* El autor forma parte de la comunidad de lectores de Guyana Guardian
La Inteligencia Artificial (IA) ha dejado de ser una promesa futurista para convertirse en una herramienta cotidiana, especialmente en la Administración pública. Esta transformación, si bien ofrece eficiencia y mejora en los servicios, introduce también riesgos inéditos que afectan directamente a nuestros derechos fundamentales: ¿Qué pasa si un algoritmo discrimina? ¿Cómo podemos apelar una decisión tomada por una máquina?
Ante este escenario, surge una necesidad imperante: la creación de la figura del Delegado/a de Protección Algorítmica (DPA) en el sector público. Esta figura no es un mero técnico, sino un garante independiente cuyo propósito esencial es asegurar que el uso de la IA en la Administración se alinee estrictamente con la ley, la ética y, sobre todo, la protección de las personas y el interés general.
El DPA actúa como una segunda línea de defensa para los ciudadanos frente a los posibles riesgos algorítmicos. Su objetivo principal es asegurar la no discriminación, la transparencia y la rendición de cuentas en todo el ciclo de vida de un sistema de IA, desde su diseño inicial hasta su eventual desmantelamiento. Cuando hablamos de sistemas automatizados que impactan la vida de las personas, no podemos confiar únicamente en la promesa de la tecnología; debemos exigir salvaguardas legales y éticas sólidas.
Para lograr esto, el trabajo del DPA se fundamenta en principios rectores claros:
- Legalidad y Derechos Fundamentales: todo sistema de IA debe cumplir rigurosamente con el marco jurídico vigente, incluyendo protección de datos, igualdad, no discriminación, transparencia y seguridad.
- Transparencia sustantiva: no basta con saber que se usa un algoritmo. Los ciudadanos tienen derecho a recibir información comprensible sobre qué hace el sistema, por qué, qué datos utiliza y cuáles son sus límites.
- Explicabilidad y contestabilidad: si un sistema toma una decisión automatizada que me afecta, debo tener la posibilidad real de recibir una explicación clara y de solicitar una revisión humana de esa decisión.
- Trazabilidad y auditabilidad: debe existir un registro completo, tanto técnico como administrativo, que permita reconstruir en cualquier momento el proceso y las decisiones tomadas por el modelo algorítmico.
Para poder ejercer su labor de control de manera efectiva, el DPA debe ser una figura con un perfil híbrido y una fuerte independencia funcional. El Delegado debe poseer conocimientos sólidos en áreas que cruzan lo jurídico con lo tecnológico: la gobernanza de datos y modelos, la evaluación de impacto en los derechos, el estudio de sesgos y la equidad algorítmica, y la contratación pública tecnológica. Debe ser capaz de hablar tanto con juristas como con ingenieros, y de comunicar claramente al público el impacto de estos sistemas.
La autonomía y la independencia son clave. El DPA debe reportar directamente a la máxima autoridad del organismo o a una Oficina de Integridad/Ética Pública. Es fundamental que disponga de acceso a toda la documentación relevante —esto incluye el código fuente, las configuraciones, las evaluaciones e incluso los registros de actividad (logs)—, aunque siempre con el debido deber de confidencialidad.
Es importante destacar que el DPA no sustituye a otras figuras ya existentes, como el Delegado de Protección de Datos (DPO), el Chief AI Officer (CAIO). Mientras que el DPO se enfoca en la privacidad y los datos personales, el DPA mira el sistema algorítmico completo: su equidad, sus sesgos, su robustez y el efecto que tiene en los derechos más allá de la privacidad. Ambos, sin embargo, deben coordinarse obligatoriamente en proyectos que manejen información personal.
El CAIO tiene una visión estratégica y global, es decir, define la hoja de ruta de la IA, supervisa su integración en la entidad y asegura que la adopción de estas tecnologías genere valor y ventaja competitiva. La función del DPA es fundamentalmente preventiva. Su trabajo comienza mucho antes de que un sistema toque al ciudadano.
En este sentido debe proceder con:
- Evaluación de Impacto Algorítmico (EIA): el “Semáforo” de la IA. Ningún sistema de IA debería ser adquirido o puesto en marcha sin una Evaluación de Impacto Algorítmico previa y formal. Esta evaluación es el corazón del control. Se centra en identificar el riesgo sistémico y las posibles vulneraciones de derechos. En esta fase, se analizan aspectos críticos como el sesgo algorítmico (asegurando que el sistema no trate de manera injusta a determinados colectivos), la explicabilidad, la seguridad y la robustez. Si la evaluación detecta que no se cumplen los mínimos de salvaguarda, el DPA puede ejercer una función crucial: el veto suspensivo para sistemas de alto riesgo hasta que se subsanen las deficiencias.
- Transparencia y el Registro Público. Para disipar la desconfianza, la Administración debe ser transparente sobre qué herramientas automatizadas está utilizando. El DPA se encarga de mantener un Registro Algorítmico Público. Este registro no es un archivo técnico, sino una ficha informativa de fácil acceso para el ciudadano, detallando la finalidad de cada sistema, los datos utilizados, los resultados de auditoría y, crucialmente, los canales disponibles para presentar reclamaciones.
- La gestión de incidentes y la revisión humana. Los algoritmos, como cualquier software, pueden fallar, cometer errores materiales o sufrir una “deriva” (cambios en su rendimiento o sesgo a lo largo del tiempo).
El DPA debe activar un Protocolo de Incidencias Algorítmicas (PIA) para clasificar, contener y remediar rápidamente cualquier problema. El ciudadano debe tener la certeza de que, si un sistema automatizado toma una decisión desfavorable, existe un canal de reclamaciones ágil y, sobre todo, una revisión humana con plazos claros y trazabilidad. El DPA también tiene la potestad de ordenar pausas de servicio si detecta un riesgo grave para los derechos.
En definitiva, se habrá entendido que el DPA actúa también como “asesor especializado en materia digital” de la organización pública. De hecho, y aunque sea una mera provocación, la existencia y actuación del DPA quizá habría mitigado los efectos de la reciente sentencia 1119/2025 del Tribunal Supremo, que obliga finalmente al Ministerio para la Transición Ecológica a poner a disposición de la Fundación Ciudadana Civio (recurrente) el código fuente de la aplicación denominada BOSCO, utilizada por las comercializadoras de electricidad para verificar los requisitos de acceso al bono social.
Precisamente, el Tribunal Supremo entiende, en un juicio de ponderación, que la falta de conocimiento del código fuente afecta a derechos ciudadanos (se recomienda la lectura completa de la sentencia). El DPA hubiera podido avisar de los riesgos al Ministerio para la Transición Ecológica.
El Tribunal Supremo entiende que la falta de conocimiento del código fuente afecta a derechos ciudadanos
Asimismo, dado que muchas administraciones públicas adquieren sus sistemas de IA a proveedores externos, el DPA juega un rol vital en el proceso de contratación. El Delegado se asegura de que los contratos incluyan cláusulas que obliguen a los proveedores a facilitar la documentación técnica necesaria, las pruebas de sesgo y las interfaces de auditoría. Además, debe exigir condiciones de interoperabilidad y portabilidad para evitar el temido lock-in (la dependencia total de un único proveedor).
Mirando hacia el futuro, se proponen garantías contractuales avanzadas, como el Contrato de Servicio Algorítmico (CSA), que no solo mida la disponibilidad del sistema, sino que también incluya métricas de equidad, explicabilidad y contestabilidad como criterios de cumplimiento.
Ahora bien, por si alguien se estuviera preguntando acerca del fundamento jurídico de la implantación del DPA, en España y en la UE no existe una norma que cree expresamente la figura del DPA. No obstante, esto no supone un problema. Su fundamento jurídico es de carácter funcional, es decir, agrupa y da cumplimiento interno a obligaciones ya vigentes sobre decisiones automatizadas y el uso de la IA en el sector público.
La implantación de la figura del Delegado de Protección Algorítmica es un paso estratégico y necesario para modernizar la gobernanza pública. Asegura que la revolución algorítmica se lleve a cabo con seguridad jurídica, transparencia efectiva y, sobre todo, con la confianza ciudadana como pilar central.
El DPA no es solo una nueva oficina; es el catalizador que transforma la tecnología en un auténtico valor público, garantizando que los algoritmos sirvan a los ciudadanos y no al revés. Es el compromiso de la Administración de construir un futuro digital donde la eficiencia coexista con el respeto innegociable por nuestros derechos fundamentales.
Lee también
* Gabriele Vestri es Doctor en Derecho y Ciencias Políticas. Profesor de Derecho Administrativo y Director del Observatorio Sector Público e Inteligencia Artificial (OspIA). Nombrado por la Agencia Digital de la Junta de Andalucía, ha sido miembro del Comité de Expertos para la redacción de la Estrategia Andaluza de Inteligencia Artificial. Actualmente es miembro del Grupo de Trabajo sobre IA creado por el Parlamento de Andalucía, investigador del Proyecto de investigación I+D+i “Derechos y garantías públicas frente a las decisiones automatizadas y el sesgo y discriminación algorítmicas y del Proyecto de investigación I+D+i “Derecho e inteligencia artificial: nuevos horizontes jurídicos de la personalidad y la responsabilidad robóticas”. Es el responsable de indexación y difusión de la Revista Española de la Transparencia. Es también miembro del Consejo Editorial de Intelética-Revista de Inteligencia Artificial, Ética y Sociedad. Cuenta con casi un centenar de publicaciones científicas, muchas de las cuales abordan las cuestiones jurídicas de las tecnologías disruptivas aplicadas al sector público.
¡Participa!
¿Quieres compartir tus conocimientos?
Si tienen interés en participar en Lectores Expertos pueden escribir un email a la dirección de correo de nuestra sección de Participación ([email protected]) adjuntando sus datos biográficos y el texto que proponen para su publicación.