Buenos día. por favor, ¿dónde se encuentra ubicado el anteproyecto de Ley? No está accesible para los ciudadanos y estamos en periodo de consulta pública. Por favor, pónganlo en la página o indiquen desde esta dónde está. Gracias

Buenos días. ¿Sería posible compartir un borrador de los puntos principales que busca abordar el proyecto de ley, de cara a una mayor utilidad de los comentarios, y si el alcance la misma está previsto que incluya los sistemas agénticos de IA?. Gracias

Por favor, me pueden enviar el anteproyecto al correo electrónico facilitado. Tengo interés a efecto de investigación científica.

Aportaciones de AMETIC a la consulta pública previa Ley de Administración Digital e Inteligencia Artificial

Desde AMETIC queremos expresar nuestro más sincero agradecimiento a la Comunidad de Madrid por su implicación en la consulta pública previa de la futura Ley de Administración Digital e Inteligencia Artificial. Valoramos especialmente la oportunidad de colaborar en la definición de un marco normativo que impulse la innovación, la eficiencia y la transparencia en la gestión pública, y que siente las bases para una transformación digital sólida y responsable. Con este espíritu constructivo, consideramos fundamental que la Ley contemple medidas que faciliten la relación entre empresas y Administración, reduciendo cargas y mejorando la competitividad.
En este sentido, proponemos impulsar un modelo unificado de relación digital en el ámbito de la contratación pública, basado en un único punto de interacción y en servicios digitales interoperables. Este enfoque evitaría que las empresas tengan que acceder a múltiples portales y realizar procesos manuales, lo que actualmente genera ineficiencias y costes innecesarios. Asimismo, creemos que la Ley debe contemplar un modelo de relación digital única para las compras públicas, que permita a las empresas gestionar homologación, contratación y facturación directamente desde sus propios sistemas, sin necesidad de pasar por plataformas fragmentadas. Esta medida no solo reduciría cargas administrativas, sino que también contribuiría a mejorar la eficiencia tanto en la gestión pública como en la actividad empresarial, reforzando la competitividad y la transparencia.

 
Problemas que se pretende solucionar
El Anteproyecto busca lograr una Administración plenamente digital, caracterizada por servicios universales, seguros y accesibles, y afrontar el desafío de aplicar de forma confiable tecnologías emergentes como la Inteligencia Artificial (IA)
Problema Identificado en la Ley Propuesta de Aportación
Garantizar la confiabilidad y ética en la aplicación de tecnologías emergentes como la IA. Establecer un Comité Ético de IA (CEIA). Se propone la creación de un órgano colegiado (CEIA) interdisciplinar para emitir dictámenes previos sobre la ética y los sesgos de los sistemas de IA de alto riesgo, asegurando la rendición de cuentas y la transparencia en el diseño y despliegue algorítmico.
Asegurar las garantías jurídicas y los altos niveles de seguridad y privacidad para las personas. Auditoría de Sesgos y Transparencia Reforzada. Exigir auditorías periódicas e independientes para mitigar sesgos algorítmicos. Además, debe establecer el derecho a la explicabilidad (XAI) obligatoria para cualquier decisión administrativa automatizada que afecte derechos.
Evitar que la Administración se quede rezagada en los retos que plantean las nuevas tecnologías. Desarrollar un Marco de Gobernanza GRC (Gobernanza, Riesgo y Cumplimiento) específico para IA, alineado con el futuro Reglamento Europeo de IA (RIA). Esto profesionaliza el uso de la tecnología y garantiza el control continuo del riesgo.
Fragmentación de canales y plataformas digitales para la contratación pública, generando duplicidades y procesos manuales. Impulsar un modelo unificado de relación digital entre empresas y Administración, basado en un punto único de interacción y servicios interoperables. Este modelo permitiría integrar homologación, contratación y facturación con los sistemas internos de las empresas mediante APIs seguras, reduciendo cargas administrativas y mejorando la eficiencia.
Elevadas cargas administrativas por repetición de documentación y falta de automatización. Avanzar en la aplicación del principio de “solo una vez”, creando un sistema interoperable que elimine duplicidades y permita reutilizar datos ya registrados. Integrar portales con sistemas internos mediante APIs abiertas, reduciendo costes y tiempos de tramitación.
Dificultades para la participación de pymes por complejidad operativa y falta de integración tecnológica. Facilitar la participación de pymes mediante la simplificación operativa, la homogeneidad de requisitos técnicos y la integración con sus sistemas internos. Incorporar interfaces estandarizadas y APIs abiertas para automatizar procesos y reducir barreras.

Falta de trazabilidad y datos estructurados para análisis y auditoría. Establecer un modelo basado en datos estructurados y trazabilidad completa, con formatos interoperables y mecanismos de registro digital seguro. Garantizar la disponibilidad de información en tiempo real para auditoría y mejora continua.

Necesidad y oportunidad de la norma
La norma es necesaria para desarrollar la legislación básica estatal y regular el régimen jurídico del uso de la IA en la Administración Pública de la Comunidad de Madrid

Necesidad /oportunidad identificada Propuesta de Aportación
Desarrollo del RIA y el fomento de la IA en el sector público y privado. Crear un Registro Público de Algoritmos y Metadatos, que centralice los sistemas de IA utilizados por la Administración. Esta medida fomentará la transparencia y servirá como catálogo de buenas prácticas para el sector privado.
Crear un marco normativo que permita a Madrid liderar en España y posicionarse en Europa. Incentivar la Certificación Ética y RIA, incluyendo líneas de apoyo económico y beneficios fiscales para empresas madrileñas que cumplan estándares normativos y éticos en IA, posicionando a Madrid como un ecosistema seguro para la innovación.
Establecer una relación más dinámica y personalizada entre la Administración y la ciudadanía. Introducir la Supervisión Humana Obligatoria (Human-in-the-Loop) en decisiones administrativas de alto riesgo tomadas por IA, garantizando la revisión por personal experto y el respeto a los derechos fundamentales.
Incorporar un modelo unificado de relación digital proveedor-Administración que simplifique procesos y mejore la eficiencia pública. Establecer un punto único de interacción digital, con servicios interoperables y APIs seguras, que permita integrar homologación, contratación y facturación desde los sistemas internos de las empresas, reduciendo cargas administrativas y agilizando trámites.
Consolidar a la Comunidad de Madrid como referente en digitalización e IA. Desarrollar servicios digitales interoperables basados en APIs abiertas, que eliminen barreras tecnológicas y duplicidades, garantizando una relación fluida y automatizada entre empresas y Administración.
Sentar las bases para un entorno de contratación más accesible, competitivo y transparente. Incorporar criterios de interoperabilidad, automatización y trazabilidad, alineados con la normativa estatal y europea, para reducir cargas administrativas, facilitar la participación de pymes y reforzar la confianza en los procesos.

Objetivos de la norma
Los objetivos incluyen fijar las bases para fomentar y utilizar la IA, regular los principios, las garantías jurídicas y el procedimiento de supervisión.

Objetivo de la norma Propuesta de Aportación
Regular los principios generales y las garantías jurídicas de las personas. Incorporar un Marco GRC con trazabilidad, que registre automáticamente logs de ejecución, datos de entrenamiento y métricas de riesgo en sistemas de IA. Esto permitirá trazabilidad completa y facilitará la supervisión, garantizando seguridad jurídica.
Promover el desarrollo y el uso de la IA en las empresas para favorecer la innovación. Impulsar un Plan de Capacitación Regional en IA y GRC, dirigido a profesionales del sector público y privado, para cerrar la brecha de talento y fortalecer la competitividad de las empresas madrileñas.
Establecer la obligación de ofrecer servicios plenamente digitales, accesibles y seguros. Introducir un requisito de evaluación de impacto de equidad digital previa a la implementación de servicios clave, y mantener canales no digitales robustos para asegurar la universalidad y evitar exclusión.
Establecer un punto único de relación digital entre la Comunidad de Madrid y las empresas proveedoras. Crear un punto único de interacción digital que abarque homologación, licitaciones, ejecución contractual, pedidos, facturación y pagos, basado en servicios interoperables y APIs seguras, reduciendo duplicidades y aumentando la transparencia.
Impulsar un modelo de servicios digitales interoperables. Desarrollar un modelo de servicios interoperables que permita la conexión automática entre sistemas internos de las empresas y plataformas de la Administración, reduciendo errores, tiempos y cargas administrativas.
Avanzar en la aplicación del principio de “solo una vez”. Garantizar la estandarización documental y la interoperabilidad entre registros, evitando la repetición de información y reduciendo cargas administrativas mediante formatos abiertos y APIs seguras.
Garantizar transparencia y trazabilidad en todo el ciclo de contratación pública. Implementar sistemas que ofrezcan información estructurada y en tiempo real sobre estados, incidencias y pagos, accesible mediante APIs seguras, reforzando la confianza y la planificación empresarial.
Facilitar la participación de pymes. Reducir barreras operativas y tecnológicas mediante la homogeneidad de requisitos, integración con sistemas internos y aplicación del principio “solo una vez”, simplificando la operativa y fomentando la competitividad.

Soluciones alternativas (regulatorias y no regulatorias)
El documento indica que no existen soluciones alternativas a la regulación por ley del uso de la IA en la Administración Pública y las garantías jurídicas.
Tipo de solución Propuesta de aportación
Aportación estratégica | Se coincide en la necesidad de la norma con rango de ley para proporcionar seguridad jurídica.
Se propone que la Ley incorpore la potestad de la Administración para impulsar soluciones no regulatorias complementarias, como Guías de Buenas Prácticas y Sandboxes Regulatorios.
Función de los sandboxes. Los sandboxes (entornos de prueba) permitirán a las empresas y a la propia Administración probar sistemas de IA en un entorno controlado y regulado, fomentando la innovación sin sacrificar la seguridad jurídica y la ética.
Regulatoria (preferente). Incluir explícitamente en la Ley la creación de un modelo digital único para las compras públicas, con un punto centralizado de interacción y servicios interoperables basados en APIs seguras, aplicable a todo el ciclo contractual (homologación, licitación, ejecución, facturación y pagos). Esta medida reducirá cargas administrativas, eliminará duplicidades y mejorará la eficiencia pública y empresarial.No regulatoria / complementaria- Elaborar guías técnicas y estándares de intercambio de datos para facilitar la integración con los sistemas internos de las empresas.
No regulatoria /complementaria Elaborar guías técnicas, estándares de intercambio de datos y APIs públicas que faciliten la integración con los sistemas de gestión de las empresas.
Definir programas de acompañamiento a pymes para la digitalización de sus procesos de contratación.
Simplificar los procedimientos mediante interoperabilidad automática con registros ya existentes.

Impacto regulatorio
Tipo de solución Propuesta de aportación
Confianza ciudadana, seguridad jurídica e impulso a la innovación. Las propuestas sobre Gobernanza Ética y herramientas GRC (Comité Ético, Auditorías de Sesgos, Registro Público de Algoritmos) pueden aumentar el coste inicial de cumplimiento, pero reducen significativamente el riesgo legal futuro y el impacto reputacional por fallos o sesgos algorítmicos.
Eficiencia administrativa. Reducir cargas operativas, eliminar redundancias y automatizar tareas que hoy requieren intervención manual, mejorando la productividad y la calidad del servicio público.
Impacto económico para empresas. Disminuir costes asociados a la gestión documental, interacción con múltiples portales y duplicación de procesos, especialmente para pymes, favoreciendo su participación en contratación pública.
Impacto tecnológico estructural. Crear un sistema interoperable que promueva el uso de datos estructurados, facilite auditorías y permita evolucionar hacia procesos automatizados basados en IA (detección de riesgos, análisis predictivo).
Competitividad regional. Acelerar la digitalización de empresas proveedoras y facilitar un entorno más transparente y accesible para la contratación pública, posicionando a Madrid como referente en innovación.

Conclusión estratégica
Que la Ley contemple un modelo de relación digital única para compras públicas, basado en un punto único de contacto y en servicios interoperables que permitan a las empresas gestionar homologación, contratación y facturación desde sus propios sistemas, sin pasar por portales. Esto reduciría cargas administrativas, mejoraría la eficiencia pública y favorecería la participación de pymes.

Esta Corporación, dentro del plazo de consulta pública, tiene especial interés en informar en el siguiente sentido:

Sería muy oportuno aprovechar el texto de la futura ley para contemplar, en el ámbito sanitario, que en el uso de la Inteligencia Artificial se garantizase tanto la autonomía del paciente como, a la vez, el respeto y autonomía de los profesionales médicos.

Además, sería un lugar perfecto para definir la procedencia del uso de medios telemáticos u otros sistemas de comunicación no presenciales destinados a la ayuda en la toma de decisiones dentro del ámbito profesional sanitario en general, y médico en particular, siempre que sea
inequívoca la identificación de quienes intervienen, se asegure la confidencialidad y se usen vías de comunicación que garanticen la máxima seguridad disponible.

Por último, se debe prever que la investigación y otras actividades relacionadas con las bases de datos de salud y la Inteligencia Artificial deban ser en beneficio de la sociedad y de los objetivos de salud pública, siendo esencial que en la Inteligencia Artificial se desarrollen modelos que incluyan el consentimiento y la gestión de los datos.

Es todo lo que cumple informar por esta Corporación.

DigitalES agradece la posibilidad de remitir consideraciones previas al Anteproyecto de Ley de Administración Digital e Inteligencia Artificial de la Comunidad de Madrid y por ello les remitimos las presentes consideraciones que se fundamentan en un enfoque de seguridad jurídica, protección de derechos, eficiencia administrativa y coherencia normativa, con especial atención a la compatibilidad con el marco europeo aplicable.
Adicionalmente les invitamos a consultar los siguientes documentos que creemos pueden aportar información y enfoques adicionales de interés:
- Libro Blanco de la IA Generativa
- Small Language Models (SLM), Anexo al Libro Blanco de la IA Generativa

Marco legal de referencia
Sin perjuicio del marco europeo específico en materia de inteligencia artificial , la futura Ley autonómica se inserta en un ecosistema normativo transversal que condiciona su diseño y aplicación efectiva. A efectos de coherencia regulatoria y seguridad jurídica, secita explicitar el encaje con:
Marco europeo en IA: Reglamento (UE) 2024/1689 (normas armonizadas en materia de IA), especialmente en lo relativo a definiciones, categorías de riesgo, obligaciones de transparencia y requisitos de gobernanza.
Marco general de actuación administrativa y servicios digitales: régimen de validez de las actuaciones administrativas, motivación, garantías procedimentales, y régimen de revisión/impugnación, incluidos los supuestos de actuación automatizada o asistida por sistemas.
Transparencia y participación: obligaciones de publicidad activa y participación ciudadana en la elaboración normativa, así como medidas de transparencia algorítmica compatibles con límites legítimos (seguridad, datos personales, secreto empresarial).
Protección de datos y seguridad de la información: principios de licitud, minimización, finalidad, confidencialidad e integridad, así como obligaciones de análisis y gestión de riesgos, especialmente en ámbitos sensibles (salud, servicios sociales, justicia).
Contratación pública y cadena de suministro digital: cláusulas de cumplimiento, trazabilidad, auditabilidad, ciberseguridad, gestión de subcontratación y reversibilidad, de modo que el sector público disponga de control efectivo sobre sistemas críticos.
Sobre esta base, la Ley autonómica debería priorizar medidas en su ámbito competencial (organización y funcionamiento del sector público, prestación de servicios digitales, garantías ciudadanas, compra pública e impulso económico), evitando generar obligaciones de “regulación de mercado” que puedan resultar divergentes del marco armonizado europeo.

Ideas y aportaciones
1. Alinear definiciones y alcance con el Reglamento (UE) 2024/1689, a fin de evitar fragmentación normativa y posibles conflictos competenciales (incluyendo, entre otros, los conceptos de “sistema de IA”, “modelo de IA de propósito general”, “sistemas agénticos” y “decisión automatizada”).

2. Crear un Registro público autonómico de sistemas algorítmicos y de IA utilizados por la Administración de la Comunidad de Madrid —complementado con un inventario interno exhaustivo—, con un conjunto mínimo de metadatos y publicación en formato reutilizable.

3. Implantar una Evaluación de Impacto Algorítmico (EIA) preceptiva y previa para supuestos de alto impacto (derechos, prestaciones, sanciones, salud, justicia y servicios sociales), así como establecer su actualización y revisión periódica.

4. Garantizar una supervisión humana efectiva (y no meramente formal), mediante el reconocimiento del derecho a revisión humana, procedimientos claros de reclamación y rectificación, y trazabilidad verificable de la intervención humana.

5. Definir un modelo de gobernanza con responsabilidades claramente asignadas (propietario funcional, responsable técnico, DPO, CISO y comité de garantías), asegurando además la coordinación con la AESIA y la Administración General del Estado.

6. Establecer un esquema de validación y certificación con criterios objetivos, medibles y alineados con estándares, evitando duplicidades con los mecanismos de evaluación de conformidad previstos en el marco europeo.

7. Reforzar la contratación pública de soluciones de IA, mediante cláusulas tipo sobre cumplimiento normativo, auditoría, acceso a registros (logs), gobernanza de datos, ciberseguridad, transparencia y control de subcontratación y modelos incorporados.

8. Incorporar obligaciones específicas para la IA generativa en el sector público (p. ej., aplicaciones tipo “SERMAS GPT3”), incluyendo límites de uso, mitigación de alucinaciones, prohibición de utilizarla como única base decisoria y requisitos de etiquetado y advertencias.

9. Situar en el centro la accesibilidad, la inclusión y la reducción de la brecha digital, manteniendo canales no exclusivamente digitales y diseñando la “Cuenta Digital” con criterios de accesibilidad y apoyos proactivos a colectivos vulnerables.
10. Exigir rendición de cuentas, mediante un informe público anual dirigido a la Asamblea y a la ciudadanía (impacto, incidentes, auditorías, ahorro/eficiencia, quejas, sesgos detectados y mejoras), así como una revisión normativa programada

Problemas que se pretenden solucionar
La futura norma identifica como metas: regular los servicios públicos digitales y los medios/canales electrónicos (identificación, firma, registros y archivo electrónico), e introducir la Cuenta Digital como canal central; asimismo, establecer el marco para el uso de la IA en la Administración, incorporando garantías para la ciudadanía, mecanismos de control y seguimiento, y medidas de apoyo al ecosistema y a las pymes.
A partir de lo anterior, los principales problemas que consideramos deben abordarse —en los que la ley puede generar un mayor valor añadido— son los siguientes:
1 Asimetría de garantías en servicios digitales y sistemas automatizados: hoy la ciudadanía puede no saber cuándo la IA influye en una decisión, ni cómo reclamar eficazmente.
2 Riesgo de sesgos y discriminación en sistemas que priorizan, recomiendan o predicen (especialmente en salud, servicios sociales, empleo y justicia).
3 Falta de trazabilidad y rendición de cuentas: con muchos casos de uso en marcha, el control debe ser sistémico, no caso a caso.
4 Fragmentación organizativa: múltiples órganos y proveedores, sin un esquema homogéneo de evaluación, supervisión y reporte.
5 Riesgos operacionales y de seguridad: modelos y sistemas conectados a datos sensibles (sanidad/justicia) requieren reglas de ciberseguridad, gestión de incidentes y continuidad.
Necesidad y oportunidad

• Aceleración del despliegue de la IA en el sector público regional: existen ya aplicaciones relevantes (por ejemplo, en los ámbitos sanitario y de justicia) y se prevén nuevos desarrollos, por lo que resulta oportuno dotar de coherencia y seguridad jurídica a iniciativas que ya se encuentran en marcha.
• Calendario de aplicación europeo: el Reglamento (UE) 2024/1689 será plenamente aplicable a partir del 2 de agosto de 2026; no obstante, determinadas disposiciones entran en aplicación con anterioridad (por ejemplo, los capítulos I y II desde el 2 de febrero de 2025).
• Prevención de divergencias regulatorias: el marco europeo persigue evitar barreras y restricciones no autorizadas a la libre circulación de sistemas de IA; en consecuencia, la norma autonómica debería circunscribirse a su ámbito competencial (organización y funcionamiento del sector público, garantías, contratación pública e impulso económico), evitando regulaciones de mercado que pudieran entrar en conflicto con el marco europeo.
Objetivos
Los objetivos formulados por la Comunidad presentan un alcance amplio (administración digital, inteligencia artificial e impulso del tejido empresarial). A fin de que la ley resulte verdaderamente operativa y aplicable, se recomienda priorizar y concretar objetivos evaluables, entre los que cabría destacar:
• Garantías y derechos: transparencia, derecho a explicación, revisión humana, no discriminación y accesibilidad.
• Gobernanza y control: registro de sistemas, evaluación de impacto, auditorías y gestión de incidentes.
• Eficiencia y simplificación: automatización de tareas y agilización de procedimientos sin merma de garantías (p. ej., generación de borradores para revisión o detección de errores).
• Calidad y seguridad del dato: establecimiento de reglas para el uso de datos públicos (calidad, minimización, mitigación de sesgos, interoperabilidad y protección).
• Innovación y competitividad: apoyo a pymes, fomento de la compra pública innovadora y acompañamiento a entidades locales.
Posibles soluciones
Dado que la consulta se hace antes de que exista texto articulado, se propone valorar el siguiente conjunto de cuestiones:
Soluciones regulatorias
• Derechos y garantías mínimas; gobernanza; registro; evaluación de impacto; contratación pública; reglas de supervisión/seguimiento; régimen de responsabilidades internas.
• Habilitación reglamentaria para concretar: criterios de certificación, formatos de evaluación, campos del registro, métricas, etc.
Soluciones no regulatorias de carácter complementario
• Guías y plantillas oficiales (EIA, cláusulas de contratación, checklist de transparencia, guías de IA generativa).
• Programas de formación (empleados públicos, proveedores, ciudadanía).
• Sandbox regional para pilotos controlados (especialmente en IA generativa y sistemas de alto riesgo).
• Oficina de apoyo a municipios con catálogo de soluciones seguras y reutilizables
Propuestas
Alcance y definiciones: seguridad jurídica y coherencia europea
• Adoptar las definiciones del Reglamento (UE) 2024/1689, evitando la incorporación de conceptos propios que puedan generar divergencias interpretativas o incompatibilidades normativas.
• Incluir de forma expresa ámbitos y tipologías relevantes, tales como la IA generativa, los modelos de propósito general y los sistemas agénticos, atendiendo a su creciente utilización en procesos de automatización.
• Delimitar con precisión los siguientes extremos:
- La distinción entre “IA de apoyo” (p. ej., asistencia, generación de borradores, clasificación o recomendación) y “IA para la adopción de decisiones” (p. ej., priorización, concesión o denegación, sanción u otros efectos jurídicos).

- El criterio para determinar qué supuestos deben considerarse de “alto impacto” en el sector público de la Comunidad de Madrid, sin perjuicio de la clasificación de “alto riesgo” prevista en el marco europeo.

Derechos de la ciudadanía
La Ley debería reconocer un conjunto de derechos claros, operativos y exigibles, entre los que se incluyen, al menos, los siguientes:

• Derecho a ser informado (notificación) cuando una interacción o decisión esté influida de manera significativa por sistemas de inteligencia artificial.
• Derecho a una explicación comprensible, que permita conocer las variables relevantes, la finalidad del sistema y sus principales límites.
• Derecho a la revisión humana y a una impugnación efectiva, con determinación expresa de plazos, órganos competentes y cauces de reclamación.
• Derecho a disponer de canales alternativos (no exclusivamente digitales) y a recibir apoyos específicos para colectivos vulnerables, con especial atención a la brecha digital.
• Protección reforzada en ámbitos sensibles (sanidad, servicios sociales y justicia), en los que la propia Comunidad prevé un despliegue especialmente intenso de estas tecnologías.
Operatividad y ejercicio de derechos. A efectos de eficacia real, se recomienda que la Ley incorpore un régimen mínimo de ejercicio que incluya: (i) identificación del órgano responsable y del canal de solicitud; (ii) un plazo máximo para respuesta motivada; (iii) garantía de revisión humana efectiva cuando la decisión haya sido adoptada o influida de manera significativa por sistemas de IA; y (iv) constancia documental de la revisión (trazabilidad), incluyendo la identidad/rol del revisor, los elementos considerados y la motivación final. En particular, en procedimientos con efectos desfavorables o restrictivos de derechos, debería preverse una motivación reforzada cuando intervengan sistemas automatizados o modelos de IA, a fin de permitir la impugnación efectiva y el control jurisdiccional.

Registro de algoritmos y transparencia proactiva
Crear un Registro público de sistemas IA/algoritmos usados por la Comunidad de Madrid (y entidades dependientes), con actualización periódica. Contenido mínimo recomendado:
• Finalidad, órgano responsable, proveedor, categoría (apoyo/decisión), población afectada, datos utilizados (a alto nivel), medidas de mitigación de sesgo, supervisión humana, evaluaciones realizadas, fecha de puesta en marcha, incidentes relevantes (anonimizados).

• Publicación en formato reutilizable y con historial de versiones.

Evaluación de Impacto Algorítmico y auditorías
Se propone obligación de Evaluación de Impacto Algorítmico (EIA) previa cuando concurran uno o más criterios (prestaciones, priorización, sanciones, salud, menores, discapacidad, justicia, vigilancia, etc.). La EIA debería cubrir:
• Riesgos a derechos fundamentales, sesgos y discriminación, explicabilidad, robustez, ciberseguridad, privacidad, trazabilidad, y medidas de mitigación.
• Pilotos controlados antes de generalizar (con métricas y umbrales de aceptación).
• Auditorías periódicas (p. ej., anual) y tras cambios significativos (modelo/datos/proceso).
En supuestos de alto impacto, se propone establecer expresamente que la puesta en producción del sistema quede condicionada a la aprobación previa de la Evaluación de Impacto Algorítmico y, en su caso, a la verificación previa correspondiente. Asimismo, deberá preverse la reevaluación obligatoria ante cambios significativos (finalidad, población afectada, fuente o calidad de datos, actualización del modelo, degradación de rendimiento, nuevos riesgos o incidentes), garantizando así el control del sistema durante todo su ciclo de vida.
Validación y certificación previa
La Comunidad anuncia que los sistemas se validarán y certificarán antes de su puesta en marcha. A fin de garantizar aplicabilidad y proporcionalidad, se propone articular un sistema de verificación previa de los sistemas de IA de alto impacto, basado en evidencias verificables (evaluación de impacto, pruebas de robustez, seguridad, trazabilidad y control humano). La eventual “certificación” debería reservarse para un esquema formal expresamente definido (alcance, criterios, entidad evaluadora, efectos jurídicos y vigencia), evitando duplicidades con los mecanismos de evaluación de conformidad previstos en el marco europeo:
• Definir niveles (ligero/medio/alto) según impacto.
• Basar la certificación en evidencias verificables: EIA, pruebas de robustez, documentación, seguridad, control humano, y pruebas en entorno real.
• Evitar duplicidades con la evaluación de conformidad europea (cuando aplique) y concentrar el valor añadido autonómico en uso en el sector público (procedimientos, garantías y control)
Contratación pública de IA: cláusulas esenciales
Se recomienda incorporar en la Ley un capítulo específico, o bien un mandato expreso de desarrollo, para aprobar cláusulas tipo en la contratación de soluciones basadas en IA —de aplicación obligatoria salvo motivación expresa— que, como mínimo, contemplen:
• Cumplimiento normativo: obligaciones de conformidad con el Reglamento (UE) aplicable y con la normativa de protección de datos personales.
• Auditoría y trazabilidad: reconocimiento del derecho de auditoría por la Administración (incluida auditoría por tercero independiente) y acceso a registros de actividad (logs) y evidencias relevantes.
• Subcontratación y cadena de suministro: requisitos de gestión y control de subcontratistas, así como identificación y gobernanza de los modelos o componentes incorporados.
• Documentación técnica mínima: exigencia de documentación estandarizada (por ejemplo, model cards y data sheets) que describa finalidad, límites, datos, rendimiento, sesgos y medidas de mitigación.
• Ciberseguridad y continuidad: obligaciones de gestión de vulnerabilidades, notificación y respuesta a incidentes, y medidas de continuidad del servicio.
• Reversibilidad y portabilidad: garantías de salida ordenada, portabilidad y mitigación del riesgo de dependencia del proveedor.
• Propiedad intelectual y confidencialidad: régimen claro de derechos, licencias, uso de resultados y protección de información, en línea con la necesidad —ya prevista— de adaptar estos aspectos al nuevo escenario tecnológico.
Reversibilidad operativa y control de cadena de suministro. Debería exigirse contractualmente un plan de salida (exit plan) que garantice la continuidad del servicio y la migración ordenada (datos, configuraciones, documentación, evidencias y registros), así como la mitigación del riesgo de dependencia del proveedor. Igualmente, en sistemas críticos, se recomienda prohibir la subcontratación crítica no declarada y exigir la identificación previa de componentes y modelos de terceros incorporados, con obligaciones de actualización, soporte, gestión de vulnerabilidades e información suficiente para auditoría.

IA generativa en la Administración: reglas específicas
Dado el impulso previsto de casos de uso basados en IA generativa (por ejemplo, como herramienta de apoyo a profesionales sanitarios), se propone incorporar un régimen específico que incluya, al menos, las siguientes previsiones:
• Prohibición de uso como única base decisoria: impedir que la salida de un modelo generativo constituya, por sí sola, la base determinante de una decisión administrativa.
• Etiquetado y transparencia: establecer obligaciones de identificación interna y externa del contenido asistido o generado mediante IA, cuando resulte relevante para la comprensión del ciudadano o para la trazabilidad administrativa.
• Gestión del riesgo de “alucinaciones”: exigir verificación obligatoria por personal competente, así como, cuando proceda, trazabilidad de fuentes y controles de calidad documentados (métricas, pruebas y umbrales de aceptación).
• Protección de datos e información sensible: fijar reglas estrictas sobre entrada y salida de información, limitando el uso de datos personales, datos especialmente protegidos y secretos (incluidos los de naturaleza sanitaria, judicial o empresarial), con medidas técnicas y organizativas reforzadas.
Gobernanza: órganos, roles y rendición de cuentas

• Con el fin de garantizar que el marco normativo se traduzca en mecanismos efectivos —y no quede reducido a declaraciones de principios—, se recomienda articular un modelo de gobernanza que contemple
• Oficina o Unidad de IA y Administración Digital, con funciones de coordinación, elaboración de guías, mantenimiento del registro, soporte a los órganos gestores y despliegue de programas formativos.
• Comité de Garantías, de composición multidisciplinar (asesoría jurídica, DPO, ciberseguridad, ética y responsables de negocio), con capacidad para condicionar o vetar despliegues de alto impacto y para supervisar evaluaciones, auditorías e incidentes.
• Rendición de cuentas reforzada: elaboración de un informe anual público, basado en indicadores (implantaciones, evaluaciones, auditorías, incidentes, reclamaciones, mejoras), y comparecencias periódicas ante la Asamblea para seguimiento y control parlamentario.
A fin de asegurar eficacia real, el Comité de Garantías debería actuar con criterios de independencia funcional, incorporando reglas de abstención por conflicto de interés, constancia documental de sus acuerdos y determinación expresa de los supuestos en los que su informe sea preceptivo y vinculante (p. ej., alto impacto), así como los efectos de su condicionamiento o veto sobre el despliegue del sistema.

Calendario de implementación
Alineada con el calendario europeo, cuya aplicación general se prevé a partir del 2 de agosto de 2026.
• 0–6 meses: elaboración de un inventario interno integral de sistemas algorítmicos y de IA; puesta en marcha del Registro público en una primera versión operativa (MVP); aprobación de guías técnicas y jurídicas y de cláusulas tipo para contratación; despliegue de un plan de formación inicial para los perfiles clave (jurídico, técnico, negocio, DPO y ciberseguridad).

• 6–12 meses: implantación preceptiva de Evaluaciones de Impacto Algorítmico para supuestos de alto impacto, junto con la ejecución de una primera oleada de auditorías; desarrollo de pilotos controlados en casos de uso de IA generativa, con criterios de aceptación, controles de calidad y trazabilidad definidos ex ante.

• 12–24 meses: adopción de un esquema de certificación escalonada en función del nivel de riesgo e impacto, acompañado de mejora continua (revisiones periódicas y gestión de cambios); extensión progresiva del modelo a entes locales mediante apoyo, acompañamiento y soluciones compartidas; y consolidación de métricas e informes de seguimiento y rendición de cuentas, con publicación periódica y evaluación de resultados.

Conclusiones
Las aportaciones formuladas consolidan y dotan de operatividad a los objetivos declarados por la Comunidad de Madrid —impulso de la Cuenta Digital, simplificación y modernización administrativa, refuerzo de la transparencia, garantías en protección de datos, supervisión ética, mecanismos de control y seguimiento, y estímulo del tejido empresarial, especialmente de las pymes— mediante la incorporación de instrumentos jurídicos y técnicos concretos y verificables.
En particular, la articulación de un registro público de sistemas algorítmicos y de IA, la exigencia de evaluaciones de impacto algorítmico (con revisiones periódicas), la implantación de auditorías y controles de trazabilidad, el establecimiento de un marco robusto para la contratación pública de soluciones de IA (con cláusulas esenciales de cumplimiento, auditabilidad, gobernanza del dato y ciberseguridad) y el diseño de un modelo de gobernanza con responsabilidades definidas y rendición de cuentas, permiten transformar los principios en obligaciones exigibles, estandarizar prácticas y asegurar coherencia en todo el sector público autonómico.
Este enfoque aporta, además, una ventaja decisiva: configura una norma aplicable y evaluable —al incorporar criterios, procedimientos e indicadores— y, al mismo tiempo, compatible con el marco europeo, al alinear definiciones, categorías y lógicas de cumplimiento con el Reglamento (UE) 2024/1689 y evitar soluciones regulatorias divergentes que pudieran generar inseguridad jurídica o fricciones competenciales. En consecuencia, el Anteproyecto puede erigirse en un instrumento normativo de referencia: garante de derechos, facilitador de innovación responsable y catalizador de una administración digital avanzada, eficaz y plenamente confiable.