Autora: Isabel Zurita Martín (España): Catedrática de Derecho Civil, Universidad de Cádiz. Correo electrónico: isabel.zurita@uca.es
Resumen: El objetivo de este trabajo se centra en el análisis de las principales controversias relativas a la responsabilidad civil derivada de los daños causados por entes inteligentes como productos defectuosos, que recogen tanto el Libro Blanco sobre Inteligencia Artificial como el Informe adjunto al mismo. Ambos textos ponen en relación la normativa sobre seguridad de los productos y la de responsabilidad civil, que se intenta clarificar en este estudio en su aplicación particular a los daños causados por las máquinas inteligentes, analizando las propuestas de reforma que formula la Comisión desde el marco del ordenamiento jurídico español.
Palabras clave: inteligencia artificial; robot inteligente; responsabilidad civil; productos defectuosos; seguridad de los productos.
Abstract: The aim of this paper is focused on the analysis of the main controversies related to civil liability derived from damages caused by intelligent entities such as defective products, which include both the White Paper on Artificial Intelligence and the Report attached to it. Both texts relate the regulations on product safety and civil liability, which this study attempts to clarify in its particular application to damage caused by intelligent machines, analyzing the reform proposals made by the Commission from the framework of the Spanish legal system.
Key Words: artificial intelligence; intelligent robot; civil liability; defective product; product safety.
Sumario:
I. Contextualización previa.
1. Antecedentes: las sucesivas iniciativas de la Unión Europea.
2. Los objetivos del Libro Blanco.
II. El Libro Blanco.
1. Un ecosistema de confianza: un marco regulador claro en la UE.
2. Ámbito y definición de inteligencia artificial a los efectos del Libro Blanco.
3. Supervisión humana, destinatarios y cumplimiento y ejecución de los requisitos.
III. El informe de la comisión sobre las repercusiones en materia de seguridad y responsabilidad civil de la inteligencia artificial, el internet de las cosas y la robótica.
1. La seguridad de los productos.
2. La responsabilidad civil.
IV. La aplicación de la normativa española sobre productos defectuosos a los entes inteligentes y propuestas de mejora legislativa.
1. La distinción entre producto y servicio.
A) El programa informático autónomo como producto.
B) El creador del programa como productor.
C) El programador como prestador de servicios.
2. El problema de la prueba.
A) El concepto de producto inseguro.
B) La carga de la prueba del defecto.
C) La prueba de la relación de causalidad.
D) Impredecibilidad del sistema inteligente y presunción de defectuosidad.
E) La prueba de la culpa y la culpa de la IA.
3. El concepto de puesta en circulación del producto y los riesgos del desarrollo.
4. La determinación del modelo de responsabilidad, con un enfoque basado en el riesgo y la responsabilidad objetiva.
V. Recapitulación: una breve reflexión final sobre el Libro Blanco.
Referencia: Actualidad Jurídica Iberoamericana Nº 14, febrero 2021, ISSN: 2386-4567, pp. 438-487.
Revista indexada en SCOPUS, REDIB, ANVUR, LATINDEX, CIRC, MIAR.
I. CONTEXTUALIZACIÓN PREVIA.
1. Antecedentes: las sucesivas iniciativas de la Unión Europea.
Como en tantos otros ámbitos, la prolífica actividad documental de la Unión Europea en materia de Inteligencia Artificial (IA) resulta tan abrumadora como inabordable. Se nos hace tarea poco menos que ilusoria compilar y sistematizar, de forma exhaustiva, la ingente cantidad de documentos de diversa índole – directivas, resoluciones, informes, dictámenes, comunicaciones…-, emitida por muy distintos órganos e instituciones europeos sobre cuestiones relacionadas con este tema. En realidad, tan hercúleo empeño, nos parece a la par inalcanzable e innecesario.
A los efectos del estudio que aquí queremos exponer, entendemos suficiente recordar los pasos más importantes emprendidos en este terreno en la órbita comunitaria, desde el conocido Proyecto RoboLaw de 2012, hasta la aparición del Libro Blanco sobre inteligencia artificial. En este “iter” debe destacarse, entre los documentos más significativos emitidos por la Unión Europea, la Resolución del Parlamento Europeo de 16 de febrero de 2017, con recomendaciones destinadas a la Comisión sobre normas de Derecho civil sobre robótica, que, puede decirse, marcó un punto de inflexión en el tratamiento de la materia de cara a las futuras líneas de actuación, y sentó las bases de las reflexiones y actuaciones que posteriormente se han emprendido en los ámbitos de la seguridad y la responsabilidad civil. Por medio de esta resolución, el Parlamento pide a la Comisión que presente una propuesta de instrumentos legislativos y no legislativos sobre responsabilidad, en el entendimiento de que el marco normativo vigente resulta insuficiente para atender las especificidades de la robótica, y propone reflexionar sobre la posibilidad de conceder personalidad jurídica a los robots inteligentes. Por lo que se refiere al futuro instrumento legislativo, en la consideración del Parlamento la Comisión debe determinar si aplicar el enfoque de la responsabilidad objetiva o el de gestión de riesgos e insta a la Comisión a presentar una propuesta de Directiva relativa a las normas de legislación civil en materia de robótica siguiendo las recomendaciones detalladas que figuran en su propio Anexo, en el que se incluye una Carta sobre Robótica.
Con posterioridad, distintos organismos europeos han ido emitiendo dictámenes e informes de carácter específico o en sectores concretos, así como documentos de contenido más general u omnicomprensivo. Escaso tiempo después de la Resolución del Parlamento, el Comité Económico y Social Europeo (CESE) emitió el Dictamen sobre “Inteligencia artificial: las consecuencias de la inteligencia artificial para el mercado único (digital), la producción, el consumo, el empleo y la sociedad”, de 31 de mayo de 2017, respondiendo a algunas de las cuestiones señaladas por el Parlamento. Por medio de este documento, el CESE revela un decidido compromiso por la defensa de una visión de la IA basada en el control humano y el claro rechazo a la introducción de cualquier tipo de personalidad jurídica para los robots.
Entre los documentos más generales debe destacarse la Comunicación de la Comisión al Parlamento Europeo, al Consejo Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, de 25 de abril de 2018, “Inteligencia artificial para Europa”, que parte de la necesidad de que el desarrollo y utilización de la IA se enmarque en un entorno de confianza y se establezca la obligación de rendir cuentas. La Comisión anuncia en esta Comunicación la publicación de un documento de orientación para la interpretación de la Directiva 85/374/CEE, sobre responsabilidad por los daños causados por productos defectuosos, así como un informe acerca de los marcos en materia de responsabilidad y de seguridad en relación con la IA, el Internet de las cosas y la robótica, donde se analicen las repercusiones de carácter general y las posibles lagunas y se expongan las directrices correspondientes.
Más específicamente, la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité económico y Social Europeo y al Comité de las Regiones sobre “La construcción de una economía de los datos europea”, de 10 de enero de 2017, reflexiona sobre la aplicación de las actuales normas sobre responsabilidad en la economía de los datos a los productos y servicios basados en tecnologías emergentes como el internet de las cosas (IoT). Entre otras cuestiones, la Comisión se plantea la dificultad de aplicar la Directiva 85/347/CEE en el contexto del IoT y los sistemas conectados autónomos –por ejemplo, robóticos-, por distintos motivos, entre ellos: el carácter autónomo de estas tecnologías, las características de estos sistemas –una compleja cadena de valor del producto o servicio, con interdependencia entre proveedores, fabricantes y otros terceros-, y la incertidumbre en cuanto a la naturaleza jurídica de los dispositivos del IoT, cuestionándose si se pueden conceptuar como productos, servicios o productos asociados a la venta de un servicio.
En respuesta a lo anterior se publica el Informe de la Comisión al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo, de 7 de mayo de 2018, sobre la aplicación de la Directiva del Consejo relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en materia de responsabilidad por los daños ocasionados por productos y servicios defectuosos (85/374/CEE), centrado en la evaluación de la efectividad de esta normativa en el ámbito de la inteligencia artificial. Este informe concluye que la evaluación ha demostrado que la Directiva relativa a la responsabilidad por productos defectuosos sigue siendo una herramienta adecuada.
Entre los últimos documentos de la Comisión Europea debe señalarse la Comunicación al Parlamento Europeo, al Consejo, al Comité Económico y Social y al Comité de las Regiones, de 8 de abril de 2019, “Generar confianza en la inteligencia artificial centrada en el ser humano”, relativa a las directrices éticas que deben regir una IA fiable, para cuya elaboración la Comisión creó un grupo de expertos de alto nivel sobre IA, que publicó un primer borrador sobre directrices éticas en diciembre de 2018, presentando posteriormente un documento revisado en marzo del siguiente año.
Queremos finalmente mencionar el más reciente instrumento “Informe sobre responsabilidad derivada de la inteligencia artificial y otras tecnologías digitales emergentes”, emitido por el Grupo de Expertos sobre responsabilidad y nuevas tecnologías de la Comisión Europea (“Liability for Artificial Intelligence and other emerging digital technologies, Report from the Expert Group on Liability and New Technologies”), publicado en noviembre de 2019. Este Grupo de Expertos fue creado por la Comisión Europea en marzo de 2018 -para trabajar desde dos formaciones, una sobre la Directiva sobre productos defectuosos y la otra sobre nuevas tecnologías-, a los fines de evaluar si los actuales esquemas de responsabilidad civil dan respuesta a las nuevas realidades provocadas por la inteligencia artificial y robótica de última generación. Entre las conclusiones más relevantes de este Informe sobre el diseño que deben adoptar los sistemas de responsabilidad civil, se considera que deben combinarse regímenes de responsabilidad objetivos y subjetivos. Así, el operador de un robot inteligente que incrementa el riesgo de daños a terceros en ámbitos públicos (como vehículos autónomos), debe responder bajo un régimen de responsabilidad objetiva estricto, mientras que el usuario del robot que no incrementa este riesgo de daño (artilugios de una casa inteligente, por ejemplo) respondería por incumplimiento de su deber de diligencia; también se entiende que quien usa una tecnología que conlleva cierto grado de autonomía, no debería ser considerado menos responsable por el daño causado que si lo produce un auxiliar de cumplimiento humano. Por otra parte, el Informe culmina afirmando la falta de necesidad de otorgar personalidad jurídica a los entes autónomos, en tanto la responsabilidad por los daños que estos causen ha de ser atribuida en todo caso a una persona física o jurídica.
2. Los objetivos del Libro Blanco.
Con estos antecedentes, en febrero de 2020 la Unión Europea publica su “Libro Blanco sobre inteligencia artificial, un enfoque europeo orientado a la excelencia y la confianza”, documento que tiene por finalidad formular alternativas políticas para alcanzar los dos objetivos sobre los que se basa la guía que respalda la Comisión Europea: promover la adopción de la inteligencia artificial (IA) y abordar los riesgos vinculados a los usos de esta nueva tecnología. El Libro Blanco se traduce en una invitación de la Comisión a los diversos colectivos interesados en esta materia –desde los Estados y otras instituciones europeas, industria, interlocutores sociales, organizaciones de la sociedad civil e investigadores, hasta el público en general-, a que presenten sus opiniones respecto de las opciones y propuestas que en él se contienen, contribuyendo así a la futura toma de decisiones de la Comisión en este ámbito de tan actual relevancia. Dicha consulta estuvo abierta hasta mayo de 2020.
Desde los primeros documentos emitidos por los distintos órganos de la Unión Europea sobre este tema, se ha insistido en la necesidad de que la IA, dado el trascendental impacto que puede tener en nuestra sociedad, suscite confianza en la ciudadanía, por lo que resulta primordial que su utilización se asiente en los valores y derechos fundamentales que la caracterizan, como la dignidad humana y la protección de la privacidad; no en vano el título de la Comunicación de la Comisión, anteriormente mencionada, “Generar confianza en la inteligencia artificial centrada en el ser humano”. El Libro Blanco pivota, así, sobre una visión antropocéntrica de la IA, que solo puede alcanzarse garantizando una participación adecuada de las personas en las aplicaciones inteligentes de riesgo elevado.
Sobre estas premisas, el Libro Blanco ofrece alternativas políticas para facilitar un desarrollo de la inteligencia artificial seguro y fiable en Europa, apoyándose en dos pilares básicos: a) un marco político por el que se establecen medidas para armonizar los esfuerzos a escala regional, nacional y europea, al objeto de movilizar recursos para alcanzar un “ecosistema de excelencia”; y b) los elementos clave de un futuro marco normativo para la IA en Europa que genere un “ecosistema de confianza” exclusivo, que vele especialmente por el cumplimiento de las normas de protección de los derechos fundamentales y los derechos de los consumidores.
Además de la Estrategia Europea de Datos que acompaña al Libro Blanco, aparece adjunto al mismo el “Informe de la Comisión sobre las repercusiones en materia de seguridad y responsabilidad civil de la inteligencia artificial, el internet de las cosas y la robótica”, que tiene por finalidad determinar y analizar las derivaciones de carácter general y los posibles resquicios jurídicos de los marcos en materia de responsabilidad civil y de seguridad en estos ámbitos, que sirven como elemento de debate y forman parte de una consulta más amplia de las partes interesadas.
Con tan amplio campo de estudio, el alcance de este trabajo ha de centrarse, obviamente, en alguna cuestión específica. La Comisión dedica buena parte del Libro Blanco a reflexionar sobre la adecuación de la normativa europea sobre productos defectuosos, centrándose el Informe que lo acompaña en las principales cuestiones que han de ser abordadas por el legislador de la Unión Europea para alcanzar la máxima seguridad de los sistemas inteligentes y determinar eficazmente las responsabilidades que se deriven por los daños que estos causen. En este espacio concreto, el objetivo básico de nuestro estudio no será otro que el de exponer las principales controversias relativas a la responsabilidad civil derivada de los daños causados por entes inteligentes como productos defectuosos que tanto el Libro Blanco como el Informe ponen sobre la mesa, para intentar darles respuesta a través de la regulación vigente en España. Ambos textos ponen en relación la normativa sobre seguridad de los productos y la de responsabilidad civil, que intentaremos clarificar aquí en su aplicación particular a los daños causados por las máquinas inteligentes, analizando las propuestas de reforma que formula la Comisión desde el marco del ordenamiento jurídico español.
II. EL LIBRO BLANCO.
1. Un ecosistema de confianza: un marco regulador claro en la UE.
Asumiéndose la falta de confianza como uno de los obstáculos más peligrosos para el desenvolvimiento de la IA, la Comisión Europea ha ido adoptando distintos mecanismos para desvanecer dicha desconfianza entre los consumidores y en el ámbito de los distintos sectores económicos implicados, aprobando un Plan coordinado con los Estados miembros para armonizar actuaciones, además de crear un grupo de expertos de alto nivel para recabar reflexiones sobre la materia.
Pero, junto a este conjunto de directrices no vinculantes, se recuerda en el Libro Blanco que se hace preciso contar con un marco regulador claro, que genere la definitiva confianza de consumidores y empresas en la adopción de la IA, para acelerar su acogimiento y desarrollo sin los actuales miedos y reparos. Este entorno, también se sostiene, debe dejar margen para abordar su desarrollo en el futuro, teniendo en cuenta la vertiginosidad con la que se conducen los avances en el campo de la inteligencia artificial. Se concluye que la incapacidad por parte de la Unión Europea de ofrecer un enfoque global, podría provocar “un riesgo real de fragmentación del mercado interior, que pondría en peligro los objetivos de la confianza y la seguridad jurídica, así como el de la adopción de la IA en el mercado”.
A juicio de la Comisión, este marco regulador debe centrarse en los mecanismos de minimización de los distintos riesgos de sufrir daños, especialmente los más significativos, como los que afectan a la aplicación de las normas diseñadas para proteger los derechos fundamentales y la seguridad, así como las concernientes a la responsabilidad civil. La Comisión es consciente de que la falta de disposiciones claras relativas a los requisitos y características de las tecnologías de IA –particularmente la trazabilidad de las decisiones-, puede provocar inseguridad jurídica entre las empresas, a la vez que dificultar a las personas perjudicadas recibir las correspondientes indemnizaciones por los daños sufridos en aplicación de la normativa sobre responsabilidad civil vigente en la Unión Europea.
Concretamente, en el ámbito de la Directiva 85/374/CEE, sobre responsabilidad por los daños causados por productos defectuosos, aun señalándose al fabricante como responsable, la Comisión evidencia que puede resultar difícil demostrar, tal como exige la norma, la existencia del defecto en el producto, el daño generado y la relación de causalidad entre ambos. Se considera que la dificultad para hacer un seguimiento retrospectivo de las decisiones adoptadas mediante los sistemas inteligentes en relación a los derechos fundamentales, es predicable tanto respecto de los problemas de seguridad como de responsabilidad civil. En definitiva, la Comisión concluye que, posiblemente, “las personas que hayan sufrido daños no dispongan de un acceso efectivo a las pruebas necesarias para llevar un caso ante los tribunales, por ejemplo, y tengan menos probabilidades de obtener una reparación efectiva en comparación con las situaciones en las que los daños sean causados por tecnología tradicionales. Estos riesgos aumentarían a medida que se generalizara el uso de la IA”.
En conclusión, por medio del Libro Blanco la Comisión observa que, aunque la legislación de la Unión Europea resulta “a priori” plenamente aplicable con independencia del uso de la inteligencia artificial, ello no es óbice para reconocer la importancia de realizar una evaluación sobre su adecuación para abordar los riesgos que generan los sistemas inteligentes o la necesidad de adoptar instrumentos legales específicos. En todo caso, la Comisión entiende que conviene mejorar el marco normativo para abordar los siguientes riesgos y situaciones:
a) Aplicación y ejecución efectivas de la legislación nacional y de la Unión Europea en vigor, a cuyo fin puede resultar necesario adaptar o clarificar la normativa vigente en algunos sectores, como es el caso de la responsabilidad civil.
b) Limitaciones del ámbito de aplicación de la legislación existente de la Unión Europea, concretamente en relación a la aplicabilidad de la normativa sobre seguridad de los productos a los programas informáticos autónomos (excepto los que cuentan con normas específicas), y de la imposibilidad de aplicar “a priori” la legislación general sobre seguridad a los servicios y, por tanto, tampoco a los basados en tecnologías inteligentes (como los servicios sanitarios, financieros o de transporte).
c) Cambios en la funcionalidad de los sistemas de IA, particularmente importantes en el caso de los sistemas que requieren actualizaciones informáticas frecuentes o basadas en el aprendizaje automático. La normativa sobre seguridad se centra en los riesgos existentes en el momento de la comercialización, lo que resulta pobre a los efectos de tratar los riesgos derivados de la actualización constante del producto.
d) Incertidumbre en cuanto a la imputación de responsabilidad entre los distintos agentes económicos de la cadena de suministro, en especial en el supuesto de programas de IA incorporados al producto, una vez comercializado, por alguien que no es el productor. La legislación de la UE sobre responsabilidad civil por productos defectuosos se ocupa de la responsabilidad de los productores, dejando a las normas nacionales la determinación de la responsabilidad de los demás participantes en la cadena de suministro.
e) Cambios en el concepto de seguridad, en la medida en que la incorporación de IA en los productos y servicios puede generar riesgos que la legislación europea no aborda de manera explícita en la actualidad.
En definitiva, las preocupaciones del Libro Blanco en cuanto a la mejora del marco normativo se centran, resumidamente, en cinco cuestiones: a) la dificultad de demostrar el defecto del producto; b) la aplicabilidad de la normativa general de seguridad a los programas informáticos autónomos; c) los riesgos derivados de las actualizaciones constantes de los productos; d) la imputación de responsabilidad a los distintos agentes de la cadena de suministro; y e) el cambio del concepto de seguridad. Estos puntos son tratados con mayor profundidad en el referido Informe sobre las repercusiones en materia de seguridad y responsabilidad civil de la inteligencia artificial, el internet de las cosas y la robótica, adjunto al Libro Blanco.
De entrada, la Libro Blanco pone especial énfasis en la necesidad de la UE de adoptar una postura normativa conjunta, llegando a la conclusión de que, además de las posibles adaptaciones de la legislación vigente, puede resultar necesaria una nueva normativa específica sobre inteligencia artificial, al objeto de acompasar el marco jurídico europeo a la evolución tecnológica y comercial tanto actual como futura.
2. Ámbito y definición de inteligencia artificial a los efectos del Libro Blanco.
Al objeto de elaborar un futuro marco normativo europeo específico sobre inteligencia artificial, debe partirse de la determinación de su ámbito de aplicación, adoptándose la hipótesis de que debe resultar aplicable tanto a los productos como a los servicios basados en IA. Ello nos lleva a la necesidad de delimitar conceptos como “inteligencia artificial” o “robot inteligente”, del que se han ido realizando aproximaciones en diversos textos europeos.
Así, para la Comisión Europea, en su Comunicación “Inteligencia artificial para Europa”, de abril de 2018, “El término «inteligencia artificial” (IA) se aplica a los sistemas que manifiestan un comportamiento inteligente, pues son capaces de analizar su entorno y pasar a la acción –con cierto grado de autonomía– con el fin de alcanzar objetivos específicos. Los sistemas basados en la IA pueden consistir simplemente en un programa informático (p. ej. asistentes de voz, programas de análisis de imágenes, motores de búsqueda, sistemas de reconocimiento facial y de voz), pero la IA también puede estar incorporada en dispositivos de hardware (p. ej. robots avanzados, automóviles autónomos, drones o aplicaciones del internet de las cosas)”.
En esta materia, desconocida técnicamente por los ciudadanos en general, solemos ser bastante promiscuos en la utilización de los términos, haciendo coincidir a veces inteligencia artificial, máquina y robot, que ciertamente pueden concurrir en una sola entidad, pero que de igual modo pueden divergir, especialmente si lo que se pretende es ofrecer conceptos más estrictos o específicos. Así, la inteligencia artificial puede tomar distintas formas, ya que puede desarrollarse a través de una máquina virtual y por medio de una máquina física, llegándose en ocasiones a llamar robot a ambas entidades.
Particularmente, el robot se encuentra dotado de un ente físico o tangible al mismo tiempo que de un sistema de software que procesa información y configura sus funciones, que comprende el conjunto de los componentes lógicos necesarios que hacen posible la realización de tareas específicas, en contraposición a los componentes físicos. En el robot confluye, pues, la actuación de agentes inteligentes de software y de hardware.
Ante este desconcierto conceptual, en su Resolución de 16 de febrero de 2017, el Parlamento pide a la Comisión que proponga definiciones europeas comunes de sistema ciberfísico, sistema autónomo, robot autónomo inteligente y sus distintas subcategorías, siempre partiendo de cinco características básicas: 1) capacidad de adquirir autonomía mediante sensores y/o mediante el intercambio de datos con su entorno (interconectividad) y el intercambio y análisis de dichos datos; 2) capacidad de autoaprendizaje a partir de la experiencia y la interacción (criterio facultativo); 3) un soporte físico mínimo; 4) capacidad de adaptar su comportamiento y acciones al entorno; y 5) inexistencia de vida en sentido biológico.
Retomando la delimitación del concepto a los efectos del Libro Blanco, en él se clarifica que la inteligencia artificial se integra principalmente de dos elementos: los datos y los algoritmos. Estos últimos son entrenados “para inferir determinados modelos a partir de un conjunto de datos, a fin de determinar las acciones que se requieren para alcanzar un objetivo determinado. Los algoritmos pueden seguir aprendiendo mientras se utilizan.
Aunque los productos basados en IA pueden funcionar de manera autónoma a partir de su percepción del entorno y sin seguir un conjunto predefinido de instrucciones, su comportamiento lo definen y restringen en gran medida sus desarrolladores. Los objetivos los definen y programan las personas, y los sistemas de IA deben optimizarse para alcanzarlos”.
Sobre la base de la necesaria actualización del acervo jurídico de la UE en aras de la protección de los consumidores, el Libro Blanco parte de una premisa básica: el nuevo marco regulador en materia de IA debe ser eficaz para alcanzar sus objetivos sin ser excesivamente prescriptivo, al objeto de no agravar desproporcionadamente la carga que deban soportar las empresas (en especial las pymes). A tal fin, la Comisión se decanta por seguir un enfoque basado en el riesgo, que, en su opinión, garantiza que la intervención reguladora sea proporcionada. A estos efectos, deben establecerse los criterios para determinar cuándo nos encontramos ante un sistema de IA de riesgo elevado o no, que en la consideración de la Comisión dependerá tanto del sector como del uso previsto del mismo. Ello no es óbice para que las aplicaciones que no se consideren de riesgo elevado queden sujetas a la normativa vigente de la UE. En cualquier caso, el propio Libro Blanco especifica que la legislación de la Unión puede ofrecer categorías de riesgos distintas a estas, como sucede en el caso de la seguridad de los productos.
3. Supervisión humana, destinatarios y cumplimiento y ejecución de los requisitos.
Como se ha adelantado, el Libro Blanco pone especial énfasis en la necesidad de contar con una IA fiable, ética y antropocéntrica, lo que solo puede conseguirse asegurando una participación adecuada del ser humano en las aplicaciones de IA de riesgo elevado. La intervención humana en el desarrollo de un sistema de inteligencia artificial puede implementarse –expone la Comisión- de distintos modos, particularmente teniendo en cuenta el momento o fase en que se realiza la supervisión: a) el resultado del sistema de IA no es efectivo hasta que una persona no lo haya validado; b) es inmediatamente efectivo, pero se garantiza la intervención humana posterior; c) se realiza un seguimiento del sistema de IA mientras funciona y es posible intervenir en tiempo real y desactivarlo; y d) en la fase de diseño, se imponen restricciones operativas al sistema de IA.
Finalmente, las dos últimas cuestiones abordadas por el Libro Blanco que nos interesa destacar son las relativas a los destinatarios y al cumplimiento y ejecución de los requisitos jurídicos aplicables. En cuanto al primer punto, se plantea la cuestión de cómo repartir las obligaciones entre los agentes económicos que participen en el proceso, entre ellos, el desarrollador, el implementador (la persona que utiliza un producto o servicio provista de IA), productor, distribuidor o importador, proveedor de servicios, usuario profesional o particular. En un futuro marco regulador, la Comisión considera que cada obligación debe dirigirse a la persona o personas que se encuentren en mejor posición para abordar todo posible riesgo, conclusión que poco aporta de tan evidente; tanto, como obvio resulta el ejemplo que quiere representar tal aseveración: “mientras que los desarrolladores de IA pueden ser los que estén en mejor posición para abordar los riesgos derivados de la fase de desarrollo, su capacidad de controlar los riesgos durante la fase de uso puede ser más limitada. En este caso, el implementador debe ser objeto de la obligación correspondiente”.
A continuación, no obstante, el texto también precisa que ello debe entenderse sin perjuicio de la determinación de la responsabilidad civil que corresponda a cada cual por el daño causado. Así, en atención a la normativa europea sobre responsabilidad por productos, el productor será responsable de los daños causados por los productos defectuosos, sin perjuicio de la indemnización a cargo de otros agentes que se determine por la legislación nacional de que se trate.
En relación, por último, al cumplimiento de los requisitos aplicables a sistemas de IA de elevado riesgo, la Comisión considera preciso la implementación de un control objetivo previo de conformidad, que puede incluir procedimientos de ensayo, inspección o certificación, así como controles de los algoritmos y de los conjuntos de datos utilizados en la fase de desarrollo de la aplicación inteligente. Debe tenerse en cuenta en cualquier caso la capacidad de aprendizaje de la experiencia de los sistemas inteligentes, lo que puede requerir evaluaciones reiteradas a lo largo de la vida útil de cada sistema.
En definitiva, el Libro Blanco poco o nada nuevo dice, traduciéndose en una mera reflexión sobre posibles deficiencias legales y en una declaración de intenciones. Por una parte, en él se reflejan algunas de las directrices que ya se habían ido recogiendo en los documentos anteriores; y, por otra, no ofrece respuesta a ninguna de las cuestiones que plantea pues, en realidad, su misión solo es servir de punto de partida para la consulta pública sobre las propuestas o sugerencias que trata de poner sobre la mesa. Fiel reflejo de ello es el apartado que finalmente dedica a conclusiones, que se limita básicamente a abrir dicha consulta pública a la sociedad civil, la industria y el mundo académico para que, según declara, ofrezcan respuestas concretas en torno a un enfoque europeo sobre la IA. Esta consulta permitirá –concluye-, desarrollar un diálogo amplio con todas las partes interesadas que servirá de base a los siguientes pasos que ha de seguir la Comisión. Y vuelta a empezar.
III. EL INFORME DE LA COMISIÓN SOBRE LAS REPERCUSIONES EN MATERIA DE SEGURIDAD Y RESPONSABILIDAD CIVIL DE LA INTELIGENCIA ARTIFICIAL, EL INTERNET DE LAS COSAS Y LA ROBÓTICA.
La excesiva generalidad o la falta de concreción de ideas nuevas en el Libro Blanco vienen a ser paliadas, en parte, por el Informe de la Comisión sobre las repercusiones en materia de seguridad y responsabilidad civil de la inteligencia artificial, el internet de las cosas y la robótica, adjunto al mismo. Parece que algunas reflexiones reflejadas en el Libro Blanco, que sobrevuelan en la mente de la Comisión, toman tierra en este Informe, que se despliega en tres grandes puntos: uno introductorio, un segundo apartado dedicado a la seguridad y, finalmente, un tercer punto relativo a la responsabilidad civil.
El Informe, según se adelanta en la introducción, “tiene por finalidad determinar y analizar las repercusiones de carácter general y los posibles resquicios jurídicos de los marcos en materia de responsabilidad civil y seguridad de la IA, el internet de las cosas y la robótica, sin la pretensión de ofrecer una perspectiva exhaustiva de la normativa vigente en la materia”. La sección de seguridad se basa en la evaluación de la Directiva sobre máquinas y la de responsabilidad civil en la de la Directiva sobre productos defectuosos, contando en ambos casos con la colaboración y consulta a los grupos de expertos y partes interesadas.
1. La seguridad de los productos.
El Informe parte de las características de estas tecnologías que las hacen especialmente complejas y alejadas del control humano, como son la conectividad, la autonomía y la dependencia de datos. La pluralidad de agentes intervinientes en la cadena de suministro, su código abierto a actualizaciones y mejoras y la opacidad de la toma de decisiones en los sistemas de IA, nos conducen a la dificultad de predecir el comportamiento de los productos inteligentes y, con ello, de determinar la causa de los daños que hayan podido causar.
Se pone de manifiesto en el Informe el carácter tecnológicamente neutro del marco normativo europeo sobre seguridad de los productos -Directiva 2001/95/CE sobre seguridad general de los productos, normativa sectorial complementaria y normativa armonizada-, lo que conlleva su aplicabilidad a los productos que incorporan IA; a ello debe añadirse los actos normativos posteriores en sectores diversos, como el sanitario o de los automóviles, que ya han tenido en cuenta de forma específica aspectos relacionados con las tecnologías digitales.
Pieza clave en el tema que abordamos aquí es el concepto de seguridad, que necesariamente ha de relacionarse con el uso del producto. En este aspecto, el Informe especifica que este uso en general abarca no solo el previsto sino también el previsible y, en algunos casos, como en la Directiva sobre máquinas, incluso el mal uso razonablemente previsible. A estos efectos, la Comisión pone de manifiesto que el concepto de seguridad de la normativa europea es, en consecuencia, amplio al objeto de la mayor protección de los consumidores y usuarios. Debe entenderse que este concepto contempla todo tipo de riesgos derivados del producto, incluidos los cibernéticos y los derivados de la pérdida de conexión de los productos; de ahí que el Informe proponga la posibilidad de adoptar disposiciones explícitas relacionadas con el ámbito de aplicación de los actos normativos de la Unión pertinentes.
La normativa de la Unión prevé asimismo la obligación a cargo de los productores de evaluar el riesgo del uso del producto a lo largo de su vida útil, debiendo incluir además instrucciones y advertencias en su utilización para los usuarios. Dada la imprevisibilidad que en ocasiones lleva implícito el comportamiento de un sistema inteligente, el Informe contempla la posibilidad de exigir nuevas evaluaciones de los productos capaces de aprender autónomamente, así como prever explícitamente requisitos específicos de supervisión humana en la toma de decisiones, desde su diseño y durante todo el ciclo de vida de los productos y sistemas de IA.
Por otra parte, también propone el Informe incluir como obligaciones explícitas de los productores la valoración del daño psicológico que sus productos –en particular los robots con IA humanoide- puedan causar a los usuarios, especialmente a colectivos vulnerables como personas mayores. Se entiende que el producto seguro es el que garantiza un riesgo mínimo para la salud de las personas, incluyendo en este concepto de salud tanto la física como la mental.
Otro aspecto que no trata específicamente la normativa europea es el riesgo para la seguridad derivado de los datos erróneos, de ahí que en el Informe se platee la necesidad de estudiar la inclusión de requisitos específicos en la fase de diseño de los productos y mecanismos para garantizar la calidad de los datos cuando se usan con sistema de IA.
Igualmente, dada la opacidad que caracteriza a algunos sistemas de IA, se considera necesario contemplar la posibilidad de introducir requisitos de transparencia de los algoritmos, solidez y rendición de cuentas y, cuando proceda, supervisión humana. Se propone imponer a los desarrolladores de los algoritmos la obligación de revelar los parámetros de diseño y los metadatos de los conjuntos de datos si se producen accidentes.
En el caso de sistemas complejos, por la interconexión que significan entre los distintos productos que los componen, el fabricante de un dispositivo debe prever los efectos que razonablemente se puedan derivar en la seguridad de otros productos.
Por lo que se refiere a la actualización de los programas informáticos, la normativa de la Unión Europea sobre seguridad de los productos tiene en cuenta los riesgos derivados de los programas integrados en un producto en el momento de su comercialización y de sus actualizaciones posteriores previstas por el fabricante, pero no se establecen requisitos específicos para los programas informáticos autónomos. En este sentido, el Informe también sostiene que puede resultar necesario atribuir a los fabricantes la obligación de ofrecer funcionalidades para evitar la introducción de programas informáticos que afecten a la seguridad durante la vida útil de los productos inteligentes.
Finalmente, el Informe se manifiesta en materia de seguridad sobre las cadenas de valor complejas. Aunque la responsabilidad del productor respecto de la seguridad del producto final ha resultado ser adecuada para las cadenas de valor complejas en la actualidad, se debería contar con normas específicas que exijan explícitamente la cooperación entre los agentes económicos de la cadena de suministro y los usuarios para aportar seguridad en las cadenas de valor más complejas. Concretamente, se sostiene que cada agente que influya en la seguridad del producto (por ejemplo, productores de programas informáticos) y los usuarios (al modificar el producto) asumirían su responsabilidad y proporcionarían al siguiente agente de la cadena la información y las medidas necesarias.
Ineludiblemente, estas propuestas de modificaciones en el marco legal relativo a la seguridad deben ponerse en relación con la normativa sobre responsabilidad por los daños causados por productos defectuosos.
2 La responsabilidad civil.
Al igual que en otros puntos anteriormente referidos, en el ámbito de la responsabilidad el Informe de la Comisión adjunto al Libro Blanco parte de la normativa europea vigente en la materia, destacando, concretamente, la aplicación paralela de la Directiva 85/374/CEE sobre responsabilidad por los daños causados por productos defectuosos –que armonizó la responsabilidad civil de los fabricantes de productos defectuosos-, y otros regímenes nacionales no armonizados. Así, junto a la responsabilidad objetiva del productor que introduce la citada Directiva, las normas nacionales de responsabilidad civil proporcionan a las víctimas de estos daños acciones indemnizatorias basadas en la culpa, así como sin fundamento en ella. Trasladando esta premisa al campo de los productos y servicios basados en sistemas inteligentes, el Informe, tal como hace el Libro Blanco, también reincide en planteamientos obvios, como señalar la importancia de evitar que los perjudicados por los daños causados por estas tecnologías no gocen de un nivel de protección inferior al que tienen respecto de otros productos y servicios similares, “porque podría disminuir la aceptación social de estas tecnologías emergentes y generar vacilación en cuanto a su uso”.
El objeto del Informe en este punto no es otro, pues, que poner de manifiesto algunas de las dificultades que las nuevas tecnologías plantean para la normativa vigente, proponiendo posibles soluciones.
En primer lugar, se evidencia la falta de claridad en la distinción entre producto y servicio, especialmente en lo concerniente a la categorización de los programas informáticos, que a veces pueden considerarse partes componentes de un producto físico, y en otras ocasiones funcionan autónomamente. La Comisión propone, por ello, mejorar la definición de producto y el ámbito de aplicación de la Directiva 85/374/CEE.
En segundo lugar, debido a la complejidad de las aplicaciones inteligentes –integradas en entornos de internet de las cosas complejos-, puede resultar muy dificultoso evaluar dónde se puede producir el perjuicio e identificar al responsable. La Comisión se plantea, por ello, en qué medida puede ser necesario invertir la carga de la prueba exigida por las normas nacionales en materia de responsabilidad civil para el caso de los daños causados por el funcionamiento de las aplicaciones de IA. Siguiendo el informe del Grupo de Expertos sobre responsabilidad y nuevas tecnologías, se apunta que podría paliarse tal dificultad probatoria vinculando la carga de la prueba al cumplimiento de obligaciones específicas en materia de ciberseguridad o de seguridad establecidas por la ley; así, si no se cumple con dicha normativa, podría modificarse la carga de la prueba exigida por las normas nacionales por lo que se refiere a la culpa y la causalidad. A la luz de la Directiva 85/374/CEE, sin embargo, un producto que no cumple con las normas de seguridad obligatorias se considera defectuoso, con independencia de la culpa del productor.
En tercer lugar, el Informe evidencia la falta de claridad normativa en cuanto a los daños derivados de violaciones de la ciberseguridad del producto. En el marco de la Directiva 85/374/CEE, la Comisión reflexiona sobre la posibilidad de que los productores invoquen las cláusulas de exoneración relativas a la aparición del defecto con posterioridad a la puesta en circulación del producto o a los riesgos del desarrollo; a ello debe añadirse la reducción de responsabilidad del fabricante que puede acaecer si el consumidor no descargó las actualizaciones oportunas a efectos de la seguridad del producto. Se concluye que, en la medida en que el concepto de uso razonablemente previsible y las cuestiones relativas a la negligencia concurrente, pueden proliferar en los sistemas dotados de inteligencia artificial, los usuarios podrían ver mermadas sus posibilidades de verse compensados por los daños sufridos como consecuencia del producto defectuoso.
En cuarto lugar, en el marco de la autonomía y opacidad que caracteriza al ente inteligente (efecto “caja negra”), en el Informe se sostiene que, dada la dificultad de la víctima para acceder al algoritmo y a los datos, puede suceder que la presentación de la demanda de responsabilidad civil le resulta inviable. Sigue sin clarificarse, observa la Comisión, cómo demostrar la culpa de un sistema de IA que haya actuado autónomamente, ni en qué consiste la culpa de una persona que se sirve del mismo. En todo caso, es principio rector de la normativa sobre seguridad de los productos y responsabilidad civil en la Unión Europea que el productor garantice la seguridad de los productos que comercializa a lo largo de su ciclo vital y de acuerdo al uso razonablemente esperable del mismo; las funcionalidades de la IA no son óbice para que exista un derecho a tener expectativas de seguridad respecto de todos los productos. Debe esclarecerse, según el Informe, en qué condiciones las funcionalidades de aprendizaje automático pueden ampliar la responsabilidad civil del productor y en qué medida debe haber previsto el productor algunos cambios. La Comisión propone, a estos efectos, revisar el concepto de “puesta en circulación”, en coordinación con los cambios relativos al marco normativo sobre seguridad de la Unión. Ello tendría por finalidad clarificar quién es el responsable civil de los cambios introducidos en el producto.
Finalmente, observa el Informe que los problemas que la autonomía y la opacidad plantean a los marcos jurídicos nacionales en materia de responsabilidad civil podrían solventarse siguiendo un enfoque basado en el riesgo. La Comisión sostiene en este sentido que los regímenes de responsabilidad objetiva pueden garantizar que, siempre que se materialice dicho riesgo, la víctima sea indemnizada con independencia de que se exista culpa o no.
En este ámbito, la Comisión recaba opiniones sobre la oportunidad de establecer una responsabilidad objetiva similar a las existentes en las normas nacionales para productos que generan riesgos similares a los entes autónomos, como automóviles, aeronaves o centrales nucleares. La Comisión estudia asimismo la posibilidad de vincular la determinación de responsabilidad a la suscripción de un seguro, siguiendo la técnica regulada por las normas de responsabilidad derivada de los vehículos a motor.
Por lo que se refiere al resto de aplicaciones de IA, la Comisión se plantea la procedencia de adaptar la carga de la prueba relativa a la causalidad y la culpa. Siguiendo al informe del Grupo de Expertos, debe tenerse en cuenta la situación en la que la parte presuntamente responsable no ha registrado los datos pertinentes para valorar la responsabilidad civil o no está dispuesto a compartirlos con la víctima.
El Informe concluye que, si bien la normativa en vigor de la UE y nacionales puede hacer frente a las vicisitudes de las tecnologías de IA, las dificultades de las mismas podrían hacer peligrar la indemnización de las víctimas. Por ello, podría contemplarse realizar determinados ajustes a la Directiva 85/374/CC, sobre la base de un enfoque basado en el riesgo, teniendo en cuenta que las distintas aplicaciones de IA presentan riesgos diferentes.
A modo de resumen, las preocupaciones de la Comisión reflejadas en este Informe se centran en cinco puntos: a) la distinción entre producto y servicio; b) la inversión de la carga de la prueba; c) la demostración de la culpa; d) el concepto de puesta en circulación del producto y los riesgos del desarrollo; y e) la determinación del modelo de responsabilidad, con un enfoque basado en el riesgo o responsabilidad objetiva.
Como puede observarse, estas cinco cuestiones son, en la práctica, coincidentes con las elevadas por el Libro Blanco, si bien formuladas de forma más concreta, al poner el acento en la normativa sobre responsabilidad. En los apartados que siguen, poniendo en relación las conclusiones de ambos textos, trataremos de ofrecer respuestas a estas preocupaciones y propuestas de mejoras legislativas realizadas por la Comisión, enfrentándolas a la aplicación práctica de la normativa española sobre responsabilidad por productos defectuosos, teniendo en cuenta su conexión con el marco legal sobre seguridad de los productos.
IV. LA APLICACIÓN DE LA NORMATIVA ESPAÑOLA SOBRE PRODUCTOS DEFECTUOSOS A LOS ENTES INTELIGENTES Y PROPUESTAS DE MEJORA LEGISLATIVA.
Analicemos, pues, las principales propuestas de modificación de la normativa europea realizadas por la Comisión, atendiendo a la interpretación y aplicación práctica de la normativa española sobre responsabilidad por los daños causados por productos defectuosos a los productos dotados de inteligencia artificial.
1. La distinción entre producto y servicio.
Como se ha señalado, tanto en el Libro Blanco como en el Informe de la Comisión se pone de manifiesto la falta de claridad legal existente en relación a la distinción entre los conceptos de producto y servicio, especialmente trascendente en lo concerniente a los programas informáticos, que a veces pueden considerarse partes componentes de un producto físico, y en otras ocasiones funcionan autónomamente. A estos fines, el Informe propone mejorar la definición de producto y, por ende, el ámbito de aplicación de la Directiva 85/374/CEE.
La necesidad de distinguir claramente entre producto y servicio no es una percepción novedosa, ni, evidentemente, exclusiva de los productos dotados de inteligencia artificial, aunque la Comisión sostenga que “la línea divisoria entre productos y servicios ya no es tan nítida como antes”; más bien ha sido, y es, un permanente reto para legisladores y, especialmente, para jueces y tribunales determinar en algunos casos cuándo nos encontramos ante un defecto en el producto y cuándo ante un servicio defectuoso. Y es que la distinción no es baladí, por cuanto el sistema de responsabilidad a que se atiende en uno y otro caso difiere sensiblemente. Así, mientas el productor responde bajo el prisma de una responsabilidad de corte cuasi-objetivo –por exigirse a la víctima la prueba, no solo del daño y del nexo causal, sino también del defecto del producto (art. 139 del Texto Refundido de la Ley General para la Defensa de los Consumidores y Usuarios, aprobado por medio del Real Decreto Legislativo 1/2007, de 16 de noviembre, LCU)-, al prestador de ciertos servicios –aquellos que incluyan necesariamente la garantía de niveles determinados de eficacia o seguridad- se le incardina bajo un modelo de responsabilidad completamente objetiva, quedando eximido de ella, una vez probado daño y relación de causalidad, únicamente por concurrir culpa exclusiva del perjudicado (art. 148 LCU). “En todo caso, se consideran sometidos a este régimen de responsabilidad –concreta el párrafo segundo del art. 148 LCU- los servicios sanitarios, los de reparación y mantenimiento de electrodomésticos, ascensores y vehículos de motor, servicios de rehabilitación y reparación de viviendas, servicios de revisión, instalación o similares de gas y electricidad y los relativos a medios de transporte”.
El problema en la delimitación de estos conceptos se produce cuando el producto defectuoso se integra en el desarrollo del servicio que se presta, sin que la normativa se ocupe de realizar distinción alguna al respecto. Han sido los tribunales quienes han venido desplegando progresivamente esa labor en el marco de ciertos servicios, como los servicios de gas o electricidad y, muy especialmente, los servicios sanitarios.
La Comisión sostiene que la clasificación de los programas informáticos como servicio o como producto no siempre es clara, ya que, aunque el programa que dirige las operaciones de un producto físico puede considerarse un componente de este, algunos programas informáticos autónomos podrían ser más difíciles de clasificar. De ahí que proponga que se perfeccione la definición de producto en la Directiva 85/374/CEE, para precisarse con mayor claridad su ámbito de aplicación, reflejando mejor la complejidad de las tecnologías emergentes y garantizando la indemnización por los daños causados por productos defectuosos debido a sus programas informáticos.
A nuestro parecer, la Comisión se refiere de forma agolpada a distintas cuestiones, que conviene deslindar. Por una parte, la determinación de qué se debe entender por producto y, en el caso que nos ocupa, si un programa informático autónomo debe considerarse o no como producto; por otra, la responsabilidad del creador del programa como productor; y, finalmente, la consideración del programador como prestador de servicios.
A) El programa informático autónomo como producto.
Para resolver esta primera cuestión, hemos de delimitar el concepto de producto, partiendo ineludiblemente del art. 136 LCU, que considera producto cualquier bien mueble aun cuando esté unido o incorporado a otro bien mueble o inmueble, así como el gas y la electricidad. Este precepto precisa, para el espacio de la responsabilidad por productos defectuosos, el concepto de producto que enuncia con carácter general el art. 6 de la propia norma, para el que, sin perjuicio de lo establecido en el art. 136, es producto todo bien mueble conforme a lo previsto en el art. 335 CC.
En virtud de este último precepto, se reputan bienes muebles los susceptibles de apropiación no comprendidos en el artículo anterior –en el que se enumeran los bienes inmuebles- y, en general, todos los bienes que se puedan transportar de un sitio a otro, siempre que no se produzca menoscabo de la cosa inmueble a que estuvieren unidos. En la medida en que respondan a tal concepción, pues, los robots inteligentes con las características descritas por el Parlamento Europeo –entre ellas, que cuenten con un soporte físico mínimo- quedan incluidos en el ámbito de aplicación de la normativa sobre responsabilidad por los daños causados por productos defectuosos ex art. 136 LCU. De ello podría derivarse, en consecuencia, que el robot virtual, carente de entidad física, quedaría excluido, en principio, de tal concepto.
Usualmente, sin embargo, la máquina virtual también ha de contar con un soporte físico, cualquiera que este sea, para ser guardada, copiada o trasmitida, aunque pueda simplemente ser bajada de la red. Se ha señalado por la doctrina que un software puede entenderse como producto desde el momento en que es incorporado a la estructura física de un robot. De este modo, se defiende que su naturaleza de “embedded software” contrarresta el argumento que se basa en la intangibilidad de un software para negarle el carácter de producto a los fines de incluirlo en el ámbito de aplicación del art. 136 LCU.
Claro que el robot inteligente se puede haber comercializado, no como un paquete –“a bundle of hard-and software o closed systems”-, bloqueado a las interferencias de los usuarios, sino como componentes separados –“open systems”-, adquiridos de distintos suministradores; y ello habrá de repercutir en la imputación de responsabilidad según analizaremos con posterioridad.
Pero en cualquier caso, creemos que el software debe ser considerado bien mueble a estos efectos incluso sin la existencia de soporte físico, tanto por la falta de alusión de los arts. 6 y 136 LCU a la necesaria corporeidad, como por aplicación del Real Decreto Legislativo 1/1996, de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual y la Ley 24/2015, de 24 de julio, de Patentes. Esta amplitud de concepto de producto tiene asimismo relación con el concepto de productor, que el art. 138 LCU extiende al fabricante o importador de cualquier elemento integrado en un producto terminado.
Finalmente, su consideración como bien mueble con fundamento en el art. 335 CC también puede argumentarse acudiendo a la doctrina que defiende como decisivo el criterio de la susceptibilidad de apropiación –y no el de la movilidad- para determinar qué bienes pertenecen a esta categoría. El carácter apropiable se identifica con la aptitud de la cosa para ser integrada en un patrimonio, a cuyo fin no es necesario que se trate de una cosa corporal. De este modo, los bienes inmateriales se considerarían bienes muebles por resultar apropiables y no estar incluidos en la categoría de bienes inmuebles ex art. 334 CC.
En respuesta a la primera reflexión, pues, el programa informático debe considerarse producto a los efectos de la aplicación de la normativa sobre responsabilidad por productos defectuosos. Ahora bien, la batería de argumentos legales y doctrinales a los que hemos tenido que recurrir para alcanzar tal conclusión, justifican sobremanera la propuesta de modificar el concepto de producto que enuncia la Directiva 85/374 /CEE y, por ende, el art. 136 LCU, incorporando al mismo una mención expresa a los programas informáticos.
B) El creador del programa como productor.
Por lo que se refiere a esta segunda cuestión, la respuesta viene de la mano de la cualidad del programa como parte integrante, o no, de un producto inteligente. En el primer caso, el fabricante del robot responde de los daños causados por el producto como un todo, sin perjuicio de la responsabilidad del creador del programa tanto frente al usuario como frente al fabricante del producto inteligente. El hecho de que la víctima pueda dirigirse frente al fabricante del producto globalmente considerado le garantiza su reparación, en la medida en que no tendrá que probar de forma específica el defecto técnico del sistema de software, sino que el robot inteligente es defectuoso en cuanto inseguro, como después analizaremos.
En el segundo caso, el creador del software responderá independientemente como productor frente al usuario. Habrá que distinguir si el comprador lo utiliza para fines de uso o consumo privados o para comercializarlo o reincorporarlo a la cadena de producción, puesto que en este último caso solo será resarcido de los daños personales, pero no de los materiales, con fundamento en la normativa sobre productos defectuosos (art. 129 LCU), debiendo acudir a la responsabilidad contractual o, en su caso, a las normas generales de la responsabilidad civil para ser indemnizado por los daños materiales sufridos.
Partiendo de la identificación del productor con el fabricante e importador en los términos establecidos por el art. 5 LCU, el legislador considera sujeto activo del daño en el art. 138 LCU al fabricante o importador en la Unión Europea de: a) Un producto terminado; b) Cualquier elemento integrado en un producto terminado; c) Una materia prima. Es evidente que la complejidad técnica de un robot inteligente diversifica considerablemente las personas que intervienen en su creación, pudiéndose considerar productores todos aquellos agentes, normalmente empresarios, que intervienen en el desarrollo, diseño y fabricación del robot, incluyendo a los diseñadores y programadores de software. No obstante, en el marco de la normativa reguladora de la responsabilidad por los daños causados por productos defectuosos, la individualización de cada sujeto interviniente resulta irrelevante para el perjudicado, ya que este podrá dirigirse en cualquier caso -acreditando el daño, el defecto del producto y el nexo causal- frente al fabricante del producto completo.
En virtud del art. 138 LCU, pues, el productor debe identificarse con el fabricante e importador en la Unión Europea, no solo de un producto terminado, sino también de cualquier elemento integrado en un producto terminado y de una materia prima. El fabricante del robot, como “producto terminado”, será responsable de los daños que este cause con independencia del tipo de defecto que los provoque –de diseño, de producción o de información- y, consecuentemente, del sujeto interviniente en cada caso para desarrollar su trabajo, ya sea especialista en creación de hardware o de software.
No podemos desconocer, sin embargo, que si atendiéramos a la distinción entre productores –de hardware y de software-, la víctima podría dirigirse tanto frente al fabricante del robot -como un producto completo-, como a los productores de cada uno de sus componentes, entre los que cabe señalar al fabricante del software -esto es, el programador-, o del hardware. Cuestión distinta es que reparar en esta distinción sea la forma más oportuna de alcanzar la indemnidad que se persigue, habida cuenta la exigencia legal de probar el defecto del producto de que se trate, en este caso la máquina virtual, y, obviamente, contando con la previa identificación individualizada del programador dentro de la completud del producto terminado. Ello dependerá de las circunstancias que rodeen el supuesto concreto, especialmente en lo referente, no solo a la dificultad probatoria, sino a la solvencia de cada sujeto responsable. De entrada, el productor del robot debe responder del inadecuado funcionamiento de la máquina, con independencia del tipo de defecto causante de los daños, ya se encuentre este en el hardware o en el software; en cambio, el programador, en tanto fabricante del software, solo responderá de los defectos concernientes al programa, cuya prueba será más difícil para la víctima.
Como hemos visto, la doctrina ha distinguido a estos efectos entre la comercialización del robot inteligente como un solo paquete –“a bundle of hard-and software”, también denominados “closed systems”-, cerrado a las interferencias de los usuarios, y la adquisición de los componentes de forma separada –“open systems”-, provenientes de distintos suministradores. La atribución de responsabilidad al productor en el caso de sistemas cerrados no plantea dificultad (ex art. 3 Directiva 85/374), pero sí lo hace en el supuesto de un sistema abierto a las injerencias de los usuarios o terceros (en el caso de robots con código fuente abierto, por ejemplo), pues no será de aplicación la normativa sobre productos defectuosos en relación a la responsabilidad del productor por un producto -considerado como un todo-, cuyos elementos se han comercializado separadamente; en estas circunstancias, la carga de la prueba para la identificación del responsable resulta sumamente pesada para la víctima.
Verdaderamente, en el caso de la prueba del defecto del programa, la acreditación de la falla puede resultar más complicada, sobre todo si pensamos en que se exija una prueba fehaciente de la inoperancia del algoritmo, o del entrenamiento de un robot que aprende por sí solo, y cuyo comportamiento impredecible forma parte de su esencia. Del problema de la prueba nos ocuparemos más adelante.
C) El programador como prestador de servicios.
Finalmente, la consideración del programador como prestador de servicios es algo más difícil de delimitar, y dependerá del caso de que se trate. En este ámbito, se hace referencia expresa en el Informe a las aplicaciones de IA que suelen estar integradas en entornos de internet de las cosas complejos, en los que interactúan muchos dispositivos y servicios conectados, creando un ecosistema de componentes digitales que provoca la dificultad de evaluar dónde se puede producir un perjuicio y quién es el responsable.
La Comisión se plantea primeramente la duda de si un programa autónomo se rige por la legislación de seguridad de los productos de la Unión Europea, salvando los sectores que cuenten con normativa específica. A estos efectos, se parte de que aquella legislación resulta aplicable a los productos y no a los servicios “y, por consiguiente –en palabras del Libro Blanco-, “a priori” no se aplica tampoco a los servicios basados en las tecnologías de IA (como servicios sanitarios, financieros o de transporte)”.
Esta duda de la Comisión aparece, en principio, clarificada si atendemos a lo concluido en el epígrafe dedicado al concepto de producto. Si consideramos el programa informático autónomo como producto a los efectos de la aplicación de la Directiva 85/374/CEE, la aplicabilidad de la normativa sobre seguridad resulta incuestionable, por virtud del art. 2 de la Directiva 2001/95/CE, de 3 de diciembre: “A los efectos de la presente Directiva, se entenderá por: a) «producto»: cualquier producto —incluidos los que entran en el marco de una prestación de servicios—…”. En nuestro ordenamiento interno, el art. 1.2 del Real Decreto 1801/2003, de 26 de diciembre, sobre seguridad general de los productos especifica que “Las disposiciones de este real decreto se aplicarán a todo producto destinado al consumidor, incluidos los ofrecidos o puestos a disposición de los consumidores en el marco de una prestación de servicios…”.
Y ello nos conduce a matizar la conclusión generalizada de la Comisión sobre la inaplicabilidad “a priori” de esta normativa a servicios basados en tecnologías de IA, tales como los sanitarios, financieros o de transportes. Por una parte, cuando el sistema de inteligencia artificial se integre como producto en un servicio, la responsabilidad del creador del programa se derivará de la aplicación de la normativa sobre productos defectuosos, con independencia de la responsabilidad que pudiera surgir, en su caso, para el prestador del servicio. Por otra, en el marco legislativo español, el régimen de responsabilidad del prestador de los servicios que requieran especiales dosis de seguridad -como los sanitarios-, diseñado por la LCU, podría hacer prescindible de cara a la víctima plantearse la necesidad de aplicar la normativa general de seguridad de los productos, dado que aquel se construye sobre el máximo nivel de protección para el perjudicado, sin que resulte necesario probar el defecto, ni del producto integrado en el servicio, ni de este propiamente dicho.
La consideración del programador como prestador de servicios, sin embargo, no puede ser tratada de forma única, por cuanto su participación en la producción del daño dependerá del servicio que se preste. Piénsese, por ejemplo, en el prestador de un servicio técnico informático que proporciona un software defectuoso a un usuario particular para su ordenador, y en la empresa fabricante de un programa que se integra –junto con otros sistemas- en servicios altamente sensibles (sanitarios o de transportes, por ejemplo).
En principio, el prestador de un servicio técnico de informática o sistemas inteligentes responderá atendiendo al régimen general de responsabilidad previsto por el art. 147 LCU para los daños provocados por servicios defectuosos. Ahora bien, si el usuario de un servicio sanitario es víctima de un daño provocado por un mal funcionamiento de un programa informático, el prestador de este servicio, ya sea una entidad pública o privada, deberá responder de igual modo que el que procura una prótesis defectuosa en una operación quirúrgica, esto es, una vez acreditado el daño y la relación de causalidad, sin que incumba al perjudicado la carga de la prueba del defecto en el producto de que se trate, ex art. 148 LCU, según hemos adelantado.
La responsabilidad del fabricante del software puede derivar de un servicio defectuoso –por deficiencias en el servicio técnico-, o de un producto defectuoso, por la existencia de una falla en el diseño de un producto incardinado en un servicio diferente. Y el programador, como productor, podrá responder, en los términos anteriormente analizados, directamente frente al usuario; aunque este, igualmente, puede accionar frente al prestador del servicio de que se trate, bajo la cobertura del art. 148 LCU –régimen especial-, o del 147 LCU, en el seno del régimen general de responsabilidad por servicios defectuosos.
No parece que los “servicios informáticos”, en su generalidad, deban considerarse “per se” entre los servicios que enumera aquel precepto -que incluyen necesariamente la garantía de niveles determinados de eficacia o seguridad-, en tanto, creemos, deberán ser considerados bajo este régimen cuando atiendan a los servicios que en él se enuncian. Cuando no se encuentren incorporados a esos servicios especiales, deberán ser tratados en los términos del régimen general de responsabilidad aplicable a los prestadores de servicios que establece el art. 147 LCU: “Los prestadores de servicios serán responsables de los daños y perjuicios causados a los consumidores y usuarios, salvo que prueben que han cumplido las exigencias y requisitos reglamentariamente establecidos y los demás cuidados y diligencias que exige la naturaleza del servicio”. La casuística deberá ser resuelta por los tribunales atendiendo a las circunstancias concurrentes en cada supuesto.
En cualquier caso, hemos de concluir aquí, de forma similar a como hacíamos en relación al concepto de producto, que sería deseable una reforma legislativa que delimitase, no solo este –incluyendo expresamente el software en el art. 136 LCU-, sino los servicios que, integrando sistemas inteligentes para ser dispensados, deben considerarse de alto riesgo de producir daños, a los fines de aplicar el régimen de responsabilidad objetiva cualificado del art. 148 LCU.
En el seno del ecosistema inteligente que persigue la Comisión debería estudiarse si, entre los servicios “que incluyan necesariamente la garantía de niveles determinados de eficacia o seguridad”, tendrían que considerarse, por ejemplo, los servicios financieros que pueden llegar a entrañar daños sociales considerables. Este tipo de servicios, que se sostiene sobre sistemas inteligentes cuya falla puede resultar de complicada o imposible acreditación al perjudicado, resulta difícil de encajar en el ámbito de cobertura de la normativa sobre servicios defectuosos, aunque no imposible. Por una parte, difícilmente puede ocasionar daños personales, a los que se restringe la reparación prevista por este régimen legal por virtud del art. 129 LCU cuando no se trate de uso o consumo privado; en este caso, sí se podría admitir la salvedad de los daños psicológicos en tanto integrantes del concepto genérico de “salud de las personas”, a los que se refiere el Informe de la Comisión al tratar de las garantías del producto seguro. Por otra parte, en el caso del usuario particular de servicios financieros, la reparación alcanzaría también a los daños materiales, y no vemos por qué no podrían considerarse estos servicios, que llegan a veces a producir verdaderos descalabros económicos a los ahorradores, como servicios altamente peligrosos, en tanto provocan daños materiales reflejados en pérdidas económicas millonarias. Y si hablamos de tipología de daños, sería asimismo deseable una reforma legislativa que incluyera también como indemnizables en aquel precepto los daños morales, eliminando la referencia a ellos del art. 128 LCU.
2. El problema de la prueba.
De conformidad con la Directiva 85/374/CEE, un producto que no cumple las normas de seguridad obligatorias se considera defectuoso con independencia de la culpa de los productores. A pesar de ello, la Comisión se plantea la necesidad de reflexionar sobre cómo facilitar la carga de la prueba que se atribuye a los perjudicados, teniendo en cuenta que la Directiva depende de las normas nacionales probatorias y sobre el establecimiento de la relación de causalidad. En este sentido, se valora la posibilidad de adaptar las leyes nacionales para facilitar la prueba a las víctimas de daños relacionados con IA, reduciendo o invirtiendo la carga probatoria por lo que se refiere a la culpa y al nexo causal, por medio de una iniciativa comunitaria. Por otra parte, sostiene asimismo la Comisión en el Informe que sigue sin quedar claro cómo demostrar la culpa de una IA que haya actuado de manera autónoma, así como en qué consiste la culpa de una persona que se sirve de la IA.
También en este apartado el Informe de la Comisión resulta confuso, al mezclar cuestiones de diverso sentido conceptual en ámbitos normativos distintos. Por un lado, si nos referimos a la normativa sobre responsabilidad por productos defectuosos no puede hablarse de culpa, dado el carácter objetivo o cuasi-objetivo que la caracteriza; por otro, el principio de culpa que preside los regímenes nacionales de responsabilidad habrá de ser atendido en la órbita de los daños provocados por el usuario del ente inteligente, no por su productor ni, mucho menos, por el propio producto inteligente. Finalmente, en uno u otro caso, la concurrencia de los requisitos o elementos básicos de la responsabilidad civil –acción, daño y nexo causal-, resulta imprescindible para que nazca el derecho de la víctima a ser resarcida. Lo que la Comisión se está planteando es cómo debe tratarse la exigencia de prueba para que la víctima quede indemne en todo caso.
A) El concepto de producto inseguro.
El régimen especial de responsabilidad civil por los daños causados por productos defectuosos se fundamenta en un ambiguo y amplio concepto de “defectuosidad”, que permite a los tribunales un dilatado campo de actuación para analizar el conflicto desde los parámetros legales que delimitan tal concepto, tomando en consideración igualmente la actitud de la propia víctima.
El art. 137 LCU entiende por producto defectuoso “aquel que no ofrezca la seguridad que cabría legítimamente esperar, teniendo en cuenta todas las circunstancias y, especialmente, su presentación, el uso razonablemente previsible del mismo y el momento de su puesta en circulación”. A ello añade el apartado segundo del precepto que, en todo caso, “un producto es defectuoso si no ofrece la seguridad normalmente ofrecida por los demás ejemplares de la misma serie”. Un producto, concluye el apartado tercero, no podrá ser considerado defectuoso simplemente porque se ponga posteriormente en circulación de forma más perfeccionada. Se considera que, en relación a las normas comunitarias sobre seguridad de los productos, la Directiva 85/374/CEE constituye la red de seguridad en aquellos casos en que, a pesar de todo, se producen accidentes.
El concepto de producto defectuoso resulta, pues, extremadamente amplio, al tener en cuenta no solo la defectuosidad material del objeto, sino todas las circunstancias que rodean su presentación y puesta en circulación, distinguiéndose así entre defectos de fabricación, de diseño y de información (lo que no solo se refiere a la información externa y publicidad, sino al manual del usuario, que incluye la descripción de los contenidos, componentes, características, instrucciones y contraindicaciones de uso del producto). El deber de información juega un papel preponderante en el marco de los robots inteligentes, como productos, no únicamente de elevado nivel tecnológico, sino sobre todo como máquinas cuya ciencia se encuentra en constante perfeccionamiento. Esto nos lleva a la obligación del productor, dado el continuo desarrollo de la tecnología informática, de proporcionar al usuario las actualizaciones del software (“update”) que requiera el funcionamiento correcto del producto.
Debe acreditarse, por tanto, la inseguridad del producto inteligente a los fines de determinar su defectuosidad. La acreditación, sin embargo, de la inseguridad del producto cuando resulta imposible, o en extremo complicado, probar el defecto técnico concreto, ha de pasar por la delimitación del concepto de “expectativa razonable” del usuario, derivado de la seguridad que le cabría legítimamente esperar al perjudicado, teniendo en cuenta, entre otras cuestiones, el uso razonablemente previsible del producto. Y aquí entra en juego la normativa relativa a la seguridad general de los productos, cuando se refiere al producto seguro como a aquel que, en condiciones de utilización normales o razonablemente previsibles, no presente riesgo alguno o únicamente riesgos mínimos (art. 2 b, Directiva 2001/95/CE; art. 2 a, RD 1801/2003). Más estrictamente, la Directiva 2006/42/CE, sobre máquinas, ordena al fabricante “determinar los límites de la máquina, lo que incluye el uso previsto y su mal uso razonablemente previsible” (Anexo I.1).
De todo ello puede colegirse que un producto inteligente sería inseguro y, por tanto, defectuoso, si produce riesgos para el usuario incluso cuando este lo utiliza de forma incorrecta, siempre que tal uso incorrecto sea razonablemente previsible. Y, en este sentido, también podría introducirse una reforma concreta en la normativa sobre seguridad general de los productos para añadir el mal uso previsible que pueda llevar a cabo el usuario.
B) La carga de la prueba del defecto.
Siguiendo las directrices de la Directiva 85/374/CEE, el art. 139 LCU atribuye la carga probatoria del defecto al perjudicado por los daños, de ahí que, para facilitar la indemnidad de la víctima, los tribunales españoles comenzaran a interpretar de forma abierta la exigencia de la prueba del defecto del producto que exigía el derogado art. 5 de la LPD 1994 –equivalente al actual art. 139 LCU-, atendiendo a un concepto amplio de defectuosidad. En virtud de esta doctrina jurisprudencial, se ha admitido en ocasiones simples presunciones como prueba de la defectuosidad, sobreentendiéndose prácticamente la existencia del defecto si no es posible atribuir la producción de los daños a la culpa de la víctima por utilización incorrecta del producto.
Abundando en esta idea, sobre la base de una interpretación no estricta del art. 137 LCU, producto defectuoso viene a ser sinónimo de producto inseguro, en tanto ha de considerarse defectuoso todo producto que no ofrezca la seguridad que cabe legítimamente esperar del mismo; a tales fines, debe tomarse en consideración el uso que de él se va a realizar. De este modo, un producto carente de defecto inicial puede resultar inseguro porque no era el adecuado para el uso que razonablemente se preveía que se iba a hacer del mismo. Atendiendo a todas las circunstancias que rodean cada caso, alguna sentencia atribuye la defectuosidad al fabricante “por exclusión”, al no constar un uso inadecuado por la víctima, ni la concurrencia de caso fortuito o fuerza mayor.
Se insiste asimismo en el seno de nuestros tribunales en que el concepto de producto defectuoso no es un concepto que se delimite por el solo cumplimiento de las normas reglamentarias, pues su delimitación debe hacerse “teniendo en cuenta todas las circunstancias en función del uso y la seguridad esperadas del producto conforme a esos requerimientos, que se encuentran en situación de relación causal pues la seguridad del uso exigible está en función del uso conforme a la naturaleza del producto”.
Finalmente, aun partiéndose jurisprudencialmente de la atribución al perjudicado de la carga de la prueba de la defectuosidad del producto y de la falta absoluta de intervención de este en el evento dañoso (habiendo adoptado todas las medidas de precaución especificadas en el correspondiente folleto de instrucciones de uso del producto en cuestión), en caso de dudas en relación al resultado acaecido, nuestros tribunales consideran igualmente aplicable la doctrina del juicio de probabilidad cualificada, siempre que de lo actuado se desprenda que no exista prueba suficiente de responsabilidad del usuario y se planteen serias dudas de la producción del siniestro.
Debe puntualizarse, no obstante, que, a pesar de la utilización habitual de todos estos recursos, no siempre los tribunales han seguido idénticas pautas de interpretación, acogiéndose por el contrario a la aplicación estricta de las exigencias probatorias del art. 139 LCU. En ocasiones, partiendo de las reglas básicas de atribución de responsabilidad legalmente establecidas, los jueces enuncian distintas máximas de orden general, como la imposibilidad de determinar la defectuosidad de un producto sobre simples conjeturas o meras presunciones cuando los técnicos declaran que el producto no presenta evidencias de ser defectuoso.
Puntualizan también nuestros tribunales que, aunque la alusión legal a la seguridad a la que una persona tiene legítimamente derecho parece un concepto difícilmente determinable en algunos casos concretos, la ley quiere indicar con esta expresión que un producto no es defectuoso simplemente porque sea intrínsecamente peligroso, si las condiciones del mismo que le dan ese carácter son connaturales a la clase a la que el objeto pertenece; en definitiva, no se protege a la víctima contra un riesgo que resulta más que obvio, pues en todo caso debe aportarse la prueba de la defectuosidad que provocó los daños. Por otra parte, la seguridad que cabría legítimamente esperar no es indefinida, correspondiendo al usuario que adquirió un producto sin defecto de origen, sobre el que se hace un mal uso, advertir su deterioro.
Debe advertirse en todo caso que estas aseveraciones deben contemporizarse con los hechos que rodean cada supuesto, que muchas veces desembocan, básicamente, en la falta de prueba del defecto. Se trata de circunstancias fácticas de las que no se puede inferir la defectuosidad de un producto sin falla de origen acreditada o en las que se tiene en cuenta la actuación de la víctima –a veces sin seguir correctamente las instrucciones de uso- como causa de ruptura del nexo causal entre el producto y los daños.
A este respecto debe recordarse, como también precisa la jurisprudencia, que, con independencia del criterio de imputación de responsabilidad que se adopte, el demandante debe probar la existencia de relación de causalidad entre la conducta del demandado y el daño sufrido. Es doctrina reiterada del Tribunal Supremo que esta acreditación ha de basarse en una certeza probatoria que no puede quedar desvirtuada por una posible aplicación de la teoría del riesgo, la objetivación de la responsabilidad o la inversión de la carga de la prueba.
Sobre esta base, en ocasiones los tribunales absuelven de responsabilidad al demandado al entender inaplicable la doctrina del “juicio de la probabilidad cualificada” –utilizada en otros casos, como hemos visto, para imputar la responsabilidad-, porque no conociéndose la causa, no puede atribuirse una como más probable que otra de entre las que pudieran cualificar el siniestro. Este argumento contradice, pues, la doctrina aplicada en otros casos basada en la posibilidad de acreditar la defectuosidad de un producto en ausencia de pruebas directas, a través de la prueba de presunciones, habida cuenta la inviabilidad de hacerlo ante la destrucción del producto generador de los daños.
C) La prueba de la relación de causalidad.
Las consecuencias de la exigencia probatoria en términos estrictos es lo que, entendemos, hace plantearse a la Comisión la posible necesidad de invertir la carga de la prueba establecida por las normas nacionales para el caso de las aplicaciones de IA, especialmente si hablamos de entornos de internet de las cosas complejos. Se propone, siguiendo al grupo de expertos sobre responsabilidad y nuevas tecnologías, como se ha adelantado, vincular la carga de la prueba al cumplimiento de obligaciones específicas en materia de ciberseguridad o de seguridad establecidas por la ley, de tal manera que, si no se cumple con dichas normas, podría modificarse la carga de la prueba relativa a la culpa y la causalidad.
El planteamiento de la Comisión vuelve a ser confuso si lo situamos en el marco de la normativa sobre productos defectuosos. En el propio Informe se pone de manifiesto que, según la misma, un producto que no cumple con las normas de seguridad obligatorias se considera defectuoso; a pesar de ello, la Comisión también asume que debe reflexionarse sobre cómo facilitar la carga de la prueba a las víctimas con arreglo a la Directiva, que depende de las normas nacionales probatorias y sobre el establecimiento de la relación de causalidad.
Como hemos señalado, en nuestro país la facilitación de la prueba del defecto del producto se realiza en el seno de los tribunales sobre la base de una interpretación abierta de los términos legales, tanto en relación al concepto de producto inseguro, como en lo relativo a la prueba de la defectuosidad. Cuestión distinta es, sin embargo, la prueba de la relación de causalidad, en tanto la existencia del nexo causal es un elemento necesario –junto a acción y daño- para el nacimiento de la responsabilidad civil, y dicha acreditación ha de corresponder, ineludiblemente, al perjudicado. Es cierto, sin embargo, que la línea divisoria entre la prueba del defecto y la de la relación de causalidad es en ocasiones bastante difusa.
Si tomamos como referencia la interpretación jurisprudencial sobre la prueba del defecto, un robot inteligente que no ofrezca la seguridad que cabría esperar es un producto inseguro y, por tanto, defectuoso; si el robot actúa de forma no esperada, se puede presumir que es defectuoso. A estos efectos, debe tenerse en cuenta las legítimas expectativas de seguridad creadas en el usuario por el producto concreto de que se trate, en función de las circunstancias que lo rodean, en especial, por virtud del art. 137 LCU, su presentación, el uso razonablemente previsible del mismo y su puesta en circulación. Ello nos lleva a considerar un producto como defectuoso no porque no alcance toda la seguridad posible, sino aquella que legítimamente cabía esperar de él, y siempre que la víctima hiciera un uso razonablemente previsible del mismo. Sobre esta base, el fabricante deberá responder, pues, no solo por los daños ocasionados en el uso normal del producto, sino también si pudo prever que el perjudicado podría realizar un uso inadecuado, no normal, de este. Esta previsión del uso anormal se encuentra incluso respaldada legalmente, como se ha indicado, en la normativa sobre seguridad de las máquinas.
Se trata, pues, de un juego probatorio que se debe observar desde las dos posiciones que se enfrentan, y del que se deriva que la actividad probatoria no únicamente se desenvuelve alrededor de la acreditación del defecto, sino también y al mismo tiempo en torno a la calificación de la conducta de la víctima. Obsérvese que el fabricante debe garantizar un nivel de seguridad que responda a las expectativas legítimas del usuario, derivadas de las cualidades técnicas y prestaciones ofrecidas por el producto y su presentación; mientras que el perjudicado deberá utilizar el producto de alguna forma que fuera previsible por el productor, aun cuando sea un uso inadecuado o imprudente del mismo. Los tribunales habrán de solventar el litigio atendiendo a las especificidades de cada caso, tal como hasta ahora han venido haciendo. De este modo, en ocasiones se presumirá el proceder correcto de la víctima, ante la ausencia de prueba por parte del productor del actuar imprevisiblemente inadecuado del usuario; en otras, la falta de evidencia del defecto de fabricación de un producto exonerará al fabricante a pesar de no acreditarse la actuación imprudente o incorrecta del perjudicado en el uso del mismo. En otros tantos casos, la falta de diligencia o de cuidado suficiente de la víctima hará entrar en juego la previsión del art. 145 LCU, permitiendo la exención de responsabilidad del productor por culpa exclusiva del agraviado, o la reducción de la cuantía indemnizatoria por concurrencia de culpas.
Las propuestas de la Comisión Europea en materia de prueba en el ámbito de los productos defectuosos no son algo novedoso, habiéndose materializado en distintos informes sobre la aplicación de la Directiva 85/374/CEE a lo largo de los años. Concretamente, ya en el Libro Verde sobre responsabilidad por productos defectuosos de 1999, se evidenciaba el problema que la exigencia de demostración del defecto podría significar para la víctima, y se proponían distintos mecanismos para aliviar tal exigencia. Entre ellos: a) la presunción del nexo causal cuando la víctima demuestre el daño y el defecto, o del defecto cuando la víctima demuestre la existencia de un daño resultante de un producto; b) establecer que la víctima debería demostrar esos tres elementos con una gran probabilidad, sin por ello exigir un nivel muy elevado (por ejemplo, bastaría con que la probabilidad fuera superior al 60%); c) imponer al productor la obligación de facilitar todo tipo de documentación e información útil para que la víctima pueda beneficiarse de elementos concretos para demostrar su caso; d) imponer al productor el pago de los gastos periciales bajo determinadas condiciones: por ejemplo, la víctima podría pedir al juez que el productor adelante los gastos necesarios para practicar las diligencias de la prueba.
A nuestro modo de ver, no parece que todas estas propuestas deban acogerse en todo caso. En primer lugar, aunque la presunción del nexo causal podría resultar deseable en el caso de productos ya consumidos -como ha apuntado la doctrina-, no creemos que deba establecerse como regla general, en tanto deben ser los tribunales, atendidas las especificidades y circunstancias de cada supuesto litigioso, quienes valoren la aplicación de presunciones. A fin de facilitar la prueba a cargo del demandado, el legislador español introdujo la llamada distribución dinámica de la carga de la prueba en el art. 217.7 LEC -que ordena al tribunal tener presente la disponibilidad y facilidad probatoria que corresponde a cada una de las partes del litigio-, conduciendo indirectamente a la admisión de presunciones sobre existencia del defecto y relación de causalidad, además de atender en parte a la idea de que el productor deba procurar todo tipo de documentación e información útil a la víctima. Por lo que se refiere a la regla de la probabilidad, también nuestros jueces aplican el juicio de probabilidad cualificada en los términos expuestos; pensar en una regla determinada de probabilidad resulta más que dificultoso. Finalmente, tampoco sería aconsejable imponer legalmente el adelanto de los costes judiciales por el productor de forma generalizada, a riesgo de multiplicar excesivamente demandas con exigua base probatoria.
En definitiva, la inversión de la carga de la prueba en relación al nexo causal que propone la Comisión se traduciría, en muchos casos, en reflejar legalmente algunas de las doctrinas ya asentadas en el seno de los tribunales. Este reflejo legal, en nuestra opinión, no debe materializarse de forma generalizada, pero sí podría ser atendido mediante la adopción de medidas particulares. Así lo entendió la Comisión en su Comunicación sobre el principio de precaución de 2 de febrero de 2000, afirmando que se atiende de alguna manera a este principio –elemento esencial de la política de la Unión Europea-, cuando la legislación comunitaria requiere autorización previa para la comercialización de ciertos productos (como medicamentos o aditivos alimentarios); mediante este mecanismo se consigue desplazar la carga de la prueba de la peligrosidad de estos productos a las empresas, en la medida en que sobre ellas recae la responsabilidad de realizar las investigaciones necesarias para la evaluación de riesgos. A pesar de ello, la Comisión deja claro que, aunque una acción adoptada en virtud del principio de precaución puede implicar en algunos supuestos una cláusula que revierte la carga de la prueba sobre el fabricante, “tal obligación no puede preverse sistemáticamente como principio general”.
En esta línea, la propuesta de la Comisión de vincular la carga de la prueba al cumplimiento de obligaciones específicas en materia de ciberseguridad o de seguridad establecidas por la ley nos parece más que oportuna. Entendemos, así, que sería conveniente introducir obligaciones concretas en materia de ciberseguridad en la normativa sobre seguridad general de los productos, cuyo incumplimiento hiciera inseguro al sistema productor de los daños. En la misma línea, la inclusión expresa del “mal uso previsible” en la normativa sobre seguridad general de los productos facilitaría al juzgador la presunción del nexo causal, cuya acreditación a cargo del perjudicado no puede ser condonada, pero sí, mediante este tipo de mecanismos, aliviada.
D) Impredecibilidad del sistema inteligente y presunción de defectuosidad.
En otro orden de cosas, la Comisión también pone el acento en la autonomía del sistema inteligente. Verdaderamente, la máquina inteligente se caracteriza por una particularidad que puede hacer necesario diferenciar su tratamiento legal en relación a los daños que provoque: su capacidad de autoaprendizaje y, por ende, su autonomía y la impredecibilidad de algunas de sus acciones. La respuesta a los problemas que esto puede provocar ha de buscarse, nuevamente, en el concepto de producto defectuoso como producto inseguro según las características anteriormente analizadas.
El robot ha de estar diseñado para realizar una serie de actividades o desarrollar ciertas funciones con la seguridad que cabría legítimamente esperar en el usuario según su naturaleza, en cada caso o escenario específico; de modo que, siempre que el robot no responda a estas expectativas, debe calificarse como un producto defectuoso, en tanto inseguro, imputándosele a su fabricante la responsabilidad por los perjuicios causados. Estas expectativas deben delimitarse a través de la atribución al productor de la obligación de definir las acciones que el robot debe realizar con garantía de seguridad para el consumidor, entendiéndose que, toda vez que en el marco de esas funciones garantizadas se produzca algún daño, este se deriva de la defectuosidad del aparato.
No podemos desconocer que la utilización de tecnología avanzada suscita en el usuario mayores expectativas de seguridad, y seguirán siendo los tribunales quienes deban delimitar el concepto de defectuosidad; como es sabido, la determinación de si el producto es o no defectuoso, en atención a los parámetros del art. 137 LCU, no es estrictamente una cuestión de hecho sino una “quaestio iuris”, fruto de la valoración jurídica del órgano judicial, que ha de partir del “factum” que incumbe acreditar a la parte actora. De este modo, para facilitar al perjudicado la carga de la prueba del defecto del producto, se podría presumir que el daño causado por la máquina inteligente se deriva de su defectuosidad cuando no ofreció la seguridad razonablemente esperada. Los estándares de seguridad así establecidos vendrían siendo modificados con el transcurso del tiempo, al ir adaptándose a nuevos niveles de desarrollo tecnológico, conjugándose acompasadamente con la causa de exoneración del art. 140 e) LCU y con el grado de riesgo aceptable.
Creemos positivamente que la impredecibilidad del robot no debe necesariamente asociarse con el daño. Más bien al contrario, precisamente el carácter imprevisible del comportamiento de un robot determinado responde a la idea de acertar con la solución más adecuada con fundamento en la experiencia adquirida, de modo que lo que se espera del robot es justamente que actúe con mayor eficacia que el ser humano. En consecuencia, el comportamiento eficaz o correcto de la máquina inteligente es lo legítimamente esperado por el usuario; este confía en la seguridad que debe ofrecer un robot, cuya actuación imprevisible, surgida del autoaprendizaje basado en la experiencia, estará dirigida a dar respuesta eficaz al problema de que se trate. Si esa actuación impredecible se desvía de la réplica adecuada y produce algún daño, el fabricante de la máquina habrá de responder por ello. Debe descartarse, pues, la identificación entre imprevisibilidad del robot y peligrosidad intrínseca del producto, en el entendimiento de que ello permita a los juzgadores acordar la exoneración del productor por considerarse -como se expuso- que un bien intrínsecamente peligroso no ha de ser necesariamente defectuoso.
E) La prueba de la culpa y la culpa de la IA.
Para terminar con el tema de la prueba, debemos referirnos a las dudas que expone la Comisión sobre la falta de claridad que existe en cuanto a la demostración de la culpa de una IA que haya actuado de manera autónoma, así como en qué consiste la culpa de una persona que se sirve de la IA; ello a pesar de tener presente que, de conformidad con la Directiva 85/374/CEE, un producto que no cumple las normas de seguridad obligatorias se considera defectuoso con independencia de la culpa de los productores. Parece que la Comisión habla de culpa, pues, en dos escenarios bien distintos: el del usuario del producto y el de la máquina inteligente propiamente dicha.
Primeramente, debe precisarse que, aunque la LCU haga recaer la responsabilidad por los daños causados por el producto defectuoso sobre el fabricante, la prueba del defecto que específicamente provocó la falla del producto será determinante de la individualización última de responsabilidades, de cara al ejercicio de las acciones de repetición que, en su caso, correspondan, y a la obligación reparadora de las compañías aseguradoras. En este terreno, sí debe hablarse de negligencia, pero no frente a la víctima, sino entre los diversos agentes de la cadena de producción (diseñador del software o programador, fabricante del hardware, formador…).
De la responsabilidad del fabricante y los demás partícipes en la cadena de producción y comercialización del producto, se debe diferenciar la del propietario y la del usuario del robot –que pueden concurrir o no en la misma persona-, cuya intervención en el marco de la imputabilidad debe contemplarse desde dos perspectivas. Por una parte, como agente que interfiere en el nexo causal entre acción y resultado dañoso, afectando a la imputación de responsabilidad al productor; por otra, como causante del perjuicio frente a terceros. Al primer caso nos hemos referido ya al tratar la conducta de la víctima como causa de exoneración o reducción de la responsabilidad del productor por ruptura o interferencias en la relación de causalidad (culpa exclusiva de la víctima o concurrencia de culpas respectivamente).
Por otra parte, en lo que respecta a la responsabilidad del propietario y/o poseedor, usuario u operador del robot por los daños que este pueda ocasionar a terceros, su responsabilidad se fundamentaría en el mal uso, ajeno a las indicaciones del fabricante, que se realizara del mismo; esta cuestión quedaría al margen de la normativa sobre responsabilidad por productos defectuosos. Lo que debe reflexionarse en este entorno es la oportunidad de aplicar sin más las normas generales sobre responsabilidad por culpa ex art. 1902 CC, u optar por un sistema más objetivado de responsabilidad bajo la cobertura de distintos preceptos del Código Civil (art. 1905, por ejemplo, por analogía con la responsabilidad del propietario de un animal), o por la creación de un nuevo modelo de responsabilidad objetiva en la línea de la prevista para los vehículos a motor. En cualquier caso, la decisión sobre el régimen de responsabilidad más oportuno dependerá, entre otras circunstancias, del tipo de robot de que se trate, pues no ha de recibir el mismo tratamiento un robot quirúrgico o asistencial, que un dron o un vehículo no tripulado.
En este ámbito, juega un papel fundamental la determinación de las obligaciones que legalmente se atribuyan al productor sobre la actualización del software. Vuelve a aparecer la necesidad aquí de introducir las reformas legales necesarias en la normativa sobre seguridad de general de los productos para perfilar la atribución de responsabilidades a tenor de las garantías de funcionalidad ofrecidas por el fabricante.
En relación a clarificar la cuestión de la “culpa de la IA” a la que se refiere la Comisión, entendemos que no cabe hablar de atribución de culpa a una entidad que carece de personalidad jurídica, si es a esto a lo que alude el Informe. A falta de mayores precisiones, tenemos que descartar tanto dicha atribución como tratar el tema de la culpa en la órbita del productor frente a la víctima, en los términos ya expuestos. Si de lo que se trata es de identificar “culpa de la IA” con autonomía y, en consecuencia, responsabilidad por las acciones imprevisibles del ente inteligente, la consideración de la culpa frente al usuario también está de más.
3. El concepto de puesta en circulación del producto y los riesgos del desarrollo.
Recomienda el Informe de la Comisión la revisión del concepto de “puesta en circulación” utilizado por la Directiva 85/374/CEE, al objeto de tener en cuenta que los productos pueden cambiar y ser modificados, lo que podría ayudar a aclarar quién es el responsable civil de los cambios introducidos en el producto. Con ello se evitaría que los productores pudieran invocar el principio de aparición posterior del defecto, por el que quedarían exentos de responsabilidad si aquel no existía al momento en que se puso en circulación el producto –esto es, el momento de la entrega o puesta a disposición del público a través de la cadena de producción-, o el de los riesgos del desarrollo, que le eximirían igualmente si de acuerdo con los conocimientos de aquel momento no se podría haber previsto el defecto.
El art. 140 LCU -reproduciendo el art. 7 e) de la Directiva 85/374/CEE- se ocupa de las causas de exoneración del productor, enumerando una serie de circunstancias cuya prueba lo exime de responsabilidad. Entre estas causas, resulta particularmente trascendente en el campo de la robótica la referente a los llamados riesgos del desarrollo, que refleja el apartado e) del precepto, en virtud del cual el fabricante quedará exonerado si acredita “Que el estado de los conocimientos científicos y técnicos existentes en el momento de la puesta en circulación no permitía apreciar la existencia del defecto”.
Para invocar esta causa de exoneración el fabricante debe acreditar que, en el momento de poner en circulación el producto, los conocimientos científicos y técnicos existentes impedían apreciar el defecto causante del daño. A estos fines, le será necesario demostrar que se llevaron a cabo todas las actividades necesarias que el estado de la ciencia ofrecía en ese momento para conocerlo, y que posteriormente se descubrieron avances científicos que entonces resultaban inaccesibles. En el campo de la IA, resulta de especial significación la relación entre la fecha de la puesta en circulación del producto y la continua actualización o mejora del software de que se trate; el fabricante no podrá exonerarse de responsabilidad ex art. 140 e) LCU si no facilita al usuario el “update” o “upgrade” necesario para la correcta funcionalidad del producto, del que aquel dispuso aun después de la puesta en el mercado del mismo. Sería deseable que se obligase legalmente al fabricante a tasar los plazos de vida útil del producto para cada funcionalidad en cada estadio de actualización del software. Una vez que el productor garantice los medios de actualización, recaerá, en su caso, sobre el usuario la responsabilidad por su falta de diligencia al no incorporarlos a la máquina inteligente.
Por sus propias características, la cuestión de la determinación de los riesgos del desarrollo resulta particularmente importante en el terreno de los sistemas inteligentes, lo que se refleja en algunas reflexiones doctrinales acerca de la conceptualización de tales riesgos. Se sostiene, así, que en los casos de desconocimiento de los desarrolladores de software, nos encontramos ante “lagunas del desarrollo”, un concepto diferente al de estado de la ciencia o “riesgos del desarrollo”. La diferencia conceptual estriba en que en este último concepto se ignora el riesgo y la potencialidad del daño, mientras que en aquel se conoce el defecto o peligrosidad del bien, pero no la forma de detectarlo y prevenirlo. Partiendo a esta conceptuación doctrinal, la exoneración de los desarrolladores de software dependerá de distintos factores, como el tipo de fallo o error, el grado de desarrollo de la tecnología y la concreta vulnerabilidad.
Efectivamente, las “lagunas del desarrollo” no son otra cosa que el reconocimiento de la posibilidad del actuar autónomo e impredecible de las máquinas inteligentes, que no es capaz de anular una exhaustiva actividad investigadora previa de los creadores del software. La imprevisibilidad en el comportamiento de un producto dotado de IA, sin embargo, no puede convertirse en un riesgo del desarrollo que habría de ser asumido por la sociedad. Antes bien, su productor debe responder por los daños producidos por aquel en tanto producto inseguro, según hemos concluido anteriormente.
Ello nos conduce a la necesidad de contar con una buena política de gestión de riesgos para intentar concretar en cada caso el riesgo aceptable, tomando como punto de partida las normas de seguridad de la Unión Europea y su desarrollo por los Estados miembros, requiriendo autorizaciones administrativas, tests de viabilidad, previsibilidad de los daños posibles en cada sector. Y es en este sentido en el que las propuestas de reforma legislativas en materia de seguridad emitidas por la Comisión Europea cobran especial relevancia. Entre ellas, se propone que se adopten disposiciones explícitas relacionadas con el ámbito de aplicación de los actos normativos de la Unión Europea; contemplar los riesgos cibernéticos dentro del concepto de seguridad de los productos; exigir nuevas evaluaciones de los productos capaces de aprender autónomamente; implementar un control objetivo previo de conformidad; prever, también explícitamente, requisitos específicos de supervisión humana en la toma de decisiones en cada estadio de vida del sistema inteligente; o incluir entre las obligaciones del fabricante la valoración del daño psicológico que sus productos puedan causar al usuario.
La contemplación expresa de estas cuestiones en la normativa sobre seguridad general de los productos nos parece un requerimiento incontestable. Creemos que lo trascendente es que el legislador europeo y los legisladores nacionales establezcan con claridad las obligaciones de los fabricantes relacionadas con la información que se debe otorgar al usuario en cuanto a las funcionalidades de los productos inteligentes. Si en el uso del producto inteligente según las funcionalidades garantizadas se producen daños, tal producto es inseguro, con independencia de que el ente dotado de IA haya actuado autónomamente o no. También independientemente, frente a la víctima, de la negligencia humana en los controles de supervisión que de forma específica se establezcan en cada estadio de producción y comercialización del producto, por cuanto, una vez calificado este como inseguro, el productor responderá al margen de la culpa.
4. La determinación del modelo de responsabilidad, con un enfoque basado en el riesgo y la responsabilidad objetiva.
Debemos referirnos finalmente a las reflexiones de la Comisión sobre la posibilidad de solventar los problemas derivados de la opacidad y autonomía de los sistemas inteligentes en materia de responsabilidad civil siguiendo un enfoque basado en el riesgo. Nuevamente, los términos de la Comisión pueden resultar confusos, especialmente, en este caso, por el diverso modo de exponer las propuestas en el Libro Blanco y en el Informe adjunto al mismo si tenemos en cuenta las recomendaciones realizadas por la Resolución del Parlamento Europeo de 16 de febrero de 2017.
Efectivamente, la Comisión indica en el Libro Blanco que el nuevo marco regulador de la IA debe ser eficaz para alcanzar sus objetivos sin ser excesivamente prescriptivo, a fin de evitar una carga desproporcionada para las empresas. Para conseguir este equilibrio, la Comisión considera que se debe seguir un enfoque basado en el riesgo, a cuyo fin debe definirse qué es una aplicación de IA de riesgo elevado y establecer diversos controles previos de conformidad. Por su parte, también para el referido Informe las dificultades que plantean la autonomía y la opacidad a las normas nacionales de responsabilidad civil podrían tratar de solucionarse siguiendo un enfoque basado en el riesgo, si bien la reflexión de la Comisión resulta en gran medida equívoca. Merece la pena citar el Informe textualmente: “Los regímenes de responsabilidad objetiva pueden garantizar que, siempre que se materialice dicho riesgo, la víctima sea indemnizada con independencia de que exista o no culpa; aunque debe valorarse ponderadamente las consecuencias de la elección de quién debe ser el responsable civil objetivo de las operaciones de desarrollo y asimilación de la IA, y debe asimismo considerarse un enfoque basado en el riesgo”.
Como se ha señalado, en su Resolución de 16 de febrero de 2017, el Parlamento Europeo propone a la Comisión la consideración de emitir un instrumento legislativo relativo a la responsabilidad civil por los daños causados por los robots, sugiriendo su estudio desde dos posibles enfoques: el de la responsabilidad objetiva y el de la gestión de riesgos, centrado este, no en la persona que actuó de manera negligente, sino “en la persona que es capaz en determinadas circunstancias, de minimizar los riesgos y gestionar el impacto negativo”.
Parece que el Parlamento plantea la cuestión desde dos ópticas distintas, que han de llevarnos a consecuencias también dispares en el tema de la determinación de la responsabilidad.
Como es sabido, en un sistema de responsabilidad puramente objetiva solo se le requiere a la víctima la prueba del daño y de la relación de causalidad entre este y la actuación u omisión del causante del perjuicio, de modo que este únicamente quedaría exonerado por caso fortuito o fuerza mayor o por culpa exclusiva del perjudicado. El efecto más negativo de acogerse a un modelo de responsabilidad como el descrito es el freno a la innovación tecnológica que podría conllevar, de ahí que no se contemple como una solución completamente óptima al problema de la responsabilidad civil por los daños causados por los robots.
Ello conduce al Parlamento Europeo a no contemplarlo como la única solución plenamente satisfactoria al problema de la responsabilidad civil por los daños causados por las máquinas inteligentes, sugiriendo también el estudio de la posibilidad de adoptar un sistema de gestión de riesgos. La puesta en marcha del proceso de gestión de riesgos tiene por finalidad fundamental la calificación del riesgo atendiendo al nivel de pérdidas, tanto económicas como personales, que pueda producir. En función de dicha calificación –desde riesgo inaceptable hasta riesgo leve-, se habrán de tomar medidas de diversa naturaleza y alcance, determinándose los niveles de pérdidas máximas en la empresa, diversificados entre los distintos tipos de riesgo que puede generar, ya sean derivados de responsabilidad civil, empresarial, patronal o por los daños ocasionados por productos y servicios. El sistema de gestión de riesgos se dirige, en definitiva, a la determinación del nivel de riesgo aceptable, aquel del que no derivaría responsabilidad civil, que sí nacería, en principio, de adoptarse un régimen de responsabilidad puramente objetiva simplemente por el riesgo creado, cualquiera que este sea (por ejemplo, por la navegación aérea).
Visto así, el Parlamento Europeo parecía confrontar el enfoque de la gestión de riesgos con el de la responsabilidad objetiva. Ahora parece que la Comisión quiere combinar ambos enfoques, y mezcla conceptos como responsabilidad objetiva, riesgo o culpa, consiguiendo oscurecer más que clarificar esta cuestión. Al menos eso es lo que puede extraerse de la frase “Los regímenes de responsabilidad objetiva pueden garantizar que, siempre que se materialice dicho riesgo, la víctima sea indemnizada con independencia de que exista o no culpa”.
Orillando el uso escasamente técnico de los términos en los que se expresa el Informe, si entendemos que lo que se está proponiendo es combinar un sistema de responsabilidad objetiva con la gestión de riesgos, creemos que la Comisión se encuentra en el mejor camino para equilibrar las expectativas de seguridad e indemnidad de las víctimas en el campo de los daños generados por entes inteligentes y la incentivación de la innovación tecnológica. Para exponer esta idea, sin embargo, no puede decirse que tanto el Libro Blanco como el Informe destaquen por su claridad.
Así, cuando la Comisión se refiere a la oportunidad de establecer una responsabilidad objetiva similar a las existentes en las normas nacionales para productos que generan riesgos similares a los entes autónomos -como automóviles, aeronaves o centrales nucleares-, y de estudiar la posibilidad de vincular la determinación de responsabilidad a la suscripción de un seguro -siguiendo la técnica regulada por las normas de responsabilidad derivada de los vehículos a motor-, parece que hace referencia a la responsabilidad objetiva en sentido estricto. En cambio, para el resto de aplicaciones de IA, la Comisión se plantea la procedencia de adaptar la carga de la prueba relativa a la causalidad y la culpa.
El Informe concluye que, si bien la normativa en vigor de la UE y nacionales puede hacer frente a las vicisitudes de las tecnologías de IA, las dificultades de las mismas podrían hacer peligrar la indemnización de las víctimas. Por ello, podría contemplarse realizar determinados ajustes a la Directiva 85/374/CC, sobre la base de un enfoque basado en el riesgo, teniendo en cuenta que las distintas aplicaciones de IA presentan riesgos diferentes.
El problema se encuentra, desde nuestro punto de vista, en mezclar escenarios y normativas diferentes. Si la Comisión analiza la adecuación de la Directiva sobre productos defectuosos, no puede hacer distinciones entre los distintos tipos de sistemas de IA, ni hablar de la culpa, porque el productor responde con independencia de ella. Otra cosa es que deba delimitarse la culpa del usuario de la máquina inteligente, quien actuó negligentemente para provocar el mal funcionamiento del robot causante del daño, en la medida en que los perjuicios no derivaron de un defecto del producto sino de la negligencia del usuario. En este sentido hay que entender la recomendación del referido “Informe sobre responsabilidad derivada de la inteligencia artificial y otras tecnologías digitales emergentes”, emitido por el Grupo de Expertos sobre responsabilidad y nuevas tecnologías de la Comisión Europea en noviembre de 2019, sobre la necesaria combinación de regímenes de responsabilidad objetivos y subjetivos en los distintos escenarios en los que las máquinas inteligentes pueden provocar daños.
En esta línea, sí nos parece oportuno acudir a la evaluación del riesgo propuesta por la Comisión para determinar los sistemas de IA de riesgo elevado, a los fines de acogerlos bajo un sistema de responsabilidad objetiva similar al existente, por ejemplo, para los vehículos a motor. No debe perderse de vista, en cualquier caso, que las aplicaciones de IA se incorporan a productos y servicios con funcionalidades y características propias, y la peligrosidad de la aplicación inteligente habrá de ser evaluada en el entorno en que se desarrolle (sanitario, de transportes, educativo, administrativo…). Así, tal como ejemplifica el Libro Blanco, en el ámbito sanitario un fallo en el sistema de asignación de citas no supondrá en principio un riesgo elevado.
V. RECAPITULACIÓN: UNA BREVE REFLEXIÓN FINAL SOBRE EL LIBRO BLANCO.
Los últimos comentarios del epígrafe anterior nos llevan directamente a la conveniencia de realizar una última recapitulación conclusiva.
Hemos de reconocer que la primera impresión que ofrece el Libro Blanco al lector es agradable, en tanto recoge todas las reflexiones de la Comisión Europea, derivadas del trabajo que se ha venido haciendo en el seno de la Unión desde hace ya años, sobre los problemas de aplicación de la vigente normativa sobre seguridad y responsabilidad a los productos inteligentes. Sin embargo, una lectura más detenida y crítica tanto del Libro propiamente dicho como del Informe adjunto al mismo, desvanece esa primera sensación, llevándonos a concluir estas páginas con una visión pobre de estos textos en cuanto a la sistematización de las ideas y la claridad de las propuestas.
Ciertamente, en los dos documentos se mezclan conceptos e ideas relativas a los distintos regímenes de responsabilidad civil existentes, tanto en el marco legislativo europeo como en el de los ordenamientos nacionales. De forma desordenada, ambos se refieren a los pormenores de los diversos sistemas de responsabilidad objetivos, por riesgo o por culpa que se pueden observar a tenor de las diferentes normas en juego, sin atender en cada caso al ámbito objetivo y subjetivo de las mismas. Hubiese sido deseable mayor sistematización y precisión conceptual en aras de contar con una descripción clarificadora del contexto en el que nos movemos.
Precisado lo anterior, y a pesar de ello, entendemos, en la misma línea de reflexión de la Comisión, que la necesidad de reformas legislativas expresas, que se refieran a la claridad de conceptos y al reforzamiento de las exigencias de seguridad de los productos inteligentes, resulta patente. En este sentido, compartimos muchas de las propuestas de reforma sugeridas –tal como se ha ido desgranado a lo largo de estas páginas-, especialmente en lo concerniente a acompasar la normativa sobre seguridad general de los productos a las exigencias aplicativas de la legislación sobre responsabilidad civil.
Particularmente, nos parece crucial delimitar el concepto de producto, incorporando expresamente en el art. 136 LCU a la máquina inteligente, programa informático o software, así como evaluar la oportunidad de incluir de forma más precisa nuevos servicios basados en inteligencia artificial entre los servicios cubiertos por el régimen de responsabilidad cualificada del art. 148 LCU. Creemos igualmente perentorio extender el derecho de reparación de la víctima en el ámbito de la normativa sobre responsabilidad por productos defectuosos a los daños morales.
En cambio, por lo que se refiere a la facilitación de la prueba, no consideramos que pueda refrendarse legalmente presunciones de la relación de causalidad con carácter general, según se ha señalado. Consideramos que la labor judicial debe seguir siendo trascendental en la interpretación y aplicación particular de las normas a los supuestos litigiosos de que se trate, en función de las circunstancias concurrentes. Esta advertencia no contradice nuestro apoyo a la necesidad de legislar más específicamente en materia de seguridad, pues la definición de producto inseguro deberá realizarse sobre las obligaciones que se les exijan a los distintos agentes que participan en la cadena de producción y comercialización de los robots inteligentes. La prueba del defecto y del nexo causal se aliviarán en relación directamente proporcional a la definición legal de tales obligaciones y exigencia de requisitos de control. Igualmente, podría paliarse la pesadumbre de la prueba de la relación de causalidad a través de otros mecanismos indirectos, como la inclusión expresa en la normativa sobre seguridad de los productos del “mal uso previsible” por parte del productor, tal cual aparece en las normas sobre seguridad de las máquinas.
Para concluir, no podemos dejar de reflexionar sobre la inadecuación de contemplar los avances científicos en materia de inteligencia artificial como sinónimos de dificultad probatoria y, por consecuencia, de inconveniencia o desasosiego para la víctima. Más bien al contrario, cuanto mayor sea la técnica del robot, más fácilmente se podrá detectar el origen del defecto, en tanto más perfeccionada se encontrará la trazabilidad ordenada por la Unión Europea en sus recomendaciones; de modo que podría llegarse al punto en que fuera perfectamente detectable la causa del fallo y, por tanto, el sujeto responsable. La autonomía o imprevisibilidad de la máquina inteligente no puede ser tampoco fuente de preocupación para alcanzar la indemnidad del perjudicado, en la medida en que se entienda, como se ha expuesto, que todo sistema dotado de inteligencia artificial que produzca daños como consecuencia de un comportamiento legítimamente no esperado, es un producto defectuoso, del que debe responder su fabricante.
Acceder al título íntegro del artículo, con notas y bibliografía