Los mecanismos de denuncia de incumplimientos en materia de IA en la Unión Europea y en España

El auge de la Inteligencia Artificial (IA) está centrando las novedades legislativas en todo el mundo. Huelga decir que la UE actualmente se encuentra en fase de aplicación del Reglamento de Inteligencia Artificial. Sin embargo, con el fin de controlar su efectivo cumplimiento, la Comisión Europea ha implantado un canal de denuncias específico. En este artículo, se explicarán sus principales características a la vez que se compara con los mecanismos existentes en España.

En plena expectación ante la propuesta de Reglamento Ómnibus Digital, la actualidad nos ofrece otra cuestión a tener en cuenta. Esta última semana de noviembre, la Comisión Europea ha informado sobre la puesta en funcionamiento de un canal de denuncias relacionadas con infracciones de la Ley de Inteligencia Artificial. Dicho canal conecta directamente con la Oficina de IA, hallándose a disposición de los miembros de los proveedores de IA contratados en la UE en cualquier idioma oficial.

Al mismo tiempo, permite al denunciante conocer la tramitación de su denuncia sin sacrificar el anonimato. Pese a ello, la Comisión advierte de que la defensa anti represalias de protección al denunciante no se hará efectiva hasta el 2 de agosto de 2026. Excepcionalmente se protegerá antes de esa fecha aquellas comunicaciones en las que la IA afecte a la protección de datos personales o los derechos de consumidores. En otras palabras, todos los informantes contarán con confidencialidad mientras que progresivamente irán ganando instrumentos de defensa.

Además, esa fecha no es fruto del azar. Según el artículo 113 del Reglamento de Inteligencia Artificial, la fecha de aplicación principal es el 2 de agosto de 2026. Sin perjuicio de que desde febrero y agosto de este año ya sean aplicables las disposiciones para sistemas prohibidos y sistemas de IA general.

Asimismo, unido a las disposiciones del RIA, facilitará el ejercicio de las competencias de la Oficina de la IA. Es decir, podrá controlar el seguimiento de la regulación, controlando así los posibles incumplimientos.

Una vez examinado el procedimiento europeo, es momento de abordar los canales disponibles en España. Unos medios sobre los que la AESIA como la SEDIA han ido informando, enfatizando en cada fase de aplicación del RIA.

(Imagen: E&J)

La implantación en España de un canal de denuncias sobre incumplimientos del RIA

Si observamos el artículo 85 del RIA, su tenor literal establece la facultad de alertar de incumplimientos de esta legislación a las autoridades de vigilancia del mercado. Dichas autoridades debían establecerlas cada estado miembro con fecha límite del 2 de agosto de 2025, informando a la Comisión sobre su designación. Cumpliendo con esta obligación, España notificó que la AESIA sería la autoridad de vigilancia del mercado.

En esa misma fecha, entró en aplicación parcial el régimen sancionador del RIA. Por consiguiente, cabe preguntarse cómo se podía contactar con la AESIA y la finalidad de dicha comunicación.

Con carácter previo al 2 de agosto de 2025, la SEDIA comunicó que se instalaría un formulario en el portal de la AESIA. En otro caso, existía la posibilidad de dirigir un escrito al director de la Agencia en cualquiera de los formatos admisibles. Tampoco era posible sancionar hasta esa fecha aplicando el RIA, pero podía trasladarse en su caso a otra autoridad o avisar de la irregularidad. A día de hoy, los ciudadanos pueden comunicarse mediante la remisión de escrito como a través del formulario de contacto o su dirección de correo electrónico (info@aesia.gob.es).

En esta posibilidad de remisión a otra autoridad también la recoge el canal europeo. La única salvedad es que puede hacerlo la Oficina de la IA por sí misma o informar al denunciante sobre la entidad competente. Otra cuestión a destacar son los destinatarios del canal, la AESIA se dirige a toda la ciudadanía mientras que la UE lo reserva a los trabajadores.

En relación a la funcionalidad, la herramienta de la Oficina de la IA explica en profundidad sus mecanismos de seguridad. Menciona la encriptación, permite el anonimato y recomienda no utilizar dispositivos del empleador. Tras su recepción, hay medidas organizativas como la limitación de acceso un número reducido de trabajadores. Cabe decir que estas salvaguardas no impiden conocer al denunciante el estado de su comunicación, recibiendo periódicamente actualizaciones sobre la misma. Entre otras, notifican en 3 días la recepción y en 3 meses las conclusiones sobre la misma.

Esta combinación de detalles técnicos y organizativos debería trasladarse al caso español. En mi opinión, supondría un ejemplo de transparencia pública que redundaría en una mayor confianza de los ciudadanos. Estos observarían el destino de su comunicación, facilitando el ejercicio de las competencias de la AESIA.

He adelantado anteriormente la posible aplicación de la normativa de protección al denunciante. De hecho, estas disposiciones también deberían aplicarse en España al amparo del artículo 87 RIA.

(Imagen: E&J)

Esta mención de la protección del denunciante trae a colación otras normativas como la Ley 2/2023 reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Adicionalmente, entrarán en juego las diversas entidades competentes en este aspecto; la AIPI junto a sus homólogas autonómicas.

Estas autoridades ejercen su protección ante denuncias tanto las infracciones de Derecho europeo como del nacional. En este caso, la IA podría incurrir en cualquiera de ambos supuestos. Ahondando en este aspecto, podría infringir la protección de datos o incurrir en infracciones graves o muy graves contenidas en el Anteproyecto de Ley para el buen uso y la gobernanza de la inteligencia artificial. Por tanto, no descarto que algunas de esas denuncias se hagan llegar a las autoridades de protección al denunciante.

Del mismo modo que la AESIA, la AIPI comienza a dar sus primeros pasos. Progresivamente, esta última se le ha dotado de régimen jurídico y medios entre 2024 y 2025. Conforme vayan avanzando, tendrán que establecer fórmulas de comunicación y coordinación de cara a dar respuesta a los desafíos comunes. Tampoco pueden obviar las autoridades autonómicas, debiendo comunicarse también con estas. Es más, podría utilizarse el ejemplo de la Oficina de IA que remite de oficio y/o indica al denunciante el organismo competente

Reflexión final

Después de examinar los cauces europeo y español, entiendo que ambas pueden mejorar adquiriendo características del otro. El primero podría ampliarse a toda la ciudadanía del mismo modo que el español. Por otro lado, este último debería detallar la forma en la que protegería la información y al informante, estableciendo vías de coordinación con otras entidades.

La existencia de los canales no debe verse como un imperativo legal sino como una garantía de vigilancia efectiva. En caso contrario, el ejercicio de competencias sería más complejo, desconociendo el momento adecuado para actuar. Tampoco podría dotarse de cumplimiento real a la disposición ni la defensa de los derechos de los ciudadanos.

Por último, me gustaría trasladar un mensaje positivo en favor de la mejora continua de estas herramientas. No se trata solamente de contar con ellas, sino de darlas a conocer al público y que se confíe en ellas.