Gobernanza jurídica de la inteligencia artificial en España: de la norma europea a la exigibilidad operativa y la responsabilidad ampliada

 

Gobernanza jurídica de la inteligencia artificial en España: de la norma europea a la exigibilidad operativa y la responsabilidad ampliada

Santiago Carretero Sánchez
Profesor Titular de Filosofía del Derecho
Universidad Rey Juan Carlos

El Reglamento (UE) 2024/1689 (AI Act) constituye, sin duda, el eje vertebrador del nuevo Derecho europeo de la inteligencia artificial. Su construcción sobre un enfoque basado en el riesgo, su vocación de armonización del mercado interior y su pretensión de garantizar una “IA confiable” lo convierten en una pieza normativa de primer orden. Sin embargo, desde una perspectiva estrictamente jurídica y práctica, su eficacia no puede analizarse de forma aislada. En el caso español, el cumplimiento efectivo del AI Act descansa sobre un entramado normativo y técnico que permite traducir sus exigencias en obligaciones concretas, verificables y, en su caso, exigibles ante las autoridades administrativas o jurisdiccionales.

Este entramado está integrado, esencialmente, por cuatro elementos: el Esquema Nacional de Seguridad (ENS), los estándares internacionales ISO/IEC 27001:2022 e ISO/IEC 42001:2023, el Anteproyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial y la Directiva (UE) 2024/2853 sobre responsabilidad por productos defectuosos. Lejos de ser instrumentos accesorios, estos elementos conforman un auténtico sistema de gobernanza multinivel que permite dotar de operatividad real a los principios del AI Act.

Desde esta óptica, el Reglamento europeo debe ser entendido como una norma estructural, pero no autosuficiente. Ordena, clasifica y establece obligaciones, pero no agota la dimensión técnica, organizativa y patrimonial de la inteligencia artificial. La gobernanza efectiva exige seguridad operativa, trazabilidad organizativa, mecanismos de supervisión y un régimen de responsabilidad capaz de responder ante el daño. Es precisamente en este punto donde el ordenamiento español despliega una densidad normativa especialmente significativa.

El primer pilar de este sistema es el Esquema Nacional de Seguridad, regulado por el Real Decreto 311/2022. Su relevancia en materia de inteligencia artificial es capital, aunque frecuentemente subestimada en el debate doctrinal. El ENS no se limita a establecer recomendaciones, sino que impone obligaciones jurídicas exigibles en materia de seguridad de la información y de los sistemas, tanto para el sector público como para los operadores privados que mantienen relaciones contractuales con la Administración.

El núcleo del ENS reside en la configuración de la seguridad como un proceso integral basado en la gestión de riesgos. Los artículos 6 y 7 establecen que la seguridad debe integrarse en todos los niveles organizativos y a lo largo de todo el ciclo de vida de los sistemas, lo que resulta plenamente trasladable a los sistemas de inteligencia artificial. A ello se añade la categorización de los sistemas (básico, medio y alto) prevista en el anexo I, así como el catálogo de medidas del anexo II, que abarca dimensiones organizativas, operativas y de protección técnica.

En el contexto de la inteligencia artificial, esta arquitectura implica que cualquier sistema desplegado en ámbitos como la contratación pública, la sanidad, la justicia o los servicios administrativos digitales debe cumplir exigencias estrictas de seguridad, trazabilidad y resiliencia. El AI Act no entra en este nivel de detalle, lo que convierte al ENS en un instrumento imprescindible para su implementación efectiva. Además, el desarrollo técnico impulsado por el Centro Criptológico Nacional, a través de guías y herramientas específicas, refuerza la dimensión práctica del cumplimiento, transformándolo en un proceso objetivable y auditable.

El segundo pilar lo constituyen los estándares internacionales ISO/IEC 27001:2022 e ISO/IEC 42001:2023. Su papel en la gobernanza de la inteligencia artificial exige una aproximación matizada desde el punto de vista jurídico. No se trata de normas vinculantes en sentido estricto, pero tampoco pueden ser consideradas irrelevantes. Su valor reside en su capacidad para estructurar la gestión organizativa y convertir el cumplimiento en evidencia documentada.

ISO/IEC 27001 establece los requisitos de un sistema de gestión de la seguridad de la información, integrando factores humanos, tecnológicos y organizativos. ISO/IEC 42001, por su parte, introduce un sistema de gestión específico para inteligencia artificial, orientado a la identificación y mitigación de riesgos, así como a la mejora de la transparencia y la trazabilidad. Ambas normas comparten una estructura basada en el ciclo de mejora continua, articulada en torno a elementos como el contexto organizativo, el liderazgo, la planificación, la operación y la evaluación del desempeño.

Desde una perspectiva jurídica, su principal aportación consiste en transformar el deber de diligencia en prueba. Permiten documentar decisiones, asignar responsabilidades, establecer controles y demostrar un nivel de madurez organizativa que puede resultar determinante en contextos de supervisión administrativa, auditoría o litigación. En consecuencia, aunque no generan una presunción automática de conformidad con el AI Act, sí configuran un lenguaje operativo que facilita su cumplimiento y acreditación.

El tercer pilar del sistema se articula a través del Anteproyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial, aprobado por el Consejo de Ministros el 11 de marzo de 2025. Su importancia radica en la configuración de un modelo institucional que permite aterrizar en el plano nacional las exigencias del Derecho europeo. En particular, atribuye un papel central a la Agencia Española de Supervisión de la Inteligencia Artificial, encargada de coordinar las actuaciones de supervisión, impulsar medidas preventivas y gestionar los denominados espacios controlados de pruebas o sandbox regulatorios.

El anteproyecto aborda, además, una cuestión especialmente relevante: la articulación de un régimen sancionador que combine eficacia y proporcionalidad. En este sentido, introduce mecanismos de flexibilidad para pymes y sector público, permitiendo en determinados supuestos sustituir las sanciones pecuniarias por apercibimientos o medidas correctoras. Este enfoque no implica una relajación del sistema, sino una adaptación inteligente que busca garantizar el cumplimiento sin comprometer la capacidad de adaptación de los operadores.

Finalmente, la Directiva (UE) 2024/2853 sobre responsabilidad por productos defectuosos completa el sistema desde la perspectiva de la responsabilidad civil. Su principal innovación consiste en la ampliación del concepto de producto, que pasa a incluir el software, los servicios digitales conexos y las actualizaciones. Esta evolución normativa supone una ruptura con el modelo tradicional centrado en el objeto físico, extendiendo la responsabilidad a la dimensión digital y dinámica de los sistemas.

En el ámbito de la inteligencia artificial, esta ampliación tiene consecuencias particularmente relevantes. La responsabilidad ya no se limita al momento de la puesta en el mercado, sino que se proyecta sobre todo el ciclo de vida del sistema. El defecto puede surgir o agravarse como consecuencia de actualizaciones, modificaciones funcionales o interacciones con otros servicios digitales. En consecuencia, la gestión de la inteligencia artificial debe incorporar mecanismos de control continuo, registro de cambios, supervisión de proveedores y vigilancia postcomercialización.

Desde una perspectiva práctica, esta evolución reduce la distancia entre compliance, ciberseguridad y responsabilidad civil. La gobernanza de la inteligencia artificial deja de ser un ejercicio meramente preventivo para convertirse en un sistema integral que debe anticipar, gestionar y, en su caso, responder jurídicamente ante el daño.

La lectura conjunta de estos elementos permite extraer una conclusión clara: la gobernanza de la inteligencia artificial en España ha superado la fase declarativa para situarse en un plano eminentemente operativo. Ya no basta con determinar si un sistema entra dentro del ámbito de aplicación del AI Act; es necesario acreditar que dicho sistema es seguro, que su funcionamiento es trazable, que su gestión es documentada y que existe un marco de responsabilidad capaz de reparar los daños que eventualmente pueda causar.

En este contexto, España se configura como un entorno especialmente relevante para el desarrollo de la gobernanza de la inteligencia artificial, no solo por la densidad de su marco normativo, sino por la interacción entre regulación, estándares técnicos y mecanismos de supervisión. La existencia de instrumentos como los sandbox regulatorios y el desarrollo de guías prácticas refuerzan esta dimensión, situando al ordenamiento español en una posición avanzada en términos de implementación.

En definitiva, la inteligencia artificial confiable no puede entenderse como una mera declaración de principios. Es el resultado de un proceso complejo que exige integración normativa, rigor técnico, organización interna y capacidad de respuesta. Solo desde esta perspectiva puede hablarse, en sentido pleno, de una gobernanza jurídica eficaz de la inteligencia artificial.

Comentarios

Publicar un comentario

Entradas populares de este blog

ESQUEMA DETALLADO DE ESCRITO AJUSTADO AL MASC (PARA LETRADOS)

  🧷 ESQUEMA DETALLADO DE ESCRITO AJUSTADO AL MASC (PARA LETRADOS) Por Santiago Carretero Sánchez, Profesor Titular de Filosofía del Derecho, Abogado       1. Encabezamiento Órgano judicial : Ilmo./a. Sr./Sra. Letrado/a de la Administración de Justicia del Juzgado de [Primera Instancia] nº ___ de [localidad]. Parte compareciente : D./D.ª [Nombre del letrado/a del solicitante], en nombre y representación de [cliente], conforme a poder/apoderamiento (notarial o apud acta) que se acompaña/se encuentra ya incorporado. Procedimiento : Indicar si es escrito autónomo previo a demanda o subsanación de requerimiento judicial (art. 438.1 LEC). 2. Exposición de antecedentes y hechos relevantes Breve reseña del conflicto : Detallar la controversia con hechos jurídicamente relevantes. Indicación de la voluntad de acudir a MASC : Expresar que, antes de iniciar/reanudar el procedimiento jud...
Leer más

EL MODELO DE INTENTO DE CONCILIACIÓN QUE IMPONE LA LEY DE EFICIENCIA PROCESAL, PROPUESTA DEL ICAM

  MODELO PARA LA ACREDITACIÓN DEL INTENTO DE NEGOCIACIÓN Y TERMINACIÓN DEL PROCESO SIN ACUERDO Artículo 10º.1 de la Ley Orgánica 1/2025, de 2 de enero, de medidas en materia de eficiencia del Servicio Público de Justicia     Artículo 10. Acreditación del intento de negociación y terminación del proceso sin acuerdo.   1. A los efectos de acreditar que se ha intentado una actividad negociadora previa y cumplir el requisito de procedibilidad, dicha actividad negociadora o el intento de la misma deberá ser recogida documentalmente .   2. Si no hubiera intervenido una tercera persona neutral, la acreditación se cumplirá mediante cualquier documento firmado por ambas partes en el que se deje constancia de la identidad de las mismas y, en su caso, de las personas profesionales o expertas que hayan participado asesorándolas , la fecha, el objeto de la controversia, la fecha de la reunión o reuniones mantenidas, en su caso, y la declaración responsable d...
Leer más

La justicia frente a las “alucinaciones jurídicas”: una advertencia global desde la Corte Suprema de Colombia

Imagen
  La justicia frente a las “alucinaciones jurídicas”: una advertencia global desde la Corte Suprema de Colombia Por el Profesor Santiago Carretero, Profesor Titular de Filosofía del Derecho de la Universidad Rey Juan Carlos La sentencia  STC 17832-2025 , dictada por la Corte Suprema de Justicia de Colombia el 5 de noviembre de 2025, constituye uno de los pronunciamientos más relevantes en materia de motivación judicial y uso de tecnologías generativas en la función jurisdiccional. Su impacto trasciende el caso concreto: introduce en el lenguaje jurídico el riesgo de las  alucinaciones jurídicas  y marca un estándar de diligencia para cualquier tribunal que utilice herramientas tecnológicas en la elaboración de sus decisiones. 1. El caso: cuando una decisión se funda en citas inexistentes La Corte conoció una acción de tutela contra una sentencia del Tribunal Superior de Sincelejo cuya motivación incluía citas jurisprudenciales atribuidas a decisiones previas —entre e...
Leer más