La Comisión propone nuevas normas de responsabilidad en materia de inteligencia artificial

La Comisión Europea ha presentado dos propuestas legislativas que introducen normas de responsabilidad para la Inteligencia Artificial (“IA”): (i) la propuesta de revisión de la Directiva 85/374/CEE del Consejo, de 25 de julio de 1985, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados Miembros en materia de responsabilidad por los daños causados por productos defectuosos (“Directiva RPD”) y (ii) la propuesta de una Directiva específica sobre responsabilidad en materia de IA. Con estas propuestas, la UE pretende adaptar el régimen de responsabilidad objetiva a la era digital.

Propuesta de modernización de las normas existentes sobre la responsabilidad objetiva de los fabricantes por los productos defectuosos

Con la revisión de la Directiva RPD, el legislador refuerza una normativa de casi cuarenta años de antigüedad, que no cubre categorías de productos derivados de las nuevas tecnologías digitales, como los productos inteligentes y la IA. Por ello, la revisión del texto pretende establecer unas normas justas y previsibles que se adapten a los nuevos tipos de productos, aportando así seguridad jurídica a empresas y a consumidores. Analizamos a continuación los principales cambios:

a)   Adaptación de las normas de responsabilidad a los productos en la era digital

Se establece que toda la gama de productos defectuosos está cubierta por las normas revisadas, incluyendo el software, sistemas de IA o servicios digitales que sean necesarios para que funcione el producto. Es decir, en caso de que un sistema de IA integrado en un producto (por ejemplo, robots, drones, o sistemas domésticos inteligentes) presente algún defecto, los perjudicados también podrán presentar una reclamación. Las nuevas normas permiten a los particulares reclamar una indemnización por los daños causados por un producto defectuoso, incluidas las lesiones corporales, los daños materiales o la pérdida de datos.

b)   Claridad jurídica para los modelos de negocio de la economía circular

Por otra parte, las nuevas normas crean claridad jurídica para los modelos de negocio circulares en los que los productos se modifican o mejoran. Se estipula que todas las normas de la Directiva RPD se aplicarán a las empresas de remanufactura y otras empresas que modifiquen sustancialmente los productos en caso de que estos causaran daños a una persona, a menos que demuestren que el defecto se refiere a una parte no modificada del producto.

c)   Igualdad de trato de los consumidores frente a los fabricantes

La revisión de la normativa trata de situar en un plano de igualdad a los fabricantes y a los perjudicados que reclaman. Entre otras medidas, la normativa exige a los fabricantes comunicar las pruebas que pueda necesitar el demandante para llevar a cabo a los tribunales y reduce la carga de prueba en casos complejos (i.e. casos relacionados con productos farmacéuticos o de IA). También suprime el umbral inferior y el límite máximo, de forma que el perjudicado pueda quedar totalmente indemnizado por los daños sufridos.

d)   Condiciones de competencia más equitativas entre los fabricantes de la UE y de terceros países

A diferencia de lo que sucede bajo la redacción actual, los perjudicados también podrán pedir la indemnización al representante del fabricante de un tercer país. Concretamente, y en virtud del Reglamento sobre vigilancia del mercado y de la próxima revisión del Reglamento relativo a la seguridad general de los productos, habrá una persona responsable con sede en la UE a la que se podrá reclamar una indemnización.

Propuesta de armonización específica de las normas nacionales sobre responsabilidad civil en materia de IA

La Directiva sobre responsabilidad en materia de IA (la “Directiva RIA”) establece por primera vez normas específicas sobre los daños causados por cualquier tipo de sistema de IA (tanto si es de alto riesgo como si no).  Los productos y servicios basados en la IA plantean retos que las normas nacionales vigentes en materia de responsabilidad civil no cubren, por lo que se hace necesario crear una regulación específica para estos casos.

En las demandas por responsabilidad subjetiva, la víctima debe identificar a quién demandar y explicar detalladamente la culpa, el daño y la relación de causalidad entre ambos. Teniendo en cuenta la complejidad, opacidad y autonomía de los sistemas de IA, la víctima no puede asumir esta carga de prueba, lo cual le impediría ejercer su derecho a un acceso efectivo a la justicia. En este sentido, la Directiva RIA pretende que cualquier víctima (particular o empresa) pueda tener una oportunidad justa de indemnización en caso de perjuicio por la culpa u omisión de un proveedor, desarrollador o usuario de IA. Para ello, introduce dos salvaguardias principales:

a)   Presunción de causalidad

En caso de que la víctima demuestre que alguien ha incumplido con una obligación pertinente en relación con el daño y que es razonablemente probable que exista un nexo causal con el rendimiento de la IA, el órgano jurisdiccional podrá presumir iuris tantum que ese incumplimiento ha provocado el daño.

b)   Acceso a las pruebas presentadas por empresas o proveedores en los casos de IA de alto riesgo

En los casos de IA de alto riesgo, las víctimas podrán solicitar al órgano jurisdiccional que ordene la divulgación de información sobre estos sistemas de IA. Así, las víctimas podrán identificar a la persona responsable y averiguar en qué ha fallado. Por otra parte, la divulgación se someterá a las salvaguardias adecuadas para proteger la información sensible, por ejemplo, los secretos comerciales.

La Ley de IA (comentada en esta publicación) y la Directiva RIA se aplican en momentos diferentes y se refuerzan mutuamente. La Ley de IA tiene por objeto prevenir daños y perjuicios, y para ello, garantiza que los sistemas de IA cumplan con unos requisitos de seguridad elevados. Por su parte, la Directiva RIA vela para que, en caso de que el riesgo se materialice en un daño o perjuicio, la indemnización sea efectiva y realista.

En conclusión, la revisión de la Directiva RPD moderniza el actual régimen de responsabilidad objetiva por productos defectuosos a escala de la UE y se aplica en los casos de daños y perjuicios sufridos por particulares provocados por productos defectuosos. En contraposición, la nueva Directiva RIA supone una reforma en los regímenes nacionales de responsabilidad subjetiva y se aplica a las demandas de particulares o personas jurídicas contra cualquier persona que haya influido en el sistema de IA que haya provocado los daños y perjuicios cubiertos por la legislación nacional (incluidos los derivados de la discriminación o la violación de derechos fundamentales como la privacidad).