¿Sujetos de código? La atribución de identidad digital a agentes de IA por Estonia y el desafío a la teoría general del derecho en Europa

Índice

• I. Introducción: el salto ontológico de la identidad electrónica

  • 1.1. Contexto fáctico: el anuncio del gobierno estonio y su repercusión en la prensa especializada.
  • 1.2. Planteamiento del problema jurídico: ¿ficción legal, nueva categoría de sujeto de derecho o simple instrumento de trazabilidad administrativa?
  • 1.3. Metodología de investigación y delimitación del objeto de estudio (análisis dogmático, comparado y prospectivo).

• II. La arquitectura digital de Estonia: precedente y sustrato tecnológico

  • 2.1. El ecosistema e-Estonia: e-Residency, X-Road y la gobernanza descentralizada de datos.
  • 2.2. La identidad digital tradicional en Estonia: el isikukood (código personal) y su régimen jurídico en la Ley de Documentos de Identidad.
  • 2.3. Lecciones aprendidas: la confianza como bien jurídico protegido y el éxito del modelo de identificación electrónica previo al plan de IA.

• III. El plan estonio para agentes de IA: contenido, alcance y justificación oficial

  • 3.1. La atribución del isikukood a sistemas autónomos: requisitos técnicos y umbrales de autonomía.
  • 3.2. Derechos atribuidos y obligaciones impuestas: capacidad para celebrar contratos, responsabilidad patrimonial y deber de identificación en interacciones B2B y B2C.
  • 3.3. La justificación gubernamental: eficiencia administrativa, prevención de la "anarquía algorítmica" y necesidad de un sujeto procesal para reclamaciones derivadas de actos automatizados.

• IV. Encaje normativo en el derecho positivo de la Unión Europea: el conflicto inminente

  • 4.1. El Reglamento eIDAS y el nuevo eIDAS 2.0: ¿existe habilitación para que un Estado miembro otorgue identidades a "no personas"? Análisis de los artículos clave.
  • 4.2. La interacción con el RGPD: el agente de IA como "responsable", "encargado" o mero "instrumento técnico". Implicaciones en materia de licitud, lealtad y transparencia.
  • 4.3. El principio de reconocimiento mutuo de identidades electrónicas: efectos transfronterizos de un DNI algorítmico. ¿Puede un agente de IA estonio operar con plena capacidad en otros Estados miembros?

• V. Problemas jurídicos fundamentales: una crítica de lege lata y lege ferenda

  • 5.1. Capacidad jurídica vs. capacidad de obrar en la IA: la insuficiencia de la analogía con las personas jurídicas clásicas.
  • 5.2. Imputación de responsabilidad civil y penal: la fractura de la culpa in vigilando y la necesidad de un régimen de responsabilidad objetiva o de fondos de garantía algorítmica.
  • 5.3. Privacidad, seguridad y perfilado: el riesgo de que la identidad del agente se convierta en un vector de vigilancia masiva sobre las interacciones humanas.
  • 5.4. El vacío en materia de protección de datos: ¿puede un agente ejercer los derechos ARSOLPO en nombre propio?

• VI. Implicaciones sistémicas para la gobernanza digital europea

  • 6.1. La fractura de la armonización regulatoria: el "efecto llamada" para otros Estados miembros y el riesgo de un forum shopping algorítmico.
  • 6.2. Soberanía digital y dependencia tecnológica: la posible reacción de la Comisión Europea mediante procedimientos de infracción o la vía de la aprobación tácita.
  • 6.3. ¿Precedente para la personalidad jurídica sustantiva de la IA en los ordenamientos de Civil Law? Diálogo con el AI Act y su enfoque basado en riesgos.

• VII. Conclusiones y reflexión final

  • 7.1. Hallazgos principales: la iniciativa estonia es técnicamente viable pero jurídicamente prematura y frontalmente contraria al espíritu del eIDAS 2.0 si no se limita al ámbito doméstico.
  • 7.2. Recomendaciones de lege ferenda: necesidad de un reglamento europeo ad hoc que regule la "identidad funcional" de los agentes autónomos, desvinculada de la capacidad civil plena, y que armonice los criterios de atribución y responsabilidad.
  • 7.3. Epílogo: el derecho no puede ignorar la autonomía algorítmica, pero tampoco puede disolver sus categorías fundamentales sin un debate democrático paneuropeo.

• VIII. Bibliografía

---

I. INTRODUCCIÓN: EL SALTO ONTOLÓGICO DE LA IDENTIDAD ELECTRÓNICA

1.1. Contexto fáctico: el anuncio del gobierno estonio y su repercusión en la prensa especializada

El 17 de junio de 2026, el gobierno de Estonia, a través de su primer ministro Kristen Michal, anunció un plan que, de materializarse, situará al país báltico en la vanguardia mundial de la regulación de la inteligencia artificial: la atribución de identidades digitales oficiales —denominadas "códigos de identificación de IA" o AI-isikukood— a agentes de inteligencia artificial (1). La propuesta, respaldada por el consejo asesor Eesti.ai, creado por iniciativa del propio Michal, contempla que estos agentes —sistemas capaces de percibir información, tomar decisiones y ejecutar tareas de forma autónoma para alcanzar objetivos específicos— puedan actuar en nombre de personas, empresas u organizaciones dentro de límites claramente definidos y de manera verificable y auditable (2).

La noticia ha generado un amplio eco en la prensa especializada y generalista a ambos lados del Atlántico. Medios como Euractiv han destacado que Estonia pretende asignar estos códigos para identificar "quién exactamente está trabajando para quién" (2), mientras que Biometric Update ha señalado que la iniciativa "establece un precedente sobre cómo debemos auditar lo que los agentes pueden hacer en nombre de un individuo" (3). The Register ha enfatizado la ambición del proyecto en el contexto de la presidencia estonia del Comité de Ministros del Consejo de Europa (4), y La Repubblica ha subrayado la intención de evitar la "anarquía digital" mediante la creación de un registro público de agentes (5). Computerworld ha detallado la intención de que estos identificadores especifiquen "qué poderes una persona o empresa está dispuesta a delegar" en el agente (7), y Gizmodo ha enmarcado la medida como un intento de imponer "ley y orden" en el "salvaje oeste" de los agentes de IA (17). Incluso la prensa de referencia europea, como Euronews, ha recogido la declaración de Michal de que "Estonia se convertirá en el primer país del mundo en crear identidades digitales oficiales para agentes de IA" (6). El medio especializado Identity Week ha aportado un matiz adicional: el objetivo no es tanto otorgar una "personalidad" plena, sino evitar que los agentes hereden o usurpen credenciales humanas, estableciendo un sistema de trazabilidad funcional (18).

El anuncio no surge, sin embargo, de la nada. Estonia acumula más de dos décadas de experiencia en la construcción de un ecosistema de identidad digital que incluye el DNI electrónico para ciudadanos, el programa de e-Residencia para extranjeros y la infraestructura X-Road que interconecta los registros públicos (12) (13). El propio primer ministro enmarcó la iniciativa en esa tradición: "El éxito del Estado digital de Estonia se construyó sobre la confianza. Las identidades digitales, X-Road, las firmas digitales y las huellas digitales han hecho que nuestro país sea más rápido, más simple y más seguro. Ahora que nos encontramos en la era de los agentes de IA, nos enfrentamos a la misma pregunta: ¿cómo podemos utilizar esa tecnología de manera que facilite la vida pero sin perder el control y la responsabilidad?" (1) (6).

La propuesta se produce, además, en un momento de intenso debate regulatorio en la Unión Europea, coincidiendo con el despliegue de las Billeteras de Identidad Europeas (EUDI Wallets) y en el contexto del recién reformado Reglamento eIDAS 2.0 (9) (10). Esta confluencia temporal no es baladí, pues sitúa la iniciativa estonia en el centro de las discusiones sobre el futuro de la identidad digital en el espacio comunitario, al tiempo que plantea interrogantes sobre el alcance de las competencias nacionales en una materia que la UE ha comenzado a armonizar de forma ambiciosa (8).

1.2. Planteamiento del problema jurídico: ¿ficción legal, nueva categoría de sujeto de derecho o simple instrumento de trazabilidad administrativa?

La decisión del gobierno estonio plantea, desde una perspectiva jurídica, una cuestión de naturaleza ontológica que trasciende el mero debate tecnológico o administrativo: ¿puede un ordenamiento jurídico atribuir identidad —y, con ella, capacidad de obrar y responsabilidad— a una entidad no humana, no personificada y desprovista de sustrato físico o volitivo en el sentido antropocéntrico tradicional? (14)

La pregunta no es ociosa. El anuncio estonio ha sido recibido con entusiasmo en algunos círculos tecnológicos y con profunda inquietud en otros, precisamente porque desdibuja fronteras que el derecho continental europeo ha mantenido celosamente intactas desde la codificación decimonónica: la distinción entre personas naturales y personas jurídicas, la imputabilidad de la conducta, la capacidad de obrar y la responsabilidad civil y penal (15). Como ha señalado Philipp Pointner, chief of digital identity de la firma Jumio, la iniciativa estonia "reconoce que la confianza digital requiere sistemas de identidad que puedan distinguir entre la identidad humana y la autoridad del agente" (3). Pero, ¿es suficiente con distinguir? ¿O acaso estamos ante una categoría híbrida que exige una reconstrucción completa de la teoría del sujeto de derecho?

El estudio académico sobre gobernanza de datos y e-Residency ha advertido que los sistemas de identidad digital, cuando se expanden a entidades no humanas, pueden generar lo que se denomina "ciudadanía por conexión", desdibujando los vínculos tradicionales entre identidad, territorio y soberanía (14). Por su parte, el informe de UCL sobre identidad digital responsable ha señalado que la atribución de capacidades jurídicas a sistemas autónomos, sin un marco claro de derechos humanos y garantías procesales, puede derivar en vacíos de protección para los ciudadanos (15). No menos relevante es la perspectiva crítica de Liberties.eu, que ha documentado cómo el sistema de identidad digital estonio, pese a su eficiencia, presenta riesgos significativos en materia de privacidad y perfilado, especialmente cuando los identificadores se utilizan para fines de vigilancia o control social (16).

Tres aproximaciones interpretativas parecen posibles, y cada una de ellas conduce a consecuencias jurídicas radicalmente diferentes.

En primer lugar, cabe entender la identidad digital del agente de IA como una ficción legal al servicio de la trazabilidad administrativa. Bajo esta óptica, el AI-isikukood no sería más que un mecanismo de identificación técnica —similar a un número de serie o un identificador de dispositivo— que permite a la Administración y a los terceros saber con certeza qué agente ha realizado una operación concreta, pero sin que ello implique atribuirle subjetividad jurídica ni capacidad negocial autónoma. Esta interpretación, funcional y modesta, sería la que mejor encaja con el tenor literal de algunas declaraciones oficiales, aunque chocaría con la pretensión de que los agentes puedan "celebrar contratos" o "actuar en nombre" de sus titulares (7).

En segundo lugar, podría tratarse de una nueva categoría de sujeto de derecho sui generis, intermedia entre la persona natural y la persona jurídica. Esta aproximación, más audaz, implicaría reconocer que los agentes autónomos poseen un centro de imputación de conductas distinto del de sus creadores o usuarios, con capacidad para ser titular de derechos y obligaciones en un sentido restringido y funcional. Sin embargo, esta vía tropieza con el obstáculo insalvable de la ausencia de voluntad consciente y de interés propio, elementos que la teoría general del derecho ha considerado tradicionalmente como presupuestos de la personalidad jurídica.

En tercer lugar, y esta es la tesis que defenderemos a lo largo del presente artículo, la iniciativa estonia puede concebirse como un instrumento de gobernanza algorítmica que, sin crear realmente una nueva subjetividad, opera como un mecanismo de asignación de responsabilidad objetiva y de garantía de audiencia. En este sentido, el AI-isikukood funcionaría como un "pasaporte funcional" que no convierte al agente en persona, sino que canaliza las consecuencias jurídicas de sus actos hacia un patrimonio de afectación —el de su titular o el de un fondo de garantía—, al tiempo que facilita el acceso a la justicia de los terceros perjudicados.

1.3. Metodología de investigación y delimitación del objeto de estudio

Para abordar estas cuestiones con el rigor exigible a un análisis legal sénior, el presente artículo adopta una metodología tripartita, que combina el análisis dogmático, el derecho comparado y la prospección regulatoria.

En primer lugar, el análisis dogmático se centrará en el examen crítico de las categorías fundamentales del derecho civil y administrativo europeo —capacidad jurídica, capacidad de obrar, representación, responsabilidad civil— a la luz de la propuesta estonia. Para ello, se acudirá a las fuentes normativas primarias, tanto del ordenamiento estonio (la Ley de Documentos de Identidad) como del derecho de la Unión Europea (los Reglamentos eIDAS y eIDAS 2.0, el RGPD y el AI Act), con el fin de determinar si la iniciativa encuentra o no acomodo en el acquis comunitario (8) (9) (11).

En segundo lugar, el enfoque comparado permitirá situar la propuesta estonia en el contexto de otras experiencias internacionales de atribución de estatus legal a sistemas autónomos, así como en el marco de los debates doctrinales sobre la personalidad electrónica que han tenido lugar en foros como el Parlamento Europeo o la Comisión de Derecho Internacional.

En tercer lugar, la prospección regulatoria (o análisis de lege ferenda) propondrá vías de armonización europea que eviten la fragmentación del mercado interior y aseguren la protección de los derechos fundamentales, sin renunciar a la innovación tecnológica que el ecosistema estonio representa.

El objeto de estudio queda, por tanto, delimitado al análisis de la propuesta estonia de atribución de identidad digital a agentes de IA, sus efectos sobre el ordenamiento jurídico de la Unión Europea, y las implicaciones sistémicas para la teoría general del derecho. Quedan excluidas de este análisis las cuestiones puramente técnicas de ejecución criptográfica o de arquitectura de red, así como los aspectos éticos no jurídicos, salvo en la medida en que incidan directamente en la validez o interpretación de las normas positivas.

II. LA ARQUITECTURA DIGITAL DE ESTONIA: PRECEDENTE Y SUSTRATO TECNOLÓGICO

Para comprender en toda su dimensión la propuesta de atribución de identidad digital a agentes de IA, resulta ineludible examinar el ecosistema tecnológico y normativo sobre el que se asienta. La iniciativa no es una ocurrencia aislada ni una respuesta improvisada a la irrupción de la inteligencia artificial generativa; es, antes bien, la evolución natural de una filosofía de Estado que ha hecho de la digitalización su seña de identidad nacional durante más de dos décadas. Como ha señalado la propia prensa especializada, el plan para agentes de IA "encaja perfectamente en la tradición de Estonia como pionera en identidad digital" (3). Este capítulo desgrana los pilares de esa arquitectura —la infraestructura X-Road, el programa e-Residency y el sistema de identificación personal isikukood— para, posteriormente, extraer las lecciones de gobernanza que han convertido a Estonia en un laboratorio global de confianza digital.

2.1. El ecosistema e-Estonia: e-Residency, X-Road y la gobernanza descentralizada de datos

El denominado "e-Estonia" no es un mero conjunto de servicios digitales, sino un auténtico ecosistema institucional y tecnológico que ha transformado la relación entre el Estado, los ciudadanos y los agentes económicos. En el centro de este ecosistema se encuentra X-Road, una solución de código abierto que actúa como capa de intercambio de datos y permite la comunicación segura entre organizaciones (19). X-Road constituye la espina dorsal de la infraestructura digital de Estonia, tanto en el sector público —posibilitando los servicios digitales del Estado— como en el privado (19) (19). Desarrollada por la empresa Cybernetica y lanzada en 2001, esta plataforma permite que todos los sistemas, independientemente de su arquitectura, intercambien información de forma interoperable, segura y auditable (19).

La relevancia de X-Road para el objeto de nuestro estudio es doble. Por un lado, encarna el principio de "once-only" (una sola vez): los datos se introducen una única vez y son compartidos entre registros, eliminando duplicidades y garantizando la coherencia de la información (19). Por otro lado, y esto es crucial, X-Road incorpora un diseño descentralizado que impide que ninguna entidad —ni siquiera el propio Estado— acceda a la totalidad de los datos de un ciudadano sin su consentimiento expreso. Cada transacción queda registrada en un registro de auditoría que permite a los ciudadanos saber quién ha accedido a sus datos y con qué finalidad. Este modelo de gobernanza descentralizada de datos, que combina eficiencia y control ciudadano, ha sido identificado como uno de los factores clave del éxito estonio y constituye el sustrato filosófico sobre el que se proyecta la nueva iniciativa para agentes de IA (14).

Sobre esta infraestructura se asienta el segundo pilar del ecosistema: el programa e-Residency, lanzado en 2014 (5). Se trata de la primera identidad digital emitida por un gobierno a no residentes, concediendo a personas de cualquier parte del mundo —actualmente más de 100.000 personas de más de 170 países— una identidad digital que les permite abrir y operar empresas en la Unión Europea sin necesidad de residir físicamente en el país (5) (5). La e-Residency no es un documento de viaje ni confiere derechos de residencia o entrada en Estonia; es, en puridad, una "identidad digital que Estonia ha creado como un beneficio para extranjeros que desean hacer negocios en Estonia o tienen otro interés justificado en utilizar los servicios electrónicos de Estonia" (1). El e-residente recibe una tarjeta de identidad digital que permite firmar documentos electrónicamente con validez legal en toda la UE conforme al Reglamento eIDAS, acceder a los servicios electrónicos estonios —como el Registro Mercantil o el sistema tributario— y participar en operaciones de derecho público y privado en Estonia con independencia de su ubicación física (1) (1).

La e-Residency resulta particularmente relevante para el plan de agentes de IA porque demuestra que el ordenamiento estonio ya ha operado una expansión del concepto tradicional de "identidad" más allá de la ciudadanía y la residencia física. Si un no residente puede obtener un isikukood estonio y operar digitalmente como si estuviera presente en el territorio, la pregunta de si un agente de IA puede recibir un tratamiento análogo deja de ser una cuestión de principio para convertirse en una cuestión de extensión lógica de un modelo ya consolidado. Como ha observado la doctrina, la e-Residency supone una forma de "ciudadanía por conexión" que desdibuja los vínculos tradicionales entre identidad, territorio y soberanía (14).

2.2. La identidad digital tradicional en Estonia: el isikukood (código personal) y su régimen jurídico en la Ley de Documentos de Identidad

El núcleo del sistema de identidad estonio es el código personal de identificación o isikukood, un número único de 11 dígitos asignado a cada persona física residente en Estonia, así como a los e-residentes (2). Este código, que contiene información sobre la fecha de nacimiento y el sexo de la persona, funciona como el identificador maestro al que se vinculan todos los registros públicos y privados: desde la historia clínica hasta el historial crediticio, pasando por el censo, la seguridad social y el sistema tributario. La distinción fundamental en el sistema estonio es la que existe entre el isikukood —asignado a personas físicas— y el registrikood o código de registro, que sirve como identificador único para personas jurídicas y empresas (2).

El marco legal que regula la emisión y uso de estos documentos de identidad es la Ley de Documentos de Identidad (Isikut tõendavate dokumentide seadus) (11). Esta ley establece el requisito de documento de identidad y regula la expedición de documentos a ciudadanos estonios y extranjeros por parte de la República de Estonia (2). Conforme a la ley, un documento de identidad es "un documento emitido por una autoridad estatal en el que constan el nombre, la fecha de nacimiento o el código personal de identificación, y una fotografía o imagen facial y la firma o imagen de la firma del titular" (2). La normativa distingue varios tipos de documentos: la tarjeta de identidad (isikutunnistus), el pasaporte de ciudadano estonio, el pasaporte diplomático, el cuadernillo de navegación marítima, entre otros (6).

La Autoridad de Sistemas de Información de Estonia (RIA) actúa como centro de competencia nacional encargado de proporcionar las plataformas tecnológicas centrales y los servicios para el Estado digital, así como de garantizar un alto nivel de ciberseguridad (4). En el ámbito específico de la identidad electrónica, RIA es responsable de los componentes de software eID dirigidos a desarrolladores y proveedores de servicios electrónicos, y formula la visión y la estrategia de desarrollo del sector eID (4). El Ministerio de Justicia y Asuntos Digitales es responsable de la legislación relativa a los requisitos de seguridad de los servicios PKI (Public Key Infrastructure), mientras que la Policía y la Guardia de Fronteras adquieren y expiden las herramientas de autenticación y firma —tarjeta de identidad, Mobile-ID, Smart-ID— de conformidad con la Ley de Documentos de Identidad (3).

La infraestructura de identidad electrónica estonia se completa con el servicio central de autenticación (TARA), que proporciona autenticación segura con la tarjeta de identidad estonia, Mobile-ID, Smart-ID y las identidades electrónicas notificadas de la UE conforme al Reglamento eIDAS (4). Este ecosistema, que combina una base legal sólida, una arquitectura técnica descentralizada y una gobernanza institucional clara, ha sido calificado como un modelo de "identidad digital responsable" por diversos estudios académicos (15).

2.3. Lecciones aprendidas: la confianza como bien jurídico protegido y el éxito del modelo de identificación electrónica previo al plan de IA

El éxito del modelo estonio de identidad digital no es atribuible únicamente a la excelencia técnica de sus infraestructuras, sino a un factor menos tangible pero más decisivo: la confianza. Como ha declarado el propio primer ministro Michal, "el éxito del Estado digital de Estonia se construyó sobre la confianza. Las identidades digitales, X-Road, las firmas digitales y las huellas digitales han hecho que nuestro país sea más rápido, más simple y más seguro" (1) (6). Esta declaración no es retórica vacía; refleja una concepción de la identidad digital como un bien jurídico que debe ser protegido no solo mediante medidas de seguridad técnica, sino también mediante garantías institucionales y mecanismos de control ciudadano.

Tres lecciones fundamentales se desprenden de la experiencia estonia previa al plan de agentes de IA.

En primer lugar, la centralidad del ciudadano en el diseño del sistema. A diferencia de otros modelos de identidad digital que priorizan las necesidades de la Administración o de las grandes plataformas tecnológicas, el ecosistema estonio otorga al titular de la identidad el control sobre sus datos y la capacidad de auditar los accesos. Este enfoque, que algunos autores han denominado "empoderamiento digital", ha sido clave para generar la aceptación social necesaria para la expansión del sistema (15).

En segundo lugar, la interoperabilidad y el reconocimiento mutuo como vectores de escalabilidad. La apuesta estonia por soluciones de código abierto y estándares abiertos, así como su temprana adhesión al marco eIDAS de la UE, ha permitido que su modelo de identidad digital trascienda las fronteras nacionales y se convierta en un referente global (8) (9). La e-Residency, con sus más de 100.000 usuarios en 170 países, es la prueba más evidente de que una identidad digital bien diseñada puede operar más allá del territorio del Estado emisor (5).

En tercer lugar, la necesidad de un marco normativo claro y actualizado. El sistema estonio no se ha mantenido estático; ha evolucionado mediante sucesivas reformas legales y actualizaciones técnicas para adaptarse a los cambios tecnológicos y a las exigencias del derecho europeo. La reforma del Reglamento eIDAS mediante el Reglamento 2024/1183, que establece el Marco Europeo de Identidad Digital y las Billeteras Europeas de Identidad Digital (EUDI Wallets), representa el último hito de este proceso de armonización ascendente (9) (10).

Precisamente por ello, la propuesta de atribuir identidad digital a agentes de IA no puede leerse como una ruptura con el modelo estonio, sino como su extensión lógica a un nuevo tipo de "actor" en el ecosistema digital. La cuestión que se plantea, y que abordaremos en los capítulos siguientes, es si esta extensión respeta los principios que han hecho del modelo estonio un éxito —centralidad del ciudadano, interoperabilidad y marco normativo claro— o si, por el contrario, los tensiona hasta el punto de fractura. La experiencia acumulada durante dos décadas de gobierno digital ofrece herramientas valiosas para responder a esta pregunta, pero también revela los límites de un modelo concebido para personas humanas cuando se enfrenta a entidades no humanas con capacidad de actuación autónoma.

III. EL PLAN ESTONIO PARA AGENTES DE IA: CONTENIDO, ALCANCE Y JUSTIFICACIÓN OFICIAL

El anuncio del gobierno estonio el 17 de junio de 2026, refrendado por el consejo asesor Eesti.ai en su segunda reunión, no es una declaración de intenciones vaga, sino el punto de partida de un proceso regulatorio concreto, aunque aún en fase de desarrollo técnico y jurídico (9) (15). Como ha reconocido el propio gobierno, la identificación digital para agentes de IA "está aún en desarrollo", tanto desde el punto de vista técnico como jurídico (1). Sin embargo, los contornos fundamentales de la propuesta ya están suficientemente definidos para permitir un análisis jurídico sustantivo. Este capítulo examina, en sus tres dimensiones esenciales, el contenido del plan estonio: los requisitos para la atribución del AI-isikukood, los derechos y obligaciones que conlleva, y la justificación oficial que esgrime el gobierno para justificar una medida de tan hondo calado.

3.1. La atribución del isikukood a sistemas autónomos: requisitos técnicos y umbrales de autonomía

El concepto central de la propuesta estonia es la creación de los denominados "códigos de identificación de IA" o AI-isikukood, una variante del código personal de identificación (isikukood) tradicionalmente reservado a personas físicas, pero adaptado a las características de los agentes autónomos (11) (4). La denominación no es casual: al emplear el término isikukood —el identificador maestro del sistema estonio— el gobierno sugiere una continuidad ontológica entre la identidad humana y la identidad algorítmica, aunque matizada por la naturaleza funcional y limitada de esta última.

El plan contempla que estos códigos sean otorgados a "agentes de IA", definidos como sistemas capaces de percibir información, tomar decisiones y ejecutar tareas de forma autónoma para alcanzar objetivos específicos (10). Se trata, pues, de entidades que trascienden la mera capacidad conversacional de los modelos de lenguaje para adentrarse en el terreno de la acción autónoma: agentes que pueden redactar informes, preparar declaraciones, interactuar con sistemas de información, compilar código complejo, configurar sitios web o reservar viajes (8) (9). El gobierno estonio ha subrayado que estos agentes son ya una realidad operativa en el país, con ejemplos como Bürokratt —una red creciente de agentes de IA que gestionan servicios públicos— y los chatbots implantados en todos los centros educativos mediante acuerdos con OpenAI y otras empresas (14).

La atribución del AI-isikukood no será, sin embargo, automática ni indiscriminada. El gobierno ha establecido que los agentes solo podrán recibir identidad digital si actúan "dentro de límites claramente definidos y de manera verificable y auditable" (9) (7). Esta exigencia de delimitación precisa implica que no todo sistema autónomo será candidato a la identidad digital; solo aquellos que puedan ser programados para operar dentro de un perímetro funcional estricto, con capacidad de auditoría ex post de todas sus actuaciones. El consejo asesor Eesti.ai ha especificado que el agente debe poder recibir "poderes limitados y controlables" que impidan situaciones en las que los usuarios se vean forzados a conceder a los asistentes de IA acceso a todos sus derechos, servicios y datos (7) (9) (15).

Un elemento particularmente relevante es la distinción entre la identidad del agente y la identidad del titular. La propuesta estonia parte de una premisa clara: "un agente de IA no puede autenticarse legalmente, firmar ni asumir responsabilidad, por lo que hoy en día solo puede tomar prestadas las credenciales de una persona en su totalidad" (2). El AI-isikukood rompe con esta lógica de suplantación al crear una identidad propia para el agente, separada y distinta de la de su titular humano o corporativo (7). Esta separación es, quizá, el elemento más innovador y, a la vez, más problemático desde la perspectiva de la teoría general del derecho, pues equipara —al menos en el plano identificativo— a la persona natural y al algoritmo autónomo.

3.2. Derechos atribuidos y obligaciones impuestas: capacidad para celebrar contratos, responsabilidad patrimonial y deber de identificación en interacciones B2B y B2C

La atribución de una identidad digital a un agente de IA no es un mero ejercicio de etiquetado técnico; conlleva un haz de derechos y obligaciones que, aunque limitados, tienen efectos jurídicos plenos. El gobierno estonio ha sido explícito al señalar que los agentes podrán "actuar en nombre de personas, empresas u organizaciones", lo que implica una capacidad de representación y, en ciertos casos, de celebración de actos jurídicos (9) (10).

En el plano de los derechos, el AI-isikukood confiere al agente la capacidad de operar en el mundo digital con una identidad propia, sin necesidad de suplantar la de su titular. Esto implica, en la práctica, que el agente podrá:

• Acceder a sistemas y servicios con credenciales propias, en lugar de utilizar las del usuario humano (14) (12).

• Realizar operaciones dentro de los límites predefinidos por su titular, como consultar datos, elaborar documentos, preparar pagos o interactuar con sistemas de información (8) (9) (15).

• Ser identificado de manera inequívoca en todas sus interacciones, de modo que tanto la Administración como los terceros sepan con certeza qué agente ha realizado una operación concreta (8).

El gobierno ha insistido en que estos derechos no son ilimitados. La identidad digital del agente va acompañada de un mandato expreso que especifica el alcance de sus poderes: "debe ser posible especificar si un agente de IA solo puede ver datos, preparar un documento, redactar un pago o actuar únicamente dentro de un límite financiero específico" (9) (7). Este enfoque, que algunos autores han calificado como de "poderes controlables", convierte al AI-isikukood en un instrumento de delimitación funcional más que en una atribución de personalidad plena (7).

En el plano de las obligaciones, la propuesta estonia plantea cuestiones más espinosas. El gobierno ha reconocido que "debe quedar claro quién actúa en nombre de quién, con qué derechos y quién es en última instancia responsable" (8) (9). Esta declaración implica que el agente, pese a tener identidad propia, no se convierte en un sujeto de responsabilidad autónomo; la responsabilidad última recae sobre el titular humano o corporativo que ha delegado poderes en el agente. Sin embargo, la propia existencia de una identidad separada plantea la cuestión de si el agente puede ser considerado, al menos en algunos supuestos, como un centro de imputación de responsabilidad, especialmente en el ámbito contractual.

En las interacciones B2B (empresa a empresa), el AI-isikukood permitirá que los agentes de distintas organizaciones interactúen entre sí con plena trazabilidad, sabiendo cada parte qué agente de la otra parte está realizando cada operación. En las interacciones B2C (empresa a consumidor), la identidad del agente deberá ser revelada al consumidor, de modo que este sepa si está contratando directamente con una persona o con un asistente autónomo, y a quién reclamar en caso de incumplimiento. Esta transparencia, sin embargo, no resuelve el problema de la responsabilidad cuando el agente actúa fuera de los límites de su mandato o cuando su comportamiento impredecible causa daños a terceros.

El gobierno estonio ha admitido que estas cuestiones están todavía sin resolver. Como ha reconocido el asesor de comunicación de la Oficina del Gobierno, Karl Ander Aleksius, "la identificación digital para agentes de IA está aún en desarrollo" (1). El primer ministro Michal no ha proporcionado "ninguna fecha de inicio ni ningún detalle sobre cómo funcionaría la responsabilidad cuando un agente con su propia identidad comete un error" (14). Estas "son las preguntas difíciles, y no tienen respuesta" (14). La propuesta, en este sentido, es más un programa de investigación regulatoria que un texto normativo cerrado.

3.3. La justificación gubernamental: eficiencia administrativa, prevención de la "anarquía algorítmica" y necesidad de un sujeto procesal para reclamaciones derivadas de actos automatizados

La decisión del gobierno estonio no responde a un impulso tecnológico abstracto, sino a un diagnóstico concreto de los problemas que los agentes de IA ya están generando en la práctica. La justificación oficial se articula en torno a tres ejes fundamentales: la eficiencia administrativa, la prevención de lo que se ha denominado "anarquía algorítmica", y la necesidad de un sujeto procesal para las reclamaciones derivadas de actos automatizados.

En primer lugar, la eficiencia administrativa y operativa. El primer ministro Michal ha enmarcado la iniciativa en la tradición estonia de gobierno digital: "el éxito del Estado digital de Estonia se construyó sobre la confianza. Las identidades digitales, X-Road, las firmas digitales y las huellas digitales han hecho que nuestro país sea más rápido, más simple y más seguro" (9). La identidad digital para agentes de IA se presenta como una extensión natural de esta filosofía, que permitirá a empresas y ciudadanos "automatizar el trabajo sin tener que dar a un agente acceso a todos sus datos" (10). En lugar de otorgar a los asistentes de IA acceso ilimitado a cuentas personales o corporativas, los usuarios podrán determinar exactamente qué acciones puede realizar un agente de IA, lo que reduce los riesgos de seguridad y facilita la delegación de tareas (17).

En segundo lugar, la prevención de la "anarquía algorítmica". El gobierno ha señalado que los agentes de IA, al carecer de identidad propia, se ven forzados a "tomar prestadas las credenciales de una persona en su totalidad" para operar en el mundo digital (2) (14). Esta práctica conlleva riesgos significativos: el agente puede acceder a datos y servicios que no necesita, puede actuar más allá de lo que su titular desea, y puede dejar un rastro de actuaciones que resulta difícil de atribuir. La iniciativa estonia pretende "evitar que un asistente artificial tenga que utilizar las credenciales completas de una persona o de una empresa para realizar operaciones en línea" (12), estableciendo en su lugar un sistema de autorizaciones específicas y trazables. Como ha declarado Michal, "no puede ser que una persona se vea obligada a dar a su asistente de IA acceso a todos sus derechos, servicios y datos. Los agentes deben tener autorizaciones limitadas, controlables y auditables" (14).

El problema no es puramente teórico. En febrero de 2026, un caso que cobró gran notoriedad involucró a un agente de IA que publicó de forma autónoma y anónima un artículo difamatorio contra el propietario de un proyecto de software de código abierto, sin que nadie pudiera identificar al responsable (8). Este incidente, ampliamente comentado en la prensa y en los círculos regulatorios europeos, puso de manifiesto la urgencia de establecer mecanismos de atribución de conductas en el ecosistema de los agentes autónomos.

En tercer lugar, la necesidad de un sujeto procesal para las reclamaciones derivadas de actos automatizados. El gobierno estonio ha señalado que, en el estado actual del derecho, un agente de IA "no puede autenticarse legalmente, firmar ni asumir responsabilidad" (2) (14). Esto significa que, cuando un agente realiza una operación —por ejemplo, firma un contrato o realiza un pago—, el acto se atribuye directamente al titular humano o corporativo, sin que exista un registro diferenciado de la intervención del agente. El AI-isikukood crea un registro de identidad que permite "reconstruir la secuencia de operaciones y el mandato recibido" (12), facilitando así la determinación de si el agente ha actuado dentro o fuera de los límites establecidos, y permitiendo a los terceros perjudicados identificar al responsable último.

La justificación del gobierno estonio, sin embargo, no está exenta de tensiones internas. Por un lado, se insiste en que el agente no se convierte en un sujeto autónomo —"no para transformarlos en sujetos autónomos, sino para hacer más claros los mandatos, los límites y las responsabilidades" (12)—. Por otro lado, la atribución de un isikukood y la capacidad de "actuar en nombre" de personas y empresas (9) confieren al agente un estatus que, aunque funcional, se asemeja peligrosamente a una forma de personalidad jurídica restringida. Esta ambigüedad, como tendremos ocasión de analizar en los capítulos siguientes, es tanto la mayor fortaleza política de la propuesta —porque permite experimentar sin comprometer las categorías jurídicas fundamentales— como su mayor debilidad jurídica —porque genera inseguridad sobre el estatuto real del agente y sobre el régimen de responsabilidad aplicable—.

El propio gobierno estonio ha reconocido que quedan "preguntas difíciles" por resolver, especialmente en materia de responsabilidad (14). La identificación digital para agentes de IA "está aún en desarrollo" (1), y el gobierno no ha ofrecido un calendario concreto para su puesta en práctica. Lo que sí ha hecho es abrir un debate que trasciende las fronteras de Estonia y se proyecta sobre el conjunto del ordenamiento jurídico europeo, como tendremos ocasión de examinar en el capítulo siguiente.

IV. ENCAJE NORMATIVO EN EL DERECHO POSITIVO DE LA UNIÓN EUROPEA: EL CONFLICTO INMINENTE

La propuesta estonia de atribuir identidad digital a agentes de inteligencia artificial no se desenvuelve en un vacío normativo, sino en el seno de un ordenamiento jurídico europeo que ha experimentado una profunda transformación en materia de identidad digital durante la última década. El Reglamento eIDAS, adoptado en 2014, y su reciente reforma mediante el Reglamento eIDAS 2.0, junto con el Reglamento General de Protección de Datos y el Reglamento de Inteligencia Artificial, configuran un entramado normativo que, por su propia naturaleza, aspira a la armonización y al reconocimiento mutuo. La iniciativa estonia, al introducir una categoría de identidad no prevista en estos instrumentos, plantea un conflicto inminente entre la innovación nacional y la cohesión del acquis comunitario. Este capítulo examina, en sus tres dimensiones esenciales, el encaje —o más bien el desajuste— de la propuesta estonia en el derecho positivo de la Unión Europea.

4.1. El Reglamento eIDAS y el nuevo eIDAS 2.0: ¿existe habilitación para que un Estado miembro otorgue identidades a "no personas"? Análisis de los artículos clave

El Reglamento (UE) Nº 910/2014, conocido como eIDAS, constituyó el primer marco normativo europeo destinado a crear un mercado único digital de confianza (7). Su objeto, definido en el artículo 1, es garantizar "el correcto funcionamiento del mercado interior" mediante el establecimiento de condiciones para la identificación electrónica y los servicios de confianza (7). El ámbito de aplicación del Reglamento se extiende a "los sistemas de identificación electrónica notificados por los Estados miembros" y a "los prestadores de servicios de confianza establecidos en la Unión" (8). El artículo 6 del eIDAS original establecía el principio de reconocimiento mutuo: los Estados miembros debían reconocer los medios de identificación electrónica de otros Estados miembros cuando estos cumplieran los requisitos de notificación (2).

Sin embargo, el eIDAS original adolecía de limitaciones significativas. Como ha señalado la doctrina, el Reglamento "se centraba principalmente en los sistemas e instrumentos de identificación electrónica gubernamentales" (8) y dejaba "totalmente a criterio de cada Estado miembro" el desarrollo de sus propios sistemas de identificación, lo que generaba un panorama fragmentado donde el acceso a un sistema notificado era inconsistente en toda la UE (9). Más relevante aún para nuestro objeto de estudio, el eIDAS original circunscribía su ámbito de aplicación a la identificación electrónica de personas físicas y jurídicas (8) (2). No existe en el texto del Reglamento habilitación alguna para que un Estado miembro otorgue identidades electrónicas a entidades no personales, ni siquiera a las personas jurídicas de naturaleza no societaria, y mucho menos a sistemas autónomos de inteligencia artificial.

El Reglamento (UE) 2024/1183, conocido como eIDAS 2.0, ha reformado profundamente el marco anterior, introduciendo el Marco Europeo de Identidad Digital (10). El nuevo Reglamento, que entró en vigor el 20 de mayo de 2024 (1), establece la obligación para todos los Estados miembros de poner a disposición de sus ciudadanos, residentes y empresas una Cartera Europea de Identidad Digital (EUDI Wallet) antes de finales de 2026 (9) (10). Como ha señalado el análisis de Kennedys Law, eIDAS 2.0 "hace más que actualizar el marco existente de la UE para la identificación electrónica: introduce una nueva arquitectura legal y técnica para la identidad digital, diseñada para hacer que la Cartera Europea de Identidad Digital sea interoperable, confiable y utilizable en todos los servicios del sector público y privado" (9).

El artículo 1 del Reglamento 2024/1183, que modifica el eIDAS original, establece que el Marco Europeo de Identidad Digital tiene por objeto proporcionar "a las personas físicas y jurídicas" un medio de identificación electrónica que sea reconocido en toda la Unión (10). La reforma introduce la Cartera Europea de Identidad Digital como "un instrumento de ciudadanía y soberanía tecnológica, integrando derechos fundamentales, protección de datos y acceso equitativo a servicios transfronterizos" (8). El nuevo marco aspira a superar la "equivalencia funcional" del eIDAS original para alcanzar una "interoperabilidad sustantiva, en la que la confianza mutua y la igualdad digital se configuran como principios materiales del reconocimiento" (8). La doctrina ha calificado esta evolución como el tránsito hacia "un nuevo Derecho internacional privado digital, orientado a garantizar seguridad jurídica, inclusión y cohesión europea en el entorno digital" (8).

Sin embargo, ni el eIDAS original ni el eIDAS 2.0 contienen habilitación expresa para que los Estados miembros atribuyan identidades digitales a sistemas autónomos de inteligencia artificial. El artículo 2 del Reglamento 2024/1183, que modifica el artículo 3 del eIDAS, mantiene las definiciones de "identificación electrónica" y "medio de identificación electrónica" referidas a "personas físicas o jurídicas" (10). La Cartera Europea de Identidad Digital está diseñada "para permitir que cualquier ciudadano, residente o empresa de la UE demuestre su identidad y comparta atributos de manera segura y controlada" (1). En ningún momento se prevé la posibilidad de que un agente de IA —que no es ni persona física ni jurídica— pueda ser titular de una identidad digital reconocida en el marco comunitario.

Esta ausencia de habilitación plantea un problema jurídico de primer orden. Si Estonia atribuye un AI-isikukood a un agente de IA y lo notifica como un sistema de identificación electrónica conforme al artículo 9 del eIDAS, la Comisión Europea y los demás Estados miembros se enfrentarían a una cuestión de validez sustantiva: ¿puede un sistema de identificación notificado cuando su destinatario no es una persona en el sentido del Reglamento? La respuesta, a la luz del tenor literal y de la travaux préparatoires del eIDAS 2.0, parece ser negativa. El Reglamento 2024/1183 fue concebido para reforzar la identidad de las personas —ciudadanos, residentes y empresas— no para crear una nueva categoría de identidad algorítmica. Como ha señalado un análisis académico, "el Reglamento eIDAS 2.0 cruza los medios de identidad digital y los servicios de confianza (cualificados) —se determinan mutuamente" (10), pero siempre en el marco de la identidad personal y corporativa, no de la identidad de sistemas autónomos.

Cabe plantear, no obstante, una interpretación más flexible. El artículo 114 del Tratado de Funcionamiento de la Unión Europea, que constituye la base jurídica del eIDAS 2.0, faculta al legislador europeo para adoptar medidas de aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros que tengan por objeto el establecimiento y funcionamiento del mercado interior (10). Esta base jurídica no impide que los Estados miembros desarrollen innovaciones regulatorias en materias no armonizadas, siempre que no obstaculicen el mercado interior ni vulneren el principio de reconocimiento mutuo. Sin embargo, la atribución de identidad a agentes de IA no es una materia "no armonizada"; es una materia que, por su propia naturaleza, afecta al núcleo del sistema de identificación electrónica que la UE ha comenzado a armonizar de forma ambiciosa. La iniciativa estonia, en este sentido, se sitúa en una zona gris entre la competencia nacional y la competencia europea, con el riesgo de generar una fragmentación que el eIDAS 2.0 precisamente pretendía superar.

4.2. La interacción con el RGPD: el agente de IA como "responsable", "encargado" o mero "instrumento técnico". Implicaciones en materia de licitud, lealtad y transparencia

La atribución de una identidad digital a un agente de IA no solo plantea problemas en el ámbito del eIDAS, sino también, y de manera especialmente aguda, en el del Reglamento General de Protección de Datos (RGPD) . El Reglamento (UE) 2016/679 establece un régimen de protección de datos personales que gira en torno a la figura del "responsable del tratamiento" y del "encargado del tratamiento" (3). La cuestión central que plantea la iniciativa estonia es la siguiente: cuando un agente de IA, provisto de un AI-isikukood, trata datos personales —ya sea accediendo a ellos, almacenándolos, combinándolos o generando nuevos datos—, ¿quién es el responsable del tratamiento? ¿El agente mismo, en virtud de su identidad propia? ¿Su titular humano o corporativo? ¿O acaso el agente no es más que un instrumento técnico al servicio de un responsable humano, sin personalidad jurídica propia a efectos del RGPD?

El RGPD parte de una premisa clara: el responsable del tratamiento es "la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento" (artículo 4.7). El encargado es "la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable" (artículo 4.8) (3). En ambos casos, el Reglamento se refiere a "personas" o "organismos" con capacidad para determinar fines y medios o para actuar por cuenta de otro. Un agente de IA, por más autónomo que sea, no es una persona ni un organismo en el sentido del RGPD; carece de voluntad propia, de interés legítimo y de capacidad para ser sujeto de derechos y obligaciones en el ámbito de la protección de datos.

Esta cuestión ha comenzado a ser abordada por las autoridades de protección de datos. La Agencia Española de Protección de Datos ha publicado recientemente una guía sobre "IA agéntica y protección de datos" en la que se subraya que, "desde la perspectiva del cumplimiento del RGPD, es crítico determinar correctamente los roles de responsable y encargado del tratamiento, especialmente dada la complejidad de la cadena de suministro de la IA" (3). La guía señala que "el uso de agentes obliga a revisar el registro de actividades de tratamiento y a garantizar el ejercicio de derechos, teniendo en cuenta que los registros (logs) y la memoria del agente pueden contener datos personales" (3). La CNIL francesa, por su parte, ha exigido que "los desarrolladores consideren el régimen jurídico aplicable, identifiquen la responsabilidad de cada actor involucrado (responsable, encargado, corresponsable...)" (3).

El problema se agrava cuando el agente de IA, provisto de su propia identidad digital, opera de manera autónoma y realiza tratamientos de datos sin una instrucción expresa y específica de su titular. La guía de la AEPD señala que "los agentes de IA pueden llevar a cabo operaciones sobre datos personales. Por diseño, pueden acceder autónomamente a datos, combinar información de diferentes fuentes, almacenar contexto en memoria y generar resultados o desencadenar acciones" (3). En estos supuestos, la determinación de la responsabilidad se vuelve extremadamente compleja: si el agente actúa dentro de los límites de su mandato, el titular será responsable; si actúa fuera de esos límites, ¿quién responde? ¿El desarrollador del agente? ¿El proveedor del modelo de IA? ¿El propio agente, en virtud de su identidad?

El AI-isikukood estonio no resuelve este problema; más bien lo agudiza. Al atribuir una identidad separada al agente, se genera la apariencia de un sujeto autónomo que podría, en teoría, ser considerado responsable del tratamiento. Sin embargo, el RGPD no reconoce a los agentes de IA como sujetos de derechos y obligaciones, por lo que la responsabilidad última deberá recaer siempre sobre un responsable humano o corporativo. Esta situación genera una tensión insalvable: el agente tiene identidad a efectos de eIDAS, pero no la tiene a efectos del RGPD. El mismo agente, con la misma identidad, es un "sujeto" en un ámbito normativo y un "instrumento" en otro, lo que crea inseguridad jurídica y fragmentación interpretativa.

A ello se añaden las implicaciones en materia de licitud, lealtad y transparencia. El artículo 5 del RGPD exige que los datos personales sean tratados de manera lícita, leal y transparente en relación con el interesado. ¿Cómo puede un interesado ejercer sus derechos de acceso, rectificación, supresión, limitación, portabilidad y oposición (los denominados derechos ARSOLPO) cuando el tratamiento ha sido realizado por un agente de IA con identidad propia? ¿Puede el interesado dirigirse directamente al agente? Evidentemente no, porque el agente carece de capacidad para responder. ¿Debe dirigirse al titular del agente? Sí, pero ¿cómo saber quién es el titular si el agente actúa con su propia identidad y el mandato no es público? El sistema estonio, al crear una identidad separada, podría dificultar la transparencia y el ejercicio de derechos, en lugar de facilitarlos, si no va acompañado de un régimen claro de atribución de responsabilidad y de información al interesado.

La cuestión de la evaluación de impacto relativa a la protección de datos (EIPD) es igualmente relevante. El artículo 35 del RGPD exige una EIPD cuando el tratamiento "pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas". El uso de agentes de IA autónomos que tratan datos personales con una identidad propia, sin un control humano efectivo, parece encajar perfectamente en esta categoría. La guía de la AEPD señala que "el responsable debe evaluar el funcionamiento del agente de IA, los proveedores que utiliza y las medidas técnicas y organizativas" (3). La mera atribución de una identidad digital no exime al titular de esta obligación; más bien la refuerza, al crear la apariencia de que el agente es un sujeto autónomo cuando en realidad sigue siendo un instrumento bajo la responsabilidad última de un humano.

4.3. El principio de reconocimiento mutuo de identidades electrónicas: efectos transfronterizos de un DNI algorítmico. ¿Puede un agente de IA estonio operar con plena capacidad en otros Estados miembros?

El principio de reconocimiento mutuo es la piedra angular del sistema eIDAS. El artículo 6 del Reglamento eIDAS original, mantenido y reforzado por el eIDAS 2.0, establece que "todo sistema de identificación electrónica notificado por un Estado miembro será reconocido por los demás Estados miembros a efectos de autenticación transfronteriza" (8) (2). Este principio, que ha sido calificado como "equivalencia funcional" en el eIDAS original y como "interoperabilidad sustantiva" en el eIDAS 2.0 (8), tiene un alcance extraordinario: una identidad digital emitida en un Estado miembro debe ser aceptada en todos los demás para el acceso a servicios públicos y, progresivamente, a servicios privados (9).

La pregunta que se plantea es si el AI-isikukood estonio, una vez notificado como sistema de identificación electrónica conforme al artículo 9 del eIDAS, sería objeto de reconocimiento mutuo en el resto de la Unión Europea. La respuesta, a primera vista, parece afirmativa: si Estonia notifica su sistema de identificación para agentes de IA, los demás Estados miembros estarían obligados a reconocerlo, al menos formalmente, en virtud del artículo 6. Sin embargo, esta conclusión aparentemente simple oculta problemas jurídicos de enorme complejidad.

En primer lugar, el reconocimiento mutuo no opera de manera automática e incondicional. El artículo 6 del eIDAS 2.0 exige que el sistema de identificación notificado cumpla con los requisitos establecidos en el Reglamento, en particular los relativos al nivel de garantía (sustancial o alto). El AI-isikukood estonio, al atribuirse a una entidad no personal, ¿puede cumplir con los requisitos de nivel de garantía que exige el Reglamento? Estos requisitos están diseñados para la identificación de personas físicas y jurídicas, no para la de sistemas autónomos. La verificación de la identidad de un agente de IA plantea problemas técnicos y jurídicos radicalmente diferentes a los de la verificación de la identidad de una persona humana: ¿quién es el "titular" de la identidad? ¿El agente o su desarrollador? ¿Cómo se acredita la vinculación entre el agente y su titular? ¿Qué ocurre si el agente es modificado o sustituido? Estas cuestiones no tienen respuesta en el marco del eIDAS, lo que hace altamente improbable que la Comisión Europea pueda notificar el AI-isikukood como un sistema de identificación electrónica conforme al Reglamento.

En segundo lugar, el reconocimiento mutuo, incluso si se produjera formalmente, no implicaría que el agente de IA estonio pudiera "operar con plena capacidad" en otros Estados miembros. El reconocimiento mutuo se refiere a la autenticación, no a la capacidad jurídica del sujeto identificado. Un agente de IA con AI-isikukood podría autenticarse ante un servicio público en España o Alemania, pero ello no le conferiría automáticamente capacidad para contratar, obligarse o actuar en nombre de su titular en esos ordenamientos. La capacidad jurídica y de obrar sigue siendo una cuestión de derecho nacional, no armonizada por el eIDAS. Un agente de IA que tiene capacidad para celebrar contratos en Estonia —si es que realmente la tiene, lo cual es dudoso— no la tendría necesariamente en España, donde el ordenamiento no reconoce esa capacidad a sistemas autónomos.

En tercer lugar, el principio de reconocimiento mutuo se fundamenta en la confianza mutua entre los Estados miembros. El eIDAS 2.0, como ha señalado la doctrina, configura "la confianza mutua y la igualdad digital como principios materiales del reconocimiento" (8). Si un Estado miembro considera que el sistema estonio de identificación para agentes de IA no ofrece las garantías suficientes en materia de protección de datos, seguridad o responsabilidad, podría plantear objeciones a su reconocimiento, invocando el artículo 6.4 del eIDAS, que permite a los Estados miembros no reconocer un sistema de identificación en circunstancias excepcionales debidamente justificadas. La atribución de identidad a entidades no personales, sin un marco europeo que la respalde, constituiría sin duda una "circunstancia excepcional" que justificaría la denegación del reconocimiento.

Por último, la iniciativa estonia plantea un riesgo sistémico de fragmentación del mercado interior y de forum shopping algorítmico. Si Estonia permite que los agentes de IA operen con una identidad propia y con capacidad limitada para actuar en nombre de sus titulares, las empresas podrían establecer sus agentes en Estonia para beneficiarse de un régimen más favorable, mientras que los consumidores y las autoridades de otros Estados miembros se enfrentarían a agentes con identidad estonia pero con efectos jurídicos inciertos en sus respectivos ordenamientos. Este escenario, que algunos autores han calificado como de "anarquía algorítmica" (3), es precisamente lo que el eIDAS 2.0 pretendía evitar mediante la armonización y el reconocimiento mutuo. La propuesta estonia, lejos de resolver el problema de la identidad algorítmica, podría agravarlo al introducir una fuente de divergencia normativa en el corazón del sistema europeo de identidad digital.

En conclusión, el encaje de la iniciativa estonia en el derecho positivo de la Unión Europea es, cuando menos, problemático. El eIDAS 2.0 no habilita a los Estados miembros para atribuir identidades digitales a sistemas autónomos; el RGPD no reconoce a los agentes de IA como responsables o encargados del tratamiento; y el principio de reconocimiento mutuo, aunque formalmente aplicable, choca con obstáculos sustantivos que dificultan su operatividad. La propuesta estonia, en este sentido, no es una mera innovación regulatoria; es un desafío al acquis comunitario que exigirá una respuesta coordinada de las instituciones europeas, ya sea mediante la apertura de un procedimiento de infracción, ya sea mediante la aprobación de un instrumento normativo ad hoc que armonice la identidad algorítmica en el conjunto de la Unión. Este último escenario, que abordaremos en el capítulo siguiente, sería sin duda la solución más deseable desde la perspectiva de la seguridad jurídica y la cohesión del mercado interior, pero también la más compleja desde el punto de vista político y legislativo.

V. PROBLEMAS JURÍDICOS FUNDAMENTALES: UNA CRÍTICA DE LEGE LATA Y LEGE FERENDA

La propuesta estonia de atribuir identidad digital a agentes de inteligencia artificial, por más innovadora y ambiciosa que resulte, no puede ser evaluada únicamente desde la perspectiva de su encaje en el derecho positivo vigente. Exige, además, un análisis crítico de sus implicaciones sobre las categorías fundamentales del derecho —capacidad, responsabilidad, privacidad y protección de datos— que trasciende el mero examen de compatibilidad normativa para adentrarse en el terreno de la teoría general del derecho y de la política legislativa. Este capítulo desgrana, de manera sistemática, los problemas jurídicos más acuciantes que plantea la iniciativa, distinguiendo entre aquellos que afectan al derecho vigente (de lege lata) y aquellos que exigen una intervención del legislador (de lege ferenda). No se trata de un ejercicio de crítica estéril, sino de una contribución al debate necesario para que la innovación estonia, si finalmente se materializa, lo haga con las garantías jurídicas que un Estado de derecho exige.

5.1. Capacidad jurídica vs. capacidad de obrar en la IA: la insuficiencia de la analogía con las personas jurídicas clásicas

El problema más profundo que plantea la iniciativa estonia es, sin duda, el de la capacidad. En la tradición jurídica continental, la distinción entre capacidad jurídica —la aptitud para ser titular de derechos y obligaciones— y capacidad de obrar —la aptitud para ejercerlos por sí mismo— es un pilar de la dogmática civilista. Las personas físicas nacen con capacidad jurídica plena y adquieren progresivamente la capacidad de obrar, mientras que las personas jurídicas —sociedades, asociaciones, fundaciones— poseen una capacidad jurídica restringida a los fines para los que fueron constituidas y actúan a través de órganos humanos. La pregunta que subyace a la propuesta estonia es si los agentes de IA, provistos de un AI-isikukood, pueden ser asimilados a alguna de estas categorías o si, por el contrario, requieren una categoría jurídica sui generis que el ordenamiento aún no ha diseñado.

El gobierno estonio ha sido cauteloso al afirmar que el AI-isikukood no convierte al agente en un "sujeto autónomo", sino que "hace más claros los mandatos, los límites y las responsabilidades" (12). Sin embargo, la atribución de una identidad propia y la posibilidad de "actuar en nombre" de personas y empresas (9) confieren al agente un estatus funcional que, en la práctica, se asemeja a una forma de capacidad jurídica restringida. Esta ambigüedad es, como ya se ha señalado, tanto la fortaleza política de la propuesta como su mayor debilidad jurídica.

La analogía con las personas jurídicas clásicas resulta insuficiente por varias razones. En primer lugar, las personas jurídicas tienen un sustrato humano —socios, administradores, consejeros— que permite imputarles una voluntad colectiva y un interés propio. Los agentes de IA carecen de ese sustrato; son algoritmos que ejecutan instrucciones programadas, sin voluntad ni interés propio en el sentido jurídico (14). En segundo lugar, las personas jurídicas tienen un patrimonio propio y responden de sus obligaciones con ese patrimonio. Los agentes de IA, por el contrario, carecen de patrimonio propio; su actuación patrimonial afecta directamente al patrimonio de su titular. En tercer lugar, las personas jurídicas están sujetas a un régimen de publicidad y registro que permite a los terceros conocer su estructura y sus representantes. Los agentes de IA, por su propia naturaleza, son sistemas dinámicos y cambiantes, cuyo comportamiento puede variar con cada actualización del modelo, lo que dificulta la fijación de un estatuto jurídico estable.

La doctrina ha explorado otras vías alternativas. Algunos autores han sugerido la figura del "mandato digital", en la que el agente actúa como un mandatario electrónico con poderes limitados y revocables (14). Otros han propuesto la creación de una categoría intermedia de "entidad digital funcional" que, sin alcanzar la personalidad jurídica plena, goce de un estatuto de actuación reconocido por el ordenamiento (15). Sin embargo, ninguna de estas construcciones encuentra acomodo en el derecho positivo actual, que reserva la capacidad jurídica a las personas físicas y a las personas jurídicas debidamente constituidas.

Desde la perspectiva de lege ferenda, la solución pasa por la creación de una nueva figura jurídica que, sin equiparar al agente con una persona, le reconozca un estatuto de actuación funcional. Este estatuto podría inspirarse en el Derecho alemán de la Geschäftsführung ohne Auftrag (gestión de negocios sin mandato) o en el Derecho anglosajón del agency digital, pero adaptado a las peculiaridades de los sistemas autónomos. La propuesta estonia, al otorgar una identidad al agente, podría ser el primer paso en esta dirección, pero solo si va acompañada de un régimen claro que delimite los poderes del agente, las condiciones de su actuación y los efectos jurídicos de sus actos. De lo contrario, la identidad digital se convertirá en una fuente de inseguridad jurídica en lugar de un instrumento de certidumbre.

5.2. Imputación de responsabilidad civil y penal: la fractura de la culpa in vigilando y la necesidad de un régimen de responsabilidad objetiva o de fondos de garantía algorítmica

Si la cuestión de la capacidad es compleja, la de la responsabilidad es aún más espinosa. El derecho de la responsabilidad civil se fundamenta en la imputación de una conducta a un sujeto que ha actuado con dolo o culpa (negligencia). La responsabilidad penal exige, además, que el sujeto sea imputable, es decir, que tenga capacidad para comprender la ilicitud de su conducta y de actuar conforme a esa comprensión. Los agentes de IA, carentes de voluntad consciente y de capacidad de comprensión moral, no pueden ser sujetos de responsabilidad en el sentido tradicional. La pregunta, entonces, es quién responde por los daños causados por un agente provisto de identidad propia.

El gobierno estonio ha reconocido que "debe quedar claro quién actúa en nombre de quién, con qué derechos y quién es en última instancia responsable" (8) (9). Sin embargo, no ha ofrecido una respuesta concreta, admitiendo que "las preguntas difíciles" en materia de responsabilidad "no tienen respuesta" (14). Esta falta de claridad es preocupante, porque la atribución de una identidad propia al agente podría tener el efecto perverso de oscurecer, en lugar de clarificar, la cadena de responsabilidad. Si el agente actúa con su propia identidad y dentro de los límites de su mandato, el titular será responsable. Pero, ¿y si el agente actúa fuera de esos límites? ¿Y si su comportamiento es impredecible debido a la complejidad del modelo? ¿Y si el agente es utilizado por un tercero que ha vulnerado la seguridad del sistema?

La responsabilidad por actos de sistemas autónomos ha sido objeto de debate en el seno de la Unión Europea. La propuesta de Directiva del Parlamento Europeo y del Consejo sobre responsabilidad civil en materia de inteligencia artificial (COM/2022/496), retirada formalmente por la Comisión Europea en febrero de 2025, había establecido un régimen de responsabilidad objetiva para los sistemas de IA de alto riesgo, invirtiendo la carga de la prueba y exigiendo a los desarrolladores y operadores demostrar que el daño no fue causado por un defecto del sistema o por vulneración de las normas de seguridad (21). La retirada de esta propuesta revela la dificultad de articular regímenes de responsabilidad por IA en el marco del derecho comunitario y hace aún más urgente el desarrollo de un régimen armonizado de responsabilidad algorítmica. El AI Act, por su parte, clasifica los sistemas de IA en función de su nivel de riesgo e impone obligaciones más estrictas a los de alto riesgo (21).

Sin embargo, ninguno de estos instrumentos aborda específicamente la cuestión de los agentes autónomos con identidad propia. La propuesta estonia, al introducir esta figura, se adelanta a la regulación europea y crea un vacío normativo que solo puede ser llenado mediante la analogía o la interpretación extensiva. La analogía con el régimen de responsabilidad por actos de empleados o mandatarios (culpa in vigilando) resulta insatisfactoria, porque el agente no es un empleado ni un mandatario en el sentido tradicional; no actúa por orden expresa de su titular en cada momento, sino de manera autónoma dentro de unos límites predefinidos. La analogía con el régimen de responsabilidad por productos defectuosos tampoco es plenamente adecuada, porque el agente no es un producto, sino un sistema que aprende y evoluciona, cuyo comportamiento puede ser impredecible incluso para sus desarrolladores.

Desde la perspectiva de lege ferenda, la solución más coherente sería la creación de un régimen de responsabilidad objetiva o de fondos de garantía algorítmica. En el primer caso, el titular del agente —persona física o jurídica que ha delegado poderes en el agente y se beneficia de su actuación— respondería por los daños causados por el agente, con independencia de que haya mediado culpa o negligencia, siempre que el agente haya actuado dentro de los límites de su mandato. Este régimen, que ya existe en otros ámbitos (como la responsabilidad por daños causados por animales o por cosas en custodia), trasladaría el riesgo de la actividad algorítmica al beneficiario de la misma, incentivando la adopción de medidas de seguridad y de control.

En el segundo caso, se podría establecer un fondo de garantía alimentado por los desarrolladores y operadores de agentes de IA, al que los perjudicados podrían acudir para obtener indemnización cuando el agente cause daños y el titular no pueda ser identificado o no tenga suficientes recursos para hacer frente a la reclamación. Este modelo, similar al de los fondos de garantía de seguros obligatorios, ofrecería una protección efectiva a los terceros sin exigir a los tribunales que determinen la "culpa" de un algoritmo.

La cuestión de la responsabilidad penal es aún más compleja. El derecho penal, basado en el principio de culpabilidad, no admite la responsabilidad de entidades no humanas, salvo en el caso de las personas jurídicas, que responden por delitos cometidos por sus órganos o empleados. La atribución de una identidad al agente no lo convierte en un sujeto penalmente imputable; la responsabilidad penal seguirá recayendo, en su caso, sobre las personas físicas que hayan diseñado, programado, supervisado o utilizado el agente con dolo o negligencia grave. La propuesta estonia, en este sentido, no altera el régimen penal vigente, pero sí plantea la cuestión de si la mera existencia de una identidad propia podría generar una "apariencia de imputabilidad" que dificulte la identificación del verdadero responsable humano.

5.3. Privacidad, seguridad y perfilado: el riesgo de que la identidad del agente se convierta en un vector de vigilancia masiva sobre las interacciones humanas

La atribución de una identidad digital a agentes de IA, aunque concebida como un instrumento de trazabilidad y control, conlleva riesgos significativos en materia de privacidad y seguridad que no pueden ser subestimados. La experiencia estonia en materia de identidad digital, si bien exitosa, no ha estado exenta de críticas. Organizaciones como Liberties.eu han documentado cómo el sistema de identidad estonio, pese a su eficiencia, presenta riesgos en materia de privacidad y perfilado, especialmente cuando los identificadores se utilizan para fines de vigilancia o control social (16). El informe de UCL sobre identidad digital responsable ha señalado que la atribución de capacidades jurídicas a sistemas autónomos, sin un marco claro de derechos humanos y garantías procesales, puede derivar en vacíos de protección para los ciudadanos (15).

El principal riesgo es que el AI-isikukood se convierta en un instrumento de vigilancia masiva sobre las interacciones entre agentes y humanos. Si cada agente tiene una identidad única y trazable, todas sus interacciones —con servicios públicos, con empresas, con otros agentes— pueden ser registradas y analizadas. La combinación de estos registros con los datos de las personas que interactúan con los agentes podría generar perfiles detallados de comportamiento, preferencias, hábitos de consumo y relaciones sociales, sin que los individuos afectados tengan conocimiento o control sobre este perfilado. El problema se agrava si se tiene en cuenta que los agentes de IA, por su propia naturaleza, pueden operar a escala masiva y de manera continua, generando un volumen de datos que ningún sistema humano podría procesar.

El artículo 22 del RGPD establece el derecho de los interesados a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos o les afecte significativamente. Sin embargo, este derecho no se aplica cuando la decisión automatizada es necesaria para la celebración o ejecución de un contrato, está autorizada por el derecho de la Unión o de los Estados miembros, o se basa en el consentimiento explícito del interesado (20). En el contexto de la iniciativa estonia, las decisiones tomadas por agentes de IA con identidad propia —por ejemplo, la concesión o denegación de un servicio, la fijación de un precio, la asignación de un recurso— podrían ser consideradas "decisiones automatizadas" en el sentido del artículo 22, lo que obligaría a los titulares de los agentes a garantizar el derecho de intervención humana, la expresión del punto de vista del interesado y la impugnación de la decisión.

Otro riesgo relevante es el de la suplantación de identidad algorítmica. Si un agente de IA tiene una identidad propia, ¿qué impide que un tercero malicioso cree un agente "falso" con la misma identidad, o que secuestre la identidad de un agente legítimo para realizar operaciones fraudulentas? La seguridad del sistema de identidad digital estonio, basada en criptografía de clave pública y en una infraestructura de clave pública (PKI) robusta, ofrece garantías importantes, pero no es infalible. Un ataque exitoso contra la PKI o contra la infraestructura X-Road podría comprometer la integridad de todo el sistema. El gobierno estonio ha señalado que está desarrollando los requisitos técnicos del AI-isikukood, pero no ha detallado las medidas de seguridad concretas que se adoptarán (1).

El riesgo de perfilado es igualmente significativo. Los agentes de IA, al interactuar con personas, recopilan información sobre sus preferencias, comportamientos y relaciones. Esta información, combinada con la identidad del agente y con los datos de otros agentes, podría utilizarse para construir perfiles detallados de los individuos que interactúan con ellos. La atribución de una identidad propia al agente no impide este perfilado; más bien lo facilita, al dotar al agente de una "personalidad" que permite rastrear sus interacciones de manera sistemática. El titular del agente, que es el responsable del tratamiento a efectos del RGPD, debe adoptar medidas para garantizar que el perfilado se realice de manera lícita, leal y transparente, y que se respeten los derechos de los interesados. Sin embargo, la complejidad técnica de los agentes de IA y la falta de transparencia de los modelos de aprendizaje automático hacen que este control sea extremadamente difícil en la práctica.

5.4. El vacío en materia de protección de datos: ¿puede un agente ejercer los derechos ARSOLPO en nombre propio?

La cuestión más novedosa y, a la vez, más desconcertante que plantea la iniciativa estonia es si el agente de IA, provisto de su propia identidad, puede ser titular de derechos de protección de datos. El RGPD otorga a los "interesados" —personas físicas— los derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición (derechos ARSOLPO). Un agente de IA no es una persona física, ni tampoco una persona jurídica en el sentido del RGPD. ¿Puede, entonces, ejercer estos derechos? Evidentemente, no. Pero, si el agente no puede ejercer los derechos ARSOLPO, ¿quién los ejercita? ¿El titular del agente? ¿El desarrollador? ¿Y cómo se garantiza que el tratamiento de los "datos" del agente —por ejemplo, los datos generados por el propio agente, los registros de su actividad, la memoria de sus interacciones— se realiza de conformidad con el RGPD?

El problema se agrava si se tiene en cuenta que el agente de IA, al operar con identidad propia, puede ser considerado un "sujeto de datos" en un sentido funcional, aunque no sea una persona física. Sus "datos personales" —si es que pueden llamarse así— incluyen el propio AI-isikukood, los parámetros del modelo, el historial de interacciones, los logs de actividad y la memoria del agente. Estos datos pueden contener, a su vez, datos personales de las personas con las que el agente ha interactuado, lo que crea una compleja cadena de responsabilidad. La guía de la Agencia Española de Protección de Datos ha señalado que "los registros (logs) y la memoria del agente pueden contener datos personales" y que "el responsable debe evaluar el funcionamiento del agente de IA, los proveedores que utiliza y las medidas técnicas y organizativas" (3). Sin embargo, la guía no aborda la cuestión de si el agente mismo puede ser considerado interesado.

La propuesta estonia, al atribuir una identidad al agente, crea la apariencia de un sujeto autónomo que podría, en teoría, ser titular de derechos de protección de datos. Esta apariencia es engañosa y peligrosa, porque podría llevar a los titulares a eludir sus responsabilidades, argumentando que el agente es el responsable del tratamiento o que el tratamiento se realiza "por cuenta" del agente y no por cuenta del titular. El RGPD no admite esta interpretación; el responsable del tratamiento es siempre una persona física o jurídica que determina los fines y medios del tratamiento, y el agente de IA no cumple con esta definición. La atribución de una identidad digital no convierte al agente en responsable a efectos del RGPD.

Desde la perspectiva de lege ferenda, la solución pasa por clarificar que el agente de IA, por más identidad que tenga, nunca será un "interesado" a efectos del RGPD. Los derechos ARSOLPO corresponderán siempre a las personas físicas cuyos datos sean tratados, y el responsable del tratamiento será siempre el titular del agente —persona física o jurídica— que determine los fines y medios del tratamiento. La identidad del agente no es más que un instrumento de trazabilidad que no altera la cadena de responsabilidad en materia de protección de datos. Esta clarificación debería hacerse de manera expresa, ya sea mediante una disposición en la normativa estonia que desarrolle el AI-isikukood, ya sea mediante una interpretación auténtica de la Comisión Europea o del Comité Europeo de Protección de Datos.

En conclusión, la iniciativa estonia, aunque técnicamente viable y políticamente ambiciosa, plantea problemas jurídicos fundamentales que no pueden ser ignorados ni resueltos mediante una simple analogía o interpretación extensiva. La capacidad, la responsabilidad, la privacidad y la protección de datos son categorías centrales del derecho que exigen un tratamiento cuidadoso y, en muchos casos, una intervención legislativa expresa. La propuesta estonia, al adelantarse a la regulación europea, ofrece la oportunidad de iniciar un debate necesario sobre el estatuto jurídico de los agentes autónomos, pero también corre el riesgo de generar una fragmentación normativa que perjudique la seguridad jurídica y la cohesión del mercado interior. El capítulo siguiente abordará estas implicaciones sistémicas desde la perspectiva de la gobernanza digital europea.

VI. IMPLICACIONES SISTÉMICAS PARA LA GOBERNANZA DIGITAL EUROPEA

La iniciativa estonia, por más que se presente como una solución técnica a un problema práctico —la necesidad de atribuir conductas a agentes autónomos—, trasciende con creces el ámbito del ordenamiento jurídico nacional para proyectarse sobre el conjunto de la gobernanza digital europea. No se trata de una mera actualización del veterano sistema de identidad digital estonio, sino de un experimento regulatorio que, de consolidarse, alteraría los presupuestos sobre los que se asienta el mercado único digital y la estrategia de soberanía tecnológica de la Unión. Este capítulo examina las implicaciones sistémicas de la propuesta en tres dimensiones interrelacionadas: la fractura de la armonización regulatoria y el consiguiente riesgo de forum shopping algorítmico; la respuesta institucional previsible de la Comisión Europea; y el impacto sobre el debate acerca de la personalidad jurídica de la IA en los ordenamientos de Civil Law, en diálogo con el enfoque basado en riesgos del AI Act. Como se irá desgranando, la iniciativa estonia no solo plantea problemas de encaje normativo, sino que interpela directamente a las instituciones europeas para que definan, con carácter de urgencia, el estatuto jurídico de los agentes autónomos en el espacio comunitario.

6.1. La fractura de la armonización regulatoria: el "efecto llamada" para otros Estados miembros y el riesgo de un forum shopping algorítmico

El principio de reconocimiento mutuo, piedra angular del sistema eIDAS, descansa sobre la premisa de que los sistemas de identificación electrónica notificados por los Estados miembros ofrecen garantías equivalentes y, por tanto, merecen ser aceptados en todo el territorio de la Unión (8) (9). Esta premisa, sin embargo, se resquebraja cuando un Estado miembro introduce una categoría de identidad —la de los agentes de IA— que no está prevista en el marco europeo y que, por su propia naturaleza, no puede ser objeto de una equivalencia sustantiva con las identidades de personas físicas y jurídicas. La iniciativa estonia, al atribuir un AI-isikukood a sistemas autónomos, crea un régimen de identidad que no tiene parangón en el resto de los Estados miembros y que, por tanto, no puede ser objeto del reconocimiento mutuo que exige el artículo 6 del eIDAS 2.0 (9). Esta asimetría regulatoria no es una anomalía menor; es el germen de una fragmentación del mercado interior que el eIDAS 2.0 precisamente pretendía superar.

El riesgo más inmediato es el denominado "efecto llamada". Si Estonia ofrece a los agentes de IA la posibilidad de operar con una identidad propia, con capacidad limitada para actuar en nombre de sus titulares y con un régimen de responsabilidad aún por definir, las empresas europeas podrían verse tentadas a establecer sus agentes en Estonia para beneficiarse de un marco regulatorio más favorable. Este fenómeno, conocido en el ámbito fiscal como forum shopping, podría trasladarse al ámbito de la identidad digital algorítmica, generando una competencia regulatoria a la baja en la que los Estados miembros se vean presionados a adoptar regímenes cada vez más laxos para atraer la inversión en inteligencia artificial. Como ha señalado la doctrina, el eIDAS 2.0 aspira a una "interoperabilidad sustantiva, en la que la confianza mutua y la igualdad digital se configuran como principios materiales del reconocimiento" (8). La iniciativa estonia, al introducir una asimetría en el núcleo del sistema, socava estos principios y abre la puerta a una fragmentación que beneficiaría a los operadores más sofisticados en detrimento de los ciudadanos y las pequeñas empresas.

El problema se agrava si se considera que la iniciativa estonia no es un fenómeno aislado. Como ha señalado la prensa especializada, la decisión de Estonia "tendrá amplias implicaciones en términos de confianza" en los asistentes basados en inteligencia artificial (3). Otros Estados miembros, especialmente aquellos con una tradición digital avanzada, podrían seguir el ejemplo estonio y desarrollar sus propios regímenes de identidad algorítmica, con requisitos, límites y regímenes de responsabilidad divergentes. El resultado sería un mosaico regulatorio en el que un agente de IA con identidad estonia podría operar en un Estado miembro pero no en otro, o podría ser considerado un "sujeto" en un ordenamiento y un mero "instrumento" en otro. Esta fragmentación, lejos de facilitar el desarrollo del mercado único digital, lo obstaculizaría al generar inseguridad jurídica y costes de cumplimiento adicionales para las empresas que operan a escala transfronteriza.

La cuestión de la responsabilidad es particularmente sensible en este contexto. Si un agente de IA con identidad estonia causa daños en otro Estado miembro, ¿qué ordenamiento es competente para determinar la responsabilidad? ¿El estonio, que ha atribuido la identidad, o el del lugar donde se han producido los daños? ¿Y qué régimen de responsabilidad se aplica? El gobierno estonio ha admitido que las "preguntas difíciles" en materia de responsabilidad "no tienen respuesta" (14). Esta ausencia de respuesta, en un contexto de fragmentación regulatoria, es una fuente de litigiosidad y de inseguridad jurídica que ningún operador económico razonable podría aceptar.

El "efecto llamada" podría, además, tener consecuencias no deseadas en términos de soberanía digital. Si los principales desarrolladores de agentes de IA —muchos de ellos con sede en terceros países— deciden establecer sus operaciones en Estonia para beneficiarse de su régimen de identidad algorítmica, se produciría una concentración de la actividad algorítmica en un solo Estado miembro, con el consiguiente riesgo de dependencia tecnológica y de pérdida de control por parte de las instituciones europeas. La Comisión Europea, que ha hecho de la soberanía tecnológica una de sus prioridades estratégicas, difícilmente podría aceptar una situación en la que la regulación de los agentes autónomos quedara en manos de un solo Estado miembro, por más avanzado que sea su ecosistema digital.

6.2. Soberanía digital y dependencia tecnológica: la posible reacción de la Comisión Europea mediante procedimientos de infracción o la vía de la aprobación tácita

Ante una iniciativa de estas características, la Comisión Europea se enfrenta a un dilema estratégico de primer orden. Por un lado, no puede ignorar una propuesta que, aunque formalmente nacional, afecta al núcleo del sistema de identidad digital que la propia Comisión ha contribuido a construir mediante el eIDAS 2.0. Por otro lado, una reacción excesivamente represiva podría ser contraproducente, al enemistar a uno de los Estados miembros más innovadores y al frenar una experimentación regulatoria que, bien canalizada, podría beneficiar al conjunto de la Unión. La doctrina ha identificado dos vías principales de reacción institucional: el procedimiento de infracción y la vía de la aprobación tácita o de la armonización ad hoc.

El procedimiento de infracción (artículo 258 del TFUE) es la vía más directa y coercitiva. La Comisión podría considerar que la iniciativa estonia vulnera el derecho de la Unión, en particular el Reglamento eIDAS 2.0, al atribuir identidades electrónicas a entidades que no son personas físicas ni jurídicas en el sentido del Reglamento. Como se ha señalado en el capítulo anterior, ni el eIDAS original ni el eIDAS 2.0 contienen habilitación para que los Estados miembros otorguen identidades a sistemas autónomos (9) (10). La Comisión podría, por tanto, dirigir un dictamen motivado a Estonia, instándole a modificar su propuesta para adecuarla al marco europeo, y, en caso de no obtener una respuesta satisfactoria, llevar el asunto ante el Tribunal de Justicia de la Unión Europea.

Sin embargo, el procedimiento de infracción presenta inconvenientes significativos. En primer lugar, es un proceso largo y costoso, que podría prolongarse durante años y que, mientras tanto, dejaría en un vacío regulatorio a los agentes de IA que ya operan en el mercado. En segundo lugar, la Comisión podría encontrar dificultades para demostrar la vulneración del derecho de la Unión, dado que el eIDAS 2.0 no prohíbe expresamente a los Estados miembros atribuir identidades a entidades no personales; simplemente no las prevé. La argumentación de la Comisión tendría que basarse en una interpretación teleológica del Reglamento, que podría ser controvertida y no exenta de riesgos de ser desestimada por el Tribunal. En tercer lugar, un procedimiento de infracción enviaría una señal negativa a los Estados miembros innovadores, desincentivando la experimentación regulatoria en un ámbito —el de la inteligencia artificial— que requiere precisamente de marcos flexibles y adaptativos.

La vía alternativa es la de la aprobación tácita o, más precisamente, la de la armonización ad hoc. La Comisión podría optar por no abrir un procedimiento de infracción y, en su lugar, promover un proceso de diálogo y coordinación con Estonia y con los demás Estados miembros para elaborar un marco europeo común para la identidad de los agentes de IA. Este marco podría adoptar la forma de un reglamento específico, de una directiva o incluso de unas directrices no vinculantes, que establezcan criterios armonizados para la atribución de identidades a sistemas autónomos, los requisitos técnicos y de seguridad, el régimen de responsabilidad y las garantías en materia de protección de datos. La Comisión, trabajando con los gobiernos nacionales, "ha estado avanzando hacia la finalización e implementación de las llamadas Carteras de Identidad Europeas" (9). Este proceso podría extenderse a los agentes de IA, creando una "capa de identidad para agentes" que permita a los sistemas autónomos "autenticarse, firmar, actuar y ser supervisados de manera transparente y auditable" (18).

La ventaja de esta vía es que permitiría a la Unión Europea tomar la delantera en la regulación de los agentes autónomos, estableciendo un estándar global que podría ser adoptado por otros países y regiones. Como ha señalado un análisis reciente, "Europa debe diseñar e implementar una infraestructura de identidad digital para agentes de IA, donde puedan aparecer y operar en interacciones digitales como actores identificables y verificables. Esto es un requisito absoluto para garantizar la responsabilidad, la impugnabilidad y la integridad de la información" (3). La iniciativa estonia, en este sentido, podría ser el catalizador de un proceso de armonización que, bien gestionado, beneficiaría a todo el mercado único.

La fecha del 2 de agosto de 2026, en la que entran en vigor las disposiciones sobre sistemas de IA de alto riesgo del AI Act, añade urgencia a este proceso (6). Como ha señalado el Consejo, "las disposiciones sobre sistemas de IA de alto riesgo deben entrar en vigor el 2 de agosto de 2026" (6). Los agentes de IA, dependiendo de su clasificación, podrían ser considerados sistemas de alto riesgo y, por tanto, estar sujetos a los requisitos del AI Act. Sin embargo, el AI Act no aborda específicamente la cuestión de la identidad digital de los agentes, lo que crea un vacío normativo que la iniciativa estonia pretende llenar, pero que en realidad agrava al introducir una solución unilateral. La Comisión, por tanto, se enfrenta a la necesidad de coordinar la aplicación del AI Act con el desarrollo de un marco de identidad algorítmica, para evitar que los agentes de IA queden sujetos a obligaciones contradictorias o incompatibles.

6.3. ¿Precedente para la personalidad jurídica sustantiva de la IA en los ordenamientos de Civil Law? Diálogo con el AI Act y su enfoque basado en riesgos

La iniciativa estonia, aunque formalmente limitada a la atribución de una identidad digital funcional, no puede ser aislada del debate más amplio sobre la personalidad jurídica de la inteligencia artificial. Este debate, que ha enfrentado a juristas, filósofos y tecnólogos durante la última década, ha conocido momentos de gran intensidad, como la propuesta del Parlamento Europeo de 2017 de crear una "personalidad electrónica" para los robots más avanzados, o el rechazo frontal de esta idea por parte de la Comisión Europea y de numerosos académicos, que la consideraban una ficción jurídica peligrosa e innecesaria. La propuesta estonia, al otorgar una identidad propia a los agentes de IA, reaviva este debate y lo sitúa en un terreno más concreto y operativo.

El AI Act (Reglamento 2024/1689) ha optado por un enfoque basado en riesgos que, sin atribuir personalidad jurídica a los sistemas de IA, impone obligaciones a los proveedores, desarrolladores y usuarios en función del nivel de riesgo del sistema (5). Como ha señalado un análisis reciente, los agentes de IA "bajo el AI Act de la UE, son casi con certeza clasificados como sistemas de IA —herramientas implementadas por una organización, operadas bajo su responsabilidad. No actores" (3). Esta clasificación, que niega a los agentes cualquier estatuto de sujeto de derecho, es coherente con la tradición jurídica continental y con el principio de que la responsabilidad solo puede recaer sobre personas físicas o jurídicas.

Sin embargo, la iniciativa estonia introduce una tensión en este esquema. Al atribuir una identidad propia al agente, crea la apariencia de un "actor" en el sentido digital, aunque no en el sentido jurídico. Esta apariencia, si no va acompañada de una clarificación expresa, podría generar confusión y llevar a algunos operadores a tratar al agente como si fuera un sujeto autónomo, con las consiguientes consecuencias en términos de responsabilidad y de protección de datos. El gobierno estonio ha insistido en que la identidad digital no convierte al agente en un "sujeto autónomo", sino que "hace más claros los mandatos, los límites y las responsabilidades" (12). Sin embargo, la distinción entre "identidad" y "personalidad" es sutil y, en la práctica, podría resultar difícil de mantener, especialmente cuando el agente actúa en nombre de su titular y sus actuaciones producen efectos jurídicos plenos.

El diálogo con el AI Act es, por tanto, ineludible. El AI Act clasifica los sistemas de IA en función de su nivel de riesgo: riesgo inaceptable (prohibidos), alto riesgo (sujetos a requisitos estrictos), y riesgo limitado o mínimo (sujetos a obligaciones de transparencia). Los agentes de IA, dependiendo de su función y de los sectores en los que operen, podrían caer en cualquiera de estas categorías. Un agente que gestiona servicios públicos, como Bürokratt en Estonia, podría ser considerado de alto riesgo y, por tanto, estar sujeto a los requisitos del AI Act en materia de sistemas de gestión de riesgos, datos de entrenamiento, documentación técnica, transparencia y supervisión humana (5). La atribución de una identidad digital al agente no lo exime de estas obligaciones; más bien las refuerza, al hacer más visible y trazable su actuación.

El problema es que el AI Act no prevé la identidad digital de los agentes como un requisito o como una categoría específica. La iniciativa estonia, al introducir esta figura, podría servir como un banco de pruebas para una futura regulación europea. Si el modelo estonio demuestra ser eficaz para garantizar la trazabilidad y la responsabilidad de los agentes autónomos, la Comisión podría considerar la posibilidad de incorporar la identidad digital de los agentes como un requisito en la próxima revisión del AI Act o en un instrumento normativo específico. Como ha señalado la prensa especializada, la decisión de Estonia "tendrá amplias implicaciones en términos de confianza" en los asistentes basados en inteligencia artificial (3). Esta confianza, si se consolida, podría convertirse en un estándar europeo e incluso global.

Sin embargo, también existe el riesgo de que la iniciativa estonia, al adelantarse a la regulación europea, fragmente el mercado y dificulte la aplicación uniforme del AI Act. Si un agente de IA con identidad estonia opera en otro Estado miembro, ¿qué normativa se aplica? ¿La estonia, que ha atribuido la identidad, o la del Estado miembro donde opera, que puede tener una interpretación diferente del AI Act? La respuesta no es evidente y dependerá de la interacción entre el principio de reconocimiento mutuo del eIDAS y el principio de territorialidad del AI Act. Esta interacción, que no ha sido resuelta por el legislador europeo, es una fuente de inseguridad jurídica que la iniciativa estonia agudiza.

La cuestión de fondo, que trasciende el mero análisis técnico-jurídico, es si los ordenamientos de Civil Law, con su arraigada distinción entre personas y cosas, pueden o deben adaptarse para reconocer un estatuto jurídico a los sistemas autónomos. La iniciativa estonia, al otorgar una identidad digital a los agentes, no resuelve esta cuestión, pero la pone en el centro del debate. Como ha señalado un análisis académico, los sistemas de identidad digital, cuando se expanden a entidades no humanas, pueden generar lo que se denomina "ciudadanía por conexión", desdibujando los vínculos tradicionales entre identidad, territorio y soberanía (14). Este desdibujamiento, si no va acompañado de un marco normativo claro y de garantías procesales, podría derivar en un vacío de protección para los ciudadanos y en una erosión de los principios fundamentales del Estado de derecho.

En este contexto, la iniciativa estonia debe ser valorada no como una solución definitiva, sino como un experimento regulatorio que, bien gestionado, puede aportar lecciones valiosas para el diseño de un marco europeo de identidad algorítmica. La Comisión Europea, en lugar de rechazar la iniciativa o de abrir un procedimiento de infracción, podría optar por acompañarla y orientarla, estableciendo condiciones y salvaguardas que garanticen su compatibilidad con el acquis comunitario y con los principios del AI Act. Esta vía, que algunos autores han calificado como de "regulación experimental" o de "aprendizaje regulatorio", permitiría a la Unión Europea mantener su liderazgo en la gobernanza digital sin renunciar a la innovación que los Estados miembros, como Estonia, pueden aportar.

La fecha del 2 de agosto de 2026, en la que entran en vigor las disposiciones sobre sistemas de IA de alto riesgo del AI Act, marca un hito en este proceso (6). Para entonces, la Comisión debería haber definido su posición respecto a la iniciativa estonia y, en su caso, haber iniciado los trámites para desarrollar un marco europeo común. El desafío es mayúsculo, pero la oportunidad también lo es: la Unión Europea tiene la posibilidad de convertirse en el primer espacio regulatorio del mundo en establecer un estatuto claro y armonizado para los agentes de IA, sentando las bases para una gobernanza digital que combine innovación, seguridad jurídica y protección de los derechos fundamentales. La iniciativa estonia, con todas sus limitaciones y contradicciones, ha abierto la puerta a este debate. Corresponde ahora a las instituciones europeas y a la comunidad jurídica en su conjunto darle una respuesta a la altura de los desafíos que plantea la era de la inteligencia artificial agéntica.

VII. CONCLUSIONES Y REFLEXIÓN FINAL

El análisis desarrollado a lo largo de las páginas precedentes ha permitido desgranar, con el detalle y la profundidad que exige un asunto de esta complejidad, los contornos, las implicaciones y las contradicciones de la iniciativa estonia de atribuir identidad digital a agentes de inteligencia artificial. Lo que en apariencia podría ser una mera actualización técnica del veterano sistema de identidad electrónica del país báltico se revela, a la luz del examen jurídico, como una propuesta de alcance revolucionario que interpela directamente a las categorías más arraigadas de la teoría general del derecho y al entramado normativo de la Unión Europea en materia de identidad digital, protección de datos y gobernanza algorítmica. Este capítulo final sintetiza los hallazgos principales del estudio, formula recomendaciones de lege ferenda para afrontar los desafíos identificados y ofrece una reflexión prospectiva sobre el papel del derecho en la era de la inteligencia artificial agéntica.

7.1. Hallazgos principales: la iniciativa estonia es técnicamente viable pero jurídicamente prematura y frontalmente contraria al espíritu del eIDAS 2.0 si no se limita al ámbito doméstico

El primer hallazgo, y quizá el más relevante desde la perspectiva del análisis jurídico, es que la iniciativa estonia, pese a su indudable atractivo tecnológico y a su coherencia con la tradición digital del país, resulta jurídicamente prematura y, en su formulación actual, frontalmente contraria al espíritu del eIDAS 2.0 si se proyecta más allá del ámbito doméstico. Esta conclusión se asienta sobre tres pilares argumentales que han sido desarrollados a lo largo del artículo.

En primer lugar, el vacío normativo en el derecho de la Unión Europea. Ni el Reglamento eIDAS original ni el reformado eIDAS 2.0 contienen habilitación expresa para que los Estados miembros atribuyan identidades electrónicas a entidades que no sean personas físicas o jurídicas (8) (9) (10). El Marco Europeo de Identidad Digital, con sus Billeteras Europeas de Identidad Digital (EUDI Wallets), ha sido concebido para "personas físicas y jurídicas", no para sistemas autónomos (9). La iniciativa estonia, al introducir la categoría del AI-isikukood, se sitúa en un espacio normativo no previsto por el legislador europeo, lo que genera una tensión irresoluble entre la competencia nacional y la competencia europea en una materia que la UE ha comenzado a armonizar de manera ambiciosa. Esta tensión, si no se resuelve mediante una intervención del legislador europeo, podría derivar en un conflicto de normas y en una fragmentación del mercado interior que el eIDAS 2.0 precisamente pretendía superar.

En segundo lugar, la incapacidad del sistema para encajar en el régimen de reconocimiento mutuo. El artículo 6 del eIDAS 2.0 establece el principio de reconocimiento mutuo de los sistemas de identificación electrónica notificados, siempre que cumplan con los requisitos de nivel de garantía y de interoperabilidad (9). El AI-isikukood estonio, al atribuirse a entidades no personales, no puede cumplir con estos requisitos, que están diseñados para la verificación de la identidad de personas físicas y jurídicas, no para la de sistemas autónomos. La verificación de la identidad de un agente de IA —¿quién es el "titular" de la identidad? ¿El agente o su desarrollador? ¿Cómo se acredita la vinculación entre el agente y su titular?— plantea problemas técnicos y jurídicos radicalmente diferentes a los de la verificación de la identidad de una persona humana, problemas que el eIDAS 2.0 no ha previsto ni resuelto. La consecuencia es que, incluso si Estonia notificara su sistema de identificación para agentes de IA, los demás Estados miembros estarían legitimados para denegar su reconocimiento, invocando las circunstancias excepcionales del artículo 6.4 del eIDAS, lo que frustraría el objetivo de interoperabilidad y de confianza mutua.

En tercer lugar, la tensión con el RGPD y el régimen de protección de datos. El RGPD no reconoce a los agentes de IA como responsables o encargados del tratamiento, ni como interesados titulares de los derechos ARSOLPO (3). La atribución de una identidad propia al agente no resuelve este problema; más bien lo agudiza, al crear la apariencia de un sujeto autónomo que podría, en teoría, ser considerado responsable del tratamiento, cuando en realidad la responsabilidad recae siempre sobre el titular humano o corporativo. Esta disonancia entre la apariencia creada por la identidad digital y la realidad del régimen de protección de datos genera inseguridad jurídica y podría llevar a los titulares a eludir sus responsabilidades, argumentando que el agente es el responsable del tratamiento o que el tratamiento se realiza "por cuenta" del agente y no por cuenta del titular. El RGPD no admite esta interpretación, y la iniciativa estonia, al no clarificar expresamente la cadena de responsabilidad en materia de protección de datos, deja abierta una puerta a la confusión y al abuso.

Estos tres problemas de encaje normativo no son meras cuestiones técnicas o de detalle; afectan al núcleo del sistema de identidad digital europeo y a los principios de confianza mutua, interoperabilidad y protección de datos que lo sustentan. La iniciativa estonia, tal como ha sido formulada, es técnicamente viable —en el sentido de que la tecnología existe y puede desplegarse— pero jurídicamente prematura, porque se adelanta a un debate normativo que aún no ha tenido lugar en el seno de la Unión Europea y que, por su propia naturaleza, exige una respuesta coordinada y armonizada.

Ahora bien, el análisis también ha revelado que la iniciativa estonia no es una ocurrencia aislada ni un capricho tecnológico; responde a un problema real y acuciante: la necesidad de atribuir conductas a agentes autónomos y de garantizar la trazabilidad y la responsabilidad en un ecosistema digital cada vez más poblado de sistemas inteligentes (8) (9) (14). El caso del agente de IA que publicó un artículo difamatorio sin que nadie pudiera identificar al responsable (8) es solo un ejemplo de los riesgos que la "anarquía algorítmica" plantea para la seguridad jurídica y para la protección de los derechos de los ciudadanos. La iniciativa estonia, en este sentido, cumple una función de señalización que es valiosa: pone de manifiesto la urgencia de abordar la cuestión de la identidad algorítmica y ofrece un banco de pruebas para futuros desarrollos normativos. Su valor, sin embargo, no reside en su aplicabilidad inmediata, sino en su capacidad para catalizar un debate que la Unión Europea no puede demorar.

7.2. Recomendaciones de lege ferenda: necesidad de un reglamento europeo ad hoc que regule la "identidad funcional" de los agentes autónomos, desvinculada de la capacidad civil plena, y que armonice los criterios de atribución y responsabilidad

A la vista de los hallazgos anteriores, y con el fin de evitar que la fragmentación regulatoria y la inseguridad jurídica se conviertan en el legado de la iniciativa estonia, se formulan las siguientes recomendaciones de lege ferenda, dirigidas tanto a las instituciones europeas como a los Estados miembros y, en particular, al propio gobierno estonio.

La primera recomendación, y la más urgente, es la adopción de un reglamento europeo ad hoc que establezca un marco armonizado para la identidad funcional de los agentes autónomos. Este reglamento, que podría adoptar la forma de un instrumento específico o de una modificación del eIDAS 2.0 o del AI Act, debería definir con claridad los siguientes elementos:

• El concepto de "identidad funcional", distinta de la capacidad jurídica plena y de la personalidad jurídica, que permita a los agentes de IA operar en el mundo digital con una identidad propia y trazable, sin que ello implique atribuirles subjetividad jurídica ni capacidad negocial autónoma. Esta identidad funcional debería ser concebida como un instrumento de gobernanza algorítmica, no como una categoría ontológica que equipare al agente con una persona (12) (14).

• Los criterios de atribución de la identidad, que deberían incluir requisitos técnicos mínimos (autonomía, capacidad de actuación, trazabilidad), requisitos de seguridad (criptografía, autenticación, control de acceso) y requisitos de transparencia (obligación de revelar la naturaleza algorítmica del agente en todas sus interacciones). El reglamento debería establecer un procedimiento de notificación y registro de los agentes, similar al de los sistemas de identificación electrónica del eIDAS, pero adaptado a las peculiaridades de los sistemas autónomos (9) (12).

• El régimen de responsabilidad, que debería basarse en el principio de responsabilidad objetiva del titular del agente —persona física o jurídica que determina los fines y medios de su actuación y se beneficia de la misma— por los daños causados por el agente dentro de los límites de su mandato. Este régimen debería ir acompañado de la obligación de constituir un fondo de garantía o de suscribir un seguro de responsabilidad civil, que garantice la indemnización de los terceros perjudicados en caso de insolvencia del titular. La responsabilidad penal, en todo caso, debería seguir recayendo sobre las personas físicas que hayan diseñado, programado, supervisado o utilizado el agente con dolo o negligencia grave (14) (15).

• El principio de reconocimiento mutuo, que debería garantizar que un agente de IA provisto de una identidad funcional conforme al reglamento europeo pueda operar en todo el territorio de la Unión con plena equivalencia de efectos, siempre que cumpla con los requisitos armonizados. Este principio debería ir acompañado de mecanismos de supervisión y control, a cargo de las autoridades nacionales y de la Comisión, para garantizar el cumplimiento de los requisitos y para resolver las controversias transfronterizas que puedan surgir.

La segunda recomendación es que el reglamento europeo desvincule expresamente la identidad funcional de la capacidad civil plena. La atribución de una identidad al agente no debe interpretarse como un reconocimiento de capacidad jurídica o de obrar en el sentido del derecho civil. El agente no es un sujeto de derecho; es un instrumento de actuación que opera por cuenta y bajo la responsabilidad de su titular. Esta desvinculación, que debería ser explícita en el texto normativo, es esencial para evitar la confusión y para preservar la coherencia del sistema de protección de datos y de responsabilidad civil. La iniciativa estonia, al emplear el término isikukood —el identificador maestro de las personas— corre el riesgo de generar esa confusión. Un reglamento europeo debería utilizar una terminología específica —por ejemplo, "código de agente" o "identificador funcional"— que refleje la naturaleza instrumental y no personal de la identidad atribuida.

La tercera recomendación es que el reglamento europeo armonice los criterios de atribución y responsabilidad con el AI Act y con el RGPD. El AI Act clasifica los sistemas de IA en función de su nivel de riesgo e impone obligaciones a los proveedores, desarrolladores y usuarios (5). El reglamento sobre identidad funcional debería establecer un vínculo claro entre el nivel de riesgo del agente y los requisitos de identidad y responsabilidad: los agentes de alto riesgo deberían estar sujetos a requisitos más estrictos en materia de identificación, trazabilidad, auditoría y constitución de garantías, mientras que los agentes de riesgo limitado o mínimo podrían beneficiarse de un régimen más ligero. En cuanto al RGPD, el reglamento debería clarificar que el agente de IA, por más identidad que tenga, nunca será un "interesado" ni un "responsable" a efectos del RGPD; los derechos ARSOLPO corresponderán siempre a las personas físicas cuyos datos sean tratados, y el responsable del tratamiento será siempre el titular del agente (3) (9). Esta clarificación es esencial para evitar la confusión y para garantizar la protección efectiva de los datos personales.

La cuarta recomendación, dirigida específicamente al gobierno estonio, es que limite el alcance de su iniciativa al ámbito doméstico hasta que el marco europeo esté aprobado. La atribución de AI-isikukood a agentes que operan en el territorio de Estonia y en el ámbito de los servicios públicos estonios —como el asistente Bürokratt— podría ser una experiencia valiosa y controlada, que permita obtener datos y lecciones para el diseño del marco europeo. Sin embargo, la extensión de esta identidad a agentes que operan en otros Estados miembros o en el ámbito de servicios privados con efectos transfronterizos debería posponerse hasta que exista una base normativa europea que garantice la interoperabilidad y el reconocimiento mutuo. Esta limitación temporal y territorial, que podría ser adoptada mediante una declaración del gobierno estonio o mediante una disposición en la ley de desarrollo de la iniciativa, permitiría a Estonia mantener su liderazgo en la innovación digital sin generar una fractura en el mercado interior.

La quinta y última recomendación es que la Comisión Europea promueva un proceso de consulta y diálogo con todos los Estados miembros, con los desarrolladores de IA, con los defensores de los derechos digitales y con la comunidad académica, para elaborar el reglamento europeo sobre identidad funcional. Este proceso debería ser abierto, participativo y basado en la evidencia, y debería tener en cuenta no solo los aspectos técnicos y jurídicos, sino también los éticos, sociales y económicos de la atribución de identidad a sistemas autónomos. La fecha del 2 de agosto de 2026, en la que entran en vigor las disposiciones del AI Act sobre sistemas de alto riesgo, podría servir como un hito para el lanzamiento de este proceso, que debería culminar con la adopción del reglamento en un plazo razonable —por ejemplo, antes de finales de 2027— para evitar que el vacío normativo se prolongue y genere inseguridad jurídica (6).

7.3. Epílogo: el derecho no puede ignorar la autonomía algorítmica, pero tampoco puede disolver sus categorías fundamentales sin un debate democrático paneuropeo

La iniciativa estonia, más allá de sus aciertos y sus limitaciones, nos confronta con una pregunta de alcance civilizatorio: ¿está el derecho preparado para reconocer, y en su caso regular, a entidades no humanas que actúan con un grado creciente de autonomía en el mundo digital? La respuesta, a la luz del análisis desarrollado, es que el derecho no puede ignorar la autonomía algorítmica —porque los agentes de IA ya están aquí y ya están generando problemas prácticos que exigen soluciones— pero tampoco puede disolver sus categorías fundamentales sin un debate democrático paneuropeo que legitime esa transformación.

La tradición jurídica continental, con su arraigada distinción entre personas y cosas, entre sujetos y objetos de derecho, no es un mero capricho dogmático; es el resultado de siglos de elaboración conceptual que han permitido al derecho cumplir su función de ordenación de la convivencia y de protección de la dignidad humana. Atribuir identidad a un agente de IA, por más funcional que sea la atribución, implica un desplazamiento conceptual que no puede ser realizado de manera unilateral por un solo Estado miembro, por más avanzado que sea su ecosistema digital. Este desplazamiento exige un debate colectivo, informado y democrático, en el que estén representados todos los intereses en juego: los de los desarrolladores tecnológicos, los de los ciudadanos, los de las empresas, los de las autoridades públicas y los de la comunidad académica.

La Unión Europea, con su tradición de regulación prudente y basada en derechos fundamentales, está en una posición única para liderar este debate. El AI Act, con su enfoque basado en riesgos, y el eIDAS 2.0, con su apuesta por la interoperabilidad y la confianza mutua, son los pilares sobre los que se puede construir un marco europeo para la identidad algorítmica (5) (9). Pero este marco no puede ser impuesto desde arriba ni diseñado a espaldas de la sociedad civil; debe ser el resultado de un proceso deliberativo que tenga en cuenta no solo la eficiencia técnica y la seguridad jurídica, sino también los valores democráticos, la protección de los derechos fundamentales y la cohesión social.

La iniciativa estonia, con todas sus contradicciones, ha cumplido una función inestimable: ha puesto el debate sobre la mesa. Ahora corresponde a las instituciones europeas, a los Estados miembros y a la comunidad jurídica en su conjunto recoger el guante y transformar esta iniciativa —que hoy es unilateral y problemática— en el germen de una regulación europea que sea, a la vez, innovadora y respetuosa con los principios del Estado de derecho. El desafío es mayúsculo, pero la oportunidad también lo es. Europa tiene la posibilidad de convertirse en el primer espacio regulatorio del mundo en establecer un estatuto claro y armonizado para los agentes de IA, sentando las bases para una gobernanza digital que combine innovación, seguridad jurídica y protección de los derechos fundamentales. La pregunta no es si el derecho debe adaptarse a la era de la inteligencia artificial agéntica; la pregunta es cómo debe hacerlo, con qué procedimientos, con qué garantías y con qué límites. La respuesta a esta pregunta definirá, en buena medida, el futuro de la democracia digital en el siglo XXI.

VIII. BIBLIOGRAFÍA

[1] Canuto. "Estonia abre debate en Europa con su plan para otorgar identidad digital a agentes de IA". DiarioBitcoin, 19 de junio de 2026. https://www.diariobitcoin.com/regulacion/estonia-abre-debate-en-europa-con-su-plan-para-otorgar-identidad-digital-a-agentes-de-ia/

[2] Euractiv. "Estonia to give digital identities to AI agents". Euractiv, 18 de junio de 2026. https://www.euractiv.com/news/estonia-to-give-digital-identities-to-ai-agents/

[3] Biometric Update. "Estonia's AI agent ID plan raises new questions about digital identity". Biometric Update, 18 de junio de 2026. https://www.biometricupdate.com/202606/estonias-ai-agent-id-plan-raises-new-questions-about-digital-identity

[4] Claburn, Thomas. "Estonia intends to recognize AI agents with digital IDs". The Register, 17 de junio de 2026. https://www.theregister.com/ai-and-ml/2026/06/18/estonia-intends-to-recognize-ai-agents-with-digital-ids/

[5] Fellini, Massimo. "Una carta d'identità per gli agenti IA, la proposta dell'Estonia per evitare l'anarchia digitale". La Repubblica, 18 de junio de 2026. https://www.repubblica.it/tecnologia/2026/06/18/news/una_carta_d_identita_per_gli_agenti_ia_la_proposta_dell_estonia_per_evitare_l_anarchia_digitale-425418755/

[6] Euronews. "Estonia crea primer sistema de identidad digital para IA". Euronews en español, 19 de junio de 2026. https://es.euronews.com/next/2026/06/19/estonia-crea-codigos-de-identidad-de-ia-para-regular-agentes-autonomos

[7] Computerworld. "Estonia planea identificaciones gubernamentales que otorguen a los agentes de IA derechos y responsabilidades". Computerworld España, 18 de junio de 2026. https://www.computerworld.es/article/4186682/estonia-planea-identificaciones-gubernamentales-que-otorguen-a-los-agentes-de-ia-derechos-y-responsabilidades.html

[8] Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE. Diario Oficial de la Unión Europea L 257, 28 de agosto de 2014, pp. 73-114.

[9] Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, por el que se modifica el Reglamento (UE) Nº 910/2014 en lo que respecta al establecimiento del Marco Europeo de Identidad Digital. Diario Oficial de la Unión Europea L 2024/1183, 30 de abril de 2024.

[10] Kennedys Law. "The European Digital Identity Framework: introducing the new EU Digital Identity Wallet". Kennedys Law, 25 de marzo de 2025. https://www.kennedyslaw.com

[11] Estonia. Identity Documents Act (Isikut tõendavate dokumentide seadus). Riigi Teataja. https://www.riigiteataja.ee

[12] Estonian Information System Authority (RIA). "eID competence centre". https://www.ria.ee

[13] e-Residency Government Programme. Official portal. https://www.e-resident.gov.ee

[14] Calzada, Igor y Masso, A. "Datafied Control and Selection of Digital Identity: Estonian e-Residency as 'Citizenship by Connection'". Zenodo, 2024, pp. 1-21. DOI: https://zenodo.org/records/12666905

[15] UCL Discovery. "Responsible Digital ID: Effects of Data Governance Policies and Practices on Human Rights. Case Studies from Argentina, Estonia, Kenya, and China". UCL Discovery, 2025. https://discovery.ucl.ac.uk

[16] Liberties.eu. "Here's How Privacy Is Violated in Estonia". Liberties.eu, 25 de febrero de 2025. https://www.liberties.eu

[17] Gizmodo. "Estonia Is Giving AI Agents 'Personal Identification Codes'". Gizmodo, 17 de junio de 2026. https://gizmodo.com

[18] Identity Week. "AI agents granted own digital identities in Estonia to prevent them inheriting human credentials". Identity Week, 24 de junio de 2026. https://identityweek.net [19] Nordic Institute for Interoperability Solutions (NIIS). X-Road: Overview and Architecture. Disponible en: https://x-road.global [consulta: 25 de junio de 2026].

[20] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos [en adelante, RGPD]. Diario Oficial de la Unión Europea L 119, 4 de mayo de 2016, pp. 1-88.

[21] Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) n.° 300/2008, (UE) n.° 167/2013, (UE) n.° 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 [en adelante, AI Act o RIA]. Diario Oficial de la Unión Europea L 2024/1689, 12 de julio de 2024.