Cuando se habla del Reglamento europeo de Inteligencia Artificial se suele comentar su contenido y exigencias, que en esencia incluye una clasificación de los sistemas de IA, señalando prácticas que directamente están prohibidas, otras que generan alto riesgo y aquellas con riesgo menor, todo ello en función del grado de lesión o afectación a los derechos fundamentales (básicamente a la privacidad y a la autonomía individual). Y, a partir de ahí, marcar las obligaciones de documentación, transparencia y evaluación que deben cumplir los proveedores de las soluciones de IA (fabricantes, distribuidores, importadores o implantadores). Todo ello en la línea de la ambigüedad e inseguridad jurídica que ya marcó el Reglamento de Protección de Datos, utilizando conceptos indeterminados y que cada uno se apañe como pueda, eso sí, con elevadísimas sanciones económicas, también con amplio margen de discrecionalidad en caso de incumplimiento.
La realidad es que una vez se entran a analizar los riesgos e implicaciones legales de una solución de IA, lo que se pone de manifiesto es que esa norma se reduce a una matriz de riesgos que a la empresa usuaria le resuelve más bien poco. La respuesta a las injerencias en la intimidad y la privacidad, la propiedad intelectual o industrial, la confidencialidad y los secretos de empresa, o las normas de mercado y competencia, no las va a encontrar en el Reglamento de IA. Tampoco la solución a la pregunta sobre quién asume la responsabilidad por los daños causados por una solución de IA, que es lo quiero comentar aquí.
El 20 de octubre de 2020, el Parlamento Europeo aprobó, entre otras cosas interesantísimas, unas recomendaciones sobre el régimen de responsabilidad civil en materia de inteligencia artificial, y una propuesta de Reglamento para regularla que marca por dónde irán los tiros.
Se señalaban en esa resolución los dos problemas específicos de la IA en este ámbito.
El primero, que el enorme grado de autonomía de los sistemas de IA dificulta aplicar las reglas sobre responsabilidad civil basadas en la culpa y la negligencia. En ocasiones será complicado resolver si el resultado dañoso es atribuible a una acción humana más o menos directa (un error o mala praxis en la programación, en la implantación/configuración, o en la manipulación y utilización por parte de un usuario), o bien a que la máquina ha tomado (o recomendado) decisiones de forma autónoma, conforme a su propio aprendizaje, que eran imprevisibles o difíciles de conocer.
En segundo lugar, que dada la complejidad y opacidad de estos sistemas, y la intervención de distintos actores (desde el análisis y creación del modelo fundacional hasta la integración del sistema en máquinas y entornos específicos), puede también ser difícil determinar al culpable y atribuir la responsabilidad por el lado del proveedor.
Así que, con este panorama, el Parlamento Europeo recomendaba lo siguiente:
– Aplicar una responsabilidad objetiva (que se asuma de forma directa el daño y se pague una indemnización, aunque no haya culpa ni negligencia) a los productores de soluciones de IA de alto riesgo, a los que se debería exigir un seguro obligatorio. La indemnización se limitaría a 2 millones de euros en caso de fallecimiento, daños a la salud o a la integridad física; o a 1 millón de euros por daños morales o materiales, y se fija un plazo de prescripción para demandar de 10 y 30 años según el tipo de daño.
– Para las soluciones de IA que no sean de alto riesgo, se aplica una responsabilidad subjetiva, de modo que el causante del daño no será responsable si demuestra que el sistema se activó sin su conocimiento o saltándose las medidas y controles establecidos, o bien si actuó diligentemente en la selección del proveedor de IA, la implantación de la solución, y la aplicación de controles y mantenimientos (incluyendo actualizaciones). Si intervienen varios operadores en el proceso, la responsabilidad será solidaria, sin perjuicio del derecho de repetición.
La propuesta va en la línea de la normativa actual sobre productos defectuosos, y desde luego hay que hacerle un seguimiento.
Mientras tanto, en la normativa nacional, el Código Civil ya establece la obligación general de reparar el daño por actos propios y ajenos conforme a los artículos 1902, 1903 y siguientes, y tenemos una doctrina nutrida y sólida que podría aplicarse, pero con los mismos problemas de imputabilidad.
Y la Ley de Consumidores y Usuarios también regula la responsabilidad por productos (arts. 135 a 140) y servicios (arts. 147 y 148), con medidas similares (exoneración de responsabilidad si el estado de conocimientos científicos y técnicos no permitía apreciar el defecto, si se ha actuado diligentemente, y conforme a la normativa de calidad y seguridad aplicables). Aquí hay que tener en cuenta que, conforme a la sentencia del Tribunal Supremo de 2 de noviembre de 2023, esto también se aplica cuando los daños son causados a un profesional, a un trabajador o a un empresario, no sólo a consumidores y usuarios.
Para terminar, sólo un par de apuntes:
– En la redacción y negociación de los contratos entre cliente y proveedor de IA va a haber mucha tensión en la parte de responsabilidad civil. Establezcan un procedimiento de homologación de proveedores sólido, exijan un seguro de RC solvente, realicen, soliciten y verifiquen las pruebas y validaciones de la solución. El cliente no puede evitar tener que hacer sus propias evaluaciones de impacto, pero exijan garantías, certificaciones y evaluaciones de conformidad al proveedor en la medida de lo posible.
– No he hablado de la responsabilidad penal, porque merece capítulo aparte. En todo caso, desde el punto de vista de la culpabilidad habrá que traer los conceptos de dolo eventual y culpa consciente, y revisar el catálogo de delitos de los que puede ser responsable la persona jurídica conforme al art. 31 bis del Código Penal.
Sé el primero en comentar