Opinión del EDPS sobre las Propuestas de Directivas de responsabilidad en IA

Como ya comentamos en una entrada previa de este blog, el 28 de septiembre del año pasado, la Comisión Europea presentó dos propuestas legislativas que introducen normas de responsabilidad para la Inteligencia Artificial (IA):

• En primer lugar la Propuesta de revisión de la Directiva 85/374/CEE del Consejo, de 25 de julio de 1985, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados Miembros en materia de responsabilidad por los daños causados por productos defectuosos; y

• Por otro lado, la Propuesta de una Directiva específica sobre responsabilidad en materia de IA (Directiva RIA). 

El objetivo común de las propuestas es adaptar las actuales normas de responsabilidad al nuevo entorno digital y establecer unas normas justas y previsibles que se adapten a los nuevos tipos de productos, aportando así seguridad jurídica a empresas y a consumidores.

Al igual que la Comisión Europea, el Supervisor Europeo de Protección de Datos coincide en que, debido a las características de los sistemas de IA, tales como la opacidad, autonomía, complejidad, adaptación continua y falta de previsibilidad, las normas de responsabilidad actuales, en particular aquellas basadas en la culpa o defecto pueden no ser adecuadas para gestionar reclamaciones de responsabilidad por daños causados por productos y servicios habilitados por la IA y, por lo tanto, deben ser actualizadas.

Como consecuencias de estas dos propuestas, EDPS ha emitido la Opinión 42/2023 sobre las propuestas de Directivas con la finalidad de ofrecer las siguientes recomendaciones:

• Responsabilidad de las Instituciones de la Unión Europea: El EDPS entiende que la actual redacción de las propuestas de Directivas no se aplica en caso de daños derivados de sistemas de IA producidos y/o utilizados por estas instituciones. En este sentido, se recomienda que se garantice que las personas que hayan sufrido daños causados por sistemas de IA producidos y/o utilizados por las instituciones de la Unión Europea no se encuentren en una posición desfavorable y puedan disfrutar de un nivel equivalente de protección al establecido en las Propuestas.

• Relación entre las propuestas de Directivas y la actual normativa de protección de datos: se recomienda que ambas propuestas se modifiquen para confirmar explícitamente que dichas Directivas no afectan a la normativa de protección de datos actual y, en consecuencia, no limiten de ninguna manera las posibles vías de recurso para los interesados.

• Relación con el Reglamento Europeo de Inteligencia Artificial: El EDPS propone extender las garantías procesales de la Propuesta de Directiva RIA a todos los casos de daños causados por un sistema de IA, independientemente de su clasificación como de alto riesgo o no.

• Carga de la prueba: la redacción actual de las propuestas de Directivas, así como las características específicas de los sistemas de IA hacen casi imposible que el consumidor demuestre la culpa y aún más difícil demostrar la causalidad. Por ello, el EDPS  propone considerar medidas adicionales para aliviar la carga de la prueba.

• Modificación del plazo de revisión: El EDPS recomienda que se reduzca el período de revisión establecido en el Artículo 5(2) de la Propuesta de Directiva RIA. Considera que este plazo es excesivamente largo y que sería conveniente poder conocer, en un plazo más razonable, en qué medida las personas que han sufrido daños causados por sistemas de IA tienen acceso efectivo a obtener compensación.

Desde el departamento seguiremos de cerca los avances sobre estas dos propuestas de Directivas y, llegado el momento analizaremos la versión definitiva de ambos textos.