La Agencia Española de Protección de Datos (AEPD) ha aclarado que puede actuar contra sistemas de inteligencia artificial prohibidos que procesen datos personales, incluso antes de la entrada en vigor del Reglamento de IA. A partir del 2 de agosto de 2025, se aplicará un régimen supervisor y sancionador para estos sistemas, mientras la AEPD refuerza sus capacidades para cumplir con nuevas funciones relacionadas con la protección de datos en el ámbito de la inteligencia artificial.
La AEPD se prepara para actuar ante sistemas de IA prohibidos
La Agencia Española de Protección de Datos (AEPD) ha llevado a cabo un exhaustivo análisis sobre sus competencias en relación con el artículo 5 del Reglamento 2024/1689 de Inteligencia Artificial (RIA). Según lo estipulado en el artículo 113 de esta normativa, a partir del 2 de agosto de 2025, entrarán en vigor diversas disposiciones, entre las que destaca el régimen supervisor y sancionador aplicable a los sistemas de inteligencia artificial prohibidos. Esto incluye específicamente los sistemas de identificación biométrica remota en tiempo real en espacios públicos.
A pesar de que aún no se ha aprobado el anteproyecto de ley de IA en España, la versión actual contempla que la AEPD asuma funciones como autoridad de vigilancia del mercado en aquellos ámbitos donde se requiere independencia funcional, especialmente respecto a ciertas categorías de sistemas prohibidos. Sin embargo, hasta que exista una base legal nacional, la AEPD no cuenta formalmente con la atribución como autoridad de vigilancia del mercado bajo el RIA.
A pesar de esta situación, es fundamental resaltar que la AEPD no ve alterada su condición como autoridad competente en materia de protección de datos personales. Esto implica que, dentro de sus funciones de supervisión y control, también abarca los tratamientos realizados mediante inteligencia artificial. Por lo tanto, aunque no se aplique directamente el Reglamento de IA, la AEPD tiene la capacidad para supervisar y actuar frente a tratamientos de datos personales realizados por sistemas prohibidos, siempre que estos afecten al derecho a la protección de datos.
La Agencia aconseja a las entidades que desarrollen o proporcionen aplicaciones y servicios basados en sistemas de IA que, una vez sean considerados sujetos obligados por la futura plena aplicación del RIA, se preparen adecuadamente para cumplir con sus obligaciones, implementando las medidas necesarias para garantizar su cumplimiento total.
En cuanto a su estructura interna, y anticipándose a las futuras funciones asignadas por el RIA, la AEPD subraya la necesidad de reforzar sus capacidades técnicas, humanas y presupuestarias. Este refuerzo es esencial para poder asumir progresivamente las nuevas competencias derivadas del desarrollo normativo relacionado con la inteligencia artificial.