Cada vez gana más terreno la idea de concebir la inteligencia artificial (IA) como un servicio de consumo inmediato o utility, bajo la premisa de que basta con “comprar una aplicación y empezar a utilizarla”. Sin embargo, subirse a la IA no es como comprar software convencional y ponerlo en marcha al instante. A diferencia de otras tecnologías de la información, la IA difícilmente se podrá utilizar con la filosofía del plug and play. Existe un conjunto de tareas imprescindibles que los usuarios de estos sistemas deberían emprender, no solo por razones de seguridad y cumplimiento legal, sino sobre todo para obtener resultados eficientes y confiables.

El Reglamento de inteligencia artificial (RIA)[1]

El RIA define marcos de referencia que deberían ser tenidos en cuenta por los proveedores[2] y responsables de desplegar[3] la IA. Esta es una norma muy compleja cuya orientación es doble. En primer lugar, en una aproximación que podríamos definir como de alto nivel, la norma establece un conjunto de líneas rojas que nunca podrán ser traspasadas. La Unión Europea aborda la IA desde un enfoque centrado en el ser humano y al servicio de las personas. Por ello, cualquier desarrollo deberá garantizar ante todo que no se vulneren derechos fundamentales ni se cause ningún daño a la seguridad e integridad de las personas. Adicionalmente, no se admitirá ninguna IA que pudiera generar riesgos sistémicos para la democracia y el estado de derecho. Para que estos objetivos se materialicen, el RIA despliega un conjunto de procesos mediante un enfoque orientado a producto. Esto permite clasificar los sistemas de IA en función de su nivel de riesgo, -bajo, medio, alto- así como los modelos de IA de uso general[4]. Y también, establecer, a partir de esta categorización, las obligaciones que cada sujeto participante deberá cumplir para garantizar los objetivos de la norma.

Habida cuenta de la extraordinaria complejidad del reglamento europeo, queremos compartir en este artículo algunos principios comunes que se deducen de su lectura y podrían inspirar buenas prácticas por parte de las organizaciones públicas y privadas. Nuestro enfoque no se centra tanto en definir una hoja de ruta para un determinado sistema de información como en destacar algunos elementos que, a nuestro juicio, pueden resultar de utilidad para garantizar que el despliegue y utilización de esta tecnología resulten seguros y eficientes, con independencia del nivel de riesgo de cada sistema de información basado en IA.

Definir un propósito claro

El despliegue de un sistema de IA es altamente dependiente de la finalidad que persigue la organización. No se trata de subirse al carro de una moda. Es cierto que la información pública disponible parece evidenciar que la integración de este tipo de tecnología forma parte importante de los procesos de transformación digital de las empresas y de la Administración, proporcionando mayor eficiencia y capacidades. Sin embargo, no puede convertirse en una moda instalar cualquiera de los Large Language Models (LLM). Se necesita una reflexión previa que tenga en cuenta cuáles son las necesidades de la organización y defina que tipo de IA va a contribuir a la mejora de nuestras capacidades. No adoptar esta estrategia podría poner en riesgo a nuestra entidad, no solo desde el punto de vista de su funcionamiento y resultados, sino incluso desde una perspectiva jurídica. Por ejemplo, introducir un LLM o un chatbot en un entorno de alto riesgo decisional podría suponer padecer impactos reputacionales o incurrir en responsabilidad civil. Insertar este LLM en un entorno médico, o utilizar un chatbot en un contexto sensible con población no preparada o en procesos de asistencia críticos, podría acabar generando situaciones de riesgo de consecuencias imprevisibles para las personas.

No hacer el mal

El principio de no maleficiencia es un elemento clave y debe inspirar de modo determinante nuestra práctica en el mundo de la IA. Por ello el RIA establece una serie de prácticas expresamente prohibidas para proteger los derechos fundamentales y la seguridad de las personas. Estas prohibiciones se centran en evitar manipulaciones, discriminaciones y usos indebidos de sistemas de IA que puedan causar daños significativos.

Categorías de prácticas prohibidas

1. Manipulación y control del comportamiento. Mediante el uso de técnicas subliminales o manipuladoras que alteren el comportamiento de personas o colectivos, impidiendo la toma de decisiones informadas y provocando daños considerables.

2. Explotación de vulnerabilidades. Derivadas de la edad, discapacidad o situación social/económica para modificar sustancialmente el comportamiento y causar perjuicio.

3. Puntuación social (Social Scoring). IA que evalúe a personas en función de su comportamiento social o características personales, generando calificaciones con efectos para los ciudadanos que resulten en tratos injustificados o desproporcionados.

4. Evaluación de riesgos penales basada en perfiles. IA utilizada para predecir la probabilidad de comisión de delitos únicamente mediante elaboración de perfiles o características personales. Aunque se admite su uso para la investigación penal cuando el delito se ha cometido efectivamente y existen hechos que analizar.

5. Reconocimiento facial y bases de datos biométricas. Sistemas para la ampliación de bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales de Internet o de circuitos cerrados de televisión.

6. Inferencia de emociones en entornos sensibles. Diseñar o usar la IA para inferir emociones en el trabajo o en centros educativos, salvo por motivos médicos o de seguridad.

7. Categorización biométrica sensible. Desarrollar o utilizar una IA que clasifique a individuos según datos biométricos para deducir raza, opiniones políticas, religión, orientación sexual, etc.

8. Identificación biométrica remota en espacios públicos. Uso de sistemas de identificación biométrica remota «en tiempo real» en espacios públicos con fines policiales, salvo excepciones muy limitadas (búsqueda de víctimas, prevención de amenazas graves, localización de sospechosos de delitos graves).

Al margen de las conductas expresamente prohibidas es importante tener en cuenta que el principio de no maleficencia implica que no podemos utilizar un sistema de IA con la clara intención de causar un daño, con la conciencia de que esto podría ocurrir o, en cualquier caso, cuando la finalidad que perseguimos sea contraria a derecho.

Garantizar una adecuada gobernanza de datos

El concepto de gobernanza de datos se encuentra en el artículo 10 del RIA y aplica a los sistemas de alto riesgo. No obstante, contiene un conjunto de principios de alta rentabilidad a la hora de desplegar un sistema de cualquier nivel. Los sistemas de IA de alto riesgo que usan datos deben desarrollarse con conjuntos de entrenamiento, validación y prueba que cumplan criterios de calidad. Para ello se definen ciertas prácticas de gobernanza para asegurar:

• Diseño adecuado.
• Que la recogida y origen de los datos, y en el caso de los datos personales la finalidad perseguida, sean adecuadas y legítimas.
• Que se adopten procesos de preparación como la anotación, el etiquetado, la depuración, la actualización, el enriquecimiento y la agregación.
• Que el sistema se diseñe con casos de uso cuya información sea coherente con lo que se supone que miden y representan los datos.
• Asegurar la calidad de los datos garantizando la disponibilidad, la cantidad y la adecuación de los conjuntos de datos necesarios.
• Detectar y revisar de sesgos que puedan afectar a la salud y la seguridad de las personas, a los derechos o generar discriminación, especialmente cuando las salidas de datos influyan en las informaciones de entrada de futuras operaciones. Deben adoptarse medidas para prevenir y corregir estos sesgos.
• Identificar y resolver lagunas o deficiencias en los datos que impidan el cumplimiento del RIA, y añadiríamos que la legislación.
• Los conjuntos de datos empleados deben ser relevantes, representativos, completos y con propiedades estadísticas adecuadas para su uso previsto y deben considerar las características geográficas, contextuales o funcionales necesarias para el sistema, así como garantizar su diversidad. Además, carecerán de errores y estarán completos en vista de su finalidad prevista.

La IA es una tecnología altamente dependiente de los datos que la alimentan. Desde este punto de vista, no disponer de gobernanza de datos no solo puede afectar al funcionamiento de estas herramientas, sino que podría generar responsabilidad para el usuario.

En un futuro no lejano, la obligación de que los sistemas de alto riesgo obtengan un marcado CE emitido por un organismo notificado (es decir, designado por un Estado miembro de la Unión Europea) ofrecerá condiciones de confiabilidad al mercado. Sin embargo, para el resto de los sistemas de menor riesgo aplica la obligación de transparencia. Esto no implica en absoluto que el diseño de esta IA no deba tener en cuenta estos principios en la medida de lo posible. Por tanto, antes de realizar una contratación sería razonable verificar la información precontractual disponible tanto en relación con las características del sistema y su confiabilidad como respecto de las condiciones y recomendaciones de despliegue y uso.

Otra cuestión atañe a nuestra propia organización. Si no disponemos de las adecuadas medidas de cumplimiento normativo, organizativas, técnicas y de calidad que aseguren la confiabilidad de nuestros propios datos, difícilmente podremos utilizar herramientas de IA que se alimenten de ellos. En el contexto del RIA el usuario de un sistema también puede incurrir en responsabilidad. Es perfectamente posible que un producto de esta naturaleza haya sido desarrollado de modo adecuado por el proveedor y que en términos de reproducibilidad éste pueda garantizar que bajo las condiciones adecuadas el sistema funciona correctamente. Lo que desarrolladores y proveedores no pueden resolver son las inconsistencias en los conjuntos de datos que integre en la plataforma el usuario-cliente. No es su responsabilidad si el cliente no desplegó adecuadamente un marco de cumplimiento del Reglamento General de Protección de Datos o está utilizando el sistema para una finalidad ilícita. Tampoco será su responsabilidad que el cliente mantenga conjuntos de datos no actualizados o no confiables que al ser introducidos en la herramienta generen riesgos o contribuyan a la toma de decisiones inadecuadas o discriminatorias.

En consecuencia, la recomendación es clara: antes de implementar un sistema basado en inteligencia artificial debemos asegurarnos de que la gobernanza de datos y el cumplimiento de la legislación vigente se garanticen adecuadamente.

Garantizar la seguridad

La IA es una tecnología particularmente sensible que presenta riesgos de seguridad específicos, -los llamados efectos adversarios-, como por ejemplo la corrupción de los conjuntos de datos. No es necesario buscar ejemplos sofisticados. Como cualquier sistema de información la IA exige que las organizaciones los desplieguen y utilicen de modo seguro. En consecuencia, el despliegue de la IA en cualquier entorno exige el desarrollo previo de un análisis de riesgos que permita identificar cuáles son las medidas organizativas y técnicas que garantizan un uso seguro que la herramienta.

Formar a su personal

A diferencia del RGPD, en el que esta cuestión es implícita, el RIA expresamente establece como obligación el deber de formar. El artículo 4 del RIA es tan preciso que merece la pena su reproducción íntegra:

Los proveedores y responsables del despliegue de sistemas de IA adoptarán medidas para garantizar que, en la mayor medida posible, su personal y demás personas que se encarguen en su nombre del funcionamiento y la utilización de sistemas de IA tengan un nivel suficiente de alfabetización en materia de IA, teniendo en cuenta sus conocimientos técnicos, su experiencia, su educación y su formación, así como el contexto previsto de uso de los sistemas de IA y las personas o los colectivos de personas en que se van a utilizar dichos sistemas.

Este sin duda es un factor crítico. Las personas que utilizan la inteligencia artificial deben haber recibido una formación adecuada que les permita entender la naturaleza del sistema y ser capaces de tomar decisiones informadas. Uno de los principios nucleares de la legislación y del enfoque europeo es el de supervisión humana. Por tanto, con independencia de las garantías que ofrezca un determinado producto de mercado, la organización que lo utiliza siempre será responsable de las consecuencias. Y ello ocurrirá tanto en el caso en el que la última decisión se atribuya a una persona, como cuando en procesos altamente automatizados los responsables de su gestión no sean capaces de identificar una incidencia tomando decisiones adecuadas con supervisión humana.

La culpa in vigilando

La introducción masiva de los LLM plantea el riesgo de incurrir en la llamada culpa in vigilando: un principio jurídico que hace referencia a la responsabilidad que asume una persona por no haber ejercido la debida vigilancia sobre otra, cuando de esa falta de control se deriva un daño o un perjuicio. Si su organización ha introducido cualquiera de estos productos de mercado que integran funciones como realizar informes, evaluar información alfanumérica e incluso asistirle en la gestión del correo electrónico, será fundamental que asegure el cumplimiento de las recomendaciones que anteriormente hemos señalado. Resultará particularmente aconsejable que defina de modo muy preciso los fines para los que se implementa la herramienta, los roles y responsabilidades de cada usuario y proceda a documentar sus decisiones y a formar adecuadamente al personal.

Desgraciadamente el modelo de introducción en el mercado de los LLM ha generado por sí mismo un riesgo sistémico y grave para las organizaciones. La mayor parte de herramientas han optado por una estrategia de comercialización que no difiere en nada de la que en su día emplearon las redes sociales. Esto es, permiten el acceso en abierto y gratuito a cualquier persona. Es obvio que con ello consiguen dos resultados: reutilizar la información que se les facilita monetizando el producto y generar una cultura de uso que facilite la adopción y comercialización de la herramienta.

Imaginemos una hipótesis, por supuesto, descabellada. Un médico interno residente (MIR) ha descubierto que varias de estas herramientas han sido desarrolladas y, de hecho, se utilizan en otro país para el diagnóstico diferencial. Nuestro MIR está muy preocupado por tener que despertar al jefe de guardia médica en el hospital cada 15 minutos. Así que, diligentemente, contrata una herramienta, que no se ha previsto para ese uso en España, y toma decisiones basadas en la propuesta de diagnóstico diferencial de un LLM sin tener todavía las capacidades que lo habilitan para una supervisión humana. Evidentemente existe un riesgo significativo de acabar causando un daño a un paciente.

Situaciones como la descrita obligan a considerar cómo deben actuar las organizaciones que no utilizan IA pero que son conscientes del riesgo de que sus empleados las usen sin su conocimiento o consentimiento. En este sentido, se debería adoptar una estrategia preventiva basada en la emisión de circulares e instrucciones muy precisas respecto de la prohibición de su uso. Por otra parte, existe una situación de riesgo híbrida. El LLM se ha contratado por la organización y es utilizada por la persona empleada para fines distintos de los previstos. En tal caso la dupla seguridad-formación adquiere un valor estratégico.

Probablemente la formación y la adquisición de cultura sobre la inteligencia artificial sea un requisito esencial para el conjunto de la sociedad. De lo contrario, los problemas y riesgos sistémicos que en el pasado afectaron al despliegue de Internet volverán a suceder y quién sabe si con una intensidad difícil de gobernar.

Contenido elaborado por Ricard Martínez Martínez, Director de la Cátedra de Privacidad y Transformación Digital, Departamento de Derecho Constitucional de la Universitat de València. Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.

NOTAS

[1] Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) n.° 300/2008, (UE) n.° 167/2013, (UE) n.° 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 disponible en https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=OJ%3AL_202401689

[2] El RIA define como «proveedor»: una persona física o jurídica, autoridad pública, órgano u organismo que desarrolle un sistema de IA o un modelo de IA de uso general o para el que se desarrolle un sistema de IA o un modelo de IA de uso general y lo introduzca en el mercado o ponga en servicio el sistema de IA con su propio nombre o marca, previo pago o gratuitamente.

[3] EL RIA define como «responsable del despliegue»: una persona física o jurídica, o autoridad pública, órgano u organismo que utilice un sistema de IA bajo su propia autoridad, salvo cuando su uso se enmarque en una actividad personal de carácter no profesional.

[4] El RIA define como «modelo de IA de uso general»: un modelo de IA, también uno entrenado con un gran volumen de datos utilizando autosupervisión a gran escala, que presenta un grado considerable de generalidad y es capaz de realizar de manera competente una gran variedad de tareas distintas, independientemente de la manera en que el modelo se introduzca en el mercado, y que puede integrarse en diversos sistemas o aplicaciones posteriores, excepto los modelos de IA que se utilizan para actividades de investigación, desarrollo o creación de prototipos antes de su introducción en el mercado.

Hace tan solo unos días, la Dirección General de Tráfico publicó el nuevo Programa Marco para Prueba de Vehículos Automatizados que, entre otras medidas, contempla “la entrega obligatoria de informes, tanto periódicos y finales como en caso de incidentes, que permitirán a la DGT evaluar la seguridad de las pruebas y publicar información básica […] garantizando la transparencia y la confianza pública”.

El avance de la tecnología digital está facilitando que el sector del transporte se enfrente a una revolución sin precedentes respecto a la conducción de vehículos autónomos, ofreciendo mejorar significativamente la seguridad vial, la eficiencia energética y la accesibilidad de la movilidad.

El despliegue definitivo de estos vehículos depende en gran medida de la disponibilidad, calidad y accesibilidad de grandes volúmenes de datos, así como de un marco jurídico adecuado que asegure la protección de los diversos bienes jurídicos implicados (datos personales, secreto empresarial, confidencialidad…), la seguridad del tráfico y la transparencia. En este contexto, los datos abiertos y la reutilización de la información del sector público se manifiestan como elementos esenciales para el desarrollo responsable de la movilidad autónoma, en particular a la hora de garantizar unos adecuados niveles de seguridad en el tráfico.

La dependencia de los datos en los vehículos autónomos

La tecnología que da soporte a los vehículos autónomos se sustenta en la integración de una compleja red de sensores avanzados, sistemas de inteligencia artificial y algoritmos de procesamiento en tiempo real, lo que les permite identificar obstáculos, interpretar las señales de tráfico, predecir el comportamiento de otros usuarios de la vía y, de una forma colaborativa, planificar rutas de forma completamente autónoma.

En el ecosistema de vehículos autónomos, la disponibilidad de datos abiertos de calidad resulta estratégica para:

• Mejorar la seguridad vial, de manera que puedan utilizarse datos de tráfico en tiempo real que permitan anticipar peligros, evitar accidentes y optimizar rutas seguras a partir del análisis masivo de datos.
• Optimizar la eficiencia operativa, ya que el acceso a información actualizada sobre el estado de las vías, obras, incidencias y condiciones de tráfico permite una planificación más eficiente de los desplazamientos.
• Impulsar la innovación sectorial, facilitando la creación de nuevas herramientas digitales que facilitan la movilidad.

En concreto, para garantizar un funcionamiento seguro y eficiente de este modelo de movilidad se requiere el acceso continuo a dos categorías fundamentales de datos:

• Datos variables o dinámicos, que ofrecen información en constante cambio como la posición, velocidad y comportamiento de otros vehículos, peatones, ciclistas o las condiciones meteorológicas en tiempo real.
• Datos estáticos, que comprenden información relativamente permanente como la localización exacta de señales de tráfico, semáforos, carriles, límites de velocidad o las principales características de la infraestructura viaria.

El protagonismo de los datos suministrados por las entidades públicas

Las fuentes de las que provienen tales datos son ciertamente diversas. Esto resulta de gran relevancia por lo que se refiere a las condiciones en que dichos datos estarán disponibles. En concreto, algunos de los datos son proporcionados por entidades públicas, mientras que en otros casos el origen proviene de empresas privadas (fabricantes de vehículos, proveedoras de servicios de telecomunicaciones, desarrolladoras de herramientas digitales…) con sus propios intereses o, incluso, de las personas que utilizan los espacios públicos, los dispositivos y las aplicaciones digitales.

Esta diversidad exige un diferente planteamiento a la hora de facilitar la disponibilidad de los datos en condiciones adecuadas, en concreto por las dificultades que pueden plantearse desde el punto de vista jurídico. Con relación a las Administraciones Públicas, la Directiva (UE) 2019/1024 relativa a datos abiertos y reutilización de información del sector público establece obligaciones claras que serían de aplicación, por ejemplo, a la Dirección General de Tráfico, las Administraciones titulares de las vías públicas o los municipios en el caso de los entornos urbanos. Asimismo, el Reglamento (UE) 2022/868 sobre gobernanza europea de datos refuerza este marco normativo, en particular por lo que se refiere a la garantía de los derechos de terceros y, en concreto, la protección de datos personales.

Más aún, algunos conjuntos de datos deberían proporcionarse en las condiciones establecidas para los datos dinámicos, esto es, aquellos “sujetos a actualizaciones frecuentes o en tiempo real, debido, en particular, a su volatilidad o rápida obsolescencia”, que habrán de estar disponibles “para su reutilización inmediatamente después de su recopilación, a través de las API adecuadas y, cuando proceda, en forma de descarga masiva”.

Incluso, cabría pensar que la categoría de datos de alto valor presenta un especial interés en el contexto de los vehículos autónomos dado su potencial para facilitar la movilidad, en concreto si tenemos en cuenta su potencial para:

• Impulsar la innovación tecnológica, ya que facilitarían a fabricantes, desarrolladores y operadores acceder a información fiable y actualizada, esencial para el desarrollo, validación y mejora continua de sistemas de conducción autónoma.
• Facilitar la supervisión y evaluación desde la perspectiva de la seguridad, ya que la transparencia y accesibilidad de estos datos son presupuestos esenciales desde esta perspectiva.
• Dinamizar el desarrollo de servicios avanzados, puesto que los datos sobre infraestructura vial, señalización, tráfico e, incluso, los resultados de pruebas realizadas en el contexto del citado Programa Marco constituyen la base para nuevas aplicaciones y servicios de movilidad que benefician al conjunto de la sociedad.

Sin embargo, esta condición no aparece expresamente recogida para los datos vinculados al tráfico en la definición realizada a nivel europeo, por lo que, al menos de momento, no cabría exigir a las entidades públicas la difusión de los datos que aplican a los vehículos autónomos en las singulares condiciones establecidas para los datos de alto valor. No obstante, en este momento de transición para el despliegue de los vehículos autónomos, resulta fundamental que las Administraciones públicas publiquen y mantengan actualizados en condiciones adecuadas para su tratamiento automatizado, algunos conjuntos de datos, como los relativos a:

• Señales viales y elementos de señalización vertical.
• Estados de semáforos y sistemas de control de tráfico.
• Configuración y características de carriles.
• Información sobre obras y alteraciones temporales de tráfico.
• Elementos de infraestructura vial críticos para la navegación autónoma.

La reciente actualización del catálogo oficial de señales de tráfico, que entra en vigor el 1 de julio de 2025 incorpora señalizaciones adaptadas a nuevas realidades, como es el caso de la movilidad personal. Sin embargo, requiere de una mayor concreción por lo que se refiere a la disponibilidad de los datos relativos a las señales en las referidas condiciones. Para ello será necesaria la intervención de las autoridades responsables de la señalización de las vías.

La disponibilidad de los datos en el contexto del espacio europeo de movilidad

Partiendo de estos condicionamientos y de la necesidad de disponer de los datos de movilidad generados por empresas privadas y particulares, los espacios de datos aparecen como el entorno jurídico y de gobernanza óptimo para facilitar su accesibilidad en condiciones adecuadas.

En este sentido, las iniciativas para el despliegue del espacio de datos europeo de movilidad, creado en 2023, constituyen una oportunidad para integrar en su diseño y configuración medidas que den soporte a la necesidad de acceso a los datos que exigen los vehículos autónomos. Así pues, en el marco de esta iniciativa sería posible liberar el potencial de los datos de movilidad y, en concreto:

• Facilitar la disponibilidad de los datos en condiciones específicas para las necesidades de los vehículos autónomos.
• Promover la interconexión de diversas fuentes de datos vinculadas a los medios de transporte ya existentes, pero también de los emergentes.
• Acelerar la transformación digital que suponen los vehículos autónomos.
• Reforzar la soberanía digital de la industria automovilística europea, reduciendo la dependencia de grandes corporaciones tecnológicas extranjeras.

En definitiva, los vehículos autónomos pueden suponer una transformación fundamental en la movilidad tal y como hasta ahora se ha concebido, pero su desarrollo depende entre otros factores de la disponibilidad, calidad y accesibilidad de datos suficientes y adecuados. El Proyecto de Ley de Movilidad Sostenible que actualmente se encuentra en tramitación en las Cortes Generales constituye una magnífica oportunidad para reforzar el papel de los datos a la hora de facilitar la innovación en este ámbito, lo que sin duda favorecería el desarrollo de los vehículos autónomos. Para ello será imprescindible, de una parte, contar con un entorno de compartición de datos que haga compatible el acceso a los datos con las adecuadas garantías para los derechos fundamentales y la seguridad de la información; y, de otra, diseñar un modelo de gobernanza que, como se enfatiza en el Programa impulsado por la Dirección General de Tráfico, facilite la participación colaborativa de “fabricantes, desarrolladores, importadores y operadores de flotas establecidos en España o en la Unión Europea”, lo que plantea importantes desafíos en la disponibilidad de los datos.

Contenido elaborado por Julián Valero, catedrático de la Universidad de Murcia y Coordinador del Grupo de Investigación “Innovación, Derecho y Tecnología” (iDerTec). Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.

El Índice de Tendencias del Trabajo 2024 sobre el Estado de la Inteligencia Artificial en el Trabajo y los informes de T-Systems e InfoJobs indican que un 78% de los trabajadores en España utilizan sus propias herramientas de IA en el ámbito laboral. Esta cifra aumenta al 80% en empresas de tamaño mediano. Además 1 de cada 3 trabajadores (32%) emplea herramientas de IA en su día a día laboral. El 75% de los trabajadores del conocimiento utiliza herramientas de IA generativa, y casi la mitad comenzó a hacerlo en los últimos seis meses. Curiosamente, la brecha generacional se reduce en este ámbito. Si bien el 85% de los empleados de la Generación Z (18 a 28 años) utilizan IA personalizada, resulta que más del 70% de los baby boomers (mayores de 58 años) también emplean estas herramientas. En realidad, esta tendencia parece ser confirmada desde distintos enfoques.

Figura 1. Tabla de referencias sobre BYOAI

Este fenómeno se ha denominado BYOAI (Bring Your Own AI o Traer tu propia IA), por sus siglas en inglés. Se caracteriza porque la persona empleada suele utilizar algún tipo de solución abierta al uso libre como, por ejemplo, ChatGPT. La organización no ha contratado el servicio, el registro se ha producido con carácter privado por el usuario y el proveedor obviamente no asume ninguna responsabilidad legal. Si, por ejemplo, se utilizan las posibilidades que ofrece Notebook, Perplexity o DeepSeek es perfectamente posible que se carguen documentos confidenciales o protegidos.

Por otra parte, esto coincide, según datos de EuroStat, con la adopción de la IA en el sector empresarial. En 2024, el 13,5% de las empresas europeas (con 10 o más empleados) usaban alguna tecnología de IA, cifra que sube al 41% en grandes empresas y es especialmente alta en sectores como información y comunicación (48,7%), servicios profesionales, científicos y técnicos (30,5%). La tendencia a la adopción de la IA en el sector público también es creciente debido no sólo a las tendencias globales, sino probablemente a la adopción de estrategias de IA y al impacto positivo de los fondos Next Generation.

El deber legal de alfabetización en IA

En este contexto emergen preguntas de modo inmediato. Las primeras se refieren al fenómeno del uso no autorizado por las personas empleadas: ¿Ha emitido la persona delegada de protección de datos o la responsable de seguridad algún informe dirigido a la dirección de la organización? ¿Se ha autorizado este tipo de uso? ¿Se discutió el asunto en alguna reunión del Comité de Seguridad? ¿Se ha dirigido alguna circular informativa definiendo con precisión las reglas aplicables? Pero junto a estas emergen otras de carácter más general: ¿Qué nivel de formación poseen las personas? ¿Están capacitadas para emitir informes o tomar decisiones usando este tipo de herramientas?

El Reglamento de la Unión Europea sobre Inteligencia Artificial (RIA), con buen criterio, ha establecido un deber de alfabetización en IA que se impone a los proveedores y responsables del despliegue de este tipo de sistemas. A estos les corresponde adoptar medidas para garantizar que, en la mayor medida posible, su personal y demás personas que se encarguen en su nombre del funcionamiento y la utilización de sistemas de IA, tengan un nivel suficiente de alfabetización en materia de IA. Para ello es necesario tener en cuenta sus conocimientos técnicos, su experiencia, su educación y su formación. La formación debe integrarse en el contexto previsto de uso de los sistemas de IA y ajustarse al perfil de las personas o los colectivos en que se van a utilizar dichos sistemas.

A diferencia de lo que ocurre en el Reglamento General de Protección de Datos₁, aquí la obligación se formula de forma expresa e imperativa. En el RGPD no existe ninguna referencia directa a esta materia, salvo al definir como función de la persona delegada de protección de datos la formación del personal que participa en las operaciones de tratamiento. Esta necesidad puede deducirse también de la obligación del encargado del tratamiento de garantizar que las personas autorizadas para tratar datos personales conozcan su deber de confidencialidad. Es obvio que el deber de responsabilidad proactiva, la protección de datos desde el diseño y por defecto y la gestión del riesgo conducen a formar a los usuarios de sistemas de información. Sin embargo, lo cierto es que el modo en el que esta formación se despliega no siempre es el adecuado. En muchas organizaciones o no existe, o es voluntaria o se basa en la firma de un conjunto de obligaciones de seguridad al acceder a un puesto de trabajo.

En el ámbito de los sistemas de información basados en inteligencia artificial la obligación de formar es innegociable y se impone de modo imperativo. El RIA prevé multas muy elevadas que especifica el Anteproyecto de ley para el buen uso y la gobernanza de la Inteligencia Artificial. Cuando se apruebe la futura Ley constituirá infracción grave el incumplimiento del artículo 26.2 del RIA, relativo a la necesidad de encomendar la supervisión humana del sistema a personas con la adecuada competencia, formación y autoridad.

Beneficios de formar en IA

Más allá de la coerción legal, formar a las personas constituye una decisión acertada y sin duda beneficiosa que debe leerse en positivo y concebirse como una inversión. De una parte, contribuye a adoptar medidas dirigidas a gestionar el riesgo que en el caso del BYOAI incluye fuga de datos, pérdida de propiedad intelectual, problemas de cumplimiento y ciberseguridad. Por otra parte, es necesario gestionar riesgos asociados al uso regular de la IA. Y en este sentido, resulta fundamental que los usuarios finales conozcan con mucho detalle los modos en los que la tecnología funciona, su papel de supervisión humana en el proceso de toma de decisiones y que adquieran la capacidad de identificar y reportar cualquier incidencia en el funcionamiento.

Sin embargo, la formación debe perseguir objetivos de alto nivel. Debería ser continua, combinando teoría, práctica y actualización permanente e incluir tanto aspectos técnicos como éticos, legales y de impacto social para promover una cultura de conocimiento y uso responsable de la IA en la organización. Sus beneficios para la dinámica de la actividad pública o privada son del más variado signo.

Con respecto a sus beneficios, la alfabetización en inteligencia artificial (IA) se ha convertido en un factor estratégico para transformar la toma de decisiones y promover la innovación en las organizaciones:

• Al dotar a los equipos de conocimientos sólidos sobre el funcionamiento y las aplicaciones de la IA, se facilita la interpretación de datos complejos y el uso de herramientas avanzadas, lo que permite identificar patrones y anticipar tendencias relevantes para el negocio.
• Este conocimiento especializado contribuye a minimizar errores y sesgos, ya que promueve decisiones fundamentadas en análisis rigurosos en lugar de intuiciones, y capacita para detectar posibles desviaciones en los sistemas automatizados. Además, la automatización de tareas rutinarias reduce la probabilidad de fallos humanos y libera recursos que pueden enfocarse en actividades estratégicas y creativas.
• La integración de la IA en la cultura organizacional impulsa una mentalidad orientada al análisis crítico y al cuestionamiento de las recomendaciones tecnológicas, promoviendo así una cultura basada en la evidencia. Este enfoque no solo fortalece la capacidad de adaptación ante los avances tecnológicos, sino que también facilita la detección de oportunidades para optimizar procesos, desarrollar nuevos productos y mejorar la eficiencia operativa.
• En el ámbito legal y ético, la alfabetización en IA ayuda a gestionar los riesgos asociados al cumplimiento normativo y a la reputación, ya que fomenta prácticas transparentes y auditables que generan confianza tanto en la sociedad como en los reguladores.
• Por último, comprender el impacto y las posibilidades de la IA disminuye la resistencia al cambio y favorece la adopción de nuevas tecnologías, acelerando la transformación digital y posicionando a la organización como líder en innovación y adaptación a los retos del entorno actual.

Figura 2. Beneficios de la alfabetización en IA. Fuente: elaboración propia

Buenas prácticas para una formación en IA exitosa

Las organizaciones deben reflexionar sobre su estrategia formativa para alcanzar estos objetivos. En este sentido, parece razonable compartir algunas lecciones aprendidas en materia de protección de datos. En primer lugar, es necesario señalar que toda formación se debe iniciar comprometiendo al equipo de dirección de la organización. El temor reverencial al Consejo de Administración, a la Corporación Local o al Gobierno de turno no debe existir. El nivel político de toda organización debería predicar con el ejemplo si realmente se quiere permear al conjunto de los recursos humanos. Y esta formación debe ser muy específica no sólo desde el punto de vista de la gestión del riesgo sino también desde un enfoque de oportunidad basada en una cultura de la innovación responsable.

Del mismo modo, y aunque pueda implicar costes adicionales, es necesario tener en cuenta no sólo a los usuarios de los sistemas de información basados en IA sino a todo el personal. Ello no sólo nos permitirá evitar los riesgos asociados al BYOAI sino establecer una cultura corporativa que facilite los procesos de implantación de la IA.

Finalmente, será indispensable adaptar la formación a los perfiles específicos: tanto a los usuarios de sistemas basados en IA, el personal técnico (TI) instrumental y los mediadores y habilitadores éticos y legales como a los oficiales de compliance o los responsables de la adquisición o licitación de productos y servicios.

Sin perjuicio de los contenidos que en buena lógica debe reunir este tipo de formación existen ciertos valores que deben inspirar los planes formativos. En primer lugar, no es ocioso recordar que se trata de una formación obligatoria y funcionalmente adaptada al puesto de trabajo. En segundo lugar, debe ser capaz de empoderar a las personas y comprometerlas con el uso de la IA. El enfoque legal de la UE se basa en el principio de responsabilidad y supervisión humana: el humano decide siempre. Y por tanto debe estar capacitado para tomar decisiones adecuadas al output que le proporciona la IA, para disentir del criterio de la máquina en un ecosistema que le ampare y le permita reportar incidentes y revisarlos.

Por último, existe un elemento que no se puede obviar bajo ninguna circunstancia: con independencia de que se traten o no datos personales, y de que la IA tenga por destino a los seres humanos, sus resultados siempre repercutirán directa o indirectamente en las personas o sobre la sociedad. Por tanto, el enfoque formativo debe integrar las implicaciones éticas, legales y sociales de la IA y comprometer a los usuarios con la garantía de los derechos fundamentales y la democracia.

Vivimos en un mundo cada vez más digitalizado donde trabajamos, estudiamos, nos informamos y socializamos a través de tecnologías. En este mundo, en el que la tecnología y la conectividad se han convertido en pilares fundamentales de la sociedad, los derechos digitales emergen como un componente esencial para garantizar la libertad, la privacidad y la igualdad en esta nueva faceta online de nuestras vidas.

Por tanto, los derechos digitales no son más que la extensión de los derechos y libertades fundamentales de los que ya nos beneficiamos al entorno virtual. En este artículo exploraremos en qué consisten estos derechos, por qué son importantes y cuáles son algunas de las iniciativas de referencia en este área.

¿Qué son los derechos digitales y por qué son importantes?

Según declaraba Antonio Guterres, Secretario General de las Naciones Unidas, durante el Internet Governance Forum ya en el año 2018:

“La humanidad debe estar en el centro de la evolución tecnológica. La tecnología no debe usar a las personas; nosotros debemos usar la tecnología para el beneficio de todos.”

Y es que la tecnología debería servir para mejorar nuestras vidas, no para dominarlas. Para que esto sea posible, como ha ocurrido con otras tecnologías transformadoras del pasado, necesitamos establecer políticas que eviten en la medida de lo posible la aparición de efectos indeseados o usos malintencionados. Por tanto, los derechos digitales buscan facilitar una transformación digital humanista, donde la innovación tecnológica vaya acompañada de protección a las personas, a través de un conjunto de garantías y libertades que permiten a los ciudadanos ejercer sus derechos fundamentales también en el entorno digital. Entre ellos destacan, por ejemplo:

• Libertad de expresión: para una comunicación e intercambio de ideas sin censura.
• Derecho a la privacidad y protección de datos: garantizando la intimidad y el control sobre la información personal.
• Acceso a la información y transparencia: asegurando que todos puedan acceder a datos y servicios digitales de forma equitativa.
• Seguridad en línea: busca proteger a los usuarios de fraudes, ciberataques y otros riesgos del mundo digital.

En un entorno digital, donde la información circula rápidamente y las tecnologías evolucionan de forma constante, garantizar estos derechos es crucial para mantener la integridad de nuestras interacciones, la manera en que accedemos y consumimos información, y nuestra participación en la vida pública.

Un marco internacional para los derechos digitales

A medida que la tecnología avanza, el concepto de derechos digitales ha cobrado creciente importancia a nivel global en las últimas décadas. Si bien no existe una carta mundial única de derechos digitales, son múltiples las iniciativas globales y regionales que apuntan hacia una misma dirección: la Declaración Universal de los Derechos Humanos de las Naciones Unidas. Originalmente, esta declaración ni siquiera mencionaba Internet, ya que fue proclamada en 1948 y por entonces no existía, pero hoy en día sus principios se consideran plenamente aplicables al mundo digital. De hecho, la comunidad internacional coincide en que los mismos derechos que proclamamos para el mundo offline deben ser respetados también online – “lo que es ilegal offline también debe serlo online”.

Además, las Naciones Unidas han subrayado que el acceso a Internet se está convirtiendo en un habilitador básico de otros derechos, por lo que la conectividad debe considerarse también un nuevo derecho humano del siglo XXI.

Iniciativas de referencia europeas e internacionales

En los últimos años son varias las iniciativas que han surgido con el objetivo de adaptar y proteger los derechos fundamentales también en el entorno digital. Por ejemplo, Europa ha sido pionera en establecer un marco explícito de principios digitales. En enero de 2023, la Unión Europea proclamó la Declaración Europea de Derechos y Principios Digitales para la Década Digital, un documento que refleja la visión europea de una transformación tecnológica centrada en las personas y establece un marco común para salvaguardar la libertad, la seguridad y la privacidad de los ciudadanos en la era digital. Esta declaración, junto con otras iniciativas internacionales, subraya la necesidad de armonizar los derechos tradicionales con los desafíos y oportunidades del entorno digital.

La Declaración, acordada conjuntamente por el Parlamento Europeo, el Consejo y la Comisión, define una serie de principios fundamentales que deben orientar la era digital Europea (puedes ver un resumen en esta infografía):

• Centrado en las personas y sus derechos: la tecnología debe servir a las personas y respetar sus derechos y dignidad, no al revés.
• Solidaridad e inclusión: promover la inclusión digital de todos los grupos sociales, cerrando la brecha digital.
• Libertad de elección: asegurar entornos online justos y seguros, donde los usuarios tengan opciones reales de elección y donde la neutralidad de la red sea respetada.
• Participación en el espacio público digital: fomentar que la ciudadanía participe activamente en la vida democrática en todos los niveles, y que pueda tener el control sobre sus datos.
• Seguridad y protección: incrementar la confianza en las interacciones digitales mediante mayor seguridad, privacidad y control por parte de los usuarios, protegiendo especialmente a los menores.
• Sostenibilidad: orientar el futuro digital hacia la sostenibilidad, considerando el impacto medioambiental de la tecnología.

Por tanto, la Declaración Europea sobre Derechos y Principios Digitales establece una guía clara para las leyes y políticas digitales de la Unión Europea, orientando su proceso de transformación digital. Aunque esta Declaración Europea no crea leyes por sí misma, sí establece un compromiso político conjunto y una hoja de ruta de valores. Además, deja claro que Europa aspira a promover estos principios como estándar mundial.

Por otro lado, la Comisión Europea supervisa su aplicación en todos los Estados miembros y publica un informe anual de seguimiento, en conjunto con el Informe sobre el estado de la Década Digital, para evaluar los avances y mantener el rumbo marcado. Además, la Declaración sirve como referencia en las relaciones internacionales de la UE, promoviendo una transformación digital global centrada en las personas y los derechos humanos.

Al margen de Europa, varias naciones han elaborado también sus propias cartas de derechos digitales, como por ejemplo la Carta Iberoamericana de Principios y Derechos en Entornos Digitales, y existen además foros internacionales como el Foro de Gobernanza de Internet donde se debate regularmente cómo proteger los derechos humanos en el ciberespacio. Por tanto, la tendencia global es reconocer que la era digital requiere adaptar y reforzar las protecciones legales existentes, sin crear “nuevos” derechos fundamentales de la nada, sino traduciendo los vigentes al nuevo entorno.

La Carta de Derechos Digitales de España

En línea con todas estas iniciativas internacionales, España ha dado también un paso decisivo al proponer su propia Carta de Derechos Digitales. Este ambicioso proyecto tiene como objetivo definir un conjunto de principios y garantías específicos que aseguren que todos los ciudadanos disfruten de una protección adecuada en el ámbito digital. Entre sus metas destacan:

• Definir estándares de privacidad y seguridad que respondan a las necesidades del ciudadano en la era digital.
• Fomentar la transparencia y la responsabilidad tanto en el sector público como en el privado.
• Impulsar la inclusión digital, garantizando el acceso equitativo a las tecnologías y la información.

En definitiva, esta iniciativa nacional representa un esfuerzo por adaptar la normativa y las políticas públicas a los desafíos del mundo digital, fortaleciendo la confianza de la ciudadanía en el uso de nuevas tecnologías. Además, dado que fue publicada ya en julio de 2021, ha contribuido también a los procesos de reflexión posteriores a nivel europeo, incluida la Declaración Europea citada anteriormente.

La Carta de Derechos Digitales de España se estructura en seis grandes categorías que abarcan las áreas de mayor riesgo e incertidumbre en el mundo digital:

1. Derechos de libertad: incluye libertades clásicas en su dimensión digital, como la libertad de expresión e información en Internet, la libertad ideológica en redes, el derecho al secreto de las comunicaciones digitales, así como el derecho al pseudonimato.
2. Derechos de igualdad: orientados a evitar cualquier forma de discriminación en el entorno digital, incluyendo la igualdad de acceso a la tecnología (inclusión digital de personas mayores, con discapacidad o en zonas rurales), y prevenir sesgos o tratos desiguales en sistemas algorítmicos.
3. Derechos de participación y conformación del espacio público: se refiere a asegurar la participación ciudadana y democrática a través de medios digitales. Incluye derechos electorales en entornos telemáticos, protección frente a la desinformación y la promoción de un debate público en la red que sea diverso y respetuoso.
4. Derechos en el entorno laboral y empresarial: engloba los derechos digitales de trabajadores y emprendedores. Un ejemplo concreto aquí es el derecho a la desconexión digital del trabajador. También incluye la protección de la intimidad del empleado ante sistemas de vigilancia digital en el trabajo y garantías en el teletrabajo, entre otros.
5. Derechos digitales en entornos específicos: aquí se abordan ámbitos particulares que plantean retos propios, por ejemplo los derechos de niños, niñas y adolescentes en el entorno digital (protección frente a contenidos nocivos, control parental, derecho a la educación digital); la herencia digital (qué ocurre con nuestros datos y cuentas en Internet tras fallecer); la identidad digital (poder gestionar y proteger nuestra identidad en línea); o derechos en el emergente mundo de la inteligencia artificial, el metaverso y las neurotecnologías.
6. Garantías y eficacias: esta última categoría se centra en cómo asegurar que todos estos derechos realmente se cumplan. Con ello la Carta busca que las personas tengan vías claras para reclamar en caso de vulneraciones de sus derechos digitales y que las autoridades cuenten con herramientas para hacer efectivos los derechos en Internet.

Como señaló el Gobierno en su presentación, se trata de “reforzar y ampliar los derechos de la ciudadanía, generar certidumbre en esta nueva realidad digital y aumentar la confianza de las personas ante la disrupción tecnológica”. Es decir, no se crean nuevos derechos fundamentales, pero sí se reconocen ámbitos emergentes (como la inteligencia artificial o la identidad digital) donde hace falta aclarar cómo se aplican y garantizan los derechos ya existentes.

El Observatorio de Derechos Digitales

Recientemente se ha anunciado la creación de un Observatorio de Derechos Digitales en España, una herramienta estratégica destinada a monitorizar, promover y evaluar de manera continua el estado y la evolución de estos derechos en el país con el objetivo de contribuir a hacerlos efectivos. El Observatorio se concibe como un espacio abierto, inclusivo y participativo para acercar los derechos digitales a la ciudadanía, y entre sus funciones principales se encuentran:

• Impulsar la implementación de la Carta de Derechos Digitales, de modo que las ideas plasmadas inicialmente en 2021 no queden en teoría, sino que se traduzcan en acciones concretas, leyes y políticas efectivas.
• Vigilar el cumplimiento de las normativas y recomendaciones establecidas en la Carta de Derechos Digitales.
• Combatir la desigualdad y la discriminación en línea, contribuyendo a reducir las brechas digitales de forma que la transformación tecnológica no deje atrás a colectivos vulnerables.
• Identificar áreas de mejora y proponer medidas para la protección de los derechos en el entorno digital.
• Detectar si el marco jurídico vigente se está quedando rezagado ante los nuevos desafíos provenientes de tecnologías disruptivas como la inteligencia artificial avanzada que plantean riesgos no contemplados en las leyes actuales.
• Fomentar la transparencia y el diálogo entre el gobierno, las instituciones y la sociedad civil para adaptar las políticas a los cambios tecnológicos.

Anunciado en febrero de 2025, el Observatorio forma parte del Programa Derechos Digitales, una iniciativa público-privada liderada por el Gobierno, con la participación de cuatro ministerios, y financiada por los fondos europeos NextGenerationEU dentro del Plan de Recuperación. Este programa cuenta con la colaboración de expertos en la materia, instituciones públicas, empresas tecnológicas, universidades y organizaciones de la sociedad civil. En total más de 150 entidades y 360 profesionales se han implicado en su desarrollo.

Por tanto, este Observatorio se perfila como un recurso esencial para garantizar que la protección de los derechos digitales se mantenga actualizada y responda de manera efectiva a los retos emergentes de la era digital.

Conclusión

Los derechos digitales son un pilar fundamental de la sociedad del siglo XXI y su consolidación es una tarea compleja que requiere la coordinación de iniciativas a nivel internacional, europeo y nacional. Iniciativas como la Declaración Europea de Derechos Digitales y otros esfuerzos globales han sentado las bases, pero es la implementación de medidas específicas como la Carta de Derechos Digitales de España y el nuevo Observatorio de Derechos Digitales lo que marcará la diferencia para asegurar un entorno digital libre, seguro y equitativo para todos.

En definitiva, la protección de los derechos digitales no es solo una necesidad legislativa, sino una condición indispensable para el ejercicio pleno de la ciudadanía en un mundo cada vez más interconectado. La participación activa y el compromiso tanto de los ciudadanos como de las instituciones serán claves para construir un futuro digital justo y sostenible. Si logramos hacer efectivos estos derechos, Internet y las nuevas tecnologías seguirán siendo sinónimo de oportunidad y libertad, y no de amenaza. Al fin y al cabo, los derechos digitales son, simplemente, nuestros derechos de siempre adaptados a los tiempos modernos, y protegerlos equivale a protegernos a nosotros mismos en esta nueva era digital.

Contenido elaborado por Carlos Iglesias, Open data Researcher y consultor, World Wide Web Foundation. Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.

El Reglamento de Gobernanza de Datos (Data Governance Act o DGA por sus siglas en inglés) forma parte de un complejo entramado normativo y de políticas públicas de la Unión Europea, cuyo objetivo último es crear un ecosistema de conjuntos de datos que alimente la transformación digital de los Estados miembros y los objetivos de la Década Digital Europea:

• Una población digitalmente capacitada y profesionales digitales altamente cualificados.
• Infraestructuras digitales seguras y sostenibles.
• Transformación digital de las empresas.
• Digitalización de los servicios públicos.

La opinión pública centra su atención en la inteligencia artificial tanto desde el punto de vista de las oportunidades como, sobre todo, de sus riesgos e incertidumbres. No obstante, el reto es mucho más profundo ya que implica en cada una de las distintas capas a muy diversas tecnologías, productos y servicios cuyo elemento común reside en la necesidad de favorecer la disponibilidad de un alto volumen de datos confiables y de calidad contrastada que soporten su desarrollo.

Fomentar el uso de los datos con la legislación como palanca

En sus inicios la Directiva 2019/1024 relativa a los datos abiertos y la reutilización de la información del sector público (Directiva Open Data), la Directiva 95/46/CE relativa al tratamiento de datos personales y a la libre circulación de estos datos, y posteriormente el Reglamento 2016/679 conocido como Reglamento General de Protección de Datos (RGPD) apostaron por la reutilización de los datos con plena garantía de los derechos. Sin embargo, su interpretación y aplicación generó en la práctica un efecto contrario a sus objetivos primigenios basculando claramente hacia un modelo restrictivo que puede haber operado afectando a los procesos de generación de datos para su explotación. Las grandes plataformas norteamericanas, mediante una estrategia de servicios gratuitos – buscadores, aplicaciones móviles y redes sociales - a cambio de datos personales y con el mero consentimiento, consiguieron el mayor volumen de datos personales en la historia de la humanidad, incluidas imágenes, voz y perfiles de personalidad.

Con el RGPD la Unión Europea quiso eliminar 28 maneras distintas de aplicar prohibiciones y limitaciones al uso de los datos. Ciertamente mejoró la calidad normativa, aunque tal vez los resultados alcanzados no han sido tan satisfactorios como se esperaba y así lo indican documentos como el Digital Economy and Society Index (DESI) 2022 o el Informe Draghi (The future of European competitiveness-Part A. A competitiveness strategy for Europe).

Ello ha obligado a un proceso de reingeniería legislativa que de manera expresa y homogénea defina las reglas que hagan posibles los objetivos. La reforma de la Directiva Open Data, la DGA, el Reglamento de Inteligencia Artificial y el futuro Espacio Europeo de Datos Sanitarios (EHDS por sus siglas en inglés), deberán ser leídos desde al menos dos enfoques:

• El primero de ellos es de alto nivel y su función se dirige a preservar nuestros valores constitucionales. La normativa adopta un enfoque centrado en el riesgo y en la garantía de la dignidad y los derechos de las personas, buscando evitar riesgos sistémicos para la democracia y los derechos fundamentales.
• El segundo es operacional, se centra en el desarrollo seguro y responsable del producto. Esta estrategia se basa en la definición de reglas de ingeniería de procesos para el diseño de productos y servicios que hagan de los productos europeos un referente global por su robustez, seguridad y confiabilidad.

Una Guía práctica de la Ley de Gobernanza de Datos

La protección de datos desde el diseño y por defecto, el análisis de riesgos para los derechos fundamentales, el proceso de desarrollo de los sistemas de información de inteligencia artificial de alto riesgo validados por los organismos correspondientes o los procesos de acceso y reutilización de datos de salud son ejemplos de los procesos de ingeniería jurídica y tecnológica que regirán nuestro desarrollo digital. No se trata de procedimientos fáciles de aplicar. De ahí que la Unión Europea realice un esfuerzo significativo en la financiación de proyectos como TEHDAS, EUHubs4Data o Quantum que operen como campo de pruebas. En paralelo se realizan estudios o se publican Guías como la Guía práctica de la Ley de Gobernanza de Datos.

Esta Guía recuerda los objetivos esenciales de la DGA:

• Regular la reutilización de determinados datos de titularidad pública sujetos a los derechos de terceros («datos protegidos», como los datos personales o los datos comerciales confidenciales o susceptibles de propiedad intelectual).
• Impulsar el intercambio de datos mediante la regulación de los proveedores de servicios de intermediación de datos.
• Fomentar el intercambio de datos con fines altruistas.
• Crear el Comité Europeo de Innovación en materia de datos para facilitar el intercambio de mejores prácticas.

La DGA promueve la reutilización segura de datos a través de diversas medidas y salvaguardias. Estas se centran en la reutilización de los datos de organismos del sector público, los servicios de intermediación de datos y el intercambio de datos con fines altruistas.

¿A qué datos aplica? Legitimación para el tratamiento de los datos protegidos en poder de organismos del sector público

En el sector público están protegidos:

• Los datos comerciales confidenciales, como secretos comerciales o conocimientos técnicos.
• Los datos estadísticamente confidenciales.
• Los datos protegidos por el derecho de propiedad intelectual de terceros.
• Los datos personales, en la medida en que dichos datos no entren en el ámbito de aplicación de la Directiva sobre datos abiertos cuando se garantice su anonimización irreversible y no se trate de categorías especiales de datos.

Debe subrayarse un punto de partida esencial: en lo que respecta a los datos personales, se aplican además el Reglamento General de Protección de Datos (RGPD) y las normas sobre la privacidad y las comunicaciones electrónicas (Directiva 2002/58/CE). Esto implica que, en caso de colisión entre ellas y la DGA, prevalecerán las primeras.

Por otra parte, la DGA no crea un derecho de reutilización ni una nueva base jurídica en el sentido del RGPD para la reutilización de datos personales. Esto significa que el Derecho del Estado miembro o de la Unión determina si una base de datos o un registro específico que contenga datos protegidos está abierto a la reutilización en general. Cuando esta reutilización sí esté permitida, deberá llevarse a cabo de conformidad con las condiciones establecidas en el Capítulo I de la DGA.

Finalmente quedan excluidos del ámbito de la DGA:

• Datos en posesión de empresas públicas, museos, escuelas y universidades.
• Datos protegidos por razones de seguridad pública, defensa o seguridad nacional.
• Datos que posean los organismos del sector público para fines distintos del desempeño de sus funciones públicas definidas.
• Intercambio de datos entre investigadores con fines de investigación científica no comercial.

Condiciones para la reutilización de los datos

Puede señalarse que en el ámbito de la reutilización de datos del sector público:

▪ La DGA establece normas para la reutilización de datos protegidos, como datos personales, comerciales confidenciales o datos estadísticamente confidenciales.

▪ No crea un derecho general de reutilización, sino que establece condiciones cuando la legislación nacional o de la UE permite dicha reutilización.

▪ Las condiciones de acceso deben ser transparentes, proporcionadas y objetivas, y no deben utilizarse para restringir la competencia. La norma ordena que se promuevan el acceso a los datos por parte de las pymes y las empresas emergentes, y la investigación científica. Se prohíben los acuerdos de exclusividad para la reutilización, excepto en casos específicos de interés público y por un período limitado.

▪ Atribuye a los organismos del sector público el deber de asegurar la preservación de la naturaleza protegida de los datos. Para ello será indispensable el despliegue de metodologías y tecnologías de intermediación. En ellas puede jugar un papel clave, la anonimización y el acceso a través de entornos de tratamiento seguros (Secure processing environments o SPE por sus siglas en inglés). La primera es un factor de eliminación del riesgo, mientras que los SPE pueden definir un ecosistema de tratamiento que ofrezca una oferta integral de servicios a los reutilizadores, desde la catalogación y preparación de los conjuntos de datos hasta su análisis. La Agencia Española de Protección de Datos ha publicado una Aproximación a los espacios de datos desde la perspectiva del RGPD que incluye recomendaciones y metodologías en este ámbito.

▪ Sobre los reutilizadores recaen obligaciones de confidencialidad y no reidentificación de los interesados. En caso de reidentificación de datos personales, el reutilizador debe informar al organismo del sector público y pueden existir obligaciones de notificación de violaciones de seguridad.

▪ En la medida en la que la relación se establece directamente entre el reutilizador y el organismo del sector público pueden existir supuestos en los que éste último deba prestar soporte al primero para el cumplimiento de ciertos deberes:

• Para obtener, si fuera necesario, el consentimiento de las personas interesadas para el tratamiento de los datos personales.
• En caso de utilización no autorizada de datos no personales, el reutilizador deberá informar a las personas jurídicas afectadas. El organismo del sector público que concedió inicialmente el permiso de reutilización podrá prestarle soporte si éste fuera necesario.

▪ Las transferencias internacionales de datos personales se rigen por el RGPD. Para las transferencias internacionales de datos no personales, se requiere que el reutilizador informe al organismo del sector público y se comprometa contractualmente a garantizar la protección de los datos. No obstante, es una cuestión abierta, ya que al igual que sucede en el RGPD, la Comisión Europea está facultada para:

1. Proponer cláusulas contractuales tipo que los organismos del sector público puedan utilizar en sus contratos de transferencia con reutilizadores.

2. Cuando un gran número de solicitudes de reutilización procedentes de países concretos lo justifiquen, adoptar «decisiones de equivalencia» por las que se designe a estos terceros países como proveedores de un nivel de protección de los secretos comerciales o de la propiedad intelectual que pueda considerarse equivalente al previsto en la UE.

3. Adoptar las condiciones que deben aplicarse a las transferencias de datos no personales muy sensibles, como por ejemplo datos sanitarios. En los casos en que la transferencia de dichos datos a terceros países suponga un riesgo para los objetivos de política pública de la UE (en este ejemplo, la salud pública) y con el fin de ayudar a los organismos del sector público que concedan permisos de reutilización, la Comisión establecerá condiciones adicionales que deberán cumplirse antes de que dichos datos puedan transferirse a un tercer país.

▪ Los organismos del sector público pueden cobrar tasas por permitir la reutilización. La estrategia de la DGA se orienta a la sostenibilidad del sistema, ya que las tasas solo deben cubrir los costes derivados de la puesta a disposición de los datos para su reutilización, como los costes de anonimización o de proporcionar un entorno de tratamiento seguro. Esto incluiría los costes de tramitación de las solicitudes de reutilización. Los Estados miembros deben publicar una descripción de las principales categorías de costes y de las normas utilizadas para su imputación.

▪ Se reconoce a las personas físicas o jurídicas directamente afectadas por una decisión de reutilización adoptada por un organismo del sector público el derecho a presentar una reclamación o a interponer un recurso judicial en el Estado miembro de dicho organismo del sector público.

Soporte organizativo

Es perfectamente posible que los organismos del sector público que planteen servicios de intermediación se multipliquen. Se trata de un entorno complejo que requerirá de soporte técnico y jurídico, apoyo y coordinación.

Para ello, los Estados miembros deben designar uno o varios organismos competentes cuya función sea apoyar a los organismos del sector público que concedan la reutilización. Los organismos competentes dispondrán de los recursos jurídicos, financieros, técnicos y humanos adecuados para llevar a cabo las tareas que se les asignen, incluidos los conocimientos técnicos necesarios. No son organismos de supervisión, no ejercen poderes públicos y, por ello, la DGA no establece requisitos específicos en cuanto a su estatuto o forma jurídica. Además, se puede atribuir al organismo competente el mandato de permitir la reutilización por sí mismo.

Finalmente, los Estados deben crear un Punto de información único o ventanilla única. A este Punto le corresponderá transmitir consultas y solicitudes a los organismos pertinentes del sector público y mantener una lista de activos con una visión general de los recursos de datos disponibles (metadatos). El punto único de información podrá conectarse a puntos de información locales, regionales o sectoriales cuando existan. A escala de la UE, la Comisión creó el Registro Europeo de Datos Protegidos en poder del sector público (ERPD), un registro que permite buscar la información recopilada por los puntos únicos de información nacionales con el fin de facilitar aún más la reutilización de datos en el mercado interior y fuera de él.

Los Reglamentos de la UE son normas cuya implementación resulta ciertamente compleja. Por ello se requiere una especial proactividad que contribuya a su correcto entendimiento e implementación. La Guía de la Unión Europea para el despliegue de la Data Governance Act constituye un primer instrumento para ello y permitirá una mayor comprensión de los objetivos y posibilidades que ofrece la DGA.

En este episodio vamos a hablar de la inteligencia artificial y sus retos, tomando como base el Reglamento Europeo de Inteligencia Artificial que entró en vigor este año. Quédate para conocer los retos oportunidades y novedades del sector de la mano de dos expertos en la materia:

• Ricard Martínez, profesor de derecho constitucional de la Universitat de València en la que dirige la Cátedra de Privacidad y Transformación Digital Microsoft Universidad de Valencia.
• Carmen Torrijos, lingüista computacional, experta en IA aplicada al lenguaje y profesora de minería de texto en la Universidad Carlos III.

Escuchar el pódcast completo

Resumen de la entrevista

1. Está claro que la inteligencia artificial está en continua evolución. Para entrar en materia, me gustaría que nos contarais ¿cuáles son los últimos avances en la IA?

Carmen Torrijos: Surgen muchas aplicaciones nuevas. Por ejemplo, este fin de semana pasado ha tenido mucho eco una IA de generación de imagen en X, en Twitter, no sé si lo habéis seguido, que se llama Grok. Ha tenido bastante impacto, no porque aporte nada nuevo, ya que la generación de imagen es algo que estamos haciendo desde diciembre de 2023. Pero esta es una IA que tiene menos censura, es decir, teníamos hasta ahora muchas dificultades con los sistemas generalistas para hacer imágenes que tuvieran caras de famosos o tuvieran situaciones determinadas y estaba muy vigilado desde cualquier herramienta. Grok lo que hace es levantar todo eso y que cualquiera pueda hacer cualquier tipo de imagen con cualquier persona famosa o con cualquier cara conocida. Es una moda seguramente muy pasajera. Haremos imágenes durante un tiempo y luego se nos pasará.

Y después tenemos también sistemas de creación de podcast automáticos, como Notebook LM. Ya llevamos un par de meses viéndolos y ha sido realmente una de las cosas que a mí, en los últimos meses, me ha sorprendido de verdad. Porque ya parece que todos son innovaciones incrementales: sobre lo que ya tenemos, nos dan algo mejor. Pero esto es algo realmente nuevo que sorprende. Tú subes un PDF y te puede generar un podcast de dos personas hablando de manera totalmente natural, totalmente realista, sobre ese PDF. Es algo que puede hacer Notebook LM que es de Google.

2. El Reglamento Europeo de Inteligencia Artificial es la primera norma jurídica del mundo sobre IA, ¿con qué objetivos se publica este documento que es ya un marco referencial a nivel internacional?

Ricard Martínez:  El Reglamento surge por algo que está implícito en lo que Carmen nos ha contado. Todo esto que Carmen cuenta es porque nos hemos abierto a la misma carrera desenfrenada a la que nos abrimos con la aparición de las redes sociales. Porque cuando esto pasa, no es inocente, no es que las compañías sean generosas, es que las compañías están compitiendo por nuestros datos. Nos gamifican, nos animan a jugar, nos animan a proporcionarles información, por eso se abren. No se abren porque sean generosas, no se abren porque quieran trabajar para el bien común o para la humanidad. Se abren porque les estamos haciendo el trabajo. ¿Qué es lo que la Unión Europea quiere frenar? Lo que aprendimos con las redes sociales. La Unión Europea plantea dos grandes enfoques que voy a tratar de explicar de modo muy sucinto. El primer enfoque es un enfoque de riesgo sistémico. La Unión Europea ha dicho: “no voy a tolerar herramientas de inteligencia artificial que puedan poner en peligro el sistema democrático, es decir, el estado de derecho y mi modo de funcionamiento o que puedan vulnerar gravemente derechos fundamentales”. Eso es una línea roja.

El segundo enfoque es un enfoque de orientación a producto. Una IA es un producto. Cuando usted fabrica un coche, sigue unas reglas que gestionan cómo produce ese coche, y ese coche llega al mercado cuando es seguro, cuando tiene todas las especificaciones. Ese es el segundo gran enfoque del Reglamento. El Reglamento dice que puede usted estar desarrollando una tecnología porque usted está investigando y casi le dejo hacer lo que quiera. Ahora, si esta tecnología va a llegar al mercado, usted catalogará el riesgo. Si el riesgo es bajo o leve, usted va a poder hacer muchas cosas y, prácticamente, con transparencia y códigos de conducta, se lo voy a dar por bueno. Pero si es un riesgo alto, usted va a tener que seguir un proceso de diseño estandarizado, y va a necesitar que un órgano notificado verifique esa tecnología, se asegure que en su documentación usted ha cumplido lo que tiene que cumplir, y entonces le darán un sello CE. Y no acabamos aquí, porque va a haber vigilancia postcomercial. De modo que, a lo largo del ciclo de vida del producto, usted debe garantizar que esto funciona bien y que se ajusta a la norma.

Por otra parte, se establece un control férreo respecto de los grandes modelos de datos, no solo LLM, también puede ser de imagen o de otro tipo de información, cuando crea que pueden plantear riesgos sistémicos.

En ese caso, hay un control muy directo por parte de la Comisión. Por tanto, en el fondo, lo que están diciendo es: "respeten los derechos, garanticen la democracia, produzcan la tecnología de modo ordenado de acuerdo con ciertas especificaciones".

Carmen Torrijos:  Sí, en cuanto a los objetivos está claro. Me he quedado con lo último que decía Ricard sobre producir tecnología de acuerdo a esta Regulación. Tenemos este mantra de que Estados Unidos hace cosas, Europa las regula y China las copia. A mí no me gusta nada generalizar así. Pero es verdad que Europa es pionera en materia de legislación y seríamos mucho más fuertes si pudiéramos producir tecnología acorde a los estándares regulatorios que estamos poniendo. Hoy por hoy todavía no podemos, quizás es una cuestión de darnos tiempo, pero creo que esa es la clave de la soberanía tecnológica en Europa.

3. Para poder producir esa tecnología, los sistemas de IA necesitan datos para entrenar sus modelos. ¿Qué criterios deberían cumplir los datos para poder entrenar correctamente un sistema de IA? ¿Los conjuntos de datos abiertos podrían ser una fuente? ¿De qué manera?

Carmen Torrijos: Los datos con los que alimentamos la IA son el punto de mayor conflicto. ¿Podemos entrenar con cualquier conjunto de datos incluso aunque estén disponibles? No vamos a hablar de datos abiertos, sino de datos disponibles.

Datos abiertos es, por ejemplo, la base de todos los modelos de lenguaje, y todo el mundo esto lo sabe, que es Wikipedia. Wikipedia es un ejemplo ideal para entrenar, porque es abierta, está optimizado para su uso computacional, es descargable, es muy fácil de usar, hay muchísimo lenguaje, por ejemplo, para entrenar modelos de lenguaje, y hay muchísimo conocimiento del mundo. Con lo cual es el conjunto de datos ideal para entrenar un modelo de IA. Y Wikipedia está en abierto, está disponible, es de todos y es para todos, se puede utilizar.

Ahora bien, ¿todos los conjuntos de datos que hay disponibles en Internet se pueden utilizar para entrenar sistemas de IA? Esa es un poco la duda. Porque el hecho de que algo esté publicado en Internet no quiere decir que sea público, de uso público, aunque tú puedas cogerlo y entrenar un sistema y empezar a generar lucro a partir de ese sistema. Tenía unos derechos de autor, una autoría y propiedad intelectual. Ese yo creo que es el conflicto más grave que tenemos ahora mismo en IA generativa porque utiliza contenidos para inspirarse y crear. Y ahí poco a poco Europa está dando pasitos. Por ejemplo, el Ministerio de Cultura ha lanzado una iniciativa para empezar a ver cómo podemos crear contenidos, conjuntos de datos licenciados, que permitan entrenar la IA de una manera legal, ética y con respecto a los derechos de propiedad intelectual de los autores.

Todo esto está generando muchísima fricción. Porque si seguimos así, nos ponemos en contra a muchos ilustradores, traductores, escritores, etc. (todos los creadores que trabajan con el contenido), porque no van a querer que se desarrolle esta tecnología a costa de sus contenidos. De alguna manera hay que encontrar el equilibrio en la regulación y en la innovación para que las dos cosas ocurran. Desde los grandes sistemas tecnológicos que se están desarrollando, sobre todo en Estados Unidos, se repite una idea que es que solo con contenidos licenciados, con conjuntos de datos legales que están libres de propiedad intelectual, o que se ha pagado los rendimientos necesarios por su propiedad intelectual, no se puede llegar al nivel de calidad de las IA's que tenemos ahora. Es decir, solamente con conjuntos de datos legales no hubiéramos tenido ChatGPT al nivel que está el ChatGPT.

Eso no está escrito en piedra y no tiene por qué ser así. Tenemos que seguir investigando, o sea, tenemos que seguir viendo cómo podemos lograr una tecnología de ese nivel, pero que cumpla con la regulación. Porque lo que han hecho en Estados Unidos, lo que ha hecho GPT-4, los grandes modelos del lenguaje, los grandes modelos de generación de imagen, es enseñarnos el camino. Esto es hasta dónde podemos llegar. Pero lo habéis hecho cogiendo contenido que no es vuestro, que no era lícito coger. Tenemos que conseguir volver a ese nivel de calidad, volver a ese nivel de rendimiento de los modelos, respetando la propiedad intelectual del contenido. Y eso es un papel que yo creo que corresponde principalmente a Europa

4. Otra de las cuestiones que le preocupa a la ciudadanía respecto al rápido desarrollo de la IA es el tratamiento de los datos personales. ¿Cómo deberían protegerse y qué condiciones establece el reglamento europeo para ello?

Ricard Martínez: Hay un conjunto de conductas que se han prohibido esencialmente para garantizar los derechos fundamentales de las personas. Pero no es la única medida. Yo le concedo muchísima importancia a un artículo en la norma al que seguramente no le vamos a dar muchas vueltas, pero para mí es clave. Hay un artículo, el cuarto, que en inglés se ha titulado AI Literacy, y en castellano “Formación en inteligencia artificial” que dice que cualquier sujeto que está interviniendo en la cadena de valor tiene que haber sido adecuadamente formado. Tiene que conocer de qué va esto, tiene que conocer cuál es el estado del arte, tiene que conocer cuáles son las implicaciones de la tecnología que va a desarrollar o que va a desplegar. Le concedo mucho valor porque significa incorporar en toda la cadena de valor (desarrollador, comercializador, importador, compañía que despliegue un modelo para su uso, etc.) un conjunto de valores que suponen lo que en inglés se llama accountability, responsabilidad proactiva, por defecto. Esto se puede traducir en un elemento que es muy sencillo, sobre el que se habla hace dos mil años en el mundo del derecho, que es el ‘no hacer daño’, es el principio de no maleficencia.

Con algo tan sencillo como eso, "no haga usted daño a los demás, actúe de buena y garantice sus derechos",  no se deberían producir efectos perversos o efectos dañosos, lo cual no significa que no pueda suceder. Y precisamente eso lo dice el Reglamento muy particularmente cuando se refiere a los sistemas de riesgo alto, pero es aplicable a todos los sistemas. El Reglamento te dice que tienes que garantizar los procesos de cumplimiento y las garantías durante todo el ciclo de vida del sistema. De ahí que sea tan importante la robustez, la resiliencia y el disponer de planes de contingencia que te permiten revertir, paralizar, pasar a control humano, cambiar el modelo de uso cuando se produce algún incidente.

Por tanto, todo el ecosistema está dirigido a ese objetivo de no lesionar derechos, no causar perjuicios. Y hay un elemento que ya no depende de nosotros, depende de las políticas públicas. La IA no solo va a lesionar derechos, va a cambiar el modo en el que entendemos el mundo. Si no hay políticas públicas en el sector educativo que aseguren que nuestros niños y niñas desarrollen capacidades de pensamiento computacional y de ser capaces de tener una relación con una interfaz-máquina, su acceso al mercado de trabajo se va a ver significativamente afectado. Del mismo modo, si no aseguramos la formación continua de los trabajadores en activo y también las políticas públicas de aquellos sectores condenados a desaparecer.

Carmen Torrijos: Me parece muy interesante el enfoque de Ricard de formar es proteger. Formar a la gente, informar a la gente, que la gente tenga capacitación en IA, no solamente la gente que está en la cadena de valor, sino todo el mundo. Cuanto más formas y capacitas, más estás protegiendo a las personas.

Cuando salió la ley, hubo cierta decepción en los entornos IA y sobre todo en los entornos creativos. Porque estábamos en plena efervescencia de la IA generativa y no se estaba regulando apenas la IA generativa, pero se estaban regulando otras cosas que dábamos por hecho que en Europa no iban a pasar, pero que hay que regular para que no puedan pasar. Por ejemplo, la vigilancia biométrica: que Amazon no pueda leerte la cara para decidir si estás más triste ese día y venderte más cosas o sacarte más publicidad o una publicidad determinada. Digo Amazon, pero puede ser cualquier plataforma. Eso, por ejemplo, en Europa no se va a poder hacer porque está prohibido desde la ley, es un uso inaceptable: la vigilancia biométrica.

Otro ejemplo es la puntuación social, el social scoring que vemos que pasa en China, que se dan puntos a los ciudadanos y se accede a servicios públicos a partir de estos puntos. Eso tampoco se va a poder hacer. Y hay que contemplar también esta parte de la ley, porque damos muy por hecho que esto no nos va a ocurrir, pero cuando no lo regulas es cuando ocurre. China tiene instalados 600 millones de cámaras de TRF, de tecnología de reconocimiento facial, que te reconocen con tu DNI. Eso no va a pasar en Europa porque no se puede, porque también es vigilancia biométrica. Entonces hay que entender que la ley quizá parece que va más despacio en lo que ahora nos tiene embelesados que es la IA generativa, pero se ha dedicado a tratar puntos muy importantes que había que cubrir para proteger a las personas. Para no perder derechos fundamentales que ya teníamos ganados.

Por último, la ética tiene un componente muy incómodo, que nadie quiere mirar, que es que a veces hay que revocar. A veces hay que quitar algo que está en funcionamiento, incluso que está dando un beneficio, porque está incurriendo en algún tipo de discriminación, o porque está trayendo algún tipo de consecuencia negativa que viola a los derechos de un colectivo, de una minoría o de alguien vulnerable. Y eso es muy complicado. Cuando ya nos hemos acostumbrado a tener una IA funcionando en determinado contexto, que puede ser incluso un contexto público, parar y decir que esto está discriminando a personas, entonces este sistema no puede seguir en producción y hay que quitarlo. Ese punto es muy complicado, es muy incómodo y cuando hablamos de ética, que hablamos muy fácil de ética, hay que pensar también en cuántos sistemas vamos a tener que parar y revisar antes de poder volver a poner en funcionamiento, por muy fácil que nos hagan la vida o por muy innovadores que parezcan.

5. En este sentido, teniendo en cuenta todo lo que recoge el Reglamento, algunas empresas españolas, por ejemplo, tendrán que adaptarse a este nuevo marco. ¿Qué deberían estar haciendo ya las organizaciones para prepararse? ¿Qué deberían revisar las empresas españolas teniendo en cuenta el reglamento europeo?

Ricard Martínez: Esto es muy importante, porque hay un nivel corporativo empresarial de altas capacidades que a mí no me preocupa porque estas empresas entienden que estamos hablando de una inversión. Y del mismo modo que invirtieron en un modelo basado en procesos que integraba el compliance desde el diseño para protección de datos. El siguiente salto, que es hacer exactamente lo mismo con inteligencia artificial, no diré que carece de importancia, porque posee una importancia relevante, pero digamos que es recorrer un camino que ya se ensayó. Estas empresas ya tienen unidades de compliance, ya tienen asesores, y ya tienen unas rutinas en las que se puede integrar como una parte más del proceso el marco de referencia de la normativa de inteligencia artificial. Al final lo que va a hacer es crecer en un sentido el análisis de riesgos. Seguramente va a obligar a modular los procesos de diseño y también las propias fases de diseño, es decir, mientras que en un diseño de software prácticamente hablamos de pasar de un modelo no funcional a picar código, aquí hay una serie de labores de enriquecimiento, anotación, validación de los conjuntos de datos, prototipado que exigen seguramente más esfuerzo, pero son rutinas que se pueden estandarizar.

Mi experiencia en proyectos europeos en los que hemos trabajado con clientes, es decir, con las PYMES, que esperan que la IA sea plug and play, lo que hemos apreciado es una enorme falta de capacitación. Lo primero que deberías preguntarte no es si tu empresa necesita IA, sino si tu empresa está preparada para la IA. Es una pregunta previa y bastante más relevante. Oiga, usted cree que puede dar un salto a la IA, que puede contratar un determinado tipo de servicios, y nos estamos dando cuenta que es que usted ni siquiera cumple bien la norma de protección de datos.

Hay una cosa, una entidad que se llama Agencia Española de Inteligencia Artificial, AESIA y hay un Ministerio de Transformación Digital, y si no hay políticas públicas de acompañamiento, podemos incurrir en situaciones de riesgo. ¿Por qué? Porque yo tengo el enorme placer de formar en grados y posgrados a futuros emprendedores en inteligencia artificial. Cuando se enfrentan al marco ético y jurídico no diré que se quieren morir, pero se les cae el mundo encima. Porque no hay un soporte, no hay un acompañamiento, no hay recursos, o no los pueden ver, que no le supongan una ronda de inversión que no pueden soportar, o no hay modelos guiados que les ayuden de modo, no diré fácil, pero sí al menos usable.

Por lo tanto, creo que hay un reto sustancial en las políticas públicas, porque si no se da esa combinación, las únicas empresas que podrán competir son las que ya tienen una masa crítica, una capacidad inversora y un capital acumulado que les permite cumplir con la norma. Esta situación podría conducir a un resultado contraproducente.

Queremos recuperar la soberanía digital europea, pero si no hay políticas públicas de inversión, los únicos que van a poder cumplir la norma europea son las empresas de otros países.

Carmen Torrijos: No porque sean de otros países sino porque son más grandes.

Ricard Martínez: Sí, por no citar países.

6. Hemos hablado de retos, pero también es importante destacar oportunidades. ¿Qué aspectos positivos podríais destacar a raíz de esta regulación reciente?

Ricard Martínez: Yo trabajo en la construcción, con fondos europeos, de Cancer Image EU que pretende ser una infraestructura digital para la imagen de cáncer. En estos momentos, hablamos de un partenariado que engloba a 14 países, 76 organizaciones, camino de 93, para generar una base de datos de imagen médica con 25 millones de imágenes  de cáncer con información clínica asociada para el desarrollo de inteligencia artificial. La infraestructura se está construyendo, todavía no existe, y aún así, en el Hospital La Fe, en Valencia, ya se está investigando con mamografías de mujeres que se han practicado el screening bienal y que después han desplegado cáncer, para ver si es capaz de entrenar un modelo de análisis de imagen que sea capaz de reconocer preventivamente esa manchita que el oncólogo o el radiólogo no vieron y que después acabó siendo un cáncer. ¿Significa que te van a poner quimioterapia cinco minutos después? No. Significa que te van a monitorizar, que van a tener una capacidad de reacción temprana. Y que el sistema de salud se va a ahorrar doscientos mil euros. Por mencionar alguna oportunidad.

Por otra parte, las oportunidades hay que buscarlas, además, en otras normas. No solo en el Reglamento de Inteligencia Artificial. Hay que irse a Data Governance Act, que quiere contrarrestar el monopolio de datos que tienen las empresas norteamericanas con una compartición de datos desde el sector público, privado y desde la propia ciudadanía. Con Data Act, que pretende empoderar a los ciudadanos para que puedan recuperar sus datos y compartirlos mediante consentimiento. Y finalmente con el European Health Data Space que quiere crear un ecosistema de datos de salud para promover la innovación, la investigación y el emprendimiento. Ese ecosistema de espacios de datos es el que debería ser un enorme generador de espacios de oportunidad.

Y además, yo no sé si lo van a conseguir o no, pero pretende ser coherente con nuestro ecosistema empresarial. Es decir, un ecosistema de pequeña y mediana empresa que no tiene altas capacidades en la generación de datos y lo que le vamos a hacer es a construirles el campo. Les vamos a crear los espacios de datos, les vamos a crear los intermediarios, los servicios de intermediación y esperemos que ese ecosistema en su conjunto permita que el talento europeo emerja desde la pequeña y media empresa. ¿Que se vaya a conseguir o no? No lo sé, pero el escenario de oportunidad parece muy interesante.

Carmen Torrijos: Si preguntas por oportunidades, oportunidades todas. No solamente la inteligencia artificial, sino todo el avance tecnológico, es un campo tan grande que puede traer oportunidades de todo tipo. Lo que hay que hacer es bajar las barreras, que ese es el problema que tenemos. Y barreras las tenemos también de muchos tipos, porque tenemos barreras técnicas, de talento, salariales, disciplinares, de género, generacionales, etc.

Tenemos que concentrar las energías en bajar esas barreras, y luego también creo que seguimos viniendo del mundo analógico y tenemos poca conciencia global de que tanto lo digital como todo lo que afecta a la IA y a los datos es un fenómeno global. No sirve de nada mantenerlo todo en lo local, o en lo nacional, o ni siquiera a nivel europeo, sino que es un fenómeno global. Los grandes problemas que tenemos vienen porque tenemos empresas tecnológicas que se desarrollan en Estados Unidos trabajando en Europa con datos de ciudadanos europeos. Ahí se genera muchísima fricción. Todo lo que pueda llevar a algo más global va a ir siempre en favor de la innovación y va a ir siempre en favor de la tecnología. Lo primero es levantar las barreras dentro de Europa. Esa es una parte muy positiva de la ley.

7. Llegados a este punto, nos gustaría realizar un repaso sobre el estado en el que nos encontramos y las perspectivas de futuro. ¿Cómo veis el futuro de la inteligencia artificial en Europa?

Ricard Martínez: Yo tengo dos visiones: una positiva y una negativa. Y las dos vienen de mi experiencia en protección de datos. Si ahora que tenemos un marco normativo, las autoridades reguladoras, me refiero desde inteligencia artificial y desde protección de datos, no son capaces de encontrar soluciones funcionales y aterrizadas, y generan políticas públicas desde arriba hacia abajo y desde una excelencia que no se corresponde con las capacidades y las posibilidades de la investigación -me refiero no solo a la investigación empresarial, también a la universitaria-, veo el futuro muy negro. Si por el contrario, entendemos de modo dinámico la regulación con políticas públicas de soporte y acompañamiento que generen las capacidades para esa excelencia, veo un futuro prometedor porque en principio lo que haremos será competir en el mercado con las mismas soluciones que los demás, pero responsive: seguras, responsables y confiables.

Carmen: Sí, yo estoy muy de acuerdo. Yo introduzco en eso la variable tiempo, ¿no? Porque creo que hay que tener mucho cuidado en no generar más desigualdad de la que ya tenemos. Más desigualdad entre empresas, más desigualdad entre la ciudadanía. Si tenemos cuidado con eso, que se dice fácil, pero se hace difícil, yo creo que el futuro puede ser brillante, pero no lo va a ser de manera inmediata. Es decir, vamos a tener que pasar por una época más oscura de adaptación al cambio. Igual que muchos temas de la digitalización ya no nos son ajenos, ya están trabajados, ya hemos pasado por ellos y ya los hemos regulado, la inteligencia artificial necesita su tiempo también.

Llevamos muy pocos años de IA, muy pocos años de IA generativa. De hecho, dos años no es nada en un cambio tecnológico a nivel mundial. Y tenemos que dar tiempo a las leyes y tenemos también que dar tiempo a que ocurran cosas. Por ejemplo, pongo un ejemplo muy evidente, la denuncia del New York Times a Microsoft y a OpenAI no se ha resuelto todavía. Llevamos un año, se interpuso en diciembre de 2023, el New York Times se queja de que han entrenado con sus contenidos los sistemas de IA y en un año no se ha conseguido llegar a nada en ese proceso. Los procesos judiciales son muy lentos. Necesitamos que ocurran más cosas. Y que se resuelvan más procesos de este tipo para tener precedentes y para tener madurez como sociedad en lo que está ocurriendo, y nos falta mucho. Es como que no ha pasado casi nada. Entonces, la variable tiempo creo que es importante y creo que, aunque al principio tengamos un futuro más negro, como dice Ricard, creo que a largo plazo, si mantenemos claros los límites, podemos llegar a algo brillante.

Clips de la entrevista

Este episodio se centra en el gobierno del dato y en explicar por qué es importante contar con normas, políticas y procesos que permitan asegurar que los datos sean correctos, fiables, seguros y útiles. Para ello, analizamos la Ordenanza Tipo sobre Gobierno del Dato de la Federación Española de Municipios y Provincias, conocida como la FEMP, y su aplicación en un organismo público como es el Ayuntamiento de Zaragoza. De ello se encargarán los siguientes invitados:

• Roberto Magro Pedroviejo, Coordinador del Grupo de Trabajo de Datos Abiertos de la Red de Entidades Locales por la Transparencia y la participación Ciudadana de la Federación Española de Municipios y Provincias y funcionario público del Ayuntamiento de Alcobendas.
• María Jesús Fernández Ruiz, Jefa de la Oficina Técnica de Transparencia y Gobierno Abierto del Ayuntamiento de Zaragoza.

Escuchar el pódcast completo

Resumen de la entrevista

1. ¿Qué es el gobierno del dato?

Roberto Magro Pedroviejo: Nosotros, en el ámbito de las Administraciones Públicas, definimos el gobierno del dato como un mecanismo organizativo y técnico que aborda de forma integral las cuestiones relativas al uso de los datos en nuestra organización. Abarca todo el ciclo de vida de los datos, es decir, desde su creación hasta su archivo o incluso, si fuera necesario, su purga y destrucción. Su propósito es que los datos sean de calidad y estén disponibles para todos aquellos que los precisen: a veces, será solo la propia organización internamente, pero otras muchas veces será la ciudadanía en general, los reutilizadores, el ámbito universitario, etc. El gobierno del dato debe facilitar el derecho de acceso a los mismos. En definitiva, el gobierno del dato permite dar respuesta al objetivo de gestionar eficaz y eficientemente nuestra administración y conseguir mayor interoperabilidad entre todas las administraciones.

2. ¿Por qué es importante este concepto para un municipio?

María Jesús Fernández Ruiz: Porque hemos comprobado que, dentro de las organizaciones, tanto públicas como privadas, la obtención y la gestión de los datos muchas veces se realizan sin seguir criterios homogéneos, estándares o las técnicas adecuadas. Esto se traduce en una situación difícil y costosa, que se agrava cuando intentamos desarrollar un espacio de datos o desarrollar servicios relacionados con los datos. Por lo tanto, es necesario un paraguas que nos obligue a la gestión del dato, como ha comentado Roberto, eficaz y eficiente, siguiendo estándares y criterios homogéneos, lo que nos facilita la interoperabilidad.

3. Para dar respuesta a este reto, es necesario establecer una serie de directrices que ayuden a las administraciones locales a establecer un marco legal. Por ello se ha creado la Ordenanza Tipo sobre Gobierno del Dato de la FEMP. ¿Cómo fue el proceso de desarrollo de este documento de referencia?

Roberto Magro Pedroviejo: Dentro del Grupo de Datos Abiertos de la Red que se creó allá por el año 2017, una de las personas con la que hemos contado y que ha aportado muchísimas ideas, ha sido María Jesús, desde el Ayuntamiento de Zaragoza. Salíamos del COVID, justo en marzo de 2021, y recuerdo perfectamente la reunión que tuvimos en una sala que nos prestó el Ayuntamiento de Madrid en el Palacio de Cibeles. María Jesús estaba en Zaragoza y entró por videoconferencia a esa reunión. Ese día María Jesús, viendo qué cosas y qué trabajos podíamos abordar dentro de este grupo multidisciplinar, propuso crear una ordenanza tipo. La FEMP y la Red ya tenían experiencia en crear ordenanzas tipo para intentar mejorar, y sobre todo ayudar, a los municipios y entidades locales o diputaciones a que crearan normativas.

Empezamos a trabajar un equipo multidisciplinar, liderado por José Félix Muñoz Soro, de la Universidad de Zaragoza, que es la persona que ha coordinado el texto normativo que hemos publicado. Y unos meses más tarde, concretamente en enero de 2022, hicimos ya una quedada. Nos reunimos presencialmente en el Ayuntamiento de Zaragoza y ahí empezamos a fijar las bases de por qué la ordenanza tipo, qué tipo de articulado debía ser, qué tipo de estructura debía tener, etc. Y nos reunimos un equipo, como decíamos, multidisciplinar, en el que estaban expertos en gobernanza del dato y juristas de la Universidad de Zaragoza, personal de la Universidad Politécnica de Madrid, compañeras de la Universidad Politécnica de Valencia, profesionales del ámbito público local y periodistas expertos en datos abiertos.

El primer borrador se publicó en mayo/junio del año 2022. Además, se dispuso a consulta pública a través de la plataforma que tiene el Ayuntamiento de Zaragoza de Participación Ciudadana. Nos pusimos en contacto con unos 100 expertos de ámbito nacional y recibimos como unas 30 aportaciones de mejoras, de las cuales se incluyeron la mayoría, y que permitieron que a finales del año pasado tuviéramos ya el texto definitivo, que se pasó al área jurídica de la FEMP para validarlo. En febrero del año 2024 se publicó la normativa, que ya está dispuesta en la página web de la Red para su descarga de forma gratuita.

Quiero aprovechar esta oportunidad para agradecer el excelente trabajo realizado por todas las personas participantes en el equipo que desde sus respectivas ópticas han trabajado de forma desinteresada para crear este conocimiento y compartirlo con todas las administraciones públicas españolas.

4. ¿Cuáles son los beneficios que se esperaban de la ordenanza?

María Jesús Fernández Ruiz: Para mí, uno de los objetivos principales de la ordenanza, y creo que es un gran instrumento, es que recoge el ciclo completo de vida del dato. Se recoge desde que se genera el dato, cómo se gestiona el dato, cómo se facilita el dato, cómo se tiene que guardar la documentación asociada al dato, cómo se tienen que guardar los históricos, etc. Lo más importante es que establece unos criterios para gestionar el dato respetando todo su ciclo de vida.

La ordenanza también establece unos principios, que no son muchos, pero que son muy importantes y que nos van marcando, que nos hablan, por ejemplo, de la gobernanza efectiva del dato y nos describe lo importante que es establecer procesos a la hora de generar el dato, de gestionar el dato, de facilitar el dato, etc.

También es otro principio muy importante, que lo ha comentado Roberto, el tratamiento ético del dato. Es decir, la importancia de recoger la trazabilidad del dato, de ver por dónde se mueve el dato y de respetar los derechos de las personas físicas y jurídicas.

Otro principio muy importante y que genera mucho ruido en las instituciones es que hay que gestionar el dato desde la fase de diseño, la gestión del dato por defecto. Muchas veces, cuando empezamos a trabajar los datos con criterios de apertura, lo estamos ya haciendo a la mitad del ciclo de vida del dato o casi al final. Tenemos que diseñar la gestión del dato desde el principio, desde el origen. Esto nos ahorra muchísimos recursos, tanto humanos como económicos.

Otro tema importante para nosotros y que defendemos dentro de la ordenanza es que la administración tiene que estar orientada al dato. Tiene que ser una administración que va a diseñar sus políticas basada en la evidencia. Una administración que va a considerar el dato como un activo estratégico y por lo tanto facilitará los recursos que sean necesarios.

Y otro tema, que comentamos muchas veces también con Roberto, es la importancia de la cultura del dato. Cuando trabajamos y publicamos el dato, un dato que es interoperable, que es fácil de reutilizar, que se comprende, etc. no podemos detenernos ahí, sino que hay que hablar de la cultura del dato, que también viene recogida en la ordenanza. Es importante que difundamos qué es un dato, qué es un dato de calidad, cómo acceder al dato, cómo utilizar el dato. Es decir, cada vez que publiquemos un conjunto de datos, debemos plantearnos actuaciones relacionadas con la cultura del dato.

5. El Ayuntamiento el de Zaragoza ha sido pionero en la aplicación de esta ordenanza. ¿Cómo ha sido este proceso de implementación y qué retos os estáis encontrando?

María Jesús Fernández Ruiz: Este reto ha sido muy interesante y además nos ha ayudado a mejorar. Fue muy rápido al principio y ya en junio íbamos a presentar la ordenanza a lo que es el gobierno de la ciudad. Hay un proceso donde los diferentes partidos hacen votos particulares sobre la ordenanza y dicen “este punto me gusta”, “este punto me parece más interesante”, “este habría que modificarlo”, etc. Nuestra sorpresa es que hemos tenido más de 50 votos particulares a la ordenanza, después de haber pasado el proceso de consulta pública y de haber salido en todos los medios de comunicación, que también fue enriquecedor, y ha habido que contestar a estos votos. La verdad es que nos ha ayudado a mejorar y, en estos momentos, estamos esperando a que vaya a gobierno.

Cuando me dicen ¿cómo te sientes María Jesús? La respuesta es bien, vamos avanzando, porque gracias a esa ordenanza que está pendiente de aprobarse en gobierno del Ayuntamiento de Zaragoza, ya hemos sacado una serie de contratos. Uno que es importantísimo para nosotros: elaborar un inventario de datos y de fuentes de información de nuestra institución, que creemos que es el instrumento básico para gestionar el dato, saber qué datos tenemos, dónde se originan, qué trazabilidad tienen, etc. Por lo tanto, no hemos parado. Gracias a ese marco todavía no aprobado, nosotros hemos podido avanzar a base de contratos o algo que es básico en una institución: la definición de los profesionales que tienen que participar en la gestión del dato.

6. Mencionabas la necesidad de elaborar un inventario de conjuntos de datos y fuentes de información, ¿de qué tipo de conjuntos de datos estamos hablando y qué información descriptiva debe incluirse de cada uno?

Roberto Magro Pedroviejo: Hay un core, digamos un núcleo central, con una serie de conjuntos de datos que nosotros recomendamos en la propia ordenanza, haciendo referencia a otro trabajo que se hace en el grupo de datos abiertos, que es el de recomendar 80 conjuntos de datos que podríamos publicar en las administraciones públicas españolas. Ahí, además, se pone el foco en los conjuntos de datos de alto valor, los que más pueden beneficiar a la gestión municipal o pueden beneficiar aportando valor social y económico a la ciudadanía en general y al ámbito empresarial y los reutilizadores. Cualquier administración que quiera empezar a trabajar el tema de los conjuntos de datos y se pregunte por dónde empezar a publicar o gestionar datos, se tiene que centrar, sobre todo, bajo mi punto de vista, en tres apartados clave en una en una ciudad:

• Los datos de las personas, es decir, nuestro queridísimo padrón: quiénes son las personas que vive en nuestra ciudad, sus edades, sexo, direcciones postales, etc.
• Los datos urbanísticos y de territorio, es decir, dónde viven esas personas, cuál es la delimitación territorial que tiene el municipio, etc. Todo lo que tiene que ver con esos conjuntos de datos relacionados con las calles, los viales, incluso el alcantarillado, las vías públicas o el alumbrado, es necesario inventariarlo, conocer dónde están esos datos y tenerlos, como ya hemos dicho, actualizados, estructurados, accesibles, etc.
• Y, por último, todo lo que tiene que ver con cómo se gestiona la ciudad, por supuesto, con el ámbito tributario y presupuestario.

Es decir: el ámbito de las personas, el ámbito del territorio y el ámbito tributario. Eso es por lo que nosotros recomendamos empezar. Y al final ese inventario de conjuntos de datos lo que hace es describir cuáles son, dónde están, cómo están y será la primera base sobre la que empezar a construir el gobierno del dato.

María Jesús Fernández Ruiz: Otro tema que también es muy fundamental, que se recoge en la ordenanza, es definir los conjuntos de datos maestros. Simplemente una pequeña anécdota. A la hora de crear un espacio de datos espaciales, es básico el callejero, la cartografía base y el portalero. A la hora de reunirnos a trabajar, se creó una comisión técnica y consideramos que estos eran conjuntos de datos maestros del Ayuntamiento de Zaragoza. La calidad del dato viene determinada por un concepto que viene en la ordenanza, que es respetar la soberanía del dato: quien crea el dato es el soberano del dato y él es el responsable de la calidad del dato. Hay que respetar la soberanía y eso determina la calidad.

Entonces descubrimos que, en el Ayuntamiento de Zaragoza, teníamos cinco identificadores distintos de portal. Para mejorar esta situación, definimos un identificador único descriptivo que declaramos como dato maestro. De esta forma, todas las entidades municipales van a utilizar el mismo identificador, el mismo callejero, la misma cartografía, etc. y eso hará que todos los servicios relacionados con la ciudad sean interoperables.

7. ¿Qué mejoras adicionales creéis que podrían incluirse en futuras revisiones de la ordenanza?

Roberto Magro Pedroviejo: La propia ordenanza, al ser un instrumento normativo, está adaptada a la normativa actual española y europea. Es decir, habrá que estar muy atentos. -ya lo estamos- a todo lo que se está publicando sobre inteligencia artificial, espacios de datos y datos abiertos. La ordenanza se tendrá que ir adaptando porque es un marco normativo para dar cumplimiento a la legislación presente, pero si ese marco normativo cambia, haremos las modificaciones oportunas para su cumplimiento.

También me gustaría resaltar, dos cosas. Ha habido algún ayuntamiento más y una universidad, concretamente el Ayuntamiento de San Feliu de Llobregat y la Universidad de La Laguna, interesados en la ordenanza. Hemos recibido más peticiones para conocer un poquito más la ordenanza, pero lo más valientes han sido el Ayuntamiento de Zaragoza, que fueron los que la propusieron y son los que están sufriendo en sus carnes el proceso de publicación y aprobación definitiva. De esa experiencia que está obteniendo el propio Ayuntamiento de Zaragoza seguramente aprenderemos todos, sobre cómo abordarlo en cada una de las administraciones, porque nos copiamos y podemos ir más rápido. Yo creo que, poco a poco, una vez que Zaragoza publique la ordenanza, otros ayuntamientos y otras instituciones se irán sumando. Primero porque ayuda a organizar la casa por dentro. Ahora que estamos en un proceso de transformación digital que no es rápido, sino que es un proceso largo, este tipo de ordenanzas nos va a ayudar, sobre todo, a ordenar los datos que tenemos en la administración. Los datos y la gestión del gobierno de los datos nos van a poder ayudar a mejorar la gestión pública hacia dentro de la propia organización, pero sobre todo hacia los servicios que se prestan a la ciudadanía.

Y lo último que quería remarcar, y es muy importante también, es que, si los datos no son de calidad, no están actualizados y no están metadatados, poco haremos o nada en la administración desde el punto de vista de la inteligencia artificial, porque la inteligencia artificial se va a basar en los datos que tengamos y si no son correctos ni están actualizados, el resultado y las predicciones que nos pueda hacer la IA no nos van a servir para nada en la administración pública.

María Jesús Fernández Ruiz: Decir que es muy importante lo que acaba de decir Roberto sobre la inteligencia artificial y los datos de calidad. Y añadir dos cosas que estamos aprendiendo a la hora de implementar esta ordenanza. La primera sería la necesidad de definir procesos, es decir, la gestión eficiente de los datos se tiene que basar en procesos. Y otra cosa que yo creo que tendríamos que hablar, y hablaremos dentro de la FEMP, es la importancia de definir los roles de los diferentes profesionales que participan en la gestión del dato. Hablamos de gestor de los datos, de proveedor de los datos, proveedor tecnológico, etc. Si yo tuviera ahora la ordenanza, hablaría de esa definición de los roles que tienen que participar en una eficiente gestión de los datos. Es decir, procesos y profesionales.

Clips de la entrevista

Una de las principales exigencias que plantea la transformación digital del sector público se refiere a la existencia de unas condiciones óptimas de interoperabilidad a la hora de compartir datos. Se trata de una premisa esencial desde diversos puntos de vista, en particular por lo que se refiere a las actuaciones y trámites en los que participan varias entidades. En concreto, la interoperabilidad permite:

• La interconexión de los registros electrónicos de apoderamientos y de presentación de escritos ante las entidades públicas.
• El intercambio de datos, documentos y expedientes en el ejercicio de las respectivas competencias, lo que resulta esencial para la simplificación administrativa y, en especial, a la hora de garantizar el derecho a no presentar documentos que ya obren en poder de las Administraciones públicas;
• El desarrollo de servicios avanzados y personalizados basados en el intercambio de información, como puede ser el caso de la carpeta ciudadana.

La interoperabilidad también juega un papel destacado a la hora de facilitar la integración de diversas fuentes de datos abiertos de cara a su reutilización, de ahí que exista incluso una norma técnica específica a este respecto. Con ella se pretende fijar unas condiciones comunes que permitan “facilitar y garantizar el proceso de reutilización de la información de carácter público procedente de las Administraciones públicas, asegurando la persistencia de la información, el uso de formatos, así como los términos y condiciones de uso adecuados”.

La interoperabilidad en el ámbito europeo

La interoperabilidad es, por tanto, una premisa para facilitar las relaciones entre diversas entidades, lo que resulta de especial trascendencia en el contexto europeo si tenemos en cuenta que las relaciones jurídicas se darán con frecuencia entre Estados distintos. Se trata, por tanto, de un gran desafío para el impulso de servicios públicos digitales transfronterizos y, en consecuencia, para hacer efectivos derechos y valores esenciales en la Unión Europea vinculados a la libre circulación de personas.

Por esta razón se ha impulsado la aprobación de un marco normativo que facilite el intercambio de datos transfronterizo para garantizar el correcto funcionamiento de los servicios públicos digitales a nivel europeo. Se trata del Reglamento (UE) 2024/903 del Parlamento Europeo y del Consejo, de 13 de marzo de 2024, por el que se establecen medidas a fin de garantizar un alto nivel de interoperabilidad del sector público en toda la Unión (denominado Reglamento sobre la Europa Interoperable), normativa directamente aplicable con carácter general en toda la Unión Europea desde el día 12 de julio de 2024.

Con esta regulación se pretende ofrecer las condiciones adecuadas para facilitar la interoperabilidad transfronteriza, lo que requiere un planteamiento avanzado en el establecimiento y la gestión de los requisitos jurídicos, organizativos, semánticos y técnicos. En concreto, estarán afectados los servicios públicos digitales transeuropeos, esto es, aquellos que requieran interacción a través de las fronteras de los Estados miembros mediante sus sistemas de redes y de información. Este sería el caso, por ejemplo, del cambio de residencia para trabajar o estudiar en otro Estado miembro, el reconocimiento de títulos académicos o cualificaciones profesionales, el acceso a los datos de salud y Seguridad Social o, por lo que se refiere a las personas jurídicas, el intercambio de datos fiscales o de información necesaria para participar en un procedimiento de licitación en el ámbito de la contratación pública. En definitiva, “todos aquellos servicios que aplican el principio de «solo una vez» para acceder a datos transfronterizos e intercambiarlos”.

¿Cuáles son las principales medidas que contempla?

• Evaluación de interoperabilidad: con carácter previo a la adopción de decisiones sobre condiciones relativas a servicios públicos digitales transeuropeos por parte de las entidades de la Unión Europea o de los organismos del sector público de los Estados, el Reglamento les obliga a que lleven a cabo una evaluación de la interoperabilidad, si bien se trata de una medida que sólo será preceptiva a partir de enero de 2025. El resultado de dicha evaluación deberá ser publicado en un sitio web oficial en un formato legible por máquina que permita su traducción automática.
• Compartición de soluciones de interoperabilidad: las entidades antes referidas estarán obligadas a compartir las soluciones de interoperabilidad que den soporte a un servicio público digital transeuropeo, lo que incluye la documentación técnica y el código fuente, así como las referencias a las normas abiertas o especificaciones técnicas que se hubieren utilizado. No obstante, esta obligación tiene algunos límites, como sucede en aquellos supuestos en que existan derechos de propiedad intelectual a favor de terceros. Además, dichas soluciones serán objeto de publicación en el Portal de la Europa Interoperable, que habrá de sustituir al actual portal Joinup.
• Habilitación de sandboxes: una de las principales novedades consiste en la habilitación a los organismos públicos para que procedan a la creación de sandboxes o espacios controlados de pruebas de interoperabilidad que, en el caso de tratar datos de carácter personal, serán gestionados bajo la supervisión de la correspondiente autoridad de control competente para ello. Con esta figura se pretende fomentar la innovación y facilitar la cooperación desde las exigencias de la seguridad jurídica, impulsando a tal efecto el desarrollo de soluciones de interoperabilidad a partir de la mejor comprensión de las oportunidades y los obstáculos que puedan plantearse.
• Creación de un comité para la gobernanza: por lo que se refiere a la gobernanza, se contempla la creación de un comité compuesto por representantes de cada uno de los Estados y de la Comisión, a quien corresponderá su presidencia. Entre sus principales funciones se encuentran establecer los criterios para la evaluación de la interoperabilidad, facilitar la puesta en común de las soluciones de interoperabilidad, supervisar la coherencia de las mismas o desarrollar el Marco Europeo de Interoperabilidad, entre otras. Por su parte, los Estados miembros tendrán que designar al menos una autoridad competente para la aplicación del Reglamento antes del 12 de enero de 2025, que hará las funciones de punto de contacto único en caso de que existan varias. Sus principales funciones consistirán en coordinar la aplicación de la normativa, apoyar a los organismos públicos en la realización de la evaluación y, entre otras, fomentar la reutilización de soluciones de interoperabilidad.

El intercambio de datos entre los organismos públicos del conjunto de la Unión Europea y sus Estados miembros con plenas garantías jurídicas constituye una prioridad esencial para el eficaz ejercicio de sus competencias y, por tanto, para garantizar la eficacia en la realización de los trámites desde la perspectiva de la buena administración. El nuevo Reglamento sobre la Europea Interoperable supone un importante avance en el marco normativo a la hora de impulsar este objetivo, pero es necesario complementar la regulación con un cambio de paradigma en la práctica administrativa. A este respecto es imprescindible apostar decididamente por un modelo de gestión documental basada principalmente en datos, lo que además permite abordar de manera más sencilla el cumplimiento normativo de la regulación sobre protección de datos de carácter personal, resultando plenamente coherente con el planteamiento y las soluciones impulsadas por el Reglamento de Gobernanza de Datos a la hora de promover la reutilización de la información generada por las entidades públicas en el ejercicio de sus funciones.

Contenido elaborado por Julián Valero, catedrático de la Universidad de Murcia y Coordinador del Grupo de Investigación “Innovación, Derecho y Tecnología” (iDerTec). Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.

Los próximos días 11, 12 y 13 de noviembre se celebra en Granada una nueva edición de DATAfórum Justicia. La cita reunirá a más de 100 ponentes para debatir sobre temas relacionados con los sistemas digitales de justicia, la inteligencia artificial (IA) y el uso del dato en el ecosistema judicial.

El evento está organizado por el Ministerio de Presidencia, Justicia y Relaciones con las Cortes, con la colaboración de la Universidad de Granada, la Junta de Andalucía, el Ayuntamiento de Granada y la entidad Formación y Gestión de Granada.

A continuación, se resumen algunos de los aspectos más importantes de estas jornadas.

Una cita dirigida a un público amplio

Este foro anual está dirigido tanto a profesionales del sector público, como del privado, sin dejar de lado al público general, que quiera saber más sobre la transformación digital de la justicia en nuestro país.

El DATAfórum Justicia 2024 cuenta, además, con un itinerario específico dirigido a estudiantes, cuyo objetivo es proporcionar a los jóvenes herramientas y conocimientos de valor en el ámbito de la justicia y la tecnología. Para ello, contarán con ponencias específicas y se pondrá en marcha un DATAthon. Estas actividades están especialmente dirigidas a estudiantes de derecho, ciencias sociales en general, ingenierías informáticas o materias relacionadas con la transformación digital. Los asistentes podrán obtener hasta 2 créditos ECTS (European Credit Transfer and Accumulation System o, en español, Sistema Europeo de Transferencia y Acumulación de Créditos): uno por asistir a las jornadas y otro por participar en el DATAthon.

Los datos, protagonistas de la agenda

El Paraninfo de la Universidad de Granada acogerá a expertos provenientes de la administración, instituciones y empresas privadas, que contarán su experiencia haciendo hincapié en las nuevas tendencias del sector, los retos que hay por delante y las oportunidades de mejora.

Las jornadas comenzarán el lunes 11 de noviembre a las 9:00 horas, con la bienvenida a los alumnos y la presentación del DATAthon. La inauguración oficial, dirigida a todas las audiencias, será a las 11:35 horas y correrá a cargo de Manuel Olmedo Palacios, Secretario de Estado de Justicia, y Pedro Mercado Pacheco, Rector de la Universidad de Granada.

A partir de entonces se sucederán diversas charlas, debates, entrevistas, mesas redondas y conferencias, entre las que encontramos un gran número de temáticas relacionadas con los datos. Entre otras cuestiones, se profundizará en la gestión del dato, tanto en administraciones como en empresas. También se abordará el uso de los datos abiertos para prevenir desde bulos hasta suicidios o la violencia sexual.

Otro tema con gran protagonismo será las posibilidades de la inteligencia artificial para optimizar el sector, tocando aspectos como la automatización de la justicia, la realización de predicciones. Se incluirán ponencias de casos de uso concretos, como la utilización de IA para la identificación de personas fallecidas, sin dejar de lado cuestiones como la gobernanza de algoritmos.

El evento finalizará el miércoles 13 a las 17:00 horas con la clausura oficial. En esta ocasión, Félix Bolaños, Ministro de la Presidencia, Justicia y Relaciones con las Cortes, acompañará al Rector de la Universidad de Granada.

Puedes ver la agenda completa aquí.

Un Datathon para resolver los retos del sector a través de los datos

En paralelo a esta agenda, se celebrará un DATAthon en el que los participantes presentarán ideas y proyectos innovadores para mejorar la justicia en nuestra sociedad. Se trata de un concurso destinado a estudiantes, profesionales del ámbito legal e informático, grupos de investigación y startups.

Los participantes se dividirán en equipos multidisciplinares para proponer soluciones a una serie de retos, planteados por la organización, utilizando tecnologías orientadas a la ciencia de datos. Durante las dos primeras jornadas los participantes dispondrán de tiempo para investigar y desarrollar su solución original. En la tercera jornada, deberán presentar una propuesta a un jurado cualificado. Los premios se entregarán el último día, antes de la clausura y del vino español y concierto que darán final a la edición 2024 del DATAfórum Justicia.

En la edición de 2023 participaron 35 personas, divididas en 6 equipos que resolvieron dos casos prácticos con datos de carácter público y se otorgaron dos premios de 1.000 euros.

Cómo inscribirse

El plazo de inscripción al DATAfórum Justicia 2024 ya está abierto. Debe realizarse a través de la web del evento, indicando si se trata de público general, personal de la administración pública, profesionales del sector privado o medios de comunicación.

Para participar en el DATAthon es necesario registrarse también en el site dedicado al concurso.

La edición del año pasado, centrada en propuestas para aumentar la eficiencia y transparencia en los sistemas judiciales, fue un gran éxito, con más de 800 inscritos. Este año se espera también una gran afluencia de público, así que te animamos a reservar tu plaza lo antes posible. Se trata de una gran oportunidad para conocer de primera mano experiencias exitosas y poder intercambiar opiniones con expertos en el sector.