Acceso gratuito
Acceso gratuito
Entrar
Entrar
Santiago Alenza Carro
Códigos de conducta en el Reglamento Europeo de Inteligencia Artificial
En el Reglamento Europeo de Inteligencia Artificial se otorga un papel relevante a la autorregulación como medio para complementar y especificar la regulación de la IA. Para ello, en su artículo 95 impone a las autoridades competentes europeas y nacionales el mandato de fomentar y facilitar la elaboración de códigos de conducta por parte de los proveedores y de los responsables del despliegue, así como de sus respectivas organizaciones representativas. Asimismo, distingue distintos tipos de códigos de conducta y prevé la participación de partes interesadas. Estos aspectos y otros que constituyen el marco de los códigos de conducta en el RIA son analizados partiendo de un estudio previo de los códigos de conducta regulados, lo cual permitirá comparar su aplicación, eficacia y los desafíos que presentan.
Santiago Alenza Carro es Abogado en Gabeiras&Asociados
El artículo se publicó en el número 70 de la Revista General de Derecho Administrativo (Iustel, octubre 2025)
CODES OF CONDUCT IN THE EUROPEAN REGULATION ON ARTIFICIAL INTELLIGENCE
ABSTRACT: The European Artificial Intelligence Regulation assigns a significant role to self-regulation as a means to complement and specify the governance of AI. To this end, Article 95 mandates the competent European and national authorities to promote and facilitate the development of codes of conduct by providers and deployers, as well as their respective representative organizations. Furthermore, it distinguishes between different types of codes of conduct and provides for the participation of relevant stakeholders. These and other elements that constitute the framework for codes of conduct under the AI Regulation are analyzed on the basis of a preliminary study of existing regulated codes, which will enable a comparative assessment of their implementation, effectiveness, and the challenges they entail.
I. INTRODUCCIÓN
La inteligencia artificial (IA) ha provocado un intenso debate a escala mundial acerca de la conveniencia de regularla. En contraposición a una normativa que pudiera obstruir la innovación y engrosar el denominado ‘tsunami normativo’, hubo quien propuso la ética como solución para configurar una IA segura y fiable. Igualmente, y como punto intermedio entre regulación y ética, se han desarrollado diversos mecanismos autorreguladores. No obstante, la evolución de la tecnología, las posibilidades que ofrecen sus distintos usos y los notorios riesgos que presenta, hizo que la UE decidiera dotarse de una regulación(1).
Si bien diferentes países han promulgado normas (como las principales potencias tecnológicas, EE.UU. y China), la propuesta de la Unión Europea ha sido la más relevante. El texto presentado por la Comisión Europea en abril de 2021 ha sido foco de importantes y complicados debates sobre la conveniencia de regular el potencial disruptivo de la IA y, en su caso, el alcance e intensidad que debía tener la regulación(2).
Finalmente, después de una dilatada y discutida tramitación se aprobó definitivamente el Reglamento (UE) 2024/1689 de inteligencia artificial (en adelante, RIA), una norma que no ha dejado indiferente a nadie debido a su repercusión y a la materia regulada.
El estudio del RIA se ha centrado fundamentalmente en las implicaciones de la norma, la clasificación de riesgos y las obligaciones de cada sistema(3). Sin embargo, un tema que ha sido poco apreciado por la doctrina, en contraposición con la controversia que generó, fue el de la autorregulación.
En efecto, en los debates parlamentarios se produjeron enfrentamientos y divisiones acerca de la intensidad regulatoria que debía tener el RIA(4). En contra de una norma estricta y severa se posicionaron Francia, Italia y Alemania, los cuales defendían una regulación más laxa y apoyada por una autorregulación obligatoria(5). Finalmente no recibieron el apoyo que esperaban(6), pero situaron a la autorregulación de la IA como un aspecto de especial relevancia.
El texto finalmente aprobado prevé dos instrumentos de autorregulación: por un lado, los códigos de buenas prácticas para los modelos fundacionales o GPAI (artículo 56); por otro lado, los códigos de conducta del artículo 95 del Reglamento.
El presente trabajo tiene por objeto el estudio de la autorregulación y, más concretamente, el análisis de los códigos de conducta en el ámbito de la inteligencia de artificial de acuerdo con lo previsto en el RIA. Antes de ello, se realizará un análisis de los códigos de conducta como uno de los principales instrumentos de autorregulación, proponiendo una teoría general de los mismos a partir de su previsión y configuración en otras normativas. Este estudio previo permitirá examinarlos en el ámbito del RIA mediante un análisis crítico y comparado. Finalmente desarrollaré una serie de conclusiones acerca de la idoneidad (o no) de la autorregulación de la IA mediante los códigos de conducta.
II. LOS CÓDIGOS DE CONDUCTA COMO INSTRUMENTO DE AUTORREGULACIÓN
1. La autorregulación como técnica reguladora
La Unión Europea lleva tiempo apostando por la autorregulación como técnica reguladora(7). Como puede ser una herramienta muy beneficiosa para la correcta aplicación de las leyes y normas, se fomenta la autorregulación en ámbitos como la protección de los consumidores, el derecho de la competencia, la protección de datos personales o en los servicios de la sociedad de la información. La previsión de la autorregulación en distintos Reglamentos y Directivas ha comportado que también a nivel nacional se haya desarrollado en mayor o menor medida este mecanismo(8).
Por autorregulación se entiende la posibilidad de que actores privados regulen sus relaciones económicas y/o sociales de manera voluntaria y discrecional, sometiéndose tanto a la legislación existente como a las normas adoptadas por ellos mismos y comprometiéndose a cumplir ambas. Supone el reconocimiento de un mayor poder autonormativo a la sociedad civil(9), pero supervisado por los poderes públicos, que tienen una función de validación o aprobación(10).
La autorregulación es, en todo caso, un mecanismo complementario o suplementario a la normativa. Es decir, se dirige a desarrollar, reforzar o adecuar el Derecho positivo o hard law(11). Ello implica necesariamente que la autorregulación se encuentra supeditada al conjunto de normas nacionales y comunitarias, legislativas y administrativas, dictadas por los poderes públicos con eficacia erga omnes. Lo anterior conlleva tres implicaciones para la autorregulación:
i) Debe encontrarse prevista –o posibilitada– por el Derecho positivo.
ii) Nunca puede suponer una alternativa al Derecho positivo.
iii) No puede contrariar las disposiciones de Derecho positivo.
En otras palabras, la autorregulación se encuentra condicionada por el ordenamiento jurídico, a partir del cual se genera(12). De este modo, el legislador seguirá teniendo la potestad –y obligación– regulatoria, permitiendo a lo sumo una labor o función de desarrollo o complemento normativo a la autorregulación(13).
La autorregulación puede establecerse de diferentes maneras(14). A efectos del presente trabajo, y de manera muy básica, se advierten las dos siguientes:
- Autorregulación espontánea. Se realiza por las partes o actores de manera totalmente voluntaria y sin ninguna acción de los poderes públicos(15). Se basa en la autonomía de la voluntad y la libertad de pactos del artículo 1255 del Código Civil(16).
- Autorregulación inducida. Hay una regulación de los mecanismos de autorregulación acompañada del fomento de los poderes públicos (la denominada autorregulación regulada)(17). Este fomento se puede basar en aconsejar la autorregulación, en incentivarla y, en ocasiones, en imponerla(18).
Por otro lado, la autorregulación puede instrumentarse de distintas formas: mediante la elaboración de códigos, a través de mecanismos de certificación, desarrollando normas de estandarización, etc. A su vez, las anteriores categorías se subdividen en otras subcategorías. Por ejemplo, en la elaboración de códigos se diferencia entre los éticos, de buen gobierno, de buenas prácticas, deontológicos o de conducta (entre otros). La diferencia de unos y otros no es sencilla ya que suelen mezclarse sus fines y objetivos(19).
De los distintos códigos de conducta, destaco dos a efectos de distinguir correctamente el objeto del presente trabajo. Por un lado, los códigos adoptados por compañías, entidades y organizaciones, que constituyen fundamentalmente una declaración de sus principios o valores. Estos códigos materializan la responsabilidad social corporativa y, por lo general, recogen diversas cuestiones (prevención del blanqueo, anticorrupción, protección de datos, igualdad de género, etc.). Por otro lado, están los códigos de conducta regulados, que son previstos por la normativa y están dirigidos al desarrollo y mejor aplicación de una materia (también están estrechamente relacionados con la responsabilidad social corporativa, con la excepción que son más especializados en un tema). El presente trabajo se centra en estos códigos de conducta regulados.
2. Concepto y elementos fundamentales de los códigos de conducta regulados
Los códigos de conducta pueden analizarse desde diversas perspectivas en función de las distintas materias o ámbitos en los que se pueden enmarcar. Su transversalidad y multidisciplinariedad explican que no exista una regulación general y que haya sido cada normativa concreta la que han ido configurando su aplicación en cada ámbito específico (consumo, audiovisual, protección de datos, etc.(20)).
Dichas normas no suelen definir el concepto de código de conducta(21) y su regulación suele variar. Generalmente, han sido los desarrollos y aclaraciones posteriores de la normativa los que han concretado el régimen y naturaleza de los códigos de conducta regulados. Asimismo, la doctrina ha intentado ofrecer una definición sobre los códigos de conducta y su naturaleza, sin llegar a una conclusión unánime. También, la jurisprudencia ha intentado ordenar los códigos de conducta cuando han llegado asuntos relacionados a los tribunales(22).
A efectos del presente trabajo, y sin pretender establecer una definición universalmente válida, los códigos de conducta regulados puede describirse como un instrumento de autorregulación previsto por la normativa que recoge un conjunto de normas, reglas o principios adoptados y cumplidos voluntariamente por las partes. Su finalidad es adecuar y/o desarrollar una normativa concreta, de manera que las partes quedan sometidas tanto a la normativa en cuestión como a las normas de conducta que, fruto de la anterior, resultan igualmente vinculantes.
De la definición anterior es posible configurar las siguientes notas características sobre los códigos de conducta regulados:
1) Instrumento de autorregulación. Los códigos de conducta desarrollan y complementan el ordenamiento jurídico a través de principios, reglas o buenas prácticas que son complementarias al derecho positivo. Es una técnica reguladora dirigida a adaptar o especificar las leyes y normas a un ámbito concreto y/o en atención a las características de los sujetos, lo que refuerza y potencia la aplicación efectiva de la Ley(23). Además, denota proactividad en el cumplimiento normativo por las partes(24). Esta función de concreción normativa es especialmente importante en aquellos ámbitos normativos donde predominan los principios generales y los conceptos jurídicos indeterminados, o donde la materia que se regula presenta una complejidad peculiar. Asimismo, también pueden cubrir lagunas o vacíos legales en ámbitos donde la ordenación jurídica está en un proceso de construcción. Pero en cualquier caso, los códigos de conducta no deben limitarse a reiterar o concretar la normativa sin ampliar los preceptos legales, sino que debe ir más allá(25). Este refuerzo normativo –de protección para los sujetos, de aclaración para la seguridad jurídica, o beneficioso para el interés general– es el valor añadido que tienen los códigos de conducta.
2) Previsión normativa (autorregulación regulada). Los códigos de conducta no sustituyen el derecho positivo o hard law, sino al contrario: necesitan su previsión normativa y están condicionados al cumplimiento del ordenamiento jurídico. De hecho, no es suficiente que la norma los habilite, sino que debe configurarlos y determinar su ámbito de aplicación. Así, una normativa constituirá un buen marco para los códigos de conducta cuando prevea cuestiones como las siguientes:
a) Intervinientes. Entre los sujetos relevantes en torno a los códigos de conducta deberá distinguirse a los que elaboran o se adhieren (las partes interesadas, que pueden ser tanto entes privados como públicos(26)) y quienes fomentan los códigos y/o los aprueban o deniegan, que no tienen que ser necesariamente los mismos (generalmente las autoridades competentes en cada ámbito).
b) Procedimiento de elaboración y/o de aprobación de los códigos de conducta.
c) Principios y objetivos de los códigos de conducta y límites. O dicho de otro modo, el posible contenido de los códigos de conducta y las materias indisponibles.
d) Control de los códigos de conducta y responsable del control. La eficacia de los códigos depende de sus mecanismos de control y corrección. De lo contrario, corren el riesgo de ser meras declaraciones de voluntad sin eficacia vinculante(27).
e) Efectos e implicaciones para los adheridos. Beneficios, ventajas e incentivos del código y las consecuencias de incumplirlo.
3) Reconocimiento de capacidad (auto)reguladora a las partes interesadas. La previsión de este instrumento atribuye a los sujetos capacidad para imponerse a sí mismos reglas y principios, fijando su contenido y sus efectos. Se parte de un marco discrecional en el que las partes interesadas disponen de amplia libertad para configurar la autorregulación. Rige la autonomía de la voluntad y la libertad de pactos no sólo respecto al contenido de los códigos, sino también en cuanto al procedimiento para su elaboración, los mecanismos de control, etc. No obstante, esta discrecionalidad tiene límites:
i) No puede contrariar las disposiciones o normativas internacionales, comunitarias y nacionales.
ii) Debe garantizar en todo caso la representatividad y la consulta previa de todas las partes interesadas.
iii) Será inaplicable cuando esté en juego la definición de los derechos fundamentales o, a nivel europeo, cuando las normas requieran una aplicación uniforme en todos los Estados miembros.
4) Adopción voluntaria y bajo iniciativa de las partes. Son las partes interesadas (empresas, asociaciones, colectivos de la sociedad civil...) las que se asignan un papel protagonista en la aplicación de la Ley. La voluntariedad y la libertad de las partes es un elemento esencial que requiere la aceptación mediante un contrato o cualquier otro instrumento jurídico vinculante(28). Nadie está obligado ni a elaborar un código de conducta, ni a adherirse a uno(29). No obstante, lo anterior no obsta a que haya una labor de incentivo o fomento para la elaboración de códigos (generalmente por los poderes públicos).
5) Carácter vinculante entre las partes. Los códigos carecen de eficacia general o erga omnes (no se integra en el ordenamiento jurídico), pero tienen eficacia inter partes(30). Por tanto, serán plenamente aplicables a las partes adheridas, lo que requiere que pueda exigirse su cumplimiento y, en caso contrario, que existan medios para reclamar responsabilidades(31). El control de los códigos deviene, en definitiva, esencial para que exista un verdadero compromiso. En este sentido, para garantizar la eficacia de los códigos debe exigirse(32):
- El seguimiento del cumplimiento del código mediante criterios e indicadores objetivos y fiables que hayan sido definidos previamente conforme a los objetivos del código.
- El control y vigilancia de la aplicación del código por parte de un organismo independiente que pueda imponer medidas preventivas o represivas ante su incumplimiento(33). Dicho organismo puede, además, ejercer labores de asesoramiento a los adheridos.
- La realización de revisiones periódicas, previstas o no con anterioridad, en función de cambios sociales, económicos, legales, tecnológicos..., o sencillamente conforme a las aspiraciones de las partes.
- El sometimiento al control de los órganos jurisdiccionales (nacionales y europeos).
6) Transparencia y publicidad. Los códigos de conducta deben conocerse no sólo por las partes, sino también por las autoridades y la sociedad en general(34). Ello no solo en aras de garantizar transparencia (comprobando de este modo la credibilidad de los códigos y otras cuestiones, como por ejemplo sus fuentes de financiación), sino también para publicitarse a sí mismos, lo cual supone una ventaja: más partes adheridas, mayor seguridad jurídica y, por tanto, mayor cumplimiento normativo.
3. Implicaciones de los códigos de conducta
3.1. Ventajas y beneficios de los códigos
A continuación, se presentan las principales ventajas de los códigos de conducta, que a mi modo de ver son cuatro: refuerzo de la normativa y contribución a la seguridad jurídica; mejora de la imagen y reputación; idoneidad y flexibilidad frente a la regulación; beneficios prácticos (sellos y graduación sancionadora).
a) Refuerzo de la normativa y contribución a la seguridad jurídica
En primer lugar, los códigos de conducta refuerzan la aplicación de la normativa mediante el desarrollo, especificación y/o adecuación de la norma general a situaciones y necesidades concretas en función de las características y peculiaridades de un sector o de sus agentes(35). Esta labor de los códigos puede dirigirse a los principios u objetivos de la norma, a los requisitos u obligaciones que impone, a las cuestiones procedimentales o, incluso, a ampliar el régimen sancionador al prever conductas ilícitas que el texto normativo no prevé(36). En todo caso, el refuerzo normativo será mayor o menor en función de la generalidad del código de conducta. Cuanto más específicos sean, más técnicos y especializados serán en comparación con aquellos que abordan múltiples temas. En cualquier caso, todo ello deriva en una mayor seguridad jurídica para los adheridos al código, que conocerán en mejor medida los efectos de la norma y como les afecta.
b) Mejora de la imagen y reputación
El interés y voluntad proactiva en cumplir la normativa genera una mayor confianza de la sociedad (clientes, proveedores, inversores, sector público, etc.) lo que conlleva una mejora de la imagen social de las partes. Asimismo, los códigos de conducta son un mecanismo idóneo para la adopción, desarrollo y fomento de otros principios o valores éticos que vayan más allá de la aplicación normativa, lo que eleva todavía más la reputación de las partes. Y no debemos olvidar que ejercen también una labor de concienciación, no solo a las empresas o principales actores, sino también a la sociedad en general.
c) Idoneidad y flexibilidad frente a la regulación
Cabe destacar que la autorregulación tiene especial relevancia en sectores dinámicos como el Derecho digital(37) donde la generalidad de las normas (que se apoyan en principios generales del Derecho y conceptos jurídicos indeterminados) y la complejidad de las problemáticas hacen conveniente la adaptación de la norma por los sujetos especializados del sector(38). Al ser el derecho digital una rama jurídica en continua construcción en la que se producen rápidos cambios y evoluciones constantes, es necesario adaptarse lo antes posible para prevenir los vacíos legales que puedan causar daños o perjuicios irreparables(39). En este sentido, se presupone que los agentes del sector conocen los problemas y retos jurídicos de su ámbito concreto de actuación, de manera que se encuentran en una posición inmejorable para adaptar la normativa y combatirlos con su especialización y conocimientos(40). Asimismo, la idoneidad de los códigos se advierte en su elevado nivel técnico al ser elaborado por las partes especializadas en la materia. Todo ello explica la apuesta de la Carta de Derechos Digitales por la autorregulación como garantía de los derechos en los entornos digitales(41).
Además, los códigos de conducta son mecanismos flexibles y adaptables a muy diversas circunstancias. Igualmente, son ágiles para modificarse y adaptarse a los cambiantes avances a diferencia de la burocrática, rígida y generalista regulación tradicional. En efecto, la idoneidad de los códigos se completa con su flexibilidad al requerir para su elaboración menos y más sencillos trámites. Esta agilidad también se manifiesta en la reacción frente a problemas y en la resolución de conflictos, lo que permite reducir costes al precisar menor carga de interpretación normativa, de supervisión y de sanción(42).
A todo lo anterior deben sumarse los inconvenientes de la intervención pública(43). Por ejemplo, no siempre acierta a proteger todos los intereses, generales o particulares, en juego, y en ocasiones no se pondera suficientemente sus efectos colaterales(44). Al respecto existe una corriente que denuncia que el exceso regulatorio puede llegar a entrañar un obstáculo a la innovación lo cual, en el sector tecnológico en el que nos encontramos, sería una catástrofe.
No obstante, lo anterior no debe verse como un enfrentamiento o disputa entre la regulación y la autorregulación, sino que debe valorarse su complementariedad(45). Los poderes públicos deben reconocer sus limitaciones frente al soft law de la autorregulación, la cual ofrece, como indica GARCÍA MEXÍA, una atractiva vía para incentivar el cumplimiento de determinadas pautas que el poder público considera deseables, pero sin acudir a la imposición de la legislación(46). Y no solo debe reconocer la autorregulación, sino que el sector público y el ordenamiento jurídico deben incluso favorecerla debido a todas las ventajas que ofrece, los cuales además no representan coste alguno para la Administración puesto que son asumidos por las empresas sometidas al sistema de autorregulación.
d) Beneficios prácticos
Todas las ventajas anteriores, que son en mayor o menor medida teóricas, deben valorarse conjuntamente con los beneficios prácticos que ofrecen los códigos de conducta. Aunque podría haber otras (como por ejemplo, un valor extra de cara a la Administración en licitaciones públicas o acceso a subvenciones), las normativas reguladoras recogen fundamentalmente dos ventajas prácticas.
Por un lado, la distinción que supone la autorregulación se acredita en ocasiones mediante una certificación, sello o equivalente(47). Este rasgo distintivo de los códigos permite demostrar la preocupación de sus adheridos por la correcta aplicación de la Ley y otras cuestiones vinculadas con su actividad y que la sociedad puede considerar importantes, como por ejemplo el medioambiente, la privacidad, la ciberseguridad, la accesibilidad y la diversidad.
Por otro lado, la elaboración o adhesión a códigos de conducta suele tenerse en cuenta a la hora de imponer sanciones como criterio de graduación, generalmente para la reducción de las sanciones. No obstante, ello dependerá de cómo se ha elaborado el código de conducta y de su contenido. Si carece de valor autorregulador, lo anterior puede no valorarse en absoluto, e incluso puede tener consecuencias a título de responsabilidad o a nivel sancionador(48).
3.2. Problemas o inconvenientes de los códigos
Los códigos de conducta también presentan una serie de problemas o inconvenientes que deben ser evitados o mitigados.
a) Insuficiente previsión normativa
Para facilitar la adopción de códigos de conducta es necesario que la normativa fije un marco para la autorregulación, cosa que en ocasiones no sucede. En efecto, la norma debe ofrecer una especie de guía para la elaboración de códigos de conducta, previendo por ejemplo el contenido, los límites y el control de los códigos de conducta(49). Lo ideal sería que la propia normativa previsora de los códigos sea la que estableciera un marco mínimo de los mismos. No obstante, existen casos en los que dicha regulación viene dada por otros instrumentos (por ejemplo, directrices) u otras disposiciones(50).
Lo anterior es consecuencia directa de la autorregulación regulada. A través de la configuración legal de los códigos de conducta los poderes públicos aseguran que la autorregulación sea conforme a la norma y se dirija a satisfacer los objetivos de la misma(51). De este modo, no se deja totalmente al arbitrio de las partes interesadas la autonormación de un sector o actividad concreta. Además, debe tenerse en consideración que las partes elaboradoras de un código no gozan de la presunción de objetividad e independencia que sí tienen los poderes públicos, ni se presupone que las normas o reglas autoimpuestas se centran en satisfacer el interés general(52). La autorregulación podría favorecer únicamente a los autorregulados o tener un impacto limitado al priorizar el interés empresarial. Por eso mismo es habitual en la elaboración de códigos de conducta regulados la exigencia de participación de los grupos interesados o afectados por la autorregulación.
b) Autorregulación impostada
Los códigos de conducta presentan además una serie de problemas tradicionales. Entre ellos destaca la dificultad de asegurar su cumplimiento. Se ha criticado por ejemplo el empleo de estas herramientas de autorregulación para mejorar la reputación e imagen social, careciendo de efectos prácticos posteriores. Es decir, ni se sigue el código suscrito, ni se cumple con lo establecido, sino que únicamente interesa para evitar las obligaciones y controles de origen público sustituyéndolas por reglas propias cuyos resultados son simulados y ficticios.(53)
c) Inexistencia de medidas de control (preventivas, rectificativas y reactivas)
Además de esa actuación deshonesta, se suele denunciar la ausencia de mecanismos que aseguren el cumplimiento de los códigos o que, ante un incumplimiento, exijan responsabilidades. En efecto, no hay auténtico sistema de autorregulación si el sistema no incorpora mecanismos de control del cumplimiento de las normas de conducta(54). Recordemos que al tratarse de mecanismos voluntarios y solamente eficaces inter partes no se puede exigir su cumplimiento conforme al ordenamiento jurídico(55).
d) Inexistencia de un organismo independiente de supervisión
La inexistencia de medidas punitivas ante un incumplimiento no es la única razón por la que puede fallar el control de los códigos. Puede darse la ausencia de una entidad u organismo encargado de velar por el código y supervisar su cumplimiento(56) o, en otras ocasiones, que exista dicho órgano de control, pero que carezca de neutralidad e independencia(57).
e) Falta de legitimación democrática
Se ha cuestionado también la falta de legitimación democrática de los códigos, o la apropiación del control del código y de los órganos por alguna de las partes, pudiendo llegar a fomentarse incluso actuaciones anticompetitivas(58). En efecto, no es admisible que una autorregulación que tenga efectos públicos sea responsabilidad exclusivamente de unos pocos(59).
3.3. El éxito autorregulador como misión de los códigos de conducta
A modo de conclusión, cabe reflexionar sobre qué debe considerarse como ‘éxito’ de los códigos de conducta.
El éxito de estos instrumentos puede valorarse desde diversas perspectivas. Se puede analizar, por ejemplo, en función del número de códigos elaborados o de las partes que se han adherido (es decir, de acuerdo con criterios cuantitativos). Ello dependerá de la promulgación que se les haya dado, las mayores o menores facilidades para su elaboración y aprobación, o de los incentivos legales, económicos o sociales, entre otros.
Sin embargo, considero que la valoración del éxito de los códigos de conducta debe hacerse desde un análisis de su finalidad autorreguladora, es decir, conforme a su función de desarrollo y complemento de la normativa. Por tanto, el éxito de los códigos dependerá del cumplimiento de la labor o funciones que la normativa les encomienda, que puede ser otorgar mayor seguridad jurídica, fomentar los objetivos de la norma, reforzar la confianza de terceros o cualquier otra(60).
Si atendemos a la calidad autorreguladora de los códigos no es relevante cuántos se han elaborado y/o cuántos interesados se han adherido (que, como se ha visto, ha podido basarse en meras conveniencias estratégicas), sino que el foco se centra en la elaboración de una autonormación real y efectiva. A lo anterior podemos añadir, además, otros valores que expresa el Dictamen CESE para comprender la calidad y el éxito autorregulador: percepción del interés general, transparencia del código, representatividad y capacidad de sus agentes, existencia de mecanismos de evaluación y de supervisión y la eficacia del acompañamiento, que debe incluir, en caso necesario, la imposición de sanciones y un espíritu mutuo de colaboración entre las partes interesadas y los poderes públicos y la sociedad en general.(61)
III. LOS CÓDIGOS DE CONDUCTA EN EL REGLAMENTO DE INTELIGENCIA ARTIFICIAL
1. La autorregulación de la IA y su incorporación en el Reglamento europeo
1.1. La autorregulación de la IA como un instrumento idóneo y flexible
De manera previa a analizar el marco previsto en el RIA para los códigos de conducta, interesa destacar que la apuesta por la autorregulación en materia de IA ha sido un acierto(62).
A la hora de elegir el grado de intervención reguladora de la inteligencia artificial en la Unión Europea se evaluaron hasta cuatro opciones (aunque técnicamente eran cinco)(63). Entre ellas estaba la opción consistente en un marco legislativo horizontal de la UE apoyado en un enfoque proporcionado basado en los riesgos para determinados sistemas de IA –los de alto riesgo– y la posibilidad de seguir de forma voluntaria códigos de conducta por el resto de sistemas de IA.
Por tanto, desde el inicio hubo propuestas reguladoras que tuvieron presente la autorregulación de la IA (a lo que se suma el interés posterior en darle un mayor peso, como he adelantado en la introducción). Ello es lógico teniendo en cuenta los siguientes aspectos:
- En primer lugar, por las características de la tecnología. En efecto, la complejidad, las implicaciones y el rápido desarrollo de las diversas aplicaciones de la IA limitan la eficacia de los instrumentos regulatorio clásicos(64). La autorregulación, por su parte, puede ofrecer las respuestas rápidas y flexibles que requiere la IA.
- En segundo lugar, por la evolución constante de la materia y la especialización que exige. Ello hace que los mejores posicionados para conocer las necesidades y problemas del sector –y, por tanto, quienes podrán enfrentarlos de mejor manera– son los agentes económicos(65).
- En tercer lugar, por el exceso de principios generales y conceptos jurídicos indeterminados en los que el RIA se apoya(66). La autorregulación es una vía idónea para adecuar y especificar estos principios y conceptos que pueden resultar en ocasiones demasiado ambiguos, y solucionar los más que posibles vacíos normativos existentes. Ello acarreará una mayor seguridad jurídica y reforzará el cumplimiento de los fines del RIA, además de contribuir a la confianza de los usuarios y consumidores de IA –especialmente teniendo en cuenta las reservas que parte de la población tiene respecto a esta tecnología– y de ejercer una labor de concienciación especialmente importante teniendo en consideración los riesgos de la IA.
- En cuarto lugar, por el impulso de la innovación. PIÑAR MAÑAS señala que la innovación tecnológica trae consigo la innovación del Derecho(67). Lo subrayo, y añado: la innovación en el Derecho a través de la autorregulación facilita la innovación tecnológica. En mi opinión, los códigos de conducta pueden servir para impulsar la innovación ya que alinean las actividades e iniciativas de los sujetos con la normativa y solventa incertidumbres de la interpretación de la norma. Pero los códigos no otorgan solamente seguridad jurídica, sino que el mero hecho de elaborarlos teniendo en cuenta determinados requisitos ya supone innovar. ¿Acaso no es innovación el desarrollo de una tecnología teniendo en cuenta la economía circular, valorando la inclusión y la accesibilidad de las personas, o garantizando la privacidad a través de una mejora de la técnica?
Además de todo lo anterior, debe tenerse en consideración del informe Draghi(68). Una de sus conclusiones principales es la necesidad de una simplificación regulatoria, es decir, reducir la labor legisladora y disminuir la excesiva carga burocrática. En este sentido, la autorregulación por medio de códigos de conducta puede solventar la sobrerregulación existente sin detrimento de los derechos y la seguridad de los ciudadanos europeos (sobre todo en el ámbito digital y tecnológico).
En consecuencia, es conveniente establecer un marco regulatorio de la IA dando un lugar relevante a la autorregulación(69). De hecho, la gobernanza ideal de la IA se basa en una triple conjunción regulación-ética-autorregulación(70), siendo ésta última la que reúne características y elementos de ambas(71). En efecto, mediante la autorregulación, y concretamente a través de los códigos de conducta, las partes se comprometen libremente a regular la actividad que pretenden desarrollar, limitando algunas actuaciones que podrían llevar a cabo –debido a la ausencia de regulación, vacíos legales o simplemente cuestiones que la normativa realmente permite– pero que las partes consideran que no es ético o que con ello podrán incrementar la protección de los usuarios y la confianza del mercado(72).
1.2. Los códigos de conducta en el RIA: evolución, localización y diferenciación
1.2.1. Las modificaciones durante la tramitación del RIA
Los códigos de conducta estaban previstos desde la propuesta de Reglamento presentada por la Comisión. Durante este tiempo su regulación ha variado, al igual que el resto de preceptos, y su importancia en el contexto del RIA se ha enriquecido.
La propuesta de Reglamento situaba a los códigos de conducta en el artículo 69, y formaba por sí mismo el Título IX, pero la regulación definitiva los ha colocado finalmente en el artículo 95, compartiendo un Capítulo –el X– con las Directrices de la Comisión (artículo 96)(73). En cuanto a su estructura, no ha variado en exceso. Se compone por cuatro apartados que tratan las mismas cuestiones: aplicación voluntaria de los requisitos de los sistemas de alto riesgo; aplicación voluntaria de otros requisitos sobre la base de objetivos claros e indicadores clave; partes interesadas en la elaboración y participación de los códigos de conducta; atención a los intereses y necesidades específicos en el fomento y facilitación de la elaboración de códigos de conducta.
Por otro lado, la propuesta de Reglamento solamente contenía un considerando relativo a los códigos de conducta (el 81), mientras que la norma definitiva los relaciona con otras cuestiones, como la alfabetización o la ética (considerandos 20, 27, 165). De manera similar sucede con el resto del articulado, donde la propuesta contenía solamente en el artículo 84 un aspecto extra de los códigos –su revisión por la Comisión–, y la regulación final tiene en cuenta a los códigos en otros artículos como el 58 (sandbox), el 66 (recomendaciones y dictámenes del Consejo de IA) o el 112 (revisión).
El contenido del precepto no se ha modificado sustancialmente. Cabe señalar cuatro cambios relevantes. En primer lugar, el fomento de los códigos se designaba en la Propuesta a la Comisión, a los Estados miembros y al Comité de IA. Con el texto final el fomento pasa a ser responsabilidad de la Oficina de IA y los Estados miembros. En segundo lugar, en el primer apartado se añade que los códigos cuenten con los correspondientes mecanismos de gobernanza y se advierte de la posibilidad de aplicar uno o todos los requisitos de alto riesgo. En tercer lugar, en el segundo apartado se han desarrollado en mayor medida los ejemplos de requisitos voluntarios y se introducen dos nuevos (los éticos y los formativos). Por último, la regulación definitiva tiene en cuenta para la elaboración de los códigos, además de a los proveedores de sistemas de IA, a los responsables del despliegue, y ha aumentado las partes interesadas.
1.2.2. Los códigos de conducta y otros instrumentos de autorregulación en el RIA: en particular, semejanza y distinción con los códigos de buenas prácticas
El texto final del RIA no prevé los códigos de conducta como el único instrumento de autorregulación. En efecto, la autorregulación de la IA se ha incorporado a la norma de diferentes maneras. Una de ellas es a través de normas armonizadas y documentos de normalización, cuyo fin es proporcionar soluciones técnicas comunes y garantizar una determinada calidad, además del propio cumplimiento del RIA (artículo 40). Además de esta previsión autorreguladora, conviene destacar –y diferenciar– a efectos del presente trabajo la principal novedad autorreguladora que se incorporó al RIA durante su tramitación final: los códigos de buenas prácticas.
Los códigos de buenas prácticas se encuentran regulados en el artículo 56 del RIA, y están dirigidos a los sistemas de IA encuadrados en el Capítulo IV, es decir, a aquellos con obligaciones de transparencia debido a su interacción directa con las personas. Entre ellos destacan los sistemas de IA de uso general y, en concreto, los modelos de IA con riesgo sistémico(74).
En el RIA, estos códigos de buenas prácticas comparten varios elementos e implicaciones con los códigos de conducta. Al fin y al cabo, ambos son instrumentos autorreguladores, aunque con una denominación distinta. Sus principales elementos comunes son:
1.º La Oficina de IA es clave en el fomento y facilitación de ambos códigos.
2.º Finalidad de cumplimiento normativo, si bien en unos es para reforzar la aplicación de las obligaciones existentes (códigos de buenas prácticas(75)) y en otros para aplicarse de manera voluntaria requisitos adicionales (códigos de conducta).
3.º Relevancia de las partes interesadas para garantizar que los códigos reflejen el estado actual de la técnica y tengan debidamente en cuenta distintas perspectivas.
4.º Supervisión de los códigos mediante la fijación de objetivos claros que contengan medidas e indicadores clave de rendimiento.
No obstante, existen también diferencias. Como posteriormente se profundizará en los códigos de conducta, veremos las discordancias desde la perspectiva de los códigos de buenas prácticas:
i) En primer lugar, se advierte un elemento territorial de los códigos de buenas prácticas (que los códigos de conducta no tienen) al señalar que la elaboración será “a escala de la Unión” y “teniendo en cuenta los planteamientos internacionales”.
ii) En segundo lugar, en los códigos de buenas prácticas no se tiene en cuenta a los Estados miembros, sino que, a parte de la Oficina de IA, la autoridad relevante será el Consejo de IA y, en menor medida, la Comisión Europea.
iii) En tercer lugar, mientras que en los códigos de conducta existe una mayor discrecionalidad para establecer su contenido, los códigos de buenas prácticas deben comprender como mínimo las obligaciones de los modelos de IA de uso general y, en su caso, de riesgo sistémico, pudiendo incluir otras cuestiones que se anuncian.
iv) En cuarto lugar, los códigos de buenas prácticas se dirigen únicamente a los proveedores de sistemas de IA.
v) En quinto y último lugar, existe una mayor atención de los códigos de buenas prácticas por parte de las autoridades competentes, tanto en materia de control como de divulgación(76).
Habiendo constatado la diferenciación entre unos códigos y los otros, conviene destacar que en ambos casos el RIA busca inducir la autorregulación a través de su incentivación. Concretamente, a través de los códigos de conducta se busca fundamentalmente que sistemas de IA excluidos de la regulación y que carecen, por tanto, de obligaciones concretas, se autoimpongan normas y requisitos(77). Como se verá, la regulación de los códigos de conducta es bastante abierta y su redacción es algo confusa(78). A continuación se analiza el citado artículo y se examina su aptitud para lograr el éxito de la autorregulación en materia de IA.
2. Autoridades competentes y el fomento de los códigos de conducta
El RIA impone mandatos diversos en relación con los códigos de conducta a la Oficina de IA, a la Comisión Europea, al Consejo de IA y a las autoridades nacionales competentes.
La labor de fomento y facilitación de los códigos de conducta corresponde a la Oficina de IA y a los Estados miembros(79). Se sigue la línea de otras normas al imponer este deber de fomento a las autoridades públicas europeas y nacionales, pero sin indicar cómo debe ser este fomento, promoción, impulso o facilitación. Se concede de este modo a las autoridades un gran margen de discrecionalidad en la forma de realizar el fomento de los códigos de conducta.(80)
El RIA tampoco establece, o al menos no lo hace explícitamente, quién debe aprobar y denegar los códigos de conducta, ni quién les da publicidad (aunque, generalmente, la publicación e información sobre los códigos suele realizarse por el que los aprueba). Entiendo que serán la propia Oficina de IA y las autoridades competentes a nivel nacional a las que corresponde establecer los requisitos, el procedimiento de elaboración y, en definitiva, la aprobación de los códigos de conducta(81). No obstante, sería deseable que las disposiciones de desarrollo del RIA concretaran estas cuestiones.
No cabe pensar que la ausencia de tal mención suponga la innecesariedad de aprobar los códigos de conducta por una autoridad de control. Esta aprobación es el primer y principal mecanismo de control de los códigos. Con ello, la autoridad competente podrá supervisar el proyecto y examinar si respeta y es coherente con el Reglamento, si las medidas para garantizar su control y cumplimiento son eficaces, si se ha respetado la participación de todas las partes interesadas y, sobre todo, su valor añadido. Lo contrario, es decir, que no exista procedimiento de aprobación, podría inundar el ámbito de la IA de códigos de conducta ineficaces, vacíos o, peor aún, perjudiciales para las finalidades perseguidas por el RIA(82).
Independientemente de lo anterior, el RIA señala algunos aspectos que son objeto de la acción de fomento:
1) Concreción o desarrollo del contenido autorregulador. A través de distintos instrumentos o publicaciones de las autoridades competentes (como guías, circulares o directrices) podría orientarse y especificar cuestiones relativas a la elaboración, requisitos y cualquier otro aspecto relevante de los códigos de conducta. De este modo, las partes interesadas en la elaboración de códigos de conducta pueden hacerse una idea más clara y ajustada sobre el contenido normativo y el marco autorregulador(83). En este sentido, el artículo 96 RIA prevé la elaboración de directrices por la Comisión y cita varias materias en las que, en particular, debe ocuparse(84). Si bien los códigos de conducta no aparecen citados, no se les cierra la puerta. Sería recomendable seguir la estela del ámbito de protección de datos, donde las Directrices 1/2019 y 4/2021 del CEPD orientan acerca de la elaboración de códigos de conducta a través de la definición de los criterios de admisibilidad y de aprobación de los códigos de conducta, la tramitación del procedimiento de aprobación, los requisitos del organismo de supervisión o control del código, etc. Por otro lado, el artículo 66 RIA señala que el Consejo de IA podrá elaborar, por iniciativa propia o a solicitud de la Comisión, recomendaciones y dictámenes para la aplicación coherente y eficaz del RIA. Aunque podrá ser “con cualquier asunto pertinente relacionado con la ejecución del presente Reglamento”, se ofrecen varios ejemplos, siendo el primero la elaboración y aplicación de códigos de conducta.
2) Adaptación a determinados actores. Para facilitar la elaboración de códigos de conducta es necesario tomar en consideración a todos los actores. Por ello, el apartado cuatro del artículo 95 RIA exige tener en cuenta los intereses y necesidades específicos de las pymes y empresas emergentes. En efecto, los códigos de conducta, como instrumento de autorregulación que son, se dirigen a adecuar y especificar la normativa conforme a las necesidades del sector o de sus sujetos. Ello es destacable en el ámbito de la IA, donde el número de start-ups es importante debido al carácter predominantemente disruptivo e innovador del sector. Ponderar las circunstancias de estos agentes económicos, garantizar su participación y voz y facilitar la aplicación del Reglamento a su ámbito concreto animará a estos actores a valorar subsumirse en códigos de conducta.
3) Autorregulación a partir de los sandbox. Otra vía que el RIA explora para facilitar la elaboración de códigos de conducta es la prevista en el artículo 58 RIA sobre espacios controlados de pruebas para la IA. Así, de acuerdo con el apartado segundo, se facilita a los proveedores y proveedores potenciales, mediante los resultados del aprendizaje de los espacios controlados de pruebas para la IA, el cumplimiento de las obligaciones de evaluación de la conformidad en virtud del presente Reglamento y la aplicación voluntaria de los códigos de conducta.
4) Publicidad y transparencia. No se prevé expresamente por el RIA (a diferencia de otras normas, como el RGPD), pero es una práctica habitual informar públicamente sobre los códigos y disponer su contenido en los repositorios y sitios web de las autoridades competentes y su comunicación pública.
Además de las vías de fomento previstas en mayor o menor medida por el RIA, la discrecionalidad de las autoridades podría enfocarse en fomentar los códigos de conducta a través de incentivos atractivos para las partes, algunos de los cuales ya previstos en la promoción de otros códigos regulados. Por ejemplo:
a) Simplificación burocrática. Teniendo en cuenta que la adhesión a los códigos es una prueba del cumplimiento de las obligaciones legales, se podría flexibilizar la carga de acreditación del cumplimiento normativo de un adherido a un código, o conceder ayudas dirigidas a la innovación (por ejemplo, en los espacios controlados de prueba).
b) Ventajas o beneficios en las obligaciones y procesos públicos. Una autorregulación que suponga un valor añadido debe ‘premiarse’. El sometimiento voluntario a reglas o principios para garantizar y reforzar el cumplimiento normativo es motivo para que las partes se vean favorecidas en su trato con las Administraciones, ya sea mediante ventajas o exenciones fiscales (por ejemplo, respecto a los rendimientos económicos obtenidos por IA o gastos relacionados con la tecnología), a través del acceso a subvenciones, o por ventajas competitivas en procedimientos de contratación pública.
c) Régimen sancionador. Otra opción realizable es que las partes adheridas a códigos de conducta no sean sancionadas por cometer una infracción castigada por el RIA(85). O, si son sancionadas, que la sanción sea graduada y minorada(86). A priori, el RIA, no tiene en cuenta los códigos de conducta como una de las circunstancias que se considerarán en la imposición de las sanciones. Quizás podría tener su cabida en la letra e) del 99.7, el cual señala de manera genérica “cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso”. Así, al igual que otras normativas previsoras de códigos de conducta, la elaboración o adhesión a estos instrumentos podría suponer un atenuante(87). Quizás en la configuración del régimen sancionador por los Estados miembros se acabe previendo expresamente(88).
d) Distintivos. Por último, y en relación a la reputación de las partes, podría valorarse el otorgamiento de un sello o certificado distintivo. En este aspecto, a nivel nacional ya se han previsto varios sellos en materia de IA. Por ejemplo, la Estrategia Nacional de IA de 2020 incluyó el desarrollo de un código de conducta o <<sello>> como medida para crear confianza en la IA(89), aunque la ENIA de 2024 los omite (a excepción del ámbito de la sostenibilidad)(90). Igualmente, se promociona un sello de calidad de los algoritmos en la Ley 15/2022, de 12 de julio (91). Podrían emplearse cualquiera de estas distintas previsiones para distinguir la elaboración de los códigos de conducta en nuestro país.(92)
En todo caso, la iniciativa más interesante hasta el momento para fomentar los códigos de conducta ha sido el Pacto para la IA (AI Pact)(93). A través de esta iniciativa, promovida por la Comisión Europea, se anima y apoya a las organizaciones a planificar con antelación la aplicación de las medidas del RIA. Ello se hace mediante un intercambio de experiencias, conocimiento e información entre distintas partes interesadas (no sólo empresas, sino también otro tipo de organizaciones, el mundo académico, la sociedad civil, funcionarios, etc.) con especial énfasis en la divulgación proactiva de procesos y prácticas implementadas para el cumplimiento del RIA. A esta prometedora iniciativa se han suscrito alrededor de 200 empresas de distintos tamaños y sectores. Quizás de aquí surjan códigos de conducta.
Todas las posibilidades anteriores, entre otras, podrían atraer a potenciales partes interesadas de códigos de conducta. Pero debe tenerse claro un matiz. Estos beneficios no pueden supeditarse al mero hecho de hallarse vinculado a un código, sino que es necesario que los códigos aporten un valor real y que se garantice su control y su cumplimiento(94). De lo contrario nos hallaríamos ante una impostura de la que considero que deberían exigirse responsabilidades(95). Por ello, es necesario que exista una supervisión mediante un examen y control realizado por las autoridades competentes previo a la aprobación de los proyectos de códigos de conducta.
En cualquier caso, el RIA no parece ofrecer, a priori, suficientes incentivos para impulsar la autorregulación mediante códigos de conducta. Si Europa quiere configurar una gobernanza de la IA dando un papel relevante a la autorregulación, la UE y los Estados miembros deben ofrecer mayores incentivos, sobre todo más prácticos y atractivos(96). Como regla general, no puede esperarse que los agentes económicos decidan aplicarse voluntariamente reglas que supongan un refuerzo de la normativa e incluso mayores obligaciones legales por cuestiones meramente éticas y con vistas a lograr una IA segura y fiable. Si realmente se quiere potenciar la autorregulación a través de códigos de conducta se necesitan incentivos reales, y no solamente confiar en una utópica preocupación y sensibilización de los agentes económicos que vaya más allá de sus intereses económicos.
3. Partes interesadas de los códigos de conducta
3.1. Partes interesadas en la elaboración de códigos de conducta
El RIA identifica en el tercer apartado del artículo 95 a las partes implicadas en la elaboración o adhesión a los códigos:
1) Proveedores de sistemas de IA (los desarrolladores de IA o “los que la crean”)(97).
2) Responsables del despliegue de sistemas de IA particulares (los que implementan y utilizan sistemas de IA o “los que la usan”)(98).
3) Las organizaciones que representen a los proveedores de sistemas de IA.
4) Las organizaciones que los representen a los responsables del despliegue de sistemas de IA particulares.
5) Por ambos conjuntamente. Es decir, por los proveedores y responsables del despliegue, o sus organizaciones respectivas, de manera conjunta.
Los sujetos anteriores son los principales interesados en la elaboración de códigos de conducta, ya que son los que se autoimponen las normas y requisitos previstos en los códigos. El fomento y facilitación de los códigos debe dirigirse a cualquier proveedor o responsable del despliegue, que puede ser un ente privado o público(99). No obstante, el RIA expone un matiz en su artículo 95.4 : exige que se tenga en cuenta las diferentes características y necesidades de las potenciales partes interesadas. De esta manera, se pretende respaldar a las pymes y empresas emergentes (lo cual constituye igualmente una medida para impulsar la innovación).
Debe advertirse que el RIA prevé la posibilidad de que los códigos de conducta comprendan uno o varios sistemas de IA en función de la similitud de la finalidad prevista de los distintos sistemas (93.3 in fine). Esta apuesta por agrupar en un mismo código a varios sistemas de IA puede ser beneficiosa, ya que permitiría la vinculación de más partes en un mismo código. Es, asimismo, una vía que podría fomentar y facilitar la elaboración de los códigos. Pero también puede ser un inconveniente debido a la particularidad y la complejidad técnica de cada sistema de IA. En efecto, e independientemente de que compartan finalidades, las técnicas de cada sistema, su ingeniería y otros elementos pueden complicar tal agrupación. Asimismo, habrá que ver hasta qué punto se puede entender que dos sistemas compartan la misma finalidad, o que ésta sea al menos similar. Y del mismo modo, debe analizarse la compatibilidad de reunir en un mismo código sistemas de distinta clasificación de riesgos(100). Esta apuesta del RIA es, cuanto menos, ambiciosa.
3.2. Otras partes interesadas
Los códigos de conducta son una de las vías por las que el RIA hace un llamamiento a la colaboración público-privada para el desarrollo y concreción del Reglamento(101). En efecto, los códigos de conducta se elaborarán con la participación de cualquier parte interesada y sus organizaciones representativas. No queda muy claro si la participación de estos otros sujetos es potestativa o preceptiva. La redacción del artículo 95 parece indicar que ‘podrá’ contarse con la participación de partes interesadas, mientras que del considerando 165 parece vislumbrarse una obligación de contar con las partes interesadas (“lo que incluye tener en cuenta”, “con la participación, según proceda, de las partes interesadas pertinentes”).
Para que los códigos de conducta logren su objetivo, esto es, que garanticen una IA más segura, ética y fiable en la UE, considero que la participación de otras partes interesadas debe ser imperativa(102). Para ello, deberán configurarse mecanismos flexibles y eficaces que garanticen esta participación sin que retrase o dificulte en exceso la elaboración de los códigos.
En cualquier caso, el RIA, al emplear el término ‘cualquier parte interesada’, deja abierta la puerta a participar a cualquier interesado en la elaboración de estos códigos. En el artículo 95 simplemente enuncia a modo de ejemplo a las organizaciones de la sociedad civil y el mundo académico, pero además de éstas podrían incluirse otras:
- Organizaciones empresariales.
- Sindicatos y organizaciones de protección de los trabajadores.
- Organizaciones de protección de los consumidores.
- Colectivos de personas vulnerables (menores, personas con discapacidad, etc.).
- Organizaciones de normalización (ISO, CEN, CENELEC, ETSI, UNE, etc.)(103).
- Autoridades públicas u organismos de investigación con competencia en materias relacionadas o afectadas por la IA (por ejemplo en ciberseguridad ENISA e INCIBE, en protección de datos el CEPD y la AEPD, en derechos fundamentales la Agencia Europea de DDFF, etc.).
- Grupos de expertos independientes.
- Otros actores en el ecosistema de la IA (importadores, distribuidores, representantes autorizados, etc.).
No se indica cómo deberá tenerse en cuenta a estas partes interesadas. Como he dicho, deberían buscarse mecanismos que faciliten la participación sin lastrar el proceso de elaboración de los códigos. En otros ámbitos dicha participación se logra mediante el intercambio de información entre los sujetos afectados, a través de la participación en consultas o mediante la emisión de informes u opiniones, por ejemplo(104). Pero desde luego, “esta participación resulta especialmente importante en la medida en que estas partes conocen de primera mano los intereses y necesidades que deben reflejarse en los mismos”.(105)
4. Sistemas de IA afectados: tipos de códigos de conducta y su contenido
El RIA no fija solamente a las partes interesadas para elaborar o adherirse a códigos de conducta. Como particularidad, determina también a qué sistemas de IA se dirigen los códigos de conducta. Así, el primer apartado del artículo 95 prevé la autorregulación de sistemas de IA que aparentemente no serían problemáticos (sistemas de IA de riesgo bajo o nulo, y sistemas de IA únicamente con obligaciones de transparencia) para que adopten de forma voluntaria códigos de conducta. Por su parte, el segundo apartado fomenta la elaboración de códigos de conducta a todos los sistemas de IA independientemente de su nivel de riesgo.
De este modo, el RIA forma una tipología de códigos de conducta con regímenes diferenciados, lo que es una singularidad respecto a otras normativas previsoras de códigos de conducta(106). Esta clasificación comporta diferencias en el contenido, sujetos e implicaciones de cada de código, como a continuación se verá.
4.1. Los códigos de conducta dirigidos a sistemas de IA que no son de alto riesgo
El primer apartado del artículo 95 contempla la posibilidad de que los sistemas de IA que no sean de alto riesgo elaboren códigos de conducta. Es decir, aquellos sistemas que no implican un riesgo significativo para la salud, la seguridad o los derechos fundamentales, que son:
i) Los sistemas de bajo o nulo riesgo, también denominados de mínimo riesgo, que constituyen la gran mayoría en la actualidad: verificación biométrica, videojuegos o filtros de spam, entre otros. Estos sistemas no tienen requisitos u obligaciones legales que cumplir conforme al RIA, pero seguirán estando sujetos a otras normativas relevantes, como el RGPD, la DSA, la normativa de ciberseguridad, etc.
ii) Los sistemas que tienen un riesgo de transparencia o riesgo limitado (artículo 50 RIA): chatbots, robots conversacionales o aplicaciones generadoras de contenido (audio, imagen, texto, vídeo...). Su riesgo se basa precisamente en la falta o ausencia de transparencia, de manera que su regulación se basa en exigir obligaciones informativas y de transparencia.
iii) Los sistemas y modelos de IA generativa o de uso general, incluidos los que tienen un riesgo sistémico, donde se encuadra ChatGPT, Gemini o LlaMA, por ejemplo. Pese a que cuentan con su propia regulación (artículos 51 y siguientes RIA), y son a los que se dirigen principalmente los códigos de buenas prácticas, nada obsta a que puedan elaborar igualmente códigos de conducta(107).
Los códigos dirigidos a estos sistemas tienen por objeto la aplicación voluntaria de los requisitos exigidos a los sistemas de alto riesgo. Es decir, los contenidos en el capítulo III, sección 2:
- Sistema de gestión de riesgos.
- Datos y gobernanza de datos.
- Documentación técnica.
- Conservación de registros.
- Transparencia y comunicación de información a los responsables del despliegue.
- Supervisión humana.
- Precisión, solidez, y ciberseguridad.
El cumplimiento voluntario de los requisitos anteriores por sistemas de IA que no estarían obligados legalmente a ello otorga una mayor fiabilidad y seguridad en el desarrollo de la IA. En efecto, el objetivo fundamental del RIA al promocionar estos códigos es que sistemas que no son de alto riesgo sean seguros cuando se introduzcan en el mercado o se pongan en servicio (considerando 166)(108). Esta previsión autorreguladora, además de reforzar uno de los principales objetivos de la norma (garantizar una mayor protección de la salud, seguridad y derechos fundamentales de los ciudadanos), se dirige a lograr el <<ecosistema de confianza>> que postula el Libro Blanco sobre IA(109) y a difundir la marca IA europea o IA ética en el diseño(110).
Deben destacarse cuatro notas características sobre estos códigos.
i) En primer lugar, están dirigidos únicamente a los proveedores y, por analogía, a sus organizaciones representativas. Ello se debe a que se trata de requisitos técnicos y propios del diseño de la tecnología, de manera que, como regla general, no tienen cabida los responsables del despliegue.
ii) En segundo lugar, pueden consistir en la aplicación voluntaria de uno, varios o incluso de todos los requisitos exigidos a los sistemas de alto riesgo. Se da libertad a las partes tanto para decidir qué requisitos se aplican voluntariamente, y si desarrollan los mismos en función de sus necesidades o características (ello siempre y cuando no afecten ni contradigan lo establecido por el Reglamento). Igualmente, la intensidad de los requisitos podrá variar en función del sistema y sus particularidades. Como es obvio, la aplicación voluntaria de estas normas no supone que deban aplicarse al mismo nivel que los sistemas de alto riesgo, sino adaptado a las finalidades y peculiaridades de cada sistema(111).
iii) En tercer lugar, se exige que estos códigos de conducta cuenten con los correspondientes mecanismos de gobernanza. Si bien ello es, en mi opinión, una exigencia para cualquier código para asegurar su control y cumplimiento, el RIA ha considerado adecuado efectuar esta advertencia específica(112).
iv) Por último, advierte el precepto que deben tenerse en cuenta las soluciones técnicas disponibles y las mejores prácticas del sector para la aplicación de dichos requisitos. En este sentido, tendrán especial importancia las tarjetas de modelo y hojas de datos(113). E igualmente importante será tanto el papel que pueden desempeñar la Oficina de IA y las autoridades competentes de los Estados miembros, como la labor de las instituciones de armonización en la elaboración de normas armonizadas o especificaciones técnicas. Respecto a estas últimas, si bien no deben configurar normas o reglas ad hoc para cada tipo de sistema, sería beneficioso posibilitar la adaptación de cada norma o regla al caso o sistema concreto(114).
No debe olvidarse que la Comisión elaborará directrices sobre varias materias para facilitar la aplicación práctica del RIA, entre los que se encuentran los requisitos citados. Sería recomendable que en la confección de dichas directrices se prevea la posibilidad de que tales requisitos se apliquen igualmente por sistemas que no son de alto riesgo y, con ello, facilitar lo máximo posible la adaptación de los requisitos mediante códigos de conducta.
4.2. Los códigos de conducta dirigidos a cualquier parte interesada para fines éticos, sociales, y sostenibles (entre otros)
El artículo 95.2 RIA prevé la elaboración de códigos de conducta por cualquier proveedor o responsable del despliegue para promover la aplicación voluntaria de requisitos específicos a cualquier sistema de IA. Los códigos de esta sección pueden elaborarse para cualquier sistema de IA independientemente de su clasificación de riesgos. Es decir, que se dirigen tanto a los sistemas vistos en el apartado anterior (de riesgo limitado, riesgo mínimo, y uso general) como a los de alto riesgo. Y ello es lógico, dado que los requisitos que el RIA quiere que las partes se autoapliquen no están, en principio, regulados estrictamente.
Con estos códigos se pretende reforzar e impulsar los objetivos fundamentales del Reglamento(115). Así, la autorregulación no sólo garantiza el cumplimiento de la norma, sino que va más allá de lo que el RIA exige para lograr uno o más objetivos beneficiosos que no se lograrían sin su previsión y empleo. Supone la autoimposición de requisitos dirigidos a evitar que los sistemas de IA causen perjuicios a otros bienes jurídicos o a contribuir en su tutela, respeto y beneficio(116). No sería de extrañar que las reglas y exigencias voluntariamente cumplidas acabasen enmarcadas en la propia normativa si se dan resultados positivos de la autonormación.
El Reglamento enumera una serie de materias sobre las que pueden consistir estos códigos, pero advirtiendo que no se trata de una lista cerrada ni taxativa(117).
1) Directrices éticas para una IA fiable. En primer lugar, para garantizar una IA segura, fiable y, en definitiva, ética, se recomienda la elaboración de códigos que apliquen las Directrices éticas para una IA fiable desarrolladas por el Grupo de expertos de alto nivel de la IA. Con ello se busca impulsar un diseño antropocéntrico de la IA que sitúe la tecnología al servicio del ser humano, de modo que permita mejorarnos como individuos y como sociedad. Debe destacarse que la aplicación voluntaria de las Directrices éticas constituye una posibilidad, pero no debería ser la única. Al contrario, debería ser posible adoptar o basarse en otros instrumentos que desarrollen sus propios principios y reglas éticas(118), siempre y cuando sean coherentes con los valores europeos.
2) Protección del medioambiente. En segundo lugar, se busca implicar a los proveedores y responsables de IA en la protección del medioambiente. Ante el importante gasto energético que produce esta tecnología (tanto en su diseño como en su uso) y el consumo de materias primas críticas, los códigos pueden prever una evaluación y reducción al mínimo de las repercusiones de los sistemas de IA para la sostenibilidad medioambiental. Ello se puede hacer además tanto desde una programación eficiente desde el punto de vista energético como mediante técnicas para diseñar, entrenar y utilizar la IA de manera eficiente. Así, los códigos podrían impulsar distintos mecanismos o vías para lograr los objetivos anteriores como, por ejemplo, el compromiso de emplear únicamente centros de procesamiento de datos neutros o desarrollar una IA verde desde el diseño y por defecto. Igualmente, pueden encauzar la reutilización de medios y recursos, fomentar la generación de menos residuos, etc.
3) Formación continua y actualizada. En tercer lugar, se busca promocionar la alfabetización en materia de IA, en particular de las personas que se ocupan del desarrollo, funcionamiento y utilización de la IA. Aunque el RIA ya exige a los proveedores y responsables del despliegue la adopción de medidas para garantizar que su personal tenga un suficiente nivel de alfabetización (artículo 4), este deber se refuerza a través de la autorregulación. Los códigos puede impulsar una mejora de las capacidades, conocimientos y comprensión de la IA mediante una formación superior. Pero también pueden enfocarse en desarrollar una alfabetización más especializada y concreta sobre otras cuestiones relacionadas, como la ética, la sostenibilidad o la dimensión social de la IA, las cuales superan el ámbito estrictamente tecnológico, pero que sirven para impulsar otros objetivos del Reglamento y proteger valores igualmente importantes. Asimismo, puede impulsarse la formación jurídica en materia de normativa, privacidad, responsabilidad, etc. Por último, el refuerzo de la alfabetización puede dirigirse a formar al personal distinto de los desarrolladores e implementadores de la tecnología, así como a la sociedad en general.
4) Protección o tutela de la vulnerabilidad. En cuarto lugar, los códigos de conducta pueden abordar cuestiones sociales. Agrupo en esta temática la promoción de un diseño inclusivo, diverso, igualitario y accesible de los sistemas de IA, la eliminación de los sesgos discriminatorios, la participación de las partes interesadas y la evaluación y prevención de los perjuicios de los sistemas de IA para las personas vulnerables o los colectivos de personas vulnerables. Estos aspectos sociales que, a modo de ejemplo, menciona el Reglamento, tienen como objetivo garantizar una IA segura y respetuosa con los derechos fundamentales de todas las personas. Los códigos que recojan medidas como las descritas tendrán beneficios sociales positivos, como la reducción de la brecha digital, la garantía de una IA universalmente accesible, la inclusión digital de distintos grupos o personas, etc.(119)
Aparte de esta lista ejemplificativa, quienes elaboran los códigos de conducta pueden incluir requisitos específicos de otros objetivos positivos, estén o no previstos por el RIA. Sería el caso, por ejemplo, de otras cuestiones especialmente importantes como la privacidad, la seguridad y la ciberseguridad, la transparencia e información, la responsabilidad en materia de IA, la gobernanza, los derechos de autor, la beneficencia y no maleficencia, la equidad, etc.(120)
Como se ve, la IA alcanza y afecta a diversas cuestiones, y la autorregulación puede ser un mecanismo óptimo para resolver las problemáticas(121). El desarrollo de requisitos específicos relativos a cualquiera de las cuestiones anteriores debe hacerse desde la perspectiva tecnológica y del RIA, pero tomando también en consideración otra normativa aplicable. Por ejemplo, si se pretende reforzar la privacidad de un sistema de IA, deberá tenerse en cuenta el RGPD, pudiendo incluso desarrollarse alguna de sus previsiones. En otros ámbitos existirán más vacíos regulatorios, como en materia de derechos de autor o de responsabilidad(122). Las regulaciones existentes no están preparadas para la revolución de la IA, y por ello mismo, para prevenir esos vacíos o conflictos legales, la autorregulación puede ofrecer respuestas o soluciones.
Igualmente, estos códigos pueden servir para reforzar los requisitos del capítulo III, sección 2. Es decir, podrían desarrollar los requisitos de los sistemas de alto riesgo. Ello tendría especial sentido para el caso de los proveedores de sistemas de alto riesgo, dado que para el resto de sistemas esta posibilidad ya se contemplaría en los códigos de conducta del apartado primero.
En todo caso, la exigencia voluntaria de requisitos tiene una condición: deben suponer un valor extra o añadido al del propio RIA. Así, si en los primeros códigos que se han visto el valor añadido deviene precisamente por la mera aplicación de los requisitos, en este tipo de códigos debe haber un refuerzo, desarrollo o adecuación. Por ejemplo, si el Reglamento ya prevé medidas dirigidas sobre la alfabetización de la IA, el código no puede recoger las mismas medidas ni mucho menos inferiores. Para que exista un verdadero refuerzo de la normativa, los códigos deben contener requisitos más exigentes o distintos a los ya previstos. Así se logrará verdaderamente un beneficio respecto a los objetivos del RIA u otros que las partes consideren igualmente importantes.
Aparte de lo anterior, el RIA exige que los requisitos adoptados se fijen conforme a objetivos claros y que cuenten con indicadores clave de resultados para medir la consecución de dichos objetivos. No basta, por tanto, con elaborar o adherirse a un código de conducta en IA que se compromete a uno o varios objetivos inconcretos con requisitos e indicadores ambiguos, indeterminados o ineficaces. Al contrario, se requiere claridad y concisión en la definición de los objetivos, una correcta determinación de los requisitos específicos adoptados y medios para evaluar y acreditar que, en definitiva, los códigos cumplen con ese objetivo. Esta cuestión se analizará con mayor profundidad en el último apartado de este trabajo.
5. La omisión por el RIA del establecimiento de un sistema del control de los códigos de conducta
El RIA apenas contiene referencias sobre el control de los códigos de conducta. Y las pocas que tiene las trata de manera ambigua y poco desarrollada. Se diferencia enormemente de otras normas que fijan un marco mucho más estricto respecto al control de los códigos. En consecuencia, la autorregulación en el ámbito del RIA queda en una situación abierta e indeterminada al conceder una mayor discrecionalidad respecto a su control, mientras que otras normativas han apostado por limitar la libertad de las partes en lo referente al control de los códigos (puesto que deben seguir las exigencias legales) buscando garantizar la coherencia con la normativa.
Desconozco si la ausencia de alusiones en el RIA sobre el control de los códigos se debe a la voluntad del legislador de dar un mayor margen a las partes para configurar los códigos conforme a su voluntad, o simplemente a carencias o lagunas que deberían haberse previsto. En cualquier caso, y a mi modo de ver, una autorregulación eficaz requiere un sistema de control efectivo de los códigos de conducta. Y lo que es sorprendente es que el RIA, que se ha fijado e incluso se ha inspirado en varias cuestiones de la regulación europea de protección de datos, no lo haya hecho respecto al control de la autorregulación(123).
El artículo que regula los códigos de conducta solamente contiene una referencia sobre su control. Es en el apartado segundo, es decir, respecto de los códigos de conducta genéricos, donde se advierte de que los objetivos de los códigos deberán poder analizarse y evaluarse conforme a indicadores clave de resultados para medir su consecución. No se dice nada más por lo que, a falta de un desarrollo posterior de esta cuestión, entendemos que se permitirá a los propios códigos configurar tales indicadores de medición y, asimismo, cuando se podrá entender que se están logrando los objetivos propuestos.
Otra referencia sobre el control de los códigos, en este caso sobre la figura de los códigos de conducta en general, se observa en el artículo 112 dedicado a la evaluación y revisión del RIA. En lo que aquí interesa, el apartado 7 informa que –como tarde– el 2 de agosto de 2028, y a partir de entonces cada tres años, la Comisión Europea tendrá que evaluar la incidencia y la eficacia de los códigos de conducta adoptados por sistemas de IA distintos a los de alto riesgo que: a) promuevan la aplicación de los requisitos establecidos en el capítulo III, sección 2; y b) promuevan la aplicación de otros requisitos adicionales (en este sentido, menciona como ejemplo la sostenibilidad medioambiental, pero como se ha visto hay otros requisitos como los éticos, los formativos y los sociales)(124).
Lo que se advierte de la –mejorable– redacción es que la Comisión ejercerá cierto control de los códigos de conducta, tanto de los fomentados en el primer apartado del artículo 95 como de los del segundo apartado. Pero deben destacarse a este respecto dos cuestiones.
La primera, que esta evaluación de la Comisión se realizará solamente sobre sistemas de IA que no sean de alto riesgo (así lo corrobora el considerando 174 in fine)(125). Ello es adecuado conforme al primer apartado del artículo 95. Sin embargo, el segundo apartado prevé la aplicación de requisitos adicionales a cualquier sistema de IA, incluyendo los de alto riesgo, de manera que estos sistemas estarían ‘escapando’ de la evaluación de la Comisión.
La segunda cuestión es que no se informa sobre cómo se evaluará la incidencia y eficacia de los Códigos (o dicho de otro modo, su éxito y alcance), ni se proponen medidas o acciones en función de los resultados de la evaluación. Todo ello deja varias incógnitas: ¿Qué pasará si los códigos apenas han sido transcendentes, o si no se ha podido garantizar su eficacia? ¿Podría verse afectada la regulación de los códigos? ¿Se buscarán nuevas vías para fomentarlos? ¿Se endurecerá o se flexibilizará su elaboración y aprobación?
No existen otras alusiones relativas al control de los códigos de conducta en sentido estricto. El RIA carece de previsiones relativas al procedimiento de elaboración y aprobación de los códigos; sobre los organismos de control, con definición de su régimen y facultades; de las posibles consecuencias ante un incumplimiento, tanto en el ámbito del código (sanción, expulsión...) como en el ámbito sancionador del RIA; y a cualesquiera otras medidas dirigidas al control de la eficacia de los códigos de conducta.
En mi opinión, estas lagunas regulatorias del control de los códigos pueden afectar a la eficacia de los mismos y ser perjudicial para los objetivos del RIA. El RIA no solventa, por tanto, uno de los problemas tradicionales de los mecanismos de autorregulación(126). La falta de control, la ausencia de medidas o la inexistencia de una entidad o potestad que exhorte a su cumplimiento puede provocar que todo lo suscrito voluntariamente resulte ineficaz. De esta manera, se abre la puerta a la impostura digital (digital washing) que permite vender una imagen falsa sobre cumplimiento del RIA y otros valores y principios.
No obstante, la falta de disposiciones sobre el control de los códigos no supone necesariamente el fracaso de la autorregulación de la IA. Debe recordarse que la autorregulación se basa en la voluntariedad de las partes para regularse, y ello incluye la facultad de disponer de los medios de control que estimen oportunos(127). En este sentido, puede valorarse que el RIA otorgue una mayor libertad a las partes para controlar sus propios códigos. Si a través de este marco más abierto y flexible de los códigos se logra una autorregulación real y efectiva que contribuya realmente a la gobernanza de la IA y a garantizar una mayor fiabilidad y seguridad, bienvenido sea. El problema es que, al no fijar los límites de la autorregulación –como recomendaría el Dictamen CESE– puede darse la situación en la que las partes elaboran códigos de conducta cuyo incumplimiento no tenga consecuencias. Ello puede impactar también en la confianza que puedan tener terceros ajenos respecto a los códigos, e incluso el interés de las propias partes interesadas en elaborar códigos de conducta en un panorama incierto.
Independientemente de la ausencia de requerimientos legales expresos, considero que una buena autorregulación de la IA debe configurar un marco de control importante. En efecto, un código de conducta debe aportar garantías suficientes de su compromiso y acreditar que disponen de los mecanismos necesarios y adecuados para su cumplimiento (entre ellos, medios suficientes y efectivos para su control y supervisión). Entre otras cuestiones, la gobernanza de la autorregulación debe contar, como mínimo, con los siguientes aspectos:
1.º Debe nombrarse a un organismo independiente y autónomo para la supervisión del código. Este organismo se encargará del seguimiento del cumplimiento del código mediante criterios e indicadores definidos previamente. Puede ser unipersonal o colegiado, interno o externo... Pero, en cualquier caso, debe reunir una serie de conocimientos especializados que combine aspectos técnicos, jurídicos y éticos, y poseer una experiencia determinada tanto en cuestiones de IA como, en su caso, del sector o sectores en los que se prevea la aplicación del código. Ello es fundamental para la resolución de los problemas o conflictos que puedan surgir en la aplicación del código, pero también para cumplir con su misión informativa, de asesoramiento, y de difusión del código.
2.º Debe configurarse un régimen sancionador. Puede ser complementario al previsto en el RIA y en los desarrollos nacionales, pudiendo reforzar o especificar los preceptos sancionadores. Las medidas tendrán distinta naturaleza en función del riesgo para el cumplimiento del código:
a. Preventivas: dirigidas a evitar cualquier incumplimiento (alertas de riesgos, control de las partes mediante auditorías, creación de vías y puntos de contacto, revisiones del código, etc.).
b. Rectificativas: dirigidas a la reconducción de las conductas incumplidoras (apercibimientos, imposición de sanciones económicas, desacreditaciones, pérdida de derechos...).
c. Reactivas: dirigidas a castigar cualquier incumplimiento del código. Se activarán cuando no haya sido posible evitar el incumplimiento (suspensión, expulsión).
3.º Debe contarse con procedimientos para la resolución de conflictos o controversias. Esta resolución puede encargarse al organismo independiente, pero también se puede designar un mecanismo de resolución de controversias alternativo (MASC), y para un mayor control se someterá el código a los órganos jurisdiccionales.
A falta de que el RIA cubra estas lagunas, los Estados miembros deberían establecer mayores mecanismos del control de los códigos para la generación de los códigos de conducta. De lo contrario, habrá que confiar en que las propias partes elaboradoras prevean mecanismos adecuados de control de sus códigos.
IV. CONCLUSIONES
1) La apuesta de la UE por ordenar los usos de la inteligencia artificial basándose en una triple conjunción regulación-ética-autorregulación es, en principio, un acierto, tal y como ha hecho en otros sectores que comparten características con la IA, como la protección de datos personales o los servicios de la sociedad de la información. La rápida evolución y el dinamismo de la IA, la dificultad de prevenir sus riesgos y la necesidad de adaptar la norma a sujetos y sistemas concretos hacen necesaria la previsión de instrumentos flexibles y adaptativos como son los propios del soft law. En este sentido, los códigos de conducta se presentan como un mecanismo óptimo para garantizar el cumplimiento del RIA y promover sus objetivos.
2) Los códigos de conducta regulados se caracterizan por su transversalidad y multidisciplinariedad. Carecen de una regulación general, por lo que son las normas concretas de cada sector –y sus posteriores desarrollos– las que los configuran. En cualquier caso, son instrumentos de autorregulación que adecúan y desarrollan la normativa de forma voluntaria para adaptarla a circunstancias o particularidades específicas, quedando las partes sometidas tanto a la normativa en cuestión como al conjunto de normas, reglas o principios concentrados en el código. Para que los códigos tengan éxito y comporten una verdadera utilidad práctica es imprescindible que ofrezcan un valor añadido a la normativa, que respeten el contenido de la norma que los prevé y del ordenamiento jurídico en general, que confiera cierto poder autonormativo a la libre voluntad de las partes interesadas y, por último, que se pueda controlar y exigir su cumplimiento, además de garantizar su transparencia y publicidad.
3) Los códigos de conducta presentan varios aspectos positivos: refuerzan el cumplimiento normativo e incluso lo potencian al desarrollar o especificar la normativa; se caracterizan por ser flexibles y dinámicos tanto en su elaboración como en su adaptación a nuevos entornos o circunstancias; pueden mejorar la reputación e imagen social de los elaboradores o adheridos a códigos a la vez que consolida una mayor confianza y una mayor seguridad jurídica; y en ocasiones tienen otras ventajas prácticas, como la graduación de las sanciones o la promulgación de sellos y certificaciones. No obstante, los códigos también tienen aspectos negativos o problemáticos: su previsión normativa puede ser insuficiente o errónea; pueden carecer de medios y mecanismos de control eficaces y suficientes para garantizar su carácter vinculante; pueden usarse únicamente para para mejorar falsamente la reputación e imagen de los actores.
4) El Reglamento Europeo de Inteligencia Artificial ha incluido a los códigos de conducta entre sus disposiciones con el objetivo de lograr un diseño y uso ético, seguro y fiable de la tecnología. No obstante, lo hace a través de un sólo artículo y otras breves referencias. Aunque parecía que el RIA iba a conferir una especial importancia a la autorregulación, finalmente los códigos de conducta han recibido un tratamiento más bien marginal e incompleto, destacando la escasez de incentivos a la autorregulación. Se establece un mandato a las autoridades europeas y nacionales para fomentar y facilitar los códigos, pero no hay beneficios que animen a elaborar códigos de conducta como sí sucede en otras normativas concretas. Quizás con el desarrollo del RIA se desarrollen los aspectos necesitados de concreción.
5) El RIA señala como sujetos interesados para la elaboración de códigos de conducta a los proveedores, a los responsables del despliegue y a sus organizaciones representativas, pudiendo actuar de manera conjunta unos y otros. Además, advierte que debe tenerse en cuenta a otras partes interesadas, lo cual es conveniente no sólo para adaptar los códigos a las soluciones técnicas disponibles y las mejores prácticas del sector sino también para tener en consideración otros aspectos sociales, éticos y medioambientales.
6) Una peculiaridad del RIA respecto a otras normas es que prevé la existencia de dos tipos de códigos de conducta cuyo contenido, partes e implicaciones son diferentes. Por un lado se encuentran los códigos de conducta dirigidos únicamente a sistemas de IA distintos de los de alto riesgo para, justamente, aplicar los requisitos a los que están obligados los sistemas de alto riesgo. Su objetivo fundamental es garantizar una IA segura y fiable. Por otro lado están los códigos de conducta dirigidos a todos los sistemas de IA independientemente de su nivel de riesgo para aplicarse requisitos éticos, medioambientales, sociales o formativos, entre otros. Si bien también contribuyen a la seguridad y fiabilidad de la tecnología, pueden centrarse en otros beneficios como la sostenibilidad, la accesibilidad, la diversidad o la privacidad.
7) Uno de los aspectos más preocupantes del RIA es la ausencia, casi total, de menciones sobre el control de los códigos de conducta. Y las pocas referencias existentes son ambiguas e insuficientes. Al contrario de lo que sucede en otras regulaciones, como en protección de datos, no se dispone nada sobre los órganos de control de los códigos, ni existen previsiones concretas acerca del incumplimiento de los códigos. Ni siquiera se ha definido un procedimiento de aprobación. Las cuestiones anteriores, a salvo de un posterior desarrollo o concreción, puede dificultar el cumplimiento de los códigos y, en suma, hacen que su éxito sea incierto.
8) La regulación de los códigos de conducta en el RIA carece de algunos elementos esenciales para su efectividad. En comparación con otras normas, como el Reglamento General Protección de Datos, el RIA opta por conceder una mayor libertad a los interesados para la elaboración de los códigos de conducta sin contrapesarlo con mecanismos que eviten la impostura digital. Ello no tiene por qué suponer necesariamente el fracaso de la autorregulación, sino que es un refuerzo de la libertad y autonomía de las partes. No obstante, sería conveniente que los desarrollos futuros del RIA complementaran y mejoraran la escueta regulación de los códigos de conducta.
9) Los beneficios que presenta la autorregulación y los códigos de conducta, tanto de manera general como a partir de su encuadre en el RIA, se sobreponen a los problemas o retos que pueden plantear, los cuales pueden solventarse o, cuanto menos, mitigarse. Por ello, es un hecho que cada vez se otorga un mayor poder autonormativo a la sociedad. Y aunque en los próximos años se comprobará la utilidad y éxito de la autorregulación regulada en sus diversas manifestaciones (sellos, certificaciones, normas técnicas, códigos, etc.), es evidente que todas ellas resultan necesarias para guiar el comportamiento y las prácticas dentro de las organizaciones en dirección de una IA segura, fiable y ética.
BIBLIOGRAFÍA
ÁLVAREZ GARCÍA, Vicente (1998): La capacidad normativa de los sujetos privados. Revista española de Derecho Administrativo, nº 99, págs. 343-367.
ARROYO JIMÉNEZ, Luis y NIETO MARTÍN, Adán (2008): Autorregulación y sanciones, Valladolid, Lex Nova, 315 págs.
BARRIO ANDRÉS, Moisés (2018): Ciberderecho: bases estructurales, modelos de regulación e instituciones de gobernanza de Internet, Valencia, Tirant lo Blanch, 163 págs.
BARRIO ANDRÉS, Moisés (2024): Comentarios al Reglamento Europeo de Inteligencia Artificial, Madrid, Aranzadi La Ley, 1100 págs.
BELLOSO MARTÍN, Nuria (2024): “Cómo la ética complementa la normatividad de la inteligencia Artificial: códigos de conducta, guías de buenas prácticas y “sello” de la IA confiable”. Los retos normativos de la Inteligencia Artificial, Madrid, Dykinson, págs.15-72.
CASTILLA BAREA, Margarita (2024): “Vigilancia postcomercialización, códigos de conducta y directrices”. El Reglamento Europeo de Inteligencia Artificial, Valencia, Tirant lo Blanch págs. 138-199.
CERRILLO i MARTÍNEZ, Agustí (2019): “Los códigos éticos y de conducta: de la teoría a la práctica”. Compliance e integridad en el sector público, págs. 161-179.
COTINO HUESO, Lorenzo (2019): “Ética en el diseño para el desarrollo de una inteligencia artificial, robótica”. Revista catalana de dret públic, nº 58, págs. 29-48.
COTINO HUESO, Lorenzo y SIMÓN CASTELLANO, Pere (2024): Tratado sobre el Reglamento Europeo de Inteligencia Artificial, Pamplona, Aranzadi, 750 págs.
DARNACULLETA i GARDELLA, Maria Mercè (2003): Derecho administrativo y autorregulación: la autorregulación regulada, Universitat de Girona, 726 págs.
DE LA QUADRA-SALCEDO FERNÁNDEZ DEL CASTILLO, Tomás (2025): “Inteligencia Artificial, Administraciones Públicas y Derecho. Una visión comparada de un Derecho en construcción”. El Derecho Administrativo en la era de la inteligencia artificial. Actas del XVIII Congreso de la Asociación Española de Profesores de Derecho Administrativo. Vigo 25 a 27 de enero de 2024, Madrid, Instituto Nacional de Administración Pública, págs. 629-658.
DE LA QUADRA-SALCEDO FERNÁNDEZ DEL CASTILLO, Tomás (en prensa): “El futuro de la Inteligencia Artificial desde la ética y los derechos fundamentales”. Biometría, Derecho Administrativo y Datos. Aranzadi La Ley.
ESTEVE PARDO, José (2002): Autorregulación. Génesis y efectos, Pamplona, Aranzadi, 184 págs.
ESTEVE PARDO, José (2025): Lecciones de Derecho Administrativo, Madrid, Marcial Pons, 12ª edición, 596 págs.
FERNÁNDEZ BAÑOS, Juan (2018): “Los actos de competencia desleal relacionados con códigos de conducta”. CEFLegal: Revista práctica de derecho. Comentarios y casos prácticos, nº 210, págs. 51-84.
FERNÁNDEZ HERNÁNDEZ, Carlos (2025): Guía práctica del Reglamento Europeo de Inteligencia Artificial. Manual de referencia para conocer, entender y aplicar la AI Act, Madrid, Aranzadi La Ley, 482 págs.
FUERTES LÓPEZ, Mercedes (2024): “Usuarios de los sistemas de inteligencia artificial y sus obligaciones”. Revista de privacidad y derecho digital, vol. 9, nº 34, págs. 121-171.
GAMERO CASADO, Eduardo (2021): “El enfoque europeo de Inteligencia Artificial”. Revista de Derecho Administrativo, nº 20, págs. 268-289.
GARCÍA MEXÍA, Pablo (2024): “La innovación en la ley europea de inteligencia artificial”. Revista de privacidad y derecho digital, vol. 9, nº 34, págs. 316-330.
GARCÍA RUBIO, María Paz (2012): “Responsabilidad social empresarial y autorregulación los códigos de conducta y las fuentes del derecho”. Boletín Del Ministerio De La Presidencia, Justicia Y Relaciones Con Las Cortes, nº 2141, Págs. 2-14.
HERNÁNDEZ PEÑA, Juan Carlos (2021): “Gobernanza de la inteligencia artificial en la Unión Europea. La construcción de un marco ético-jurídico aún inacabado”. Revista General de Derecho Administrativo, nº 56, 42 págs.
HUERGO LORA, Alejandro (2025): “De la digitalización a la inteligencia artificial: ¿evolución o revolución?”. El Derecho Administrativo en la era de la inteligencia artificial. Actas del XVIII Congreso de la Asociación Española de Profesores de Derecho Administrativo. Vigo 25 a 27 de enero de 2024, Madrid, Instituto Nacional de Administración Pública, págs. 31-72.
ILLESCAS ORTIZ, Rafael (2003): “La autorregulación, entre la quiebra de la relatividad y la obligatoriedad de la declaración unilateral de voluntad”. Derecho Privado y Constitución, nº 17, págs. 291-306.
LAGUNA DE PAZ, Juan Carlos (2011): “Regulación, externalización de actividades administrativas y autorregulación”. Revista de administración pública, nº 185, págs. 89-112.
LÓPEZ JIMÉNEZ, David (2010): “Los códigos de conducta como solución frente a la falta de seguridad en materia de comercio electrónico”. Revista de ciencias económicas, vol. 28, nº 1, págs. 117-139.
LÓPEZ JIMÉNEZ, David (2022): “La autorregulación en materia de consumo: especial valoración del mundo digital”. Actualidad jurídica iberoamericana, nº. 17, págs. 1070-1095.
MALUQUER DE MOTES I BERNET, Carlos Juan (2003): “Los códigos de conducta como fuente de Derecho”. Derecho Privado y Constitución, nº 17, págs. 361-376.
MARTÍNEZ-CARDÓS RUIZ, José Leandro: “Los Códigos de Conducta” ENLACE
NICOLÁS LUCAS, Asunción (2025): “Codes of Conduct and Guidelines (Chapter X)”. The EU regulation on Artificial Intelligence: A commentary, Italia, Wolters Kluwer, págs. 539-580.
PÉREZ BES, Francisco (2024): “La autorregulación de la Inteligencia Artificial”. Cuadernos de la Guardia Civil: Revista de seguridad pública, nº 71, págs. 73-94.
PIÑAR MAÑAS, José Luis (2018): Derecho e innovación tecnológica: retos de presente y futuro, Madrid, CEU Ediciones, 31 págs.
PONCE SOLÉ, Juli (2024): El Reglamento de Inteligencia Artificial de la Unión Europea de 2024, el derecho a una buena administración y su control judicial en España, Madrid, Marcial Pons, 258 págs.
PRIETO HERGUETA, Julián (2021): “Los códigos de conducta (comentario a los artículos 40 y 41 RGPD y a los artículos 38 y disposición transitoria segunda LOPDGDD)”. Comentario al Reglamento General de Protección de Datos y a la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, Pamplona, Aranzadi, Tomo I, capítulo 99, págs. 2357 a 2378.
RAZQUIN LIZARRAGA, Martín (2024): “Sistemas de IA prohibidos, de alto riesgo, de limitado riesgo, o de bajo o nulo riesgo”. Revista de privacidad y derecho digital, vol. 9, núm. 34, págs. 172-235.
REAL PÉREZ, Alicia (2010): Códigos de conducta y actividad económica: una perspectiva jurídica, Madrid, Marcial Pons, 416 págs.
SERRANO PÉREZ, María Mercedes (2021): “Los códigos de conducta (comentario artículo 40 RGPD y al artículo 38 y disposición transitoria segunda LOPDGDD)”. Comentario al Reglamento General de Protección de Datos y a la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, Pamplona, Aranzadi, Tomo I, capítulo 100, págs. 2379 a 2408.
NOTAS:
(1). Sobre el fotónico avance de la IA véase BARRIO ANDRÉS, Moisés (2022): “Inteligencia artificial: origen, concepto, mito y realidad”. El Cronista del Estado Social y Democrático de Derecho, nº 100, págs. 14-21. Fueron los acontecimientos de los últimos años –fundamentalmente desde 2020, tras la pandemia y la irrupción de ChatGPT– los que impulsaron las ambiciones legislativas para alinear el desarrollo de la IA con los marcos constitucionales, las normas sociales y las consideraciones éticas. BARRIO ANDRÉS, Moisés (2024: 15).
(2). De hecho, como indica FERNÁNDEZ HERNÁNDEZ, Carlos (2025: 98), el 66% de las reuniones que tuvieron los europarlamentarios fue con representantes de la industria y asociaciones de comercio, los cuales han ejercido una gran presión para que se apliquen principios éticos y de la autorregulación por medio de códigos de conducta. No cabe duda de que quienes más han defendido la autorregulación de la IA han sido las empresas, sobre todo para evitar normas excesivamente restrictivas. “La sociedad prefiere la regulación, y la industria se inclina por la autorregulación”. BELLOSO MARTÍN, Nuria (2024: 59).
(3). Para un mayor estudio sobre el Reglamento Europeo de Inteligencia Artificial, puede verse (entre otros): BARRIO ANDRÉS, M. (dir.) Comentarios al Reglamento Europeo de Inteligencia Artificial; BARRIO ANDRÉS, M. El Reglamento Europeo de Inteligencia Artificial; COTINO HUESO, L. y SIMÓN CASTELLANO, P. Tratado sobre el Reglamento Europeo de Inteligencia Artificial; FERNÁNDEZ HERNÁNDEZ, C. Guía práctica del Reglamento Europeo de Inteligencia Artificial. Manual de referencia para conocer, entender y aplicar la AI Act; y HUERGO LORA, A. (Ed. Lit.) y DÍAZ GONZÁLEZ, G. M. (Coord.). The EU regulation on Artificial Intelligence: A commentary.
(4). Como señala PÉREZ BES, Francisco (2024: 74), una vez que quedó clara la necesidad de regular la IA, el debate se centró en cómo debía hacerse la regulación para que fuese eficaz.
(5). Véase el documento conjunto que presentaron: “An innovation-friendly approach based on European values for the AI Act, Joint Non-paper by IT, FR and DE”. La razón principal de su propuesta fue la promulgación del Código de Conducta del G7, grupo en el que están incluidos los tres países señalados.
(6). Otros Estados miembros y expertos se mostraron contrarios a tal propuesta. En este sentido, para el secretario general del Supervisor Europeo de Protección de Datos, Leonardo Cervera Navas, “la autorregulación no es suficiente” y debe combinarse con “una fuerte supervisión”. Tampoco el Parlamento Europeo lo consideraba viable: “El Consejo debe abandonar la idea de tener solo compromisos voluntarios acordados con los desarrolladores de los modelos más poderosos. Queremos unas obligaciones claras en el texto” (declaraciones del eurodiputado italiano Brando Benifei). Véase la noticia “La UE se inclina por la autorregulación en la nueva ley de inteligencia artificial” en ENLACE (última visualización el 25 de mayo de 2025).
(7). Ya en la Comunicación “La gobernanza europea – Un libro blanco”, del 12 de octubre de 2001 (2001/C 287/01), se concibe la autorregulación como un instrumento no vinculante que combina con la vía legislativa, implicando a la sociedad civil en la elaboración de políticas comunitarias. Uno de los análisis más profundos y relevantes sobre la autorregulación en el marco comunitario es el que realiza el Comité Económico y Social Europeo en su Dictamen <<Autorregulación y corregulación en el marco legislativo de la Unión Europea>> (en adelante, “Dictamen CESE”). Este Dictamen establece las bases de la autorregulación como mecanismo complementario o suplementario de la normativa, y define sus características, beneficios y problemas. Pero en cualquier caso, las declaraciones políticas no son suficientes para configurar un marco autorregulador aceptable en cualquier sector. Es también necesaria la concienciación de los usuarios y actores, fomentar su profesionalización e impulsar una sinergia entre una regulación de mínimos y el fomento de la autorregulación regulada, como ha señalado BARRIO ANDRÉS, Moisés (2018: 66).
(8). La autorregulación ha sido uno de los fenómenos más innovadores y pujantes que se registra en torno al ordenamiento jurídico en la última década. En efecto, ha adquirido tal importancia que ya se tiene en cuenta a la hora de analizar las fuentes del Derecho. De hecho, ciertas expresiones autorreguladoras (como las normas técnicas o los códigos de conducta) están superando su marco originario para situarse en nuevas dimensiones, llegando a incorporarse al ordenamiento jurídico y adquiriendo así la condición de normas de Derecho objetivo. ESTEVE PARDO, José (2025: 85).
(9). GARCÍA RUBIO, María Paz (2012: 6).
(10). ESTEVE PARDO, José (2025: 86).
(11). El significado de la autorregulación, como señala DE LA CUESTA RUTE, José María, se adquiere a partir de las normas reguladoras, esto es, el hard law. REAL PÉREZ, Alicia (2010: 32).
(12). El hecho de que la autorregulación permita la realización de tareas públicas por los sujetos privados podría plantear el oportuno debate acerca de, como apunta ÁLVAREZ GARCÍA, Vicente (1998: 347), si estas facultades no solo no aparecen expresamente admitidas en la Constitución, sino que están más bien excluidas.
(13). El hard law sigue siendo la base de las regulaciones jurídicas en la actualidad. La generación de normas generales y objetivas por los poderes públicos debe prevalecer sobre las pretensiones autorreguladoras de cada agente económico, grupo o sector, dado que su único interés consiste en dibujar un mundo ideal desde su propia perspectiva, pero inadmisible en su conjunto (ESTEVE PARDO, José (2002: 36)). Para un mayor estudio sobre la relación entre regulación y autorregulación y sus implicaciones, puede verse LAGUNA DE PAZ, Juan Carlos (2011).
(14). Existen diferentes clasificaciones de la autorregulación. GARCÍA RUBIO, María Paz (2012: 5 y 6), por ejemplo, analiza tres subcategorías de la autorregulación: pura o libre, sustitutiva o alternativa y condicionada. Asimismo, el Dictamen CESE destaca otras clasificaciones: original o delegada; de carácter legislativo, consuetudinario o jurisprudencial; y nacional o transnacional. Igualmente puede verse ESTEVE PARDO, José (2025: 87 y ss.), que analiza las siguientes vías o técnicas mediante las cuales la autorregulación se incorpora al ordenamiento jurídico: a) remisión –estática o dinámica– desde el ordenamiento público a normas de autorregulación privada; b) mandato público de autorregulación privada; c) fórmulas institucionales de recepción; d) la imposición de hecho de la norma única y la superación de la doctrina del dictamen pericial anticipado.
(15). Es el caso de la autorregulación en Internet y en el ciberespacio, donde fueron los propios actores quienes ante la ausencia inicial de regulaciones estatales, y debido a la necesidad de regular sus relaciones, establecieron acuerdos, códigos y mecanismos de autocontrol de sus actividades. Surgió así una nueva forma de gobernanza multipolar basada en la igual participación de todos los cibernautas. En BARRIO ANDRÉS, Moisés (2018: 64). La autorregulación digital se dirige fundamentalmente al control y gestión de riesgos. En este sentido, véase ESTEVE PARDO, José (2002).
(16). Al respecto, véase DE LA CUESTA RUTE, José María: “La autorregulación como regulación jurídica”, en REAL PÉREZ, Alicia (2010: págs. 31-54).
(17). Concepto desarrollado especialmente por autores como ESTEVE PARDO, J., o DARNACULLETA i GARDELLA, M.M. El primero de éstos define el concepto como la autorregulación privada que gana relevancia pública, por lo que los poderes públicos la encuadran y habilitan mediante una regulación pública. ESTEVE PARDO, José (2025: 86). Por su parte, DARNACULLETA i GARDELLA, Maria Mercè, señala que “es el Estado quien hace posible la autorregulación y fija las estructuras y los procesos de la misma para conseguir que mediante ella se consiga la satisfacción de fines públicos” (2003: 470) y distingue tres supuestos diferentes de autorregulación (2003: 567 y ss.): el fomento mediante técnicas diversas; la atribución de efectos jurídicos públicos; y la regulación del contexto mismo en el que se produce la autorregulación.
(18). En este último caso desaparece en cierto grado uno de los elementos clave de la autorregulación: el carácter voluntario. Así, señala GARCÍA RUBIO, María Paz (2012: 9), que “la mayor parte de los autores que han procedido al estudio de códigos de conducta consideran que sólo son verdaderos códigos los que sean de formación o adhesión voluntaria, de modo que no puede hablarse de autorregulación si viene impuesta por la ley”. No obstante, sí se considera que la voluntariedad existe cuando surgen como consecuencia de la presión ejercida por sindicatos, ONGs, consumidores, etc.
(19). La variedad de tipos de códigos existentes complica enormemente la determinación de la naturaleza jurídica de los códigos de conducta. Desde luego, esta diversidad de tipos impide un tratamiento único a la hora de fijar su naturaleza jurídica, su eventual carácter de fuente de derecho y su fuerza obligatoria. MARTÍNEZ-CARDÓS RUIZ, José Leandro (p. 4). Igualmente STEFANO RODOTÀ, en REAL PÉREZ, Alicia (2010: 22 y ss.).
(20). De todos, es probablemente el sector audiovisual, y dentro del mismo el ámbito publicitario, donde más éxito ha tenido la autorregulación. Véase para un mayor estudio la “Códigos de conducta y publicidad”, apartado desarrollado por DEL LIRIO MARTÍN GARCÍA, MASSAGUER FUENTES Y GÓMEZ CASTALLO en REAL PÉREZ, Alicia (2010).
(21). Tampoco el RIA los define. La única que lo hace es la Directiva 2005/29/CE relativa a las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores en el mercado interior.
(22). En este sentido, véase SORO RUSELL, Olivier (2010): “Veinte años de resoluciones judiciales de interés civil y mercantil en materia de códigos de conducta: una repercusión todavía muy limitada”, Indret: Revista para el Análisis del Derecho, nº. 2, 50 págs.
(23). El código de conducta es un acercamiento de la normativa general e imperativa a un ámbito específico. Representa una adaptación escrita de la norma a un determinado espacio y sigue un esquema similar a esta, contribuyendo a su correcta aplicación. SERRANO PÉREZ, María Mercedes (2021: 2385).
(24). Esta proactividad es ‘premiada’ por algunas normativas, como se irá viendo. Por ejemplo, en materia de protección de datos es un medio para demostrar el cumplimiento (artículos 5.2, 24.3 y 32.3 RGPD); proporciona garantías suficientes para realizar transferencias internacionales de datos (artículo 46.2.e RGPD); y puede ser una circunstancia atenuante en materia sancionadora (artículo 83.2.j RGPD).
(25). FERNÁNDEZ BAÑOS, Juan (2018: 57) y PRIETO HERGUETA, Julián (2021: 2368). Por su parte, ESTEVE PARDO diferencia las dos orientaciones o finalidades fundamentales de la autorregulación: por un lado, concretar las exigencias del ordenamiento jurídico; por otro lado, ir más allá de los mínimos legales (2002: 58).
(26). Generalmente, la principal parte interesada serán los actores económicos y la industria, pero no se impide que sujetos del sector público sean igualmente parte. Respecto a estos segundos puede consultarse CERRILLO i MARTÍNEZ, Agustí (2019) y JIMÉNEZ ASENSIO, Rafael (2017): Códigos de conducta en las Administraciones Públicas: algunas experiencias”. Cuadernos de derecho local, nº 43, págs. 160-199.
(27). La garantía, seguridad y confianza que se proponen los códigos deben basarse en su fuerza coactiva, es decir, que contemplen sanciones y medios coercitivos frente a incumplimientos. MALUQUER DE MOTES I BERNET, Carlos Juan (2003: 371).
(28). Muestra del carácter voluntario de los códigos es que, en ocasiones, como indica PRIETO HERGUETA, Julián (2021: 2364), determinadas organizaciones elaboran un código y lo convierten en obligatorio para todos sus integrantes. Ello lleva a la salida de la organización de las entidades que no quieren vincularse a las disposiciones del código.
(29). Se ha discutido mucho sobre la posibilidad de exigir o imponer la autorregulación bajo la amenaza de sanciones u otras coerciones. Sobre la cuestión, véase DARNACULLETA i GARDELLA, Maria Mercè: “Autorregulación, sanciones administrativas y sanciones disciplinarias”, en ARROYO JIMÉNEZ, Luis y NIETO MARTÍN, Adán (2008).
(30). Como se ha advertido por SERRANO PÉREZ, María Mercedes (2021: 2386), “pese a complementar el conjunto normativo, no por ello el código se convierte en una ley en sentido estricto... A diferencia de la generalidad de las leyes, el código nace y se mantiene como un documento sectorial, limitado en su cumplimiento y ejecución”. Igualmente, MARTÍNEZ-CARDÓS RUIZ, José Leandro, señala que cuando están instituidos unilateralmente, de manera que no son obligatorios ni legal ni convencionalmente, el ordenamiento jurídico no ofrece ningún instrumento cierto que permita verificar su control (p. 22).
(31). La fuerza de obligar de la autorregulación estriba en el consentimiento prestado por el autorregulado. La ley se limita a promoverlos y promocionarlos, no a imponerlos. ILLESCAS ORTIZ, Rafael (2003: 302).
(32). Autores como CERRILLO i MARTÍNEZ, Agustí apuntan que es también necesario disponer de canales para alertar de incumplimientos (2019: 173). Dichos canales pueden ser exclusivamente internos, a efectos de los adheridos y del organismo de control, pero también pueden impulsarse canales para otras partes interesadas o la sociedad en general. Ello acercaría el código a todo interesado, reforzando la transparencia y confianza en el mismo.
(33). De acuerdo con LÓPEZ JIMÉNEZ, David (2010: 133), “en la medida en que los códigos de conducta estén revestidos de fuerza coactiva podrán transmitir la garantía, seguridad y confianza que se proponen. Para ello, todo código de conducta debe contemplar un medio coercitivo en forma de sanción. Lo contrario sería considerarlo como una simple declaración de intenciones y, naturalmente, no tendría eficacia ni fuerza vinculante”.
(34). El Dictamen CESE señala que los códigos de conducta deben proporcionar información práctica y accesible sin dificultades ni costes disuasivos, y los objetivos deben formularse con claridad y sin ambigüedades. Lo habitual es publicar el código en el sitio web y medios de las entidades adheridas, lo cual es, además, una obligación legal (artículo 10.1.g) LSSICE).
(35). Las leyes y normas tienen un alcance limitado. La regulación no puede entrar a valorar todas las peculiaridades que puede tener un sector o actividad. Pretender una regulación total es absurdo: nos encontraríamos ante textos inabarcables por su longitud, una mayor probabilidad de contradicciones, etc. Por ello, como bien apunta ESTEVE PARDO, la tendencia en la actualidad es la creciente remisión pública a fórmulas de autorregulación (2002: 26) dada la imposibilidad de que el Derecho domine todos los espacios (2002: 169).
(36). Con ello se logra un nivel superior de protección respecto al previsto por la norma. De hecho, cuando los estándares son elevados y los operadores del sector los cumplen, estas normas pueden ser un punto de referencia útil para las autoridades y tribunales nacionales. PÉREZ BES, Francisco (2024: 86).
(37). Eso explica, tal y como advierte DE LA QUADRA-SALCEDO FERNÁNDEZ DEL CASTILLO, Tomás (en prensa), que en muchos de estos campos novedosos encontramos normas que tienen cuerpo de ley pero alma de soft law. Igualmente, STEFANO RODOTÀ indica que en circunstancias en las que el hard law se muestra inadecuado o imposible, el soft law intenta ocupar su lugar (REAL PÉREZ, Alicia (2010: 20)). De hecho, este mismo autor señala que hay “situaciones en las cuales los códigos borran la frontera entre hard y soft law, pudiendo decir que es menos soft y mas law (2010: 23). Así concluye respecto al ámbito de protección de datos: “estamos ante una nueva articulación del sistema de fuentes, donde los códigos devienen instrumento de integración del ordenamiento jurídico general, a cuyos principios ha de adaptarse esta nueva fuente de producción normativa. No estamos ya en la dimensión típica del soft law, pero tampoco podemos concluir que nos movamos en el área habitual del hard law” (2010: 27). A esta misma conclusión podemos llegar en materia de IA.
(38). Esta combinación entre regulación pública y autorregulación privada en el ámbito digital permite, en opinión de PIÑAR MAÑAS, José Luis (2018:19), “la adaptación de la regulación a la realidad del caso concreto, sin la rigidez de la heterorregulación sometida a rigurosos procesos de elaboración y aprobación de la norma; por otro para dar entrada a la participación responsable de los diferentes actores en la regulación del entorno en que operan”. En esta línea también se encuentra ESTEVE PARDO, José, quien advierte que “cuanto más espesa sea la complejidad más difícil será la penetración reguladora de las instancias públicas, y más habrá de confiarse en la autorregulación” (2002: 30).
(39). De hecho, autores como ILLESCAS ORTIZ, Rafael, han señalado que en la actualidad se hace autorregulación para evitar hacer regulación (2003: 301). Las dificultades y los errores en los que puede incidir la regulación dado el específico entorno variante en el que la norma ha de aplicarse (sobre todo al tratarse del ámbito digital) hace más aconsejable delegar facultades por el legislador en los propios operadores. También ESTEVE PARDO, José (2002: 38), apunta que el interés de los autorreguladores consiste en una “reacción defensiva y preventiva ante el endurecimiento de la regulación legal”, y justifica el auge de la autorregulación por: i) la creciente complejidad – científica y técnica, económica y ética– de la sociedad actual que limita los poderes normativos estatales; ii) la racionalización y perfeccionamiento de la autorregulación en el sector privado; iii) la expansión de espacios en los que imperan valores y principios éticos. ESTEVE PARDO, José (2025: 86 y 87). También DE LA CUESTA RUTE ha mencionado el uso de la autorregulación como medio de huida del derecho. REAL PÉREZ, Alicia (2010: 34).
(40). La autorregulación es, como apunta ESTEVE PARDO, José, una nueva <<prudentia civilis>>, una forma de controlar y moderar (en este caso los riesgos de la IA) que supone un reforzamiento de los poderes en manos de la sociedad (2002: 24). Ello es idóneo ya que se dirige a la “elaboración de una normativa más ajustada a los problemas cotidianos que esta trata de afrontar y con una eficacia previsiblemente mayor, dado que también suele serlo la adherencia de los destinatarios a las normas en cuya elaboración se les ha tenido en cuenta e involucrado activamente”. CASTILLA BAREA, Margarita (2024: 142).
(41). ENLACE (última visualización el 25 de mayo de 2025).
(42). De hecho, el control ejercido por los responsables de los códigos podría evitar tener que recurrir a acciones administrativas o judiciales, tal y como advierte el considerando 20 de la Directiva 2005/29/CE. Los códigos de conducta suelen preverse de mecanismos de resolución de controversias alternativos. Ejemplo de ello es el Código de Conducta para la resolución de controversias de protección de datos en el sector de las comunicaciones electrónicas, que establece un procedimiento de mediación. No obstante, la adhesión a un código y a sus métodos de resolución de conflictos nunca supondrá la renuncia a las acciones judiciales o administrativas.
(43). La limitación o incapacidad de la regulación pública es otro presupuesto de la autorregulación, como señala ESTEVE PARDO, José (2002: 52).
(44). LAGUNA DE PAZ, Juan Carlos, señala igualmente contras como la estimulación de la acción de los grupos de presión y la no-neutralidad de las intervenciones públicas –siempre favorecen a unos en detrimento de otros–, lo que es peligroso ya que las reglas, una vez establecidas, son difíciles de cambiar debido a la presión que ejercen sus beneficiarios (2011: 109).
(45). STEFANO RODOTÀ (En REAL PÉREZ, Alicia (2010: 24)). El autor apunta que la relación entre hard y soft law se ha manifestado como un conflicto entre Ley y autorregulación, entre autoridad y libertad. No obstante, en la actualidad el sistema jurídico ha adquirido una visión funcional, que mira más al resultado que se pretende alcanzar que a la forma de los instrumentos empleados. De ahí el auge de la autorregulación regulada.
(46). GARCÍA MEXÍA, Pablo (2024: 326).
(47). Esto se encuentra previsto, por ejemplo, en la LSSICE (disposición final octava).
(48). La Ley 3/1991, de 10 de enero, de Competencia Desleal ofrece vías y acciones para reclamar responsabilidades frente a códigos de conducta (artículo 38) y frente a las partes adheridas (artículo 39). Por su parte, la normativa en materia de protección prevé sanciones. Ambas posibilidades son interesantes a la hora de garantizar que las partes autorreguladas sean conscientes de las consecuencias que tiene el desviarse de la finalidad autorreguladora.
(49). Véase el apartado sobre el concepto y elementos fundamentales de los códigos de conducta.
(50). Podría darse el caso de que se prevean los códigos en una norma europea y sea la legislación nacional la que los desarrolla. Pero también es posible que sean las comunidades autónomas o regiones las que lo desarrollan. Este es el caso, por ejemplo, del Decreto 57/2023, de 12 de junio, por el que se establecen el procedimiento y condiciones de los códigos de conducta empresarial en materia de consumo y se regula la adhesión voluntaria de las empresas en Castilla-La Mancha.
(51). Concretamente en el entorno de innovación digital, la convivencia entre regulación y autorregulación se hace imprescindible, de manera que la regulación, que define los principios esenciales de la materia regulada y los elementos formales necesarios para la efectividad de lo regulado (por ejemplo reglas procesales o procedimentales), da paso a la autorregulación. PIÑAR MAÑAS, José Luis (2018: 19).
(52). LAGUNA DE PAZ, Juan Carlos (2011: 110).
(53). En este sentido, donde más prácticas falsas y engañosas se han producido ha sido en todo lo relacionado con el medioambiente (ecoimpostura o greenwashing). Para combatir esto, la UE ha aprobado recientemente un conjunto de normativas dirigidas a evitar estas prácticas sobre la base del Pacto Verde Europeo: Directiva (UE) 2024/825 sobre empoderamiento de los consumidores para la transición ecológica mediante una mejor protección contra las prácticas desleales y mediante una mejor información, Reglamento (UE) 2024/1781 sobre requisitos de diseño ecológico y Directiva (UE) 2024/1799 sobre reparación de bienes (además de otras propuestas). Sobre la cuestión, véase PRESICCE, Laura (2024): “El legislador europeo contra el greenwashing derivado de la comunicación comercial y la obsolescencia programada: la nueva directiva para empoderar a los consumidores y favorecer la transición ecológica”. Actualidad Jurídica Ambiental, nº. 147. Págs. 10-41.
(54). LÓPEZ JIMÉNEZ, David (2022: 1075). Da igual que los mecanismos de control sean internos o externos. Lo importante es garantizar el cumplimiento de las normas de conducta y que la labor de control se encargue a un organismo de control imparcial e independiente.
(55). La posibilidad de sancionar es, en cierto modo, baldía, ya que no existe una capacidad coercitiva como la que pueden tener los tribunales. Así, pese a imponer una sanción a un miembro del código, éste no está obligado a cumplir, quedando pocas opciones salvo la expulsión del código (entre otras medidas disciplinarias). De ahí el interés en que los códigos se sometan al control de los órganos jurisdiccionales y administrativos.
(56). En efecto, “la supervisión del cumplimiento de los códigos de conducta constituye un elemento clave de la autorregulación para evitar que sean percibidos como una mera declaración de intenciones sin fuerza de obligar y cuyo incumplimiento carece de consecuencia alguna”. PRIETO HERGUETA, Julián (2021: 2370.
(57). En este sentido, LAGUNA DE PAZ, Juan Carlos, asevera que en “la práctica, la autorregulación favorece que sean los intereses prevalentes —o grupos minoritarios cohesionados— los que impongan a todos las reglas (2011:110).
(58). Por esto razón, el sistema de autorregulación en el ámbito de la desinformación online se ha mostrado insuficiente debido al monopolio de las empresas tecnológicas y sus algoritmos sobre los procesos informativos y la creación de la opinión pública en Internet. En este sentido, véase CERNADA BADÍA, Rosa (2024): “Gobernanza digital europea y garantías frente al uso de sistemas de inteligencia artificial en el contexto informativo de las grandes plataformas: odres nuevos para vino nuevo”. El Reglamento de Servicios Digitales de la Unión Europea (DSA): nuevo enfoque regulatorio y garantías frente a los desórdenes informativos, Pamplona, Aranzadi, págs. 259-290.
(59). ESTEVE PARDO, José (2002: 39). Por ello es tan necesario que la regulación pública erija unas mínimas condiciones para la elaboración de códigos de conducta, entre las que se encuentra la legitimidad democrática, es decir, una igualdad de participación de todos los actores del código, y la participación de otras partes interesadas.
(60). Como señala DARNACULLETA i GARDELLA, Maria Mercè, el fomento y la confianza en la autorregulación regulada sólo tiene sentido si ésta se legitima por sí misma, lo que hace cuando demuestra su eficacia para la gestión de los riesgos que genera una determinada actividad. En ARROYO JIMÉNEZ, Luis y NIETO MARTÍN, Adán (2008: 145).
(61). Por su parte, NICOLÁS LUCAS, Asunción, señala que para que los códigos tengan un verdadero impacto deberán superar la diversidad de contextos existentes y lograr una implementación efectiva y un compromiso genuino respecto los mismos (2025: 575).
(62). De hecho, debe tenerse en cuenta que en materia de IA la autorregulación ya existía desde hace tiempo. Concretamente, la Resolución del Parlamento Europeo, de 16 de febrero de 2017, sobre normas de Derecho civil sobre robótica (2015/2103(INL)), desarrolló en uno de sus anexos un código de conducta ética para los ingenieros en robótica. No obstante, debe tenerse en cuenta que se trata de una valoración apriorística. Como apunta PONCE SOLÉ, Juli, “no hay un dilema entre regulación y autorregulación, sino que hay que estudiar en cada caso qué es lo que conviene al interés general y qué alternativa es la más conveniente” (2024: 109). En efecto, hay casos en los que la autorregulación ha revelado problemas o no ha funcionado correctamente. En Europa ha habido amargas experiencias con la autorregulación, como por ejemplo en el sector bancario. Tampoco funcionó, como ya se ha indicado, el Código de Prácticas de Desinformación, que sufrió importantes deficiencias en su aplicación completa y coherente.
(63). Punto 3.3 de la Propuesta de Reglamento del Parlamento Europeo y del Consejo: ENLACE (última visualización el 25 de mayo de 2025).
(64). Como bien apunta DE LA QUADRA-SALCEDO FERNÁNDEZ DEL CASTILLO, T., las numerosas referencias contenidas en el Reglamento sobre los códigos de conducta pone de manifiesto la conciencia de la dificultad de una regulación acabada y detallada que pueda dictarse de una vez para siempre, puesto que en un campo como el de la IA sujeto a grandes cambios e innovaciones se hace preciso estar siempre atentos a la evolución y modificación de la realidad sobre la que se quiere incidir. El RIA es una norma inacabada que sigue construyéndose, lo que se observa a partir de la indeterminación de la norma de muchos elementos decisivos que quedan remitidos a desarrollos ulteriores. Asimismo, anticipa su caducidad sobre muchas cuestiones. Todo ello, si bien dota de mayor flexibilidad a la regulación, afecta y se enfrenta con el rasgo de certeza propio del Derecho, y abre espacios de incertidumbre sobre los futuros desarrollos posteriores y aplicativos de la regulación, dando impresión de imprecisión de la regulación. Se abren espacios de discrecionalidad de difícil predeterminación y no fácil control que puede afectar al ajuste de la normativa en general. En BARRIO ANDRÉS, Moisés (2024: 39 y 44) y “El futuro de la Inteligencia Artificial desde la ética y los derechos fundamentales” (en prensa).
(65). Como se verá, quienes están mejor posicionados para la adopción de reglas y normas voluntarias son los proveedores de los sistemas de IA (es decir, los creadores), aunque también podrán elaborarse por los responsables del despliegue (aquellos que advierten cómo funcionan los sistemas en el seno de una organización y las incidencias que suscita su uso). En FUERTES LÓPEZ, Mercedes (2024: 139).
(66). Ello se debe a la preocupación del legislador por lograr una norma que fuese tecnológicamente neutra. No obstante, el texto normativo ha recibido críticas por el gran número de conceptos jurídicos indeterminados. Esto ya lo apuntaba GAMERO CASADO, Eduardo (2021: 281): “el principal problema que plantea es sin embargo su indeterminación: se articula mediante conceptos jurídicos indeterminados, que no disponen aún de pautas claras de interpretación en el marco de esta concreta actividad (sistemas de IA), lo que produce una inevitable sensación de incerteza, por no decir de ansiedad”.
(67). PIÑAR MAÑAS, José Luis (2018: 20). El mismo autor entiende que la autorregulación puede ser cauce adecuado para la regulación de la innovación tecnológica de acuerdo a principios generales válidos, con vocación de permanencia, que son desarrollados por normas autorregulaciones que permiten la adaptación al proceso innovador.
(68). The future of European competitiveness: ENLACE (última visualización el 25 de mayo de 2025).
(69). Con ello, Europa se alinea, en parte, con el resto del mundo, donde se ha impuesto el soft law para impulsar la innovación. Concretamente apunta GARCÍA MEXÍA, Pablo (2024: 326), que otros modelos regulatorios mundiales de la IA están evitando la regulación por un modelo de soft law en forma de códigos de seguimiento voluntario por parte de las empresas. Es el caso de EE.UU., por ejemplo. No obstante, sería un error asimilar el soft law europeo con el de otras regiones. Por ejemplo, el soft law norteamericano se caracteriza por el laissez-faire de las partes para autoobligarse, mientras que en Europa se delimita dentro de un marco normativo (autorregulación regulada). Con ello se encauza la autorregulación para que responda a los mismos fines y objetivos de la norma. Por otro lado, en otros países el soft law es prácticamente inexistente debido al peso del hard law (China). Puede verse una comparativa de las potencias tecnológicas mencionadas frente a la UE en LASSALLE, José María (2024): Civilización Artificial, Barcelona, Arpa Editores. 192 págs.
(70). Se sigue de esta forma el modelo del RGPD. Y es que debe partirse de la consideración de que la ética, la legislación y la autorregulación no son suficientemente capaces por sí solas para resolver los problemas y retos que plantea la gobernanza de la IA. BELLOSO MARTÍN, Nuria (2024: 71).
(71). La ética se ha tenido enormemente en cuenta en numerosos documentos, tanto de carácter normativo, como declarativo, sobre IA. Sobre este tema existen aportaciones de un gran número de autores. Por ejemplo, COTINO HUESO, Lorenzo, analiza la ética de la IA como una fuente complementaria y convergente para con la regulación y la autorregulación que puede tener un importante efecto preventivo 2019: 40). En este sentido, los códigos de conducta pueden suponer en todos los ámbitos, pero sobre todo en la IA, mecanismos de alerta y vigilancia. NICOLÁS LUCAS, Asunción (2025: 541). No cabe duda, en definitiva, que la línea que separa la ética del derecho es muy delgada (CERRILLO i MARTÍNEZ, Agustí (2019: 179)), y más aún, si cabe, de la autorregulación.
(72). PÉREZ BES, Francisco (2024: 87).
(73). Al respecto, señala CASTILLA BAREA, Margarita (2024: 193): “no hay identidad de razón que justifique su tratamiento conjunto y aislado en un capítulo específico dedicado a ello, su nexo de unión quizá pueda hallarse en el hecho de que unos y otras se incardinan en el ámbito del soft law y persiguen, desde postulados y métodos diversos de elaboración, acercar las normas a sus más directos destinatarios, facilitándoles su cumplimiento”.
(74). El ejemplo paradigmático y la razón fundamental por la que se incluyó la regulación de estos modelos de IA es ChatGPT, si bien han ido saliendo al mercado otros modelos de IA generativa que reforzaron la necesidad de disponer una referencia normativa sobre los mismos.
(75). Considerando 117: Los proveedores deben poder basarse en códigos de buenas prácticas para demostrar el cumplimiento de las obligaciones. Ello, de acuerdo con MUÑOZ GARCÍA, Carmen, supone una paradoja, dado que estos códigos son una regulación supletoria que posiblemente se convierta en el mejor instrumento para llevar a efecto el cumplimiento de las obligaciones impuestas. En BARRIO ANDRÉS, Moisés (2024: 593).
(76). De manera resumida: los participantes informarán periódicamente a la Oficina de IA; la Oficina de IA y el Consejo de IA supervisarán y evaluarán periódicamente la consecución de los objetivos de los códigos y publicarán su evaluación; la Comisión podrá aprobar códigos de buenas prácticas y conferirle una validez general dentro de la Unión; la Oficina de IA también fomentará y facilitará la revisión y la adaptación de los códigos de buenas prácticas; se determinan fechas límite para impulsar su eficacia.
(77). Es decir, los sistemas de bajo o nulo riesgo. RAZQUIN LIZARRAGA, Martín (2024: 184). Estos sistemas representan el 90% de los sistemas de IA (ENLACE, última visualización el 25 de mayo de 2025). En este sentido, destacó una propuesta de enmienda al RIA en la que se definían unos principios generales aplicables a todos los sistemas de IA (por su parte, el Convenio de IA del Consejo de Europa, de 17 de mayo de 2024, sí ha recogido estos principios, aunque con cierta laxitud). Con lo anterior se pretendía seguir el esquema del Reglamento General de Protección de Datos, el cual regula sus principios esenciales en el artículo 5. En COTINO HUESO, Lorenzo y SIMÓN CASTELLANO, Pere (2024: 783).
(78). Esta es una crítica general que aqueja al RIA. No es una norma sencilla, y se complica todavía más debido a traducciones que son mejorables y a simples defectos de técnica legislativa.
(79). A nivel nacional podría encargarse de esta labor la AESIA. No obstante, debe señalarse que no queda del todo claro, ya que el Real Decreto 729/2023, de 22 de agosto, por el que se aprueba su estatuto no señala nada respecto de los códigos de conducta. Es la Estrategia Nacional de IA de 2024 la que apunta que la AESIA “contribuirá de manera activa a la creación de códigos de conducta y de buenas prácticas que se negocien a nivel nacional y europeo, y que sirvan para avanzar en el cumplimiento de las obligaciones de transparencia tanto de los sistemas de IA que no sean de alto riesgo como de los modelos de IA de propósito general”. Por su parte, el Anteproyecto de Ley para el bueno uso y gobernanza de la Inteligencia Artificial tampoco menciona nada acerca de los códigos de conducta.
(80). El resto de normas tampoco son muy explícitas al abordar las formas o posibilidades de fomento de los códigos de conducta. En cualquier caso, el fomento y facilitación de los códigos de conducta deben conllevar actuaciones activas, prácticas y verdaderamente eficaces. Este aspecto se desarrolla algo más por la LSSICE al exigir el impulso de los códigos “a través de la coordinación y el asesoramiento”.
(81). Siguiendo la línea de otras normativas, cuando el código revista carácter estrictamente nacional su aprobación pasará por la autoridad nacional competente, pero si afecta a dos o más países entonces el código adquirirá un carácter comunitario y será aprobado por la Oficina de IA.
(82). Ya se ha indicado que la autorregulación –y dentro de ella, los códigos de conducta– se produce fundamentalmente en la órbita privada, a extramuros del Estado y los poderes públicos (ESTEVE PARDO, José (2002: 103)). Por ello es elemental que la autorregulación que tenga efectos públicos, y por tanto vaya a servir a los intereses generales, se racionalice y objetivice, lo que debe garantizarse por los poderes públicos (ESTEVE PARDO, José (2002: 172 y 173)). Igualmente el hecho de que la autorregulación vaya a tener efectos públicos requiere que cumpla unas determinadas exigencias y se garantice la satisfacción de ciertos presupuestos (ARROYO JIMÉNEZ, Luis y NIETO MARTÍN, Adán (2008: 31 y ss.). Una forma de garantizar esto es, justamente, a través del control de la aprobación de los códigos de conducta.
(83). A lo largo del texto normativo se observan apelaciones a la Comisión para que desarrolle y facilite la comprensión del RIA. Ello demuestra que el legislador europeo es consciente de que la complejidad de la norma puede dificultar su correcto cumplimiento por parte de sus destinatarios y de los beneficios que conlleva lograr un nivel adecuado de homogeneización de dicha ejecución práctica en todo el territorio de la Unión. CASTILLA BAREA, Margarita (2024: 192). A partir de estas potestades y facultades de la Comisión y del Consejo de IA se desprende que el RIA es una obra pendiente de desarrollo, tal y como acertadamente indica FERNÁNDEZ HERNÁNDEZ, Carlos (2025: 71).
(84). Una de las materias que se señala es sobre la aplicación de los requisitos y obligaciones a que se refieren los artículos 8 a 15, lo cual, como se verá, será interesante para los códigos de conducta. En tales directrices, sería conveniente tener en cuenta su influencia sobre los códigos de conducta.
(85). De hecho, esta cuestión se valoró. En una de las enmiendas propuestas al RIA se introducían más criterios para valorar la cuantía de la multa (la mayoría ya previstos en el RGPD). Entre ellos estaba la adhesión a códigos de conducta o a mecanismos de certificación aprobados. COTINO HUESO, Lorenzo y SIMÓN CASTELLANO, Pere (2024: 886).
(86). Podría incluso diferenciarse entre infracciones que acogen esta posibilidad (por su naturaleza o leve gravedad) y otras que no admitan la adhesión a un código como circunstancia atenuante o eximidora.
(87). Artículo 83.2.j) RGPD. La adhesión a códigos de conducta puede ser tanto una circunstancia atenuante o sustitutiva de una sanción, como una circunstancia agravante. Sobre esta cuestión, véase GONZÁLEZ ESPADAS, Francisco Javier (2021): “Condiciones generales para la imposición de multas administrativas y sanciones y medidas correctivas (comentario al artículo 83 RGPD y al artículo 76 LOPDGDD”). Comentario al Reglamento General de Protección de Datos y a la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, Pamplona, Aranzadi, Tomo II, págs. 3239 a 3270. También el artículo 40 LSSICE determina la graduación de las sanciones cuando exista una adhesión a un código de conducta que cumpla con el artículo 18 de la norma, con el requisito extra de que haya sido informado favorablemente por el órgano u órganos competentes.
(88). Sin embargo, y por el momento, el Anteproyecto de Ley para el bueno uso y gobernanza de la Inteligencia Artificial no tiene en cuenta la autorregulación entre los criterios de graduación que desarrolla.
(89). ENLACE (última visualización el 25 de mayo de 2025).
(90). ENLACE (última visualización el 25 de mayo de 2025).
(91). Artículo 23.4. No obstante, no define que se entenderá por ‘calidad de los algoritmos’, solamente que “se promoverá un sello”. En cualquier caso, los apartados predecesores mencionan cuestiones que podrían configurar la “calidad” de los algoritmos: transparencia en el diseño y en la toma de decisiones de los sistemas de IA; minimización de sesgos; promoción de una IA ética, confiable y respetuosa con los derechos fundamentales.
(92). Sobre las iniciativas y herramientas actuales en sellos y certificaciones en materia de IA, véase “Códigos de conducta, sellos o certificaciones para los sistemas de inteligencia artificial que no son de alto riesgo (artículo 95 del Reglamento)”, en COTINO HUESO, Lorenzo y SIMÓN CASTELLANO, Pere (2024:779-792).
(93). ENLACE (última visualización el 25 de mayo de 2025).
(94). Tal y como sucede en el ámbito de protección de datos personales, como señala PRIETO HERGUETA, Julián (2021: 2376).
(95). De hecho, en el ámbito de datos personales, las Directrices sobre la aplicación y la fijación de multas administrativas a efectos del Reglamento 2016/679 del Grupo de Trabajo del Artículo 29 (WP 253, de 3 de octubre de 2017) señalan lo siguiente: “El incumplimiento de las medidas de autorregulación también podría revelar la negligencia o la conducta intencionada del responsable o el encargado del tratamiento”. Por ello, “en caso de violación de una de las disposiciones del Reglamento, la adhesión a un código de conducta aprobado podría indicar lo importante que es intervenir con una multa administrativa efectiva, proporcionada y disuasoria u otra medida correctiva de la autoridad de control” aunque las directrices señalan por otro lado que “la autoridad de control podría darse por satisfecha” y no imponer sanción cuando las medidas previstas en el código de conducta “son lo suficientemente efectivas, proporcionadas y disuasorias en ese caso concreto sin necesidad de imponer medidas complementaria”.
(96). “No se concibe una eficaz autorregulación privada sin el contrabalance que, como incentivadora o receptora de aquella, tiene la autorregulación pública”. Por ello es tan necesario contar con un marco regulatorio –autorregulación regulada– para la autorregulación que procede de la órbita privada pero que tiene efectos públicos (ESTEVE PARDO, José (2002: 39)). LAGUNA DE PAZ, Juan Carlos (2011:110), comparte esta opinión de que “los operadores no suelen estar incentivados para proceder a la autonormación. Con frecuencia, es la amenaza de una regulación estatal lo que lleva a la industria a alcanzar algunas cotas de autorregulación”.
(97). Persona física o jurídica, autoridad pública, órgano u organismo que desarrolle un sistema de IA o un modelo de IA de uso general o para el que se desarrolle un sistema de IA o un modelo de IA de uso general y lo introduzca en el mercado o ponga en servicio el sistema de IA con su propio nombre o marca, previo pago o gratuitamente.
(98). Persona física o jurídica, o autoridad pública, órgano u organismo que utilice un sistema de IA bajo su propia autoridad, salvo cuando su uso se enmarque en una actividad personal de carácter no profesional.
(99). Los proveedores de sistemas de IA son, como regla general, actores económicos y otros sujetos de naturaleza privada. Pero los responsables pueden ser tanto entidades privadas como públicas. Por ello, debe fomentarse y facilitarse igualmente la elaboración de códigos de conducta por la Administración Pública y el sector público en general. Sobre todo porque “la ética administrativa es necesaria”, y “muchos países dan cada vez más importancia a la ética para ayudar y orientar a los empleados públicos a tomar las mejores decisiones posibles” (PONCE SOLÉ, Juli (2024: 111)). Para ello, la existencia de una infraestructura ética es esencial, siendo los códigos de conducta un elemento clave.
(100). Por ejemplo, respecto a los sistemas biométricos: ¿podríamos decir que la finalidad es la misma entre identificar y autenticar a una persona? ¿Y podrían unirse en un mismo código a los sistemas de identificación biométrica remota (sistema de alto riesgo) y a los sistemas de IA con fines de verificación biométrica (sistema de bajo riesgo)?
(101). La llamada a participar en el proceso de desarrollo y concreción del Reglamento por la sociedad en sus distintas manifestaciones y componentes (las propias empresas de IA, expertos independientes...) es uno de los rasgos característicos de la legislación de acuerdo con DE LA QUADRA-SALCEDO FERNÁNDEZ DEL CASTILLO (BARRIO ANDRÉS, Moisés (2024: 23)). En efecto, el legislador europeo ha querido dar voz e involucrar en la tarea regulatoria a múltiples partes interesadas, particularmente, a aquellos sectores de la industria y la tecnología más directamente relacionados con el desarrollo y la generalización del uso de la inteligencia artificial en sus más amplios sentidos (CASTILLA BAREA, Margarita (2024: 191)).
(102). Igualmente afirma COTINO HUESO al señalar que será importante fomentar la colaboración entre gobiernos, organizaciones privadas y la sociedad civil para asegurar que los sistemas de IA se desarrollen y desplieguen para hacer más efectiva la IA responsable y ética por la que apuesta la UE en su RIA. En COTINO HUESO, Lorenzo y SIMÓN CASTELLANO, Pere (2024: 792)).
(103). Debe destacarse el importante papel presente y futuro que van a tener estas organizaciones, que se encargarán de definir todos los detalles y cuestiones técnicas mediante normas armonizadas. Sobre esta cuestión, véase ÁLVAREZ GARCÍA, Vicente y TAHIRÍ MORENO, Jesús (2023): “La regulación de la inteligencia artificial en Europa a través de la técnica armonizadora del nuevo enfoque”. Revista General de Derecho Administrativo, nº 63.
(104). El Pacto de IA mencionado anteriormente está abierto, al menos en su primer pilar, a todas las partes interesadas.
(105). Un análisis crítico constructivo de la Propuesta de Reglamento de la Unión Europea por el que se establecen normas armonizadas sobre la Inteligencia Artificial. Diario La Ley. 2 de julio de 2021. ENLACE (última visualización el 25 de mayo de 2025).
(106). En efecto, la línea general es promover estos instrumentos a todas las partes interesadas sin distinción. A modo de ejemplo, en el ámbito de protección de datos no se prevén distintos códigos de conducta a responsables o encargados en función de su papel en el tratamiento, de acuerdo con los riesgos que hacen frente o según la especialidad de los datos que traten.
(107). Tanto los sistemas con riesgo de transparencia como los sistemas de uso general cuentan con sus propias obligaciones enmarcadas en el Capítulo V del RIA. Asimismo, para garantizar su cumplimiento e incluso desarrollarlas, se fomentan los códigos de buenas prácticas. No obstante, los códigos de conducta que se están analizando tienen como objetivo la aplicación de otros requisitos distintos a las obligaciones de estos sistemas de IA. Nada impide a que estos sistemas elaboren códigos de conducta, ni se rechaza que puedan coexistir códigos de buenas prácticas con códigos de conducta, ya que cada uno tiene sus objetivos y sus implicaciones concretas. Debería valorarse que ambos códigos no solo no son excluyentes, sino que pueden ser incluso complementarios.
(108). Asimismo, debe tenerse en consideración la red de seguridad que ofrece el Reglamento (UE) 2023/988 relativo a la seguridad general de los productos.
(109). Libro Blanco sobre inteligencia artificial - un enfoque europeo orientado a la excelencia y la confianza (19 de febrero de 2020).
(110). Una vez más, se conecta la ética con la autorregulación. En COTINO HUESO, Lorenzo y SIMÓN CASTELLANO, Pere (2024: 780).
(111). Así lo señala el considerando 165.
(112). Tal y como señala MUÑOZ FERRANDIS, Carlos, “los correspondientes mecanismos de gobernanza” se refieren a todas las herramientas destinadas a implementar el contenido del código de conducta en la práctica, si bien el RIA no los define. En BARRIO ANDRÉS, Moisés (2024a: 821).
(113). Ambos documentos se citan expresamente por el RIA en sus considerandos 89 y 165, pero no los define ni especifica su tratamiento. A lo sumo se indica que “se debe animar a los desarrolladores de herramientas, servicios, procesos o componentes de IA libres y de código abierto que no sean modelos de IA de uso general a que apliquen prácticas de documentación ampliamente adoptadas, como tarjetas de modelo y hojas de datos, como una forma de acelerar el intercambio de información a lo largo de la cadena de valor de la IA, permitiendo la promoción en la Unión de sistemas de IA fiables”. Muestro a continuación las definiciones que FERNÁNDEZ HERNÁNDEZ, Carlos (2025: 303):
- Las tarjetas modelo (model cards) son un concepto desarrollado por Google en 2018. Se trata de unos documentos breves que acompañan a los modelos de aprendizaje automático y que proporcionan una evaluación comparativa del modelo en diversas condiciones de uso, como diferentes grupos culturales, demográficos o fenotípicos que son relevantes para los dominios de aplicación previstos. Estas tarjetas también informan sobre el contexto en el que se pretende utilizarlos, los detalles de los procedimientos de evaluación del rendimiento y otra información pertinente.
- Las hojas de datos, fichas técnicas o fichas de características (data sheet) son unos documentos que resume el funcionamiento y otras características de un componente técnico, con el suficiente detalle para ser utilizado por un ingeniero de diseño y diseñar el componente en un sistema.
(114). Hago referencia a esto porque es más que probable que se publiquen distintos trabajos y documentos dirigidos a facilitar la aplicación de los requisitos de los sistemas de alto riesgo. No deben centrarse exclusivamente en la perspectiva de estos sistemas, sino que deben tener en cuenta las necesidades y peculiaridades de otros sistemas que, a través de códigos de conducta, puedan llegar a aplicarse tales requisitos.
(115). Los objetivos del RIA son: mejorar el funcionamiento del mercado interior; garantizar una IA segura, fiable y centrada en el ser humano; respeto de los derechos y libertades fundamentales; protección de valores como la democracia, el Estado de Derecho y el medioambiente, etc.
(116). CASTILLA BAREA, Margarita (2024: 194).
(117). Así sucede también, en mayor o menor medida, en otros sectores. Se ofrecen cuestiones que, conforme a la normativa, sería interesante su autorregulación –lo que facilita a su vez la labor autonormativa de las partes interesadas–, pero sin limitar otros posibles temas. Como se ha visto en el estudio preliminar sobre los códigos de conducta, podrían incluso advertirse sobre cuestiones que no pueden someterse a la autorregulación. El RIA no lo hace, o al menos no lo hace explícitamente.
(118). La investigación ha dado lugar a numerosos documentos y proyectos sobre IA y ética. Un ejemplo es el proyecto AI4People, que ha llegado a contabilizar 47 hasta principios éticos proclamados internacionalmente. También pueden verse los Principios Asilomar, de la organización Future of Life y muchas otras propuestas que estudia HERNÁNDEZ PEÑA, Juan Carlos (2021).
(119). Es por ello tan conveniente la participación en los códigos de conducta de las posibles partes interesadas. Garantizando su participación y aplicando sus recomendaciones se protegerán y reforzarán en mayor medida y de mejor forma los derechos de todos los colectivos.
(120). Podría plantearse la duda sobre si es posible agrupar materias excluidas por el RIA (artículo 2). Sería el caso, por ejemplo, de códigos que autorregulen cuestiones sobre, por ejemplo, IA con fines militares, de defensa o de seguridad nacional, o actividades de investigación, prueba o desarrollo. En mi opinión, sería posible dentro del marco del principio de autonomía y de libertad de las partes, pero no pertenecerían ya a la categoría de la autorregulación regulada.
(121). Por otro lado, los códigos de conducta pueden ser algo limitados, tal y como señala DE LA QUADRA-SALCEDO FERNÁNDEZ DEL CASTILLO, Tomás (2025:646), respecto a otras cuestiones o valores importantes, como la afección al mercado, la competencia o la democracia.
(122). Ambos son aspectos que el RIA prevé y exhorta respetar, pero sin disposiciones al respecto. Asimismo, debe recordarse que, tras haberse pausado su tramitación con las elecciones parlamentarias europeas, la propuesta Directiva en materia de responsabilidad civil de IA se ha retirado oficialmente. Por ello es lógico que, como indica HUERGO LORA, Alejandro (2025:65), “las grandes empresas tecnológicas han adoptado criterios de autorregulación similares a las exigencias que establece el Reglamento de Inteligencia Artifi cial precisamente para evitar asumir responsabilidades por daños".
(123). El RGPD dedica un artículo a la supervisión de los códigos de conducta aprobados y prevé la figura de los organismos de control de los códigos (“organismo que tenga el nivel adecuado de pericia en relación con el objeto del código y que haya sido acreditado para tal fin por la autoridad de control competente”) mientras que el RIA no contiene alusión alguna acerca de organismos de control, ni siquiera sobre la aprobación de los códigos. Véase al respecto CAZURRO BARAHONA, Víctor: “La supervisión de los códigos de conducta (Comentario al artículo 41 RGPD)”. Comentario al Reglamento General de Protección de Datos y a la Ley Orgánica de Protección de Datos personales y Garantía de los Derechos Digitales, Pamplona, Aranzadi, 2021, Tomo 1, págs. 2409-2420.
(124). Para ello, la Comisión podrá solicitar cualquier información al Consejo de IA, a los Estados miembros y a las autoridades nacionales competentes, que deberán facilitarla sin demora indebida (artículo 112.8), y tendrá en cuenta las posiciones y conclusiones del Consejo de IA, el Parlamento Europeo, el Consejo y los demás organismos o fuentes pertinentes (artículo 112.9).
(125). “Por último, a más tardar el 2 de agosto de 2028 y posteriormente cada tres años, la Comisión debe evaluar la repercusión y la eficacia de los códigos de conducta voluntarios para fomentar la aplicación de los requisitos establecidos para los sistemas de IA de alto riesgo a los sistemas de IA que no sean sistemas de IA de alto riesgo y, posiblemente, otros requisitos adicionales para dichos sistemas de IA”.
(126). Este peligro sí se ha intentado solventar por otras normativas previsoras de códigos de conducta al fijar mayores pautas de control no solo de los códigos, sino también de los propios organismos de control. En este sentido, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, considera infracción grave la falta de adopción por parte de los organismos acreditados de supervisión de un código de conducta de las medidas que resulten oportunas en caso que se hubiera producido una infracción del código, conforme exige el artículo 41.4 RGPD (artículo 73).
(127). ESTEVE PARDO señala al respecto que “el marco público de la autorregulación no ha de ser rígido y cerrado, dado que si así fuera perdería su autonomía y su capacidad auotorreguladora” (2002: 180). En consecuencia, la intensidad de la regulación pública de la autorregulación debe ser proporcional a los efectos públicos de esta: cuanto más exigentes sean las condiciones, mayor reconocimiento público de la autorregulación debe haber (2002: 181). Sobre los efectos públicos de la autorregulación, véase este mismo autor.
Comentarios
Noticia aún sin comentar.
Escribir un comentario
Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su nombre de usuario y contraseña:
Si desea registrase en la Administración al Día y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en La Administración al Día.
- El INAP no es responsable de los comentarios escritos por los usuarios.
- No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
- Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.
Últimos estudios
Códigos de conducta en el Reglamento Europeo de Inteligencia Artificial
Bienestar animal y entes locales ante el reto de la ineficacia legal y presupuestaria
La diligencia que emite VioGén como acto administrativo: naturaleza jurídica y consecuencias prácticas
Conexión al Diario
Publicaciones
Lo más leÃdo:
- INAP: Abierta la primera convocatoria de 2026 del Programa de Aprendizaje Directivo
- Estudios y Comentarios: Códigos de conducta en el Reglamento Europeo de Inteligencia Artificial
- INAP: ¿Quieres impulsar tu formación profesional en 2026?
- INAP: “Las actuaciones administrativas automatizadas y los sistemas de inteligencia artificial en las Administraciones públicas”, de Amparo Mora Martí
- Actualidad: La Junta pagará de aquí a enero el 2,5% de incremento salarial de 2025 más el 1,5% de 2026 cumpliendo su compromiso con los empleados públicos
- Tribunal Supremo: Procede la derivación de responsabilidad subsidiaria a los administradores de una sociedad a la que se concedió una subvención, y que cesaron antes del vencimiento del plazo para exigir el cumplimiento de los requisitos de la subvención
- Actualidad: El Gobierno da un nuevo impulso a ALIA poniendo a disposición del ecosistema español de IA el modelo 40B Instruido
- INAP: Ya puedes consultar el boletín Especial Navidad n.º 17 de la Comunidad de Formación de INAP Social
- Actualidad: El Gobierno publica una consulta pública sobre el proceso de apagado de las tecnologías 2G y 3G en España
- INAP: Clausura del curso selectivo de la Escala Técnica de Gestión de Organismos Autónomos
Atención al usuario: publicacionesinap.es
© INAP-2025
