inteligencia Artificial (ENIA), con la Carta de Derechos Digitales (que también se ocupa de IA), con el Plan Nacional de Algoritmos Verdes, con la Ley 15/2022, de 12 de julio, integral para la igualdad de trato y la no discriminación (art. 23), con algunas Estrategias autonómicas en materia de IA (una de las últimas es la de Andalucía) o con el Decreto-ley 2/2023, de 8 de marzo, de medidas urgentes de impulso a la inteligencia artificial en Extremadura. Ahora, contamos también con el Real Decreto 817/2023, de 8 de noviembre, que establece un entorno controlado de pruebas de los sistemas de IA.

II. Algunas cuestiones preliminares

Conviene, esto sí, detenerse sobre algunas cuestiones preliminares que resultan de interés para la comprensión del citado real decreto. En primer lugar: la norma analizada se ocupa de «entornos controlados» es decir de lo que desde hace unos años conocemos como «caja de arena» (sandbox en su versión en inglés). En el Diccionario de términos para comprender la transformación digital, Jorge Castellanos Claramunt señala que una caja de arena identifica el «entorno de prueba aislado y controlado que se utiliza para probar software y aplicaciones nuevas antes de su lanzamiento al mercado». Ahondando en esto, el mismo autor afirma: «El concepto de sandbox se originó en la década de 1970, pero su uso se popularizó en la década de 1990. Así, el término sandbox, o caja de arena, se utiliza en el ámbito de la informática y la seguridad para referirse a un entorno controlado y aislado en el cual se pueden ejecutar aplicaciones o programas de manera segura, sin afectar al sistema operativo ni a otros programas o datos.

Con esta herramienta se puede simular un entorno de producción en pequeña escala para probar la escalabilidad y la interoperabilidad de la aplicación. Además, la sandbox puede ser utilizada para detectar errores y vulnerabilidades de seguridad antes de que la aplicación sea lanzada al mercado. En su forma más básica, una sandbox es un entorno virtual o una máquina virtual que reproduce las funcionalidades y características de un sistema operativo real y, dentro de este entorno, las aplicaciones pueden ejecutarse y realizar diversas operaciones sin comprometer la estabilidad y la seguridad del sistema principal. Esto se logra mediante la implementación de medidas de aislamiento y control, como limitaciones de recursos, restricciones de acceso a archivos y red, y monitorización de comportamientos sospechosos».

Bien, como está demostrado, el concepto de entorno controlado no es nuevo. De hecho, en el ámbito nacional, la Ley 7/2020, de 13 de noviembre, para la transformación digital del sistema financiero, en el art. 1 señala: «Esta Ley regula un entorno controlado de pruebas que permita llevar a la práctica proyectos tecnológicos de innovación en el sistema financiero con pleno acomodo en el marco legal y supervisor, respetando en todo caso el principio de no discriminación».

Hoy, dichos entornos llegan también a los sistema de IA en una clara apuesta por crear escenarios disruptivos que consigan mejorar la vida de las personas y no sólo facilitarla. Desde la perspectiva jurídica, la mejora de la vida de las personas se traduce en crear un sistema que garantice, como mínimo, los Derechos fundamentales y por ende la no discriminación que están produciendo determinados sistemas de IA.

Existe una segunda cuestión que debo poner de manifiesto. Debemos considerar que el Real Decreto 817/2023 objeto de este comentario, mantiene una estrechísima relación con la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de IA. De hecho, da cumplimiento a la propuesta de reglamento (así señala el encabezado del mismo real decreto).

Es la misma Propuesta de Reglamento que encomendaba la creación de lo que hoy es el real decreto. El punto 5.2.5 establece: «El título V contribuye al objetivo de crear un marco jurídico que favorezca la innovación, resista el paso del tiempo y sea resiliente a las perturbaciones. A tal fin, anima a las autoridades nacionales competentes a crear espacios controlados de pruebas y establece un marco básico en términos de gobernanza, supervisión y responsabilidad. Los espacios controlados de pruebas para la IA generan un entorno controlado para probar, durante un tiempo limitado, tecnologías innovadoras sobre la base de un plan de pruebas acordado con las autoridades competentes».

La relación entre la Propuesta de Reglamento y el actual real decreto no es baladí. Aunque el lenguaje utilizado por la Propuesta de Reglamento puede parecer muy similar al que utiliza el real decreto, es muy recomendable que el lector tenga presente el art. 3 del real decreto que pone de manifiesto las «definiciones». En este sentido y para una mejor comprensión del real decreto, señalo aquí tres definiciones que resultan de importancia estratégica(1):

1) «Sistema de inteligencia artificial»: sistema diseñado para funcionar con un cierto nivel de autonomía y que, basándose en datos de entradas proporcionadas por máquinas o por personas, infiere cómo lograr un conjunto de objetivos establecidos utilizando estrategias de aprendizaje automático o basadas en la lógica y el conocimiento, y genera información de salida, como contenidos (sistemas de inteligencia artificial generativos), predicciones, recomendaciones o decisiones, que influyan en los entornos con los que interactúa». (Art. 3.3 del Real Decreto 817/2023, de 8 de noviembre).

2) «Proveedor de sistemas de Inteligencia Artificial», en adelante «Proveedor IA»: Toda persona jurídica privada, entidad del sector público en España, u organismo de otra índole, que ha desarrollado o para quien se ha desarrollado un sistema de inteligencia artificial, y que lo introduce en el mercado o lo pone en servicio bajo su propio nombre o marca comercial, ya sea de forma onerosa o gratuita. El proveedor AI será designado de las formas indicadas a continuación según la fase del proceso en la que se encuentre.

a)  «Proveedor IA solicitante»: proveedor IA que ha solicitado la admisión en el entorno controlado de pruebas.

b)  «Proveedor IA participante: proveedor IA que ha sido admitido en el entorno controlado de pruebas». (Art. 3.7 del Real Decreto 817/2023, de 8 de noviembre).

3) «Usuario»: las personas jurídicas privadas o las administraciones públicas y entidades del sector público institucional en España bajo cuya autoridad se utilice un sistema de inteligencia artificial.

El usuario será designado de las formas indicadas a continuación según la fase del proceso en la que se encuentre». (Art. 3.8 del Real Decreto 817/2023, de 8 de noviembre).

Las definiciones aquí mencionadas encuentran su razón de ser en el importante art. 5 del Real Decreto 817/2023, de 8 de noviembre que precisamente señala los requisitos de elegibilidad para la participación en el entorno:

«La participación en el entorno controlado de pruebas está abierta a aquellos proveedores IA y usuarios residentes en España o que tengan un establecimiento permanente en España (…)».

En tercer lugar, aunque sea brevemente, señalo la estructura orgánica del real decreto. El mismo se compone de una exposición de motivos, treinta artículos, dos disposiciones adicionales, dos disposiciones finales y siete anexos. Estos últimos son de extraordinaria importancia puesto que se convierten en «normas técnicas» estableciendo los criterios prácticos de aplicación del mismo real decreto.

El articulado del real decreto se convierte ahora en el leitmotiv de este comentario.

III. Estructura orgánica comentada del Real Decreto 817/2023, de 8 de noviembre

De forma general, señalo lo siguiente. Según establece el art. 2: «El presente real decreto es de aplicación tanto a las administraciones públicas y entidades del sector público institucional, tal y como se define en el art. 3.14, como a entidades privadas seleccionadas en el entorno controlado de pruebas de inteligencia artificial».

Esto significa que el abanico de entidades interesadas en este real decreto es muy amplio y prácticamente omnicomprensivo. Solo por precisión debo mencionar que, en el ámbito del sector público las entidades interesadas —a tenor del art. art. 2 de la Ley 40/215, de 1 octubre, de Régimen Jurídico del Sector Público— son: la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local, el sector público institucional, así como las Universidades o cualquier entidad de derecho público vinculados o dependientes de las Administraciones Públicas.

Debo señalar que, previamente a este real decreto el Ministerio de Asuntos Económicos y Transformación Digital, a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial abrió un prerregistro para entidades y expertos interesados en participar en el entorno de pruebas. Dicho prerregistro estuvo abierto hasta el pasado 31 de octubre de manera que ahora el ministerio correspondiente debe tener un listado de entidades, públicas y privadas, que han manifestado su interés en participar en «las pruebas».

En este sentido, debo mencionar dos elementos de importancia:

1) Este real decreto hace referencia a los sistemas de «alto riesgo» y de propósito general. Reitero que el real decreto recoge las indicaciones de la Propuesta de Reglamento que precisamente tiene el afán de categorizar los distintos tipos de sistemas.

2) Aunque parezca redundante, señalo que la participación al entorno de prueba es voluntaria. Ahora bien, en ningún momento el real decreto utiliza esta palabra en el sentido de «acceso voluntario» sin embargo, parece sobrentenderse en tanto y en cuanto, por ejemplo, el art. 5 del real decreto utiliza frases como las siguientes: «Podrán acceder este entorno (…)», «El proveedor IA solicitante podrá presentar una o varias propuestas de sistema de inteligencia artificial de alto riesgo, de propósito general, o modelo fundacional (…)». No se encuentra por lo tanto ninguna obligación reglada. De hecho, el real decreto exige una solicitud: «El proveedor IA solicitante presentará su solicitud de participación con uno o varios sistemas de inteligencia artificial» (art. 5.3).

Por otro lado, sí puede ser voluntaria la «retirada del entorno de prueba» (art. 24 del real decreto). Esto, en mi opinión, no hace otra cosa que corroborar la voluntariedad en la participación.

Siguiendo esta misma línea y de una forma muy práctica, el real decreto indica lo que podríamos llamar las «condiciones de acceso al entorno de prueba». Así, será necesario esperar la correspondiente convocatoria. Aquí, debo reseñar que el real decreto obvia la publicación de la misma en el BOE. Señala precisamente que la convocatoria se publicará en el portal web del órgano competente (art. 6.1). Debemos entender que esta convocatoria cumplirá con los requisitos de garantía procesal-administrativa que impone la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

La entidad y el sistema de IA deben respetar los derechos de libertad, igualdad, y participación, y de conformación del espacio público, del entorno laboral y empresarial y de los derechos digitales en entorno específico

Posteriormente, es decir, en el art. 8 del real decreto, encontramos los criterios de valoración de las solicitudes. Como no podía ser de otra manera, la norma recoge ponderaciones técnicas, sin embargo, la letra d) del mencionado artículo, otorga protagonismo a la Carta Española de Derechos Digitales. Debo decir que esto es un elemento muy meritorio. La Carta es una norma de soft law pero esto no es óbice de que sea de aplicación directa. En este sentido, además, el real decreto valora que la entidad y el sistema de inteligencia artificial se alineen con toda la Carta y no solo, entonces, con los derechos ante la inteligencia artificial previstos en su quinto apartado. Dicho de otra manera, la entidad y el sistema de inteligencia artificial deben respetar los derechos de libertad, de igualdad, de participación y de conformación del espacio público, del entorno laboral y empresarial y de los derechos digitales en entorno específico. De esta manera se crea una verdadera coherencia entre distintas normas que finalmente indican la senda a seguir y la voluntad política sobre el tema disruptivo.

1. Desarrollo de las pruebas, validación del cumplimiento, seguimiento e incidencias

El Capítulo III del Real Decreto 817/2023, de 8 de noviembre (arts. 11 a 15), representa, en mi opinión, el «corazón pulsante» de toda la norma. Es así porque se ocupa de uno de los grandes retos que dinamizan, en la actualidad, los mayores debates doctrinales en torno a la IA.

Desde que la sociedad se relaciona con la IA, se reclama la transparencia algorítmica, la explicabilidad, la cognoscibilidad, la ética, la protección de datos o la rendición de cuenta de los sistemas de IA. Bien, las pruebas en entorno controlado tienen el afán de responder a estas exigencias y lo hacen desde su diseño y durante todo el ciclo de vida del sistema. Esto permite la comercialización y uso de sistemas de IA mejor preparados y que permiten rectificar y ajustar su funcionamiento en pro de sistemas resilientes y proactivos.

Este propósito, según interpreto, se realiza mediante una verdadera colaboración entre actores involucrados. Por ejemplo, el art. 12.2 establece: «(…) El órgano competente podrá poner a su disposición guías técnicas de ayuda y asesoría personalizada que faciliten al proveedor IA las tareas que debe realizar en el contexto del entorno controlado de pruebas». Asimismo, el art. 12.4 señala: «Durante el desarrollo del entorno controlado de pruebas, se establecerán mecanismos de diálogo e intercambio de información entre los proveedores IA participantes y usuarios participantes con el órgano competente, sobre la base del marco de seguimiento que se facilitará al participante al inicio de este». Y finalmente, el art. 12.5: «Asimismo, se realizarán reuniones para fomentar un aprendizaje colaborativo con todos los participantes, proveedores IA y usuarios, así como otros organismos con competencias en las materias relacionadas, como los ministerios competentes por razón de la materia o la Comisión Europea, y sobre el progreso de este entorno controlado de pruebas».

En resumidas cuentas, es clara la voluntad de «crear equipo» en torno a los sistemas de IA objeto de prueba.

En este afán de resiliencia de la IA debo mencionar el art. 12.7. La norma prevé la obligación por el proveedor de IA, y en su caso junto con el usuario del sistema, de realizar un informe de impacto de género. Se trata de un elemento de profunda importancia. La discriminación por género de los sistemas de IA es una de la más arraigada y es así porque los programadores, en su gran mayoría hombres, reproducen en los sistemas algorítmicos, las dinámicas especialmente androcéntricas de la sociedad. Solo mencionar que habría sido interesante que el real decreto incluyera la obligación de realizar un informe de impacto para, por ejemplo, colectivos vulnerables como son los menores de edad o las personas en riesgo de exclusión social y digital.

2. Sistema de garantía y responsabilidad de los participantes

El real decreto prevé el cumplimiento de las normas en materia de protección de datos personales y observancia de los derechos de propiedad intelectual. Estos últimos, son de mucha actualidad y debo decir que la configuración del real decreto parece no haber tenido en cuenta el comienzo de ciertas actualizaciones en esta materia que están disponiendo algunas empresas tecnológicas.

Por ejemplo, hemos conocido el lanzamiento, por parte de OpenAI, del GPT-4 Turbo que introduce, el llamado «Copyright Shield» un supuesto escudo protector frente a posibles reclamaciones de derechos de autor provocados por el contenido generado por la IA. Me pregunto si el órgano competente admitirá al entorno de prueba aquellos sistemas que estén dotados de un sistema como el Copyright Shield o si, por el contrario, no se considerará suficiente. Esta duda nace, además, de la lectura del art. 17 del real decreto: «Responsabilidad de los participantes en el entorno».

Específicamente, señala que: «Tanto el proveedor IA participante como, en su caso, el usuario participante será responsable de los daños sufridos por cualquier persona como consecuencia de la aplicación del sistema de inteligencia artificial en el contexto del entorno controlado de pruebas, siempre que dichos daños deriven de un incumplimiento o cuando medie culpa, negligencia o dolo por su parte». El Copyright Shield podría actuar como eximente de responsabilidad. En materia de derecho de autor y especialmente en relación con los sistemas de IA generativa, el debate está lejos de concluirse.

Muy recientemente, por ejemplo, el juez federal William H. Orrik de la Corte Federal de Distrito para el norte de California, ha establecido que la aplicación Stable Diffusion no ha vulnerado el derecho de autor de los artistas Sarah Andersen, Kelly Mc Kernan y Karla Ortiz que acusaban a la empresa de haber vulnerado sus derechos de autor. El juez entendió que no se puede afirmar que las imágenes producidas por la aplicación utilizaron imágenes de las artistas. La empresa se defendió alegando que, su aplicación solo utiliza y almacena trazos, líneas y colores pero no la imagen completa. El juez dio a las artistas un plazo de treinta días para demostrar que las imágenes producidas por el software son de ellas, situación difícil debido a la imposibilidad de acceder al funcionamiento de la aplicación. Puedo imaginar que este acontecimiento se hubiese delimitado en caso de probar previamente la aplicación.

El real decreto prevé el cumplimiento de las normas en materia de protección de datos personales y observancia de los derechos de propiedad intelectual

Sin embargo, y en conexión con la responsabilidad de los participantes debo entrar, muy brevemente, en una cuestión estrictamente administrativa. Me refiero a la conexión entre el citado art. 17 y la posible responsabilidad extracontractual de las entidades, por ejemplo públicas, que podrían participar en el entorno de prueba como proveedores de IA. El real decreto asigna a dichos proveedores, ex ante, la responsabilidad por daños. De esta manera se invierte la carga de la prueba y esto no solo podría acarrear problemas jurídico-administrativos sino que podría representar un límite a la participación de determinadas entidades.

3. ¿Cuáles son los beneficios para los participantes?

El art. 23.2 del real decreto establece: «(…) Las entidades que hayan completado las fases del entorno controlado de pruebas recibirán un documento acreditativo de su participación en el mismo junto con un informe de valoración de los resultados obtenidos». Se abren dos escenarios. El primero: el informe es negativo. En este caso, debemos asumir que las pruebas realizadas arrojan resultados que no garantizan los estándares requeridos. En principio no parece que en este caso aplique la norma de confidencialidad indicada en el art. 18 del real decreto puesto que este hace referencia más bien a la confidencialidad durante la ejecución de las pruebas. Así, no queda claro si dicha confidencialidad aplique una vez finalizadas las pruebas y si, por lo tanto, el resultado, sea el que sea, esté sujeto a difusión en un ejercicio de transparencia completa. Quizá, es posible respaldar un régimen intermedio que pase por la difusión del resultado de las pruebas de forma anonimizada.

El segundo escenario es aquél en el que el informe es positivo. Dicho informe se convierte en una especie de «sello de conformidad» que podría poner en una situación de ventaja comercial a aquellas empresas que hayan sido seleccionadas en comparación con aquellas que no hayan sido admitidas al entorno de prueba.

Esta afirmación se debe a que, entiendo, las empresas que hayan obtenido el que he llamado «sello de conformidad», harán todo los posible para destacar comercialmente esta información.

El informe positivo es un claro beneficio, de manera que quizá, debemos auspiciar a que el órgano competente establezca convocatorias periódicas y calendarizadas evitando que el real decreto sea finalmente un mero experimento piloto.

En definitiva, se trata de que con el tiempo el «sello de conformidad» sea una obligación legal para comercializar y usar sistemas de IA.

4. Comité de expertas y expertos

Acojo con positividad el art. 27 del real decreto que establece: «El grupo de personas asesoras expertas estará integrado por profesionales independientes de reconocido prestigio y experiencia técnica en campos afines del conocimiento, con responsabilidades presentes o pasadas en el ámbito académico y universitario, en instituciones colegiales, asociaciones de otro tipo, o en el sector empresarial. Los miembros del Grupo serán nombrados por resolución de la Secretaría de Estado de Digitalización e Inteligencia Artificial».

Este grupo que actuará como asesor, en realidad, lo hará también como auditor.

Se trata de una norma que reconoce la necesidad de «rodearse» de personas que diariamente trabajan en pro de una IA centrada en la persona.

Quiero también destacar el acierto del artículo mencionado en la medida en que sin tapujos, establece (art. 27.2): «Entre los miembros del grupo de personas asesoras expertas se incluirán uno o varios perfiles multidisciplinares con conocimientos de IA y otra materia como podría ser género, protección de datos, seguridad, ética, derecho u otras». Desde su origen, los informáticos y los ingenieros computacionales eran los únicos que se ocupaban de IA. En ciertas entidades, sobre todo públicas, esto sigue siendo así. Sin embargo, con el tiempo se ha entendido y demostrado que la IA debe involucrar distintos perfiles y disciplinas. Es así debido a las ramificaciones de la IA. Hoy día, las empresas que desarrollan sistemas de IA crean equipos multidisciplinares así que recibimos parabién la multidisciplinariedad en el seno de los que será el futuro Comité de expertas y expertos.

5. Sobre las disposiciones adicionales

Siento el deber de mencionar la Disposición adicional primera: «Medios a disposición del entorno controlado de pruebas». Se señala: «El cumplimiento de este real decreto se asumirá exclusivamente con los medios con los que cuenta la Secretaría de Estado de Digitalización e Inteligencia Artificial».

Debo recordar que la Secretaría de Estado de Digitalización e Inteligencia Artificial fue creada el 13 de enero de 2020 como órgano superior del Ministerio de Asuntos Económicos y Transformación Digital. Debo también recordar que solo en el año 2018 se otorgan al Ministerio competencias tecnológicas. Es decir, estamos ante instituciones —y competencias— de recién creación. La «supervivencia» del Real Decreto 817/2023, de 8 de noviembre está condicionada a la estabilidad de la Secretaría de Estado de Digitalización e Inteligencia Artificial. La Secretaría de Estado de Digitalización e Inteligencia Artificial es necesaria, es ineludible y es sinónimo del avance hacia la sana digitalización de nuestra sociedad.

IV. En conclusión

En el título de este comentario preguntaba: «»Caja de arena» (sandbox) e inteligencia artificial. ¿España da la talla?». Mi respuesta es: sí. La lectura de este real decreto me hace afirmar que en su conjunto estamos ante una buena norma. Una regulación que tiene en cuenta las necesidades a las que debemos responder cuando analizamos los sistemas de IA. España y la Unión Europea apuestan por una IA centrada en la persona y esto obliga a crear sistemas como el que he analizado brevemente. La creación de un entorno de prueba controlado establece un espacio de ensayo, establece el mejor escenario para crear una IA resiliente, ética y robusta.

La lectura de este real decreto me hace afirmar que en su conjunto estamos ante una buena norma

Debo otrosí decir que el camino es largo. Como es sabido, la tecnología y más la tecnología disruptiva, crece a un ritmo vertiginoso. El derecho, las regulaciones son incapaces de mantener este compás. Asimismo, «el derecho siempre llega segundo» es decir, regula lo que ya ha ocurrido, para que no se repita. Sin embargo, fíjense que, en este caso, este real decreto de alguna manera intenta anticiparse a lo que pueda ocurrir.

Ahora toca esperar, toca ver la ejecución de la norma. Espero puedan aceptarme esta analogía: este real decreto es el algoritmo del sistema, representa el conjunto de reglas. Ahora necesitamos del código fuente, es decir, de la ejecución de estas reglas. Más adelante podremos analizar si dicho código fuente es capaz de realizar el contenido de real decreto o si, en cambio, debemos replantear el algoritmo entero.

(1)   Señalo que el Real Decreto 817/2023, de 8 de noviembre profundiza y desarrolla las distintas definiciones. Aquí señalo las que podemos entender como definiciones marco.