El laberinto regulatorio y de supervisión en la agenda digital europea: propuestas de racionalización

La reciente publicación del Reglamento europeo de Inteligencia Artificial supone uno de los principales hitos regulatorios en el ámbito de la economía digital, que también podemos denominar economía de la información o economía del dato. Desde el punto de vista estructural, es una norma extremadamente compleja, que pretende regular algo tan novedoso y cambiante como el uso de los sistemas de inteligencia artificial. Entre los contenidos regulados, esta norma incluye una estructura de gobernanza y supervisión en la que se establece la creación de diversas autoridades competentes tanto a nivel nacional en cada estado miembro como a nivel de la Unión.

El enfoque tiene todo el sentido, ya que una regulación que desarrolla tanto las obligaciones de las entidades afectadas debe ir acompañada de una adecuada verificación de su aplicación. Sin embargo, si tomamos perspectiva, podemos ver cómo las autoridades previstas en el Reglamento IA se unen a otro elenco de autoridades de supervisión, gobernanza, control y registro que se crean en varias de las normas europeas que se han venido dictando en el ámbito de la agenda digital europea en los últimos años. Solo por citar algunas, se han creado autoridades de supervisión y/o control y/o registro, en ocasiones con potestades sancionadoras, en el Reglamento General de Protección de Datos de 2016, en el Reglamento de Datos, en el Reglamento de Gobernanza de Datos, en la Directiva NIS 2 o en el Reglamento DORA.

Esta realidad, que, desde el mundo empresarial, se puede entender como un incremento desproporcionado de las cargas administrativas y burocráticas, podría verse mitigada si se aplicaran criterios de eficiencia y especialidad, de forma que las distintas funciones de supervisión de diferentes normas fueran asumidas por una misma autoridad con funciones similares o vinculadas.

En esta línea, el Comité Europeo de Protección de Datos (CEPD) ha publicado una declaración en la que, en relación con el Reglamento de Inteligencia Artificial, defiende la conveniencia de que las autoridades de supervisión en materia de protección de datos creadas por el RGPD asuman las funciones de autoridad de vigilancia del mercado del Reglamento IA. Ello se basa en el reconocimiento de que dicho reglamento y las normas de privacidad europeas, tales como el RGPD o la Directiva de e-Privacy deben ser consideradas e interpretadas de forma coherente como instrumentos complementarios y que se refuerzan recíprocamente.

Esta recomendación del CEPD está relacionada, por una parte, con la afirmación de que el tratamiento de datos (tanto personales como no personales) en el ciclo de vida de un sistema de IA, especialmente los de alto riesgo, es claramente un elemento central de las diferentes tecnologías cubiertas bajo el paraguas de la definición de IA en el Reglamento IA. Y, por otra parte, tal como señalaba ya el CEPD en su informe conjunto con el Supervisor Europeo de Protección de Datos (SEPD), está relacionada con la experiencia ya adquirida por las autoridades de control en materia de IA, los beneficios de instaurar un punto único de contacto para los operadores de mercado, y su grado de independencia, soslayando, además, potenciales discrepancias entre las resoluciones de ambas autoridades supervisoras.

Dado que hay Estados Miembros que han iniciado procesos legislativos para la creación de dichas entidades supervisoras contempladas en el RIA de manera paralela a las Autoridades de control de protección de datos (como es el caso de España), el CEPD remarca la importancia de que las entidades colaboren y cooperen en los futuros procesos con base en el artículo 4(3) del Tratado de la Unión Europea.

En definitiva, el CEPD recomienda que las autoridades de supervisión de protección de datos sean designadas, en aquellos países donde aún no existan, como las autoridades de vigilancia del mercado para los sistemas de IA de alto riesgo mencionados en el Reglamento IA.

La gobernanza de la economía digital debería tender, en opinión del CEPD, a una agregación de funciones, con el fin de evitar una dispersión excesiva de órganos supervisores, inspectores y sancionadores que redundaría, en última instancia, en una barrera para la aparición y desarrollo de operadores en el mercado.