Otra de las regulaciones a tener muy en cuenta cuando se alude a inteligencia artificial generativa o, más ampliamente, a modelos fundacionales es la que concierne a la moderación de los contenidos. Estos modelos pueden emplearse para llevar a cabo tareas inofensivas, como, por ejemplo, crear una presentación para dar una charla o una invitación a una boda como para generar contenido ofensivo que cause daños a personas o grupos de personas como podría ser hacer apología del terrorismo. De ahí que los propios creadores del ChatGPT tuvieran en cuenta este hecho y establecieran un moderador interno para bloquear el contenido potencialmente ofensivo. El propio Chat GPT lleva incorporado un mecanismo que impide al usuario acceder a determinados contenidos tales como sexo, violencia u odio. A pesar de ello, puede ser relativamente fácil sortear estas barreras por hackers. Asimismo, es sencillo crear con estos modelos fake news difíciles de detectar debido al estilo en que son redactadas. De hecho, en youtube se pueden encontrar tutoriales al respecto.
La pregunta es, pues, si la Digital Services Act [Reglamento (UE) 2022/2065 del Parlamento europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado único de servicios digitales, DOUE núm. 277, de 27 de octubre de 2022], aunque no tenía en su punto de mira a la inteligencia artificial generativa ni a los modelos fundacionales cuando fue elaborada, sino más bien a las redes sociales en las que el contenido lo generan principalmente humanos, podría ser de aplicación al caso que me ocupa. Si nos fijamos en el ámbito de aplicación espacial, la DSA se aplica a aquellos servicios digitales ofrecidos a usuarios en la UE, independientemente de dónde se encuentre el establecimiento del proveedor (art. 2.1, 3 letra d y e). Las plataformas deben incorporar un mecanismo de notificaciones a través del cual los usuarios pueden denunciar contenido ilícito (art. 3 letra h DSA) que debe ser revisado por ellas y, en su caso, eliminado de las mismas si verdaderamente lo es (art. 16 DSA notice-and-action-system). Además, las grandes plataformas deben establecer un sistema interno de gestión de reclamaciones (art. 20 DSA) y un sistema de resolución extrajudicial de conflictos (art. 21 DSA). Adicionalmente, reincidentes en generar contenido ilícito pueden ver suspendidas sus cuentas (art. 23 DSA). El contenido calificado como problemático por alertadores fiables debe ser priorizado y decidir sin dilación acerca de si se retira de la plataforma o no (art. 22 DSA). Por su parte, las plataformas de muy gran tamaño deberán implementar un mecanismo de respuesta a las crisis y someterse a auditorías independientes (arts. 36-37 DSA).
Ahora bien, la DSA solo cubre proveedores de servicios de intermediación, también denominados “servicios intermediarios” (arts. 2.1 y 2.2). Estos servicios son, a tenor del art. 3 letra g los siguientes: de mera transmisión, de memoria caché, de alojamiento de datos como serían las redes sociales online (vid. considerando núm. 28; vid. Comisión europea, Directorate-General for Communications Networks, C., Technology, Hosting intermediary services and illegal content online: an analysis of the scope of article 14 ECD in light of developments in the online service landscape: final report, J. Hoboken, J. Quintais, J. Poort, N. Eijk, Publication Office, 2019). Obviamente, la IA generativa o más ampliamente los modelos fundacionales no entran dentro de ninguna de estas categorías. Basta leer las definiciones de cada uno de estos servicios intermediarios que proporciona el propio art. 3 letra g para darse cuenta de ello. En realidad, los usuarios de estos modelos como el ChatGPT no generan contenido, sino que solicitan información. Es el propio Chat el que genera el contenido no el usuario que es precisamente el supuesto en que está contemplando la DSA. Luego, debe concluirse que la norma europea no se aplica a estos sistemas de IA. Deberá acudirse a otras normas como, por ejemplo, las normas de responsabilidad civil extracontractual o las normas relacionadas con los discursos del odio o con la libertad de expresión que quedan cubiertas por los derechos internos de los Estados miembros.
En el primer caso, deberá tenerse en cuenta que los modelos fundacionales, como advertido en una entrada anterior de este blog (https://webs.uab.cat/derecho-y-digitalizacion-empresarial/2023/07/03/inteligencia-artificial-generativa-y-derecho-antidiscriminatorio/. Fecha de la consulta: julio 2023), no son considerados sistemas de IA de alto riesgo, por lo que deberá tenerse en cuenta lo previsto respecto de los sistemas de bajo riesgo, de suerte que la presunción de parte del nexo causal quedará al arbitrio judicial si se considera excesivamente para la víctima el probarlo (art. 4.5). El acceso a la información que pueda contener la “black box” del modelo y que regula el art. 3 de la Propuesta de Directiva relativa a la adaptación de las normas de responsabilidad extracontractual a la IA [28.9.2022 COM(2022) 496 final] queda reservado para los sistemas de alto riesgo. Sin embargo, las obligaciones que la futura Ley de IA [Draft Compromise Amendments on the Draft Report Proposal for a regulation of the European Parliament and of the Council on harmonised rules on Artificial Intelligence (Artificial Intelligence Act) and amending certain Union Legislative Acts (COM(2021)0206 – C9 0146/2021 – 2021/0106(COD)), https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/CJ40/DV/2023/05- 11/ConsolidatedCA_IMCOLIBE_AI_ACT_EN.pdf. Fecha de la consulta: julio 2023] establece para los proveedores de sistemas de IA generativa son muy similares a las de los de sistemas de IA de alto riesgo. En este sentido, a mi juicio, deberían tenerse en cuenta en el proceso legislativo que conduzca a la Directiva definitiva normas acerca de la responsabilidad civil en caso de que el daño sea ocasionado por un modelo fundacional. Daño que será, como advertido en la entrada referida, principalmente un daño moral.
Si se procesan por el sistema datos personales de víctimas del daño deberá tenerse en cuenta el art. 82 RGPD [Reglamento (UE) 2016/679, del Parlamento europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DOUE, L 119/1, de 4.5.2016)]. En su apartado primero advierte que: “Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos”. En cualquier caso, no se aplicarán los diferentes mecanismos que la DSA ha establecido en caso de contenido ilícito y discursos del odio.
Una vía indirecta de aplicar la DSA a los modelos fundacionales y, en concreto, a la IA generativa se podría dar cuando es un usuario humano o un bot el que publica el contenido generado por aquélla dentro de la red social. En este momento debe tenerse en cuenta qué significa “difusión al público” y si esta publicación implica esa difusión o bien se puede considerar en determinados casos como “mensajes privados” puesto que el usuario de la cuenta puede restringir el grupo de usuarios que pueden acceder a sus contenidos. El considerando núm. 14 DSA advierte, en esta línea, lo siguiente:
“El concepto de «difusión al público», tal como se utiliza en el presente Reglamento, debe implicar que la información se ponga a disposición de un número potencialmente ilimitado de personas, es decir, hacer que la información sea fácilmente accesible para los destinatarios del servicio en general, sin necesidad de que el destinatario del servicio que proporciona la información haga nada más, con independencia de si dichas personas acceden efectivamente a la información en cuestión. Por consiguiente, cuando el acceso a la información requiera la inscripción o la admisión en un grupo de destinatarios del servicio, solo debe considerarse que dicha información ha sido difundida al público cuando los destinatarios del servicio que deseen acceder a la información se inscriban o sean admitidos automáticamente sin que un ser humano decida o escoja a quién se concede el acceso. Los servicios de comunicaciones interpersonales definidos en la Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo (24), como los correos electrónicos o los servicios de mensajería privada, quedan fuera del ámbito de la definición de plataformas en línea, ya que se utilizan para la comunicación interpersonal entre un número finito de personas determinado por el remitente de la comunicación”.
Por lo tanto, el grueso de normas de la DSA solo se aplica a plataformas en línea que deben diseminar información al público y que sean, al parecer, de muy gran tamaño (art. 19.2 DSA). Así, grupos de WhatsApp, Telegram u otros en los que prolifera este tipo de contenido problemático quedan fuera del ámbito de aplicación de la DSA (F. Wilman, “The Digital Services Act (DSA)-An Overview”, disponible: https://ssrn.com/abstract=4304586. Fecha consulta: julio 2023). En definitiva, para poder aplicar la DSA al caso que trato, los contenidos generados por la IA deben ser publicados en las plataformas online que podríamos denominar “clásicas” como Facebook, Instagram, Twitter, etc.. (Philipp Hacker, Andreas Engel, Marco Mauer, “Regulating ChatGPT and other Large Generative AI Models”, working paper, arXiv:2302.02337v8. Fecha de la consulta: julio 2023). A medida en que se vayan integrando estos sistemas en los motores de búsqueda será más evidente la aplicación de la DSA.
En conclusión, debería, primero, revisarse el ámbito de aplicación de la Propuesta de Directiva sobre responsabilidad civil extracontractual respecto del uso de sistemas de IA y, segundo, considerar ya una modificación de la DSA para introducir y quizá equiparar el contenido generado por la IA generativa a los contenidos generados por los usuarios y de esta forma aplicar los mismos mecanismos de control del contenido ilícito.
Dra. Susana Navas Navarro