Carta del CEPD sobre la adaptación de las normas de responsabilidad a la era digital e IA

El pasado 22 de febrero la presidenta del Comité Europeo de Protección de Datos (CEPD), cargo ostentado por Andrea Jelinek, emitió una carta dirigida a la Comisión Europea en relación con la iniciativa de la Comisión de adaptar las normas de responsabilidad a la era digital y a la Inteligencia Artificial.

Esta carta se enmarca en el proceso de adaptación de las normas de responsabilidad a la era digital y a la IA, que ha sido sometido a consulta pública entre el pasado 18 de octubre de 2021 y el 10 de enero de 2022. Como hemos comentado en otras ocasiones, los puntos más discutidos son, principalmente, dos: (a) por un lado, la necesidad de definir y distribuir la responsabilidad entre todos los actores que participan en las cadenas de valor de estas tecnologías, incorporando a los desarrolladores, fabricantes, programadores, u operadores, entre otros; y (b) por otro lado, la reversión de las reglas de la carga de la prueba del daño causado en ciertos casos definidos, proponiendo (i) un sistema de responsabilidad objetiva (para ciertos sectores críticos donde sea difícil de probar la culpa y dónde reside la responsabilidad, en sistemas con altos niveles de autonomía) y (ii) un sistema de responsabilidad general basado en la culpa para el resto de tecnologías de IA.

El CEPD acoge favorablemente la revisión del marco jurídico sobre la responsabilidad de la IA, si bien considera que esta revisión deberá garantizar la coherencia con el resto del ordenamiento jurídico de la Unión Europea, especialmente en materia de protección de datos personales (por ejemplo, el cumplimiento de las obligaciones de seguridad de los tratamientos de datos personales y el uso de sistemas de IA).

Asimismo, la Carta considera relevante reforzar la posible responsabilidad de los proveedores (figura recogida en el art. 3.2 de la Propuesta de Reglamento sobre la IA, abordado en nuestro blog) que desarrollan y/o introducen o ponen a disposición del mercado sistemas de IA, para que responsables y encargados dispongan de mayor certidumbre a la hora de tratar datos personales desplegando estos sistemas de IA.

La Carta hace especial mención al dictamen conjunto 5/2021 sobre la Propuesta de Regulación de IA del CEPD y el Supervisor Europeo de Protección de Datos (SEPD), en el que tanto el CEPD como el SEPD proponían una lista de recomendaciones y del que ahora el CEPD extrae algunos puntos de interés para la adaptación de la Directiva sobre la responsabilidad de los productos a los nuevos retos de los sistemas de IA:

> La necesidad de esclarecer la atribución de responsabilidades de los sistemas de IA, con especial atención a aquellos sistemas de IA utilizados como medidas de seguridad para el tratamiento de datos personales. Asimismo, el CEPD considera que el papel y las responsabilidades del proveedor del sistema de IA deben ser definidas con precisión para salvar las distancias con el marco existente que regula las obligaciones y relaciones de los responsables y encargados del tratamiento datos.

> La importancia de prever la explicabilidad de los sistemas de IA desde su inicio y por diseño, para que los individuos puedan reclamar ante usos previstos y previsibles de la IA y ante potenciales malos usos previsibles. Esto, según la Carta, resulta especialmente relevante cuando la carga de la prueba recae en el individuo, ya que muy probablemente desconozca la utilización del sistema de IA y carezca de la información necesaria para probar a quién se ha de atribuir la responsabilidad del sistema de IAAsimismo, el CEPD subraya también los efectos positivos de la inclusión sistemática de supervisión humana y transparencia en el uso de los sistemas de IA y considera que debería obligarse a los proveedores de los sistemas de IA a proporcionar a los usuarios de los sistemas de IA herramientas de mitigación para todo tipo de ataques y ciberataques y también, a garantizar el funcionamiento seguro desde el diseño de dichos sistemas de IA a lo largo de todo el ciclo de vida de la IA.Todo sistema de IA, además, debería ir acompañado de una documentación completa y accesible. Una información que será necesaria para que el responsable del tratamiento pueda comprender los motivos que causaron un fallo del sistema, especialmente en brechas de datos

> La necesidad de dotar de un papel esencial a la evaluación preliminar de la calidad y representatividad de los conjuntos de datos utilizados por los algoritmos a la hora de tomar decisiones. El CEPD resalta los peligros que la inexactitud de los datos, o la escasa atención prestada a la precisión de las decisiones algorítmicas, puede conllevar para los derechos y libertades de los ciudadanos. A este respecto, la Carta plantea que la medición del grado de precisión de las decisiones algorítmicas debería ser un pilar de las nuevas normas de responsabilidad.

> Por último, el CEPD destaca que la propuesta de adaptación debería ser efectiva como una legislación independiente y no depender de las obligaciones que establezca la futura entrada en vigor de la Propuesta de Regulación de IA, debido a que esta normativa solo contiene obligaciones aplicables a algunos sistema de IA considerados de alto riesgo y, por tanto, podría existir un vacío legal respecto a aquellas reclamaciones que deriven del uso de sistemas de IA no considerados de alto riesgo, cuando además estos sistemas no estén cubiertos por el RGPD (por no tratar datos personales).

Ante una realidad sumida en la utilización de sistemas de IA y decisiones automatizadas, resulta urgente crear un marco de seguridad jurídica en torno al uso de las nuevas tecnologías. La automatización supone un enorme reto para el legislador europeo y nacional, que muestra cada vez en mayor medida su atención y esfuerzos por estar a la altura de las circunstancias. Desde el blog seguiremos estudiando todas las novedades en la materia.