Los sandboxes regulatorios y su uso en la regulación de la inteligencia artificial

Los Estados miembros están obligados por el Reglamento europeo de Inteligencia Artificial a la implementación de un sandbox en materia de IA. Esta figura, cuyo origen se sitúa en la regulación financiera, se ha ido extendiendo paulatinamente en nuestro ordenamiento jurídico. Precisamente por ello, resulta interesante analizar una serie de elementos comunes que la diferencia de otros conceptos próximos como la regulación experimental o los innovations hubs. Algunos de estos (diálogo con el regulador, apoyo administrativo en entornos regulatorios complejos, entornos seguros de pruebas) se ven reflejados en la regulación que hace el Reglamento de IA y es por ello por lo que resulta interesante su análisis.

Diego Rodríguez Cembellín es Profesor Ayudante Doctor en Derecho Administrativo en la Universidad de Oviedo

El artículo se publicó en el número 70 de la Revista General de Derecho Administrativo (Iustel, octubre 2025)

REGULATORY SANDBOXES AND ITS USE IN AI REGULATION

ABSTRACT: The European Artificial Intelligence Act requires Member States to establish regulatory sandboxes in the field of AI. Originating in financial regulation, this mechanism has gradually expanded within our legal system. It is therefore relevant to examine the common elements that distinguish sandboxes from related concepts such as experimental regulation or innovation hubs. Certain features—such as structured dialogue with the regulator, administrative support in complex regulatory environments, and the creation of safe testing frameworks—are expressly reflected in the AI Act. This makes their analysis particularly valuable.

1. INTRODUCCIÓN (1)

Los sandboxes regulatorios, asociados al diseño de un entorno jurídico atractivo para la implantación de productos con un marcado carácter innovador, son una técnica regulatoria que se ha ido consolidando durante los últimos años en distintos niveles de nuestro ordenamiento jurídico. Desde Reglamentos europeos hasta ordenanzas locales han contemplado la aprobación de esta figura lo que ha provocado que se haya difuminado un tanto el concepto originario de sandbox, muy vinculado con escenarios regulatorios complejos. Por eso es importante, también, diferenciar los sandboxes de otras figuras afines.

Esta aceptación o respaldo definitivo a los sandboxes por parte de las diferentes Administradores y por nuestro Legislador se ha visto acompañado de un interés doctrinal creciente sobre esta figura. En este trabajo se pretende explicar el funcionamiento de los sandboxes a partir de conceptos más próximos a nuestra tradición jurídica: los sandboxes son una ventaja administrativa (administración de fomento) que facilitan el cumplimiento normativo de un determinado proyecto. Como toda ventaja administrativa, los sandboxes plantean riesgos tanto regulatorios como de diseño, que incluso podrían suponer la concesión de ventajas competitivas injustificadas, por lo que es fundamental su adecuada configuración

En este sentido, la aprobación del Reglamento Europeo de Inteligencia Artificial (en adelante, RIA), cuyo artículo 57 obliga a los Estados miembros a la implantación de este tipo de instrumentos, ofrece una oportunidad para reflexionar sobre su sentido y utilidad en este ámbito y, en consecuencia, analizar aquellas disposiciones del Reglamento que lo regulan. Parece evidente que, si se trata de innovación, entornos regulatorios complejos, incertidumbre y dialogo con el regulador, el campo de la IA es un terreno abonado a la proliferación de esta técnica jurídica.

2. ORIGEN Y REGULACIÓN GENERAL DE LOS SANDBOXES EN ESPAÑA

En un contexto económico marcado por la innovación tecnológica y por el surgimiento constante de técnicas disruptivas para la prestación de un determinado servicio, los reguladores se plantean importantes disyuntivas a la hora de abordar el enfoque jurídico de estas nuevas realidades. Grosso modo, los reguladores pueden permanecer “neutros” ante el avance tecnológico, sometiendo cualquier iniciativa, innovadora o no, a idénticas reglas prestablecidas, o pueden apostar por el impulso de estos avances, concediéndoles, en su caso, determinadas “ventajas administrativas” que favorezcan su implantación en el mercado(2). Este segundo enfoque paulatinamente se va imponiendo, no sin ciertas e importantes resistencias(3), y en los últimos años han proliferado una serie de técnicas regulatorias orientadas, de una forma u otra, a evitar que el ordenamiento jurídico se convierta en un freno a la innovación tecnológica. Entre esas técnicas se encuentran los sandboxes regulatorios, que recientemente han sido “bendecidos” y apoyados expresamente en el importante y conocido “Informe Draghi”, en el que se mencionan en varias ocasiones(4).

El origen de los sandboxes normalmente se asocia a una iniciativa del año 2015 de la Financial Conduct Authority británica para atraer a su jurisdicción empresas relacionadas con el mundo FinTech(5). La idea, en resumidas cuentas, era la de facilitar la implantación de determinados proyectos innovadores en el ámbito de la prestación de servicios financieros mediante la dispensa durante un periodo breve de tiempo de algún requisito regulatorio o mediante la concesión de autorizaciones mucho más sencillas de obtener. A partir de esta iniciativa británica, los sandboxes se han ido extendiendo a otros países y, sobre todo, a otros sectores o entornos también fuertemente regulados como puede ser el energético, la protección de datos o la movilidad(6).

Como se apuntaba al principio, esta expansión ha generado que el sandbox sea un fenómeno multinivel pues se pueden encontrar previsiones sobre los mismos en la normativa europea, estatal, autonómica e, incluso, en las ordenanzas locales. En lo que se refiere a la normativa europea, a veces se prevé la creación de un sandbox a nivel europeo gestionado por la propia Comisión Europea, como recientemente ha sucedido en el Reglamento del Espacio Europeo de Datos y Salud (art. 40)(7) o el Sandbox Europeo en Blockchain(8), o simplemente se impone a los Estados miembros su implementación; aquí el RIA constituye el ejemplo más reciente.

En España, el sandbox se introdujo por primera vez en la Ley 7/2020 para la transformación digital del sistema financiero(9) y rápidamente se extendió al sector eléctrico mediante una modificación de la Ley 24/2013, de 26 de diciembre, del Sector Eléctrico en la que se añadió una nueva disposición adicional (vigésimo tercera) que contemplaba la aprobación de “bancos de pruebas regulatorios”(10). Sin embargo, su espaldarazo definitivo ha venido con la llamada “ley de startups” (Ley 28/2022 de fomento del ecosistema de las empresas emergentes) que ha habilitado con carácter general a los “poderes públicos” para introducir este tipo de instrumentos mediante la aprobación de reglamentos que creen dichos sandboxes (artículo 16.1). De esta cláusula se sirvió el Gobierno para aprobar el Real Decreto 817/2023 por el que se establece un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (11). Una habilitación similar, reducido al ámbito del I+D+i se puede encontrar en la DA trigésima primera de la Ley 14/2011, de 1 de junio, de la Ciencia, la Tecnología y la Innovación.

A nivel autonómico también se puede mencionar la iniciativa asturiana, gallega o extremeña que en sus respectivas normativas sobre la IA han posibilitado la creación de espacios controlados de pruebas pensados principalmente para probar sistemas de IA utilizados por la Administración autonómica correspondiente antes de su uso definitivo(12). Y en lo que se refiere al ámbito local, Ayuntamientos como el de Madrid(13), Valencia(14) o Zaragoza(15), entre otros, han aprobado sus correspondientes ordenanzas para la instauración en sus municipios de sandboxes regulatorios.

3. PRINCIPALES CARACTERÍSTICAS DE LOS SANDBOXES

Como se acaba de apreciar, ya existe un número importante de normas formalmente aprobadas bajo la denominación de “sandbox” (o similares). Esto ha provocado que los contornos del concepto se hayan vuelto un tanto difusos y que algunas de las normas que se han aprobado como tal no respondan a la esencia de la figura. De hecho, la que en origen pudo ser la idea central del “sandbox”, la existencia de una dispensa normativa temporal ha desaparecido del contenido de muchos sandboxes que tan solo se han convertido en espacios de diálogo entre el regulador y los promotores de un determinado proyecto(16). Pese a todo, es perfectamente posible identificar una serie de elementos comunes que están, o deberían estar presentes en todo tipo de sandboxes, independientemente de su funcionamiento final.

En este sentido, la función principal del sandbox es la de diseñar un espacio “seguro” donde probar o “testear” temporalmente determinadas formas innovadoras de prestar un servicio. Esa idea de espacio seguro se consigue mediante el acceso al sandbox, a ese entorno controlado de pruebas. Nada impide a una empresa introducir en el mercado un producto, sea innovador o no, pero ese producto o, incluso, la propia empresa que lo ofrece puede incumplir con algún requisito que imponga la regulación en cuestión. También es posible, sobre todo en el caso de empresas emergentes, que la complejidad del entorno regulatorio sea tal que exista cierta incertidumbre sobre si se cumplen o no esos requisitos. En este escenario, las empresas pueden poner en marcha sus proyectos asumiendo el riesgo de que la Administración las sancione o, simplemente, pueden decidir no iniciarlos o hacerlo en países con entornos regulatorios más favorables a la innovación tecnológica. Por eso, la finalidad del sandbox es ofrecer un espacio temporal en el que se ofrezca a la empresa la tranquilidad de contar con la “conformidad” de la Administración a la hora de realizar la prueba de su producto en condiciones reales de mercado. Este regulatory relief se produce precisamente porque las pruebas son controladas, es decir, bajo la supervisión directa de la Administración y siguiendo sus órdenes.

El acceso al sandbox se basa en una selección de los proyectos por parte de la Administración a partir de una serie de criterios predefinidos en una convocatoria o en la propia norma que crea el sandbox. Lo lógico es que ese proyecto esté en una fase lo suficientemente madura, ya que de lo contrario no tendría sentido probarlo en el mercado ni examinar mínimamente su viabilidad o el valor añadido que puede aportar a lo que hasta ese momento existe. Como apuntaba, toda esa experimentación se realiza bajo unas condiciones impuestas por el regulador en un protocolo o en un plan de actuación. Allí se detalla con precisión las obligaciones que asume el promotor durante el experimento, cuyo incumplimiento puede provocar la finalización anticipada de las pruebas, y, en su caso, el marco jurídico bajo el que se desarrollarán esas pruebas. Aunque los promotores también firman esos protocolos, la doctrina los ha asimilado con las autorizaciones para la realización de una actividad, ya que, lejos de constituir un contrato que imponga obligaciones a ambas partes, tan solo supone la aceptación por parte del promotor de las condiciones en las que se tiene que llevar a cabo el experimento(17).

El sentido del sandbox es la concesión de determinados incentivos regulatorios para favorecer la implantación de proyectos cuyo contenido innovador va a generar un impacto positivo para los consumidores o, incluso, para la propia Administración pública. Como ya dejábamos entrever al principio, el contenido de ese incentivo, de esa ventaja regulatoria puede ser muy variado(18). Entre estos, se encuentra la posibilidad de ofrecer al promotor de la actividad la exención de determinados requisitos regulatorios o la concesión de autorizaciones temporales mucho más fáciles de obtener, opción que puede ser muy atractiva para las empresas pero que, evidentemente, encierra algún que otro riesgo desde el punto de vista del consumidor.

En línea con lo anterior, la ya mencionada Ley 28/2022 de fomento del ecosistema de las empresas emergentes permite que cualquier sandbox contenga dichas exenciones regulatorias. El artículo 16 de la Ley dispone que “las pruebas se regirán por las normas sobre espacios controlados de pruebas que se dicten en cada sector y los protocolos que acuerden las autoridades supervisoras y los promotores de los proyectos, sin sujeción a la legislación específica del mercado de que se trate”. De esta forma, se produce, en el marco de estos sandboxes, una deslegalización de cualquier ley sectorial (estatal) que regule el ejercicio de una actividad, sustituyéndose dicha regulación por la norma creadora del sandbox y por el protocolo acordado con el promotor. No obstante, por un principio de competencia, una ley estatal (o autonómica) tan solo puede contemplar la derogación de aquellas normas que recaen en materias de su competencia. En consecuencia, la presencia del Derecho de la Unión en mercados fuertemente regulados puede limitar la utilidad de dichas exenciones normativas, y deberá ser la propia normativa de la Unión la que las contemple, lo que no siempre sucede.

En este sentido y como ya apuntábamos, existen otro tipo de sandboxes en los que este tipo de dispensas normativas no están presentes y la doctrina no ha encontrado ningún tipo de inconveniente en calificarlos como tal(19). Esas ventajas administrativas pueden consistir, simplemente, en que el regulador vaya indicando al promotor de la actividad la forma en la que debe cumplir los requisitos regulatorios, de tal forma que si sigue sus indicaciones en ningún caso debería ser objeto de una sanción administrativa. Lo normal cuando una empresa va a iniciar una actividad o poner un proyecto en marcha es que la misma “autoevalúe” la compatibilidad de este con el marco regulatorio existente, salvo que se exija una licencia o autorización previa. Incluso en este caso, lo lógico es que esa licencia tan solo evalúe la adecuación de la actividad con alguna norma sectorial, pero, en absoluto, con el ordenamiento jurídico en su conjunto. Por ello, para los proyectos que accedan al sandbox, la Administración altera el sistema de cumplimiento de la norma, sustituyendo esa técnica del autocontrol por una más parecida al de la técnica autorizatoria, al indicarle claramente al promotor la forma en la que debe cumplir con los requisitos para operar, aunque sea de forma temporal. En entornos regulatorios complejos como el de la IA o la protección de datos, esta ventaja es muy relevante, como más adelante veremos(20).

Hasta ahora se ha puesto de manifiesto la utilidad de los sandboxes desde la perspectiva de la iniciativa privada pero también son capaces de proporcionar determinados beneficios para los poderes públicos. Durante el periodo de pruebas, fruto de esa supervisión y diálogo, se produce un contacto estrecho con los promotores de la que se obtiene una información muy valiosa para incorporar o sugerir las reformas normativas que correspondan. El sandbox en este caso se convierte en un canal de información para la Administración con el objetivo de que la regulación se pueda adaptar fácilmente ante esas nuevas formas de prestar un determinado servicio(21). A su vez, la Administración puede elaborar una serie de guías orientativas sobre la forma de cumplimiento de determinados requisitos o documentos resúmenes de las principales dificultades operativas y regulatorias que pudo haber experimentado un producto durante el periodo de pruebas(22). De estas guías, obviamente, se pueden beneficiar otras empresas que no han participado en el sandbox pero que pretendan desarrollar proyectos similares.

4. SANDBOXES Y FIGURAS AFINES

4.1. Sandboxes y regulaciones experimentales

Pese a la novedad que presenta la figura de los sandboxes, la conocida como regulación experimental, con la que los sandboxes guarda notables similitudes, tiene un recorrido mucho más largo en los ordenamientos jurídicos de los distintos países. De hecho, existen estudios que señalan ejemplos de regulación experimental ya en el siglo XVIII, aunque su auge data de la segunda mitad del siglo XX(23). La regulación jurídico-experimental es una regulación jurídica temporal de alcance singular o general que se implementa única y exclusivamente con la intención de obtener un resultado que permita valorar o no el acierto de la regulación, con el objetivo de convertirla en definitiva(24). Desde esta perspectiva, los sandboxes se equipararían con la regulación experimental o, al menos, se podrían calificar como un tipo de regulación experimental. Como ya hemos dicho, uno de los propósitos de los sandboxes es obtener información directa sobre la adecuación de los requisitos regulatorios de una determinada actividad. Sin embargo, la figura del sandbox no equivale a la regulación experimental ya que, de lo contrario, cualquier reforma normativa temporal con el propósito antes enunciado podría catalogarse como sandbox y, por lo tanto, la “novedad” del fenómeno no sería tal. El sandbox tiene una serie de características propias que lo diferencian de la regulación experimental al uso(25).

En primer lugar, ya se había advertido de la existencia de sandboxes cuyo único propósito era prestar un asesoramiento personalizado sin necesidad de contemplar ningún tipo de modificación normativa. Los sandboxes están asociados a la prestación de un determinado servicio con un componente tecnológico claro y en un entorno regulatorio ciertamente complejo. La regulación experimental no necesariamente tiene este enfoque y está presente en otros muchos sectores como el de la educación o el de las prestaciones sociales. Pensemos, por ejemplo, en una norma que permita implantar en determinadas zonas o para algún curso académico un modelo pedagógico concreto. O, también, y tal y como sucedió en Finlandia, la posibilidad de otorgar a un grupo de personas una renta básica universal durante un periodo de tiempo para analizar su impacto en la búsqueda de empleo(26).

En segundo lugar, los sandboxes tienen un enfoque principalmente orientado al mercado (aunque no solo) mientras que la regulación experimental puede comprender o estar relacionada con un espectro de políticas públicas mucho más amplias. En este sentido, el objetivo principal del sandbox es el de favorecer y potenciar la innovación de tal forma que, de una forma u otra, se concede una ventaja administrativa a un proyecto para favorecer su implantación definitiva en el mercado. En la regulación experimental el enfoque, en mi opinión, parece otro: buscar la norma que mejor regule un determinado sector o actividad, objetivo al que también puede llegar el sandbox, pero de una forma indirecta.

Por último, los sandboxes tienen un contenido mucho más personalizado que la regulación experimental. Esta, aunque sectorial o reducida a un grupo de personas, no deja de ser uniforme porque en el fondo somete a un mismo régimen jurídico (aunque diferente del general) una determinada actividad o grupo de personas. En los sandboxes es posible que se diseñe el marco regulatorio necesario para cada proyecto de tal forma que no necesariamente se van a inaplicar, temporalmente, las mismas disposiciones normativas. Por eso lo normal es que ese régimen jurídico quede diseñado en el protocolo o plan de actuación que se pacta entre el regulador y la entidad que entra en el sandbox. Con todo, estas diferencias están basadas en características generales y desde luego que habrá regulaciones experimentales que, sin ser calificadas como “sandboxes” presenten características muy similares.

4.2. Sandboxes e innovations hubs

Si antes decíamos que el principal objetivo del sandbox era apoyar, de una forma u otra, actividades o proyectos con un contenido innovador que, además, beneficien a los consumidores y usuarios, es posible encontrar otro tipo de iniciativas reguladoras que caminen en esta dirección. En este sentido, como alternativa a los sandboxes a veces se menciona a los conocidos como innovations hubs o centros de innovación, que no dejan de ser puntos de contacto permanentes con la Administración para la consulta de determinadas cuestiones regulatorias(27). En estos casos, con anterioridad al inicio de una actividad o durante su desarrollo, un determinado operador le plantea una serie de dudas al regulador sobre el encaje legal de esa actividad para que le ofrezca una respuesta que, en principio, no tiene carácter vinculante.

Al igual que sucedía con la regulación experimental, los sandboxes y los innovations hubs presentan similitudes, aunque ahora las diferencias parecen más evidentes. En ambos casos hay una presencia importante de lo que podemos encuadrar dentro del concepto de actividad “informal”, pues hay un diálogo e intercambio de información entre Administración y los promotores de la actividad en cuestión. Sin embargo, en los sandboxes, en tanto que ese diálogo es mucho más intenso y continuo se termina juridificando de alguna forma. Por eso existe una convocatoria, un proceso de selección, un protocolo entre el regulador y el promotor y por eso es posible que al finalizar el experimento la Administración le otorgue un determinado certificado en el que asegure que una actividad, según su parecer, cumple con la regulación vigente(28).

Por otro lado, los innovations hubs son una técnica mucho más conocida en nuestro ordenamiento jurídico. De una forma u otra, es habitual que los ciudadanos puedan plantear de forma esporádica sus dudas ante una Administración. Por ejemplo, se pueden mencionar los puntos de atención al emprendedor dependientes del Ministerio de Trabajo(29) o, aunque con un carácter ahora ya vinculante, las Consultas que se pueden formular a la Dirección General de Tributos, reguladas en el artículo 88 de la Ley General Tributaria. El hecho de que tales consultas se planteen en sectores más regulados o estén vinculadas a un tipo de sector como, por ejemplo, el de la regulación bancaria no les otorga ninguna particularidad.

5. CUESTIONES REGULATORIAS ASOCIADOS A LOS SANDBOXES

Los sandboxes, en cuanto que otorgan una ventaja administrativa a una empresa frente a sus potenciales competidoras, tienen que analizarse desde la perspectiva del principio de igualdad y del Derecho de la competencia. Además, es necesario realizar un diseño adecuado de esta figura para mitigar todos los riesgos asociados a la misma. Como ahora se explicará con más detalle, los sandboxes tienen un encaje sencillo en nuestro ordenamiento jurídico pero una mala configuración de estos podría abocar al fracaso o al abandono de esta figura.

5.1. Sandboxes y principio de igualdad

Pese a que los sandboxes introducen diferencias entre unos sujetos y otros, en particular, entre los que acceden al mismo y los que no, en principio, son perfectamente compatibles con el principio de igualdad. La técnica de los sandboxes la podemos encuadrar dentro de la llamada “administración de fomento”, en tanto que se otorga algún tipo de ventaja a aquellos proyectos que se consideran de interés(30). Evidentemente, esa ventaja genera una desigualdad entre las empresas que acceden al sandbox y las que no, pero, siempre y cuando el acceso al mismo se defina a partir de una serie de criterios claros, objetivos y razonables, no se plantean problemas desde la perspectiva del principio de igualdad(31). Lo mismo sucede con las subvenciones, que es el ejemplo prototípico de actividad de fomento, en las que lo habitual será que determinados proyectos no resulten seleccionados, produciéndose evidentes ventajas competitivas para aquellos que sí lo son.

El control jurídico reside, por lo tanto, en los criterios de selección o en los requisitos de acceso al sandbox, que normalmente se establecen en cada convocatoria o, también, en su norma de creación. Sin embargo, como regla general, ese control tiene un carácter bastante difuso y está basado meramente en la racionalidad o en la ausencia de arbitrariedad. Esto se justifica en el amplio margen de apreciación con el que cuenta las Administraciones a la hora de decidir qué proyectos considera de interés general y, por lo tanto, merecedores de ese trato beneficioso. El juez no puede sustituir esa apreciación sino, tan solo, comprobar que es razonable y está motivada(32). Pensemos, por ejemplo, que la norma reguladora del sandbox incluye entre los criterios para seleccionar a un proyecto que la empresa sea emergente o se trate de una pequeña o mediana empresa. Evidentemente se produce un trato desigual frente a las grandes empresas que la Administración podrá justificar en la diferencia de recursos entre unas y otras a la hora de introducir un producto y comprender el entorno regulatorio. En este caso, la diferenciación es perfectamente razonable y, por lo tanto, válida.

Pese a ello, existen situaciones en las que el control tiene una dimensión mucho más amplia, pero esto se vincula con el tipo de discriminación que se introduce. Si se contemplan criterios relacionados con el sexo, raza, color, orígenes étnicos o sociales, orientación sexual, etc., el control tiene que ser mucho más intenso y, directamente, prohibir dicha discriminación, tal y como exige el artículo 14 de la Constitución(33).

Estas mismas ideas también se encuentran reflejadas en el Derecho de la Unión, del que provienen o pueden provenir algunos de los sandboxes que actualmente existen en nuestro ordenamiento jurídico interno. En este sentido, son ilustrativas las palabras del Abogado General de la UE Poiares Maduro en el Asunto C-127/07 que, por su claridad, me permito reproducir:

“El principio de igualdad crea una presunción en virtud de la cual cualquier diferencia de trato constituye una discriminación, salvo que el legislador aporte una justificación aceptable, es decir, objetiva y razonable. En todo sistema judicial, la intensidad del control ejercido sobre esta justificación y sobre la diferencia de trato que de ella se deriva varía según el ámbito y según los motivos de diferenciación tenidos en cuenta por el legislador. Si el legislador utiliza clasificaciones sospechosas, es decir, relacionadas con la raza, el sexo, el origen étnico, las opiniones políticas o religiosas (), el control será muy riguroso y podrá extenderse hasta un control estricto de proporcionalidad. [].

Por el contrario, en ciertos ámbitos, en particular el de la regulación económica y social, y cuando el legislador no recurre a tales clasificaciones sospechosas, es decir, cuando sólo se cuestiona la igualdad ante la ley, el grado de intensidad del control es menor. Esta constatación es válida para todos los sistemas judiciales nacionales, aunque pueden variar los marcadores de esta limitación del control (<<reasonableness>>, <<rational basis>>, <<erreur manifeste>>, <<Willkürverbot>>,) y la amplitud de ésta. Pueden mencionarse tres justificaciones de este menor grado de control. En primer lugar, puesto que el principio de igualdad puede invocarse contra todo tipo de medidas gubernamentales, cualesquiera que sean los intereses o actividades afectados, si los jueces ejercieran siempre un control exhaustivo, someterían a menudo las opciones económicas y sociales del legislador a una segunda apreciación, lo que cuestionaría tanto su legitimidad como su capacidad de tratamiento judicial. En segundo lugar, toda actividad legislativa implica llevar a cabo opciones y tiene efectos redistributivos: en principio, aunque estas opciones y efectos redistributivos favorezcan inevitablemente a ciertas categorías sociales o económicas en perjuicio de otras, no constituyen discriminaciones, y la discusión, la definición y el reparto de estos efectos redistributivos son cuestiones propias del proceso político. En tercer lugar, sólo cuando la ley identifica y tutela a grupos específicos, que a menudo se encuentran subrepresentados en el proceso de decisión política, los jueces están legitimados para aplicar un control más estricto de las diferencias de trato decididas por el poder político”.

5.2. Sandboxes y Derecho de la competencia

El Derecho de la competencia, en cuanto que pretende preservar la igualdad entre los participantes en un mercado, se encarga de restringir o prohibir aquellas ventajas que los Estados pudiesen conceder a determinadas empresas. El acceso al sandbox, como hemos visto, no deja de ser una ventaja y se ha llegado a demostrar que la selección para participar en este tipo de experimentos aumenta considerablemente las posibilidades de obtener financiación, cuestión muy importante cuando se trata de empresas emergentes muy dependientes de la inyección de capital por parte de terceros(34).

Las ventajas que ofrecen los sandboxes deben analizarse fundamentalmente a la luz de la prohibición de otorgar ayudas de Estado que recoge el artículo 107.1 del TFUE(35) que exige, según ha entendido la Comisión Europea, que para la existencia de una ayuda de estado es necesario que se produzca un trasvase de “fondos estatales”. Eso se puede realizar a través de una subvención, un préstamo, una garantía, una inversión directa en el capital o, incluso, mediante una renuncia a ingresar una determinada cantidad (exenciones o bonificaciones fiscales o en las cotizaciones a la seguridad social)(36). Como las ventajas que otorga el sandbox no implican ningún tipo de trasvase patrimonial, la legislación relativa a las ayudas de Estado no es aplicable y, por lo tanto, el Derecho de la competencia no restringe la creación de sandboxes regulatorios(37). De hecho, la CNMC ha informado varios anteproyectos de leyes o reglamentos que contemplaban la introducción de sandboxes regulatorios y en ningún caso ha alertado de su incompatibilidad con las disposiciones reguladoras del Derecho de la Competencia(38). A lo sumo, advierte que una indebida configuración en los requisitos de acceso o la posible influencia excesiva de un competidor sobre el regulador puede introducir ventajas poco recomendables o no justificadas para una efectiva competencia, sin que eso suponga per se una violación de dicha normativa.

En conclusión, desde un punto de vista jurídico los sandboxes tienen un encaje bastante sencillo en cualquier ordenamiento jurídico y, para lo que aquí interesa, son perfectamente compatibles con el Derecho de la Unión Europea y el de los Estados miembros. El verdadero reto de los sandboxes está en su diseño y configuración y, en particular, en evitar que se produzca una excesiva relajación de la protección de los consumidores y usuarios, una captura del regulador fruto de ese contacto permanente con los operadores del mercado y, por último, una competencia negativa (race to the bottom) entre los reguladores para atraer a más inversores. También, por supuesto, es necesario examinar si los requisitos de selección son adecuados y si no existen excesivas trabas administrativas a la hora de presentar las solicitudes(39). Por lo tanto, el control que se puede hacer de los sandboxes reside más bien en la accountability, en la rendición de cuentas y en la transparencia administrativa.

Lo anterior no significa que no exista ningún tipo de control jurídico por parte de los tribunales, que podrán examinar los recursos que se interpongan contra la norma creadora del sandbox, contra la convocatoria, así como contra el acto administrativo por el cual se selecciona a unos candidatos frente a otros. Pero también en este segundo escenario ese control es complejo porque lejos de ser una decisión “reglada” de la Administración o en la que existan una serie de criterios cuantificables (como sucede, por ejemplo, en la adjudicación de algunos contratos públicos), la Administración seleccionará los proyectos a partir de una lista muy variada de criterios que sirven como “guía” en la decisión de la Administración o puntos de apoyo a partir de los cuales tiene que motivar su decisión contando, de nuevo, con un margen de apreciación bastante amplio.

5.3. Los posibles riesgos de los sandboxes

Como apuntábamos, el diseño y configuración de los sandboxes es muy importante para evitar los riesgos que inevitablemente presentan. La moda por los sandboxes, por transmitir esa imagen de una “administración que innova” puede derivar en la creación apresurada de este tipo de instrumentos. Es necesario, en ese sentido, que se publiquen informes sobre el desarrollo y funcionamiento de la figura, como ha hecho, por ejemplo, el Banco de España.

A su vez, la introducción de este tipo de instrumentos no debería realizarse a “coste cero”. No significa, en absoluto, que parte de esos costes no puedan ser sufragados por las entidades que participan en el sandbox, mediante el pago, por ejemplo, de una tasa por ese acceso al sandbox. Lo importante es que la Administración cuente con los recursos humanos y materiales suficientes para llevar a cabo la supervisión de una forma correcta y tramitar las solicitudes en tiempo y forma adecuada, sin descuidar el resto de las funciones que pueden tener encomendadas. Muchas iniciativas públicas mueren de éxito, en muchos casos, por la complejidad burocrática y por la falta de personal y de medios en las Administraciones para afrontar la tramitación y ejecución de todas las solicitudes. La aprobación de un sandbox supone, inevitablemente, el incremento de tareas dentro de una Administración lo que debería ser compensando con un incremento de sus propios recursos.

Más allá de estas cuestiones generales, se ha advertido de las posibles “capturas del regulador” y esa suerte de race to the bottom que puede provocar la introducción de los sandboxes(40). Si el objetivo principal es el de fomentar y atraer a inversores, los reguladores pueden favorecer excesivamente esa “relajación regulatoria” de tal forma que se descuidan otros intereses, especialmente el de los consumidores. A su vez, ese contacto y diálogo permanente entre el regulador y las empresas que participan en el sandbox puede derivar en la “captura” del mismo, lo que no solo se traduce en esa regulación excesivamente favorable sino, también, en cierta contención a la hora de ejercer, cuando corresponda, la potestad inspectora o sancionadora.

Frente a este tipo de críticas bastante generalizadas, se ha expuesto que estos riesgos no son tan elevados si tenemos en cuenta la temporalidad de los sandboxes y que muchas de las empresas que en principio deberían acceder al mismo son empresas emergentes o de tamaño reducido cuya capacidad de influir es mucho menor(41). Además, la imposición de obligaciones de transparencia y de intercambio de información también puede ayudar a mitigar esos riesgos, de tal manera que se deban compartir los resultados derivados de ese experimento y exponer las ventajas e inconvenientes que el mismo tiene y en qué sentido debe modificarse una determinada norma. En la Unión Europea, esos riesgos son aún menores porque la existencia de normativa comunitaria en muchos de los sectores en los que típicamente opera un sandbox complica esa competencia entre autoridades nacionales y favorece el intercambio de información y cooperación entre los mismos, reduciendo ese riesgo de “captura”.

También se ha cuestionado abiertamente la posibilidad de incluir dispensas normativas en los sandboxes. Si la función de los reguladores es precisamente la de asegurar el cumplimiento de un conjunto de normas cuyo fin es la protección de determinados intereses públicos, la implantación de un sandbox es incompatible con este fin(42). Sin embargo, estas críticas o estas posiciones suelen estar muy vinculadas a un determinado tipo de sandbox (con exenciones regulatorias) y en un ámbito muy concreto como es el de la supervisión bancaria, en el que experiencias pasadas han puesto de relieve cómo una mala praxis de las autoridades puede derivar en una crisis sistémica.

Otra de las críticas frecuentes es la de la excesiva discrecionalidad que puede tener una Administración para decidir quién accede al sandbox. Ya desde una perspectiva liberal y contraria al intervencionismo estatal, se llega a cuestionar cualquier tipo de selección entre competidores por parte de los poderes públicos y se rechaza incluso la idea de que sea una Administración la que defina lo que se considera como “innovador”(43). No obstante, en mi opinión este riesgo ya es consustancial a la propia actividad de fomento de las Administraciones públicas que, precisamente, consiste en incentivar aquellas cuestiones que legítimamente consideran que mejor pueden satisfacer un interés general. La utilización de conceptos jurídicos indeterminados para la selección de los proyectos que acceden al sandbox, que es lo que en el fondo le otorga ese margen de apreciación, me parece indispensable e irrenunciable.

Una forma de evitar esa ventaja competitiva que supone acceder a un sandbox puede ser la admisión generalizada de aquellas solicitudes que cumplan con un mínimo de requisitos y, fundamentalmente, que contengan un contenido innovador. En este sentido, los sandboxes pueden funcionar a modo de convocatoria, de tal forma que la Administración periódicamente abra un proceso de selección para la presentación de solicitudes o, por el contrario, que el acceso al sandbox esté continuamente abierto. Otra posibilidad, que se presenta como combinación de estos dos sistemas, es que la Administración mantenga el sandbox abierto de forma permanente pero que establezca periodos temáticos, de tal forma que se puedan excluir solicitudes que no se refieran a la temática seleccionada por la Administración(44). Los sandboxes abiertos desde luego que restringe menos el acceso y facilita la presentación de propuestas, por lo que son la opción preferida por las autoridades de competencia(45). No obstante, una apertura generalizada puede provocar retrasos en el diseño de los protocolos, en el inicio del experimento y, en definitiva, en lograr que el sandbox cumpla correctamente sus funciones.

6. LA REGULACIÓN DE LOS SANDBOXES EN EL RIA

Como hemos avanzado a lo largo de este trabajo, los sandboxes pueden ser una herramienta útil a la hora de afrontar el reto regulatorio de la inteligencia artificial. Precisamente por ello el RIA contempla su creación en el artículo 57, que dispone que “los Estados miembros velarán por que sus autoridades competentes establezcan al menos un espacio controlado de pruebas para la IA a escala nacional, que estará operativo a más tardar el 2 de agosto de 2026”, aunque también contempla la posibilidad de crear sandboxes conjuntos entre Estados miembros y, a su vez, habilita al Supervisor Europeo de Protección de Datos para crear un sandbox para las instituciones, órganos y organismos de la Unión(46).

Aunque en España todavía no se ha aprobado tal sandbox, es interesante analizar la regulación que ha hecho el RIA sobre esta figura, porque se ponen de reflejo muchas de las ideas que previamente se han expuesto. Es cierto que la configuración final de tal sandbox dependerá de su aprobación definitiva, pero el RIA aspira a que exista cierta homogeneidad entre las regulaciones de los Estados miembros. Por ello, no solo establece una serie de condiciones sobre esos sandbox en el propio texto del Reglamento sino que, además, permite a la Comisión Europea adoptar actos de ejecución que incluyan una serie de disposiciones comunes sobre muchas de las materias que afectan al Sandbox, tales como los criterios de selección y admisión, el procedimiento para la solicitud, participación, supervisión, salida y terminación del espacio controlado de pruebas y las condiciones aplicables a los participantes; disposiciones que deberán ser dictadas teniendo en cuenta las prescripciones que impone el artículo 58.2 del RIA(47). Por consiguiente, de la regulación que hace el propio Reglamento y, sobre todo, de los actos de ejecución que en un futuro dicte la Comisión Europea, podremos atisbar un modelo de sandbox en materia de IA en la Unión Europea.

6.1. Un sandbox sin exenciones normativas

Ya hemos explicado que, fundamentalmente, podemos establecer dos categorías de sandboxes en función de si permiten una dispensa temporal de los requisitos regulatorios o no. Los sandboxes que contempla el RIA se pueden encuadrar en ese segundo grupo(48). No obstante, se debe mencionar que el RIA permite durante el periodo de duración de las pruebas emplear datos recabados para otros fines para desarrollar, entrenar y probar determinados sistemas de IA, siempre y cuando se cumplan una serie de garantías estipuladas en el artículo 59 del RIA. El RGPD recoge el principio de “limitación de la finalidad”, lo que se traduce en que los datos no podrán ser tratados ulteriormente “de manera incompatible” con los fines para los que se recogieron, salvo que medie consentimiento del interesado (artículo 5.1b) RGPD), norma que en este caso se ve excepcionada para aquellos que accedan al sandbox. Sin embargo, cuando hablamos de exenciones normativas de los sandboxes nos referimos a otro tipo de situaciones en las que esa exención se configura ad hoc para cada tipo de proyecto y en función de las dificultades que pueda presentar. En este caso tan solo supone una derogación temporal de un precepto para todos los proyectos por lo que en absoluto es equiparable.

A veces se plantea la utilidad de este tipo de sandbox precisamente por el hecho de no contemplar esas exenciones regulatorias(49). No obstante, creo que este modelo es interesante en entornos regulatorios complejos y cuya regulación está basada en principios más que en reglas claras y precisas. El RIA impone una serie de requisitos para la utilización de aquellos sistemas de inteligencia artificial que el mismo se encarga de catalogar de “alto riesgo”, relacionados con el sistema de gestión de riesgos, la calidad de los datos sobre los que se entrena el sistema de IA, la forma de elaboración de la documentación técnica, el registro de eventos (logs), la transparencia, el sistema de supervisión humana y los niveles adecuados en materia de ciberseguridad. Estos requisitos, como apuntaba, se enuncian de una forma ciertamente abstracta en la que abundan los conceptos jurídicos indeterminados(50). Por poner un ejemplo, el RIA establece que la vigilancia humana deberá ser “efectiva” y ser capaz de reducir “al mínimo” los riesgos para la salud, la seguridad o los derechos fundamentales (artículo 14.1 y 2). En función del tipo de sistema de IA del que se trate, con anterioridad a su introducción en el mercado el proveedor deberá realizar una “autoevaluación” interna del cumplimiento de los requisitos que impone el RIA o deberá recabar un certificado de conformidad de un tercero que evaluará si el proveedor cumple con los requisitos que le impone el RIA(51).

Es cierto que en este segundo caso el proveedor cuenta con la conformidad del organismo notificado lo que, evidentemente, la da cierta tranquilidad de cara a posibles inspecciones o sanciones futuras, pero, aun así, deberá ser el propio proveedor el que presente toda la documentación pertinente para acreditar ante el organismo notificado que cumple con el RIA. Por ello, el acceso al sandbox facilita todo este proceso de verificación o autoverificación del cumplimiento normativo, porque es la autoridad competente la que se encarga de alguna forma de certificar que ese sistema de IA cumple con las disposiciones del Reglamento. De esta forma, la Administración acompaña y asiste al proveedor en ese proceso de verificación del cumplimiento normativo, lo que no sucedería si no hubiese accedido al sandbox. Por ello el artículo 57.7 establece que “las autoridades competentes proporcionarán a los proveedores y proveedores potenciales que participen en el espacio controlado de pruebas para la IA orientaciones sobre las expectativas en materia de regulación y la manera de cumplir los requisitos y obligaciones establecidos en el presente Reglamento”. Pero sobre todo y más importante, el artículo 57.8 dispone que el informe de salida que elabora la autoridad competente podrá servir para “demostrar su cumplimiento del presente Reglamento mediante el proceso de evaluación de la conformidad o las actividades de vigilancia del mercado pertinentes”.

En relación con estas actividades de vigilancia del mercado que menciona el artículo 57.8 del RIA, que pueden derivar en la imposición de sanciones administrativas, piénsese que muchas veces, precisamente por ese carácter abierto de la norma, es difícil aventurar si un sistema de IA cumple con los requisitos que impone el RIA y, en particular, con la interpretación que de los mismos realizan las autoridades correspondientes. Si la Administración entiende que el proveedor no cumple con las exigencias del Reglamento, podrá imponer sanciones administrativas que puedan alcanzar cantidades muy elevadas al calcularse con referencia al volumen de negocios. Pese a que este tipo de sanciones, al estar basadas en normas cuyo contenido es muy abierto, son a veces difícilmente compatibles con el principio de tipicidad(52), lo cierto es que cuando es la propia autoridad competente la que, al amparo de las pruebas realizadas en el sandbox, certifica el cumplimiento de los requisitos del Reglamento, el riesgo de resultar sancionado disminuye notablemente. Por último, no hay que olvidar que la participación del regulador en el sandbox le sirve para obtener información directa sobre la aplicabilidad del mismo y sobre aquellas cuestiones que podrían ser objeto de alguna modificación normativa.

Todas estas ventajas del sandbox han sido positivizadas por el propio RIA en el artículo 57.9 en el que establece que los objetivos de los sandboxes serán a) mejorar la seguridad jurídica para logra el cumplimiento del presente Reglamento o, en su caso, de otras disposiciones de Derecho de la Unión y nacional aplicable, b) apoyar el intercambio de mejores prácticas mediante la cooperación con las autoridades que participan en el espacio controlado de pruebas para la IA, c) fomentar la innovación y la competitividad y facilitar el desarrollo de un ecosistema de la IA, d) contribuir a un aprendizaje normativo basado en datos contratados y e) facilitar y acelerar el acceso al mercado de la Unión de los sistemas de IA, en particular cuando los proporcionen pymes incluidas las empresas emergentes.

6.2. Acceso al Sandbox

a) Sistemas de IA que acceden al sandbox

Una cuestión esencial es determinar qué tipo de sistemas pueden acceder al sandbox. El RIA no lo define, pero, como parece evidente, deberán ser aquellos que se puedan clasificar como de “alto riesgo”. En esencia, son a estos a los que el Reglamento les impone aquellas obligaciones cuyo cumplimiento se pretende facilitar a través del acceso al sandbox.

Un supuesto un tanto particular lo presentan los modelos de IA de uso general. En principio, también se encuentran fuertemente regulados por el RIA, en concreto, en el capítulo V, especialmente cuando se tratan de modelos de interés general que presentan un riesgo sistémico. La cuestión en este caso es que la supervisión del cumplimiento de estas obligaciones corresponde a la Comisión Europea (artículo 88.1), la cual deberá delegar el ejercicio de esas funciones a la Oficina de IA. Por lo tanto, el acceso de un modelo de IA de uso general a un sandbox de un determinado Estado miembro tiene una menor utilidad, salvo que en el desarrollo de las pruebas la Comisión Europea tenga una involucración directa. Esta cooperación en ningún caso está excluida. De hecho, el artículo 57.4 establece que “cuando proceda, las autoridades nacionales competentes cooperarán con otras autoridades pertinentes y podrán permitir la participación de otros agentes del ecosistema IA”, lo que permitiría la intervención de la Comisión Europea en este tipo de situaciones.

b) Sujetos que acceden al sandbox

Los sujetos que tienen que presentar la solicitud de acceso al sandbox son los proveedores del sistema de IA, pero el Reglamento permite que se presenten estas solicitudes “en asociación con responsables del despliegue y con otros terceros pertinentes” (artículo 58 b). De esta forma, en aquellos casos en los que el sistema de IA vaya a ser utilizado “bajo su propia autoridad” por una persona distinta al proveedor, es posible que tanto el proveedor como el responsable del despliegue accedan y participen de forma conjunta en el sandbox.

Esta previsión cobra mucho sentido para el caso de las Administraciones públicas. Frente a otro tipo de sandboxes en los que lo normal es que tan solo participen entidades privadas, en este caso también puede tener cabida la entrada al sandbox de un proyecto proveniente de una Administración pública. De hecho, algunos de los sistemas de IA que se catalogan como de “alto riesgo” pueden ser perfectamente utilizados por las Administraciones públicas como, por ejemplo, los relacionados con la “Educación y formación profesional” (artículo 3, Anexo III) y otros están destinados exclusivamente al uso por parte de las autoridades, como es el caso de los destinados al control fronterizo o la Administración de justicia y procesos democráticos (artículo 7 y 8, Anexo III). En estos casos, normalmente la utilización de sistemas de IA por parte de las Administraciones públicas viene precedida de un contrato con un sujeto privado, ya que rara vez será la propia Administración la que diseñe ese sistema de inteligencia artificial y actúe como proveedora, por lo que la posibilidad de presentar solicitudes conjuntas favorece esa participación de las Administraciones públicas en estos sandboxes.

Entre los sujetos que pueden acceder al sandbox merece una atención especial las pymes y las conocidas como empresas emergentes. Para evitar que los costes de cumplimiento del Reglamento supongan una carga excesiva para las pymes y las empresas emergentes, y, por lo tanto, una desventaja competitiva respecto de otras empresas mucho más grandes, el RIA contiene una serie de disposiciones encaminadas precisamente a, en la medida de lo posible, salvar esas diferencias entre un tipo de empresa y otro(53). Precisamente la introducción de un sandbox es una medida idónea para facilitar ese cumplimiento normativo y, por ello, la regulación que hace el RIA de esta figura está cargada de referencias hacia las pymes y las empresas emergentes, destacando, sobremanera, la obligación a los Estados miembros de conferirles un acceso prioritario al “sandbox” (artículo 62.1). Pero, además, se puede mencionar la creación de nuevos canales de comunicación con las pymes y empresas emergentes (independientemente de si acceden al sandbox o no) (artículo 62.1 c), la gratuidad en el acceso al sandbox para este tipo de empresas o la configuración de los procedimientos asociados al sandbox de forma sencilla “a fin de facilitar la participación de las pymes, incluidas las empresas emergentes, con capacidades jurídicas y administrativas limitadas” (artículo 58.2g).

c) Requisitos de acceso y criterios de selección

El Reglamento europeo de IA no regula una de las cuestiones esenciales en el diseño de los sandboxes como son los requisitos para participar y los criterios de selección, pero habilita a la Comisión Europea a establecer una serie de “principios” comunes sobre los mismos, que deberán ser concretizados por los Estados miembros (artículo 58.1). La Comisión Europea goza de una amplia discrecionalidad en la configuración de esos criterios ya que el RIA tan solo le exige que sean “equitativos y transparentes”. El procedimiento de presentación de solicitudes también queda reservado a ese juego de actos de ejecución-regulación interna de los Estados miembros, pero las disposiciones del RIA parece que dan pie a interpretar que se pretende que el Sandbox esté abierto de forma permanente, sin necesidad de que, como sucede en otros sandboxes, se realicen convocatorias periódicas.

En este sentido, el artículo 58.2 a) establece que los actos de ejecución garantizarán que “los espacios controlados de pruebas estén abiertos a cualquier proveedor potencial de un sistema de IA que presente una solicitud y cumpla con los criterios de admisibilidad y selección”. Si los sandboxes tienen que estar “abiertos” y se tiene que dar respuesta a las solicitudes en un plazo de 3 meses (sin que se disponga nada acerca del silencio), se puede entender que se opta por el modelo de sandbox antes mencionado. En este escenario, los criterios de selección no necesariamente servirían para clasificar por orden de preferencia los proyectos presentados, sino para realizar una evaluación sobre la eligibilidad e interés del proyecto. Como apuntábamos más arriba, que el sandbox esté continuamente abierto lo convierte en un instrumento mucho más flexible, sin necesidad de someter a las empresas a los plazos de convocatorias individuales. No obstante, será necesario esperar a la publicación de esos actos de ejecución para ver en qué se traduce las exigencias del RIA.

6.3. Régimen jurídico de las pruebas y de su finalización

Una vez que un determinado proyecto resulta seleccionado para acceder al sandbox, es necesario firmar el protocolo entre el promotor y la autoridad competente, en el cual se establece el plan controlado de pruebas, que podrá incluir, como específicamente contiene el Reglamento “pruebas en condiciones reales supervisadas” dentro del sandbox. Durante estas pruebas, el proveedor obtiene un conocimiento directo de las dificultades regulatorias y de adaptación al RIA que puede tener su sistema de IA, así como, si se prevén esas pruebas, su funcionamiento real en el mercado, todo ello bajo la supervisión y asesoramiento de la Administración. El hecho de que exista ese plan de actuación aceptado por la Administración provoca que, siempre y cuando se siga el plan y las indicaciones que ofrezca las autoridades que participen en el sandbox, no se podrán imponer multas administrativas ni por infracciones del Reglamento europeo de IA ni tampoco por infracciones de cualquier otra norma de Derecho europeo o nacional cuando la autoridad competente haya participado en el sandbox ofreciendo indicaciones sobre el cumplimiento de la norma (artículo 57.12).

Cuestión diferente es la responsabilidad civil derivada de los daños causados a terceros como consecuencia de las actividades desarrolladas durante el periodo de pruebas. En este caso, el RIA establece que los proveedores responderán de cualquier tipo de daño “con arreglo al Derecho de la Unión y nacional en materia de responsabilidad”, por lo que no se contempla ningún tipo de exoneración de dicha responsabilidad, como sucede con el caso de las sanciones, lo que tiene lógica desde la perspectiva de protección a los consumidores. Para garantizar mejor dicha protección, sería conveniente que el Reglamento hubiera impuesto la necesidad de contratar un seguro de responsabilidad civil para participar en el sandbox, pero es perfectamente posible que la normativa interna, a la hora de aprobar ese sandbox, así lo exija. No obstante, también se ha advertido que la aplicación de un régimen de responsabilidad ordinario a los participantes del sandbox, como aquí sucede, podría disuadirles de participar en el mismo y se plantea como una posible ventaja o incentivo la configuración de regímenes de responsabilidad atenuados(54). No parece que este sea el criterio que recoge el RIA.

Más allá de las cuestiones relacionadas con la responsabilidad civil y el uso de sistemas de IA, también es importante advertir de las posibles responsabilidades patrimoniales de las autoridades que participan en el sandbox, sobre todo, si ese daño procede de una orden directa de la Administración o es fruto de una actividad que la Administración expresamente ha autorizado en ese plan de actuación en el sandbox. El artículo 57.11 faculta a las autoridades competentes a suspender temporal o definitivamente las pruebas en el caso de que se detecte un riesgo para la salud, la seguridad y los derechos fundamentales, por lo que, como digo, esa falta de suspensión podría generar también responsabilidad civil si se produjese algún tipo de daño.

A lo largo de estas pruebas es fundamental que las autoridades de los Estados miembros se coordinen entre sí. Piénsese, que, en definitiva, se están ofreciendo indicaciones acerca del cumplimiento del RIA por lo que es fundamental que exista cierta homogeneidad al respecto. Para ello resulta de vital importancia el intercambio de información entre las diversas autoridades de los Estados miembros y, también, entre las autoridades nacionales y las instituciones u órganos de la Unión Europea. Por este motivo, el RIA establece que el diseño de los sandboxes tiene que facilitar la cooperación transfronteriza (artículo 57.13) y que las autoridades competentes colaborarán en el marco del Consejo de IA durante el desarrollo de los sandboxes (artículo 57.14).

En este caso, el papel que le asigna el RIA al Consejo de IA para garantizar una aplicación uniforme de la normativa se asegura, además, con la obligación a las autoridades competentes de remitirle informes anuales en el que se incorpore información sobre “el progreso y los resultados de la puesta en práctica de los espacios controlados de pruebas, incluidos mejores prácticas, incidentes, enseñanzas extraídas y recomendaciones acerca de su configuración y, en su caso, acerca de la aplicación y posible revisión del Derecho de la Unión”, informes que además deberán hacerse públicos (artículo 57.16). De esta forma también se garantizan algunas de los objetivos que antes habíamos mencionado, como el intercambio de mejores prácticas entre autoridades o la contribución al aprendizaje normativo.

Por último, finalizadas las pruebas en ese entorno controlado se le proporciona al proveedor del sistema de IA el informe de salida con el que podrá acreditar de forma más sencilla el cumplimiento de los requisitos que impone el RIA para, como anteriormente habíamos destacado, “acelerar los procedimientos de evaluación de la conformidad” (artículo 57.7).

6.4. Sandboxes “regionales”

Como se apuntaba al comienzo, también las normas autonómicas sobre la regulación de la IA contemplan la creación de sandboxes autonómicos(55), lo que expresamente contempla el RIA cuando dispone en el artículo 57.2 que “también podrán establecerse espacios controlados de pruebas para la IA adicionales a escala regional o local”. Estos sandboxes autonómicos pueden ser útiles para la prueba de sistema de IA que posteriormente puedan ser utilizados por la propia Administración, con el objetivo, de nuevo, de asistir a los proveedores en ese proceso de cumplimiento normativo que impone el RIA. De hecho, el objeto de estas normas autonómicas precisamente es la regulación de la utilización de la IA por parte de las administraciones públicas autonómicas correspondientes.

Por otro lado, además de esta función de apoyo o fomento sobre la que ya hemos hablado aquí, estos sandboxes también pueden convertirse en un instrumento de control interno por parte de la propia Administración. La regulación más completa al respecto es la del Decreto 98/2025 por el que se regula el uso de la Inteligencia Artificial en la Administración del Principado de Asturias y su sector público, en el cual se puede apreciar lo que aquí se está exponiendo.

En este sentido, el artículo 12.3 del Decreto asturiano establece que “no pueden contratarse o suscribirse convenios sobre sistemas de IA que afectando a los sistemas de información de la Administración del Principado de Asturias no hayan superado el proceso de pruebas o no cuenten con una declaración de conformidad con arreglo a lo establecido en el Reglamento de Inteligencia Artificial cuando se trate de un sistema incluido dentro de su ámbito de aplicación”. Dicho requisito no se aplica cuando se trate de sistemas de IA que no se puedan calificar como de “alto riesgo”, según los ha definido el RIA, o cuando ya exista una declaración de cumplimiento expedida por un organismo público con arreglo a normas armonizadas, o una declaración de conformidad expedida con arreglo a lo establecido en la sección quinta, del Capítulo III del RIA. Además, si no se ha superado ese proceso de pruebas o no se cuentan con tales declaraciones de conformidad, el artículo 26 no permite la implementación o el uso de tales sistemas de IA en la Administración asturiana, salvo que existan razones excepcionales de “seguridad pública o con la finalidad de proteger la vida y la saludo de las personas, el medio ambiente y activos fundamentales de industrias e infraestructuras”. Como se puede apreciar, en este caso el sandbox se convierte en un mecanismo de control interno de la propia Administración e, incluso, en una técnica de colaboración administrativa en tanto que se encarga a un determinado órgano (el competente del sandbox) que verifique si un sistema de IA cumple con la normativa aplicable y si su funcionamiento es el adecuado.

Sin embargo, en lo que se refiere a los sistemas de IA de alto riesgo, dicha previsión puede ser cuestionable. En principio, el RIA impone que todos los sistemas de alto riesgo cuenten con la declaración UE de conformidad, la cual se obtendrá tras seguir un proceso de verificación externa por un tercero o una verificación propia por parte del proveedor, en función del sistema de IA de alto riesgo. En este caso, el requisito de obtener un informe de salida positivo como alternativa a la existencia de un certificado UE de conformidad parece innecesario porque, como digo, el RIA impone a los proveedores de sistemas de IA de alto riesgo que cuenten con dicho certificado. Esa relación entre autorización de uso e informe de salida del sandbox debería quedar reducida, en consecuencia, para otro tipo de sistemas de IA que caen fuera del ámbito de aplicación del RIA. Si se trata de sistemas de IA de alto riesgo, la utilidad del sandbox sería la que hemos venido explicando hasta este momento: apoyar a un determinado proveedor en el proceso de cumplimiento de los requisitos que impone el RIA. Esto entraña el riesgo de que la Administración que asesora (la asturiana) es diferente de la encargada de aplicar la norma en cuestión (la Agencia Española de Supervisión de la Inteligencia Artificial), por lo que la utilidad de ese informe de salida es menor, pese a que el artículo 25 del Decreto asturiano establezca que “las autoridades de vigilancia del mercado y los organismos notificados tendrán en cuenta positivamente los informes de salida proporcionados y las pruebas escritas aportadas”. Esta previsión en nada incide, por su falta de competencia, en la potestad de supervisión y sanción de la Agencia española.

6.5. Sandboxes privados

Finalmente, si hasta ahora hemos hablado de sandboxes regulatorios o públicos, también es posible la existencia de sandboxes privados en los que se pruebe de forma provisional un producto en condiciones reales de mercado. El RIA también contempla esta posibilidad (artículo 60) y permite que un determinado proveedor realice sus propias pruebas dirigidas a un grupo reducido de consumidores (que tendrán que aceptar voluntariamente su participación) al margen del sistema establecido en el sandbox regulatorio. El riesgo que entraña la utilización de sistemas de IA de “alto riesgo” hace que también en este caso se establezcan determinadas cautelas a la hora de realizar esas pruebas y obliga a que las autoridades de vigilancia den su conformidad al plan de pruebas propuesto. Sin embargo, como en este caso la involucración de dichas autoridades es mucho menor, el proveedor del sistema de IA no obtiene las ventajas que le confiere la “selección” para participar en el sandbox regulatorio, como las exenciones de responsabilidad sancionadora o las facilidades de cara al cumplimiento normativo, que en seguida expondremos.

7. LA UTILIZACIÓN DE LOS SANDBOXES EN LA REGULACIÓN DE LA IA: MÁS ALLÁ DEL RIA

Más allá de los sandboxes que se creen a partir del RIA, existen en la actualidad otros que directa o indirectamente tienen una vinculación con la regulación de la inteligencia artificial o en los que acceden productos cuyo carácter innovador precisamente reside en la utilización de técnicas de IA en la prestación de un determinado servicio.

7.1. El primer sandbox español en IA: el RD 817/2023, de 8 de noviembre

Es importante destacar la iniciativa del Gobierno español, en colaboración con la Unión Europea, que derivó en la aprobación del Real Decreto 817/2023 por el que se establece un espacio controlado de pruebas para el ensayo del cumplimiento de la propuesta del Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial. Este sandbox en ningún caso responde a las exigencias del artículo 57 del RIA (su aprobación es anterior a la del Reglamento) que se acaban de describir, aunque su funcionamiento será muy similar a aquellos que se aprueben al amparo del citado artículo.

La finalidad de este primer sandbox español en materia de IA, cuya primera convocatoria ya se ha publicado(56), es la de adelantar, para aquellos proyectos seleccionados, la aplicación de los requisitos que impondrá el RIA para el uso de sistemas de IA de alto riesgo. Según dispone el artículo 113 del RIA, las obligaciones relacionadas con el uso de sistemas de IA de alto riesgo no serán aplicables hasta el 2 de agosto de 2026, precisamente para permitir que las empresas que utilicen ese tipo de sistemas de IA se vayan adaptando y cumpliendo con el conjunto de requisitos que impone el RIA. Lo que hace el sandbox español es, simplemente, permitir que la Administración asista a esas empresas seleccionadas en ese proceso de ajuste y adaptación y, de esa manera, tener una primera imagen de las dificultades regulatorias en las que el Reglamento puede incurrir en el momento en el que sea aplicable. Precisamente por eso el propio RD que introduce el sandbox condiciona su vigencia, de una forma un tanto confusa, “hasta que sea aplicable en el Reino de España el RIA”(57), ya que en ese momento ya habrá cumplido esa función para la que fue diseñado.

7.2. Sandboxes en sectores en los que está presente el uso de la IA

Si vinculamos sandbox con innovación, muchos de los proyectos que entren a formar parte de cualquier sandbox estarán basados en la utilización de herramientas de IA. Aquí también podríamos hablar de sandboxes relacionados, de una forma u otra, con la regulación de la IA. De hecho, en algún Estado miembro de la Unión Europea se ha previsto la creación de un sandbox regulatorio para la experimentación de productos basados en innovaciones tecnológicas. Un ejemplo paradigmático es el de “Sperimentazione Italia”(58). Además, como el RIA (al igual que sucede, por ejemplo, con el RGPD) no regula un sector de actividad sino los requisitos de uso de una determinada tecnología, los proyectos que accedan a un determinado sandbox creado por una norma sectorial pueden estar fuertemente condicionados por lo que disponga el RIA.

El sector financiero o el sector asegurador son un buen ejemplo de lo que aquí se expone. Por un lado, el RIA establece que los sistemas de IA para evaluar la solvencia o calificación crediticia, o para ser utilizados en la evaluación de riesgos son catalogados como de alto riesgo. Por el otro, estos productos podrían acceder al sandbox previsto en la Ley 7/2020 para la transformación digital del sistema financiero, del que ya hemos hablado. Si accediesen a este último sandbox en alguna de sus convocatorias, no tendría sentido que no se analizase el proyecto en cuestión sin tener presentes los eventuales inconvenientes que pudiese presentar, en su caso, el RIA(59). Someter el mismo proyecto a dos sandboxes diferentes no es viable, por lo que parece necesario una colaboración mucho más estrecha entre las autoridades encargadas de aplicar esa norma transversal (el RIA) y la norma sectorial(60).

Por último, también existen sandboxes en los que se analiza la compatibilidad de un determinado sistema de IA con la normativa de protección de datos, que en estos casos también juega un papel importante. Destaca el sandbox francés de su autoridad de protección de datos, la CNIL. En este caso en la convocatoria del año 2023-2024 accedieron al mismo proyectos relacionados con la IA en la prestación de servicios públicos(61).



8. CONCLUSIONES

Los sandboxes regulatorios son una figura que a través de la concesión de determinadas ventajas administrativas favorecen la implantación de empresas o proyectos de alto contenido innovador. Pese a que hoy en día existen voces que alertan sobre los riesgos que llevan asociados, como el arbitraje regulatorio, la captura del regulador o la concesión de ventajas competitivas indebidas, parece que existe cierto consenso en su utilización y en los beneficios positivos que reportan; también para las Administraciones públicas, que dispondrán de una información obtenida de primera mano acerca de las dificultades regulatorias, interpretaciones confusas o requisitos innecesarios de su normativa.

En el ámbito de la regulación de la IA la figura del sandbox puede ayudar, especialmente, a aquellas empresas emergentes o de pequeñas dimensiones a las que el cumplimiento de todos los requisitos que exige el RIA les supone un coste muy elevado, en comparación con aquellas de dimensiones más grandes. En el modelo inacabado que ha configurado el RIA, el acceso al sandbox permite que sea la Administración la que le indique al proveedor la forma en la que deberá cumplir con esos requisitos que impone el Reglamento, tarea que en condiciones normales debería realizar por sí mismo o, a lo sumo, dependería de la conformidad de un tercero. Esta ventaja tiene un impacto directo, también, en imposición de futuras sanciones administrativas y, en definitiva, supondrá una ayuda muy importante para aquellos proyectos que accedan al sandbox.

Por último, cualquier control que se quiera realizar sobre el uso de los sandboxes será, en la mayoría de las ocasiones, de contenido meramente político y se deberá traducir en la exigencia de rendición de cuentas sobre los beneficios que la figura genera. Desde el punto de vista jurídico, los sandboxes se incardinan en la actividad de fomento de la Administración y aunque es perfectamente posible, por ejemplo, la impugnación de una decisión que excluya a un proyecto del sandbox, o los propios criterios de selección que se fijen, el margen de apreciación es lo suficientemente amplio como para que el alcance del control judicial sea reducido.

9. BIBLIOGRAFÍA

Allen, H. J. “Sandbox boundaries”, Vanderbilt Journal of Entertainment & Technology Law, n. º22, 2020.

Attreym, A., Lesher M. y Lomax, C., “The role of sandboxes in promoting flexibility and innovation in the digital age” (2020), Going Digital Toolkit Policy Note, nº. 2, 2020.

Belando Garín, B., “Coordinación o duplicación, ¿sandbox de IA y sandbox financiero?”, Revista General de Derecho de los Sectores Regulados, n. º15, 2025.

- “El nacimiento incierto de la herramienta regulatoria Sandbox en España”, en Paniagua Zurera, M., (dir.), El sistema jurídico ante la digitalización: estudios de derecho privado, Tirant lo Blanch, 2021.

Bonet Tous, I., “Hacia un sandbox en materia de movilidad: la anticipación al cambio”, Cuadernos de Derecho Regulatorio, vol. 1, 2023.

Carrillo Donaire, J.A., “Notifying Authorities and Notifies Bodies (Chapter III, Section 4). Standards, Conformity Assessment, Certificates, Registration (Chapter III, Section 5)”, en Huergo Lora, A. y Díaz González, G.M. (Ed.), The EU Regulation on Artificial Intelligence: A Commentary, CEDAM, 2025.

Cotino Hueso, L., “Sandbox, espacios controlados y pruebas en condiciones reales de sistemas de inteligencia artificial en el Reglamento. Medidas para PYMES, startups y micro empresas”, en Cotino Hueso, L., y Simón Castellano, P., (dirs.), Tratado sobre el Reglamento de Inteligencia Artificial de la Unión Europea, Aranzadi, 2024.

Doménech, G. “Las regulaciones experimentales”, Anuario del buen gobierno y de la calidad de la regulación, n. º1, 2022.

Huergo Lora, A., “Compliance with the requirements”, en Huergo Lora, A. y Díaz González, G.M. (Ed.), The EU Regulation on Artificial Intelligence: A Commentary, CEDAM, 2025.

- “Hacia la regulación europea de la inteligencia artificial”, en Gamero Casado, E. y Pérez Guerrero, F.L. (coords.), Inteligencia artificial y sector público: retos, límites y medios, Tirant lo Blanch, 2023.

- “Un espacio controlado de pruebas (regulatory sandbox) para las empresas financieras tecnológicamente innovadoras: El Anteproyecto de Ley de Medidas para la transformación digital del sistema financiero”, El Cronista del Estado Social y Democrático de Derecho, n.º 36, 2018.

Knight B. R. y Mitchell, T.E. “The Sandbox Paradox. Balancing the need to facilitate innovation with the Risk of Regulatory Privilege” Mercatus working paper, 2020.

Meuwese, A. “Measures in support of innovation (articles 57-63)”, en Huergo Lora, A. y Díaz González, G.M. (Ed.), The EU Regulation on Artificial Intelligence: A Commentary, CEDAM, 2025.

Nabil, R., “Artificial intelligence regulatory sandboxes”, Journal of Law, Economics and Policy, vol. 19, 2024.

Palá Laguna, R., “Luces y sombras de la ley sandbox”, en Belando Garín, B. y Marimón Durá, R., (dirs.), Retos del mercado financiero digital, Thomson Reuters Aranzadi, 2021.

Ranchordas S. y Vinci, V. “Regulatory sandboxes and Innovation-Friendly Regulation: between collaboration and capture”, Italian Journal of Public Law, n. º 16, 2024.

Ranchordás, S., “Experimental lawmaking in the EU: Regulatory Sandboxes”, EU Law Live, n. º76, 2021.

- “Experimental regulations and regulatory sandboxes: Law without order?”, Law and Method, 2021.

Rebollo Puig, M. e Izquierdo Carrasco, M., “La actividad administrativa”, en Rebollo Puig, M. y Vera Jurado, D. (dirs.), Derecho administrativo. Tomo 1: conceptos fundamentales, fuentes y organización, Tecnos, 2023.

Rodríguez Cembellín, D., “Los sandboxes regulatorios y el ejemplo español en materia de IA”, en Valcárcel Fernández, P. y Hernández González, F.L., (coords.), El Derecho administrativo en la era de la inteligencia artificial. Actas del XVIII Congreso de la Asociación Española de Profesores de Derecho Administrativo, INAP, 2025.

Ruschemeir, H. “Thinking Outside the Box? Regulatory Sandboxes as a Tool for AI Regulation”, 2024, prepint version available in ENLACE,.

Tornos Mas, J., “El control de la discrecionalidad en el ejercicio de la potestad reglamentaria y el bono cultural joven”, RAP, n. º221, pp. 149-162.

Truby, J., Brown, R.D. Ibrahim, I.A. y Parellada, O.C. “A sandbox approach to regulating high-risk artificial intelligence applications”, European Journal of Risk Regulation, n. º12, 2022.

Yordanova, K. y Bertels, N. “Regulating AI: Challenges and the way forward through regulatory sandboxes”, en H. Sousa Antunes (eds.), Multidisciplinary perspectives on Artificial Intelligence and the Law, Springer, 2024.

Zetzsche, D.A., Buckley, R.P. Barberis. J.N., Arner, D.W. “Regulating a Revoultion: from Regulatory Sandboxes to Smart Regulation”, Fordham Journal of Corporate & Financial Law, nº. 23, 2017.

Ziólkowska, K., “New developments in AI regulation-remarks on the EU Ai regulatory sandbox “en Fromage D. (ed.), Jacques Ziller, a European scholar, European University Institute, 2022.

NOTAS:

(1). Este trabajo forma parte del Proyecto de investigación Herramientas algorítmicas para ciudadanos y administraciones públicas [MCIU-22-PID2021-126881OB-I00]. IP: A. Huergo Lora y también del Proyecto “El uso de la IA en el acceso y la prestación de servicios esenciales”) PID2024-160298OB-I00, con el mismo IP.

(2). Huergo Lora, A., “Un espacio controlado de pruebas (regulatory sandbox) para las empresas financieras tecnológicamente innovadoras: El Anteproyecto de Ley de Medidas para la transformación digital del sistema financiero”, El Cronista del Estado Social y Democrático de Derecho, n.º 36, 2018, p. 51; Zetzsche, D.A., Buckley, R.P. Barberis. J.N., Arner, D.W. “Regulating a Revoultion: from Regulatory Sandboxes to Smart Regulation”, Fordham Journal of Corporate & Financial Law, nº. 23, 2017, pp. 43-47.

(3). Suele destacarse la oposición del BaFin (el supervisor financiero alemán) a la implantación de este tipo de ventajas administrativas y, especialmente, a la dispensa temporal de ciertos requisitos normativos para determinados proyectos. Vid., Allen, H. J. “Sandbox boundaries”, Vanderbilt Journal of Entertainment & Technology Law, n. º22, 2020, p. 316. Así, el por aquel entonces presidente Felix Hufeld expuso la postura del BaFin en la conferencia “la Digitalización en Berlín: entre la competencia, la cooperación y la protección de los consumidores” en los siguientes términos: “Quien tiene encargado la aplicación del Derecho y de la Ley no puede prescindir de aplicar sus disposiciones”.

(4). M. Draghi “The future of European competitiveness”. Available at: ENLACE

(5). Ranchordás, S., “Experimental lawmaking in the EU: Regulatory Sandboxes”, EU Law Live, n. º76, 2021, p.2.

(6). Una panorámica general de los diferentes sandboxes que existen en la Unión Europea se puede ver en el “Commision staff working document-Regulatory learning in the EU. Guidance on regulatory sandboxes, testbeds, and living labs in the EU, with a focus section on energy”; Attreym, A., Lesher M. y Lomax, C., “The role of sandboxes in promoting flexibility and innovation in the digital age” (2020), Going Digital Toolkit Policy Note, nº. 2, 2020, pp. 14-20. También en la “Guía para entornos controlados de pruebas” que publicó el Ministerio de Ciencia, Innovación y Universidades, disponible aquí: ENLACE. Sobre sandboxes y movilidad sostenible, con ejemplos concretos en esta materia y con referencia al proyecto de ley de movilidad sostenible que pretende introducirlos, vid. Bonet Tous, I., “Hacia un sandbox en materia de movilidad: la anticipación al cambio”, Cuadernos de Derecho Regulatorio, vol. 1, 2023, pp. 97-114.

(7). Reglamento (UE) 2025/327 del Parlamento Europeo y del Consejo, de 11 de febrero de 2025, relativo al Espacio Europeo de Datos de Salud, y por el que se modifican la Directiva 2011/24/UE y el Reglamento (UE) 2024/2847.

(8). Se puede consultar las convocatorias para el acceso al Sandbox aquí: ENLACE

(9). En la actualidad existe un Anteproyecto de Ley de digitalización y modernización del sector financiero que contempla modificaciones en la configuración del sandbox regulado en la mencionada ley. Sobre tales modificaciones son interesantes las recientes obversaciones publicadas por la CNMC en su informe sobre el Anteproyecto de Ley, disponible en: ENLACE.

(10). Dicha DA se ha desarrollado mediante la aprobación del Real Decreto 568/2022, de 11 de julio, por el que se establece el marco general del banco de pruebas regulatorio para el fomento de la investigación y la innovación en el sector eléctrico.

(11). En otro lugar he explicado que este sandbox tiene una naturaleza distinta al que prevé el artículo 57 del RIA y su finalidad era, simplemente, adelantar la aplicación de los requisitos del RIA para sistemas de IA de alto riesgo para aquellos proyectos que accediesen al sandbox. Vid. Rodríguez Cembellín, D., “Los sandboxes regulatorios y el ejemplo español en materia de IA”, en Valcárcel Fernández, P. y Hernández González, F.L., (coords.), El Derecho administrativo en la era de la inteligencia artificial. Actas del XVIII Congreso de la Asociación Española de Profesores de Derecho Administrativo, INAP, 2025, pp. 187-198.

(12). Se trata del artículo 49 de la Ley 2/2025, de 2 de abril, para el desarrollo e impulso de la inteligencia artificial en Galicia, de la sección primera del Decreto 98/2025, de 22 de julio, por el que se regula el uso de la Inteligencia Artificial en la Administración del Principado de Asturias y su sector público, y del artículo 7 del Decreto-ley 2/2023, de 8 de marzo, de medidas urgentes de impulso a la inteligencia artificial en Extremadura.

(13). Ordenanza 1/2025, de 28 de enero, por la que se regula el entorno controlado de pruebas de proyectos innovadores de la ciudad de Madrid.

(14). Ordenanza Municipal reguladora del Sandbox Urbano de Valencia.

(15). Ordenanza reguladora de los Entornos Controlados de Pruebas (Sandbox) en la Ciudad de Zaragoza.

(16). Para S. Ranchordás, “Experimental regulations and regulatory sandboxes: Law without order?”, Law and Method, 2021, pp. 9-10, las exenciones regulatorias no son la principal característica de los sandboxes, como ahora se verá.

(17). Huergo Lora, A., “Un espacio controlado de pruebas (regulatory sandbox) para las empresas financieras tecnológicamente innovadoras: El Anteproyecto de Ley de Medidas para la transformación digital del sistema financiero” cit., p. 52.

(18). En el ámbito local, en alguna ordenanza como la del Ayuntamiento de Valencia sobre los sandboxes, se ha contemplado, además de una exención de las licencias pertinentes, una bonificación del 100% del importe de la tasa por aprovechamiento de bienes de titularidad pública municipal e, incluso, la posibilidad de participar el propio Ayuntamiento en los resultados de la explotación de dicho experimento.

(19). Ranchordás, S. “Experimental regulations and regulatory sandboxes: Law without order?” cit., pp. 9-10; Knight B. R. y Mitchell, T.E. “The Sandbox Paradox. Balancing the need to facilitate innovation with the Risk of Regulatory Privilege” Mercatus working paper, 2020, pp.17-18; Allen, H.J. “Regulatory sandboxes”, cit., pp. 623-624.

(20). Recoge esa relación entre sandbox y seguridad jurídica Belando Garín, B., “El nacimiento incierto de la herramienta regulatoria Sandbox en España”, en Paniagua Zurera, M., (dir.), El sistema jurídico ante la digitalización: estudios de derecho privado, Tirant lo Blanch, 2021, p. 596.

(21). Ruschemeir, H. “Thinking Outside the Box? Regulatory Sandboxes as a Tool for AI Regulation”, 2024, prepint version available in ENLACE, p. 3. De hecho, el autor insiste mucho en que, de hecho, la principal utilidad del sandbox debe ser la de proporcionar información al regulador con el objetivo de impulsar las mejoras normativas correspondientes (regulatory learning), p. 12.

(22). El Banco de España, por ejemplo, publica un documento de conclusiones de aquellos proyectos seleccionados en cada “cohorte” (convocatorias) en las que se señalan estas cuestiones. Están disponibles en: ENLACE.

(23). Ranchordás, S., “Experimental regulations and regulatory sandboxes: Law without order?” cit. p.2.

(24). Ranchordás, S. Ibid. y Doménech, G. “Las regulaciones experimentales”, Anuario del buen gobierno y de la calidad de la regulación, n. º1, 2022, p.106.

(25). Vid., Ranchordas S. y Vinci, V. “Regulatory sandboxes and Innovation-Friendly Regulation: between collaboration and capture”, Italian Journal of Public Law, n. º 16, 2024, pp. 112-116.

(26). Se puede consultar los resultados preliminares de este experimento en: ESPN Flash Report 2019/17 de la Comisión Europea.

(27). Sobre los innovation hubs en la regulación financiera de los Estados miembros de la UE puede consultarse el estudio publicado por la ESMA, JC 2018, Join Report on Regulatory Sandboxes and Innovation Hubs, disponible en: ENLACE. Para una lista de ejemplos de innovation hubs y una explicación sobre su funcionamiento, en Zetzsche, D.A., Buckley, R.P. Barberis. J.N., Arner, D.W. “Regulating a Revoultion: from Regulatory Sandboxes to Smart Regulation”, cit., pp. 43-47. Explicaciones muy completas también se encuentran en el Fernández Zamanillo, C., y Romo González, L.A., “Facilitadores de la innovación 2.0: impulsando la innovación financiera en la era Fintech”, Documento ocasional n. º2415 del Banco de España, 2024, pp. 1-38, pp. 14-17.

(28). Sobre las diferencias, en este mismo sentido, vid. Fernández Zamanillo, C., y Romo González, L.A., Ibid., cit., pp. 14-17. En el propio trabajo se habla también de una evolución de los centros de innovación financieros, con ejemplos del Reino Unido y de Milán, a espacios en los que ya no se producen consultas aisladas o esporádicas, sino que hay un apoyo mucho más continuo en el inicio o prueba de una actividad, pero se apunta que la principal diferencia sigue siendo esa falta de juridificación (firma de protocolos, constitución de garantías).

(29). Pueden consultarse en: ENLACE

(30). Sobre los modos de actividad administrativa, Rebollo Puig, M. e Izquierdo Carrasco, M., “La actividad administrativa”, en Rebollo Puig, M. y Vera Jurado, D. (dirs.), Derecho administrativo. Tomo 1: conceptos fundamentales, fuentes y organización, Tecnos, 2023, pp. 54-56. Es cierto que una vez que un proyecto accede al sandbox se somete a una fuerte actividad de control por parte de la Administración, lo que entronca con la actividad administrativa de policía. Sin embargo, la idea esencial de la actividad de la policía es la restricción de la libertad individual en aras a garantizar un determinado interés superior o común mediante el establecimiento de algún tipo de control. En este caso, el acceso al sandbox es exclusivamente voluntario y precisamente la ventaja administrativa consiste, muchas veces, en esa “conformidad” del regulador.

(31). Sobre la compatibilidad de los sandboxes con el principio de igualdad de trato, Vid. Ranchordás, S., “Experimental regulations and regulatory sandboxes: Law without order?” cit., pp. 19-20.

(32). Una explicación sobre el control del juez en el ejercicio de la actividad de fomento por parte de la Administración en relación con un caso relativamente reciente puede verse en Tornos Mas, J., “El control de la discrecionalidad en el ejercicio de la potestad reglamentaria y el bono cultural joven”, RAP, n. º221, pp. 149-162. En particular, pp. 155-158.

(33). Es reiteradas ocasiones ha afirmado nuestro Tribunal Constitucional que el artículo 14 de la Constitución prohíbe “configurar los supuestos de hecho de la norma de modo tal que se dé trato distinto a personas que, desde todos los puntos de vista legítimamente adoptables, se encuentran en la misma situación o, dicho de otro modo, impidiendo que se otorgue relevancia jurídica a circunstancias que, o bien no pueden ser jamás tomadas en consideración por prohibirlo así expresamente la propia Constitución, o bien no guardan relación alguna con el sentido de la regulación que, al incluirlas, incurre en arbitrariedad y es por eso discriminatoria.” (STC 181/2000).

(34). Knight B. R. y Mitchell, T.E. “The Sandbox Paradox. Balancing the need to facilitate innovation with the Risk of Regulatory Privilege”, cit., pp. 11-12. Lo han puesto de relieve recientemente Fernández Zamanillo, C. y Toloba Gómez, C., “Sandbox regulatorio español: impacto en los promotores de los proyectos monitorizados por el Banco de España”. Documentos Ocasionales del Banco de España, n. º2427, pp. 1-28, p. 17.

(35). Es evidente que aquí se puede prescindir de las disposiciones relacionadas con los acuerdos colusorios o el abuso de posición de dominio (que completan la regulación relativa al Derecho de la competencia), las cuales están dirigidas a prohibir o limitar determinados comportamientos empresariales, lo que no es el caso.

(36). Así lo entiende el punto número 4 de la Comunicación de la Comisión relativa al concepto de ayuda estatal conforme a lo dispuesto en el artículo 107, apartado 1, del Tratado de Funcionamiento de la Unión Europea (C/2016/2946). Tampoco se aprecia ningún tipo de incompatibilidad con el régimen de ayudas de estado en el Handbook for regulatory sandboxes, publicado por el ministro de Economía de Alemania, pp. 47-48.

(37). En alguna ordenanza local sí se contemplan beneficios económicos como, por ejemplo, la bonificación de la tasa de uso y aprovechamiento de bienes de titularidad pública (artículo 11.2 de la Ordenanza Municipal reguladora del Sandbox Urbano de Valencia). No obstante, dichas podrían ser compatibles con el régimen europeo de las Ayudas de Estado en tanto que el artículo 107.3c) del TFUE en relación con la Comunicación de la Comisión Europea sobre el Marco sobre ayudas estatales de investigación y desarrollo e innovación (2022/C 414/01) permite la concesión, bajo una serie de requisitos, de tales beneficios económicos para el impulso de la innovación. Además, la llamada “norma de minimis” exime de este régimen de ayudas a aquellas concedidas a una misma empresa en un periodo de tres años si su importe no supera los 300.000 euros (Reglamento 2023/2831 de la Comisión, de 13 de diciembre de 2023, relativo a la aplicación de los artículos 107 y 108 del TFUE a las ayudas de minimis).

(38). Como ejemplo, se puede citar el “Informe sobre el proyecto de real decreto que establece un entorno controlado de pruebas para el ensayo del cumplimiento de la propuesta de reglamento del parlamento europeo y del consejo por el que se establecen normas armonizadas en materia de inteligencia artificial” (Referencia: IPN/CNMC/020/23), el “Informe sobre el anteproyecto de ley de industria y autonomía estratégica (Referencia: IPN/CNMC/019/24) o el más reciente “Informe sobre el anteproyecto de ley de digitalización y modernización del sector financiero” (Referencia: IPN/CNMC/011/25).

(39). En esta línea parece que va la reforma que se quiere introducir en el sandbox financiero mediante el Anteproyecto de Ley de digitalización y modernización del sector financiero.

(40). Allen, H. J. “Sandbox boundaries” cit., pp. 309-320; “Regulatory Sandboxes in Artificial Intelligence” OECD Digital Economy Papers, 2023, p. 18.

(41). Ranchordas, S. y Vinci, V., “Regulatory sandboxes and Innovation-Friendly Regulation: between collaboration and capture”, cit., pp. 135-137.

(42). Se muestra crítica con esas exenciones regulatorias, Palá Laguna, R., “Luces y sombras de la ley sandbox”, en Belando Garín, B. y Marimón Durá, R., (dirs.), Retos del mercado financiero digital, Thomson Reuters Aranzadi, 2021, pp. 36-40. Recuérdese también las palabras del presidente del BaFin (el supervisor financiero alemán) en la conferencia “la Digitalización en Berlín: entre la competencia, la cooperación y la protección de los consumidores” que citábamos al principio de este trabajo: “Quien tiene encargado la aplicación del Derecho y de la Ley no puede prescindir de aplicar sus disposiciones”. También recoge esa idea, Allen, H. J. “Sandbox boundaries” cit., p. 306.

(43). Knight B. R. y Mitchell, T.E. “The Sandbox Paradox. Balancing the need to facilitate innovation with the Risk of Regulatory Privilege”, cit., pp. 20-30.

(44). Es una de las reformas que parece que pretende introducir al sandbox financiero el Anteproyecto de Ley de Digitalización y Modernización del Sector Financiero.

(45). De nuevo, se pueden ver las conclusiones de la CNMC en el “Informe sobre el anteproyecto de ley de digitalización y modernización del sector financiero” (Referencia: IPN/CNMC/011/25).

(46). Un estudio sobre la regulación de los sandboxes en el RIA puede encontrarse en Meuwese, A. “Measures in support of innovation (articles 57-63)”, en Huergo Lora, A. y Díaz González, G.M. (Ed.), The EU Regulation on Artificial Intelligence: A Commentary, CEDAM, 2025, pp. 403-414 y, también, en Cotino Hueso, L., “Sandbox, espacios controlados y pruebas en condiciones reales de sistemas de inteligencia artificial en el Reglamento. Medidas para PYMES, startups y micro empresas”, en Cotino Hueso, L., y Simón Castellano, P., (dirs.), Tratado sobre el Reglamento de Inteligencia Artificial de la Unión Europea, Aranzadi, 2024, pp. 817-844.

(47). Ruschemeir, H. “Thinking Outside the Box? Regulatory Sandboxes as a Tool for AI Regulation”, cit., p.9 ha criticado que se haya dejado tan solo en manos de la Comisión Europea la regulación de estas cuestiones tan importantes para la configuración de los sandboxes, defendiendo que debería haber sido el propio Reglamento el que las incorporase.

(48). También hace esta diferencia en relación con los sandboxes en IA, Nabil, R., “Artificial intelligence regulatory sandboxes”, Journal of Law, Economics and Policy, vol. 19, 2024, p. 339-342.

(49). Yordanova, K. y Bertels, N. “Regulating AI: Challenges and the way forward through regulatory sandboxes”, en H. Sousa Antunes (eds.), Multidisciplinary perspectives on Artificial Intelligence and the Law, Springer, 2024, p. 452.

(50). Huergo Lora, A., “Compliance with the requirements”, en Huergo Lora, A. y Díaz González, G.M. (Ed.), The EU Regulation on Artificial Intelligence: A Commentary, CEDAM, 2025, pp. 132-133.

(51). Vid. al respecto, Carrillo Donaire, J.A., “Notifying Authorities and Notifies Bodies (Chapter III, Section 4). Standards, Conformity Assessment, Certificates, Registration (Chapter III, Section 5)”, en Huergo Lora, A. y Díaz González, G.M. (Ed.), The EU Regulation on Artificial Intelligence: A Commentary, CEDAM, 2025, pp. 351-356.

(52). Huergo Lora, A., “Hacia la regulación europea de la inteligencia artificial”, en Gamero Casado, E. y Pérez Guerrero, F.L. (coords.), Inteligencia artificial y sector público: retos, límites y medios, Tirant lo Blanch, 2023, p.761.

(53). Un ejemplo claro es la regulación del régimen sancionador donde se prevén multas más pequeñas para las pymes y empresas emergentes y se incluye entre los criterios para decidir sobre la imposición y la sanción de una multa “los intereses de las pymes, incluidas las empresas emergentes, así como su viabilidad económica”.

(54). Vid., Truby, J., Brown, R.D. Ibrahim, I.A. y Parellada, O.C. “A sandbox approach to regulating high-risk artificial intelligence applications”, European Journal of Risk Regulation, n. º12, 2022, pp. 290-293, “Regulatory Sandboxes in Artificial Intelligence” (2023), OECD Digital Economy Papers, p. 23.

(55). Vid. el artículo 49 de la Ley 2/2025, de 2 de abril, para el desarrollo e impulso de la inteligencia artificial en Galicia, de la sección primera del Decreto 98/2025, de 22 de julio, por el que se regula el uso de la Inteligencia Artificial en la Administración del Principado de Asturias y su sector público, y el artículo 7 del Decreto-ley 2/2023, de 8 de marzo, de medidas urgentes de impulso a la inteligencia artificial en Extremadura.

(56). El pasado 20 de diciembre de 2024 se publicó la primera convocatoria para el acceso a este sandbox mediante la “Resolución de la Secretaría de Estado de Digitalización e Inteligencia Artificial por la que se convoca el acceso al entorno controlado de pruebas para una inteligencia artificial” que ya cuenta con una primera resolución provisional. Se contempla la selección de 12 proyectos basados en la utilización de sistemas de IA de alto riesgo según están definidos en el RIA. Como requisitos de admisibilidad de los proyectos se establece, además, la participación en los mismos ya sea como “usuario” o como “colaborador” de al menos una PYME o empresa emergente. Los criterios de evaluación y puntuación de las solicitudes son “grado de innovación o complejidad tecnológica del producto o servicio, grado de impacto social, empresarial o de interés público, grado de explicabilidad y transparencia del algoritmo incluido en el sistema de IA, alineamiento de las entidades con la Carta de Derechos Digitales del Gobierno de España, grado de madurez del sistema de IA, calidad de la memoria técnica presentada, tipología de las entidades”. Para cada criterio se establece una puntuación máxima obtenible y se exige alcanzar un 50% de la puntuación máxima obtenible en los dos primeros y en el total de la puntuación para poder ser seleccionable.

(57). La redacción de este artículo es, en mi opinión, confusa pues la aplicación del RIA es progresiva y por fases. De hecho, desde el 2 de febrero de 2025 el capítulo I y el II ya se “aplican en el Reino de España”, pero otras cuestiones, por ejemplo, se retrasan hasta el 2 de agosto de 2026 o incluso periodos posteriores. En mi opinión, debería ser este 2 de agosto la fecha en la que se derogase este RD 817/2023 ya que es la fecha a partir de la cual (i) los Estados miembros deberán haber puesto en funcionamiento el sandbox del artículo 57 y (ii) ya se aplican las provisiones sobre los sistemas de IA de alto riesgo del Anexo III del RIA, es decir, la regulación que el RD 817/2023 pretendía adelantar para los proyectos que se incorporen al sandbox.

(58). Puede consultarse el proyecto en: ENLACE. Los solicitantes tienen que indicar qué artículo o regulación en concreto dificulta la puesta en marcha de su proyecto.

(59). Lo explica Belando Garín, B., “Coordinación o duplicación, ¿sandbox de IA y sandbox financiero?”, Revista General de Derecho de los Sectores Regulados, n. º15, 2025, pp. 1-11. También, Nabil, R., “Artificial intelligence regulatory sandboxes”, cit., pp. 304-307.

(60). Al respecto, vid. Ziólkowska, K., “New developments in AI regulation-remarks on the EU Ai regulatory sandbox “, en Fromage D. (ed.), Jacques Ziller, a European scholar, European University Institute, 2022 p. 54.

(61). Se puede consultar dicho sandbox en ENLACE. Los menciona, también, Cotino Hueso, L., “Sandbox, espacios controlados y pruebas en condiciones reales de sistemas de inteligencia artificial en el Reglamento. Medidas para PYMES, startups y micro empresas”, cit., p. 821.

Comentarios