EPD recuerda su competencia frente a tratamientos ilegales con IA
AEPD y potestad frente a IA prohibida
Alcance normativo del artículo 5 del RIA
El Reglamento (UE) 2024/1689 de Inteligencia Artificial establece en su artículo 5 la prohibición de determinados sistemas de IA que se consideran incompatibles con los derechos fundamentales, entre ellos, los sistemas de identificación biométrica remota en tiempo real en espacios públicos, salvo supuestos excepcionales muy tasados. El artículo 113 fija que, desde el 2 de agosto de 2025, resultará aplicable el régimen supervisor y sancionador relativo a dichas prohibiciones, habilitando a las autoridades competentes para actuar incluso en ausencia de la plena entrada en vigor del resto del RIA.
Marco jurídico español y carencia de designación formal
En España, el desarrollo legislativo del RIA aún no ha culminado. El anteproyecto de ley nacional prevé que la Agencia Española de Protección de Datos ejerza funciones de autoridad de vigilancia del mercado en ámbitos donde el reglamento exige independencia funcional (por ejemplo, en la supervisión de sistemas prohibidos). Sin embargo, hasta que la norma nacional se apruebe y entre en vigor, la AEPD no dispone formalmente de tal condición a efectos del RIA. Esta ausencia de designación no impide que, en el plano del derecho interno y europeo, la AEPD pueda actuar en virtud de sus competencias actuales.
Competencia derivada del RGPD y la LOPDGDD
La AEPD, como autoridad de control reconocida por el Reglamento (UE) 2016/679 (RGPD) y por la Ley Orgánica 3/2018 (LOPDGDD), conserva la potestad de supervisar cualquier tratamiento de datos personales, con independencia de la tecnología empleada. En consecuencia, si un sistema de IA prohibido implica tratamiento de datos personales —por ejemplo, biometría en tiempo real—, la AEPD puede intervenir en defensa del derecho a la protección de datos (art. 18.4 CE), aplicar medidas correctoras y sancionar conforme al RGPD, incluso antes de su eventual rol como autoridad de vigilancia del mercado bajo el RIA.
Obligaciones y anticipación de cumplimiento
Las entidades proveedoras, desarrolladoras o usuarias de IA deben auditar sus sistemas para verificar la ausencia de funcionalidades prohibidas y adoptar medidas de adaptación antes de la aplicación del régimen sancionador del artículo 5. En caso de pretender acogerse a alguna de las excepciones previstas en el propio RIA (por ejemplo, identificación biométrica para prevención de delitos graves), deberán acreditar el cumplimiento estricto de los requisitos legales y de proporcionalidad.
Refuerzo institucional de la AEPD
Ante la previsión de ampliar su campo competencial, la AEPD evalúa el incremento de sus capacidades técnicas, de personal y presupuestarias. Ello es esencial para poder ejercer un control integral sobre tratamientos de IA, tanto desde la óptica de la protección de datos como, eventualmente, desde la función de vigilancia del mercado prevista por el RIA.