Imprime este artículo en PDF

Propuesta de Directiva sobre responsabilidad civil en materia de sistemas de inteligencia artificial

1. Sistemas de inteligencia artificial y responsabilidad civil 

En comparación con los casos que no tienen relación alguna con la inteligencia artificial (IA), a las víctimas de daños causados por sistemas de inteligencia artificial, en la práctica, les puede resultar difícil o excesivamente costoso determinar cuál es la persona responsable del daño sufrido.

Dicha dificultad y el elevado coste obedecen a las características propias de la IA, incluidas su complejidad técnica, su autonomía, la inexplicabilidad de su funcionamiento interno y su opacidad. Esto último está relacionado con el llamado efecto de “caja negra” que se refiere a los casos que no resulta posible explicar por qué un modelo de IA ha generado un resultado o una decisión particular ni qué combinación de factores contribuyeron a ello.

Concretamente, el efecto “caja negra” puede dificultar a la víctima la prueba de la culpa y de la relación de causalidad, presupuestos que junto con la acción u omisión ilícita y la existencia de un daño configuran la obligación de indemnizar.

Con el fin de superar estos obstáculos, el pasado 28.09.2022 la Comisión Europea publicó la Propuesta de Directiva del Parlamento y del Consejo relativa a la adaptación de las normas de responsabilidad civil extracontractual a la inteligencia artificial (la Directiva sobre responsabilidad en materia de IA).

El objetivo concreto que persigue esta Directiva es promover la introducción generalizada de una IA fiable a fin de aprovechar plenamente sus beneficios para el mercado interior europeo. El Grupo Independiente de Expertos de Alto Nivel sobre IA, creado por la Comisión Europea en junio de 2018, en sus Directrices Éticas para una IA Fiable (2019) define la IA fiable como aquella que cumple con todas las leyes aplicables (es una IA lícita), garantiza el respeto de los principios, valores éticos y los derechos fundamentales (es una IA ética) y es robusta, tanto técnica como socialmente, ya que los sistemas de IA, incluso si las intenciones son buenas, pueden provocar daños accidentales (es una IA robusta).

Ello explica por qué la Directiva sobre responsabilidad en materia de IA mantiene plena coherencia con la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de IA) publicada el 21.04.2021. El Reglamento de IA define “sistema de IA” como el software que se desarrolla empleando una varias o técnicas de aprendizaje automático, o estrategias basadas en la lógica y el conocimiento, o estrategias estadísticas y estimación bayesiana, que pueden, para un conjunto determinado de objetivos definidos por seres humanos, generar información de salida como contenidos, predicciones, recomendaciones o decisiones que influyan en los entornos en los que interactúa. La Directiva sobre responsabilidad en materia de IA sigue esta misma definición cuando se refiere a sistemas de inteligencia artificial.

2. ¿Por qué una Directiva para regular la responsabilidad civil de la IA?

Para cumplir con su objetivo concreto, la Directiva sobre responsabilidad en materia de IA pretende garantizar que las víctimas de daños causados por la IA obtengan una protección equivalente en materia de responsabilidad civil a la de las víctimas de daños causados por otras tecnologías o sin mediación de sistemas de inteligencia artificial.

Además, la Directiva pretende ofrecer seguridad jurídica a las empresas en la Unión Europea (UE) que desarrollan o utilizan la IA más allá de sus fronteras. Para esto armoniza determinadas normas nacionales de responsabilidad extracontractual subjetiva o basada en la culpa. Con esta armonización se quiere evitar la fragmentación jurídica que se crearía si se aplicara a las empresas tantos regímenes de responsabilidad civil como Estados miembros en la UE hay. De este modo se busca que las empresas puedan anticipar sus riesgos de responsabilidad civil y asegurarse debidamente contra ellos.

Concretamente, la Directiva sobre responsabilidad en materia de IA únicamente armoniza las normas de responsabilidad subjetiva que rigen la carga de la prueba para las personas (físicas o jurídicas) que reclaman una indemnización por daños y perjuicios causados por sistemas de inteligencia artificial. Sigue un enfoque de armonización mínima ya que se permite a los demandantes, en caso de sufrir daños causados por sistemas de IA, poder invocar las normas más favorables de los derechos nacionales cuando estas existieran.

La Directiva no entra a armonizar los aspectos generales de la responsabilidad civil que estén regulados de diferentes maneras por las normas nacionales de responsabilidad civil, como la definición de culpa o la causalidad, los diferentes tipos de daños que dan lugar a demandas por daños y perjuicios, la distribución de la responsabilidad entre varios causantes de los daños, la concurrencia de culpas, el cálculo de los daños y perjuicios o los plazos de prescripción.

3. ¿Qué derechos fundamentales protege la Directiva sobre responsabilidad en materia de IA?

Según la Directiva, la mejor protección de las víctimas de daños causados por la IA permitirá una aplicación privada efectiva de los derechos fundamentales y protegerá el derecho a la tutela judicial efectiva cuando se materialicen los riesgos específicos de la IA.

En particular, la Directiva pretende proteger los siguientes derechos de las víctimas consagrados por la Carta de los Derechos Fundamentales de la UE):

• El derecho a la vida (artículo 2)
• El derecho a la integridad física y mental (artículo 3)
• El derecho a la propiedad (artículo 17)
• La dignidad personal (artículos 1 y 4)
• El respecto de la vida privada y familiar (artículo 7).
• El derecho a la igualdad (artículo 20)
• El derecho a la no discriminación (artículo 21).

4. ¿Qué daños causados por sistemas de inteligencia artificial se indemnizan según la Directiva sobre responsabilidad en materia de IA?

La Directiva sobre responsabilidad en materia de IA se aplica a las demandas civiles de responsabilidad civil extracontractual subjetiva (basada en la culpa) por daños y perjuicios causados por sistemas de IA. Es decir, se refiere a la responsabilidad legal de indemnizar los daños causados de forma deliberada o por un acto u omisión negligente.

En cuanto a los daños y perjuicios indemnizables, la Directiva solo abarca las demandas por daños y perjuicios que hayan sido causados por una información de salida -o por la no producción de una información de salida– imputable a un sistema de IA, ya sea de alto riesgo o no, cuando medie culpa de una persona, por ejemplo, el proveedor o el usuario de un sistema de IA.

¿Qué ejemplos de dañosa información de salida producida por un sistema de inteligencia artificial podemos dar? Aquí te dejo algunos:

• Un sistema de identificación biométrica remota que confunde a una persona física determinada con un terrorista fugado, como consecuencia de lo cual es detenido injustamente.
• Un sistema de IA destinado a determinar el acceso de personas físicas a centros de educación que excluye a una determinada persona a pesar de cumplir con todos los requisitos.
• Un sistema de IA que realiza una clasificación crediticia de una persona física en base a parámetros discriminatorios.
• Un sistema de IA utilizado por las autoridades judiciales destinado a predecir la frecuencia o reiteración de una infracción penal con base en la elaboración de perfiles, la evaluación de rasgos de la personalidad o las conductas delictivas pasadas, que penalice a personas de determinada etnia.

Nótese que cuando los daños hayan sido causados directamente por una evaluación humana seguida de una acción u omisión humana y el sistema de IA se haya limitado a proporcionar información o asesoramiento que fue tenido en cuenta por el agente humano de que se trata, no se aplicará la Directiva sobre responsabilidad en materia de IA. La razón es sencilla: en este caso es posible atribuir los daños causados directamente a una acción u omisión humana, ya que la información de salida del sistema de IA no se interpone entre la acción humana y el daño. En este supuesto determinar el nexo causal no es más difícil que en situaciones en las que no interviene un sistema de IA.

Manteniendo la coherencia referida, la Directiva sobre responsabilidad en materia de IA sigue las definiciones de proveedores y usuarios de sistemas de IA establecidas por el Reglamento de IA. Igualmente, la Directiva sigue la definición de sistema de IA de alto riesgo que establece dicho Reglamento.

Por tanto, será proveedor toda persona física o jurídica, autoridad, agencia u organismo de otra índole que desarrolle un sistema de IA o para el que se haya desarrollado un sistema de IA con vistas a introducirlo en el mercado o ponerlo en servicio, con su propio nombre o marca comercial.  Y será usuario, toda persona física o jurídica, autoridad, agencia u organismo de otra índole que utilice un sistema de IA bajo su propia competencia, salvo cuando su uso se enmarque en una actividad personal de carácter no profesional.

Para el Reglamento de IA, un sistema de inteligencia artificial se considerará de alto riesgo cuando:

1. Está destinado a ser utilizado como componente de seguridad de uno de los productos contemplados en la legislación de armonización de la UE que se indica en el Anexo II del Reglamento de IA, o es en sí mismo uno de dichos productos (v.g. máquinas; juguetes; embarcaciones de recreo y motos acuáticas; ascensores; equipos radioeléctricos; instalaciones de transporte por cable; productos sanitarios; aviación civil; sistema ferroviario; vehículos a motor; etc.).
2. Está mencionado expresamente en el Anexo III del Reglamento de IA (v.g. los destinados a utilizarse en la identificación biométrica remota en tiempo real o en diferido de personas físicas; los destinados a utilizarse como componente de seguridad en la gestión y el funcionamiento del tráfico rodado y el suministro de agua, gas, calefacción y electricidad; los destinados para determinar el acceso o la asignación de personas físicas a los centros de educación y formación profesional; los destinados para la contratación o selección, clasificación y filtrado de personas físicas para puestos vacantes; los destinados para evaluar la solvencia crediticia de personas físicas o establecer su clasificación crediticia; los destinados a ser utilizados por las autoridades con el fin de realizar evaluaciones de riesgo individuales de personas físicas para determinar el riesgo de que cometan infracciones penales o reincidan en su comisión; los destinados a ayudar a las autoridades a examinar solicitudes de asilado, visado y permisos de residencia; los destinados a ayudar a una autoridad judicial en la investigación e interpretación de los hechos y de la ley; etc.).

5. ¿Qué medidas legales ha establecido la Directiva sobre responsabilidad en materia de IA para cumplir con su objetivo?

Para lograr su concreto objetivo, la Directiva sobre responsabilidad en materia de IA aligera la carga de la prueba al demandante a través de dos medidas concretas:

1) Primera medida: Solicitar al juez la exhibición de pruebas pertinentes relativas a sistemas de inteligencia artificial de alto riesgo de los que se sospeche que han causado daños (artículo 3).

Las personas que soliciten una indemnización por daños y perjuicios causados por sistemas de IA de alto riesgo podrán dirigir solicitudes de exhibición de los medios de prueba pertinentes por parte de quienes los tengan a su disposición a efectos de determinar su responsabilidad. El órgano judicial podrá ordenar también la conservación de tales pruebas.

¿Qué se debe exhibir? Al respecto hay que recordar que el Reglamento de IA impone a los operadores que participen en el diseño, desarrollo e introducción de sistemas de IA de alto riesgo, requisitos específicos de documentación, información y conservación registros, pero no otorga al perjudicado el derecho a acceder a dicha información. Pues bien, la Directiva sobre responsabilidad en materia de IA subsana este impase y faculta a la víctima demandante a que pueda acceder a dicha información a través de su exhibición por parte del operador demandado. Por tanto, estas solicitudes solo podrán dirigirse a los operadores que estén sujetos al cumplimiento de obligaciones en virtud del Reglamento de IA, es decir, proveedores de un sistema de IA de alto riesgo, personas sujetas a las obligaciones de los proveedores de un sistema de IA de alto riesgo o a un usuario de un sistema de IA de alto riesgo.

Las solicitudes deberán estar respaldadas por hechos y pruebas suficientes para acreditar la viabilidad de la demanda por daños y perjuicios prevista.

En aras a garantizar la proporcionalidad en la obligación de exhibición y conservación de las pruebas, se limita la exhibición al mínimo necesario y se impide solicitudes genéricas. La Directiva sobre responsabilidad en materia de IA establece que los órganos jurisdiccionales nacionales deben estar facultados para adoptar medidas específicas que garanticen la confidencialidad de los secretos comerciales durante y después del proceso judicial. Estas medidas deben incluir la restricción al acceso de los documentos que contengan secretos comerciales y el acceso a las audiencias o los documentos y sus transcripciones a un número limitado de personas.

2) Segunda medida: Establecimiento de presunciones refutables o iuris tantum o que admiten prueba en contrario (artículos 3.5 y 4).

La Directiva sobre responsabilidad en materia de IA establece las siguientes dos presunciones procesales:

• Presunción del incumplimiento de un deber de diligencia por parte del demandado.

En una demanda donde se solicite una indemnización por daños y perjuicios causados por sistemas de IA de alto riesgo, el órgano jurisdiccional presumirá que el demandado ha incumplido los deberes de diligencia impuestos por el Reglamento de IA (un poco más adelante nos referimos a estos deberes) si este incumple la orden judicial de exhibición o conservación de pruebas que obran en su poder. Esto significa presumir la culpa del demandado.

• Presunción de la existencia de relación de causalidad o nexo causal entre la culpa del demandado y los resultados producidos o no producidos por el sistema de IA.

Como puede resultar difícil para los demandantes probar que existe un nexo causal entre la culpa del demandado y los resultados producidos por el sistema de IA o la no producción de resultados por parte del sistema de IA, la Directiva ha establecido una presunción de causalidad o de verificación del nexo causal, siempre que se cumplan determinadas condiciones.

En primer lugar, para que esta presunción opere, el demandante debe demostrar la culpa del demandado.

En segundo lugar, esta presunción solo puede aplicarse cuando pueda considerarse razonablemente probable que la culpa en cuestión haya influido en la información de salida producida por el sistema de IA o en la ausencia de la información de salida por parte del sistema de IA. Esta situación será evaluada por el juez atendiendo a las circunstancias del caso.

En tercer lugar, el demandante tendrá que demostrar que la información de salida producida por el sistema de IA o la no producción de una información de salida por parte del sistema de IA, le ha causado un daño.

Entonces, ¿Cómo se puede demostrar la “culpa” del demandado?

La Directiva distingue si la demanda por daños y perjuicios están relacionada con sistemas de inteligencia artificial de alto riesgo o con sistemas de inteligencia artificial que no son de alto riesgo:

Cuando estemos frente a demandas por daños y perjuicios relacionadas con sistemas de inteligencia artificial de alto riesgo, hay que distinguir a su vez dos supuestos, según si la demanda se interpone contra el proveedor de un sistema de inteligencia artificial de alto riesgo (o contra una persona sujeta a las obligaciones del proveedor en virtud del Reglamento de IA) o si se interpone contra el usuario de dicho sistema:

(i) Cuando la demanda se interponga contra proveedores de sistema de IA de alto riesgo (o contra personas sujetas a las obligaciones de estos proveedores), la culpa del demandado únicamente se podrá probar acreditando el incumplimiento de uno de los deberes de diligencia establecidos por el Reglamento de IA. Concretamente, la culpa del proveedor demandando quedará probada cuando se acredite el incumplimiento de los siguientes deberes de diligencia:

1. Cuando el sistema de IA utilice técnicas que impliquen entrenamiento de modelos con datos, demostrando que dicho sistema no se ha desarrollado a partir de conjuntos de datos de entrenamiento, validación y prueba que cumplan los criterios de calidad expuestos en el artículo 10, apartado 2 a 4, del Reglamento de IA.
2. Cuando el sistema de IA no haya sido diseñado ni desarrollado de modo que cumpla los requisitos de transparencia establecidos en el artículo 13 del Reglamento de IA.
3. Cuando el sistema de IA no haya sido diseñado ni desarrollado de modo que permita una vigilancia efectiva por persona físicas durante el período de utilización del sistema de IA, de conformidad con el artículo 14 del Reglamento de IA.
4. Cuando el sistema de IA no haya sido diseñado ni desarrollado de modo que, a la luz de su finalidad prevista, alcance un nivel adecuado de precisión, solidez y ciberseguridad de conformidad con el artículo 15 y el artículo 16, letra a), del Reglamento de IA.
5. Cuando no se hayan adoptado de modo inmediato las medidas correctoras necesarias para alinear el sistema de IA a los requisitos establecidos por el capítulo 2 del Título III del Reglamento de IA, o para retirar del mercado o recuperar el sistema, según proceda, de conformidad con lo establecido por el artículo 16, letra g), y el artículo 21 del Reglamento de IA.

(ii) Cuando la demanda se interponga contra usuarios de sistemas de IA de alto riesgo, la culpa del usuario demandado quedará probada cuando se demuestre que:

1. No cumplió con sus obligaciones de utilizar o supervisar el sistema de IA de conformidad con las instrucciones de uso adjuntas o, en su caso, de suspender o interrumpir su uso, todo ello con arreglo al artículo 29 del Reglamento de IA.
2. Expuso al sistema de IA a datos de entrada bajo su control que no eran pertinentes habida cuenta de la finalidad prevista del sistema con arreglo al artículo 29, apartado 3, del Reglamento de IA.

La culpa puede determinarse no solo acreditando el incumplimiento de los deberes de diligencia establecidos por el Reglamento de IA sino además acreditando el incumplimiento de otras normas de la UE, como las que regulan el uso de la supervisión y la toma de decisiones automatizadas para el trabajo en plataformas o las que regulan el funcionamiento de aeronaves no tripuladas.

Por otro lado, cuando estemos frente a demandas por daños y perjuicios relacionadas con sistemas de IA que no sean de alto riesgo, la presunción de relación de causalidad únicamente se aplicará cuando el órgano jurisdiccional considere excesivamente difícil para el demandante demostrar el nexo causal entre la culpa del demandado y la información de salida o no salida del sistema de IA.

6. Valoración

Surge la duda de si es pertinente tener que esperar a que se apruebe la Directiva sobre responsabilidad en materia de IA para recién evaluar si debe establecerse un régimen de responsabilidad objetiva de responsabilidad civil, por lo menos limitada a determinadas tecnologías de IA (como las inteligencias artificiales más autónomas que funcionan sin una atención humana constante gracias al deep learning), lo que facilitaría en estos casos la carga de la prueba a los demandantes. Esta cuestión conlleva evaluar además la necesidad de introducir la obligación de contratar un seguro obligatorio de responsabilidad civil por parte del proveedor del sistema de IA.

Otra cuestión que surge después de leer la propuesta normativa analizada es si debió tener el ropaje de un “Reglamento” antes que el de una “Directiva”. Como sabemos los reglamentos son normas europeas que se aplican de manera automática y uniforme en todos los países de la UE desde su entrada en vigor, sin necesidad de incorporación al Derecho nacional como ocurre con las Directivas. Si se persigue una armonización máxima el Reglamento pareciera que sería la mejor opción.

Finalmente, habrá que tener en cuenta la aplicación coherente de la Directiva sobre responsabilidad en materia de IA con otras normas como el Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (Reglamento General de Protección de Datos), el Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022 (Reglamento de Servicios Digitales) y la propuesta de Directiva sobre responsabilidad por los daños causados por productos defectuosos. Particularmente mencionamos algunas cuestiones :

• Cómo se indemnizan y bajo qué norma los daños causados por sistemas de IA que ejecutan decisiones individuales automatizadas, incluida la elaboración de perfiles, incumpliendo el artículo 22 del RGPD.
• Cómo se indemniza y bajo qué norma el incumplimiento de las obligaciones de diligencia debida para la toma de decisiones algorítmicas por parte de las plataformas en línea a que se refiere el Reglamento de Servicios Digitales.
• Cómo se indemniza y bajo qué norma la responsabilidad del productor por la comercialización de un sistema de IA que no ofrece la seguridad que el público en general tiene derecho a esperar.

El autor de este artículo es Ricardo Oliva León.