Carlos B Fernández.— Cuando todavía se está tramitando el futuro Reglamento (Ley) de lnteligencia Artificial (IA), la Comisión ha presentado una propuesta de Directiva sobre responsabilidad civil extracontractual en materia de Inteligencia Artificial (Proposal for a Directive of the European Parliament and of the Council on adapting non-contractual civil liability rules to artificial intelligence - AI Liability Directive) (COM(2022) 496 final).
Se trata de la primera propuesta de armonización específica de las regulaciones nacionales sobre responsabilidad civil de la UE en materia de IA, para complementarlas y modernizarlas, introduciendo unas normas específicas para los daños causados por los sistemas de IA y facilitar que las víctimas de daños relacionados con la IA obtengan una indemnización.
Según la Comisión, estas nuevas normas, en consonancia con los objetivos del Libro Blanco sobre la IA y con la propuesta de Ley de IA de 2021 de la Comisión, que establece un marco de excelencia y confianza en materia de IA, garantizarán que las víctimas se beneficien de las mismas normas de protección cuando se vean perjudicadas por productos o servicios de IA que cuando se producen daños en cualquier otra circunstancia.
Según la Comisión, esta propuesta se basa en 4 años de análisis y en la estrecha participación de las partes interesadas, incluidos académicos, empresas, asociaciones de consumidores, Estados miembros y ciudadanos. El trabajo preparatorio comenzó en 2018 con la creación del Grupo de Expertos en Responsabilidad y Nuevas Tecnologías (Formación en Nuevas Tecnologías) --Expert Group on Liability and New Technologies (New Technologies Formation--. El Grupo de Expertos elaboró un Informe en noviembre de 2019 (Liability for artificial intelligence and other emerging digital technologies),que evaluaba los desafíos que algunas características de la IA plantean a las normas nacionales de responsabilidad civil. Además, se ha tenido en cuenta la propuesta del Parlamento Europeo de 20 de octubre de 2020 . Posteriormente, en noviembre de 2021, la Comisión Europea abrió a consulta pública la adaptación de la Directiva sobre responsabilidad por los daños causados por productos defectuosos a la Inteligencia Artificial, cuyos resultados se han tenido en cuenta también a la hora de redactar esta propuesta.
La propuesta de la Comisión, presentada conjuntamente con la de otra Directiva para modernizar las normas existentes sobre la responsabilidad objetiva de los fabricantes por los productos defectuosos, pretende ofrecer seguridad jurídica a las empresas para que puedan invertir en productos nuevos e innovadores y velar por que las víctimas puedan obtener una compensación justa cuando los productos defectuosos, incluidos los productos digitales y reacondicionados, provoquen daños o perjuicios.
La Comisión considera que una Directiva es el instrumento más adecuado para esta propuesta, ya que proporciona el efecto de armonización y la seguridad jurídica deseados, al tiempo que ofrece la flexibilidad necesaria para que los Estados miembros puedan integrar las medidas armonizadas sin fricciones en sus regímenes nacionales de responsabilidad.
Objetivo de la propuesta
El objetivo de la Directiva sobre responsabilidad en materia de IA es establecer normas uniformes sobre el acceso a la información y la reducción de la carga de la prueba en relación con los daños provocados por los sistemas de IA, fijando una protección más amplia para las víctimas (ya sean particulares o empresas) y fomentando el sector de la IA mediante mayores garantías.
La Directiva armonizará determinadas normas aplicables a las reclamaciones que no entran en el ámbito de aplicación de la Directiva sobre responsabilidad por los daños causados por productos defectuosos, en los casos en que los daños se deban a un comportamiento ilícito. Esto incluye, por ejemplo, las violaciones de la privacidad o los daños causados por problemas de seguridad. Las nuevas normas facilitarán, así, la obtención de una indemnización si alguien ha sido discriminado en un proceso de contratación que implique tecnología de IA.
La propuesta pretende equilibrar los intereses de las víctimas de los daños relacionados con los sistemas de IA y los de las empresas del sector.
Para ello, la Comisión ha elegido la herramienta menos intervencionista (presunciones refutables, rebuttable presumptions) para aliviar la carga de la prueba. De este modo, la Directiva no plantea una inversión de la carga de la prueba, para evitar exponer a los proveedores, operadores y usuarios de los sistemas de IA a mayores riesgos de responsabilidad, lo que podría obstaculizar la innovación de los productos y servicios basados en la IA.
Además, destaca la Comisión, al garantizar que las víctimas de la IA disfruten del mismo nivel de protección que en los casos en los que no están implicados los sistemas de IA, la propuesta de Directiva contribuye a reforzar la confianza del público en las tecnologías de la IA, fomentando así el despliegue y la adopción de la IA en toda la Unión.
En particular, se señala, las empresas estarán en mejor posición para anticipar cómo se aplicarán las normas de responsabilidad existentes y, por tanto, para evaluar y asegurar su exposición a la responsabilidad. Este es especialmente el caso de las empresas que comercian a través de las fronteras, incluidas las pequeñas y medianas empresas (PYME), que se encuentran entre las más activas en el sector de la IA.
Productos defectuosos y daños causados por la IA
La Comisión destaca que la nueva Directiva sobre la responsabilidad por IA supone una reforma específica de los regímenes nacionales de responsabilidad basados en la culpa, que se aplicará a las reclamaciones contra cualquier persona cuya culpa haya influido en el sistema de IA que haya causado el daño; contra cualquier tipo de daño regulado por la legislación nacional (incluido el resultante de la discriminación o la violación de derechos fundamentales como la intimidad); y contra las reclamaciones presentadas por cualquier persona física o jurídica.
En lo que respecta a las atenuaciones de la carga de la prueba, las dos Directivas introducen herramientas similares (derecho a la divulgación de pruebas, presunciones refutables) y utilizan una redacción similar para garantizar la coherencia, independientemente de la vía de indemnización elegida.
Presunción de causalidad y derecho de acceso a las pruebas
Las nuevas normas garantizarán que las víctimas de los daños causados por la tecnología de la IA puedan acceder a una reparación, de la misma manera que si hubieran sido perjudicadas en cualquier otra circunstancia.
Para ello, la propuesta simplifica el proceso jurídico para las víctimas a la hora de demostrar que la culpa de una persona ha provocado los daños, al introducir dos características principales: la llamada "presunción de causalidad", que eximirá a las víctimas de tener que explicar detalladamente cómo el daño fue causado por una determinada falta u omisión, en circunstancias en las que se haya probado una culpa pertinente y parezca razonablemente probable que exista un nexo causal con el rendimiento de la IA; y el acceso a las pruebas de las empresas o proveedores, cuando se trate de IA de alto riesgo.
En primer lugar, la denominada «presunción de causalidad» abordará las dificultades experimentadas por las víctimas para tener que explicar detalladamente la manera en que se ha provocado el daño por una culpa u omisión concretas, lo que puede ser especialmente difícil al intentar comprender y lidiar con sistemas de IA complejos.
En segundo lugar, las víctimas dispondrán de más herramientas para solicitar reparación legal gracias a la introducción de un derecho de acceso a las pruebas presentadas por empresas y proveedores, en los casos en que esté implicada IA de alto riesgo.
Pero la propuesta trata de establecer también un equilibrio entre la protección de los consumidores y el fomento de la innovación, pues a la vez que elimina obstáculos para que las víctimas accedan a la indemnización, establece garantías para el sector de la IA mediante la introducción, por ejemplo, del derecho a impugnar una reclamación de responsabilidad basada en una presunción de causalidad.
Relación con la propuesta de la Ley de Inteligencia Artificial
Según la Comisión, las propuestas de Ley de Inteligencia Artificial y de la Directiva de Responsabilidad de la IA son dos caras de la misma moneda: se aplican en momentos diferentes y se refuerzan mutuamente.
Las normas orientadas a la seguridad tienen como objetivo principal reducir los riesgos y prevenir los daños, pero esos riesgos nunca se eliminarán por completo. Las disposiciones sobre responsabilidad son necesarias para garantizar que, en caso de que un riesgo se materialice en daños, la compensación sea efectiva y realista. Así, mientras que la Ley de IA tiene como objetivo prevenir los daños, la Directiva de Responsabilidad por IA establece una red de seguridad para la compensación en caso de que se produzcan esos daños.
Para ello, la Directiva sobre responsabilidad por IA utiliza las mismas definiciones que la Ley de IA, mantiene la distinción entre IA de alto riesgo y de no alto riesgo, reconoce los requisitos de documentación y transparencia de la Ley de IA haciéndolos operativos para la responsabilidad a través del derecho a la divulgación de información, e incentiva a los proveedores/usuarios de sistemas de IA a cumplir con sus obligaciones en virtud de la Ley de IA. Además, la Directiva sobre responsabilidad se aplicará a los daños causados por los sistemas de IA, independientemente de si son de alto riesgo o no según la Ley de IA.
Con respecto a la IA en particular, la Comisión destaca que la propuesta de Directiva confirma que los sistemas de IA y los bienes habilitados para la IA son "productos" y, por lo tanto, entran en el ámbito de aplicación de la Directiva sobre productos defectuosos, lo que significa que la indemnización está disponible cuando la IA defectuosa causa daños, sin que la persona perjudicada tenga que demostrar la culpa del fabricante, al igual que para cualquier otro producto.
En segundo lugar, la propuesta deja claro que no solo los fabricantes de hardware, sino también los proveedores de software y los proveedores de servicios digitales que afectan al funcionamiento del producto (como un servicio de navegación en un vehículo autónomo) pueden ser considerados responsables de los daños.
En tercer lugar, la propuesta garantiza que los fabricantes puedan ser considerados responsables de los cambios que introduzcan en los productos que ya han comercializado, incluso cuando estos cambios sean provocados por actualizaciones de software o aprendizaje automático.
En cuarto lugar, la nueva directiva sobre responsabilidad de los productosalivia la carga de la prueba en casos complejos, que podrían incluir determinados casos relacionados con sistemas de IA, y cuando los productos no cumplen los requisitos de seguridad. Con ello, responde en gran medida a las peticiones del Parlamento Europeo para que las normas de responsabilidad se adapten a la IA.
Como complemento a estos cambios, la propuesta paralela de directiva sobre la responsabilidad por culpa de la IA pretende garantizar que, cuando una persona perjudicada tenga que demostrar que fue culpa de alguien que un sistema de IA causó daños para obtener una indemnización con arreglo a la legislación nacional, la carga de la prueba pueda aliviarse si se cumplen determinadas condiciones.
Estructura y contenido de la propuesta
El texto consta de nueve artículos, de los que reseñamos el contenido de los principales.
El artículo 1 regula el objeto y el ámbito de aplicación de la Directiva. Esta se aplicará a las demandas civiles extracontractuales por daños y perjuicios causados por un sistema de IA, cuando dichas demandas se presenten con arreglo a regímenes de responsabilidad basados en la culpa.
Es decir, los regímenes que prevén una responsabilidad legal para indemnizar los daños causados intencionadamente o por una acción u omisión negligente.
Las medidas previstas en esta Directiva pueden encajar sin fricción en los sistemas de responsabilidad civil existentes, ya que reflejan un enfoque que no toca la definición de conceptos fundamentales como "culpa" o "daño", dado que el significado de esos conceptos varía considerablemente en los Estados miembros.
Así pues, más allá de las presunciones que establece, la presente Directiva no afecta a las normas de la Unión o nacionales que determinan, por ejemplo, qué parte tiene la carga de la prueba, qué grado de certeza se requiere en cuanto al nivel de prueba o cómo se define la culpa. Además, la presente Directiva no afecta a las normas existentes que regulan las condiciones de responsabilidad en el sector del transporte ni a las establecidas por la Ley de Servicios Digitales.
Aunque esta Directiva no se aplica con respecto a la responsabilidad penal, puede ser aplicable con respecto a la responsabilidad del Estado. Las autoridades estatales también están cubiertas por las disposiciones de la Ley de IA como sujetos de las obligaciones prescritas en ella.
La presente Directiva no se aplica con carácter retroactivo, sino únicamente a las reclamaciones de indemnización por daños y perjuicios que se produzcan a partir de la fecha de su transposición.
La propuesta de esta Directiva se ha adoptado junto con la propuesta de revisión de la Directiva 85/374/CEE (LA LEY 1943/1985) sobre responsabilidad por productos defectuosos, en un paquete destinado a adaptar las normas de responsabilidad a la era digital y a la IA, garantizando la necesaria alineación entre estos dos instrumentos jurídicos complementarios.
El artículo 2 contiene un bloque de definiciones que siguen las de la propuesta de Ley de IA para garantizar la coherencia.
El artículo 2(6)(b) establece que las reclamaciones por daños y perjuicios pueden ser presentadas no sólo por la persona perjudicada, sino también por las personas que se hayan subrogado en los derechos de la persona perjudicada. La subrogación es la asunción por parte de un tercero (como una compañía de seguros) del derecho legal de otra parte a cobrar una deuda o unos daños. Así, una persona tiene derecho a hacer valer los derechos de otra en su propio beneficio. La subrogación también abarcaría a los herederos de una víctima fallecida.
Además, la letra c) del apartado 6 del artículo 2 establece que la acción por daños y perjuicios también puede ser ejercida por alguien que actúe en nombre de una o varias partes perjudicadas, de conformidad con el Derecho de la Unión o nacional. Esta disposición pretende dar más posibilidades a las personas perjudicadas por un sistema de IA para que sus reclamaciones sean evaluadas por un tribunal, incluso en los casos en los que las acciones individuales puedan parecer demasiado costosas o engorrosas, o cuando las acciones conjuntas puedan suponer un beneficio de escala. Para que las víctimas de los daños causados por los sistemas de IA puedan hacer valer sus derechos en relación con esta Directiva mediante acciones representativas, el artículo 6 modifica el anexo I de la Directiva (UE) 2020/1828 (LA LEY 23718/2020).
El artículo 3 se refiere a la divulgación de pruebas (disclosure of evidence).
Dado que la Directiva tiene por objeto proporcionar a las personas que solicitan una indemnización por daños causados por sistemas de IA medios eficaces para identificar a las personas potencialmente responsables y las pruebas pertinentes para una reclamación, el apartado 1 del artículo 3 de la Directiva establece que un tribunal puede ordenar la divulgación de las pruebas pertinentes sobre sistemas específicos de IA de alto riesgo que se sospecha que han causado daños.
Estas solicitudes de pruebas se pueden dirigir al proveedor de un sistema de IA, a una persona sujeta a las obligaciones del proveedor establecidas en el artículo 24 o en el artículo 28 (1) de la Ley de IA o a un usuario en virtud de la Ley de IA. Las solicitudes deben estar respaldadas por hechos y pruebas suficientes para establecer la plausibilidad de la reclamación de daños y perjuicios contemplada y las pruebas solicitadas deben estar a disposición de los destinatarios. Las solicitudes no pueden dirigirse a partes que no tengan obligaciones en virtud de la Ley de AI y que, por tanto, no tengan acceso a las pruebas.
Según el apartado 2 del artículo 3, el demandante puede solicitar la divulgación de pruebas a proveedores o usuarios que no sean demandados sólo en el caso de que se hayan realizado sin éxito todos los intentos proporcionados para obtener las pruebas del demandado. Para que los medios judiciales sean eficaces, el apartado 3 del artículo 3 de la Directiva establece que el tribunal también puede ordenar la conservación de dichas pruebas.
Según lo dispuesto en el primer párrafo del apartado 4 del artículo 3, el tribunal podrá ordenar dicha divulgación, sólo en la medida necesaria para sostener la demanda, dado que la información podría ser una prueba decisiva para la reclamación de la persona perjudicada en el caso de daños que impliquen sistemas de IA. Al limitar la obligación de divulgar o conservar a las pruebas necesarias y proporcionadas, el primer párrafo del apartado 4 del artículo 3 pretende garantizar la proporcionalidad en la divulgación de las pruebas, es decir, limitar la divulgación al mínimo necesario y evitar las solicitudes generales.
Los párrafos segundo y tercero del apartado 4 del artículo 3 pretenden además lograr un equilibrio entre los derechos del demandante y la necesidad de garantizar que dicha divulgación esté sujeta a salvaguardias para proteger los intereses legítimos de todas las partes afectadas, como los secretos comerciales o la información confidencial.
En el mismo contexto, el cuarto párrafo del apartado 4 del artículo 3 pretende garantizar que los recursos procesales contra la orden de divulgación o conservación estén a disposición de la persona sometida a ella.
El apartado 5 del artículo 3 introduce una presunción de incumplimiento del deber de diligencia. Se trata de un instrumento procesal, pertinente únicamente en los casos en que es el propio demandado en una reclamación de daños y perjuicios quien soporta las consecuencias de no cumplir una petición de revelación o conservación de pruebas. El demandado tendrá derecho a refutar esa presunción. La medida establecida en este apartado tiene por objeto promover la divulgación, pero también agilizar los procedimientos judiciales.
El artículo 4 establece la presunción de nexo causal en caso de culpa.
Dado que la Directiva tiene por objeto proporcionar una base eficaz para reclamar una indemnización por el incumplimiento de un deber de diligencia con arreglo al Derecho de la Unión o nacional, y que puede resultar difícil para los demandantes establecer un vínculo causal entre dicho incumplimiento y el resultado producido por un sistema de IA, el apartado 1 del artículo 4 establece una presunción iuris tantum de causalidad en relación con este vínculo.
Dicha presunción es la medida menos gravosa para abordar la necesidad de una indemnización justa de la víctima. La culpa del demandado debe ser probada por el demandante de acuerdo con las normas nacionales o de la Unión aplicables. Dicha culpa puede establecerse, por ejemplo, por el incumplimiento de un deber de cuidado en virtud de la Ley de IA o de otras normas establecidas a nivel de la Unión, como las que regulan el uso de la supervisión y la toma de decisiones automatizadas para el trabajo en plataformas o las que regulan el funcionamiento de las aeronaves no tripuladas.
El tribunal también puede presumir dicha falta sobre la base del incumplimiento de una orden judicial de divulgación o conservación de pruebas en virtud del artículo 3, apartado 5. Sin embargo, sólo es apropiado introducir una presunción de causalidad cuando pueda considerarse probable que el fallo en cuestión haya influido en el rendimiento del sistema de IA o en su ausencia, lo que puede evaluarse en función de las circunstancias generales del caso.
Al mismo tiempo, el demandante tiene que demostrar que el sistema de IA (es decir, su producción o la falta de ella) dio lugar al daño.
Los apartados (2) y (3) diferencian entre, por un lado, las reclamaciones presentadas contra el proveedor de un sistema de IA de alto riesgo o contra una persona sujeta a las obligaciones del proveedor en virtud de la Ley de IA y, por otro lado, las reclamaciones presentadas contra el usuario de dichos sistemas. A este respecto, se siguen las disposiciones respectivas y las condiciones pertinentes de la Ley de IA.
En el caso de las reclamaciones basadas en el apartado 2 del artículo 4, el cumplimiento por parte de los demandados de las obligaciones enumeradas en dicho apartado debe evaluarse también a la luz del sistema de gestión de riesgos y sus resultados, es decir, las medidas de gestión de riesgos, con arreglo a la Ley de IA.
En el caso de los sistemas de IA de alto riesgo definidos por la Ley de IA, el apartado 4 del artículo 4 establece una excepción a la presunción de causalidad, cuando el demandado demuestre que el demandante tiene acceso razonable a suficientes pruebas y conocimientos técnicos para demostrar el vínculo causal. Esta posibilidad puede incentivar a los demandados a cumplir con sus obligaciones de divulgación, con las medidas establecidas por la Ley de IA para garantizar un alto nivel de transparencia de la IA o con los requisitos de documentación y registro.
En el caso de los sistemas de IA que no son de alto riesgo, el apartado 5 del artículo 4 establece una condición para la aplicabilidad de la presunción de causalidad, según la cual ésta está sujeta a que el tribunal determine que es excesivamente difícil para el demandante probar el vínculo causal. Dichas dificultades deben evaluarse a la luz de las características de ciertos sistemas de IA, como la autonomía y la opacidad, que hacen que la explicación del funcionamiento interno del sistema de IA sea muy difícil en la práctica, lo que afecta negativamente a la capacidad del demandante para probar el nexo causal entre la culpa del demandado y el resultado de la IA.
En los casos en que el demandado utiliza el sistema de IA en el curso de una actividad personal no profesional, el artículo 4.6 establece que la presunción de causalidad sólo debe aplicarse si el demandado ha interferido materialmente en las condiciones de funcionamiento del sistema de IA o si el demandado estaba obligado y podía determinar las condiciones de funcionamiento del sistema de IA y no lo hizo. Esta condición se justifica por la necesidad de equilibrar los intereses de los perjudicados y de los usuarios no profesionales, eximiendo de la aplicación de la presunción de causalidad los casos en que los usuarios no profesionales no añaden riesgo con su comportamiento.
Por último, el apartado 7 del artículo 4 establece que el demandado tiene derecho a refutar la presunción de causalidad basada en el apartado 1 del artículo 4. Estas normas efectivas de responsabilidad civil tienen la ventaja adicional de que dan a todos los que participan en actividades relacionadas con los sistemas de IA un incentivo adicional para respetar sus obligaciones en cuanto a su conducta esperada.