El pasado 13 de marzo se aprobó el reglamento europeo sobre inteligencia artificial (IA) por el Parlamento Europeo. El 21 de marzo, también lo hizo la Asamblea General de la ONU.
Dos grandes riesgos/retos protagonizarán la gestión eficaz empresarial durante este año 2024: seguridad de la información (Directiva NIS-2) y la inteligencia artificial.
El reglamento recién aprobado establece unas sanciones de hasta 35 millones de euros o de un 7% de la facturación global anual de la empresa condenada. No es ninguna broma. Primero la sanción. Luego la convicción. Somos así.
A partir del 17 de octubre del presente año entrará en vigor la Directiva NIS-2. Se incrementará la exigencia entre gobernanza y ciberseguridad para las empresas. De ahí la importancia de la incorporación de la norma ISO 31022 sobre gestión de riesgos legales, aportando el valor de la seguridad operacional como un gran propiciador del nacimiento de futuros contratos y el crecimiento de la empresa.
La ISO/IEC 42001 establece los requisitos de un marco certificable de sistemas de gestión de la IA que permitirá a las organizaciones garantizar que los sistemas se desarrollan y utilizan de forma responsable, fomentando el desarrollo y el uso de sistemas de inteligencia artificial fiables, de manera transparente y responsable.
La Asamblea General de la ONU ha aprobado (con fecha 21 de marzo de 2024) una resolución histórica sobre la importancia de promover sistemas de inteligencia artificial “seguros y confiables”. En materia de riesgos y amenazas pide a todos los Estados miembros y a las partes interesadas que se abstengan o dejen de utilizar sistemas de IA que conlleven cualquier tipo de vulneración del derecho internacional.
A su vez, la Asamblea de la ONU también insta a todos los Estados, al sector privado, la sociedad civil, las organizaciones de investigación y los medios de comunicación a desarrollar y apoyar enfoques y marcos regulatorios y de gobernanza relacionados con el uso seguro y confiable de la IA.
Hasta aquí, los parámetros generales de los dos nuevos marcos regulatorios recientemente aprobados por el Parlamento de la UE y la Asamblea General de la ONU.
Ahora bien, ¿Cómo se gestionan los daños ocasionados por sistemas de inteligencia artificial?
Analicemos, brevemente, dos textos legales: por un lado, la Resolución del Parlamento Europeo de 20 de octubre de 2020 sobre Responsabilidad Civil derivada de los daños ocasionados por sistemas de inteligencia artificial. El considerando 36 de esta norma establece que toda persona física o jurídica debe poder recurrir contra cualquier decisión tomada en detrimento suyo por un sistema de inteligencia artificial, robótica o tecnologías conexas vulnerando el Derecho nacional o de la Unión. A su vez, el considerando 37, establece que los consumidores podrían igualmente dirigir a las autoridades nacionales de control solicitudes de reparación, con vistas a garantizar el cumplimiento efectivo de dicho marco.
Por otro lado, la Propuesta de Directiva del Parlamento Europeo y del Consejo por la que se adaptan las normas de responsabilidad civil extracontractual a la inteligencia artificial. En este texto legal, se establece una presunción iuris tantum (salvo prueba en contrario) del nexo causal en caso de culpa. De esta manera, los jueces y tribunales están facultados para presumir el nexo causal entre la culpa del demandante y el resultado producido por el sistema de IA o, en su caso, la ausencia de resultado, siempre y cuando: el demandante demuestre o el tribunal presuma la culpa del demandado por no haber permitido el acceso a la información o no haberla preservado (artículo 3.5).
Puede considerarse razonablemente probable que la culpa del demandante ha influenciado tanto el resultado producido por el sistema de IA como, en su caso, la ausencia del mismo. En este caso, se trata de aportar indicios para que se pueda aplicar la presunción legal.
Esta norma se aplica, tanto si el demandado es el proveedor o un sujeto que debe cumplir con las obligaciones del proveedor o un usuario del sistema de IA. Ahora bien, cuando se trate de ese último, los deberes de cuidado que se consideran incumplidos son el incumplimiento de su obligación de usar o monitorizar el sistema de IA de alto riesgo en concordancia con las instrucciones suministradas por el proveedor o, en su caso, suspender o interrumpir su uso, o expone el sistema de IA a input data bajo su control que no son relevantes para la finalidad perseguida por el sistema (artículo 4.3).
Sin embargo, esta presunción no se aplica si el demandante puede probar que existía suficiente información que estaba al alcance del demandante para probar los hechos en los que fundamenta su acción (artículo 4.4).
En caso de sistemas de IA de bajo riesgo la presunción sólo se aplicará si los tribunales consideran excesivamente difícil para el demandante probar el nexo causal mencionado.
En definitiva, todo proyecto serio en una empresa pasa por establecer un sistema integrado de gestión que asegure estabilidad al proyecto y a las personas. En su defecto, vendrán las sanciones, y de ahí, las indemnizaciones. Saber innovar conlleva saber gestionar. A su vez, saber gestionar conlleva saber crecer.
Sigue toda la información de Cinco Días en Facebook, X y Linkedin, o en nuestra newsletter Agenda de Cinco Días