Las condiciones del tratamiento de datos usados y generados por la IA pueden tener importantes consecuencias desde la perspectiva de la responsabilidad en caso de que se produzcan daños o se incumpla la normativa aplicable.
Una aproximación rigurosa a esta problemática requiere distinguir en función de cada uno de los sujetos que intervienen en el proceso, desde su desarrollo inicial hasta su uso efectivo en unas circunstancias concretas, ya que las condiciones y las consecuencias pueden ser muy distintas. En este sentido, es necesario identificar el origen del daño o del incumplimiento con el fin de imputar las consecuencias jurídicas a quien efectivamente deba considerarse como responsable:
- Así, puede que el daño o el incumplimiento vengan determinados por un problema de diseño en la aplicación utilizada o en su entrenamiento, de manera que se empleen indebidamente ciertos datos para esta finalidad. Siguiendo con el ejemplo del vehículo autónomo, este sería el caso de acceder sin consentimiento a los datos de las personas que viajan en el mismo.
- Sin embargo, también es posible que el problema tenga su origen en quien lleva a cabo el despliegue de la herramienta en un entorno determinado para su uso real, posición que ocuparía el fabricante del vehículo. Es lo que podría suceder si, para su funcionamiento, se accediera a datos sin los permisos oportunos o si existiesen restricciones que impiden el acceso a la información necesaria para garantizar su buen funcionamiento.
- El problema también podría estar generado por la propia persona o entidad que utiliza la herramienta. Volviendo al ejemplo del vehículo, cabría plantear que la titularidad del mismo corresponde a una empresa o a una persona física que no hubiera realizado las revisiones periódicas necesarias o actualizado el sistema cuando fuera preciso.
- Finalmente, existe la posibilidad de que la problemática jurídica sobre la responsabilidad venga determinada por las condiciones en las que se proporcionan los datos en su fuente originaria. Por ejemplo, si los datos son inexactos: la información sobre la vía por donde circula el vehículo no está actualizada o los datos que emiten las señales de tráfico no son suficientemente precisos.
Retos relativos al entorno tecnológico: complejidad y opacidad
Además, la propia singularidad de la tecnología utilizada puede condicionar de manera relevante la imputación de la responsabilidad. En concreto, la opacidad tecnológica –es decir, la dificultad para entender por qué un sistema toma una decisión concreta– es uno de los principales desafíos
a la hora de abordar los retos jurídicos que plantea la inteligencia artificial, ya que dificulta la determinación del sujeto responsable. Se trata de una problemática que adquiere una especial trascendencia por lo que se refiere al origen lícito de los datos y, asimismo, a las condiciones en que tiene lugar su tratamiento. De hecho, este fue precisamente el principal escollo que se encontró la inteligencia artificial generativa en los momentos iniciales de su aterrizaje en Europa: la falta de unas condiciones adecuadas de transparencia respecto al tratamiento de los datos personales justificó la paralización temporal de su comercialización hasta que se llevaron a cabo los ajustes necesarios.
En este sentido, la publicación de los datos utilizados para la fase de entrenamiento se convierte en una garantía adicional desde la perspectiva de la seguridad jurídica y, en concreto, para verificar las condiciones de cumplimiento normativo de la herramienta.
Por otra parte, la complejidad inherente a esta tecnología supone una dificultad adicional por lo que se refiere a la imputación de los daños que se puedan causar y, en consecuencia, a la determinación de quién debe hacer frente a los mismos. Siguiendo con el ejemplo del vehículo autónomo, podría darse el caso de que se solapen diversas causas, como la incorrección de los datos proporcionados por las señales de tráfico y, al mismo tiempo, un mal funcionamiento de la aplicación informática al no detectar potenciales incoherencias entre los datos utilizados y las efectivas necesidades de la misma.
¿Qué dice la regulación del Reglamento europeo sobre inteligencia artificial al respecto?
El Reglamento (UE) 2024/1689 establece un marco normativo armonizado en toda la Unión Europea con relación a la inteligencia artificial. Por lo que se refiere a los datos , contempla algunas obligaciones específicas para los sistemas clasificados como “alto riesgo”, que son los contemplados en el artículo 6 y en el listado del Anexo III (identificación biométrica, educación, gestión laboral, acceso a servicios esenciales…). En este sentido, incorpora un estricto régimen de requisitos técnicos, transparencia, supervisión y auditoría, combinado con procedimientos de evaluación de conformidad previos a su comercialización y mecanismos de control posteriores a la misma, fijando además responsabilidades precisas para proveedores, operadores y otros actores de la cadena de valor.
Por lo que se refiere a la gobernanza de los datos debe establecerse un sistema de gestión de riesgos que abarque todo el ciclo de vida de la herramienta y que evalúe, mitigue, supervise y documente los riesgos para la salud, la seguridad y los derechos fundamentales. En concreto, se exige que los conjuntos de datos de entrenamiento, validación y prueba sean:
- Relevantes, representativos, completos y lo más libres de errores posible para la finalidad prevista.
- Gestionados conforme a estrictas prácticas de gobernanza que mitiguen sesgos y discriminaciones, especialmente cuando puedan afectar derechos fundamentales de grupos vulnerables o minoritarios.
- El Reglamento contempla, además, condiciones rigurosas para el uso excepcional de categorías especiales de datos personales por lo que se refiere a la detección y, en su caso, corrección de sesgos.
Con relación a la documentación técnica y conservación de registros se requiere:
- La elaboración y mantenimiento de documentación técnica exhaustiva. En concreto, por lo que se refiere a la transparencia se deben proporcionar instrucciones de uso completas y claras que habrán de incluir información sobre datos y resultados de salida, entre otros extremos.
- Los sistemas han de permitir el registro automático de eventos relevantes (logs) a lo largo de todo su ciclo de vida para asegurar la trazabilidad y facilitar la vigilancia posterior a la comercialización, lo que puede servir de gran utilidad a la hora de comprobar la incidencia de los datos utilizados.
Por lo que se refiere a la responsabilidad, el citado Reglamento se basa en un planteamiento ciertamente limitado desde dos puntos de vista:
- En primer lugar, se limita a habilitar a los Estados miembros para que establezcan un régimen sancionador que contemple la imposición multas y otras vías de ejecución, tales como advertencias y medidas no pecuniarias, que deberán ser efectivas, proporcionadas y disuasorias del incumplimiento de la regulación. Se trata, por tanto, de instrumentos de carácter administrativo y naturaleza sancionadora, esto es, de castigo frente al incumplimiento de las obligaciones establecidas en dicha norma, entre las que se encuentran las relativas a la gobernanza de los datos y a la documentación y conservación de registros anteriormente referidas.
- Sin embargo, en segundo lugar, el regulador europeo no ha considerado oportuno establecer disposiciones específicas por lo que se refiere a la responsabilidad civil con el objetivo de que se indemnice por los daños que se causen. Se trata de una cuestión de gran relevancia que, incluso, dio lugar a que la Comisión Europea formulase en 2022 una propuesta de Directiva específica . Aunque su tramitación no se ha culminado, ha dado lugar a un interesante debate cuyos principales argumentos se han sistematizado en un completo informe del Parlamento Europeo en el que se analiza el impacto que podría tener esta regulación.
Sin respuestas claras: debate abierto y evolución normativa
Así pues, a pesar del avance que ha supuesto la aprobación del Reglamento de 2024, lo cierto es que la regulación de la responsabilidad derivada del uso de instrumentos de inteligencia artificial sigue siendo una cuestión abierta sobre la que no existe un marco normativo completo y desarrollado. No obstante, una vez superado el planteamiento relativo a la personificación jurídica de los robots que se suscitó hace unos años, es indudable que la inteligencia artificial en sí misma no puede considerarse un sujeto jurídicamente responsable.
Como se ha enfatizado anteriormente, se trata de un debate complejo en el que no es posible ofrecer respuestas simples y generales, ya que resulta imprescindible concretarlas en cada caso concreto teniendo en cuenta los sujetos que han intervenido en cada una de las fases de diseño, implementación y uso de la correspondiente herramienta . Serán, por tanto, dichos sujetos quienes habrán de asumir la responsabilidad que corresponda, bien para el resarcimiento de los daños ocasionados o, en su caso, para hacer frente a las sanciones y otras medidas administrativas en los supuestos de incumplimiento de la regulación.
En definitiva, aunque la regulación europea sobre inteligencia artificial de 2024 puede resultar de utilidad para establecer estándares que ayuden a determinar cuándo un daño producido es contrario a Derecho y, por tanto, debe ser compensado, lo cierto es que se trata de un debate sin cerrar que habrá que reconducir aplicando las normas generales sobre protección del consumidor o productos defectuosos teniendo en cuenta las singularidades de esta tecnología . Y, por lo que se refiere a la responsabilidad administrativa, será necesario esperar a que se impulse definitivamente la iniciativa que se anunció hace unos meses y que se encuentra pendiente de aprobación formal por el Consejo de Ministros para su posterior tramitación parlamentaria en las Cortes Generales.
