 |
| Fuente de la imagen: Principios de inteligencia artificial en los seguros (M. Velasco, 2021) |
El marco regulatorio actual se compone principalmente del Reglamento de Inteligencia Artificial[1] y la Directiva sobre Productos Defectuosos[2]. El Reglamento de IA (Reglamento (UE) 2024/1689 no contiene disposiciones directas sobre responsabilidad civil, pero establece un marco normativo para la prevención y gestión de riesgos asociados a la IA, actuando como una normativa de seguridad de producto y clasificando los sistemas de IA según niveles de riesgo, imponiendo requisitos y obligaciones a los operadores y previendo sanciones, complementando las normas de responsabilidad por daños al minimizar la generación de riesgos. La Directiva sobre Productos Defectuosos (Directiva (UE) 2024/2853[3], representa un cambio importante para el sector digital, ampliando el concepto de "producto" para incluir programas informáticos, entre ellos los sistemas de IA, sometiendo a sus programadores y desarrolladores a un régimen de responsabilidad objetiva, lo que significa que la responsabilidad se generará si el producto es defectuoso, sin importar el nivel de diligencia del agente. La Directiva es de armonización máxima, impidiendo a los Estados miembros adoptar disposiciones más o menos estrictas. Para determinar si un producto es defectuoso, se consideran factores como su uso razonablemente previsible, su capacidad de aprender o adquirir nuevas características después de su introducción en el mercado y el efecto razonablemente previsible de su interconexión con otros productos. También, se valora el cumplimiento de requisitos de seguridad y ciberseguridad, así como el periodo en que el fabricante mantiene el control sobre el producto, obligando a actualizaciones oportunas.
El ámbito subjetivo de la Directiva se limita a los daños padecidos por personas físicas, excluyendo a las jurídicas, pero ampliando los daños indemnizables a la salud psicológica, la destrucción o corrupción de datos y los daños morales derivados de daños corporales. En cuanto al régimen probatorio, facilita la prueba del defecto, el daño y el nexo causal, introduciendo un mecanismo de exhibición de pruebas y estableciendo presunciones del carácter defectuoso y de nexo causal. Aunque estas presunciones son refutables, la obligación de presumir puede hacerlas difíciles de rebatir "de facto". El elenco de operadores económicos responsables se amplía notablemente para asegurar que siempre haya un responsable en la Unión Europea (UE), incluyendo al fabricante, la industria de componentes, importadores, representantes autorizados, prestadores de servicios logísticos y, bajo ciertas condiciones, distribuidores y plataformas en línea. Se prevén exenciones de responsabilidad, aunque con excepciones importantes para productos actualizables o controlables por el fabricante, que pueden generar responsabilidad si el defecto surge después de la introducción en el mercado debido a la falta de actualizaciones necesarias. Cuando el régimen especial de la Directiva de Productos Defectuosos no sea aplicable, se acudirá al régimen general de responsabilidad extracontractual. En el derecho español, este régimen se basa en el criterio de culpa o negligencia[4]. La responsabilidad se centraría en si el proveedor o el responsable del despliegue del sistema de IA tenía la obligación de haber configurado la herramienta o implementado medidas que hubieran evitado el daño.
Los sujetos potencialmente responsables en el ámbito extracontractual pueden ser el proveedor del sistema de IA o el responsable del despliegue, dependiendo la calificación de una conducta como culposa de la infracción de una regla de cuidado o deber de diligencia, cuyo contenido para sistemas de IA de alto riesgo viene determinado por el Reglamento de IA. Para sistemas no de alto riesgo, se recurrirá a las buenas prácticas de la industria y los estándares técnicos. A pesar de las dificultades probatorias, especialmente por la opacidad de la IA, el ordenamiento jurídico español cuenta con mecanismos para flexibilizar la carga de la prueba para establecer el nexo causal[5]. Estas herramientas procesales mitigan la necesidad de nuevas regulaciones específicas para la IA en este ámbito. Finalmente, en el contexto contractual, la responsabilidad por daños generados por la IA también se rige por un régimen de responsabilidad subjetiva[6], siendo fundamental diferenciar si el objeto del contrato es el propio sistema de IA o si la IA interviene en la ejecución de un contrato distinto. En los contratos entre proveedores y usuarios de sistemas de IA, es normal que las partes establezcan una regulación detallada para la distribución de riesgos, incluyendo cláusulas de responsabilidad y garantías. Los usuarios profesionales, al decidir adquirir o utilizar una herramienta de IA, deben ser conscientes de su componente de aleatoriedad e imprevisibilidad, presumiéndoles un análisis de riesgos y la implementación de medidas de mitigación, siempre que el proveedor les facilite información suficiente.
Para que se atribuya responsabilidad al proveedor, el daño debe tener su origen en la infracción de un deber de diligencia. La previsibilidad del daño debe centrarse en si éste entra dentro de lo esperable ante un mal funcionamiento potencial de la IA, más que en la previsibilidad de un output concreto. En la práctica contractual, son frecuentes cláusulas donde el cliente reconoce el componente aleatorio de la IA, exonerando al proveedor de ciertos daños o estableciendo garantías sobre el diseño y niveles de servicio. Igualmente, se incluyen cláusulas de indemnización y limitaciones de responsabilidad, siendo cada vez más común la inclusión de cláusulas que obligan al cumplimiento de la normativa sobre IA. En síntesis, aunque la autonomía y opacidad de la IA plantean desafíos significativos, el legislador europeo ha optado por un marco que busca, principalmente, la minimización de daños a través del Reglamento de IA. La nueva Directiva de Productos Defectuosos introduce la responsabilidad objetiva para la IA como producto, con importantes novedades probatorias, pero con una limitación clave a los daños sufridos por personas físicas. Fuera de este ámbito, los regímenes generales de responsabilidad extracontractual y contractual en España, basados en la culpa, se consideran adecuados, dado que existen mecanismos procesales para flexibilizar la carga de la prueba y evitar la indefensión de los perjudicados. La autonomía de la voluntad de las partes en los contratos es de gran relevancia para la distribución de riesgos asociados al uso de la IA. Fuente de la información normativa europea referenciada. Fuente de la imagen: Principios de inteligencia artificial en los seguros (M. Velasco, 2021).
_________________
[1] Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) nº 300/2008, (UE) nº 167/2013, (UE) nº 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial). Publicado en: «DOUE» núm. 1689, de 12 de julio de 2024.
[2] Directiva (UE) 2024/2853 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, sobre responsabilidad por los daños causados por productos defectuosos y por la que se deroga la Directiva 85/374/CEE del Consejo. Publicado en: «DOUE» núm. 2853, de 18 de noviembre de 2024.
[3] Que derogará y sustituirá la regulación actual a partir del 9 de diciembre de 2026.
[4] Artículo 1902 del Código Civil.
[5] Artículo 217.7 de la Ley de Enjuiciamiento Civil (LEC), que considera la disponibilidad y facilidad probatoria de cada parte. El artículo 386 de la LEC también se permite la solicitud de exhibición de documentos y la aplicación de presunciones judiciales.
[6] Artículo 1101 del Código Civil.
