Carlos B Fernández. Por medio de este Real Decreto, el Gobierno de España, con la colaboración de la Comisión Europea, va a poner en marcha el primer entorno controlado de pruebas para comprobar la forma de implementar los requisitos aplicables a los sistemas de inteligencia artificial de alto riesgo de la propuesta de Reglamento europeo de inteligencia artificial (IA).
Según se explica en el preámbulo de la norma, esta iniciativa, inspirada por la Carta de Derechos Digitales (LA LEY 16317/2021), pretende dar una forma concreta y práctica al compromiso español de «establecer un marco ético y normativo que refuerce la protección de los derechos individuales y colectivos» al avanzar la hoja de ruta establecida por dicha Carta para guiar la transformación digital humanista de España.
Durante el desarrollo de este entorno controlado de pruebas, se utilizará como referencia la posición del Consejo de la Unión Europea del 25 de noviembre de 2022.
Objeto y finalidad
El objeto de este entorno controlado de pruebas, según se explica en la exposición de motivos del Real Decreto, será doble.
Por una parte, establecer un entorno controlado de pruebas para ensayar el cumplimiento de ciertos requisitos por parte de algunos sistemas de inteligencia artificial que puedan suponer riesgos para la seguridad, la salud y los derechos fundamentales de las personas. A estos efectos, el Anexo II del real decreto, en concordancia con la propuesta de Reglamento presentada por la Comisión en abril de 2021, incluye el listado de áreas en las cuales la utilización de sistemas de IA se considera de alto riesgo. Obviamente, esta relación deberá ajustarse, en su momento, a la redacción final de la norma europea.
Por otra, regular el procedimiento de selección de los sistemas y entidades que participarán en el entorno controlado de pruebas».
Su finalidad es obtener, como resultado de esta experiencia, unas guías basadas en la evidencia y la experimentación que faciliten a las entidades, especialmente las pequeñas y medianas empresas, y a la sociedad en general, el alineamiento con la propuesta del Reglamento.
A estos efectos, y según la disposión adicional segunda del real decreto, la Secretaría de Estado de IA, basándose en los resultados obtenidos en el entorno, publicará en su portal web el informe con las conclusiones sobre el desarrollo, buenas prácticas, y recomendaciones al mismo, así como otros aspectos de interés de la aplicación experimental de la propuesta del Reglamento de la Unión Europea sobre la IA en el entorno.
Entrada en vigor y vigencia
El real decreto entrará en vigor al día siguiente de su publicación en el «Boletín Oficial del Estado».
Tendrá una vigencia máxima de treinta y seis meses desde su entrada en vigor o, en su caso, hasta que sea aplicable en el Reino de España el Reglamento de Europeo de inteligencia artificial.
Estructura
El real decreto consta de 30 artículos, estructurados en un título preliminar y dos títulos, dos disposiciones adicionales, dos disposiciones finales y siete anexos.
El Título preliminar (Disposiciones generales, arts. 1 a 3)
Establece el objeto y ámbito de aplicación de la norma, así como las definiciones de los conceptos principales utilizados.
- Ámbito de aplicación
El real decreto es de aplicación tanto a las administraciones públicas y entidades del sector público institucional, como a entidades privadas seleccionadas para participar en el entorno controlado de pruebas.
- Definiciones
El Real Decreto utiliza una serie de definiciones que son objeto de tratamiento también por el futuro Reglamento europeo de IA (Sistemas de IA, Sistemas de IA de alto riesgo, Modelos fundacionales, Sistemas de IA de propósito general…). Probablemente esto obligue a que, una vez que este esté aprobado, el real decreto deba modificarse, en lo necesario, para adaptarse a las definiciones utilizadas por aquél.
Título I (Participación en el entorno controlado de pruebas), se estructura en seis capítulos.
CAPÍTULO I - Disposiciones generales (arts. 4 y 5)
- Requisitos de elegibilidad para la participación en el entorno
La participación en el sandbox está abierta a aquellos proveedores IA y usuarios residentes en España o que tengan un establecimiento permanente en España, o bien, sean parte de una agrupación de entidades, donde el representante de la agrupación o apoderado único siendo integrante de ésta, sea la entidad solicitante y cuyo domicilio o establecimiento principal se encuentre necesariamente en territorio español a los efectos del artículo 9 del Texto Refundido de la Ley de Sociedades de Capital (LA LEY 14030/2010).
Podrán acceder este entorno, en calidad de usuario participante, las personas jurídicas privadas y administraciones públicas y entidades del sector público institucional del apartado 1 que hagan uso de un sistema de inteligencia artificial de alto riesgo, sistemas de propósito general, o modelos fundacionales, conforme se definen en el artículo 3, siempre que el correspondiente proveedor IA acceda conjuntamente al entorno con el usuario participante.
El proveedor IA solicitante presentará su solicitud de participación con uno o varios sistemas de IA y podrá presentar una o varias propuestas de sistema de inteligencia artificial de alto riesgo, de propósito general, o modelo fundacional.
- Sistemas de IA excluidos del sandbox
El Real Decreto excluye de participación en este entorno de pruebas tanto a los sistemas de IA comercializados o puestos en servicio para actividades militares, de defensa o seguridad nacional, cualquiera que sea la entidad que desarrolle esas actividades, como a los sistemas incluidos en el catálogo de sistemas de IA prohibidos por la propuesta de Reglamento de IA presentado por la Comisión en abril de 2021.
Es decir: los sistemas que se sirvan de técnicas subliminales que trasciendan la consciencia de una persona con el objetivo o el efecto de alterar efectivamente su comportamiento de un modo que provoque o pueda provocar, con probabilidad razonable, perjuicios físicos o psicológicos a esa persona o a otra; que aprovechen alguna de las vulnerabilidades de un grupo específico de personas debido a su edad o discapacidad o una situación social o económica específica con el objetivo o el efecto de alterar efectivamente el comportamiento de una persona de ese grupo de un modo que provoque o pueda provocar, con probabilidad razonable, perjuicios físicos o psicológicos a esa persona o a otra; que tengan como finalidad evaluar o clasificar a personas físicas atendiendo a su conducta social o a características personales o de su personalidad conocidas o predichas; los sistemas de identificación biométrica remota «en tiempo real» para su uso en espacios de acceso público con fines de aplicación de la ley, salvo las excepciones previstas.
CAPÍTULO II - Procedimiento de admisión en el entorno controlado de pruebas (arts. 6 a 10)
- Convocatorias para participar en el entorno controlado de pruebas.
Las convocatorias se aprobarán mediante resolución de la Secretaría de Estado de Digitalización e Inteligencia Artificial y se publicarán en su portal web. El plazo máximo para la presentación de las solicitudes será de veinte días hábiles desde el día siguiente a la publicación de la convocatoria.
- Solicitud de participación en el entorno controlado de pruebas.
La participación en el entorno controlado de pruebas requerirá la previa presentación, a través del registro electrónico, de la solicitud, de acuerdo a lo establecido en este real decreto y en la correspondiente convocatoria. Solo serán tenidas en cuenta las solicitudes presentas de acuerdo con el modelo que acompañara a la convocatoria de participación en el sandbox.
- Valoración de las solicitudes
El órgano competente para la instrucción del procedimiento y la evaluación de las solicitudes presentadas para la participación en el entorno será la Subdirección General de Inteligencia Artificial y Tecnologías Habilitadoras Digitales con el apoyo de la Oficina del Dato dependiente de la Secretaría de Estado de Digitalización e Inteligencia Artificial.
Para la evaluación de las solicitudes se tendrá en cuenta: a) el grado de innovación o complejidad tecnológica del producto o servicio; b) el grado de impacto social, empresarial o de interés público que presenta el sistema de inteligencia artificial propuesto; c) el grado de explicabilidad y transparencia del algoritmo incluido en el sistema de inteligencia artificial presentado; d) el alineamiento de la entidad y el sistema de inteligencia artificial con la Carta de Derechos Digitales (LA LEY 16317/2021) del Gobierno de España; e) la tipología de alto riesgo del sistema de inteligencia artificial, buscando una representación variada de tipologías en la selección; h) el grado de madurez del sistema de inteligencia artificial, considerando que ha de estar lo suficientemente avanzado como para ser puesto en servicio o en el mercado en el marco temporal del entorno controlado de pruebas o a su finalización e, i) la calidad de la memoria técnica.
Cuando se trate de sistemas de inteligencia artificial de propósito general, se evaluará también su potencial de ser transformados en un sistema de inteligencia artificial de alto riesgo.
Cuando se trate de modelos fundacionales de inteligencia artificial se evaluará la capacidad de despliegue y utilización, así como el impacto relativo o absoluto en la economía y sociedad.
- Desarrollo de las pruebas por los participantes.
Una vez admitido, el proveedor IA participante llevará a cabo las actuaciones quele permitan el cumplimiento de los requisitos descritos en el artículo 11 del real decreto y según lo acordado en el plan de implementación. El órgano competente podrá poner a su disposición guías técnicas de ayuda y asesoría personalizada que le faciliten las tareas que debe realizar en el contexto del entorno controlado de pruebas.
La adaptación de estos sistemas de inteligencia artificial al cumplimiento de los requisitos no debería implicar riesgos potenciales en materia de protección deconsumidores, de usuarios y de terceros que pudieran verse afectados. Los proveedores y usuarios participantes podrán apoyarse en estándares existentes, así como en evaluaciones previas.
Una vez finalizada la implantación de los requisitos en cada uno de los sistemas sometidos a prueba, el proveedor y, en su caso junto con el usuario del sistema, deberá de realizar un informe de impacto de género. Dicho informe servirá para evaluar en cada uno de los sistemas participantes como ha afectado la implantación de los requisitos en la reducción de la brecha de género.
- Declaración de cumplimiento de los requisitos.
A la finalización de esta primera etapa, una vez que los proveedores y usuarios participantes han realizado las debidas actuaciones para la implementación de los requisitos recogidos en el artículo 11 del real decreto, el proveedor participante deberá realizar la declaración de cumplimiento. Esta declaración de cumplimiento se inicia con un proceso de autoevaluación en el que participan tanto el proveedor IA participante como, en su caso, el usuario participante, dónde valorarán el cumplimiento de los requisitos previstos, para lo que seguirán las recomendaciones que el órgano competente facilite.
Una vez que el proveedor participante haya finalizado la autoevaluación y verificado el cumplimiento del punto anterior, presentará en la sede electrónica de la Secretaría de Estado de Digitalización e Inteligencia Artificial la documentación indicada. Seguidamente el órgano competente examinará los documentos asociados a la declaración de cumplimiento presentada, principalmente los que describen el sistema de gestión de la calidad, la documentación técnica o el plan de seguimiento posterior a la comercialización. Si analizada la documentación presentada el órgano competente consideraque la evaluación es favorable, emplazará al participante a realizar la exposición de la autoevaluación de cumplimiento de los requisitos, en la que el proveedor participante demostrará la pertinencia de la autoevaluación de cumplimiento de requisitos, justificando los puntos descritos. Por el contrario, si analizada la documentación presentada al órgano competente, éste considerara que el participante no cumple con los requisitos para superar la declaración de cumplimiento, le otorgará un plazo de tres meses con el objeto de permitir al participante cumplir debidamente con los requisitos. Transcurrido el plazo anterior, el incumplimiento de los requisitos para superar la declaración de cumplimiento implicará la finalización anticipada de las pruebas para esa entidad de acuerdo con el artículo 25 del real decreto.
- Seguimiento posterior a la comercialización.
Posteriormente, tanto el proveedor como, en su caso, el usuario participante juntamente con el primero, deberá implementar un sistema de seguimiento posterior a la comercialización. Para ello, los proveedores IA participantes documentarán un sistema de seguimiento tras la puesta en marcha del sistema de IA, que sea proporcional a los riesgos y al uso previsto del sistema de inteligencia artificial. Los datos necesarios para desarrollar el sistema de seguimiento tras la puesta en marcha se podrán recolectar de los usuarios del sistema o de otras fuentes relacionadas con dicho sistema durante el entorno controlado de pruebas, lo que permitirá al proveedor participante evaluar de forma continua el cumplimiento de los requisitos indicados en elartículo 11 del real decreto.
El sistema de seguimiento tras la puesta en marcha se basará en un plan de monitorización posterior a la comercialización que se incluirá en la documentación técnica a aportar que se contempla en el anexo VI del real decreto y para cuya redacción se seguirán las especificaciones que el órgano competente proporcione a tal efecto.
CAPÍTULO III - Desarrollo de las pruebas, validación del cumplimiento, seguimiento e incidencias (arts. 11 a 15)
- Cumplimiento de requisitos durante el desarrollo de las pruebas
El art. 11 del Real Decreto establece que “La participación en el entorno controlado de pruebas tendrá como objetivo cumplir” (probablemente habría resultado más correcto “comprobar el cumplimiento”), por parte de los proveedores de los sistemas de IA participantes, de los siguientes requisitos.
a) El sistema tiene establecido, implementado, documentado y mantenido un sistema de gestión de riesgo.
b) En el caso de sistemas de inteligencia artificial que impliquen entrenamientos con datos, que este entrenamiento se ha realizado (o se realizará) sobre conjuntos de datos de entrenamiento, validación y pruebas que cumplan los criterios de calidad especificados sobre la base de las indicaciones proporcionadas por el órgano competente.
c) El sistema dispone de una documentación técnica, conforme a lo indicado en el anexo VI de este real decreto, elaborada conforme a las especificaciones que facilitará el órgano competente. Esta documentación deberá actualizarse a lo largo de la duración del entorno controlado de pruebas.
d) El sistema permite técnicamente el registro automático de eventos (logs) a lo largo de todo su ciclo de vida. Estos registros serán guardados por el participante.
e) El sistema ha sido (o será) diseñado y desarrollado de manera que se asegure que su operación es suficientemente transparente para los usuarios del sistema, a efectos de interpretar los resultados de este y evitando generar sesgos discriminatorios para un uso adecuado del mismo.
f) El sistema está acompañado de instrucciones de uso en formato electrónico, que incluyen información sobre las características y prestaciones del sistema que sea concisa, completa, correcta, actualizada, clara, relevante, accesible y comprensible para los usuarios del sistema.
g) El sistema ha sido (o será) diseñados y desarrollados de manera que pueda ser supervisados por personas físicas durante los periodos en que esté en uso. A tal efecto contendrá interfaces humano-máquina apropiadas. En caso de que por las características del sistema dicha supervisión no pueda realizarse en tiempo real, deberá quedar recogido en las comunicaciones relacionadas con la transparencia del sistema.
h) El sistema ha sido (o será) diseñado y desarrollado de manera que consiga, teniendo en cuenta su finalidad prevista, un nivel adecuado de precisión, solidez y ciberseguridad. Estas dimensiones deberán funcionar de manera consistente a lo largo de su ciclo de vida.
CAPÍTULO IV - Garantías y responsabilidad de los participantes (arts. 16 a 19)
Los proveedores y los usuarios participantes en el entorno controlado de pruebas deberán cumplir con lo previsto en el Reglamento general de protección de datos (RGPD), en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) y, en lo que resulte de aplicación, en la Ley Orgánica 7/2021, de 26 mayo, de protección dedatos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, así como en el resto de la normativa sectorial aplicable, debiendo quedar todos los datos personales que se traten en los sistemas privados de los proveedores participantes o, en su caso, de los usuarios participantes según corresponda para comprobar los requisitos incluidos bajo dicha protección. Ello sin perjuicio de que alguno de los sistemas de alto riesgo indicados en el anexo II del real decreto que puedan participar en el entorno controlado de pruebas deban tener un análisis previo de la licitud del tratamiento.
- Responsabilidad de los participantes en el entorno.
Tanto el proveedor participante como, en su caso, el usuario participante será responsable de los daños sufridos por cualquier persona como consecuencia de la aplicación del sistema de inteligencia artificial en el contexto del entorno controlado de pruebas, siempre que dichos daños deriven de un incumplimiento o cuando medie culpa,negligencia o dolo por su parte. Admás, los usuarios participantes en el entorno controlado de pruebas se comprometen a cumplir con la normativa laboral vigente respecto de su personal laboral.
- Garantías de confidencialidad.
La garantía de confidencialidad se aplicará sobre la información que aporten tanto los proveedores participantes como, en su caso, los usuarios participantes sobre procedimientos propios de las empresas u otras entidades, planes comerciales,derechos de propiedad industrial e intelectual o secretos empresariales, así como sobre los datos e información facilitados durante el proceso de autoevaluación.
CAPÍTULO V - Canales de comunicación, obtención de Información, refinamiento de guías y otros documentos del entorno controlado de pruebas (arts. 20 a 22)
- Canales de comunicación.
Se habilitará un buzón de consultas específico en la sede electrónica del órganocompetente, para que puedan presentarse todas aquellas dudas o cuestiones suscitadasdurante la realización del entorno controlado de pruebas que serán contestadas en elperiodo más breve posible
- Obtención de información sobre el desarrollo del entorno.
Durante el transcurso del entorno controlado de pruebas, la Subdirección General de Inteligencia Artificial y Tecnologías Habilitadoras Digitales recabará información tanto de los proveedores como de los usuarios participantes sobre la maneraen que se han implementado las actuaciones pertinentes en cada sistema de IA; la forma en que se ha efectuado la autoevaluación de cumplimiento; la documentación técnica asociada a cada sistema de IA y sobre los sistemas de gestión de la calidad o del riesgo descritos en los anexos o guías.
- Redacción de guías y otros documentos.
La Secretaría de Estado de Digitalización e Inteligencia Artificial podrá ofrecer guías técnicas u otros documentos sobre aspectos que faciliten el desarrollo de sistemas de IA de una forma confiable, robusta y ética, basadas en las experiencias del entorno controlado de pruebas, que incorporarán de forma efectiva y transversal la perspectiva de género y que serán de libre acceso al público, en el momento que lo decida el órgano competente, y que podrán ser actualizadas a lo largo del desarrollo de dicho entorno.
Sorprendentemente, las guías técnicas y la documentación que elabore el órgano competente serán confidenciales basándose en el artículo 18 hasta el momento en el que este considere conveniente publicarlos.
CAPÍTULO VI - Finalización del entorno controlado de pruebas (arts. 23 a 25)
Previa a la finalización, tanto de los proveedores como los usuarios participantes, entregarán un informe a la Subdirección General de Inteligencia Artificial y Tecnologías Habilitadoras Digitales. Las entidades que hayan completado las fases del entorno controlado de pruebas recibirán un documento acreditativo de su participación en el mismo junto con un informe de valoración de los resultados obtenidos.
- Finalización anticipada de las pruebas.
Podrá declararse la finalización anticipada de las pruebas en el entorno de manera individualizada, dando por finalizada la experiencia sin éxito para ese proveedor o, en su caso, usuario participante, mediante resolución motivada del órgano competente en base a la concurrencia de alguna de las siguientes circunstancias: a) un incumplimiento del régimen jurídico previsto en artículo 4 del real decreto, en la convocatoria o en la resolución de admisión; b) Se ha cesado en el cumplimiento de alguno de los requisitos iniciales para la elegibilidad para la participación en el entorno controlado de pruebas contemplados en el artículo 5 del real decreto; c) Se ha producido un incumplimiento del deber de facilitar información requeridaen el marco de seguimiento establecido por el órgano competente previsto en el artículo 21 del real decreto; d) Se han producido incidentes graves o errores de funcionamiento en los sistemas de IA; e) Se ha identificado un riesgo no previsto en la memoria técnica; f) La entidad no aporta los recursos necesarios para implantación de los requerimientos acordados en el plan de implantación; g) La entidad no cumple con las acciones necesarias para superar la declaración de cumplimiento de acuerdo con lo previsto en el artículo 13 del real decreto o, .h) cualquier otra circunstancia que se previera en la convocatoria.
Título II - Participación y coordinación de otras entidades (arts. 26 a 30)
Este título contiene una serie de disposiciones relativas a la colaboración y coordinación entre autoridades, personas asesoras expertas y otros organismos españoles y europeos.
Entre ellas se prevé la constitución de un grupo de personas asesoras expertas, que estará integrado por profesionales independientes de reconocido prestigio y experiencia técnica en campos afines del conocimiento, con responsabilidades presentes o pasadas en el ámbito académico y universitario, en instituciones colegiales, asociaciones de otro tipo, o en el sector empresarial nombrados por resolución de la Secretaría de Estado de Digitalización e Inteligencia Artificial. Estos miembros del Grupo de personas asesoras expertas no podrán actuar ni como proveedores participantes, ni como usuarios participantes en el entorno controlado de pruebas.
Este grupo de personas expertas colaborará en el entendimiento y comprensión de la forma de implementar los requisitos aplicables a los sistemas de IA de alto riesgo, así como en la aportación de información relevante para la mejora de las guías técnicas.
En sus disposiciones adicional primera y segunda se indican, respectivamente, los medios así como los resultados esperados del entorno controlado de pruebas y en sus disposiciones finales primera y segunda se indican, respectivamente, el título competencial así como su vigencia y entrada en vigor.
Los anexos
Anexo I - Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial
Anexo II - Listado de áreas de sistemas de inteligencia artificial de alto riesgo específicos
Áreas en las cuales la utilización de sistemas de inteligencia artificial se consideran de alto riesgo:
1. Sistemas de identificación biométrica remota y de categorización de personas físicas.
2. Infraestructuras críticas.
Se refiere a los sistemas de IA destinados a utilizarse como componentes de seguridad en la gestión y funcionamiento de infraestructuras digitales críticas, del tráfico rodado y del suministro de agua, gas, calefacción y electricidad.
3. Educación y formación profesional
Se incluyen los sistemas de IA utilizados para determinar el acceso o la admisión de personas físicas a programas o centros educativos y de formación profesional, en todos los niveles, así como los sistemas de IA destinados a utilizarse para evaluar los resultados del aprendizaje
4. Empleo, gestión de trabajadores y acceso al autoempleo.
Se incluyen los sistemas de IA destinados a utilizarse para la contratación o la selección de personas físicas, en particular para analizar y filtrar las solicitudes de empleo y evaluar a los candidatos. Igualmente, los destinados a utilizarse para tomar decisiones relativas a la promoción y a la rescisión de relaciones contractuales de índole laboral, para la asignación de tareas a partir de comportamientos individuales o rasgos o características personales y para realizar un seguimiento y una evaluación del rendimiento y el comportamiento de las personas en el marco de dichas relaciones.
5. Acceso y disfrute de servicios públicos y privados esenciales y sus beneficios.
Se incluyen los sistemas de IA destinados a ser utilizados por las autoridades públicas o en su nombre para evaluar la admisibilidad de las personas físicas para acceder a servicios y ayudas esenciales de asistencia pública, así como para conceder, reducir, retirar o recuperar dichos servicios y ayudas.
Igualmente, los sistemas de IA destinados a utilizarse para evaluar la solvencia de personas físicas o establecer su calificación crediticia; los sistemas de IA destinados a utilizarse para el envío o el establecimiento de prioridades en el envío de servicios de primera intervención en situaciones de emergencia, por ejemplo, bomberos y servicios de asistencia médica y los sistemas de IA destinados a utilizarse para la evaluación de riesgos y la fijación de precios en relación con las personas físicas en el caso de los seguros de vida y de salud.
6. Asuntos relacionados con la aplicación de la ley.
Se refieren, principalmente, a los sistemas de IA destinados a ser utilizados por las autoridades encargadas de la aplicación de la ley o en su nombre para evaluar el riesgo de que una persona física cometa una infracción o reincida o el riesgo de que una persona física se convierta en posible víctima de infracciones penales. Incluye los polígrafos y herramientas similares, o para detectar el estado emocional de una persona física
7. Gestión de la migración, el asilo y el control fronterizo.
Incluye los sistemas de IA destinados a ser utilizados por las autoridades públicas competentes o en su nombre para evaluar un riesgo, como un riesgo para la seguridad, la salud o relativo a la migración irregular, que plantee una persona física que tenga la intención de entrar o haya entrado en el territorio de un Estado miembro; así como los sistemas de IA destinados a ser utilizados por las mismas autoridades públicas o en su nombre para a verificación de la autenticidad de documentos de viaje y los documentos justificativos de las personas físicas y la detección de documentos falsos mediante la comprobación de sus elementos de seguridad.
8. Actividad jurisdiccional y procesos democráticos.
Se refiere a los sistemas de IA destinados a ser utilizados por una autoridad judicial o en su nombre para interpretar hechos o la ley, así como para aplicar la ley a un conjunto concreto de hechos
Anexo III - Contenido mínimo de la Memoria Técnica para la solicitud de participación en el entorno
Anexo IV - Declaración responsable de cumplimiento del principio de responsabilidad proactiva en materia de protección de datos
Anexo V - Documentación que se podrá requerir para cumplimiento de la normativa del tratamiento de datos de carácter personal
Anexo VI - Documentación Técnica a presentar a la finalización de la implantación de los requisitos