AEPD y control de sistemas de IA prohibidos

Entrada en vigor parcial del RIA

El Reglamento (UE) 2024/1689 de Inteligencia Artificial (RIA) regula, en su artículo 5, una serie de sistemas de IA prohibidos por su alto riesgo para los derechos fundamentales. Entre ellos se incluyen los sistemas de identificación biométrica remota en tiempo real en espacios públicos. Según su artículo 113, a partir del 2 de agosto de 2025 es aplicable el régimen supervisor y sancionador relativo a este precepto, lo que permitirá a las autoridades competentes imponer sanciones por su uso indebido.

Estado normativo en España

En el ordenamiento jurídico español todavía no se ha aprobado la ley nacional que desarrolle el RIA. El anteproyecto prevé que la Agencia Española de Protección de Datos (AEPD) actúe como autoridad de vigilancia del mercado en ámbitos concretos, especialmente donde la normativa europea exige independencia funcional. No obstante, hasta que dicha ley entre en vigor, la AEPD no ostenta oficialmente este rol a efectos del Reglamento de IA.

Competencia actual de la AEPD

Pese a la falta de designación como autoridad de vigilancia del mercado, la AEPD continúa siendo la autoridad nacional en materia de protección de datos, en virtud del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018. Esto le permite supervisar cualquier tratamiento de datos personales, incluidos los efectuados mediante sistemas de IA prohibidos, siempre que estos afecten al derecho fundamental a la protección de datos reconocido en el artículo 18.4 de la Constitución Española.

Obligaciones para las entidades

La AEPD insta a las entidades que desarrollen, implementen o comercialicen soluciones basadas en IA a revisar sus sistemas para garantizar que no incluyan funcionalidades prohibidas por el artículo 5 del RIA. Igualmente, deberán adoptar medidas organizativas y técnicas que aseguren el cumplimiento normativo, anticipándose a la entrada en vigor de las disposiciones sancionadoras.

Preparativos internos de la AEPD

De cara a la futura asunción de competencias adicionales, la AEPD evalúa un refuerzo de sus capacidades técnicas, recursos humanos y presupuesto. El objetivo es disponer de los medios necesarios para ejercer eficazmente sus funciones de control, tanto en el ámbito de la protección de datos como, eventualmente, en la vigilancia de sistemas de IA en virtud del RIA.