La AEPD recuerda que ya puede actuar ante sistemas de IA prohibidos que traten datos personales, con independencia de la entrada en vigor del Reglamento de IA
Inteligencia Artificial
Reino de España
La Agencia Española de Protección de Datos (AEPD) ha realizado un análisis sobre el alcance y las competencias de esta autoridad en aplicación del artículo 5 del Reglamento 2024/1689 de Inteligencia Artificial (RIA). Tal y como prevé esta normativa en su artículo 113, a partir del 2 de agosto de 2025 entran en vigor una serie de apartados, entre los que se encuentra el régimen supervisor y sancionador aplicable al artículo 5, relativo a los sistemas de inteligencia artificial prohibidos. Entre estos sistemas, se encuentran los de identificación biométrica remota en tiempo real en espacios públicos.
En este sentido, cabe recordar que todavía no se ha aprobado el anteproyecto de ley de IA española, cuya versión actual prevé que la AEPD asuma funciones como autoridad de vigilancia del mercado en aquellos ámbitos donde el Reglamento exige independencia funcional, como ocurre con ciertas categorías de sistemas prohibidos. En ausencia de base legal nacional, la AEPD no tiene aún atribuida formalmente la condición de autoridad de vigilancia del mercado a efectos del RIA.
No obstante, es importante destacar que la AEPD no ve alterada su condición de autoridad competente en materia de protección de datos personales, lo que incluye, bajo sus labores de supervisión y control, a aquellos tratamientos realizados mediante inteligencia artificial. Por tanto, aunque no se trate de una aplicación directa del Reglamento de IA, la AEPD puede supervisar y actuar frente a tratamientos de datos personales realizados mediante sistemas prohibidos, en la medida que afecten al derecho a la protección de datos.