(Proposal for a Directive of the European Parliament and of the Council an adapting non-contractual civil liability rules to artificial intelligence – AI Liability Directive, COM(2022) 496 final)
Me sorprende y me llama la atención que después de todos los trabajos realizados en el seno de la Unión europea (UE) sobre el tema que rubrica estas líneas, se haya finalmente optado, por la Comisión europea, por elegir el instrumento de la Directiva y, además, con un contenido centrado exclusivamente en dos cuestiones: el acceso a información relevante a efectos de prueba o de decidir si se inicia un pleito o no y contra quién (art. 3) o de presunción del nexo causal entre la culpa del demandado y el resultado o ausencia del mismo que debía producir un sistema de IA (art. 4). El argumento para ello es la disparidad de regímenes de responsabilidad extracontractual en Europa y las dificultades que siempre ha habido de armonización (vid. la memoria explicativa que acompaña a la Propuesta, p. 7). Haber escogido la figura del Reglamento como se proponía por el Parlamento europeo (Resolución del parlamento europeo de 20 de octubre de 2020 con recomendaciones para una “propuesta de reglamento en materia de responsabilidad civil por el uso de IA”, https://www.europarl.europa.eu/doceo/document/TA-9-2020-0276_EN.html) o las propuestas del Libro blanco de IA (COM(2020) 65 final) hubiera permitido esa referida armonización, además de haber podido incluir normas acerca de la prueba. Me parece que detrás se encuentra el invisible pulso, por otra parte, evidenciado en otros temas, entre la Comisión y el Parlamento europeo. Considero que los riesgos para todos que conlleva el uso y manejo de sistemas de IA, sobre todo los de alto riesgo, son razones de peso a favor de la armonización y de la responsabilidad objetiva.
En relación con este aspecto la Propuesta de Directiva que comento abandona el enfoque basado en el riesgo que venía imperando en la materia ya que parte de la base de que los regímenes de responsabilidad civil en la mayor parte de los estados miembros están basados en la culpa. Ésta aparece referida indirectamente, por ejemplo, en el art. 3.5 al tomar como presupuesto el incumplimiento de deberes de cuidado por parte del demandado o directamente en el art. 2.5 cuando define la acción por daños, o el art. 4.1 cuando admite la presunción del nexo causal entre ésta y el resultado producido por el sistema de IA o por la ausencia o fallo en la producción de tal resultado lo que ocasiona el daño. Por tanto, si en el régimen de responsabilidad civil nacional el supuesto se subsumiera en un régimen de responsabilidad objetiva (por ejemplo, se equiparara al uso o manejo de una máquina, art. 1908 CC o a la responsabilidad vicaria del empresario, art. 1904 CC), estas reglas no serían de aplicación. Nuestro sistema procesal prevé, en relación con el acceso a medios de prueba, no obstante, no está tan alejado de lo que establece esta futura Directiva.
A pesar de la decepción inicial, he de reconocer que me parece muy positivo que la Propuesta de Directiva se remita a la Ley de IA (Proposal for a Regulation of the European Parliament and of the Council laying down harmonized rules on Artificial Intelligence (Artificial Intelligence Act) and amending certain Union legislative Acts, COM(2021) 206 final. La propuesta se puede consultar en: https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0008.02/DOC_1&format=PDF) en relación con conceptos fundamentales como qué se considera “sistema de IA”, “sistema de alto riesgo”, “proveedor”, “usuario”. A estos el art. 2 añade otras definiciones como la mencionada “acción por daños”, “demandante”, “potencial demandante”, “demandado” y “deber de cuidado”.
Esencialmente, como decía, la Propuesta de Directiva se centra en dos aspectos:
- El acceso a los medios de prueba (“disclosure of evidence”): Los tribunales deben estar provistos, por los estados miembros, de la facultad de ordenar el acceso a medios de prueba – de hecho, se refiere con esta expresión al acceso a información sobre el específico sistema de alto riesgo que se sospecha que ha podido ocasionar el daño (considerando núm. 16), por tanto, se trata del acceso a “datos”- de los que está en posesión el demandado o potencial demandado para que el demandante o potencial demandante pueda sustentar su acción por los daños ocasionados. Estos datos pueden consistir en documentación específica y registro de movimientos o comportamientos del sistema (“black box” o “logging”).
En el caso del potencial demandante que es aquel que ha sido dañado pero que todavía no ha interpuesto la acción, para poder dirigirse al juez o tribunal reclamando el acceso a medios de prueba debe previamente haberse dirigido al proveedor o persona que debe cumplir con las obligaciones del proveedor o el usuario, solicitando el acceso a ellas. Además, debe habérsele denegado por éstos y, finalmente, debe de apoyar su petición en hechos o indicios suficientes que apoyen su plausible acción por daños (art. 3.1). En caso de haber interpuesto una acción por daños, al demandante solo le será concedido el acceso a los datos, rectius, a los medios de prueba, siempre y cuando haya tomado medidas respecto a recoger la información relevante directamente del demandado (art. 3.2). Por tanto, el acceso a los medios de prueba ordenado por el tribunal toma como basamento el hecho de no haber podido acceder a ellos directamente del demandado ya sea porque éste ha rechazado proporcionárselos o lo ha dificultado enormemente. Por eso, el precepto establece que los intentos realizados por el demandante deben ser “proporcionados”.
Junto al acceso a la información se prevé la posibilidad de que se solicite por el demandante que el tribunal ordene medidas en orden a preservar los medios de prueba (art. 3.3).
De acuerdo con el principio de minimización de los datos, la Propuesta de Directiva establece que el acceso a los medios de prueba, a la información, es solo aquella necesaria para sustentar la acción. Por tanto, también se tiene en cuenta la finalidad específica para la que se solicita el acceso a esa información (art. 3.4) y, además, la proporcionalidad entre la información que se solicita y la acción ejercitada. Los tribunales a la hora de valorar la proporcionalidad deben de tener en cuenta los intereses de las partes, incluso terceros que pueden verse afectados, por ejemplo, cuando se trata de información confidencial o relativa a la seguridad nacional.
Por otra parte, a veces la información, sobre todo si es de índole técnica, supone acceder a un secreto comercial. En este caso, ya sea a instancia de parte que es, por otro lado, la regla general de las medidas que prevé esta Propuesta, o, en este caso, de oficio, puede adoptar las medidas necesarias para garantizar la confidencialidad cuando la información se va a usar en un litigio. Que el acceso a información técnica pase por delante de derechos de exclusiva trae causa muy probablemente del principio “tan abiertos como sea posible, tan cerrados como necesarios” presente en la Estrategia Europea de Datos (COM(2020) 66 final, p. 5). Este principio, desde la perspectiva legal, aparece en el Reglamento 2021/695, del Parlamento europeo y del Consejo de 28 de abril de 2021, por el que se crea el programa marco de investigación e innovación “Horizonte Europa” (DOUE núm. 170, de 12 de mayo de 2021) cuando se refiere a la “Ciencia abierta” y en la Directiva (UE) 2019/1024, de datos abiertos, art. 10.1 (DOUE L 172/56, 26.6.2019).
De todos modos, la persona obligada a permitir el acceso a los medios de prueba puede recurrir la orden judicial al respecto. Por tanto, goza de remedios contra esa orden. Ahora bien, si no recurre o presenta oposición y no permite el acceso a la información o no preserva esa información, es decir, incumple la orden judicial, se presumirá que ha incumplido un deber de cuidado relevante, que la información denegada podía probar, máxime si se refiere a los deberes de cuidado indicados en el art. 4.2 y 4.3 de la Propuesta de Directiva. ¿Cuáles son estos deberes de cuidado? El incumplimiento de determinados requisitos como que, si el sistema de IA usa técnicas que implican procesamiento de datos, el modelo no se haya desarrollado sobre la base del entrenamiento, validación y testeo que cumpla con los requisitos de calidad previstos en el art. 10 de la Ley de IA, o no cumpla con los criterios de transparencia establecidos en el art. 13 de la Ley de IA, no permite la supervisión humana (art. 14 Ley de IA), no tiene la suficiente robustez, precisión y ciberseguridad (arts. 15-16 Ley de IA) que debería tener, las medidas correctoras que podían tomarse para que el sistema de IA cumpliera con los requisitos en la Ley de IA no se han tomado ni aplicado convenientemente (arts. 16 y 21 Ley de IA). Se trata del incumplimiento básicamente de deberes pre-comercialización y una vez el sistema se ha introducido en el mercado puede llegar a ocasionar daños. En cualquier caso, es una presunción iuris tantum.
El acceso a la información necesaria para sustentar una acción por daños y que el demandado deba facilitarlo puesto que está en posesión o en mejor disposición de acceder a los medios de prueba no es novedoso en el sistema procesal español. En efecto, el art. 217.7 LEC parte del principio de facilidad probatoria o distribución dinámica de la prueba que es lo que, en el fondo, subyace en las reglas que proporciona la propuesta de Directiva. Éste añade el derecho del potencial demandante a requerir la información en aras a decidir si entabla el pleito, es decir, si existe base suficiente para ello y contra quién (considerando núm. 17).
De otra parte, este acceso se preveía ya en la resolución del Parlamento Europeo para elaborar un reglamento acerca de la responsabilidad civil por uso de sistemas de IA al inicio de estas líneas mencionado. Falta, a mi entender, una mayor coordinación entre esta Propuesta de Directiva y la Ley de Datos (COM(2022) 68 final) que hace precisamente referencia a dicho acceso.
- Presunción iuris tantum del nexo causal en caso de culpa (“rebuttable presumption of a causal link in the case of fault”): Los jueces y tribunales están facultados para presumir el nexo causal entre la culpa del demandante y el resultado producido por el sistema de IA o, en su caso, la ausencia de resultado siempre y cuando:
- El demandante demuestre -o el tribunal presuma la culpa del demandado por no haber permitido el acceso a la información o no haberla preservado (art. 3.5)-, la culpa del demandado o de la persona por la que el demandado haya de responder, al incumplir un deber de cuidado previsto en el derecho de la Unión o derecho nacional cuya finalidad era proteger contra el daño que se ha ocasionado. En cualquier caso, puede el demandado probar lo contrario. El deber de cuidado es uno de los referidos anteriormente cuando se trate de sistemas de IA de alto riesgo.
- Puede considerarse razonablemente probable que la culpa del demandante ha influenciado tanto el resultado producido por el sistema de IA como, en su caso, la ausencia del mismo. En este caso, se trata de aportar indicios para que se pueda aplicar la presunción legal.
- El demandante ha demostrado que el resultado producido por el sistema de IA de alto riego o su ausencia ha dado origen al daño.
Esta norma se aplica tanto si el demandado es el proveedor o un sujeto que debe cumplir con las obligaciones del proveedor o un usuario del sistema de IA. Ahora bien, cuando se trate de ese último, los deberes de cuidado que se consideran incumplidos son el incumplimiento de su obligación de usar o monitorizar el sistema de IA de alto riesgo en concordancia con las instrucciones suministradas por el proveedor o, en su caso, suspender o interrumpir su uso, o expone el sistema de IA a “input data” bajo su control que no son relevantes para la finalidad perseguida por el sistema (art. 4.3). Por tanto, son deberes de cuidado post-comercialización.
La presunción de la que trato no se aplica si el demandante puede probar que existía suficiente información que estaba al alcance del demandante para probar los hechos en los que fundamenta su acción (art. 4.4).
En caso de sistemas de IA de bajo riesgo la presunción referida solo se aplica si los tribunales consideran excesivamente difícil para el demandante probar el nexo causal mencionado. Si el demandado empleaba el sistema de IA en el curso de una actividad personal, la presunción solo se aplica si aquél materialmente interfirió en la operación del sistema de IA o si el demandado debía determinar las condiciones de la operación del sistema de IA y no lo hizo adecuadamente (arts. 4.5 y 4.6 respectivamente).
A primera vista, la prueba no aparece tan facilitada para el demandante como pareciera porque no se le excluye de tener que probar el nexo causal entre el daño y el comportamiento del demandado que es el incumplimiento de un deber de cuidado que en la norma equivale a “culpa”. Desde el derecho de daños español resulta este planteamiento cuestionable puesto que la culpa es un requisito más que tiene que probar, en línea de principio, el demandado junto con el comportamiento dañoso, el daño y el nexo causal entre éstos. El Informe del Grupo de expertos en responsabilidad y nuevas tecnologías (NTF), “Responsabilidad por inteligencia artificial y otras tecnologías emergentes”, de 28 de noviembre de 2019 (LiabilityforAIandotheremergingtechnologies.pdf.), propone, sin embargo, que la presunción iuris tantum lo fuera de la causalidad propiamente dicha, lo que realmente facilitaba a la víctima la carga de la prueba. De hecho, sugiere más expedientes que alivien de ésta. El Informe, aunque parte de la regla general consistente en que la víctima debe probar la causa del daño, admite que la complejidad de la tecnología que interviene puede derivar en una asimetría informativa entre el operador responsable y la víctima que conlleve la imposibilidad de probar el nexo causal o que la prueba resulte excesivamente onerosa para aquélla. Por ello, enumera, en la recomendación núm. 26, una serie de circunstancias que justificarían que el legislador europeo o, incluso, el nacional, incluyeran una regla general de inversión de la prueba del nexo causal.
Adicionalmente, se sugiere, en su recomendación núm. 24, presumir la causalidad -además de la culpa y de la propia existencia del defecto- siempre que se detecte el incumplimiento de normas de seguridad, cuya observancia hubiera evitado el daño.
En definitiva, se aligera a la víctima la carga de la prueba, pero poquito.
Dra. Susana Navas Navarro