Legislación y justicia

El pasado 19 de noviembre, la Comisión Europea presentó la Estrategia Unión de Datos (Data Union Strategy), una hoja de ruta que busca consolidar un ecosistema europeo de datos robusto, seguro y competitivo. Esta estrategia se articula en torno a tres pilares fundamentales: ampliar el acceso a datos de calidad para la inteligencia artificial y la innovación, simplificar el marco normativo existente, y proteger la soberanía digital europea. En este post, explicaremos en detalle cada uno de estos pilares, así como el calendario de implementación del plan previsto para los próximos dos años.

Pilar 1: ampliar el acceso a datos de calidad para la IA y la innovación

El primer pilar de la estrategia se centra en garantizar que empresas, investigadores y administraciones públicas tengan acceso a datos de alta calidad que permitan desarrollar aplicaciones innovadoras, especialmente en el ámbito de la inteligencia artificial. Para ello, la Comisión propone una serie de iniciativas interconectadas que abarcan desde la creación de infraestructuras hasta el desarrollo de estándares y facilitadores técnicos. Como parte de este pilar se establecen una serie de acciones: la ampliación de espacios comunes europeos de datos, el desarrollo de los data labs, el impulso del Cloud and AI Development Act, la ampliación de activos de datos estratégicos y la elaboración de facilitadores para implementar estas medidas.

1.1 Ampliación de los Espacios Comunes Europeos de Datos (CEDS)

Los Espacios Comunes Europeos de Datos constituyen uno de los elementos centrales de esta estrategia:

• Inversión prevista: 100 millones de euros para su despliegue.

• Sectores prioritarios: salud, movilidad, energía, administración pública (legal) y medio ambiente.

• Interoperabilidad: se apuesta por SIMPL para la interoperabilidad entre espacios de datos con el apoyo del Centro Europeo de Competencia en Datos (DSSC, por sus siglas en inglés Data Spaces Support Center).

• Aplicaciones clave:

  • Espacio Europeo de Datos de Salud (EHDS): mención especial por su función como puente entre los sistemas de datos de salud y el desarrollo de la IA.

  • Nuevo Espacio de Datos de Defensa: para el desarrollo de sistemas de última generación, coordinado por la Agencia Europea de Defensa.

1.2 Laboratorios de datos (Data Labs): el nuevo ecosistema para conectar datos y desarrollo de IA

La estrategia plantea utiliza Data Labs como puntos de conexión entre el desarrollo de inteligencia artificial y los datos europeos.

Estos laboratorios emplean el data pooling, un proceso de combinación y compartición de datos públicos y restringidos provenientes de múltiples fuentes en un repositorio centralizado o entorno compartido. Todo esto facilita el acceso y uso de información. En concreto, los servicios que ofrecen los Data Labs son:

• Facilita el acceso a los datos.

• Infraestructura técnica y herramientas.

• Data pooling.

• Filtrado de datos y etiquetado 

• Guía regulatoria y formación.

• Reducción de la brecha entre los espacios de datos y los ecosistemas de IA.

Plan de implementación:

• Primera fase: los primeros Data Labs se establecerán en el marco de las AI Factories (gigafactorías de IA), ofreciendo servicios de datos para conectar el desarrollo de IA con los espacios de datos europeos.

• Data Labs sectoriales: se establecerán de forma independiente en otros ámbitos para cubrir necesidades específicas, por ejemplo, en el sector energético.

• Modelo autosostenible: se prevé que el modelo de Data Labs pueda desplegarse comercialmente, convirtiéndolo en un ecosistema autosostenible que conecta datos e IA.

1.3 Cloud and AI Development Act: impulso a la nube soberana

Para el impulso de la tecnología de nube, la Comisión propondrá en el primer trimestre de 2026 este nuevo reglamento. Actualmente hay una consulta pública abierta en la que se puede participar aquí.

1.4 Activos de datos estratégicos: sector público, recursos científicos, culturales y lingüísticos

Por un lado, en 2026 se propondrá ampliar la lista de los datos de alto valor High value datasets en inglés o HVDS para incluir datos legales, judiciales y administrativos, entre otros. Y, por otro lado, la Comisión mapeará bases existentes y financiará nuevas infraestructuras digitales.

1.5 Facilitadores horizontales: datos sintéticos, data pooling y estándares

La Comisión Europea elaborará guías y estándares sobre datos sintéticos y se financiará I+D avanzada en técnicas para su generación de a través de Horizon Europe.

Otro tema que la UE quiere impulsar es el data pooling, como explicamos anteriormente. Compartir datos de etapas tempranas del ciclo productivo puede generar beneficios colectivos, pero persisten barreras por incertidumbre legal y temor a infringir normas de competencia. ¿Su propósito? Convertir el data pooling en una opción confiable y legalmente segura para acelerar avances en sectores críticos.

Finalmente, en materia de estandarización, se solicitará a las organizaciones europeas de normalización (CEN/CENELEC) el desarrollo de nuevos estándares técnicos en dos ámbitos clave: la calidad del dato y el etiquetado. Estos estándares permitirán establecer criterios comunes sobre cómo deben ser los datos para garantizar su fiabilidad y cómo deben etiquetarse para facilitar su identificación y uso en diferentes contextos.

Pilar 2: Simplificación Normativa

El segundo pilar aborda uno de los desafíos más señalados por empresas y organizaciones: la complejidad del marco regulatorio europeo en materia de datos. La estrategia propone una serie de medidas destinadas a simplificar y consolidar la legislación existente.

2.1 Derogaciones y consolidación normativa: hacia un marco más coherente

Se quieren eliminar normativas cuyas funciones ya están cubiertas por legislación más reciente, evitando así duplicidades y contradicciones. En primer lugar, se derogará el Reglamento de Libre Flujo de Datos no Personales (FFoNPD), ya que sus funciones están ahora cubiertas por la Data Act (Ley de Datos). No obstante, se preservará explícitamente la prohibición de localización injustificada de datos, un principio fundamental para el mercado único digital.

Del mismo modo, la Data Governance Act (Reglamento europeo de gobernanza de datos o DGA) será eliminada como norma independiente, migrando sus provisiones esenciales a la Data Act. Este movimiento simplifica el marco regulatorio y, además, alivia la carga administrativa: las obligaciones para los intermediarios de datos pasarán a ser más ligeras y de carácter voluntario.

En cuanto al sector público, la estrategia plantea una consolidación importante. Las normas sobre intercambio de datos públicos, actualmente dispersas entre la DGA y la Directiva de Datos Abiertos (Open Data Directive), se fusionarán en un único capítulo dentro de la Data Act. Esta unificación facilitará tanto la aplicación como la comprensión del marco legal por parte de las administraciones públicas.

2.2 Reforma de cookies: equilibrio entre protección y usabilidad

Otro detalle relevante es la regulación de cookies que experimentará una modernización significativa, integrándose en el marco del Reglamento General de Protección de Datos (RGPD). La reforma busca un equilibrio: por un lado, se legalizarán usos de bajo riesgo que actualmente generan incertidumbre legal; por otro, se simplificarán los banners de consentimiento mediante sistemas de "un solo clic" (one-click). El objetivo es claro: reducir la denominada "fatiga del usuario" ante las solicitudes repetitivas de consentimiento que todos conocemos al navegar por Internet.

2.3 Ajustes al RGPD para facilitar el desarrollo de IA

El Reglamento General de Protección de Datos también será objeto de una reforma focalizada, diseñada específicamente para liberar datos de forma responsable en beneficio del desarrollo de la inteligencia artificial. Esta intervención quirúrgica aborda tres aspectos concretos:

1. Aclara cuándo puede aplicarse el interés legítimo para el entrenamiento de modelos de IA.

2. Define con mayor precisión la distinción entre datos anónimos y seudonimizados, especialmente en relación con el riesgo de reidentificación.

3. Armoniza las evaluaciones de impacto en protección de datos, facilitando su aplicación coherente en toda la Unión.

2. 4 Implementación y Apoyo a la Data Act

La Data Act, recientemente aprobada, será objeto de ajustes para mejorar su aplicación. Por un lado, se refina el alcance del intercambio de datos de empresas a gobiernos (B2G), limitándolo estrictamente a situaciones de emergencia. Por otro lado, se amplía el paraguas de protección: las condiciones favorables que actualmente disfrutan las pequeñas y medianas empresas (PYMES) se extenderán también a las empresas medianas o small mid-caps, aquellas que tienen entre 250 y 749 empleados.

Para facilitar la implementación práctica de la norma, ya se ha publicado un modelo de cláusulas contractuales tipo para el intercambio de datos, proporcionando así una plantilla que las organizaciones pueden utilizar directamente. Además, durante el primer trimestre de 2026 se publicarán dos guías adicionales: una sobre el concepto de "compensación razonable" en los intercambios de datos, y otra destinada a clarificar las definiciones clave de la Data Act que puedan generar dudas interpretativas.

Consciente de que las PYMES pueden tener dificultades para navegar este nuevo marco legal, se creará un Helpdesk Legal en el cuarto trimestre de 2025. Este servicio de asistencia ofrecerá asesoramiento directo sobre la aplicación de la Data Act, dando prioridad precisamente a las pequeñas y medianas empresas que carecen de departamentos jurídicos especializados.

2.5 Evolución de la gobernanza: hacia un ecosistema más coordinado

La arquitectura de gobernanza del ecosistema europeo de datos también experimenta cambios significativos. El European Data Innovation Board (EDIB) evoluciona desde un órgano principalmente consultivo hacia un foro de debates más técnicos y estratégicos, incorporando tanto a los Estados miembros como a representantes de la industria. Para ello, se modificará su articulado con dos objetivos: permitir la inclusión en los debates de las autoridades competentes en materia de Data Act, y dotar de mayor flexibilidad a la Comisión Europea en la composición y funcionamiento del organismo.

Complementariamente, se articulan dos mecanismos adicionales de retroalimentación y anticipación. La Apply AI Alliance canalizará el feedback sectorial, recogiendo las experiencias y necesidades específicas de cada industria. Por su parte, el AI Observatory actuará como radar de tendencias, identificando desarrollos emergentes en el ámbito de la inteligencia artificial y traduciéndolos en recomendaciones de políticas públicas. De este modo, se cierra un círculo virtuoso donde la política se nutre constantemente de la realidad del terreno.

Pilar 3: Protección de la soberanía del dato europeo

El tercer pilar se centra en garantizar que los datos europeos reciban un trato justo y seguro, tanto dentro como fuera de las fronteras de la Unión. La intención es que solo se compartan datos con países de la misma visión regulatoria.

3.1 Medidas específicas para proteger los datos europeos

• Publicación de guías para evaluar el trato justo de datos de la UE en el extranjero (segundo trimestre 2026):

• Publicación de toolbox contra prácticas injustas (segundo trimestre 2026):

  • La localización injustificada.

  • La exclusión.

  • Las salvaguardas débiles.

  • La fuga de datos.

• Adopción de medidas para proteger los datos no personales sensibles.

Todas estas medidas se plantean implementar desde el último cuatrimestre de 2025 y durante todo 2026 en un despliegue progresivo que permitirá una adopción gradual y coordinada de las diferentes medidas, tal y como establece la Data Union Strategy.

En resumen, la Estrategia Unión de Datos representa un esfuerzo integral por consolidar el liderazgo europeo en la economía del dato. Para ello se impulsará el data pooling y los espacios de datos de los Estados miembro, se apostará por los Data Labs y las gigafactorías de IA y se incentivará la simplificación normativa.

La 17ª Conferencia Internacional sobre Reutilización de la Información del Sector Público se celebrará el próximo 3 de diciembre en Madrid. La Asociación Multisectorial de la Información (ASEDIE) organiza cada año esta cita, que en su nueva edición tendrá lugar en el Ministerio para la Transformación Digital y de la Función Pública en Madrid. Bajo el lema “Cuando la norma no basta: desigualdad en la aplicación de la normativa sobre datos”, se abordarán los retos actuales en torno a la reutilización de la información pública y la necesidad de marcos normativos ágiles y efectivos.

La complejidad normativa, un reto a abordar

Este evento reúne a expertos nacionales y europeos para abordar la reutilización de datos como motor de innovación. En concreto, la edición de este año pone el foco en la necesidad de avanzar en una regulación que fomente la cultura de apertura en todas las administraciones, evitando la fragmentación normativa y asegurando que el acceso a la información pública se traduzca en un verdadero valor económico y social.

A través de diversas ponencias y mesas redondas se abordarán algunos de los grandes desafíos actuales en esta materia: desde la simplificación normativa para facilitar la reutilización de información hasta el gobierno abierto como práctica real.

El programa de la Jornada

El evento ofrecerá una visión integral de cómo avanzar hacia un ecosistema de información más justo, abierto y competitivo.

La recepción de los asistentes tendrá lugar entra las 09:00 y las 09:30. A esa hora comenzará el evento con la bienvenida e inauguración, que correrá a cargo de Ruth del Campo, directora general del dato (Secretaría de Estado de Digitalización e Inteligencia Artificial). Le seguirán dos presentaciones de la Representación Permanente de España ante la Unión Europea, de la mano de Miguel Valle del Olmo, consejero de transformación digital, y Almudena Darias de las Heras, consejera de justicia.

A lo largo de la jornada tendrán lugar tres mesas redondas:

• 10:15 – 10:45. Mesa I: Simplificación normativa y seguridad jurídica: Pilares para un marco ágil y eficiente. Moderada por Ignacio Jiménez, presidente de ASEDIE, contará con la participación de Ruth del Campo  y Meritxell Borràs i Solé, directora de la Autoritat Catalana de Protecció de Dades.
• 10:45 – 11:45. Mesa II: Transparencia y Gobierno Abierto: de la teoría a la práctica. Cuatro participantes nos trasladaran su visión y experiencia en la materia: Carmen Cabanillas, directora general de Gobernanza Publica (Secretaría de Estado de Función Pública), José Luis Rodríguez Álvarez, presidente del Consejo de Transparencia y Buen Gobierno, José Máximo López Vilaboa, director general de Transparencia y Buen Gobierno (Junta de Castilla y León) y Ángela Pérez Brunete, directora general de Transparencia y Calidad (Ayuntamiento de Madrid). La conversación estará moderada por Manuel Hurtado, vocal de la Junta Directiva de ASEDIE.
• 12:35 – 13:35. Mesa III: Registros abiertos y transparentes. Prevenir el blanqueo sin frenar la competitividad. Bajo la moderación de Valentín Arce, vicepresidente de ASEDIE, tendrá lugar una conversación protagonizada por Antonio Fuentes Paniagua, subdirector general del Notariado y de los Registros (Ministerio de la Presidencia, Justicia y Relaciones con las Cortes Antonio), Andrés Martínez Calvo, Consultor del Órgano Centralizado de Prevención (Consejo General del Notariado),  Carlos Balmisa, secretario general técnico del Colegio de Registradores de la Propiedad y Mercantil, y  José Luis Perea, secretario general de ATA Autónomos.

Durante la mañana también se entregarán:

• La certificación UNE 0080 (Guía de evaluación del Gobierno, Gestión y Gestión de la Calidad del Dato). Esta especificación desarrolla un marco homogéneo de evaluación de la madurez de una organización respecto al tratamiento de los datos. Descubre más sobre las especificaciones UNE relacionadas con el dato en este artículo.
• El Premio ASEDIE 2025. Este galardón internacional reconoce cada año a personas, empresas o instituciones que destacan por su contribución a la innovación y desarrollo del sector infomediario. Visibiliza proyectos que impulsan la reutilización de la información del sector público (RISP), destacando su papel en el desarrollo de la economía tanto española como global. Puedes conocer a los galardonados en las ediciones previas aquí.

El evento finalizará a las 13:45, con unas palabras de Ignacio Jiménez.

Puedes ver el programa detallado en la página web de ASEDIE.

Cómo asistir

La 17ª Conferencia de ASEDIE es una cita imprescindible para quienes trabajan en el ámbito de la reutilización de información, la transparencia y la innovación basada en datos. 

Al evento de este año solo se podrá asistir de manera presencial en el Ministerio para la Transformación Digital y de la Función Pública (c/ Mármol, 2, Parque Empresarial Rio 55, 28005, Madrid). Es necesario inscribirse a través de su página web.

La convergencia entre datos abiertos, inteligencia artificial y sostenibilidad medioambiental plantea uno de los principales desafíos para el modelo de transformación digital que se está impulsando a nivel europeo. Esta interacción se concreta principalmente en tres manifestaciones destacadas:

• La apertura de datos de alto valor directamente relacionados con la sostenibilidad, que pueden ayudar al desarrollo de soluciones de inteligencia artificial orientadas a la mitigación del cambio climático y la eficiencia de recursos.

• El impulso de los denominados algoritmos verdes en la reducción del impacto ambiental de la IA, que se ha de concretar tanto en el uso eficiente de la infraestructura digital como en la toma de decisiones sostenibles.

• La apuesta por espacios de datos medioambientales, generando ecosistemas digitales donde se comparten datos que provienen de fuentes diversas para facilitar el desarrollo de proyectos y soluciones interoperables con impacto relevante desde la perspectiva medioambiental.

A continuación, profundizaremos en cada uno de estos puntos.

Datos de alto valor para la sostenibilidad

La Directiva (UE) 2019/1024 sobre datos abiertos y reutilización de la información del sector público introdujo por primera vez el concepto de conjuntos de datos de alto valor, definidos como aquellos con un potencial excepcional para generar beneficios sociales, económicos y medioambientales. Estos conjuntos deben publicarse de forma gratuita, en formatos legibles por máquina, mediante interfaces de programación de aplicaciones (API) y, cuando proceda, se han de poder descargar de forma masiva. A tal efecto se han identificado una serie de categorías prioritarias, entre los que se encuentran los datos medioambientales y relativos a la observación de la Tierra.

Se trata de una categoría especialmente relevante, ya que abarca tanto datos sobre clima, ecosistemas o calidad ambiental, así como los vinculados a la Directiva INSPIRE, que hacen referencia a áreas ciertamente diversas como hidrografía, lugares protegidos, recursos energéticos, uso del suelo, recursos minerales o, entre otros, los relativos a zonas de riesgos naturales, incluyendo también ortoimágenes.

Estos datos tienen una singular relevancia a la hora de monitorizar las variables relacionadas con el cambio climático, como puede ser el uso del suelo, la gestión de la biodiversidad teniendo en cuenta la distribución de especies, hábitats y lugares protegidos, el seguimiento de las especies invasoras o la evaluación de los riesgos naturales. Los datos sobre calidad del aire y contaminación son cruciales para la salud pública y ambiental, de manera que el acceso a los mismos permite llevar a cabo análisis exhaustivos sin duda relevantes para la adopción de políticas públicas orientadas a su mejora. La gestión de recursos hídricos también se puede optimizar mediante datos de hidrografía y monitoreo ambiental, de manera que su tratamiento masivo y automatizado constituye una premisa inexcusable para hacer frente al reto de la digitalización de la gestión del ciclo del agua.

La combinación con otros datos medioambientales de calidad facilita el desarrollo de soluciones de IA orientadas a desafíos climáticos específicos. En concreto, permiten entrenar modelos predictivos para anticipar fenómenos extremos (olas de calor, sequías, inundaciones), optimizar la gestión de recursos naturales o monitorizar en tiempo real indicadores ambientales críticos. También permite impulsar proyectos económicos de gran impacto, como puede ser el caso de la utilización de algoritmos de IA para implementar soluciones tecnológicas en el ámbito de la agricultura de precisión, posibilitando el ajuste inteligente de los sistemas de riego, la detección temprana de plagas o la optimización del uso de fertilizantes.

Algoritmos verdes y responsabilidad digital: hacia una IA sostenible

El entrenamiento y despliegue de sistemas de inteligencia artificial, particularmente de modelos de propósito general y grandes modelos de lenguaje, conlleva un consumo energético significativo. Según estimaciones de la Agencia Internacional de la Energía, los centros de datos representaron alrededor del 1,5 % del consumo mundial de electricidad en 2024. Esta cifra supone un crecimiento de alrededor de un 12 % anual desde 2017, más de cuatro veces más rápido que la tasa de consumo eléctrico total. Está previsto que el consumo eléctrico de los centros de datos se duplique hasta alcanzar unos 945 TWh en 2030.

Ante este panorama, los algoritmos verdes constituyen una alternativa que necesariamente ha de tenerse en cuenta a la hora de minimizar el impacto ambiental que plantea la implantación de la tecnología digital y, en concreto, la IA. De hecho, tanto la Estrategia Europea de Datos como el Pacto Verde Europeo integran explícitamente la sostenibilidad digital como pilar estratégico. Por su parte, España ha puesto en marcha un Programa Nacional de Algoritmos Verdes, enmarcado en la Agenda Digital 2026 y con una medida específica en la Estrategia Nacional de Inteligencia Artificial.

Uno de los principales objetivos del Programa consiste en fomentar el desarrollo de algoritmos que minimicen su impacto ambiental desde la concepción —enfoque green by design—, por lo que la exigencia de una documentación exhaustiva de los conjuntos de datos utilizados para entrenar modelos de IA —incluyendo origen, procesamiento, condiciones de uso y huella ambiental— resulta fundamental para dar cumplimiento a esta aspiración. A este respecto, la Comisión ha publicado una plantilla para ayudar a los proveedores de inteligencia artificial de propósito general a resumir los datos utilizados para el entrenamiento de sus modelos, de manera que se pueda exigir mayor transparencia que, por lo que ahora interesa, también facilitaría la trazabilidad y gobernanza responsable desde la perspectiva ambiental, así como la realización de ecoauditorías.

El Espacio de Datos del Pacto Verde Europeo (Green Deal)

Se trata de uno de los espacios de datos comunes europeos contemplados en la Estrategia Europea de Datos que se encuentra en un estado más avanzado, tal y como demuestran las numerosas iniciativas y eventos de divulgación que se han impulsado en torno al mismo. Tradicionalmente el acceso a la información ambiental ha sido uno de los ámbitos con una regulación más favorable, de manera que con el impulso de los datos de alto valor y la decida apuesta que supone la creación de un espacio europeo en esta materia se ha producido un avance cualitativo muy destacable que refuerza una tendencia ya consolidada en este ámbito.

En concreto, el modelo de los espacios de datos facilita la interoperabilidad entre datos abiertos públicos y privados, reduciendo barreras de entrada para startups y pymes en sectores como la gestión forestal inteligente, la agricultura de precisión o, entre otros muchos ejemplos, la optimización energética. Al mismo tiempo, refuerza la calidad de los datos disponibles para que las Administraciones Públicas lleven a cabo sus políticas públicas, ya que sus propias fuentes pueden contrastarse y compararse con otros conjuntos de datos. Finalmente, el acceso compartido a datos y herramientas de IA puede fomentar iniciativas y proyectos de innovación colaborativa, acelerando el desarrollo de soluciones interoperables y escalables.

Ahora bien, el ecosistema jurídico propio de los espacios de datos conlleva una complejidad inherente a su propia configuración institucional, ya que en el mismo confluyen varios sujetos y, por tanto, diversos intereses y regímenes jurídicos aplicables: 

• Por una parte, las entidades públicas, a las que en este ámbito les corresponde un papel de liderazgo especialmente reforzado.

• Por otra las entidades privadas y la ciudanía, que no sólo pueden aportar sus propios conjuntos de datos, sino asimismo ofrecer desarrollos y herramientas digitales que pongan en valor los datos a través de servicios innovadores.

• Y, finalmente, los proveedores de la infraestructura necesaria para la interacción en el seno del espacio.

En consecuencia, son imprescindibles modelos de gobernanza avanzados que hagan frente a esta complejidad reforzada por la innovación tecnológica y de manera especial la IA, ya que los planteamientos tradicionales propios de la legislación que regula el acceso a la información ambiental son ciertamente limitados para esta finalidad.

Hacia una convergencia estratégica

La convergencia de datos abiertos de alto valor, algoritmos verdes responsables y espacios de datos medioambientales está configurando un nuevo paradigma digital imprescindible para afrontar los retos climáticos y ecológicos en Europa que requiere un enfoque jurídico robusto y, al mismo tiempo flexible. Este singular ecosistema no solo permite impulsar la innovación y eficiencia en sectores clave como la agricultura de precisión o la gestión energética, sino que también refuerza la transparencia y la calidad de la información ambiental disponible para la formulación de políticas públicas más efectivas.

Más allá del marco normativo vigente resulta imprescindible diseñar modelos de gobernanza que ayuden a interpretar y aplicar de manera coherente regímenes legales diversos, que protejan la soberanía de los datos y, en definitiva, garanticen la transparencia y la responsabilidad en el acceso y reutilización de la información medioambiental. Desde la perspectiva de la contratación pública sostenible, es esencial promover procesos de adquisición por parte de las entidades públicas que prioricen soluciones tecnológicas y servicios interoperables basados en datos abiertos y algoritmos verdes, fomentando la elección de proveedores comprometidos con la responsabilidad ambiental y la transparencia en las huellas de carbono de sus productos y servicios digitales.

Solo partiendo de este enfoque se puede aspirar a que la innovación digital sea tecnológicamente avanzada y ambientalmente sostenible, alineando así los objetivos del Pacto Verde, la Estrategia Europea de Datos y el enfoque europeo en materia de IA

La Inteligencia Artificial (IA) está transformando la sociedad, la economía y los servicios públicos a una velocidad sin precedentes. Esta revolución trae enormes oportunidades, pero también desafíos relacionados con la ética, la seguridad y la protección de derechos fundamentales. Consciente de ello, la Unión Europea aprobó la Ley de Inteligencia Artificial (AI Act), en vigor desde el 1 de agosto de 2024, que establece un marco armonizado y pionero para el desarrollo, la comercialización y el uso de sistemas de IA en el mercado único, fomentando la innovación mientras protege a la ciudadanía.

Un ámbito especialmente relevante de esta normativa son los modelos de IA de propósito general (GPAI), como los grandes modelos de lenguaje (LLM) o los modelos multimodales, que se entrenan con enormes volúmenes de datos de muy diversa procedencia (texto, imágenes y vídeo, audio e incluso datos generados por usuarios). Esta realidad plantea retos críticos en propiedad intelectual, protección de datos y transparencia sobre el origen y el tratamiento de la información.

Para afrontarlos, la Comisión Europea, a través de la Oficina Europea de IA, ha publicado la Plantilla de Resumen Público de los Datos de Entrenamiento: un formato estandarizado que los proveedores deberán completar y publicar para resumir información clave sobre los datos usados en el entrenamiento. A partir del 2 de agosto de 2025, todo modelo de propósito general que se comercialice o distribuya en la UE deberá ir acompañado de este resumen; los modelos ya presentes en el mercado disponen hasta el 2 de agosto de 2027 para adaptarse. Esta medida materializa el principio de transparencia de la AI Act y pretende arrojar luz sobre las “cajas negras” de la IA.

En este artículo te contamos las claves de esta plantilla: desde sus objetivos y estructura, hasta información sobre plazos, sanciones y próximos pasos.

Objetivos y relevancia de la plantilla

Los modelos de IA de propósito general se entrenan con datos de muy diversa procedencia y modalidad, como:

• Texto: libros, artículos científicos, prensa o redes sociales.

• Imágenes y vídeos: contenidos digitales de Internet y colecciones visuales.

• Audio: grabaciones, pódcast, programas de radio o conversaciones.

• Datos de usuarios: información generada en la interacción con el propio modelo o con otros servicios del proveedor.

Este proceso de recopilación masiva de datos suele ser opaco, lo que genera preocupación entre titulares de derechos, usuarios, reguladores y la sociedad en su conjunto. Sin transparencia, resulta difícil evaluar si los datos se han obtenido de forma legal, si incluyen información personal no autorizada o si representan adecuadamente la diversidad cultural y lingüística de la Unión Europea.

El Considerando 107 de la AI Act establece que el objetivo principal de esta plantilla es incrementar la transparencia y facilitar el ejercicio y la protección de derechos. Entre los beneficios que aporta destacan:

1. Protección de la propiedad intelectual: permite que autores, editores y demás titulares de derechos identifiquen si sus obras han sido utilizadas durante el entrenamiento, facilitando la defensa de sus derechos y un uso justo de sus contenidos.

2. Salvaguarda de la privacidad: ayuda a detectar si se han empleado datos personales, aportando información útil para que las personas afectadas puedan ejercer sus derechos conforme al Reglamento General de Protección de Datos (RGPD) y otras normas del mismo ámbito.

3. Prevención de sesgos y discriminación: proporciona información sobre la diversidad lingüística y cultural de las fuentes utilizadas, clave para evaluar y mitigar sesgos que puedan generar discriminaciones.

4. Fomento de la competencia y la investigación: reduce los efectos de “caja negra” y facilita el escrutinio académico, al tiempo que ayuda a otras empresas a comprender mejor la procedencia de los datos, favoreciendo mercados más abiertos y competitivos.

En definitiva, esta plantilla no es solo un requisito legal, sino una herramienta para generar confianza en la inteligencia artificial, creando un ecosistema en el que la innovación tecnológica y la protección de derechos se refuercen mutuamente.

Estructura de la plantilla

La plantilla, publicada oficialmente el 24 de julio de 2025 tras una consulta pública con más de 430 organizaciones participantes, ha sido diseñada para que la información se presente de forma clara, homogénea y comprensible, tanto para especialistas como para la ciudadanía.

Se compone de tres secciones principales, que abarcan desde la identificación básica del modelo hasta los aspectos legales relacionados con el tratamiento de los datos.

1. Información general

Proporciona una visión global sobre el proveedor, el modelo y las características generales de los datos de entrenamiento:

• Identificación del proveedor, como nombre y datos de contacto.

• Identificación del modelo y sus versiones, incluyendo dependencias si se trata de una modificación (fine-tuning) de otro modelo.

• Fecha de puesta en el mercado del modelo en la UE.

• Modalidades de datos utilizadas (texto, imagen, audio, vídeo u otras).

• Tamaño aproximado de los datos por modalidad, expresado en rangos amplios (por ejemplo, menos de 1.000 millones de tokens, entre 1.000 millones y 10 billones, más de 10 billones).

• Cobertura lingüística, con especial atención a las lenguas oficiales de la Unión Europea.

Esta sección ofrece un nivel de detalle suficiente para comprender la magnitud y naturaleza del entrenamiento, sin revelar secretos comerciales.

2. Lista de fuentes de datos

Es el núcleo de la plantilla, donde se detalla la procedencia de los datos de entrenamiento. Está organizada en seis categorías principales, además de una categoría residual (Otros).

1. Conjuntos de datos públicos:

   • Datos disponibles gratuitamente y descargables como un todo o en bloques (p. ej., portales de datos abiertos, Common Crawl, repositorios académicos).

   • Se deben identificar los conjuntos “grandes”, definidos como aquellos que representan más del 3% del total de datos públicos utilizados en una modalidad específica.

2. Conjuntos privados licenciados:

   • Datos obtenidos mediante acuerdos comerciales con titulares de derechos o sus representantes, como licencias con editoriales para el uso de libros digitales.

   • Se proporciona únicamente una descripción general.

3. Otros datos privados no licenciados:

   • Bases de datos adquiridas a terceros que no gestionan directamente los derechos de autor.

   • Si son públicamente conocidas, deben listarse; si no, basta una descripción general (tipo de datos, naturaleza, idiomas).

4. Datos obtenidos mediante web crawling/scraping:

   • Información recopilada por el proveedor o en su nombre mediante herramientas automatizadas.

   • Se debe especificar:

     • Nombre/identificador de los rastreadores.

     • Finalidad y comportamiento (respeto a robots.txt, captchas, paywalls, etc.).

     • Periodo de recogida.

     • Tipos de sitios web (medios, redes sociales, blogs, portales públicos, etc.).

     • Lista de dominios más relevantes, que cubra al menos el 10% superior por volumen. Para PYMES, este requisito se ajusta al 5% o un máximo de 1.000 dominios, lo que sea menor.

5. Datos de usuarios:

   • Información generada a través de la interacción con el modelo o con otros servicios del proveedor.

   • Se debe indicar qué servicios contribuyen y la modalidad de los datos (texto, imagen, audio, etc.).

6. Datos sintéticos:

   • Datos creados por o para el proveedor mediante otros modelos de IA (por ejemplo, destilación de modelos o refuerzo con retroalimentación humana - RLHF).

   • Cuando corresponda, se debe identificar el modelo generador si está disponible en el mercado.

Categoría adicional – Otros: incluye datos que no encajan en las categorías anteriores, como fuentes offline, digitalización propia, etiquetado manual o generación humana.

3. Aspectos del procesamiento de datos

Se centra en cómo se han gestionado los datos antes y durante el entrenamiento, con especial atención al cumplimiento legal:

• Respeto a las reservas de derechos (Text and Data Mining, TDM): medidas adoptadas para honrar el derecho de exclusión previsto en el artículo 4(3) de la Directiva 2019/790 sobre derechos de autor, que permite a los titulares impedir la minería de textos y datos. Este derecho se ejerce mediante protocolos de opt-out, como etiquetas en archivos o configuraciones en robots.txt, que indican que ciertos contenidos no pueden usarse para entrenar modelos. Los proveedores deben explicar cómo han identificado y respetado estos opt-outs en sus propios datasets y en los adquiridos a terceros.

• Eliminación de contenido ilegal: procedimientos utilizados para evitar o depurar contenido ilícito bajo la legislación de la UE, como material de abuso sexual infantil, contenidos terroristas o infracciones graves de propiedad intelectual. Estos mecanismos pueden incluir listas negras, clasificadores automáticos o revisión humana, pero sin revelar secretos empresariales.

El siguiente visual resumen estos tres apartados:

Equilibrio entre transparencia y secretos comerciales

La Comisión Europea ha diseñado la plantilla buscando un equilibrio delicado: ofrecer información suficiente para proteger derechos y fomentar la transparencia, sin obligar a revelar información que pueda comprometer la competitividad de los proveedores.

• Fuentes públicas: se exige el mayor nivel de detalle, incluyendo nombres y enlaces a los conjuntos de datos “grandes”.

• Fuentes privadas: se permite un nivel de detalle más limitado, mediante descripciones generales cuando la información no sea pública.

• Web scraping: se requiere un listado resumido de dominios, sin necesidad de detallar combinaciones exactas.

• Datos de usuarios y sintéticos: la información se limita a confirmar su uso y describir la modalidad.

Gracias a este enfoque, el resumen es “generalmente completo” en alcance, pero no “técnicamente detallado”, protegiendo tanto la transparencia como la propiedad intelectual y comercial de las empresas.

Cumplimiento, plazos y sanciones

El artículo 53 de la AI Act detalla las obligaciones de los proveedores de modelos de propósito general, entre las que destaca la publicación de este resumen de datos de entrenamiento.

Esta obligación se complementa con otras medidas, como:

• Disponer de una política pública de derechos de autor.

• Implementar procesos de evaluación y mitigación de riesgos, especialmente para modelos que puedan generar riesgos sistémicos.

• Establecer mecanismos de trazabilidad y supervisión de los datos y procesos de entrenamiento.

El incumplimiento puede acarrear multas significativas, de hasta 15 millones de euros o el 3% de la facturación global anual de la empresa, lo que suponga una mayor cantidad.

Próximos pasos para los proveedores

Para adaptarse a esta nueva obligación, los proveedores deberían:

1. Revisar procesos internos de recopilación y gestión de datos para garantizar que la información necesaria esté disponible y sea verificable.

2. Establecer políticas claras de transparencia y derechos de autor, incluyendo protocolos para respetar el derecho de exclusión en minería de textos y datos (TDM).

3. Publicar el resumen en canales oficiales antes de la fecha límite correspondiente.

4. Actualizar el resumen periódicamente, al menos cada seis meses o cuando se produzcan cambios materiales en el entrenamiento.

La Comisión Europea, a través de la Oficina Europea de IA, supervisará el cumplimiento y podrá solicitar correcciones o imponer sanciones.

Una herramienta clave para gobernar los datos

En nuestro artículo anterior, “Gobernar los datos para gobernar la Inteligencia Artificial”, destacábamos que una IA confiable solo es posible si existe un gobierno sólido de los datos.

Esta nueva plantilla refuerza ese principio, ofreciendo un mecanismo estandarizado para describir el ciclo de vida de los datos, desde su origen hasta su tratamiento, y fomentando la interoperabilidad y la reutilización responsable.

Se trata de un paso decisivo hacia una IA más transparente, justa y alineada con los valores europeos, donde la protección de derechos y la innovación tecnológica puedan avanzar juntas.

Conclusiones

La publicación de la Plantilla de Resumen Público marca un hito histórico en la regulación de la IA en Europa. Al exigir que los proveedores documenten y hagan públicos los datos utilizados en el entrenamiento, la Unión Europea da un paso decisivo hacia una inteligencia artificial más transparente y confiable, basada en la responsabilidad y el respeto a los derechos fundamentales. En un mundo donde los datos son el motor de la innovación, esta herramienta se convierte en la clave para gobernar los datos antes de gobernar la IA, asegurando que el desarrollo tecnológico se construya sobre la confianza y la ética.

Contenido elaborado por Dr. Fernando Gualo, Profesor en UCLM y Consultor de Gobierno y Calidad de datos. El contenido y el punto de vista reflejado en esta publicación es responsabilidad exclusiva de su autor.

A la hora de hacer frente a la responsabilidad derivada del uso de sistemas autónomos basados en el uso de la inteligencia artificial es habitual referirse a los dilemas éticos que puede plantear un accidente de circulación. Este ejemplo resulta de utilidad para ilustrar la problemática sobre la responsabilidad acerca de los daños generados por un accidente o, incluso, para determinar otro tipo de responsabilidades en el ámbito de la seguridad vial (por ejemplo, las multas ante infracciones de las normas de circulación).

Imaginemos que el vehículo autónomo ha circulado a una velocidad superior a la permitida o que, sencillamente, se ha saltado una señal y ha ocasionado un accidente que implica a otros vehículos. Desde el punto de vista de los riesgos jurídicos, de la responsabilidad que se generaría y, en concreto, de la incidencia de los datos en este escenario, podríamos plantear algunas preguntas que nos ayuden a comprender el alcance práctico de esta problemática:

• ¿Se han considerado en el diseño y entrenamiento todos los conjuntos de datos necesarios y de calidad suficiente para hacer frente a los riesgos del tráfico en distintos entornos (rurales, urbanos, ciudades densas…)?

• ¿Cuál es la responsabilidad si el accidente se debe a una mala integración de la herramienta de inteligencia artificial con el vehículo o a un fallo del fabricante que impide la correcta lectura de las señales?

• ¿Quién responde si el problema deriva de la información incorrecta o no actualizada de las señales de tráfico?

En este post vamos a explicar qué aspectos hay que tener en cuenta a la hora de valorar la responsabilidad que se puede generar en este tipo de casos.

La incidencia de los datos desde la perspectiva de los sujetos implicados

En el diseño, entrenamiento, despliegue y uso de los sistemas de inteligencia artificial, el efectivo control de los datos utilizados juega un papel esencial en la gestión de los riesgos jurídicos. Las condiciones de su tratamiento pueden tener importantes consecuencias desde la perspectiva de la responsabilidad en caso de que se produzcan daños o se incumpla la normativa aplicable.

Una aproximación rigurosa a esta problemática requiere distinguir en función de cada uno de los sujetos que intervienen en el proceso, desde su desarrollo inicial hasta su uso efectivo en unas circunstancias concretas, ya que las condiciones y las consecuencias pueden ser muy distintas. En este sentido, es necesario identificar el origen del daño o del incumplimiento con el fin de imputar las consecuencias jurídicas a quien efectivamente deba considerarse como responsable:

• Así, puede que el daño o el incumplimiento vengan determinados por un problema de diseño en la aplicación utilizada o en su entrenamiento, de manera que se empleen indebidamente ciertos datos para esta finalidad. Siguiendo con el ejemplo del vehículo autónomo, este sería el caso de acceder sin consentimiento a los datos de las personas que viajan en el mismo.

• Sin embargo, también es posible que el problema tenga su origen en quien lleva a cabo el despliegue de la herramienta en un entorno determinado para su uso real, posición que ocuparía el fabricante del vehículo. Es lo que podría suceder si, para su funcionamiento, se accediera a datos sin los permisos oportunos o si existiesen restricciones que impiden el acceso a la información necesaria para garantizar su buen funcionamiento.

• El problema también podría estar generado por la propia persona o entidad que utiliza la herramienta. Volviendo al ejemplo del vehículo, cabría plantear que la titularidad del mismo corresponde a una empresa o a una persona física que no hubiera realizado las revisiones periódicas necesarias o actualizado el sistema cuando fuera preciso.

• Finalmente, existe la posibilidad de que la problemática jurídica sobre la responsabilidad venga determinada por las condiciones en las que se proporcionan los datos en su fuente originaria. Por ejemplo, si los datos son inexactos: la información sobre la vía por donde circula el vehículo no está actualizada o los datos que emiten las señales de tráfico no son suficientemente precisos.

Retos relativos al entorno tecnológico: complejidad y opacidad

Además, la propia singularidad de la tecnología utilizada puede condicionar de manera relevante la imputación de la responsabilidad. En concreto, la opacidad tecnológica –es decir, la dificultad para entender por qué un sistema toma una decisión concreta– es uno de los principales desafíos a la hora de abordar los retos jurídicos que plantea la inteligencia artificial, ya que dificulta la determinación del sujeto responsable. Se trata de una problemática que adquiere una especial trascendencia por lo que se refiere al origen lícito de los datos y, asimismo, a las condiciones en que tiene lugar su tratamiento. De hecho, este fue precisamente el principal escollo que se encontró la inteligencia artificial generativa en los momentos iniciales de su aterrizaje en Europa: la falta de unas condiciones adecuadas de transparencia respecto al tratamiento de los datos personales justificó la paralización temporal de su comercialización hasta que se llevaron a cabo los ajustes necesarios.

En este sentido, la publicación de los datos utilizados para la fase de entrenamiento se convierte en una garantía adicional desde la perspectiva de la seguridad jurídica y, en concreto, para verificar las condiciones de cumplimiento normativo de la herramienta.

Por otra parte, la complejidad inherente a esta tecnología supone una dificultad adicional por lo que se refiere a la imputación de los daños que se puedan causar y, en consecuencia, a la determinación de quién debe hacer frente a los mismos. Siguiendo con el ejemplo del vehículo autónomo, podría darse el caso de que se solapen diversas causas, como la incorrección de los datos proporcionados por las señales de tráfico y, al mismo tiempo, un mal funcionamiento de la aplicación informática al no detectar potenciales incoherencias entre los datos utilizados y las efectivas necesidades de la misma.

¿Qué dice la regulación del Reglamento europeo sobre inteligencia artificial al respecto?

El Reglamento (UE) 2024/1689 establece un marco normativo armonizado en toda la Unión Europea con relación a la inteligencia artificial. Por lo que se refiere a los datos, contempla algunas obligaciones específicas para los sistemas clasificados como “alto riesgo”, que son los contemplados en el artículo 6 y en el listado del Anexo III (identificación biométrica, educación, gestión laboral, acceso a servicios esenciales…). En este sentido, incorpora un estricto régimen de requisitos técnicos, transparencia, supervisión y auditoría, combinado con procedimientos de evaluación de conformidad previos a su comercialización y mecanismos de control posteriores a la misma, fijando además responsabilidades precisas para proveedores, operadores y otros actores de la cadena de valor.

Por lo que se refiere a la gobernanza de los datos debe establecerse un sistema de gestión de riesgos que abarque todo el ciclo de vida de la herramienta y que evalúe, mitigue, supervise y documente los riesgos para la salud, la seguridad y los derechos fundamentales. En concreto, se exige que los conjuntos de datos de entrenamiento, validación y prueba sean:

• Relevantes, representativos, completos y lo más libres de errores posible para la finalidad prevista.

• Gestionados conforme a estrictas prácticas de gobernanza que mitiguen sesgos y discriminaciones, especialmente cuando puedan afectar derechos fundamentales de grupos vulnerables o minoritarios.

• El Reglamento contempla, además, condiciones rigurosas para el uso excepcional de categorías especiales de datos personales por lo que se refiere a la detección y, en su caso, corrección de sesgos.

Con relación a la documentación técnica y conservación de registros se requiere:

• La elaboración y mantenimiento de documentación técnica exhaustiva. En concreto, por lo que se refiere a la transparencia se deben proporcionar instrucciones de uso completas y claras que habrán de incluir información sobre datos y resultados de salida, entre otros extremos.

• Los sistemas han de permitir el registro automático de eventos relevantes (logs) a lo largo de todo su ciclo de vida para asegurar la trazabilidad y facilitar la vigilancia posterior a la comercialización, lo que puede servir de gran utilidad a la hora de comprobar la incidencia de los datos utilizados.

Por lo que se refiere a la responsabilidad, el citado Reglamento se basa en un planteamiento ciertamente limitado desde dos puntos de vista:

• En primer lugar, se limita a habilitar a los Estados miembros para que establezcan un régimen sancionador que contemple la imposición multas y otras vías de ejecución, tales como advertencias y medidas no pecuniarias, que deberán ser efectivas, proporcionadas y disuasorias del incumplimiento de la regulación. Se trata, por tanto, de instrumentos de carácter administrativo y naturaleza sancionadora, esto es, de castigo frente al incumplimiento de las obligaciones establecidas en dicha norma, entre las que se encuentran las relativas a la gobernanza de los datos y a la documentación y conservación de registros anteriormente referidas.

• Sin embargo, en segundo lugar, el regulador europeo no ha considerado oportuno establecer disposiciones específicas por lo que se refiere a la responsabilidad civil con el objetivo de que se indemnice por los daños que se causen. Se trata de una cuestión de gran relevancia que, incluso, dio lugar a que la Comisión Europea formulase en 2022 una propuesta de Directiva específica. Aunque su tramitación no se ha culminado, ha dado lugar a un interesante debate cuyos principales argumentos se han sistematizado en un completo informe del Parlamento Europeo en el que se analiza el impacto que podría tener esta regulación.

Sin respuestas claras: debate abierto y evolución normativa

Así pues, a pesar del avance que ha supuesto la aprobación del Reglamento de 2024, lo cierto es que la regulación de la responsabilidad derivada del uso de instrumentos de inteligencia artificial sigue siendo una cuestión abierta sobre la que no existe un marco normativo completo y desarrollado. No obstante, una vez superado el planteamiento relativo a la personificación jurídica de los robots que se suscitó hace unos años, es indudable que la inteligencia artificial en sí misma no puede considerarse un sujeto jurídicamente responsable.

Como se ha enfatizado anteriormente, se trata de un debate complejo en el que no es posible ofrecer respuestas simples y generales, ya que resulta imprescindible concretarlas en cada caso concreto teniendo en cuenta los sujetos que han intervenido en cada una de las fases de diseño, implementación y uso de la correspondiente herramienta. Serán, por tanto, dichos sujetos quienes habrán de asumir la responsabilidad que corresponda, bien para el resarcimiento de los daños ocasionados o, en su caso, para hacer frente a las sanciones y otras medidas administrativas en los supuestos de incumplimiento de la regulación.

En definitiva, aunque la regulación europea sobre inteligencia artificial de 2024 puede resultar de utilidad para establecer estándares que ayuden a determinar cuándo un daño producido es contrario a Derecho y, por tanto, debe ser compensado, lo cierto es que se trata de un debate sin cerrar que habrá que reconducir aplicando las normas generales sobre protección del consumidor o productos defectuosos teniendo en cuenta las singularidades de esta tecnología. Y, por lo que se refiere a la responsabilidad administrativa, será necesario esperar a que se impulse definitivamente la iniciativa que se anunció hace unos meses  y que se encuentra pendiente de aprobación formal por el Consejo de Ministros para su posterior tramitación parlamentaria en las Cortes Generales.

Contenido elaborado por Julián Valero, catedrático de la Universidad de Murcia y Coordinador del Grupo de Investigación “Innovación, Derecho y Tecnología” (iDerTec). Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.

Cada vez gana más terreno la idea de concebir la inteligencia artificial (IA) como un servicio de consumo inmediato o utility, bajo la premisa de que basta con “comprar una aplicación y empezar a utilizarla”. Sin embargo, subirse a la IA no es como comprar software convencional y ponerlo en marcha al instante. A diferencia de otras tecnologías de la información, la IA difícilmente se podrá utilizar con la filosofía del plug and play. Existe un conjunto de tareas imprescindibles que los usuarios de estos sistemas deberían emprender, no solo por razones de seguridad y cumplimiento legal, sino sobre todo para obtener resultados eficientes y confiables.

El Reglamento de inteligencia artificial (RIA)[1]

El RIA define marcos de referencia que deberían ser tenidos en cuenta por los proveedores[2] y responsables de desplegar[3] la IA. Esta es una norma muy compleja cuya orientación es doble. En primer lugar, en una aproximación que podríamos definir como de alto nivel, la norma establece un conjunto de líneas rojas que nunca podrán ser traspasadas. La Unión Europea aborda la IA desde un enfoque centrado en el ser humano y al servicio de las personas. Por ello, cualquier desarrollo deberá garantizar ante todo que no se vulneren derechos fundamentales ni se cause ningún daño a la seguridad e integridad de las personas. Adicionalmente, no se admitirá ninguna IA que pudiera generar riesgos sistémicos para la democracia y el estado de derecho. Para que estos objetivos se materialicen, el RIA despliega un conjunto de procesos mediante un enfoque orientado a producto. Esto permite clasificar los sistemas de IA en función de su nivel de riesgo, -bajo, medio, alto- así como los modelos de IA de uso general[4]. Y también, establecer, a partir de esta categorización, las obligaciones que cada sujeto participante deberá cumplir para garantizar los objetivos de la norma.

Habida cuenta de la extraordinaria complejidad del reglamento europeo, queremos compartir en este artículo algunos principios comunes que se deducen de su lectura y podrían inspirar buenas prácticas por parte de las organizaciones públicas y privadas. Nuestro enfoque no se centra tanto en definir una hoja de ruta para un determinado sistema de información como en destacar algunos elementos que, a nuestro juicio, pueden resultar de utilidad para garantizar que el despliegue y utilización de esta tecnología resulten seguros y eficientes, con independencia del nivel de riesgo de cada sistema de información basado en IA.

Definir un propósito claro

El despliegue de un sistema de IA es altamente dependiente de la finalidad que persigue la organización. No se trata de subirse al carro de una moda. Es cierto que la información pública disponible parece evidenciar que la integración de este tipo de tecnología forma parte importante de los procesos de transformación digital de las empresas y de la Administración, proporcionando mayor eficiencia y capacidades. Sin embargo, no puede convertirse en una moda instalar cualquiera de los Large Language Models (LLM). Se necesita una reflexión previa que tenga en cuenta cuáles son las necesidades de la organización y defina que tipo de IA va a contribuir a la mejora de nuestras capacidades. No adoptar esta estrategia podría poner en riesgo a nuestra entidad, no solo desde el punto de vista de su funcionamiento y resultados, sino incluso desde una perspectiva jurídica. Por ejemplo, introducir un LLM o un chatbot en un entorno de alto riesgo decisional podría suponer padecer impactos reputacionales o incurrir en responsabilidad civil. Insertar este LLM en un entorno médico, o utilizar un chatbot en un contexto sensible con población no preparada o en procesos de asistencia críticos, podría acabar generando situaciones de riesgo de consecuencias imprevisibles para las personas.

No hacer el mal

El principio de no maleficiencia es un elemento clave y debe inspirar de modo determinante nuestra práctica en el mundo de la IA. Por ello el RIA establece una serie de prácticas expresamente prohibidas para proteger los derechos fundamentales y la seguridad de las personas. Estas prohibiciones se centran en evitar manipulaciones, discriminaciones y usos indebidos de sistemas de IA que puedan causar daños significativos.

Categorías de prácticas prohibidas

1. Manipulación y control del comportamiento. Mediante el uso de técnicas subliminales o manipuladoras que alteren el comportamiento de personas o colectivos, impidiendo la toma de decisiones informadas y provocando daños considerables.

2. Explotación de vulnerabilidades. Derivadas de la edad, discapacidad o situación social/económica para modificar sustancialmente el comportamiento y causar perjuicio.

3. Puntuación social (Social Scoring). IA que evalúe a personas en función de su comportamiento social o características personales, generando calificaciones con efectos para los ciudadanos que resulten en tratos injustificados o desproporcionados.

4. Evaluación de riesgos penales basada en perfiles. IA utilizada para predecir la probabilidad de comisión de delitos únicamente mediante elaboración de perfiles o características personales. Aunque se admite su uso para la investigación penal cuando el delito se ha cometido efectivamente y existen hechos que analizar.

5. Reconocimiento facial y bases de datos biométricas. Sistemas para la ampliación de bases de datos de reconocimiento facial mediante la extracción no selectiva de imágenes faciales de Internet o de circuitos cerrados de televisión.

6. Inferencia de emociones en entornos sensibles. Diseñar o usar la IA para inferir emociones en el trabajo o en centros educativos, salvo por motivos médicos o de seguridad.

7. Categorización biométrica sensible. Desarrollar o utilizar una IA que clasifique a individuos según datos biométricos para deducir raza, opiniones políticas, religión, orientación sexual, etc.

8. Identificación biométrica remota en espacios públicos. Uso de sistemas de identificación biométrica remota «en tiempo real» en espacios públicos con fines policiales, salvo excepciones muy limitadas (búsqueda de víctimas, prevención de amenazas graves, localización de sospechosos de delitos graves).

Al margen de las conductas expresamente prohibidas es importante tener en cuenta que el principio de no maleficencia implica que no podemos utilizar un sistema de IA con la clara intención de causar un daño, con la conciencia de que esto podría ocurrir o, en cualquier caso, cuando la finalidad que perseguimos sea contraria a derecho.

Garantizar una adecuada gobernanza de datos

El concepto de gobernanza de datos se encuentra en el artículo 10 del RIA y aplica a los sistemas de alto riesgo. No obstante, contiene un conjunto de principios de alta rentabilidad a la hora de desplegar un sistema de cualquier nivel. Los sistemas de IA de alto riesgo que usan datos deben desarrollarse con conjuntos de entrenamiento, validación y prueba que cumplan criterios de calidad. Para ello se definen ciertas prácticas de gobernanza para asegurar:

• Diseño adecuado.
• Que la recogida y origen de los datos, y en el caso de los datos personales la finalidad perseguida, sean adecuadas y legítimas.
• Que se adopten procesos de preparación como la anotación, el etiquetado, la depuración, la actualización, el enriquecimiento y la agregación.
• Que el sistema se diseñe con casos de uso cuya información sea coherente con lo que se supone que miden y representan los datos.
• Asegurar la calidad de los datos garantizando la disponibilidad, la cantidad y la adecuación de los conjuntos de datos necesarios.
• Detectar y revisar de sesgos que puedan afectar a la salud y la seguridad de las personas, a los derechos o generar discriminación, especialmente cuando las salidas de datos influyan en las informaciones de entrada de futuras operaciones. Deben adoptarse medidas para prevenir y corregir estos sesgos.
• Identificar y resolver lagunas o deficiencias en los datos que impidan el cumplimiento del RIA, y añadiríamos que la legislación.
• Los conjuntos de datos empleados deben ser relevantes, representativos, completos y con propiedades estadísticas adecuadas para su uso previsto y deben considerar las características geográficas, contextuales o funcionales necesarias para el sistema, así como garantizar su diversidad. Además, carecerán de errores y estarán completos en vista de su finalidad prevista.

La IA es una tecnología altamente dependiente de los datos que la alimentan. Desde este punto de vista, no disponer de gobernanza de datos no solo puede afectar al funcionamiento de estas herramientas, sino que podría generar responsabilidad para el usuario.

En un futuro no lejano, la obligación de que los sistemas de alto riesgo obtengan un marcado CE emitido por un organismo notificado (es decir, designado por un Estado miembro de la Unión Europea) ofrecerá condiciones de confiabilidad al mercado. Sin embargo, para el resto de los sistemas de menor riesgo aplica la obligación de transparencia. Esto no implica en absoluto que el diseño de esta IA no deba tener en cuenta estos principios en la medida de lo posible. Por tanto, antes de realizar una contratación sería razonable verificar la información precontractual disponible tanto en relación con las características del sistema y su confiabilidad como respecto de las condiciones y recomendaciones de despliegue y uso.

Otra cuestión atañe a nuestra propia organización. Si no disponemos de las adecuadas medidas de cumplimiento normativo, organizativas, técnicas y de calidad que aseguren la confiabilidad de nuestros propios datos, difícilmente podremos utilizar herramientas de IA que se alimenten de ellos. En el contexto del RIA el usuario de un sistema también puede incurrir en responsabilidad. Es perfectamente posible que un producto de esta naturaleza haya sido desarrollado de modo adecuado por el proveedor y que en términos de reproducibilidad éste pueda garantizar que bajo las condiciones adecuadas el sistema funciona correctamente. Lo que desarrolladores y proveedores no pueden resolver son las inconsistencias en los conjuntos de datos que integre en la plataforma el usuario-cliente. No es su responsabilidad si el cliente no desplegó adecuadamente un marco de cumplimiento del Reglamento General de Protección de Datos o está utilizando el sistema para una finalidad ilícita. Tampoco será su responsabilidad que el cliente mantenga conjuntos de datos no actualizados o no confiables que al ser introducidos en la herramienta generen riesgos o contribuyan a la toma de decisiones inadecuadas o discriminatorias.

En consecuencia, la recomendación es clara: antes de implementar un sistema basado en inteligencia artificial debemos asegurarnos de que la gobernanza de datos y el cumplimiento de la legislación vigente se garanticen adecuadamente.

Garantizar la seguridad

La IA es una tecnología particularmente sensible que presenta riesgos de seguridad específicos, -los llamados efectos adversarios-, como por ejemplo la corrupción de los conjuntos de datos. No es necesario buscar ejemplos sofisticados. Como cualquier sistema de información la IA exige que las organizaciones los desplieguen y utilicen de modo seguro. En consecuencia, el despliegue de la IA en cualquier entorno exige el desarrollo previo de un análisis de riesgos que permita identificar cuáles son las medidas organizativas y técnicas que garantizan un uso seguro que la herramienta.

Formar a su personal

A diferencia del RGPD, en el que esta cuestión es implícita, el RIA expresamente establece como obligación el deber de formar. El artículo 4 del RIA es tan preciso que merece la pena su reproducción íntegra:

Los proveedores y responsables del despliegue de sistemas de IA adoptarán medidas para garantizar que, en la mayor medida posible, su personal y demás personas que se encarguen en su nombre del funcionamiento y la utilización de sistemas de IA tengan un nivel suficiente de alfabetización en materia de IA, teniendo en cuenta sus conocimientos técnicos, su experiencia, su educación y su formación, así como el contexto previsto de uso de los sistemas de IA y las personas o los colectivos de personas en que se van a utilizar dichos sistemas.

Este sin duda es un factor crítico. Las personas que utilizan la inteligencia artificial deben haber recibido una formación adecuada que les permita entender la naturaleza del sistema y ser capaces de tomar decisiones informadas. Uno de los principios nucleares de la legislación y del enfoque europeo es el de supervisión humana. Por tanto, con independencia de las garantías que ofrezca un determinado producto de mercado, la organización que lo utiliza siempre será responsable de las consecuencias. Y ello ocurrirá tanto en el caso en el que la última decisión se atribuya a una persona, como cuando en procesos altamente automatizados los responsables de su gestión no sean capaces de identificar una incidencia tomando decisiones adecuadas con supervisión humana.

La culpa in vigilando

La introducción masiva de los LLM plantea el riesgo de incurrir en la llamada culpa in vigilando: un principio jurídico que hace referencia a la responsabilidad que asume una persona por no haber ejercido la debida vigilancia sobre otra, cuando de esa falta de control se deriva un daño o un perjuicio. Si su organización ha introducido cualquiera de estos productos de mercado que integran funciones como realizar informes, evaluar información alfanumérica e incluso asistirle en la gestión del correo electrónico, será fundamental que asegure el cumplimiento de las recomendaciones que anteriormente hemos señalado. Resultará particularmente aconsejable que defina de modo muy preciso los fines para los que se implementa la herramienta, los roles y responsabilidades de cada usuario y proceda a documentar sus decisiones y a formar adecuadamente al personal.

Desgraciadamente el modelo de introducción en el mercado de los LLM ha generado por sí mismo un riesgo sistémico y grave para las organizaciones. La mayor parte de herramientas han optado por una estrategia de comercialización que no difiere en nada de la que en su día emplearon las redes sociales. Esto es, permiten el acceso en abierto y gratuito a cualquier persona. Es obvio que con ello consiguen dos resultados: reutilizar la información que se les facilita monetizando el producto y generar una cultura de uso que facilite la adopción y comercialización de la herramienta.

Imaginemos una hipótesis, por supuesto, descabellada. Un médico interno residente (MIR) ha descubierto que varias de estas herramientas han sido desarrolladas y, de hecho, se utilizan en otro país para el diagnóstico diferencial. Nuestro MIR está muy preocupado por tener que despertar al jefe de guardia médica en el hospital cada 15 minutos. Así que, diligentemente, contrata una herramienta, que no se ha previsto para ese uso en España, y toma decisiones basadas en la propuesta de diagnóstico diferencial de un LLM sin tener todavía las capacidades que lo habilitan para una supervisión humana. Evidentemente existe un riesgo significativo de acabar causando un daño a un paciente.

Situaciones como la descrita obligan a considerar cómo deben actuar las organizaciones que no utilizan IA pero que son conscientes del riesgo de que sus empleados las usen sin su conocimiento o consentimiento. En este sentido, se debería adoptar una estrategia preventiva basada en la emisión de circulares e instrucciones muy precisas respecto de la prohibición de su uso. Por otra parte, existe una situación de riesgo híbrida. El LLM se ha contratado por la organización y es utilizada por la persona empleada para fines distintos de los previstos. En tal caso la dupla seguridad-formación adquiere un valor estratégico.

Probablemente la formación y la adquisición de cultura sobre la inteligencia artificial sea un requisito esencial para el conjunto de la sociedad. De lo contrario, los problemas y riesgos sistémicos que en el pasado afectaron al despliegue de Internet volverán a suceder y quién sabe si con una intensidad difícil de gobernar.

Contenido elaborado por Ricard Martínez Martínez, Director de la Cátedra de Privacidad y Transformación Digital, Departamento de Derecho Constitucional de la Universitat de València. Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.

NOTAS

[1] Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) n.° 300/2008, (UE) n.° 167/2013, (UE) n.° 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 disponible en https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=OJ%3AL_202401689

[2] El RIA define como «proveedor»: una persona física o jurídica, autoridad pública, órgano u organismo que desarrolle un sistema de IA o un modelo de IA de uso general o para el que se desarrolle un sistema de IA o un modelo de IA de uso general y lo introduzca en el mercado o ponga en servicio el sistema de IA con su propio nombre o marca, previo pago o gratuitamente.

[3] EL RIA define como «responsable del despliegue»: una persona física o jurídica, o autoridad pública, órgano u organismo que utilice un sistema de IA bajo su propia autoridad, salvo cuando su uso se enmarque en una actividad personal de carácter no profesional.

[4] El RIA define como «modelo de IA de uso general»: un modelo de IA, también uno entrenado con un gran volumen de datos utilizando autosupervisión a gran escala, que presenta un grado considerable de generalidad y es capaz de realizar de manera competente una gran variedad de tareas distintas, independientemente de la manera en que el modelo se introduzca en el mercado, y que puede integrarse en diversos sistemas o aplicaciones posteriores, excepto los modelos de IA que se utilizan para actividades de investigación, desarrollo o creación de prototipos antes de su introducción en el mercado.

Hace tan solo unos días, la Dirección General de Tráfico publicó el nuevo Programa Marco para Prueba de Vehículos Automatizados que, entre otras medidas, contempla “la entrega obligatoria de informes, tanto periódicos y finales como en caso de incidentes, que permitirán a la DGT evaluar la seguridad de las pruebas y publicar información básica […] garantizando la transparencia y la confianza pública”.

El avance de la tecnología digital está facilitando que el sector del transporte se enfrente a una revolución sin precedentes respecto a la conducción de vehículos autónomos, ofreciendo mejorar significativamente la seguridad vial, la eficiencia energética y la accesibilidad de la movilidad.

El despliegue definitivo de estos vehículos depende en gran medida de la disponibilidad, calidad y accesibilidad de grandes volúmenes de datos, así como de un marco jurídico adecuado que asegure la protección de los diversos bienes jurídicos implicados (datos personales, secreto empresarial, confidencialidad…), la seguridad del tráfico y la transparencia. En este contexto, los datos abiertos y la reutilización de la información del sector público se manifiestan como elementos esenciales para el desarrollo responsable de la movilidad autónoma, en particular a la hora de garantizar unos adecuados niveles de seguridad en el tráfico.

La dependencia de los datos en los vehículos autónomos

La tecnología que da soporte a los vehículos autónomos se sustenta en la integración de una compleja red de sensores avanzados, sistemas de inteligencia artificial y algoritmos de procesamiento en tiempo real, lo que les permite identificar obstáculos, interpretar las señales de tráfico, predecir el comportamiento de otros usuarios de la vía y, de una forma colaborativa, planificar rutas de forma completamente autónoma.

En el ecosistema de vehículos autónomos, la disponibilidad de datos abiertos de calidad resulta estratégica para:

• Mejorar la seguridad vial, de manera que puedan utilizarse datos de tráfico en tiempo real que permitan anticipar peligros, evitar accidentes y optimizar rutas seguras a partir del análisis masivo de datos.
• Optimizar la eficiencia operativa, ya que el acceso a información actualizada sobre el estado de las vías, obras, incidencias y condiciones de tráfico permite una planificación más eficiente de los desplazamientos.
• Impulsar la innovación sectorial, facilitando la creación de nuevas herramientas digitales que facilitan la movilidad.

En concreto, para garantizar un funcionamiento seguro y eficiente de este modelo de movilidad se requiere el acceso continuo a dos categorías fundamentales de datos:

• Datos variables o dinámicos, que ofrecen información en constante cambio como la posición, velocidad y comportamiento de otros vehículos, peatones, ciclistas o las condiciones meteorológicas en tiempo real.
• Datos estáticos, que comprenden información relativamente permanente como la localización exacta de señales de tráfico, semáforos, carriles, límites de velocidad o las principales características de la infraestructura viaria.

El protagonismo de los datos suministrados por las entidades públicas

Las fuentes de las que provienen tales datos son ciertamente diversas. Esto resulta de gran relevancia por lo que se refiere a las condiciones en que dichos datos estarán disponibles. En concreto, algunos de los datos son proporcionados por entidades públicas, mientras que en otros casos el origen proviene de empresas privadas (fabricantes de vehículos, proveedoras de servicios de telecomunicaciones, desarrolladoras de herramientas digitales…) con sus propios intereses o, incluso, de las personas que utilizan los espacios públicos, los dispositivos y las aplicaciones digitales.

Esta diversidad exige un diferente planteamiento a la hora de facilitar la disponibilidad de los datos en condiciones adecuadas, en concreto por las dificultades que pueden plantearse desde el punto de vista jurídico. Con relación a las Administraciones Públicas, la Directiva (UE) 2019/1024 relativa a datos abiertos y reutilización de información del sector público establece obligaciones claras que serían de aplicación, por ejemplo, a la Dirección General de Tráfico, las Administraciones titulares de las vías públicas o los municipios en el caso de los entornos urbanos. Asimismo, el Reglamento (UE) 2022/868 sobre gobernanza europea de datos refuerza este marco normativo, en particular por lo que se refiere a la garantía de los derechos de terceros y, en concreto, la protección de datos personales.

Más aún, algunos conjuntos de datos deberían proporcionarse en las condiciones establecidas para los datos dinámicos, esto es, aquellos “sujetos a actualizaciones frecuentes o en tiempo real, debido, en particular, a su volatilidad o rápida obsolescencia”, que habrán de estar disponibles “para su reutilización inmediatamente después de su recopilación, a través de las API adecuadas y, cuando proceda, en forma de descarga masiva”.

Incluso, cabría pensar que la categoría de datos de alto valor presenta un especial interés en el contexto de los vehículos autónomos dado su potencial para facilitar la movilidad, en concreto si tenemos en cuenta su potencial para:

• Impulsar la innovación tecnológica, ya que facilitarían a fabricantes, desarrolladores y operadores acceder a información fiable y actualizada, esencial para el desarrollo, validación y mejora continua de sistemas de conducción autónoma.
• Facilitar la supervisión y evaluación desde la perspectiva de la seguridad, ya que la transparencia y accesibilidad de estos datos son presupuestos esenciales desde esta perspectiva.
• Dinamizar el desarrollo de servicios avanzados, puesto que los datos sobre infraestructura vial, señalización, tráfico e, incluso, los resultados de pruebas realizadas en el contexto del citado Programa Marco constituyen la base para nuevas aplicaciones y servicios de movilidad que benefician al conjunto de la sociedad.

Sin embargo, esta condición no aparece expresamente recogida para los datos vinculados al tráfico en la definición realizada a nivel europeo, por lo que, al menos de momento, no cabría exigir a las entidades públicas la difusión de los datos que aplican a los vehículos autónomos en las singulares condiciones establecidas para los datos de alto valor. No obstante, en este momento de transición para el despliegue de los vehículos autónomos, resulta fundamental que las Administraciones públicas publiquen y mantengan actualizados en condiciones adecuadas para su tratamiento automatizado, algunos conjuntos de datos, como los relativos a:

• Señales viales y elementos de señalización vertical.
• Estados de semáforos y sistemas de control de tráfico.
• Configuración y características de carriles.
• Información sobre obras y alteraciones temporales de tráfico.
• Elementos de infraestructura vial críticos para la navegación autónoma.

La reciente actualización del catálogo oficial de señales de tráfico, que entra en vigor el 1 de julio de 2025 incorpora señalizaciones adaptadas a nuevas realidades, como es el caso de la movilidad personal. Sin embargo, requiere de una mayor concreción por lo que se refiere a la disponibilidad de los datos relativos a las señales en las referidas condiciones. Para ello será necesaria la intervención de las autoridades responsables de la señalización de las vías.

La disponibilidad de los datos en el contexto del espacio europeo de movilidad

Partiendo de estos condicionamientos y de la necesidad de disponer de los datos de movilidad generados por empresas privadas y particulares, los espacios de datos aparecen como el entorno jurídico y de gobernanza óptimo para facilitar su accesibilidad en condiciones adecuadas.

En este sentido, las iniciativas para el despliegue del espacio de datos europeo de movilidad, creado en 2023, constituyen una oportunidad para integrar en su diseño y configuración medidas que den soporte a la necesidad de acceso a los datos que exigen los vehículos autónomos. Así pues, en el marco de esta iniciativa sería posible liberar el potencial de los datos de movilidad y, en concreto:

• Facilitar la disponibilidad de los datos en condiciones específicas para las necesidades de los vehículos autónomos.
• Promover la interconexión de diversas fuentes de datos vinculadas a los medios de transporte ya existentes, pero también de los emergentes.
• Acelerar la transformación digital que suponen los vehículos autónomos.
• Reforzar la soberanía digital de la industria automovilística europea, reduciendo la dependencia de grandes corporaciones tecnológicas extranjeras.

En definitiva, los vehículos autónomos pueden suponer una transformación fundamental en la movilidad tal y como hasta ahora se ha concebido, pero su desarrollo depende entre otros factores de la disponibilidad, calidad y accesibilidad de datos suficientes y adecuados. El Proyecto de Ley de Movilidad Sostenible que actualmente se encuentra en tramitación en las Cortes Generales constituye una magnífica oportunidad para reforzar el papel de los datos a la hora de facilitar la innovación en este ámbito, lo que sin duda favorecería el desarrollo de los vehículos autónomos. Para ello será imprescindible, de una parte, contar con un entorno de compartición de datos que haga compatible el acceso a los datos con las adecuadas garantías para los derechos fundamentales y la seguridad de la información; y, de otra, diseñar un modelo de gobernanza que, como se enfatiza en el Programa impulsado por la Dirección General de Tráfico, facilite la participación colaborativa de “fabricantes, desarrolladores, importadores y operadores de flotas establecidos en España o en la Unión Europea”, lo que plantea importantes desafíos en la disponibilidad de los datos.

Contenido elaborado por Julián Valero, catedrático de la Universidad de Murcia y Coordinador del Grupo de Investigación “Innovación, Derecho y Tecnología” (iDerTec). Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.

El Índice de Tendencias del Trabajo 2024 sobre el Estado de la Inteligencia Artificial en el Trabajo y los informes de T-Systems e InfoJobs indican que un 78% de los trabajadores en España utilizan sus propias herramientas de IA en el ámbito laboral. Esta cifra aumenta al 80% en empresas de tamaño mediano. Además 1 de cada 3 trabajadores (32%) emplea herramientas de IA en su día a día laboral. El 75% de los trabajadores del conocimiento utiliza herramientas de IA generativa, y casi la mitad comenzó a hacerlo en los últimos seis meses. Curiosamente, la brecha generacional se reduce en este ámbito. Si bien el 85% de los empleados de la Generación Z (18 a 28 años) utilizan IA personalizada, resulta que más del 70% de los baby boomers (mayores de 58 años) también emplean estas herramientas. En realidad, esta tendencia parece ser confirmada desde distintos enfoques.

Figura 1. Tabla de referencias sobre BYOAI

Este fenómeno se ha denominado BYOAI (Bring Your Own AI o Traer tu propia IA), por sus siglas en inglés. Se caracteriza porque la persona empleada suele utilizar algún tipo de solución abierta al uso libre como, por ejemplo, ChatGPT. La organización no ha contratado el servicio, el registro se ha producido con carácter privado por el usuario y el proveedor obviamente no asume ninguna responsabilidad legal. Si, por ejemplo, se utilizan las posibilidades que ofrece Notebook, Perplexity o DeepSeek es perfectamente posible que se carguen documentos confidenciales o protegidos.

Por otra parte, esto coincide, según datos de EuroStat, con la adopción de la IA en el sector empresarial. En 2024, el 13,5% de las empresas europeas (con 10 o más empleados) usaban alguna tecnología de IA, cifra que sube al 41% en grandes empresas y es especialmente alta en sectores como información y comunicación (48,7%), servicios profesionales, científicos y técnicos (30,5%). La tendencia a la adopción de la IA en el sector público también es creciente debido no sólo a las tendencias globales, sino probablemente a la adopción de estrategias de IA y al impacto positivo de los fondos Next Generation.

El deber legal de alfabetización en IA

En este contexto emergen preguntas de modo inmediato. Las primeras se refieren al fenómeno del uso no autorizado por las personas empleadas: ¿Ha emitido la persona delegada de protección de datos o la responsable de seguridad algún informe dirigido a la dirección de la organización? ¿Se ha autorizado este tipo de uso? ¿Se discutió el asunto en alguna reunión del Comité de Seguridad? ¿Se ha dirigido alguna circular informativa definiendo con precisión las reglas aplicables? Pero junto a estas emergen otras de carácter más general: ¿Qué nivel de formación poseen las personas? ¿Están capacitadas para emitir informes o tomar decisiones usando este tipo de herramientas?

El Reglamento de la Unión Europea sobre Inteligencia Artificial (RIA), con buen criterio, ha establecido un deber de alfabetización en IA que se impone a los proveedores y responsables del despliegue de este tipo de sistemas. A estos les corresponde adoptar medidas para garantizar que, en la mayor medida posible, su personal y demás personas que se encarguen en su nombre del funcionamiento y la utilización de sistemas de IA, tengan un nivel suficiente de alfabetización en materia de IA. Para ello es necesario tener en cuenta sus conocimientos técnicos, su experiencia, su educación y su formación. La formación debe integrarse en el contexto previsto de uso de los sistemas de IA y ajustarse al perfil de las personas o los colectivos en que se van a utilizar dichos sistemas.

A diferencia de lo que ocurre en el Reglamento General de Protección de Datos₁, aquí la obligación se formula de forma expresa e imperativa. En el RGPD no existe ninguna referencia directa a esta materia, salvo al definir como función de la persona delegada de protección de datos la formación del personal que participa en las operaciones de tratamiento. Esta necesidad puede deducirse también de la obligación del encargado del tratamiento de garantizar que las personas autorizadas para tratar datos personales conozcan su deber de confidencialidad. Es obvio que el deber de responsabilidad proactiva, la protección de datos desde el diseño y por defecto y la gestión del riesgo conducen a formar a los usuarios de sistemas de información. Sin embargo, lo cierto es que el modo en el que esta formación se despliega no siempre es el adecuado. En muchas organizaciones o no existe, o es voluntaria o se basa en la firma de un conjunto de obligaciones de seguridad al acceder a un puesto de trabajo.

En el ámbito de los sistemas de información basados en inteligencia artificial la obligación de formar es innegociable y se impone de modo imperativo. El RIA prevé multas muy elevadas que especifica el Anteproyecto de ley para el buen uso y la gobernanza de la Inteligencia Artificial. Cuando se apruebe la futura Ley constituirá infracción grave el incumplimiento del artículo 26.2 del RIA, relativo a la necesidad de encomendar la supervisión humana del sistema a personas con la adecuada competencia, formación y autoridad.

Beneficios de formar en IA

Más allá de la coerción legal, formar a las personas constituye una decisión acertada y sin duda beneficiosa que debe leerse en positivo y concebirse como una inversión. De una parte, contribuye a adoptar medidas dirigidas a gestionar el riesgo que en el caso del BYOAI incluye fuga de datos, pérdida de propiedad intelectual, problemas de cumplimiento y ciberseguridad. Por otra parte, es necesario gestionar riesgos asociados al uso regular de la IA. Y en este sentido, resulta fundamental que los usuarios finales conozcan con mucho detalle los modos en los que la tecnología funciona, su papel de supervisión humana en el proceso de toma de decisiones y que adquieran la capacidad de identificar y reportar cualquier incidencia en el funcionamiento.

Sin embargo, la formación debe perseguir objetivos de alto nivel. Debería ser continua, combinando teoría, práctica y actualización permanente e incluir tanto aspectos técnicos como éticos, legales y de impacto social para promover una cultura de conocimiento y uso responsable de la IA en la organización. Sus beneficios para la dinámica de la actividad pública o privada son del más variado signo.

Con respecto a sus beneficios, la alfabetización en inteligencia artificial (IA) se ha convertido en un factor estratégico para transformar la toma de decisiones y promover la innovación en las organizaciones:

• Al dotar a los equipos de conocimientos sólidos sobre el funcionamiento y las aplicaciones de la IA, se facilita la interpretación de datos complejos y el uso de herramientas avanzadas, lo que permite identificar patrones y anticipar tendencias relevantes para el negocio.
• Este conocimiento especializado contribuye a minimizar errores y sesgos, ya que promueve decisiones fundamentadas en análisis rigurosos en lugar de intuiciones, y capacita para detectar posibles desviaciones en los sistemas automatizados. Además, la automatización de tareas rutinarias reduce la probabilidad de fallos humanos y libera recursos que pueden enfocarse en actividades estratégicas y creativas.
• La integración de la IA en la cultura organizacional impulsa una mentalidad orientada al análisis crítico y al cuestionamiento de las recomendaciones tecnológicas, promoviendo así una cultura basada en la evidencia. Este enfoque no solo fortalece la capacidad de adaptación ante los avances tecnológicos, sino que también facilita la detección de oportunidades para optimizar procesos, desarrollar nuevos productos y mejorar la eficiencia operativa.
• En el ámbito legal y ético, la alfabetización en IA ayuda a gestionar los riesgos asociados al cumplimiento normativo y a la reputación, ya que fomenta prácticas transparentes y auditables que generan confianza tanto en la sociedad como en los reguladores.
• Por último, comprender el impacto y las posibilidades de la IA disminuye la resistencia al cambio y favorece la adopción de nuevas tecnologías, acelerando la transformación digital y posicionando a la organización como líder en innovación y adaptación a los retos del entorno actual.

Figura 2. Beneficios de la alfabetización en IA. Fuente: elaboración propia

Buenas prácticas para una formación en IA exitosa

Las organizaciones deben reflexionar sobre su estrategia formativa para alcanzar estos objetivos. En este sentido, parece razonable compartir algunas lecciones aprendidas en materia de protección de datos. En primer lugar, es necesario señalar que toda formación se debe iniciar comprometiendo al equipo de dirección de la organización. El temor reverencial al Consejo de Administración, a la Corporación Local o al Gobierno de turno no debe existir. El nivel político de toda organización debería predicar con el ejemplo si realmente se quiere permear al conjunto de los recursos humanos. Y esta formación debe ser muy específica no sólo desde el punto de vista de la gestión del riesgo sino también desde un enfoque de oportunidad basada en una cultura de la innovación responsable.

Del mismo modo, y aunque pueda implicar costes adicionales, es necesario tener en cuenta no sólo a los usuarios de los sistemas de información basados en IA sino a todo el personal. Ello no sólo nos permitirá evitar los riesgos asociados al BYOAI sino establecer una cultura corporativa que facilite los procesos de implantación de la IA.

Finalmente, será indispensable adaptar la formación a los perfiles específicos: tanto a los usuarios de sistemas basados en IA, el personal técnico (TI) instrumental y los mediadores y habilitadores éticos y legales como a los oficiales de compliance o los responsables de la adquisición o licitación de productos y servicios.

Sin perjuicio de los contenidos que en buena lógica debe reunir este tipo de formación existen ciertos valores que deben inspirar los planes formativos. En primer lugar, no es ocioso recordar que se trata de una formación obligatoria y funcionalmente adaptada al puesto de trabajo. En segundo lugar, debe ser capaz de empoderar a las personas y comprometerlas con el uso de la IA. El enfoque legal de la UE se basa en el principio de responsabilidad y supervisión humana: el humano decide siempre. Y por tanto debe estar capacitado para tomar decisiones adecuadas al output que le proporciona la IA, para disentir del criterio de la máquina en un ecosistema que le ampare y le permita reportar incidentes y revisarlos.

Por último, existe un elemento que no se puede obviar bajo ninguna circunstancia: con independencia de que se traten o no datos personales, y de que la IA tenga por destino a los seres humanos, sus resultados siempre repercutirán directa o indirectamente en las personas o sobre la sociedad. Por tanto, el enfoque formativo debe integrar las implicaciones éticas, legales y sociales de la IA y comprometer a los usuarios con la garantía de los derechos fundamentales y la democracia.

Vivimos en un mundo cada vez más digitalizado donde trabajamos, estudiamos, nos informamos y socializamos a través de tecnologías. En este mundo, en el que la tecnología y la conectividad se han convertido en pilares fundamentales de la sociedad, los derechos digitales emergen como un componente esencial para garantizar la libertad, la privacidad y la igualdad en esta nueva faceta online de nuestras vidas.

Por tanto, los derechos digitales no son más que la extensión de los derechos y libertades fundamentales de los que ya nos beneficiamos al entorno virtual. En este artículo exploraremos en qué consisten estos derechos, por qué son importantes y cuáles son algunas de las iniciativas de referencia en este área.

¿Qué son los derechos digitales y por qué son importantes?

Según declaraba Antonio Guterres, Secretario General de las Naciones Unidas, durante el Internet Governance Forum ya en el año 2018:

“La humanidad debe estar en el centro de la evolución tecnológica. La tecnología no debe usar a las personas; nosotros debemos usar la tecnología para el beneficio de todos.”

Y es que la tecnología debería servir para mejorar nuestras vidas, no para dominarlas. Para que esto sea posible, como ha ocurrido con otras tecnologías transformadoras del pasado, necesitamos establecer políticas que eviten en la medida de lo posible la aparición de efectos indeseados o usos malintencionados. Por tanto, los derechos digitales buscan facilitar una transformación digital humanista, donde la innovación tecnológica vaya acompañada de protección a las personas, a través de un conjunto de garantías y libertades que permiten a los ciudadanos ejercer sus derechos fundamentales también en el entorno digital. Entre ellos destacan, por ejemplo:

• Libertad de expresión: para una comunicación e intercambio de ideas sin censura.
• Derecho a la privacidad y protección de datos: garantizando la intimidad y el control sobre la información personal.
• Acceso a la información y transparencia: asegurando que todos puedan acceder a datos y servicios digitales de forma equitativa.
• Seguridad en línea: busca proteger a los usuarios de fraudes, ciberataques y otros riesgos del mundo digital.

En un entorno digital, donde la información circula rápidamente y las tecnologías evolucionan de forma constante, garantizar estos derechos es crucial para mantener la integridad de nuestras interacciones, la manera en que accedemos y consumimos información, y nuestra participación en la vida pública.

Un marco internacional para los derechos digitales

A medida que la tecnología avanza, el concepto de derechos digitales ha cobrado creciente importancia a nivel global en las últimas décadas. Si bien no existe una carta mundial única de derechos digitales, son múltiples las iniciativas globales y regionales que apuntan hacia una misma dirección: la Declaración Universal de los Derechos Humanos de las Naciones Unidas. Originalmente, esta declaración ni siquiera mencionaba Internet, ya que fue proclamada en 1948 y por entonces no existía, pero hoy en día sus principios se consideran plenamente aplicables al mundo digital. De hecho, la comunidad internacional coincide en que los mismos derechos que proclamamos para el mundo offline deben ser respetados también online – “lo que es ilegal offline también debe serlo online”.

Además, las Naciones Unidas han subrayado que el acceso a Internet se está convirtiendo en un habilitador básico de otros derechos, por lo que la conectividad debe considerarse también un nuevo derecho humano del siglo XXI.

Iniciativas de referencia europeas e internacionales

En los últimos años son varias las iniciativas que han surgido con el objetivo de adaptar y proteger los derechos fundamentales también en el entorno digital. Por ejemplo, Europa ha sido pionera en establecer un marco explícito de principios digitales. En enero de 2023, la Unión Europea proclamó la Declaración Europea de Derechos y Principios Digitales para la Década Digital, un documento que refleja la visión europea de una transformación tecnológica centrada en las personas y establece un marco común para salvaguardar la libertad, la seguridad y la privacidad de los ciudadanos en la era digital. Esta declaración, junto con otras iniciativas internacionales, subraya la necesidad de armonizar los derechos tradicionales con los desafíos y oportunidades del entorno digital.

La Declaración, acordada conjuntamente por el Parlamento Europeo, el Consejo y la Comisión, define una serie de principios fundamentales que deben orientar la era digital Europea (puedes ver un resumen en esta infografía):

• Centrado en las personas y sus derechos: la tecnología debe servir a las personas y respetar sus derechos y dignidad, no al revés.
• Solidaridad e inclusión: promover la inclusión digital de todos los grupos sociales, cerrando la brecha digital.
• Libertad de elección: asegurar entornos online justos y seguros, donde los usuarios tengan opciones reales de elección y donde la neutralidad de la red sea respetada.
• Participación en el espacio público digital: fomentar que la ciudadanía participe activamente en la vida democrática en todos los niveles, y que pueda tener el control sobre sus datos.
• Seguridad y protección: incrementar la confianza en las interacciones digitales mediante mayor seguridad, privacidad y control por parte de los usuarios, protegiendo especialmente a los menores.
• Sostenibilidad: orientar el futuro digital hacia la sostenibilidad, considerando el impacto medioambiental de la tecnología.

Por tanto, la Declaración Europea sobre Derechos y Principios Digitales establece una guía clara para las leyes y políticas digitales de la Unión Europea, orientando su proceso de transformación digital. Aunque esta Declaración Europea no crea leyes por sí misma, sí establece un compromiso político conjunto y una hoja de ruta de valores. Además, deja claro que Europa aspira a promover estos principios como estándar mundial.

Por otro lado, la Comisión Europea supervisa su aplicación en todos los Estados miembros y publica un informe anual de seguimiento, en conjunto con el Informe sobre el estado de la Década Digital, para evaluar los avances y mantener el rumbo marcado. Además, la Declaración sirve como referencia en las relaciones internacionales de la UE, promoviendo una transformación digital global centrada en las personas y los derechos humanos.

Al margen de Europa, varias naciones han elaborado también sus propias cartas de derechos digitales, como por ejemplo la Carta Iberoamericana de Principios y Derechos en Entornos Digitales, y existen además foros internacionales como el Foro de Gobernanza de Internet donde se debate regularmente cómo proteger los derechos humanos en el ciberespacio. Por tanto, la tendencia global es reconocer que la era digital requiere adaptar y reforzar las protecciones legales existentes, sin crear “nuevos” derechos fundamentales de la nada, sino traduciendo los vigentes al nuevo entorno.

La Carta de Derechos Digitales de España

En línea con todas estas iniciativas internacionales, España ha dado también un paso decisivo al proponer su propia Carta de Derechos Digitales. Este ambicioso proyecto tiene como objetivo definir un conjunto de principios y garantías específicos que aseguren que todos los ciudadanos disfruten de una protección adecuada en el ámbito digital. Entre sus metas destacan:

• Definir estándares de privacidad y seguridad que respondan a las necesidades del ciudadano en la era digital.
• Fomentar la transparencia y la responsabilidad tanto en el sector público como en el privado.
• Impulsar la inclusión digital, garantizando el acceso equitativo a las tecnologías y la información.

En definitiva, esta iniciativa nacional representa un esfuerzo por adaptar la normativa y las políticas públicas a los desafíos del mundo digital, fortaleciendo la confianza de la ciudadanía en el uso de nuevas tecnologías. Además, dado que fue publicada ya en julio de 2021, ha contribuido también a los procesos de reflexión posteriores a nivel europeo, incluida la Declaración Europea citada anteriormente.

La Carta de Derechos Digitales de España se estructura en seis grandes categorías que abarcan las áreas de mayor riesgo e incertidumbre en el mundo digital:

1. Derechos de libertad: incluye libertades clásicas en su dimensión digital, como la libertad de expresión e información en Internet, la libertad ideológica en redes, el derecho al secreto de las comunicaciones digitales, así como el derecho al pseudonimato.
2. Derechos de igualdad: orientados a evitar cualquier forma de discriminación en el entorno digital, incluyendo la igualdad de acceso a la tecnología (inclusión digital de personas mayores, con discapacidad o en zonas rurales), y prevenir sesgos o tratos desiguales en sistemas algorítmicos.
3. Derechos de participación y conformación del espacio público: se refiere a asegurar la participación ciudadana y democrática a través de medios digitales. Incluye derechos electorales en entornos telemáticos, protección frente a la desinformación y la promoción de un debate público en la red que sea diverso y respetuoso.
4. Derechos en el entorno laboral y empresarial: engloba los derechos digitales de trabajadores y emprendedores. Un ejemplo concreto aquí es el derecho a la desconexión digital del trabajador. También incluye la protección de la intimidad del empleado ante sistemas de vigilancia digital en el trabajo y garantías en el teletrabajo, entre otros.
5. Derechos digitales en entornos específicos: aquí se abordan ámbitos particulares que plantean retos propios, por ejemplo los derechos de niños, niñas y adolescentes en el entorno digital (protección frente a contenidos nocivos, control parental, derecho a la educación digital); la herencia digital (qué ocurre con nuestros datos y cuentas en Internet tras fallecer); la identidad digital (poder gestionar y proteger nuestra identidad en línea); o derechos en el emergente mundo de la inteligencia artificial, el metaverso y las neurotecnologías.
6. Garantías y eficacias: esta última categoría se centra en cómo asegurar que todos estos derechos realmente se cumplan. Con ello la Carta busca que las personas tengan vías claras para reclamar en caso de vulneraciones de sus derechos digitales y que las autoridades cuenten con herramientas para hacer efectivos los derechos en Internet.

Como señaló el Gobierno en su presentación, se trata de “reforzar y ampliar los derechos de la ciudadanía, generar certidumbre en esta nueva realidad digital y aumentar la confianza de las personas ante la disrupción tecnológica”. Es decir, no se crean nuevos derechos fundamentales, pero sí se reconocen ámbitos emergentes (como la inteligencia artificial o la identidad digital) donde hace falta aclarar cómo se aplican y garantizan los derechos ya existentes.

El Observatorio de Derechos Digitales

Recientemente se ha anunciado la creación de un Observatorio de Derechos Digitales en España, una herramienta estratégica destinada a monitorizar, promover y evaluar de manera continua el estado y la evolución de estos derechos en el país con el objetivo de contribuir a hacerlos efectivos. El Observatorio se concibe como un espacio abierto, inclusivo y participativo para acercar los derechos digitales a la ciudadanía, y entre sus funciones principales se encuentran:

• Impulsar la implementación de la Carta de Derechos Digitales, de modo que las ideas plasmadas inicialmente en 2021 no queden en teoría, sino que se traduzcan en acciones concretas, leyes y políticas efectivas.
• Vigilar el cumplimiento de las normativas y recomendaciones establecidas en la Carta de Derechos Digitales.
• Combatir la desigualdad y la discriminación en línea, contribuyendo a reducir las brechas digitales de forma que la transformación tecnológica no deje atrás a colectivos vulnerables.
• Identificar áreas de mejora y proponer medidas para la protección de los derechos en el entorno digital.
• Detectar si el marco jurídico vigente se está quedando rezagado ante los nuevos desafíos provenientes de tecnologías disruptivas como la inteligencia artificial avanzada que plantean riesgos no contemplados en las leyes actuales.
• Fomentar la transparencia y el diálogo entre el gobierno, las instituciones y la sociedad civil para adaptar las políticas a los cambios tecnológicos.

Anunciado en febrero de 2025, el Observatorio forma parte del Programa Derechos Digitales, una iniciativa público-privada liderada por el Gobierno, con la participación de cuatro ministerios, y financiada por los fondos europeos NextGenerationEU dentro del Plan de Recuperación. Este programa cuenta con la colaboración de expertos en la materia, instituciones públicas, empresas tecnológicas, universidades y organizaciones de la sociedad civil. En total más de 150 entidades y 360 profesionales se han implicado en su desarrollo.

Por tanto, este Observatorio se perfila como un recurso esencial para garantizar que la protección de los derechos digitales se mantenga actualizada y responda de manera efectiva a los retos emergentes de la era digital.

Conclusión

Los derechos digitales son un pilar fundamental de la sociedad del siglo XXI y su consolidación es una tarea compleja que requiere la coordinación de iniciativas a nivel internacional, europeo y nacional. Iniciativas como la Declaración Europea de Derechos Digitales y otros esfuerzos globales han sentado las bases, pero es la implementación de medidas específicas como la Carta de Derechos Digitales de España y el nuevo Observatorio de Derechos Digitales lo que marcará la diferencia para asegurar un entorno digital libre, seguro y equitativo para todos.

En definitiva, la protección de los derechos digitales no es solo una necesidad legislativa, sino una condición indispensable para el ejercicio pleno de la ciudadanía en un mundo cada vez más interconectado. La participación activa y el compromiso tanto de los ciudadanos como de las instituciones serán claves para construir un futuro digital justo y sostenible. Si logramos hacer efectivos estos derechos, Internet y las nuevas tecnologías seguirán siendo sinónimo de oportunidad y libertad, y no de amenaza. Al fin y al cabo, los derechos digitales son, simplemente, nuestros derechos de siempre adaptados a los tiempos modernos, y protegerlos equivale a protegernos a nosotros mismos en esta nueva era digital.

Contenido elaborado por Carlos Iglesias, Open data Researcher y consultor, World Wide Web Foundation. Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.

El Reglamento de Gobernanza de Datos (Data Governance Act o DGA por sus siglas en inglés) forma parte de un complejo entramado normativo y de políticas públicas de la Unión Europea, cuyo objetivo último es crear un ecosistema de conjuntos de datos que alimente la transformación digital de los Estados miembros y los objetivos de la Década Digital Europea:

• Una población digitalmente capacitada y profesionales digitales altamente cualificados.
• Infraestructuras digitales seguras y sostenibles.
• Transformación digital de las empresas.
• Digitalización de los servicios públicos.

La opinión pública centra su atención en la inteligencia artificial tanto desde el punto de vista de las oportunidades como, sobre todo, de sus riesgos e incertidumbres. No obstante, el reto es mucho más profundo ya que implica en cada una de las distintas capas a muy diversas tecnologías, productos y servicios cuyo elemento común reside en la necesidad de favorecer la disponibilidad de un alto volumen de datos confiables y de calidad contrastada que soporten su desarrollo.

Fomentar el uso de los datos con la legislación como palanca

En sus inicios la Directiva 2019/1024 relativa a los datos abiertos y la reutilización de la información del sector público (Directiva Open Data), la Directiva 95/46/CE relativa al tratamiento de datos personales y a la libre circulación de estos datos, y posteriormente el Reglamento 2016/679 conocido como Reglamento General de Protección de Datos (RGPD) apostaron por la reutilización de los datos con plena garantía de los derechos. Sin embargo, su interpretación y aplicación generó en la práctica un efecto contrario a sus objetivos primigenios basculando claramente hacia un modelo restrictivo que puede haber operado afectando a los procesos de generación de datos para su explotación. Las grandes plataformas norteamericanas, mediante una estrategia de servicios gratuitos – buscadores, aplicaciones móviles y redes sociales - a cambio de datos personales y con el mero consentimiento, consiguieron el mayor volumen de datos personales en la historia de la humanidad, incluidas imágenes, voz y perfiles de personalidad.

Con el RGPD la Unión Europea quiso eliminar 28 maneras distintas de aplicar prohibiciones y limitaciones al uso de los datos. Ciertamente mejoró la calidad normativa, aunque tal vez los resultados alcanzados no han sido tan satisfactorios como se esperaba y así lo indican documentos como el Digital Economy and Society Index (DESI) 2022 o el Informe Draghi (The future of European competitiveness-Part A. A competitiveness strategy for Europe).

Ello ha obligado a un proceso de reingeniería legislativa que de manera expresa y homogénea defina las reglas que hagan posibles los objetivos. La reforma de la Directiva Open Data, la DGA, el Reglamento de Inteligencia Artificial y el futuro Espacio Europeo de Datos Sanitarios (EHDS por sus siglas en inglés), deberán ser leídos desde al menos dos enfoques:

• El primero de ellos es de alto nivel y su función se dirige a preservar nuestros valores constitucionales. La normativa adopta un enfoque centrado en el riesgo y en la garantía de la dignidad y los derechos de las personas, buscando evitar riesgos sistémicos para la democracia y los derechos fundamentales.
• El segundo es operacional, se centra en el desarrollo seguro y responsable del producto. Esta estrategia se basa en la definición de reglas de ingeniería de procesos para el diseño de productos y servicios que hagan de los productos europeos un referente global por su robustez, seguridad y confiabilidad.

Una Guía práctica de la Ley de Gobernanza de Datos

La protección de datos desde el diseño y por defecto, el análisis de riesgos para los derechos fundamentales, el proceso de desarrollo de los sistemas de información de inteligencia artificial de alto riesgo validados por los organismos correspondientes o los procesos de acceso y reutilización de datos de salud son ejemplos de los procesos de ingeniería jurídica y tecnológica que regirán nuestro desarrollo digital. No se trata de procedimientos fáciles de aplicar. De ahí que la Unión Europea realice un esfuerzo significativo en la financiación de proyectos como TEHDAS, EUHubs4Data o Quantum que operen como campo de pruebas. En paralelo se realizan estudios o se publican Guías como la Guía práctica de la Ley de Gobernanza de Datos.

Esta Guía recuerda los objetivos esenciales de la DGA:

• Regular la reutilización de determinados datos de titularidad pública sujetos a los derechos de terceros («datos protegidos», como los datos personales o los datos comerciales confidenciales o susceptibles de propiedad intelectual).
• Impulsar el intercambio de datos mediante la regulación de los proveedores de servicios de intermediación de datos.
• Fomentar el intercambio de datos con fines altruistas.
• Crear el Comité Europeo de Innovación en materia de datos para facilitar el intercambio de mejores prácticas.

La DGA promueve la reutilización segura de datos a través de diversas medidas y salvaguardias. Estas se centran en la reutilización de los datos de organismos del sector público, los servicios de intermediación de datos y el intercambio de datos con fines altruistas.

¿A qué datos aplica? Legitimación para el tratamiento de los datos protegidos en poder de organismos del sector público

En el sector público están protegidos:

• Los datos comerciales confidenciales, como secretos comerciales o conocimientos técnicos.
• Los datos estadísticamente confidenciales.
• Los datos protegidos por el derecho de propiedad intelectual de terceros.
• Los datos personales, en la medida en que dichos datos no entren en el ámbito de aplicación de la Directiva sobre datos abiertos cuando se garantice su anonimización irreversible y no se trate de categorías especiales de datos.

Debe subrayarse un punto de partida esencial: en lo que respecta a los datos personales, se aplican además el Reglamento General de Protección de Datos (RGPD) y las normas sobre la privacidad y las comunicaciones electrónicas (Directiva 2002/58/CE). Esto implica que, en caso de colisión entre ellas y la DGA, prevalecerán las primeras.

Por otra parte, la DGA no crea un derecho de reutilización ni una nueva base jurídica en el sentido del RGPD para la reutilización de datos personales. Esto significa que el Derecho del Estado miembro o de la Unión determina si una base de datos o un registro específico que contenga datos protegidos está abierto a la reutilización en general. Cuando esta reutilización sí esté permitida, deberá llevarse a cabo de conformidad con las condiciones establecidas en el Capítulo I de la DGA.

Finalmente quedan excluidos del ámbito de la DGA:

• Datos en posesión de empresas públicas, museos, escuelas y universidades.
• Datos protegidos por razones de seguridad pública, defensa o seguridad nacional.
• Datos que posean los organismos del sector público para fines distintos del desempeño de sus funciones públicas definidas.
• Intercambio de datos entre investigadores con fines de investigación científica no comercial.

Condiciones para la reutilización de los datos

Puede señalarse que en el ámbito de la reutilización de datos del sector público:

▪ La DGA establece normas para la reutilización de datos protegidos, como datos personales, comerciales confidenciales o datos estadísticamente confidenciales.

▪ No crea un derecho general de reutilización, sino que establece condiciones cuando la legislación nacional o de la UE permite dicha reutilización.

▪ Las condiciones de acceso deben ser transparentes, proporcionadas y objetivas, y no deben utilizarse para restringir la competencia. La norma ordena que se promuevan el acceso a los datos por parte de las pymes y las empresas emergentes, y la investigación científica. Se prohíben los acuerdos de exclusividad para la reutilización, excepto en casos específicos de interés público y por un período limitado.

▪ Atribuye a los organismos del sector público el deber de asegurar la preservación de la naturaleza protegida de los datos. Para ello será indispensable el despliegue de metodologías y tecnologías de intermediación. En ellas puede jugar un papel clave, la anonimización y el acceso a través de entornos de tratamiento seguros (Secure processing environments o SPE por sus siglas en inglés). La primera es un factor de eliminación del riesgo, mientras que los SPE pueden definir un ecosistema de tratamiento que ofrezca una oferta integral de servicios a los reutilizadores, desde la catalogación y preparación de los conjuntos de datos hasta su análisis. La Agencia Española de Protección de Datos ha publicado una Aproximación a los espacios de datos desde la perspectiva del RGPD que incluye recomendaciones y metodologías en este ámbito.

▪ Sobre los reutilizadores recaen obligaciones de confidencialidad y no reidentificación de los interesados. En caso de reidentificación de datos personales, el reutilizador debe informar al organismo del sector público y pueden existir obligaciones de notificación de violaciones de seguridad.

▪ En la medida en la que la relación se establece directamente entre el reutilizador y el organismo del sector público pueden existir supuestos en los que éste último deba prestar soporte al primero para el cumplimiento de ciertos deberes:

• Para obtener, si fuera necesario, el consentimiento de las personas interesadas para el tratamiento de los datos personales.
• En caso de utilización no autorizada de datos no personales, el reutilizador deberá informar a las personas jurídicas afectadas. El organismo del sector público que concedió inicialmente el permiso de reutilización podrá prestarle soporte si éste fuera necesario.

▪ Las transferencias internacionales de datos personales se rigen por el RGPD. Para las transferencias internacionales de datos no personales, se requiere que el reutilizador informe al organismo del sector público y se comprometa contractualmente a garantizar la protección de los datos. No obstante, es una cuestión abierta, ya que al igual que sucede en el RGPD, la Comisión Europea está facultada para:

1. Proponer cláusulas contractuales tipo que los organismos del sector público puedan utilizar en sus contratos de transferencia con reutilizadores.

2. Cuando un gran número de solicitudes de reutilización procedentes de países concretos lo justifiquen, adoptar «decisiones de equivalencia» por las que se designe a estos terceros países como proveedores de un nivel de protección de los secretos comerciales o de la propiedad intelectual que pueda considerarse equivalente al previsto en la UE.

3. Adoptar las condiciones que deben aplicarse a las transferencias de datos no personales muy sensibles, como por ejemplo datos sanitarios. En los casos en que la transferencia de dichos datos a terceros países suponga un riesgo para los objetivos de política pública de la UE (en este ejemplo, la salud pública) y con el fin de ayudar a los organismos del sector público que concedan permisos de reutilización, la Comisión establecerá condiciones adicionales que deberán cumplirse antes de que dichos datos puedan transferirse a un tercer país.

▪ Los organismos del sector público pueden cobrar tasas por permitir la reutilización. La estrategia de la DGA se orienta a la sostenibilidad del sistema, ya que las tasas solo deben cubrir los costes derivados de la puesta a disposición de los datos para su reutilización, como los costes de anonimización o de proporcionar un entorno de tratamiento seguro. Esto incluiría los costes de tramitación de las solicitudes de reutilización. Los Estados miembros deben publicar una descripción de las principales categorías de costes y de las normas utilizadas para su imputación.

▪ Se reconoce a las personas físicas o jurídicas directamente afectadas por una decisión de reutilización adoptada por un organismo del sector público el derecho a presentar una reclamación o a interponer un recurso judicial en el Estado miembro de dicho organismo del sector público.

Soporte organizativo

Es perfectamente posible que los organismos del sector público que planteen servicios de intermediación se multipliquen. Se trata de un entorno complejo que requerirá de soporte técnico y jurídico, apoyo y coordinación.

Para ello, los Estados miembros deben designar uno o varios organismos competentes cuya función sea apoyar a los organismos del sector público que concedan la reutilización. Los organismos competentes dispondrán de los recursos jurídicos, financieros, técnicos y humanos adecuados para llevar a cabo las tareas que se les asignen, incluidos los conocimientos técnicos necesarios. No son organismos de supervisión, no ejercen poderes públicos y, por ello, la DGA no establece requisitos específicos en cuanto a su estatuto o forma jurídica. Además, se puede atribuir al organismo competente el mandato de permitir la reutilización por sí mismo.

Finalmente, los Estados deben crear un Punto de información único o ventanilla única. A este Punto le corresponderá transmitir consultas y solicitudes a los organismos pertinentes del sector público y mantener una lista de activos con una visión general de los recursos de datos disponibles (metadatos). El punto único de información podrá conectarse a puntos de información locales, regionales o sectoriales cuando existan. A escala de la UE, la Comisión creó el Registro Europeo de Datos Protegidos en poder del sector público (ERPD), un registro que permite buscar la información recopilada por los puntos únicos de información nacionales con el fin de facilitar aún más la reutilización de datos en el mercado interior y fuera de él.

Los Reglamentos de la UE son normas cuya implementación resulta ciertamente compleja. Por ello se requiere una especial proactividad que contribuya a su correcto entendimiento e implementación. La Guía de la Unión Europea para el despliegue de la Data Governance Act constituye un primer instrumento para ello y permitirá una mayor comprensión de los objetivos y posibilidades que ofrece la DGA.