REGULACIÓN DE LA INTELIGENCIA ARTIFICIAL EN EUROPA Incidencia en los regímenes jurídicos de protección de datos y de responsabilidad por productos
COMITÉ CIENTÍFICO DE LA EDITORIAL TIRANT LO BLANCH María José Añón Roig
Marta Lorente Sariñena
Ana Cañizares Laso
Javier de Lucas Martín
Jorge A. Cerdio Herrán
Víctor Moreno Catena
José Ramón Cossío Díaz
Francisco Muñoz Conde
Catedrática de Filosofía del Derecho de la Universidad de Valencia Catedrática de Derecho Civil de la Universidad de Málaga
Catedrático de Teoría y Filosofía de Derecho. Instituto Tecnológico Autónomo de México Ministro en retiro de la Suprema Corte de Justicia de la Nación y miembro de El Colegio Nacional
María Luisa Cuerda Arnau
Catedrática de Derecho Penal de la Universidad Jaume I de Castellón
Manuel Díaz Martínez
Catedrático de Derecho Procesal de la UNED
Carmen Domínguez Hidalgo
Catedrática de Derecho Civil de la Pontificia Universidad Católica de Chile
Eduardo Ferrer Mac-Gregor Poisot
Juez de la Corte Interamericana de Derechos Humanos Investigador del Instituto de Investigaciones Jurídicas de la UNAM
Owen Fiss
Catedrático emérito de Teoría del Derecho de la Universidad de Yale (EEUU)
José Antonio García-Cruces González
Catedrático de Derecho Mercantil de la UNED
José Luis González Cussac
Catedrático de Derecho Penal de la Universidad de Valencia
Luis López Guerra
Catedrático de Derecho Constitucional de la Universidad Carlos III de Madrid
Ángel M. López y López
Catedrático de Derecho Civil de la Universidad de Sevilla
Catedrática de Historia del Derecho de la Universidad Autónoma de Madrid Catedrático de Filosofía del Derecho y Filosofía Política de la Universidad de Valencia Catedrático de Derecho Procesal de la Universidad Carlos III de Madrid Catedrático de Derecho Penal de la Universidad Pablo de Olavide de Sevilla
Angelika Nussberger
Catedrática de Derecho Constitucional e Internacional en la Universidad de Colonia (Alemania) Miembro de la Comisión de Venecia
Héctor Olasolo Alonso
Catedrático de Derecho Internacional de la Universidad del Rosario (Colombia) y Presidente del Instituto Ibero-Americano de La Haya (Holanda)
Luciano Parejo Alfonso
Catedrático de Derecho Administrativo de la Universidad Carlos III de Madrid
Consuelo Ramón Chornet
Catedrática de Derecho Internacional Público y Relaciones Internacionales de la Universidad de Valencia
Tomás Sala Franco
Catedrático de Derecho del Trabajo y de la Seguridad Social de la Universidad de Valencia
Ignacio Sancho Gargallo
Magistrado de la Sala Primera (Civil) del Tribunal Supremo de España
Elisa Speckmann Guerra
Directora del Instituto de Investigaciones Históricas de la UNAM
Ruth Zimmerling
Catedrática de Ciencia Política de la Universidad de Mainz (Alemania)
Fueron miembros de este Comité: Emilio Beltrán Sánchez, Rosario Valpuesta Fernández y Tomás S. Vives Antón
Procedimiento de selección de originales, ver página web: www.tirant.net/index.php/editorial/procedimiento-de-seleccion-de-originales
REGULACIÓN DE LA INTELIGENCIA ARTIFICIAL EN EUROPA Incidencia en los regímenes jurídicos de protección de datos y de responsabilidad por productos
Carmen Muñoz García Profesora Titular de Derecho Civil Universidad Complutense Miembro del Instituto de Derecho Europeo e Integración Regional UCM Codirectora Sección de Inteligencia Artificial del Spanish Hub del European Law Institute
tirant lo blanch Valencia, 2023
Copyright ® 2023 Todos los derechos reservados. Ni la totalidad ni parte de este libro puede reproducirse o transmitirse por ningún procedimiento electrónico o mecánico, incluyendo fotocopia, grabación magnética, o cualquier almacenamiento de información y sistema de recuperación sin permiso escrito de la autora y del editor. En caso de erratas y actualizaciones, la Editorial Tirant lo Blanch publicará la pertinente corrección en la página web www.tirant.com.
© Carmen Muñoz García
© TIRANT LO BLANCH EDITA: TIRANT LO BLANCH C/ Artes Gráficas, 14 - 46010 - Valencia TELFS.: 96/361 00 48 - 50 FAX: 96/369 41 51 Email: tlb@tirant.com www.tirant.com Librería virtual: www.tirant.es ISBN: 978-84-1197-343-4 MAQUETA: Innovatext Si tiene alguna queja o sugerencia, envíenos un mail a: atencioncliente@tirant.com. En caso de no ser atendida su sugerencia, por favor, lea en www.tirant.net/index.php/empresa/politicas-de-empresa nuestro procedimiento de quejas. Responsabilidad Social Corporativa: http://www.tirant.net/Docs/RSCTirant.pdf
Índice Abreviaturas.......................................................................................................... Nota preliminar..................................................................................................... Introducción..........................................................................................................
11 13 25
Capítulo I Regulación en Europa de los sistemas de inteligencia artificial I.
II.
EL REGLAMENTO SOBRE INTELIGENCIA ARTIFICIAL................. 1. Hitos en la normativización de la inteligencia artificial: liderazgo tecnológico europeo y tutela de derechos...................................... 1.1. Implementar una reglamentación uniforme y en coherencia con otras normas............................................................... 1.2. Por lo pronto, la propuesta necesaria de un código de conducta voluntario...................................................................... 2. Otros hitos internacionales y uno propio, que no normativos...... 2.1. Los Principios de la OCDE.................................................... 2.2. El Código de conducta para la IA de EE.UU. y la UE. Una declaración de intenciones.................................................... 2.3. En España, la denominada Estrategia Nacional de IA......... 3. En busca del concepto técnico y flexible........................................ 4. Sistemas de IA. Marco jurídico basado en el riesgo ...................... 4.1. Los «sistemas de alto riesgo»................................................. 4.2. De los «sistemas de riesgo limitado» a otros sistemas con mayor impacto.................................................................................... 5. Un punto de inflexión. ChatGPT cuestiona el texto inicial de la Comisión........................................................................................... LOS RIESGOS QUE DERIVAN DEL USO DE SISTEMAS DE IA EN COHERENCIA CON OTRAS NORMAS................................................
31 31 31 43 45 45 46 48 50 55 57 60 65 68
Capítulo II Los datos, activos intangibles. Regulación base, nuevo mercado de datos y su impacto por la IA III.
MARCO NORMATIVO PARA PROTEGER LOS DATOS PERSONALES EN UNA ECONOMÍA DE DATOS.................................................. 1. El ejemplo: ChatGPT y el tratamiento masivo de datos................. 2. El riesgo para la privacidad de los tratamientos automatizados. Adaptar las soluciones a la IA..........................................................
73 73 75
8
Índice
3.
IV.
V.
VI.
VII.
«Big data» y «minería de datos» para el progreso tecnológico. Enfoque normativo en la tutela de la privacidad........................... 4. El consentimiento y otras condiciones para el tratamiento de los datos.................................................................................................. 4.1. El consentimiento del interesado en el tratamiento de «datos personales».................................................................................... 4.2. Otras previsiones legales que justifican el tratamiento........ 4.3. Libre circulación para los «datos no personales» ................ 5. Órganos de gestión.......................................................................... DESAFÍO JURÍDICO: IMPLEMENTAR LA REUTILIZACIÓN DE DATOS CON GARANTÍAS............................................................... 1. Un cambio de rumbo para impulsar la reutilización en un mercado europeo de datos..................................................................... 2. Garantizar la reutilización de la información del sector público.. 3. Nuevas iniciativas para implementar el intercambio de datos. La Data Governance Act y la Data Act ..................................................... 4. Algunas diferencias entre la Data Governance Act y la Data Act...... 5. El intercambio de datos entre UK y EE.UU................................... DEBERES DEL RESPONSABLE DEL TRATAMIENTO ...................... 1. Obligaciones de prevención, de revisión y de estar en condiciones de atender los derechos del interesado.................................... 2. Garantizar el derecho de acceso para salvaguardar el ejercicio de otros derechos.................................................................................. 3. Abordar los riesgos derivados de decisiones automatizadas y elaboración de perfiles. El principio de exactitud.............................. SANCIONES Y RESPONSABILIDAD ANTE EL INCUMPLIMIENTO.. 1. Multas históricas y nuevos desafíos por los sistemas de IA............ 2. El mal denominado «principio de responsabilidad proactiva»..... 3. Las sanciones administrativas y las autoridades de control para velar por el cumplimiento del RGPD.............................................. 4. La responsabilidad del artículo 82 del RGPD. Sistema objetivista.. 4.1. Ámbito de aplicación............................................................. 4.2. Acción u omisión. Sujetos obligados y sujetos beneficiados........................................................................................... 4.3. La relación de causalidad....................................................... 4.4. Daños indemnizables. Reparación integral y alcance de la cuantía..................................................................................... BALANCE Y ALGUNAS CUESTIONES PENDIENTES........................
78 85 85 89 90 92 96 96 101 106 116 118 119 119 123 127 130 130 132 135 139 143 144 145 147 149
Capítulo III Reformular la responsabilidad civil para adaptarla a los sistemas de IA VIII. RÉGIMEN VIGENTE. LA ADAPTACIÓN DE LA RESPONSABILIDAD CIVIL EN LA ERA DIGITAL..........................................................
153
9
Índice
1.
IX.
La necesidad de adaptar la responsabilidad civil a las realidades tecnológicas...................................................................................... 1.1. Grosso modo........................................................................... 1.2. Los pasos dados por el colegislador europeo....................... 1.2.1. ¿Tienen cabida las nuevas tecnologías en la normativa vigente?........................................................... 1.2.2. Alcanzar acuerdos por la complejidad de la adaptación de la Directiva 85/374................................... 1.2.3. Los principios básicos en el primer informe sobre responsabilidad en sistemas de IA ........................... 1.2.4. El «efecto caja negra» exige grandes ajustes........... 1.2.5. Nuevas definiciones, nuevos sujetos y los sistemas de alto riesgo. El PE no descartó promover dos textos diferentes.............................................................. 1.2.6. El propósito de una consulta decisiva. Y un resultado diferente............................................................... 2. El marco jurídico armonizado proporcionado por la Directiva 85/374 ¿Son tan necesarios los cambios?....................................... 2.1. Nuevos productos en la era digital y sistemas de IA que causan daños .......................................................................... 2.2. Aspectos relevantes de la Directiva 85/374. Régimen vigente........................................................................................ 2.2.1. Ámbito de aplicación................................................ 2.2.2. Sujetos obligados y sujetos responsables ................. 2.2.3 . Sujeto protegido: el consumidor que resulte perjudicado......................................................................... 2.2.4. Responsabilidad objetiva y causas de exoneración. 2.2.5. Daños cubiertos y daños no indemnizables............. 3. La Directiva 85/374. Régimen vigente y propósitos de impulsar igual tratamiento a demás productos y a sistemas IA..................... 3.1. A vueltas con la responsabilidad objetiva.............................. 3.2. El propósito de la armonización máxima............................. LA PROPUESTA: UN CAMBIO DE PARADIGMA CON DOS DIRECTIVAS COMPLEMENTARIAS................................................................. 1. Una, adaptar la Directiva 85/374 a la era digital y otra, proporcionar un sistema propio en materia de IA. Armonizar los dos instrumentos jurídicos. Algunas incoherencias.............................. 1.1. Nivel de armonización diferente........................................... 1.2. Distinto fundamento jurídico................................................ 1.3. Igual finalidad y distinto régimen normativo. ¿Y los casos fronterizos?............................................................................. 1.4. A grandes rasgos, otras diferencias esenciales del tratamiento diferenciado............................................................... 2. La propuesta para los sistemas de IA. Armonización de mínimos y sólo algunos aspectos.....................................................................
153 153 156 156 157 158 160 162 167 169 169 171 171 173 176 178 180 182 182 184 184 184 184 186 188 190 193
10
Índice
2.1. ¿Cuáles son los aspectos objeto de armonización?............... 2.1.1. Ámbito objetivo. Exigencia de conducta culposa y la prueba, en definitiva, «culpa probada»................ 2.1.2. Ámbito subjetivo: el operador responsable y el perjudicado...................................................................... 2.1.3. Probada la culpa, hay que probar nexo causal ¿presunción de causalidad?.............................................. 2.2. A futuro...................................................................................
193 193 199 203 209
Capítulo IV La irrupción de ChatGPT. Algunos riesgos y responsabilidades X. XI.
EL CASO DEL CHATGPT. HIPÓTESIS EN CASO DE DAÑOS.......... POSIBLES RESPONSABILIDADES........................................................ 1. Mecanismos de reacción del Derecho público: penas, multas y sanciones........................................................................................... 2. Responsabilidad extracontractual................................................... 2.1. Cuando el daño deriva de la infracción del RGPD.............. 2.2. Cuando el daño deriva por información de salida errónea u omisión................................................................................
211 213
216
Capítulo V Conclusiones.......................................................................................................
219
Bibliografía............................................................................................................
225
213 214 214
Abreviaturas
AEPD CDFUE CE CCT CEPD DA
Agencia Española de Protección de Datos Carta de los Derechos Fundamentales de la Unión Europea Comisión Europea Cláusulas contractuales tipo de protección de datos Comité Europeo de Protección de Datos Data Act o Ley de Datos (Propuesta de Reglamento sobre normas armonizadas para un acceso justo a los datos y su utilización, de 23 de febrero de 2022) DCSD Directiva 2019/770 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, sobre contratos de suministro de contenidos y servicios digitales DCV Directiva 2019/771 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de compraventa de bienes DGA Data Governance Act o Ley de Gobernanza de Datos (Reglamento 2022/868 relativo a la gobernanza europea de datos) DRPIA Propuesta de Directiva relativa a la adaptación de las normas de responsabilidad civil extracontractual a la inteligencia artificial o Directiva sobre responsabilidad en materia de IA DRPD Propuesta de Directiva sobre responsabilidad por los daños causados por productos defectuosos DOUE Diario Oficial de la Unión Europea DUE Derecho de la Unión Europea EE.MM. Estados miembros IAG/GenAI Inteligencia artificial generativa IoT Internet de las cosas LIA/ RIA Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (ley de inteligencia artificial) y se modifican determinados actos legislativos de la Unión, de 21 de abril de 2021 LOPDGDD Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales Núm./n.º Número p./pp. página/s
12 PE S RGPD TIC TFUE TJUE TRLGDCU TUE UE
Carmen Muñoz García
Parlamento Europeo Sentencia Reglamento General de Protección de Datos 2016/679 Tecnologías de la información y la comunicación Tratado de Funcionamiento de la Unión Europea Tribunal de Justicia de la Unión Europea Texto refundido de la Ley General para la Defensa de Consumidores y Usuarios Tratado de la Unión Europea Unión Europea
Nota preliminar*
No queda muy lejos el descubrimiento de internet y ya se habla de nuevos y profundos cambios tecnológicos que cambiarán el mundo, tanto en el tejido industrial y empresarial como en el social. La aparición de nuevos automatismos y de sistemas de inteligencia artificial (IA), con capacidad de simular el comportamiento humano, son cada vez más sofisticados y ponen de relieve la necesidad apremiante de contar con un marco regulatorio seguro y fiable que garantice los derechos de las personas en un entorno digital cambiante. La irrupción de ChatGPT a finales de 2022, y su acceso generalizado, ha puesto de manifiesto que impulsar la innovación, la inteligencia artificial o el procesamiento masivo de grandes datos y de calidad proporciona enormes beneficios económicos y sociales en todos los sectores y actividades, lo que requiere abordar una regulación de la materia con mayor control de los riesgos y del impacto para los derechos y libertades de los interesados, y muy especialmente en lo que se refiere a la protección de datos. Además, es preciso determinar cuáles son las responsabilidades cuando los defectos de los automatismos o sistemas de inteligencia artificial causan daños y perjuicios que afectan a derechos de contenidos patrimonial o personal de los sujetos protegidos, principalmente, como veremos, cuando mediando cualquier incumplimiento de cualquier agente que desarrolla o usa el sistema, este causa perjuicios a terceros. Estas cuestiones, la protección de datos y la responsabilidad extracontractual, cuyo tratamiento normativo se había puesto en marcha con anterioridad a la aparición de sistemas de inteligencia artificial —cada vez más sofisticados—, plantean cuestiones jurídicas novedosas que requieren nuevos enfoques y que exigen promover normas armonizadas que den respuestas óptimas y seguras. En una primera terminología se dice que estamos ante la llamada Cuarta Revolución Industrial, término acuñado por Klaus Schwab1 en su libro del *
1
Este trabajo ha sido realizado en el marco del Proyecto Nacional I+D «Hacia una Justicia civil eficiente: desafíos actuales y próximos desde la perspectiva europea» (PID2019-103909GB-I00), y del Grupo de Investigación UCM 971680 «Derecho de Daños. Derecho de la contratación», validado por la Agencia Estatal de Investigación (AEI) del MINECO. SCHWAB, K. La Cuarta Revolución Industrial, ed. por World Economic Forum, 2016, habla de que se están produciendo cambios abruptos y radicales, históricos en
14
Carmen Muñoz García
mismo nombre, en el que describe las características clave de la nueva revolución tecnológica y resalta las muchas ventajas y riesgos que ésta plantea. Una segunda terminología a la que nos hemos habituado es la que refiere la idea genérica del comienzo del período de la información ligado a las tecnología o Era Digital, que se consolida con la globalización de internet, a partir de comienzos del siglo xxi. Si bien, con miras a la legislación europea el término utilizado en sentido más específico para la Unión en los últimos años es el de Década Digital de Europa2 y se centra en la estrategia europea para capacitar a las personas ante las nuevas tecnologías, lo que exige adoptar normas centradas en los datos, técnicas digitales e infraestructuras, pero también en empresas y servicios públicos. En un contexto de avances tecnológicos que probablemente no tienen parangón con otros precedentes, es necesario poner de relieve los importantes desafíos que se han planteado en estos últimos años desde la Unión Europea y para Europa, a través de políticas que guían la transformación digital, y colocan a la Unión como líder en procesos regulatorios ordenados y armonizados. En concreto, a modo meramente enunciativo, es oportuno poner en valor las actuaciones que se han llevado a cabo desde planes estratégicos variados (comunicaciones e iniciativas legislativas incluidas), para responder a los grandes avances que se han producido desde la globa-
2
términos de magnitud, velocidad y alcance. Con lo que el autor —Fundador y Presidente Ejecutivo del Foro Económico Mundial—, advierte que, es necesario el compromiso colectivo de todos de crear un futuro en el que la innovación y la tecnología sirvan a las personas, y que es preciso que la humanidad alcance en estos contextos nuevos niveles de conciencia moral. La Comisión Europea (CE) ha fijado cuáles son las seis prioridades para 201924, con objetivos establecidos a más largo plazo. Junto a una Europa Adaptada a la Era Digital, se incluyen el Pacto Verde Europeo, una Economía al Servicio de las personas —crear un entorno de inversión atractivo y seguro—, una Europa más fuerte —defendiendo el multilateralismo y un orden mundial basado en normas—, la Promoción de nuestro Modo de Vida Europeo —defender la justicia y los valores fundamentales de la UE— y un nuevo impulso a la democracia europea. https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/ europe-fit-digital-age_es. Aunque es un término más generalizado a partir de las actuaciones emprendidas a partir del año 2020, se han simultaneado una década con otra, con nuevos propósitos y propuestas legislativas. De interés, la infografía del Consejo Europeo https://www.consilium.europa.eu/es/infographics/ digital-decade/ . Así, se determina que la CE está decidida a lograr que esta sea la «Década Digital de Europa» con normas propias que consoliden esta etapa. https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/europes-digital-decade-digital-targets-2030_es
Nota preliminar
15
lización de internet. Así, el imparable desarrollo de plataformas digitales, los flujos de datos públicos —también de privados—3, o las nuevas tecnologías, entre las que destaca la IA, precisan políticas sectoriales, armonizadas y seguras que proporcionan respuestas normativas para contribuir al Mercado Único Digital. De inicio, son un buen punto de partida los objetivos marcados por la Comisión Europea cuando hizo pública la primera Agenda Digital para Europa en mayo de 20104 para impulsar la confianza y el crecimiento en un mercado digital creciente, donde la digitalización y el desarrollo de la IA requieren nuevas propuestas jurídicas y enfoques claros ante los cambios disruptivos que se producen respecto a modelos jurídicos anteriores. Centrada en mejorar el acceso de los consumidores y las empresas a los bienes y servicios digitales en Europa, impulsa un avanzado sistema de derechos de los usuarios y protección de los consumidores y empresas y proyecta actuaciones normativas que maximicen el potencial de crecimiento de la economía digital y el óptimo desarrollo de la IA. A resultas de esta, se hacen públicas algunas comunicaciones de la CE que constatan que en el proceso de transformación y digitalización de la UE, son objetivos prioritarios los temas que ahora nos ocupan. De este período, entre otros textos, son el 3
4
Con la comunidad científica a la cabeza en cuanto que, con fines académicos y de investigación, sin ánimo de lucro, propicia el desarrollo de «código abierto» (el término hace referencia al software cuyo código fuente es accesible para terceros y se pone a disposición de estos). La primera Agenda Digital para Europa, presentada en mayo de 2010, forma parte de una de las siete iniciativas emblemáticas de la Estrategia Europea 2020 (COM/2010/2020 final), y con una previsión de desarrollo a diez años, identificó por primera vez el papel facilitador esencial de las TIC en la consecución de los objetivos de Europa. Y aunque admite que, ya en 2010 más de 250 millones de europeos se sirven de internet a diario, reconoce que aún hay millones que nunca lo han utilizado, por lo que es preciso alcanzar una mayor capacitación digital para sus ciudadanos que les permitan acceder cualquier bien, servicio o contenido digital, y dotar de competencias en el mercado de trabajo en evolución. En ese período, en concreto en el año 2015, la Estrategia para el Mercado Único Digital dio lugar al desarrollo ulterior de la Agenda Digital, al establecer disposiciones específicas basadas en tres pilares encaminados a garantizar un entorno digital justo, abierto y seguro: 1) mejorar el acceso de los consumidores y las empresas a los bienes y servicios digitales en Europa, 2) crear las condiciones adecuadas para que las redes y servicios digitales prosperen, y 3) aprovechar al máximo el potencial de crecimiento de la economía digital. Formar, desarrollar o potenciar las competencias digitales, así como proporcionar el marco adecuado en protección de datos fueron algunos de los grandes retos proyectados. Ilustrativo el siguiente documento del Parlamento Europeo https://www.europarl. europa.eu/factsheets/es/sheet/64/una-agenda-digital-para-europa
16
Carmen Muñoz García
Reglamento de protección de datos de las personas físicas (en adelante, RGPD)5 y la Directiva 2016/6806, que en contextos de una economía digital basada en los datos y con el objetivo de sacar el máximo partido de las tecnologías digitales, señala como preciso tutelar derechos y libertades fundamentales de las personas físicas y, en concreto, su derecho a la protección de los datos personales. Entre tanto, en mayo de 2015, la Estrategia para el Mercado Único Digital de la UE7 «conectado», da un nuevo impulso a la primera Agenda Digital para Europa y presenta dieciséis acciones específicas que, basadas en tres pilares esenciales muestran como denominador común maximizar la digitalización de bienes y servicios para consumidores, empresas y organizaciones, para aprovechar plenamente las oportunidades que ofrecen internet y las tecnologías digitales. Además, se admite que si bien las tecnologías digita5
6
7
Reglamento (UE) 2016/679, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, o RGPD), que establece las normas aplicables al tratamiento de datos personales por las instituciones, órganos y organismos de la UE. Entró en vigor a los 20 días de su publicación en el DOUE, y es de completa aplicación a partir del 25 de mayo de 2018. Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo. Desde que se lanzó la Estrategia para el Mercado Único Digital en mayo de 2015, la Comisión ha trabajado sobre todas las medidas principales y ha presentado gran número de propuestas para que los ciudadanos y las empresas de la UE puedan beneficiarse plenamente de un mercado único digital operativo (COM(2015) 192 final). Según se determina en la revisión intermedia de la aplicación de la Estrategia para el Mercado Único Digital de 10 de mayo de 2017 (COM(2017) 228 final), para la realización completa del mercado único digital de la UE es necesario un entorno jurídico claro y estable que fomente la innovación, resuelva la fragmentación de los mercados y permita que todos los agentes se beneficien de las nuevas dinámicas del mercado en condiciones equitativas y equilibradas, todo lo cual sentará las bases de credibilidad esenciales para la confianza de empresas y consumidores. Los tres pilares en los que se basa la Estrategia para el Mercado Único Digital son los siguientes: (i) mejorar el acceso de los consumidores y las empresas a los bienes y servicios digitales en Europa; (ii) crear las condiciones adecuadas para el éxito de los servicios y las redes digitales; y (iii) aprovechar al máximo el potencial de crecimiento de la economía digital. https://eur-lex.europa.eu/legal-content/ es/TXT/?uri=CELEX:52015DC0192
Nota preliminar
17
les no tienen límites, ni fronteras, es imprescindible un marco regulatorio. Se plantea como parte de la estrategia, la necesidad de digitalizar todos los sectores para mantener la competitividad de la UE, una base industrial fuerte y gestionar la transición a una economía industrial y de servicios inteligente. En este contexto, los datos masivos, los servicios en nube y la Internet de las cosas (IoT) son fundamentales para la competitividad de la UE, por lo que constituye una de las acciones específicas de dicha estrategia la de la creación de «una economía de los datos». En este marco, la Comunicación de la CE sobre «La construcción de una economía de los datos europea»8, de enero de 2017, fija la necesidad de adoptar políticas que faciliten la libre circulación de datos; el acceso y la transferencia en relación con los datos generados por máquinas; la responsabilidad y la seguridad en el contexto de las tecnologías emergentes; y la portabilidad de los datos no personales, la interoperabilidad y las normas. En abril de 2018, tras el impulso de estrategias sobre IA en EE.UU., tras iniciativas en 2016 en Canadá o Japón, o tras ingentes inversiones iniciadas en China, la Comisión Europea presentó por primera vez una Estrategia de IA en la Comunicación de la Comisión sobre inteligencia artificial para Europa9 y acordó un Plan coordinado sobre la inteligencia artificial10-que presentó meses después— con los Estados miembros. Y fue así con la pretensión de potenciar la inversión y la investigación, prepararse para las grandes transformaciones socioeconómicas que origina la IA y garantizar el marco ético y jurídico apropiado, basado en los valores de la Unión y en consonancia con la Carta de los Derechos Fundamentales de la UE. En la primera de las comunicaciones (abril 2018), advierte la Comisión que, está tomando medidas para facilitar el intercambio de datos y abrir el acceso a muchos más, con vistas a su reutilización, ya sean los datos del sector público, los sanitarios o los de la investigación. Es más, define estos como «la materia prima de la IA». No falta una clara orientación sobre la interpretación de las actuales normas en materia de responsabilidad por productos defectuosos para adaptarla a esta herramienta y a las tecnologías emergentes, aunque el tema se prevé que habrá de ser objeto de estudio y análisis pormenori8
9
10
Se puede consultar https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2017:9:FIN Europa se propone adoptar el liderazgo mundial y contribuir al debate de las políticas sobre IA, por lo que la CE propone la primera Estrategia sobre IA https:// eur-lex.europa.eu/legal-content/ES/TXT/?uri=COM%3A2018%3A237%3AFIN El Plan coordinado sobre la inteligencia artificial se presentó por la Comisión en diciembre de 2018 https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:52018DC0795&from=DA
18
Carmen Muñoz García
zado. La Comisión establece un grupo de expertos de alto nivel sobre la IA, que presentó sus directrices éticas para una IA fiable en abril de 2019. Del 19 de febrero de 2020, es la Estrategia Digital Europea (COM/2020/67 final)11 que presentada por la Comisión fija una política socioeconómica impulsada por soluciones digitales. Son los primeros objetivos el Libro Blanco sobre la Inteligencia Artificial (COM/2020/65 final/2) y la Estrategia Europea de Datos (COM/2020/66 final). Tanto un tema como otro serán el punto de partida de esta publicación, en la que pondremos el foco en el riesgo que produce el desarrollo y uso de esta tecnología tanto por el uso masivo de datos, como en los daños ocasionados por sistemas de inteligencia artificial, más allá de los calificados como «sistemas de alto riesgo». Con la puesta en marcha de la segunda Agenda Digital para Europa 203012, se adoptan dos comunicaciones sucesivas para establecer las bases de la
11
12
Comunicación de la Comisión «Configurar el futuro digital de Europa» [COM(2020) 67 final], de 19 de febrero de 2020 https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52020DC0067&from=PL . Comunicado de prensa de la CE acerca de sus estrategias para la gran transformación digital «Publicación de la agenda para configurar el futuro digital de Europa, una estrategia de datos y un Libro Blanco sobre la inteligencia artificial» https://eur-lex. europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52020DC0067&from=PL https://ec.europa.eu/commission/presscorner/detail/es/ip_20_273 Interesante visualizar la cronología con las muchas iniciativas impulsadas bajo las prioridades fijadas en la estrategia que según Ursula Von der Leyen refleja «nuestra ambición de dar forma al futuro digital de Europa, que abarca todo, de la ciberseguridad a las infraestructuras críticas, de la educación digital a las capacidades, de la democracia a los medios de comunicación» https://commission.europa.eu/ strategy-and-policy/priorities-2019-2024/europe-fit-digital-age_es La segunda Agenda Digital Europea para el decenio de 2020-2030 se focaliza en los profundos cambios introducidos por las tecnologías digitales, el papel esencial de los servicios y mercados digitales y las nuevas ambiciones tecnológicas y geopolíticas de la UE. Se abordan estas cuestiones centrándose en la creación de espacios y servicios digitales seguros, la consecución de condiciones de competencia equitativas en los mercados digitales con grandes plataformas, y el fortalecimiento de la soberanía digital de Europa, al tiempo que contribuye al objetivo europeo de neutralidad climática de aquí a 2050. Se pretende garantizar una soberanía digital europea vinculada a una soberanía europea de datos. Son la base dos comunicaciones fundamentales, que contienen estrategias claves, a saber, «Configurar el futuro digital de Europa» y «La década digital de Europa», la Comisión estableció las acciones específicas que emprenderá para contribuir a la creación de servicios y mercados digitales seguros y protegidos. Además, el desarrollo de la computación cuántica, una estrategia sobre la cadena de bloques y una política comercial
Nota preliminar
19
transformación digital de Europa durante la década 2020-2030. La primera presentada en 2020 sobre cómo Configurar el futuro digital de Europa, la segunda adoptada por la CE en 2021, denominada Brújula Digital 2030: el enfoque de Europa para el Decenio Digital13. Esta última estrategia, presentada por la Comisión tras el Discurso sobre el Estado de la Unión de septiembre de 2020 de la presidenta Von der Leyen, en el que abogó por que Europa garantice la soberanía digital con una visión común de la UE para 2030, acoge las ambiciones digitales impulsadas por Von der Leyen: una «nube europea», el liderazgo en una inteligencia artificial ética, una identidad digital segura para todos y unas infraestructuras de datos, superordenadores y conectividad sumamente mejoradas, con objetivos concretos, dentro de cuatro puntos cardinales. En conexión con lo anterior, en el específico ámbito de la protección de consumidores y usuarios, se presentó la Nueva Agenda del Consumidor14.
13
14
basada en la cadena de bloques, una IA centrada en el ser humano y fiable, los semiconductores (Ley europea de productos semiconductores), la soberanía digital, la ciberseguridad, la conectividad de alta velocidad, las redes 5G y 6G, y los espacios e infraestructuras de datos europeos, así como el establecimiento de estándares tecnológicos globales, constituyen prioridades para el decenio en curso https://www.europarl.europa.eu/factsheets/es/sheet/64/una-agenda-digital-para-europa El 9 de marzo de 2021, la UE propuso una «Brújula Digital» (COM(2021)0118) con cuatro objetivos digitales que deben alcanzarse de aquí a 2030. En dicha «Brújula Digital 2030» presentada por la Comisión en marzo de 2021, se exponen las ambiciones digitales para 2030 y se fijan cuatro hitos: Los dos primeros se centran en las capacidades digitales en infraestructuras, y en educación y capacidades, y los otros dos, en la transformación digital de las empresas y los servicios públicos. https://eur-lex.europa.eu/legal-content/ES/ALL/?uri=CELEX:52021DC0118 El 13 de noviembre de 2020, la Comisión Europea adoptó la Nueva Agenda del Consumidor, en la que se expresa la clara pretensión de capacitar a los consumidores para que desempeñen un rol activo en la aspectos como la transición ecológica y la digital. En plena fase de adaptación y superación de la pandemia de Covid 19 (las vacunas empezarían a implantarse a comienzos de año 2021), con una digitalización internacional en fuerte progresión, la UE impulsa políticas y normas que garanticen un mayor nivel de protección para los consumidores en circunstancias pandémicas donde se acrecienta la contratación en línea. Y aunque se proponen medidas orientadas a apoyar variadas políticas europeas que giran en torno a cinco áreas prioritarias: (i) la transición ecológica, (ii) la transformación digital, (iii) cumplimiento y vías de recurso, (iv) la vulnerabilidad de algunas categorías de consumidores y (v) la cooperación internacional, deja claro que los derechos fundamentales del consumidor no pueden minorarse en los nuevos contextos digitales. Es clave que, a pesar de la profunda y disruptiva transformación digital, los
20
Carmen Muñoz García
En esta, con estrategias varias que incluyen herramientas de información reforzada —pre y post contractual— y en el afianzamiento de garantías que generen confianza en los consumidores para un mercado único más ecológico, más digital y más justo, se establecen cinco áreas prioritarias con objetivos claramente diferenciados. Grosso modo, se pretende que cualquier acción legislativa que se emprenda en materia de consumidores, además de crear un espacio digital más seguro para estos, en el que sus derechos estén protegidos, hay que garantizar unas condiciones de competencia equitativas que faciliten la innovación para ofrecer mejores y más novedosos productos y servicios a los ciudadanos europeos. Se trata de promover normas que afiancen derechos vigentes así como establecer mayores garantías y mecanismos de tutela a los consumidores cuando operan en internet, ya sea cuando contratan bienes, servicios o contenidos en línea, y todo ello, junto con crear seguridad jurídica para promover el emprendimiento, la innovación y el progreso tecnológico. Así las cosas, la publicación pretende reflejar algunos aspectos relevantes del Derecho privado que, constituyendo legislación ampliamente consolidada en la UE y en los Estados miembros (EE.MM.), se ven inmersos en profundas reformas legislativas para adaptarse a las nuevas realidades digitales. Estas, imparables —por los cambios disruptivos infinitos de la tecnología— requieren de una normativa armonizada y fiable, capaz de proporcionar óptima protección jurídica a todos los intervinientes, pero principalmente, a los usuarios. Así es que, el uso masivo de datos —imprescindible— y el desarrollo de la inteligencia artificial —IA, o AI por sus siglas en inglés—, aun cuando producen ingentes beneficios, crean también riesgos crecientes que afectan a los derechos de consumidores y usuarios que exigen reformular y adaptarse a los nuevos paradigmas que se presentan. Esta materia, la de inteligencia artificial como conjunto de tecnologías de crecimiento exponencial, que afecta a todos los ámbitos de la sociedad y que aporta múltiples beneficios sociales y económicos a todos los sectores, genera múltiples riesgos vinculados a su uso y compromete derechos fundamentales. De ahí que se impone: (i) la necesidad de establecer el marco regulatorio común propio, armonizado, que se materializa inicialmente en la propuesta de la Comisión Europea (CE) del Reglamento en materia de Inteligencia Artificial (en adelante, LIA o Reglamento de IA)15 que,
15
usuarios estén tan protegidos en línea como fuera de línea. COM (2020) 696 final, https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=COM:2020:696:FIN. Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (ley de inte-