Carlos B Fernández. Las implicaciones jurídicas de la inteligencia artificial (IA) continúan siendo objeto de intenso análisis desde múltiples perspectivas, en numerosos foros. Uno de los más interesantes de los celebrados recientemente fue el WLW IA Summit 2023, convocado por la sección de inteligencia artificial de la Asociación Women in a Legal World (WLW), en colaboración con OdiseIA y el Centro de Estudios Garrigues, bajo el lema “Inteligencia Artificial en el sector legal, al servicio de la justicia y la igualdad”.
Abrió la sesión la presidenta de la sección y experta en privacidad, María Pardo de Vera, quien además de anticipar la próxima presentación de un informe conjunto WLW-OdiseIA sobre la incidencia de la IA en el sector legal, destacó que este sector debe ser un ejemplo en el uso de esa tecnología.
Para ello, destacó, además del trabajo conjunto de juristas y técnicos, es necesario que la mujer participe en el desarrollo de la IA.
El marco jurídico de la IA
Un trabajo colaborativo en el que incidió, ya en la primera mesa, dedicada al marco jurídico de la IA, Idoia Salazar, fundadora y presidenta de OdiseIA, como un factor necesario, dada la complejidad de la IA.
Y aunque la IA está rodeada de muchos prejuicios, la realidad es que va a revolucionar todas las industrias y a generar un impacto mucho más rápido de lo previsto. Por ello, habrá que estar preparados para todas las consecuencias, tanto positivas como negativas, que va a suponer.
En particular, en el sector legal, continuó Salazar, tendrá una gran incidencia y, a la vez, planteará grandes retos, porque su uso plantea nuevos casos de uso.
Por eso, mientras llega la regulación que está elaborando la Unión Europea, son necesarios unos principios éticos que eviten efectos no deseables, como la discriminación. Una circunstancia que, advirtió, se produce generalmente por la falta de supervisión humana de los datos de entrenamiento. Lo cual, a su vez, trae causa del desconocimiento de su impacto sobre las personas, dadas sus particulares características, como la autonomía.
Por todo ello, concluyó, hay que anticiparse a los riesgos para evitar esos daños. Una labor para la que varias grandes empresas, como Google, Telefónica, Microsoft o IBM, han establecido unos principios éticos para desarrollar una IA responsable. Pero, con todo, hace falta una regulación basada en el riesgo que el uso de la IA pueda provocar ante supuestos de hecho concretos. Una tara para la que el proyecto de sandbox regulatorio que va a poner en marcha la SEDIA puede resultar muy útil. En particular si va acompañado de unas guías específicas y unas herramientas de código abierto, que permita a empresas pequeñas y nacientes, evitar parte de los problemas que plantea esta tecnología.
A continuación Moisés Barrio, Letrado del Consejo de Estado y experto en derecho digital, señaló, citando a Bobbio, que estamos en el tiempo de los derechos y, esto, en los tiempos actuales, supone la necesidad de adaptar el derecho a la era digital y a nuevos desarrollos como la IA y las neurociencias.
Esta adaptación puede hacerse reconociendo nuevos derechos o ampliando los existentes, adaptándolos al nuevo entorno digital. Algo que en nuestro país ha hecho, destacadamente, la Carta de Derechos Digitales (LA LEY 16317/2021) de julio de 2021. Esta Carta, iniciativa del Gobierno, se diseñó por un grupo de expertos sobre la base dos consultas públicas. De ella surge el concepto de Derechos digitales como un supraconcepto, que engloba todos los derechos fundamentales de los ciudadanos, actualizándolos y ampliándolos.
Su contenido, sin carácter normativo, recoge principios para la elaboración de nuevas normas y afrontar los nuevos retos que se van a plantear, ayudando a interpretar la normativa actual. De hecho ya ha inspirado normas como la Ley 15/2022 y ha tenido influencia en la Carta Iberoamericana de Derechos digitales.
Sin embargo, concluyó Barrio, estos derechos, como todos, requieren de garantías para su efectividad. Algo que, en su opinión, pasa por la creación de un orden jurisdiccional especializado en lo digital, basado en el nuevo paradigma de la sociedad digital y alejado del ámbito analógico.
Cerró esta primera parte de la sesión Lorenzo Cotino, Catedrático de Derecho Constitucional en la Universidad de Valencia, quien destacó que el futuro Reglamento de IA (RIA), está ya en una fase muy avanzada de elaboración, a punto de comenzar su debate en los trílogos Comisión-Consejo-Parlamento.
Parece previsible que se apruebe durante la presidente de turno española, a lo largo del segundo semestre del año, pero el hecho de pueda comenzar a ser aplicable a los dos años, puede suponer un plazo muy largo para la inquietud ya existente en torno a estos temas.
Pero eso no supone que la IA sea una materia carente por completo de regulación, ya que en la actualidad ya se está produciendo una superposición de normativa que, desde distintos ángulos están relacionados con esta materia. Así, contamos con normativa sobre gobernanza de datos, protección de datos personales, datos de salud, propiedad industrial e intelectual, ciberseguridad, DSA, DMA…).
En todo caso, se sabe que el RIA va a seguir el modelo del RGPD, proponiendo una aplicación extraterritorial, fuera de los límites de la UE, que incluya a los desarrolladores de IA que utilicen sus resultados en nuestra esfera. Pero este modelo también plantea otros problemas, como la superposición con el propio RGPD, o el propio concepto de IA y de sistemas de IA de alto riesgo, que todavía no están resueltos.
Cotino explicó también que el sistema de semáforos previsto por el RIA prevé tanto sistemas prohibidos, por suponer un riesgo inaceptable para los derechos de las personas; como sistemas considerados de alto riesgo, sometidos a exigencias marcado de conformidad y autoevaluación; como, finalmente, sistemas ni considerados de alto riesgo ni prohibidos, sometidos al cumplimiento voluntario por parte de su diseñador o usuario a certificaciones y sellos de calidad.
En este contexto, las figuras más relevantes, a efectos del cumplimiento de las obligaciones que se establecen, son las del proveedor (o fabricante) y el usuario, que es la persona que compra un sistema de IA para utilizarlo.
Estas obligaciones se sintetizan en un conjunto de rigurosas pruebas que los sistemas de IA considerados de alto riesgo, que incluyen un sistema de gestión de riesgos, el establecimiento de estándares de gobernanza sobre los datos utilizados, la elaboración de una amplia documentación técnica, la transparencia para el usuario y la exactitud, robustez, precisión y supervisión humana.
Este camino emprendido por la UE, concluyó Cotino, es arriesgado, pero no cabe otra salida ante los riesgos que plantean estos sistemas.
Problemas jurídicos de la utilización de la IA en diferentes ámbitos
En la segunda mesa, dedicada a la utilización de la IA en distintos sectores, se abordaron los problemas que plantea el uso de esta tecnología en relación con la protección de datos personales, la responsabilidad civil, la propiedad intelectual y el sector público.
Por lo que se refiere al ámbito de la protección de datos, Adaya Esteban,Senior Contracts Legal Counsel del Global Privacy Team de McKinsey, comenzó destacando que el uso de los sistemas de IA suele implicar el tratamiento de datos de carácter personal, lo que a su vez, supone la remisión al RGPD sobre la regulación de estos tratamientos.
Y esta remisión implica problemas como el del origen de los datos; la transparencia de la información, en particular sobre la información a suministrar al usuario final; la remisión a las guías de la AEPD; el régimen de las decisiones automatizadas y, menos conocido, el problema de que se puedan copiar de fuentes públicas no seguras los algoritmos utilizados para el tratamiento.
Igualmente, se mantiene en todo momento la exigencia de accountability o responsabilidad proactiva, con el matiz de que, en la práctica, las empresas tienden a preferir el recurso al marcado o las certificaciones de conformidad en vez de a la pura libertad de gestión que permite el RGPD.
En el ámbito de la responsabilidad civil, Carmen Muñoz, Profesora Titular de Derecho Civil de la Universidad Complutense de Madrid, explicó que IA y datos (y su gobernanza), van de la mano. Por ello, conviene promover que se compartan los datos pero de una forma seguro.
Y es que, añadió, si bien la UE es pionera en proteger los derechos de sus ciudadanos, no podemos definir unos marcos jurídicos tan seguros que se pierda el tren del desarrollo tecnológico.
Por lo que se refiere a los daños causados por la IA, hay que destacar que el proyecto de Reglamento se ocupa de la gobernanza de la IA, sobre todo en relación con los sistemas de alto riesgo. Es más, el texto respeta todas las normas vigentes sobre protección de datos o protección de los consumidores, pero no prevé mecanismos indemnizatorios por las vulneraciones de los delitos de los ciudadanos. Estos están, de manera parcial, previstos por el art. 82 del RGPD (LA LEY 6637/2016).
Entre tanto llega ese Reglamento, el marco jurídico de la responsabilidad civil derivado de los daños causados por los sistemas de software, como son los de IA, se rige por la Directiva 85/374 (LA LEY 1943/1985) sobre daños causados por productos defectuosos. Lo cual lleva a su vez al planteamiento de cabe considerar a la IA como un producto. Una cuestión que el TJUE ha resuelto en el sentido de que declarar que el ámbito de aplicación de esta Directiva incluye los intangibles.
Pero esta Directiva tiene prevista su modificación por dos proyectos legislativos puestos en marcha recientemente por la Comisión. El primero se orienta a la adaptación de la Directiva 85/374 (LA LEY 1943/1985) a la era digital, que incluirá en su ámbito al software que esté instalado en máquinas que sean consideradas robots. El segundo consiste en una propuesta de Directiva específica sobre responsabilidad extracontractual de la IA, que parece que tiende a diseñar un sistema de responsabilidad basada en la culpa, de forma que cualquier operador de un sistema de IA pueda ser responsable en función de la demanda presentada por cualquier perjudicado.
Cristina Mesa, socia del área de IP/IT litigation & contracts de Garrigues y profesora del Centro de Estudios Garrigues, abordó a continuación los problemas que plantea el uso de la propiedad intelectual en el ámbito de la IA.
El principal de los cuales es que las imágenes utilizadas para el entrenamiento de los sistemas de IA, que les permiten buscar relaciones entre datos para establecer patrones que les llevan a identificar imágenes, pueden estar protegidas por diversas capas de derechos, incluso como meras fotografías.
Además, estas imágenes pueden estar incluidas en bases de datos que, a su vez, pueden disfrutar de una protección como almacenadoras de imágenes originales, o simplemente por un derecho sui generis, por el esfuerzo o la inversión realizados para construirlas.
Por todo ello explica, advirtió, que la UE no pudiese desarrollar en Europa hasta que en este entorno no se cambió el marco legal de las excepciones a la protección de la propiedad intelectual, para permitir la minería de datos, de forma que se permitiera ignorar los derechos subyacentes a las imágenes utilizadas si es con la mera finalidad de minería de datos (así lo estableció en nuestro país el Real Decreto-ley 24/2001, de 2 de noviembre, que transpuso a nuestro ordenamiento diversas directivas de la Unión Europea en materia, entre otras, de datos abiertos, reutilización de la información del sector público y ejercicio de derechos de autor y afines.
Esta norma permitió en Opt-Out (rechazo) por parte de los titulares de los derechos, pero siempre que ello se hiciera en un formato legible machine-to-machine, para que las máquinas lo puedan leer, excluyendo así los simples mensajes insertos en una página web o en una pantalla de inicio de una base de datos.
Cristina recordó que, recientemente, se ha planteado en los EEUU un supuesto muy específico en relación con los derechos dimanantes del desarrollo de un código fuente informático con licencias abiertas. Estas no implican un uso libre del código generado, sino que existe un derecho de reconocimiento de paternidad del mismo, o attribution rights, que excluye el uso de esos fragmentos para minería de datos. Y aunque parece que una exclusión procesal dejó fuera del juicio cerca del 90% de la demanda, subsiste un 1% de casos (que son muchos), en los que puede haber reproducción de contenidos con derechos de autor, lo que podría implicar la aplicación de una orden de cesación que impidiese su uso.
Finalmente, concluyó que un nuevo artículo introducido en la propuesta de Reglamento de IA va a obligar a los creadores de los foundational models, de los que deriva la tecnología de los modelos de lenguaje, a documentar el uso de datos de entrenamiento protegidos por derechos de autor, algo que puede resultar inviable, pero que tal vez esté orientado a conseguir el reconocimiento de algún tipo de derecho conexo a los derechos de autor.
Para cerrar este bloque, Marta Campomanes, Directora de Cumplimiento Normativo y Auditoría Interna de la Empresa Municipal de Transportes de Madrid, explicó, en primer lugar, que las administraciones públicas son favorables a cualquier medida que incremente la eficiencia y les libere de trabajos sin valor, aunque eso implique un aumento de la necesidad de formación y de gestión del cambio.
Sin embargo, son muchas las mejoras que la Administración puede obtener del aprovechamiento de los datos, ya que nadie tiene más datos. Esta utilidad se puede reflejar en actividades como la contratación pública, permitiendo el análisis de los pliegos de licitación para identificar el fraude, particularmente cuando se identifica, como suele suceder en estos casos, que los metadatos de los pliegos coinciden con los del adjudicatario final. Igualmente cabe su utilización para el control de los fondos públicos y la detección de los conflictos de intereses.
Sin embargo, señaló que también se han encontrado con supuestos más conflictivos, en espacial con el uso del reconocimiento facial en ámbitos como los aeropuertos, el pago en los autobuses o los autobuses autónomos.
Casos de uso de la IA generativa en el sector legal
En un tercer y breve bloque final, Sara Molina, Senior Manager en Legal Management Consulting de Deloitte Legal, presentó diversos casos de uso identificados por su organización en relación con el uso del ChatGPT en su trabajo, en función de las exigencias que plantean para su generación, el esfuerzo humano y técnico que requieren y el alineamiento con la estrategia de la compañía.
Entre las tareas que se han identificado como positivas para la mejora de la eficiencia y la diferenciación de la firma, Sara destacó la consultoría a clientes, la creación de modelos y servicios a medida y la investigación, redacción y análisis de contenidos.
Todo ello, concluyó, sin olvidar la importancia de la metodología de búsqueda, o legal prompting, que facilite al sistema el contexto que precisa para construir las respuestas adecuadas.
Cerró el acto la directora académica del Centro de Estudios Garrigues, Mercedes de Prada, quien subrayó la importancia para los juristas de mantenerse actualizados en sus conocimientos, sobre todo en relación con el entorno tecnológico, en unos tiempos de grandes y frecuentes cambios en esta materia. Un tiempo de transformación que hace más conveniente que nunca recordar el viejo adagio latino, nunca desvirtuado por la práctica: Vigilantibus, non durmientibus, iura subveniunt.