Completamos con esta entrada la que publicamos en este blog ayer, día 12, sobre “Los 7 principios regulatorios de una Inteligencia Artificial Ética (IAE) en la UE” que se deducen de la Resolución del Parlamento Europeo de 20 de octubre de 2020 sobre los aspectos éticos de la inteligencia artificial, la robótica y las tecnologías conexas con una referencia al Informe del Parlamento Europeo de 20 de octubre de 2020 sobre el Régimen de responsabilidad civil en materia de inteligencia artificial.
Las peculiaridades del triángulo clásico de la responsabilidad civil derivada de la Inteligencia Artificial y su aseguramiento
Antes de entrar a comentar la Resolución del Parlamento Europeo sobre la Inteligencia Artificial Responsable (IAR), conviene que destaquemos las especificidades que presenta la responsabilidad civil derivada de la Inteligencia Artificial en cada uno de los tres vértices que componen el triángulo clásico de la responsabilidad civil:
a) En cuanto al primer elemento del acto dañoso, podemos destacar, por ejemplo, la amplitud del concepto de sistemas de IA que abarca un extenso grupo de tecnologías distintas, incluidos la simple estadística, el aprendizaje automático y el aprendizaje profundo.
b) En cuanto al segundo elemento del daño causado, podemos destacar, por ejemplo, la potencialidad dañina de los sistemas de IA y la consiguiente necesidad de determinar los que implican un alto riesgo de daño y los que no.
c) El cuanto al tercer elemento de la relación de causalidad eficiente entre acción y daño, podemos destacar, por ejemplo, la noción de la “toma de decisiones automatizada” implica que un usuario delegue inicialmente una decisión, en su totalidad o en parte, en una entidad mediante la utilización de un programa informático o de un servicio.
Pues bien, procede que los juristas tomemos conciencia de estas novedades cuanto antes porque determinan una grandísima parte de la responsabilidad civil en el presente y lo harán en mayor medida, si cabe, en el futuro. Y, con ella, su cobertura preventiva -mediante su aseguramiento– en favor de los consumidores potencialmente perjudicados.
La Resolución del Parlamento Europeo sobre la Inteligencia Artificial Responsable (RIAR)
Nos referimos ahora a la Resolución del Parlamento Europeo, de 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre un régimen de responsabilidad civil en materia de inteligencia artificial (2020/2014(INL)) que lleva por título “Régimen de responsabilidad civil en materia de inteligencia artificial” (P9_TA-PROV(2020)0276).
Al igual que sucedía con la Resolución sobre la Inteligencia Artificial Ética (RIAE) que analizamos en la entrada de ayer; esta Resolución sobre la Inteligencia Artificial Responsable (RIAR), abarcando todas las actividades de la IA susceptibles de generar responsabilidad civil, ofrece aspectos particularmente relevantes en materia de digitalización financiera, a los que prestaremos una especial atención.
Las características específicas de la responsabilidad civil en el ámbito de los sistemas de inteligencia artificial (IA)
En su parte introductoria, esta RIAR parte de la base de la importancia de la responsabilidad civil como factor autorregulador de toda actividad económica, cuando dice: “Considerando que el concepto de «responsabilidad civil» desempeña un importante doble papel en nuestra vida cotidiana: por una parte, garantiza que una persona que haya sufrido un daño o perjuicio tenga derecho a reclamar y recibir una indemnización a quien se haya demostrado que es responsable de dicho daño o perjuicio y, por otra parte, proporciona incentivos económicos para que las personas físicas o jurídicas eviten en primer lugar causar daños o perjuicios o consideren en su comportamiento el riesgo de tener que pagar una indemnización”.
Para transitar, de inmediato, hacia las características específicas de la responsabilidad civil en el ámbito específico de los sistemas de inteligencia artificial (IA) en donde establece los presupuestos regulatorios siguientes:
a) Necesidad de un debate previo y amplio, considerando el PE “que cualquier legislación futura de la Unión que tenga por objeto la atribución expresa de responsabilidad en lo que se refiere a sistemas de inteligencia artificial (IA) debe ir precedida de un análisis y una consulta con los Estados miembros sobre el cumplimiento de condiciones económicas, jurídicas y sociales por parte del acto legislativo propuesto; (…) que la cuestión de un régimen de responsabilidad civil en materia de IA debe someterse a un amplio debate público que tenga en cuenta todos los intereses en juego, en particular los aspectos éticos, jurídicos, económicos y sociales, a fin de evitar las confusiones y los temores injustificados que esa tecnología pueda causar entre los ciudadanos; que el estudio cuidadoso de las consecuencias de cualquier nuevo marco normativo para todos los agentes en una evaluación de impacto debe ser un requisito previo para adoptar nuevas medidas legislativas”.
b) Necesaria adaptación de los regímenes vigentes sobre responsabilidad civil de la UE y de los Estados miembros cuando la RIAR, al referirse a la “responsabilidad civil e inteligencia artificial” expresa que el PE “cree que no es necesaria una revisión completa de los regímenes de responsabilidad civil que funcionan bien, pero que, no obstante, la complejidad, la conectividad, la opacidad, la vulnerabilidad, la capacidad de ser modificados mediante actualizaciones, la capacidad de autoaprendizaje y la autonomía potencial de los sistemas de IA, así como la multitud de agentes involucrados representan un reto importante para la eficacia de las disposiciones del marco de responsabilidad civil de la Unión y nacional; (…) es necesario realizar adaptaciones específicas y coordinadas de los regímenes de responsabilidad civil para evitar situaciones en las que personas que sufran un daño o un menoscabo a su patrimonio acaben sin indemnización” (apartado 6).
c) Noción omnicomprensiva de los sistemas de IA, considerando el PE “que el concepto de sistemas de IA comprende un amplio grupo de tecnologías distintas, incluidos la simple estadística, el aprendizaje automático y el aprendizaje profundo”.
d) Noción específica del término “toma de decisiones automatizada” considerando el PE que su “podría evitar la posible ambigüedad del término IA; que la «toma de decisiones automatizada» implica que un usuario delegue inicialmente una decisión, en su totalidad o en parte, en una entidad mediante la utilización de un programa informático o de un servicio; que dicha entidad, a su vez, utiliza modelos de toma de decisiones ejecutados automáticamente para llevar a cabo una acción en nombre de un usuario o para informar las decisiones del usuario a la hora de realizar una acción”.
e) Potencialidad dañina de los sistemas de IA cuando la RIAR, al referirse a la “responsabilidad civil e inteligencia artificial” expresa que el PE “observa que todas las actividades, dispositivos o procesos físicos o virtuales gobernados por sistemas de IA pueden ser técnicamente la causa directa o indirecta de un daño o un perjuicio, pero casi siempre son el resultado de que alguien ha construido o desplegado los sistemas o interferido en ellos; observa, a este respecto, que no es necesario atribuir personalidad jurídica a los sistemas de IA; opina que la opacidad, la conectividad y la autonomía de los sistemas de IA podrían dificultar o incluso imposibilitar en la práctica la trazabilidad de acciones perjudiciales específicas de los sistemas de IA hasta una intervención humana específica o decisiones de diseño; recuerda que, de conformidad con conceptos de responsabilidad civil ampliamente aceptados, se puede eludir, no obstante, este obstáculo haciendo responsables a las diferentes personas de toda la cadena de valor que crean, mantienen o controlan el riesgo asociado al sistema de IA” (apartado 7).
Los 3 principios regulatorios de una Inteligencia Artificial Responsable (IAR) en la UE
a) Imputabilidad
Este primer principio regulatorio de una Inteligencia Artificial Responsable (IAR) -que resulta especialmente relevante en materia de digitalización financiera– se establece en la RIAR con un doble alcance:
a.1) Como imputabilidad general a un agente que prevenga la indefensión en la que se encuentran los consumidores que usan de ingenios basados en la IA. Así, en su parte introductoria, la RIAR advierte de la indefensión en la que se encuentran los consumidores que usan de ingenios basados en la IA para exigir responsabilidad a las entidades que operan con ellos (por ejemplo, las entidades financieras cuando prestan servicios de pago digitalizados). En este sentido, la RIAR dice: “Considerando que ciertos sistemas de IA presentan importantes retos jurídicos para el actual marco de responsabilidad civil y podrían dar lugar a situaciones en las que su opacidad podría hacer extremadamente costoso, o incluso imposible, determinar quién controlaba el riesgo asociado al sistema de IA o qué código, entrada o datos han provocado en última instancia el funcionamiento lesivo; que este factor podría dificultar la identificación de la relación entre el daño o perjuicio y el comportamiento que lo causa, con el resultado de que las víctimas podrían no recibir una indemnización adecuada”.
Después, la RIAR, el referirse a la “responsabilidad civil del operador” insiste en la idea de la indefensión en la que se encuentran los consumidores que usan de ingenios basados en la IA cuando refleja que el PE “opina que las normas en materia de responsabilidad civil que afecten al operador deben cubrir todas las operaciones de los sistemas de IA, independientemente de dónde se lleve a cabo la operación y de que esta sea física o virtual; observa que las operaciones en espacios públicos que exponen a muchas personas a un riesgo constituyen, sin embargo, casos que requieren una consideración más profunda; considera que a menudo las víctimas potenciales de daños o perjuicios no son conscientes de la operación y no suelen disponer de derechos a reclamar por responsabilidad contractual contra el operador; señala que, si se produce un daño o perjuicio, esas personas solo tendrían una pretensión por responsabilidad subjetiva y podrían tener dificultades para demostrar la culpa del operador del sistema de IA, por lo que podrían fracasar las correspondientes demandas por responsabilidad civil” (apartado 11).
a.2) Como imputabilidad específica que identifique de forma unívoca al agente de la IA causante del daño y responsable de indemnizarlo cuando el PE “considera adecuado que por «operador» se entienda tanto al operador final como al operador inicial, siempre que a este último no se le aplique la Directiva sobre responsabilidad por los daños causados por productos defectuosos; señala que por «operador final» debe entenderse la persona física o jurídica que ejerce un grado de control sobre un riesgo asociado a la operación y el funcionamiento del sistema de IA y se beneficia de su funcionamiento; afirma que por «operador inicial» debe entenderse la persona física o jurídica que define, de forma continuada, las características de la tecnología, proporciona datos y un servicio de apoyo final de base esencial y, por tanto, ejerce también un grado de control sobre un riesgo asociado a la operación y el funcionamiento del sistema de IA; considera que por «ejercicio del control» se entiende cualquier acción del operador que influya en el funcionamiento del sistema de IA y, por consiguiente, en la medida en que expone a terceros a sus potenciales riesgos; considera que esas acciones podrían afectar al funcionamiento de un sistema de IA desde el inicio al fin, al determinar la entrada, la salida o los resultados, o podrían cambiar las funciones o procesos específicos dentro del sistema de IA”.
Después, la RIAR matiza este principio de imputabilidad específica en situaciones complejas cuando el PE “señala que podrían darse situaciones en las que haya más de un operador, por ejemplo, un operador final y un operador inicial; considera que, en ese caso, todos los operadores deben ser responsables civiles solidarios, aunque teniendo al mismo tiempo derecho a reclamar en la vía de regreso unos de otros de forma proporcional; opina que los porcentajes de responsabilidad deben venir determinados por los respectivos niveles de control que tengan los operadores sobre el riesgo relacionado con la operación y el funcionamiento del sistema de IA; considera que debe mejorarse la trazabilidad de los productos con el fin de identificar mejor a los que intervienen en las distintas fases” (apartado 12 y ss.)
b) Adaptabilidad
Este segundo principio regulatorio de una Inteligencia Artificial Responsable (IAR) -que también resulta especialmente relevante en materia de digitalización financiera, por cuanto el mercado financiero esta plagado de sistemas de IA autónomos de alto riesgo- se establece en el RIAR cuando, al referirse a las “Normas en materia de responsabilidad civil diferentes para riesgos diferentes” el PE “reconoce que el tipo de sistema de IA sobre el que el operador ejerce control es un factor determinante en lo que respecta a la responsabilidad; observa que un sistema de IA que conlleve un alto riesgo inherente y actúe de manera autónoma potencialmente pone en peligro en mucha mayor medida al público en general; considera que, habida cuenta de los retos jurídicos que plantean los sistemas de IA para los regímenes de responsabilidad civil existentes, parece razonable establecer un régimen común de responsabilidad objetiva para los sistemas de IA autónomos de alto riesgo; subraya que este enfoque basado en el riesgo, que puede incluir varios niveles de riesgo, debe basarse en criterios claros y una definición adecuada de «alto riesgo», así como ofrecer seguridad jurídica; (…) cree que un sistema de IA presenta un alto riesgo cuando su funcionamiento autónomo conlleva un potencial significativo de causar daño a una o más personas, de forma aleatoria y yendo más allá de lo que cabe esperar razonablemente; considera que, a la hora de determinar si un sistema de IA es de alto riesgo, también debe tenerse en cuenta el sector en el que cabe esperar que surjan riesgos importantes y la naturaleza de las actividades realizadas; considera que la magnitud del potencial depende de la relación entre la gravedad del posible daño, la probabilidad de que el riesgo cause un daño” (apartado 14 y ss.).
c) Cobertura preventiva
Este tercer principio regulatorio de una Inteligencia Artificial Responsable (IAR) -que de nuevo resulta especialmente relevante en materia de digitalización financiera– se establece en el RIAR cuando, al referirse a los “seguros y sistemas de IA” el PE “considera que la cobertura de la responsabilidad civil es uno de los factores clave que define el éxito de las nuevas tecnologías, productos y servicios; observa que una cobertura de la responsabilidad civil adecuada es también esencial para garantizar que el público pueda confiar en la nueva tecnología, a pesar de las posibilidades de sufrir un daño o de hacer frente a demandas judiciales por parte de las personas afectadas; observa, al mismo tiempo, que este sistema regulador se centra en la necesidad de explotar y potenciar las ventajas de los sistemas de IA, a la vez que se establecen sólidas salvaguardias” (apartado 23).
Este principio de cobertura preventiva se concreta de dos maneras:
c.1) De forma positiva, porque el PE “opina que, sobre la base del potencial significativo para causar un daño o un perjuicio y teniendo en cuenta la Directiva 2009/103/CE del Parlamento Europeo y del Consejo, de 16 de septiembre de 2009, relativa al seguro de la responsabilidad civil que resulta de la circulación de vehículos automóviles, así como al control de la obligación de asegurar esta responsabilidad, todos los operadores de sistemas de IA de alto riesgo enumerados en el anexo del Reglamento propuesto deben ser titulares de un seguro de responsabilidad civil; considera que ese régimen de seguro obligatorio para los sistemas de IA de alto riesgo debe cubrir los importes y el alcance de la indemnización establecidos por el Reglamento propuesto; es consciente de que actualmente dicha tecnología es todavía muy inusual, ya que presupone un alto grado de toma de decisiones autónomas, y de que, por consiguiente, los debates actuales están orientados sobre todo al futuro; cree, no obstante, que la incertidumbre relacionada con los riesgos no debe hacer que las primas de seguro sean prohibitivamente elevadas y convertirse así en un obstáculo para la investigación y la innovación” (apartado 24).
c.2) De forma negativa en el sentido de que el PE “cree que un mecanismo de indemnización a escala de la Unión, financiado con fondos públicos, no es la manera adecuada de colmar posibles lagunas en materia de seguros; considera que la falta de datos sobre los riesgos asociados a los sistemas de IA, unida a la incertidumbre sobre su evolución en el futuro, dificulta al sector de los seguros elaborar productos de seguro nuevos o adaptados; considera que es probable que dejar el desarrollo de un seguro obligatorio plenamente al mercado resulte en un enfoque de «talla única» con primas desproporcionadamente elevadas y los incentivos equivocados, alentando a los operadores a optar por el seguro más barato en lugar de por la mejor cobertura, lo que podría convertirse en un obstáculo para la investigación y la innovación; considera que la Comisión debe colaborar estrechamente con el sector de los seguros para estudiar la forma de poder utilizar datos y modelos innovadores para crear pólizas de seguro que ofrezcan una cobertura adecuada a un precio asequible” (apartado 25).
La Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la responsabilidad civil por el funcionamiento de los sistemas de inteligencia artificial
La RIAR concreta la propuesta del PE a la Comisión con una Propuesta de Reglamento cuyo objeto consistirá en “establecer normas en relación con las demandas por responsabilidad civil de las personas físicas y jurídicas contra los operadores de sistemas de IA” (art.1) y cuyo ámbito de aplicación se extenderá, “en el territorio de la Unión a aquellos casos en que una actividad física o virtual, un dispositivo o un proceso gobernado por un sistema de IA haya causado daños o perjuicios a la vida, la salud, la integridad física de una persona física y los bienes de una persona física o jurídica, o bien haya causado daños morales considerables que den lugar a una pérdida económica comprobable” (art.2).
Una vez fijado su objetivo y su ámbito de aplicación, la Propuesta de Reglamento aneja a la RIAR distingue dos regímenes de responsabilidad civil derivada de los sistemas de IA de acuerdo con su grao de riesgo:
a) Régimen de responsabilidad objetiva de los sistemas de IA de alto riesgo
Esta responsabilidad objetiva de los sistemas de IA de alto riesgo se establece diciendo que “el operador de un sistema de IA de alto riesgo será objetivamente responsable de cualquier daño o perjuicio causado por una actividad física o virtual, un dispositivo o un proceso gobernado por dicho sistema de IA«. Adviértase que el anexo al Reglamento enumerará todos los sistemas de IA de alto riesgo y los sectores críticos en los que se utilizan y la Comisión estará facultada para adoptar actos delegados para modificar dicha lista exhaustiva (art.4).
La objetivación de esta responsabilidad se concreta en los mecanismos habituales siguientes:
a.1) Su imputabilidad objetiva en el sentido de que “los operadores de un sistema de IA de alto riesgo no podrán eludir su responsabilidad civil alegando que actuaron con la diligencia debida o que el daño o perjuicio fue causado por una actividad, un dispositivo o un proceso autónomos gobernados por su sistema de IA”; con un límite último de que “no serán responsables si el daño o perjuicio ha sido provocado por un caso de fuerza mayor” (art.4.3).
a.2) La fijación del importe máximo de la indemnización que “un operador de un sistema de IA de alto riesgo que haya sido considerado responsable de un daño o perjuicio” deberá pagar diferenciando los daños personales a la salud (“hasta un importe máximo de dos millones de euros en caso de fallecimiento o de daños causados a la salud o a la integridad física de una persona afectada como resultado del funcionamiento de un sistema de IA de alto riesgo”), de los daños morales o materiales (“hasta un importe máximo de un millón de euros en caso de daños morales significativos que resulten en una pérdida económica comprobable o en daños a bienes, también cuando distintos bienes propiedad de una persona afectada resulten dañados como resultado de un único funcionamiento de un único sistema de IA de alto riesgo”) (art.5).
a.3) La fijación de plazos de prescripción diferenciados para las demandas por responsabilidad civil relativas a daños a la vida, la salud o la integridad física que estarán sujetas a un plazo de prescripción especial de treinta años a partir de la fecha en que se produjo el daño; y para las demandas por responsabilidad civil relativas a perjuicios materiales o daños morales considerables que resulten en una pérdida económica comprobable que estarán sujetas a un plazo de prescripción especial de: “a) diez años a partir de la fecha en que se produjo el menoscabo a los bienes o la pérdida económica comprobable resultante del daño moral significativo, respectivamente, o b) treinta años a partir de la fecha en que tuvo lugar la operación del sistema de IA de alto riesgo que causó posteriormente el menoscabo a los bienes o el daño moral” (art.7).
b) Régimen de responsabilidad subjetiva para sistemas de IA que no sean de alto riesgo
La responsabilidad subjetiva para otros sistemas de IA que no sean de alto riesgo se concreta en que su operador estará sujeto a responsabilidad subjetiva respecto de todo daño o perjuicio causado por una actividad física o virtual, un dispositivo o un proceso gobernados por el sistema de IA.
La subjetivación de esta responsabilidad se concreta en los mecanismos habituales siguientes (art.8):
b.1) Por exclusión, ya que “el operador no será responsable si puede demostrar que no tuvo culpa en el daño o perjuicio causado, basándose en uno de los siguientes motivos: a) el sistema de IA se activó sin su conocimiento, al tiempo que se tomaron todas las medidas razonables y necesarias para evitar dicha activación fuera del control del operador, o b) se observó la diligencia debida a través de la realización de las siguientes acciones: la selección de un sistema de IA adecuado para las tareas y las capacidades pertinentes, la correcta puesta en funcionamiento del sistema de IA, el control de las actividades y el mantenimiento de la fiabilidad operativa mediante la instalación periódica de todas las actualizaciones disponibles”. Tampoco será responsable si el daño o perjuicio ha sido provocado por un caso de fuerza mayor.
b.2) Por inclusión en los dos casos siguientes:
b.2.1) “El operador no podrá eludir su responsabilidad alegando que el daño o perjuicio fue causado por una actividad, un dispositivo o un proceso autónomos gobernados por su sistema de IA”.
b.2.2) “Cuando el daño o perjuicio haya sido causado por un tercero que haya interferido en el sistema de IA por medio de una modificación de su funcionamiento o sus efectos, el operador será, no obstante, responsable del pago de una indemnización en caso de que dicho tercero esté ilocalizable o sea insolvente”.
b.3) Imputación de la responsabilidad civil en casos de pluralidad de operadores de IA:
b.3.1) Supuestos de negligencia concurrente que acaece cuando “el daño o perjuicio es causado por una actividad física o virtual, un dispositivo o un proceso gobernados por un sistema de IA o por la actuación de una persona afectada o de una persona de la que la persona afectada sea responsable”; con la consecuencia jurídica de que “el alcance de la responsabilidad civil del operador con arreglo al presente Reglamento se reducirá en consecuencia. El operador no será responsable si la persona afectada o la persona de la que esta es responsable es la única a la que se le puede achacar el daño o perjuicio causado» (art.10).
b.3.2) Supuestos de responsabilidad solidaria que acaecerán “en caso de que haya más de un operador de un sistema de IA” con la consecuencia jurídica de que estos serán responsables solidarios. Se establecen las reglas específicas aplicables a los casos en los que un operador final es también el productor del sistema de IA cuando el Reglamento prevalecerá sobre la Directiva sobre responsabilidad por los daños causados por productos defectuosos (art.11).