La responsabilidad derivada del uso de la inteligencia artificial en el mercado financiero
Iniciábamos la entrada de este blog del pasado 18 de junio de 2019 -titulada “Los siete requisitos esenciales para una inteligencia artificial fiable. Comunicación de la Comisión Europea de 8 de abril de 2019”- poniendo un énfasis especial sobre la importancia de la inteligencia artificial (IA) en el mercado financiero y deteniéndonos, en particular, sobre dos fenómenos particularmente relevantes -desde el punto de vista jurídico o regulatorio- que son, por una parte, la paradoja de la trasparencia digital; y, por otra parte, el mito de los algoritmos neutrales.
Sin perjuicio de remitirnos a la descripción sucinta de ambos fenómenos que hacíamos en aquella entrada, procede en este momento destacar que ambos coinciden en un denominador común, cual es el su referencia última a la responsabilidad -civil, penal o administrativa– en la que pueden incurrir quienes diseñan, distribuyen o utilizan -en el mercado financiero- los ingenios de la IA u otras tecnologías digitales.
En primer lugar, la “paradoja de la trasparencia digital” nos conducía a plantear si, en un futuro próximo, los contratos financieros, bancarios y de seguros celebrados mediante el uso de técnicas de documentación e información digital y, en su caso, asesoramiento robótico cumplirán, por ejemplo, las exigencias de transparencia que, para su validez, establece la Sala Primera de lo Civil del Tribunal Supremo cuando aplica la Directiva de cláusulas abusivas, la normativa MIFID II o la Directiva de distribución de seguros. Porque, en caso contrario, los bancos, las aseguradores y sus agentes deberán reparar los daños causados.
En segundo lugar, el “mito de los algoritmos neutrales” nos llevaba a constatar que la realidad de las cosas -siempre tozuda por constatable (por ejemplo. cuando se examina la jurisprudencia sobre delincuencia financiera digital)- muestra que los algoritmos pueden mentir, engañar y manipular (y ser manipulados) mediante, por ejemplo, prácticas en el mercado de valores de multiplicación patológica de órdenes (“quote stuffing”), de indicios falsos (“spoofing”), de órdenes contradictorias prácticamente simultáneas (“churning”) y de anticipación parasitaria (“sniffers). Y de ello inferíamos que “es precisa una labor regulatoria que identifique los responsables del uso de los algoritmos y prevenga y sancione este tipo de prácticas en defensa de los consumidores, sean estos clientes bancarios, inversores o asegurados”.
En la misma entrada de este blog del pasado 18 de junio de 2019 dábamos cuenta de la publicación, el 8 de abril de 2019, de la Comunicación de la Comisión Europea al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones denominada “Generar confianza en la inteligencia artificial centrada en el ser humano” (Bruselas, 8.4.2019. COM(2019) 168 final).
La referencia a la responsabilidad por el uso de la inteligencia artificial es omnipresente en dicha Comunicación de la Comisión Europea de 8 de abril de 2019. En particular, existen dos apartados de aquella Comunicación referidos a dicha responsabilidad:
a) Primero, dentro de los siete requisitos esenciales para generar una inteligencia artificial fiable contenidos en las “Directrices para una IA fiable elaboradas por el grupo de expertos de alto nivel sobre la IA” del apartado 2.1 de esta Comunicación destaca el 7º, sobre “Rendición de cuentas” en el que se señala, entre otras cosas, que “deben instaurarse mecanismos que garanticen la responsabilidad y la rendición de cuentas de los sistemas de IA y de sus resultados, tanto antes como después de su implementación. La posibilidad de auditar los sistemas de IA es fundamental, puesto que la evaluación de los sistemas de IA por parte de auditores internos y externos, y la disponibilidad de los informes de evaluación, contribuye en gran medida a la fiabilidad de la tecnología. La posibilidad de realizar auditorías externas debe garantizarse especialmente en aplicaciones que afecten a los derechos fundamentales, por ejemplo las aplicaciones críticas para la seguridad”.
b) Segundo, dentro de las líneas de acción para ser implementadas antes del tercer trimestre de 2019, con el fin de garantizar el desarrollo ético de la IA en Europa en su contexto más amplio, la Comunicación se refería a la elaboración de un informe sobre los retos que plantea la IA en relación con los marcos de seguridad y responsabilidad y un documento de orientación sobre la implementación de la Directiva sobre responsabilidad por los daños causados por productos defectuosos.
El Informe sobre responsabilidad derivada de la inteligencia artificial y otras tecnologías digitales emergentes del Grupo de Expertos de la Comisión Europea
A la vista de los antecedentes expuestos sobre la necesidad de garantizar las responsabilidades derivadas del uso creciente de la inteligencia artificial en general y los mercados financieros en particular; nos parece oportuno dar cuenta del Informe del Grupo de Expertos de la Comisión Europea de 2019.
En 2019 se publicó el “Informe sobre responsabilidad derivada de la inteligencia artificial y otras tecnologías digitales emergentes” del Grupo de Expertos sobre responsabilidad y nuevas tecnologías de la Comisión Europea (Liability for Artificial Intelligence and other emerging digital technologies, Report from the Expert Group on Liability and New Technologies, Print ISBN 978-92-76-12958-5 doi:10.2838/25362 Catalogue number: DS-03-19-853-EN-C).
La necesidad de adaptar y armonizar las regulaciones vigentes en los Estados miembros de la UE
El informe parte de la base ambivalente de que, por una parte, resulta incuestionable que la inteligencia artificial y el uso de otras tecnologías digitales emergentes -tales como el Internet de las cosas o las tecnologías de registros descentralizados o contabilidad distribuida (“blockchain”)- tiene el efecto potencial de mejorar nuestras sociedades y economías. Sin perjuicio de lo anterior, también es evidente que este tal despliegue de tecnología digital produce riesgos nuevos -tales como como lesiones corporales u otros daños patrimoniales- que obligan a adaptar las regulaciones de responsabilidad de todo tipo (civil, administrativa y penal) para proteger a las víctimas potenciales frente a los de los riesgo de daño que estas tecnologías pueden causar.
Constata también el Informe que, en la UE, si bien existe un conjunto armonizado de normas sobre seguridad de los productos que otorgan una protección básica a los perjudicados por el uso de la inteligencia artificial y el uso de otras tecnologías digitales emergentes; esa normativa básica no garantiza que las víctimas obtengan una compensación adecuada por los de daños resultantes del funcionamiento de estas tecnologías. Y esta protección insuficiente obedece a que, por regla general, las regulaciones parten de los regímenes de responsabilidad civil de derecho privado (en particular, el derecho extracontractual) frecuentemente en combinación con el seguro.
De lo anterior infiere el Informe que debe construirse una regulación común en la UE porque únicamente un régimen de responsabilidad estricta de los productores por productos defectuosos -que constituye una pequeña parte de este tipo de regímenes de responsabilidad- está armonizada a nivel de la UE por la Directiva de Responsabilidad del Producto, mientras que todos los demás regímenes, aparte de algunas excepciones en sectores específicos o bajo legislación especial, están regulados por los cada Estado miembro.
Las características esenciales de los regímenes de responsabilidad derivada de la inteligencia artificial y el uso de otras tecnologías digitales
El Informe sigue identificando las características esenciales que deberán tener los regímenes de responsabilidad derivada de la inteligencia artificial y el uso de otras tecnologías digitales emergentes para proteger a las víctimas de los daños sufridos. Señala, en concreto, los siguientes:
a) Toda persona -física o jurídica- que opera una tecnología digital que, estando permitida, conlleva un riesgo agravado de causar daños a terceros (por ejemplo, los robots impulsados por IA en espacios públicos), debe estar sujeta a requisitos estrictos de responsabilidad por daños resultantes de su funcionamiento.
b) El hecho de que un proveedor de servicios que garantice el marco técnico necesario tenga un mayor grado de control que el propietario o usuario de un producto o servicio equipado con IA es una circunstancia que debe tenerse en cuenta para determinar quién opera principalmente la tecnología.
c) Incluso en aquellos casos en los que una persona -física o jurídica- utilice una tecnología que no represente un riesgo incrementado de daño a terceros, debería cumplir con los deberes de seleccionar, operar, verificar y mantener adecuadamente la tecnología en uso y, en su defecto, debe ser responsable del incumplimiento de tales deberes si tiene la culpa del daño causado.
d) Una persona que usa una tecnología que tiene un cierto grado de autonomía no debería ser menos responsable del daño resultante que si dicho daño hubiera sido causado por un auxiliar humano.
e) Los fabricantes de productos o contenidos digitales que incorporen tecnología digital emergente deben ser responsables por los daños causados por defectos en sus productos, incluso si el defecto fue causado
por los cambios realizados en el producto bajo el control del productor después de haber sido colocado en el mercado.
f) En situaciones que exponen a terceros a un riesgo incrementado de daños, un seguro de responsabilidad civil obligatorio podría darles a las víctimas un mejor acceso a la compensación y proteger a los potenciales causantes contra el riesgo de responsabilidad.
g) Cuando una tecnología en particular aumenta las dificultades para probar la existencia de un elemento de responsabilidad más allá de lo que se puede esperar razonablemente, las víctimas deben tener derecho a facilidades probatorias.
h) Las tecnologías digitales emergentes deben incorporar funciones de registro; por lo que la falta de registro o de un acceso razonable a los datos registrados debe dar lugar a una inversión de la carga de la prueba para no perjudicar a la víctima.
i) La destrucción de los datos de la víctima debe considerarse como un daño específico compensable bajo condiciones propias.
j) No es necesario dotar a los dispositivos o sistemas autónomos de una personalidad jurídica propia, ya que el daño que pueden causar y debe ser imputable a una persona o entidad preexistente.
Las conclusiones del Informe
Bajo la denominación de los hallazgos esenciales (“key findings”) el Informe ofrece una serie de 34 conclusiones que se desarrollan en el cuerpo del mismo, de entre las que nos parece oportuno destacar las siguientes:
1) La digitalización trae cambios fundamentales a nuestros entornos, algunos de los cuales tienen un impacto en la ley de responsabilidad. Esto afecta, en particular, a la (a) complejidad, (b) opacidad, (c) apertura, (d) autonomía, (e) previsibilidad, (f) manejo de datos, y (g) vulnerabilidad de las tecnologías digitales emergentes.
(…)
3) Si bien las normas existentes sobre responsabilidad ofrecen soluciones con respecto a los riesgos creados por las tecnologías digitales emergentes, los resultados pueden no parecer siempre apropiados, dado el fracaso en conseguir: (a) una asignación justa y eficiente de la pérdida, en particular porque no puede atribuirse a aquellos: cuyo comportamiento objetable causó el daño; o a quién se benefició de la actividad que causó el daño; o a quienes tenían el control del riesgo que se materializó; o a quiénes fueron los evasores de costos más baratos o los tomadores de seguros más baratos. (b) una respuesta coherente y apropiada del sistema legal a las amenazas a los intereses de individuos, en particular porque las víctimas de daños causados por la operación de las tecnologías digitales emergentes reciben menos o ninguna compensación en comparación con las víctimas en un situación funcionalmente equivalente que involucra conducta humana y tecnología convencional; (c) un acceso efectivo a la justicia, en particular porque los litigios para las víctimas se vuelven indebidamente pesados o costosos.
4) Por lo tanto, es necesario considerar adaptaciones y enmiendas a los regímenes de responsabilidad existentes, teniendo en cuenta que, dada la diversidad de tecnologías digitales emergentes y la correspondientemente diversa gama de riesgos que estos pueden presentar, es imposible llegar a un solución única adecuada para todo el espectro de riesgos.
5) Los riesgos homogéneos y comparables deben abordarse mediante regímenes de responsabilidad similares, lo que también debería determinar qué pérdidas son recuperable y en qué medida.
(…)
8) A efectos de responsabilidad, no es necesario dotar a los sistemas autónomos de una personalidad jurídica propia.
9) La responsabilidad estricta es una respuesta adecuada a los riesgos que plantean las tecnologías digitales emergentes, si, por ejemplo, se operan en entornos no privados y pueden ocasionar daños significativos.
(…)
11) Si hay dos o más operadores -en particular: (a) la persona que decide y se beneficia principalmente del uso de la tecnología relevante (“frontend operator”) y (b) la persona que define continuamente las características de la tecnología relevante y proporciona soporte de fondo esencial y continuo (“backend operator”)- la responsabilidad estricta debe recaer en quien tiene más control sobre los riesgos de la operación.
15) Si se demuestra que una tecnología digital emergente ha causado daño, la carga de probar el defecto debe revertirse si hay dificultades desproporcionadas o costos relacionados con establecer el nivel de seguridad relevante o probar que este nivel de seguridad no se cumplió. Esto se entiende sin perjuicio de la inversión de la carga de la prueba mencionada en [22] y [24].
(…)
20) Debería existir la obligación de los productores de equipar la tecnología con medios para registrar información sobre su funcionamiento (registro por diseño), si dicha información resulta esencial para establecer si se materializó un riesgo de la tecnología, y si el registro es apropiado y proporcionado, teniendo en cuenta, en particular, la viabilidad técnica y los costes del registro, la disponibilidad de medios alternativos para reunir tal información, el tipo y la magnitud de los riesgos que plantea la tecnología y cualquier efecto adverso que el registro puede tener en los derechos de terceros.
(…)
24) Cuando el daño es de un tipo que las reglas de seguridad debían evitar, el incumplimiento de tales reglas de seguridad, incluidas las reglas de ciberseguridad; debería dar lugar a una inversión de la carga de la prueba respecto de (a) la causalidad, y / o (b) la culpa, y / o (c) la existencia de un defecto.
(…)
26) Sin perjuicio de la inversión de la carga de la prueba propuesta en [22] y [24] (a), la carga de probar la causalidad puede aliviarse a la luz de los desafíos de la tecnologías digitales emergentes siempre que se garantice un equilibrio de los siguientes factores: (a) la probabilidad de que la tecnología al menos haya contribuido al daño; (b) la probabilidad de que el daño haya sido causado por la tecnología o por algún otro causa dentro de la misma esfera; (c) el riesgo de un defecto conocido dentro de la tecnología, a pesar de su impacto causal real no es evidente por sí mismo;
(d) el grado de trazabilidad ex post e inteligibilidad de los procesos dentro de la tecnología eso puede haber contribuido a la causa (asimetría informativa); (e) el grado de accesibilidad y comprensión ex post de los datos recopilados y generados por la tecnología (f) el tipo y grado de daño potencial y realmente causado.
(..)
31) Cuando más de una persona es responsable por el mismo daño, la responsabilidad hacia la víctima debe ser generalmente solidaria. Las reclamaciones de reparación solo deben ser mancomunadas si algunas de ellas forman una unidad comercial y / o tecnológica ([29]; en cuyo caso los miembros de esta unidad deben ser solidariamente responsables de su parte acumulativa también para el t responsable que repita.