El día 28 de septiembre de 2022, la Comisión Europea publicó la Propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la adaptación de las normas de responsabilidad civil extracontractual a la inteligencia artificial (Directiva sobre responsabilidad en materia de IA) (Bruselas, 28.9.2022, COM(2022) 496 final, 2022/0303 (COD), Texto pertinente a efectos del EEE, SEC(2022) 344 final} – {SWD(2022) 318 final} – {SWD(2022) 319 final} -{SWD(2022) 320 final}. Nos parece que es obligado dar cuenta sintética de su contenido en este blog, teniendo en cuenta la atención constante que hemos prestado a la inteligencia artificial responsable (IAR) tanto en este blog como fuera de él (el lector interesado puede consultar la nota bibliográfica final). En esta primera entrada daremos cuenta de la finalidad, el contexto, el alcance y los aspectos sustanciales de la responsabilidad civil en materia de IA que regulará la futura Directiva; dejando para la entrada de mañana los aspectos procesales.
A) Finalidad
El objetivo de la Directiva consiste en establecer requisitos uniformes para determinados aspectos de la responsabilidad civil extracontractual por los daños causados con mediación de sistemas de IA. En este sentido, da continuidad a la Resolución del Parlamento Europeo 2020/2014 (INL) (de la que dimos noticia en la entrada de este blog de 17.10.2021 sobre las “Finanzas digitales (Fintech): Inteligencia artificial, responsabilidad civil y seguro: La Resolución del Parlamento Europeo, de 20 de octubre de 2020, sobre el “Régimen de responsabilidad civil en materia de inteligencia artificial”).
Conviene comenzar por constatar que, dado que la Directiva parte de la base del respeto a los sistemas nacionales de responsabilidad civil que presentan variaciones entre los Estados miembros de la UE; su alcance resulta eminentemente procesal y, más en concreto, en materia de prueba. Como así consta desde su art.1.1 que comienza diciendo: “La presente Directiva establece normas comunes sobre: a) la exhibición de pruebas relativas a sistemas de inteligencia artificial (IA) de alto riesgo con el fin de permitir a los demandantes fundamentar sus demandas de responsabilidad civil extracontractual subjetiva (basada en la culpa) por daños y perjuicios; b) la carga de la prueba en el caso de demandas de responsabilidad civil extracontractual subjetiva (basada en la culpa) interpuestas ante tribunales nacionales por daños y perjuicios causados por sistemas de IA”. En este sentido, las herramientas de “probática” que utiliza la Directiva y, especialmente, las presunciones de causalidad eficiente que veremos no son nuevas; sino que pueden encontrarse en los sistemas legislativos nacionales (por ejemplo, en nuestro Código Civil y en nuestra LEC). Por lo tanto, estas herramientas nacionales constituyen puntos de referencia útiles sobre cómo abordar las cuestiones planteadas por la IA en relación con las normas de responsabilidad en vigor de manera que se interfiera lo menos posible en los diferentes regímenes jurídicos nacionales.
En términos generales, La Comisión Europea opina que esta Directiva sobre responsabilidad en materia de IA adaptará el Derecho privado a las necesidades de la transición a la economía digital.
B) Contexto normativo: la inserción de la Directiva sobre responsabilidad en materia de IA en el sistema normativo de la IA de la UE
a) El punto de partida: un análisis coste/beneficio de la inteligencia artificial (IA)
El punto de partida del sistema normativo de la IA en la UE reside en asumir un análisis coste/beneficio de la inteligencia artificial («IA») porque:
a.1) Por un lado, la IA es un conjunto de tecnologías facilitadoras que puede aportar una amplia gama de beneficios en todo el espectro de la economía y la sociedad y alberga un gran potencial para el progreso tecnológico y permite nuevos modelos de negocio en muchos sectores de la economía digital.
a.2) Por otro lado, la IA puede generar riesgos y perjudicar intereses y derechos protegidos por el Derecho de la Unión o nacional. Por ejemplo, el uso de la IA puede incidir negativamente en una serie de derechos fundamentales, como la vida, la integridad física, la no discriminación y la igualdad de trato.
b) Los dos tipos de instrumentos normativos de la regulación europea de la IA
Por lo anterior, para conseguir un balance adecuado el sistema normativo de la IA en la UE establecerá dos tipos de instrumentos:
b.1) Disposiciones generales, como el Reglamento (UE)…/… del Parlamento Europeo y del Consejo [Ley de IA] (actualmente, en fase de Propuesta de Reglamento por el que se establecen normas armonizadas en materia de inteligencia artificial (Ley de Inteligencia Artificial), COM(2021) 206 final) que establece requisitos destinados a reducir los riesgos para la seguridad y los derechos fundamentales. En este ámbito, la Directiva sobre responsabilidad en materia de IA viene a cubrir una laguna regulatoria que surge de que los requisitos establecidos en Ley de IA están destinados a reducir los riesgos para la seguridad y los derechos fundamentales y, por lo tanto, tienen por objeto prevenir, hacer un seguimiento y abordar los riesgos para, así, hacer frente a las preocupaciones sociales; previendo, en particular, autorizaciones, controles, seguimiento y sanciones administrativas en relación con los sistemas de IA con el fin de evitar daños. La laguna regulatoria surge porque los requisitos establecidos en Ley de IA no ofrecen ayuda individual a quienes han sufrido daños causados por la IA ya que no prevén la indemnización de la persona perjudicada por los daños causados por una información de salida producida por un sistema de IA, o por la no producción de una información de salida.
b.2) Disposiciones especiales o sectoriales de seguridad de los productos aplicables también a las máquinas y sus partes y accesorios y a los equipos radioeléctricos basados en IA, como las Propuestas de Reglamento del Parlamento Europeo y del Consejo relativo a la seguridad general de los productos (COM[2021] 346 final) y de Reglamento del Parlamento Europeo y del Consejo relativo a las máquinas y sus partes y accesorios (COM[2021] 202 final).
La inserción de esta Directiva sobre responsabilidad en materia de IA en el sistema normativo de la IA de la UE se refleja en las remisiones constantes de su articulado a la Ley de IA empezando por las propias definiciones (art.2) de “sistema de IA” como “un sistema de IA tal como se define en [el artículo 3, apartado 1, de la Ley de IA]; de “sistema de IA de alto riesgo” como “un sistema de IA de alto riesgo de los mencionados en [el artículo 6 de la Ley de IA]”; de “proveedor” como “un proveedor tal como se define en [el artículo 3, apartado 2, de la Ley de IA]; y de “usuario” como “un usuario tal como se define en [el artículo 3, apartado 4, de la Ley de IA]”.
En este sentido, interesa recordar que el art.3.1 de la Propuesta de Reglamento por el que se establecen normas armonizadas en materia de inteligencia artificial (Ley de Inteligencia Artificial) define el “Sistema de inteligencia artificial (sistema de IA)” como “el software que se desarrolla empleando una o varias de las técnicas y estrategias que figuran en el anexo I y que puede, para un conjunto determinado de objetivos definidos por seres humanos, generar información de salida como contenidos, predicciones, recomendaciones o decisiones que influyan en los entornos con los que interactúa”.
Vemos como esta definición de sistema de IA -que resulta manifiestamente mejorable tanto en términos lógicos como lingüísticos (entre otras cosas, para evitar barbarismos)- recurre a una imagen cibernética integrada, implícitamente, por tres fases que son: la entrada de información bruta desde el exterior del sistema, el procesamiento de información de dicha información por el sistema mediante técnicas digitales y algorítmicas y la salida de la información elaborada o neta hacia el exterior.
C) Ámbito de aplicación de la Directiva sobre responsabilidad en materia de IA
Como siempre sucede con las normas, el ámbito de aplicación de la Directiva sobre responsabilidad en materia de IA se delimita a través de dos operaciones lógicas sucesivas de inclusión y exclusión. En efecto:
a) Inclusiones
El ámbito de aplicación de la Directiva se aplica a las demandas civiles de responsabilidad extracontractual por daños y perjuicios causados por un sistema de IA, cuando dichas demandas se interpongan en el marco de regímenes de responsabilidad subjetiva (por culpa). En concreto, su art.1.2 dice: “La presente Directiva se aplica a las demandas de responsabilidad civil extracontractual subjetiva (basada en la culpa) en aquellos casos en que los daños y perjuicios causados por un sistema de IA se produzcan después de [el final del período de transposición]”.
Por lo tanto, la Directiva se aplicará a los regímenes que establecen la responsabilidad legal de indemnizar los daños causados de forma deliberada o por un acto u omisión negligente. Por ello, la Comisión Europea considera que las medidas previstas en la Directiva pueden encajar sin problemas en los sistemas de responsabilidad civil en vigor, ya que reflejan un enfoque que no depende de la definición de conceptos fundamentales como «culpa» o «daño», dado que el significado de estos conceptos varía considerablemente entre los Estados miembros de la UE. Por ello, la Comisión Europea opina que, más allá de las presunciones que establece, la Directiva no afecta a las normas nacionales o de la Unión que determinan, por ejemplo, qué parte ha de soportar la carga de la prueba, qué grado de certeza es necesario para que haya fuerza probatoria o cómo se define la culpa.
Por otra parte, la Directiva puede resultar aplicable a la responsabilidad del Estado porque las autoridades estatales también están cubiertas por las disposiciones de la Ley de IA como sujetos de las obligaciones que en ella se establecen
Por último, conviene advertir que, aun cuando la Directiva no se aplicará a la responsabilidad penal; si afectara, en nuestro Derecho y conforme al art.106 del CP, a la responsabilidad civil derivada de delito. Esta última previsión será compatible con el carácter de armonización mínima que establece la propia Directiva cuando dice: “Los Estados miembros podrán adoptar o mantener normas nacionales más favorables para que los demandantes fundamenten sus demandas civiles de responsabilidad extracontractual por daños y perjuicios causados por sistemas de IA, siempre que dichas normas sean compatibles con el Derecho de la Unión”.
b) Exclusiones
La Directiva no afectará a las normas vigentes que regulan las condiciones de responsabilidad en el sector del transporte ni a las establecidas por la Ley de Servicios Digitales (art.1.3).
Por otro lado, aun cuando varios ordenamientos jurídicos nacionales prevén diferentes regímenes de responsabilidad objetiva; la Propuesta de Directiva tiene en cuenta las diferencias entre las tradiciones jurídicas nacionales y el hecho de que el tipo de productos y servicios equipados con sistemas de IA que podrían afectar al público en general y poner en peligro importantes derechos —como el derecho a la vida, a la salud y a la propiedad— y que, por tanto, podrían estar sujetos a un régimen de responsabilidad estricta, todavía no están disponibles en el mercado de forma generalizada. La Comisión Europea recuerda que, en su Resolución de propia iniciativa de 20 de octubre de 2020, el Parlamento Europeo también propuso un régimen de responsabilidad objetiva limitada para determinadas tecnologías basadas en la IA y en una carga de la prueba facilitada en virtud de normas de responsabilidad subjetiva. Las consultas públicas también pusieron de relieve la preferencia por un régimen de este tipo entre los encuestados (excepto en el caso de las empresas que no son pymes), acompañado o no de un seguro obligatorio.
La Directiva no se aplicará retroactivamente, sino únicamente a las demandas de indemnización por daños y perjuicios que se produzcan a partir de la fecha de su transposición.
En lo que se refiere al proceso de incorporación a los Ordenamientos nacionales previsto en el artículo 7; los Estados miembros, al notificar a la Comisión las medidas nacionales de transposición para dar cumplimiento a la presente Directiva, también deberán facilitar documentos explicativos que proporcionen información suficientemente clara y precisa e indiquen, para cada disposición de la Directiva, la disposición o disposiciones nacionales que garanticen su transposición.
D) Aspectos sustanciales
a) El triángulo de requisitos
Según señalamos, la Directiva se aplicará a las demandas civiles de responsabilidad extracontractual por daños y perjuicios causados por un sistema de IA; definiendo (art.2.5) la “demanda por daños y perjuicios” como “una demanda de responsabilidad civil extracontractual subjetiva (basada en la culpa) por la que se solicita una indemnización por los daños y perjuicios causados por una información de salida de un sistema de IA o por la no producción por parte de dicho sistema de una información de salida que debería haber producido”.
Por lo anterior, la viabilidad de dichas demandas exigirá que la parte actora acredite la concurrencia de triángulo de requisitos clásicos: el acto negligente, el daño causado y la relación de causalidad eficiente entra ambos.
b) Acto negligente
La Directiva pretende proporcionar un fundamento eficaz para reclamar una indemnización en relación con la culpa consistente en el incumplimiento de un deber de diligencia en virtud del Derecho de la Unión o nacional. Es por ello por lo que define (art.2.9) el «deber de diligencia» como el producto de una “norma de conducta exigida establecida por el Derecho nacional o de la Unión con el fin de evitar daños a bienes jurídicos reconocidos a nivel nacional o de la Unión, incluidos la vida, la integridad física, la propiedad y la protección de los derechos fundamentales”.
En este sentido, el demandante deberá demostrar la culpa del demandado con arreglo a las normas nacionales o de la Unión aplicables. Esta culpa puede determinarse, por ejemplo, por incumplimiento de un deber de diligencia en virtud de la Ley de IA o de otras normas establecidas a escala de la Unión, como las que regulan el uso de la supervisión y la toma de decisiones automatizadas para el trabajo en plataformas o las que regulan el funcionamiento de aeronaves no tripuladas. El órgano jurisdiccional también puede presumir la culpa sobre la base del incumplimiento de una orden judicial de exhibición o conservación de pruebas.
En general, la Comisión considera que unas normas eficaces en materia de responsabilidad civil tienen la ventaja añadida de ofrecer a todos los que participan en actividades relacionadas con sistemas de IA un incentivo adicional para cumplir sus obligaciones en relación con la conducta que se espera de ellos.
c) Daño Causado
Este es un requisito esencial de toda acción de reclamación de responsabilidad civil implícito en la Directiva que no entra a explicarlo o definirlo. De lo que podemos inferir que deja a los Derechos nacionales el determinar el alcance del daño resarcible, abarcando el daño emergente -que puede ser estrictamente económico o moral- y el lucro cesante.
d) Relación de causalidad eficiente
Una de las “claves de arco” del nuevo sistema de RC por IA reside en la presunción de relación de causalidad en caso de culpa que establece el artículo 4 de la Directiva que toma en consideración la dificultad para los demandantes de la prueba de un nexo causal entre el incumplimiento y la información de salida producida por el sistema de IA -o la no producción de una información de salida- que haya dado lugar a los daños en cuestión. Para remediar esta dificultad probatoria, la Directiva (art.4.1) establece una presunción refutable (“iuris tantum”) de causalidad específica en relación con este nexo causal. Esta presunción es la medida menos gravosa para dar respuesta a la necesidad de una indemnización justa para la víctima.
En concreto, el art.4.1 establece esta “presunción refutable de relación de causalidad en caso de culpa” diciendo: “Sin perjuicio de los requisitos establecidos en el presente artículo, los órganos jurisdiccionales nacionales presumirán, a efectos de la aplicación de las normas de responsabilidad a demandas por daños y perjuicios, el nexo causal entre la culpa del demandado y los resultados producidos por el sistema de IA o la no producción de resultados por parte del sistema de IA, siempre y cuando se cumplan todas las condiciones siguientes: a) que el demandante haya demostrado o el órgano jurisdiccional haya supuesto, de conformidad con el artículo 3, apartado 5, la culpa del demandado o de una persona de cuyo comportamiento sea responsable el demandado, consistente en el incumplimiento de un deber de diligencia establecido por el Derecho de la Unión o nacional destinado directamente a proteger frente a los daños que se hayan producido; b) que pueda considerarse razonablemente probable, basándose en las circunstancias del caso, que la culpa ha influido en los resultados producidos por el sistema de IA o en la no producción de resultados por parte del sistema de IA; c) que el demandante haya demostrado que la información de salida producida por el sistema de IA o la no producción de una información de salida por parte del sistema de IA causó los daños”.
Solo procede introducir una presunción de causalidad cuando pueda considerarse probable que la culpa en cuestión haya influido en la información de salida del sistema de IA pertinente —o en la ausencia de la información de salida—, lo cual puede evaluarse en función de las circunstancias generales del caso. Al mismo tiempo, el demandante aún tiene que demostrar que el sistema de IA (es decir, su información de salida o la no producción de una información de salida) ha causado los daños.
Conviene insistir en que -según hemos indicado- se trata, en todo caso, de una presunción “iuris tantum” que admite prueba en contrario porque la Directiva establece (art.4.7) que el demandado tiene derecho a refutar la presunción de causalidad.