Regulación de la inteligencia artificial en Europa
incidencia en los regímenes jurídicos de protección de datos
- ISBN: 9788411973427
- Editorial: Editorial Tirant lo Blanch
- Fecha de la edición: 2023
- Lugar de la edición: Valencia. España
- Colección: Tirant 4.0
- Encuadernación: Cartoné
- Medidas: 24 cm
- Nº Pág.: 228
- Idiomas: Español
El Derecho y la sociedad en su conjunto se enfrentan a uno de los mayores retos de este siglo con el desarrollo imparable de tecnologías como la inteligencia artificial. Con una proyección global, al que contribuye el denominado «efecto Bruselas», la Unión Europea ha puesto en marcha un proceso de regulación armonizada de la materia que se inicia con el Reglamento de Inteligencia Artificial. Este hito regulatorio, de marcado carácter de Derecho público, contribuirá al Mercado Único Digital de la Unión, en un pretendido equilibrio entre liderar la innovación y proteger los valores, los derechos fundamentales y los principios europeos. Para todo ello, el acervo de la UE, así como las instituciones, se convierten en el adalid óptimo. Dejando al margen los aspectos éticos y técnicos (el efecto «caja negra», o el de «código abierto») de dicho marco regulatorio, la autora analiza cuestiones esenciales de este texto que inciden de manera singular en los derechos de las personas en la Unión; en concreto, el estudio intenta aproximarse a la adecuación del régimen jurídico de protección de datos y de responsabilidad por daños que se producen en el contexto de esta tecnología. No es casual que la autora se ocupe de estos aspectos relevantes. Por un lado, el flujo de datos sin fronteras constituye el elemento esencial para el óptimo desarrollo de esta tecnología. Sin datos no hay IA, por lo que, datos seguros sí, cada vez más abiertos y compartidos, pero sin infringir la privacidad. Por otro lado, importa, y mucho, la responsabilidad por daños causados por productos o servicios en sistemas de inteligencia artificial. Es necesario adentrarse en el sistema reparador que nos ofrece el Derecho de la Unión Europea, aunque por el momento, no parece suficientemente satisfactorio. La aparición de ChatGPT, a finales de 2022, mostró las habilidades de la inteligencia artificial generativa y puso en jaque el texto presentado por la Comisión en 2021. Si los sistemas «de alto riesgo» constituían el grueso de la regulación de la IA, la aparición de esta aplicación generó un profundo debate en el Parlamento Europeo que culminó con la aprobación por el Pleno de un texto que conocimos en el solsticio de verano, y de hecho, la autora ha tratado de encajar muchas de estas múltiples enmiendas del Parlamento ya en fase de corrección de las pruebas de imprenta.
Capítulo I
Regulación en Europa de los sistemas
de inteligencia artificial
I. EL REGLAMENTO SOBRE INTELIGENCIA ARTIFICIAL 31
1. Hitos en la normativización de la inteligencia artificial: liderazgo tecnológico europeo y tutela de derechos 31
1.1. Implementar una reglamentación uniforme y en coherencia con otras normas 31
1.2. Por lo pronto, la propuesta necesaria de un código de conducta voluntario 43
2. Otros hitos internacionales y uno propio, que no normativos 45
2.1. Los Principios de la OCDE 45
2.2. El Código de conducta para la IA de EE.UU. y la UE. Una declaración de intenciones 46
2.3. En España, la denominada Estrategia Nacional de IA 48
3. En busca del concepto técnico y flexible 50
4. Sistemas de IA. Marco jurídico basado en el riesgo 55
4.1. Los «sistemas de alto riesgo» 57
4.2. De los «sistemas de riesgo limitado» a otros sistemas con mayor impacto 60
5. Un punto de inflexión. ChatGPT cuestiona el texto inicial de la Comisión 65
II. LOS RIESGOS QUE DERIVAN DEL USO DE SISTEMAS DE IA EN COHERENCIA CON OTRAS NORMAS 68
Capítulo II
Los datos, activos intangibles. Regulación base,
nuevo mercado de datos y su impacto por la IA
III. MARCO NORMATIVO PARA PROTEGER LOS DATOS PERSONALES EN UNA ECONOMÍA DE DATOS 73
1. El ejemplo: ChatGPT y el tratamiento masivo de datos 73
2. El riesgo para la privacidad de los tratamientos automatizados. Adaptar las soluciones a la IA 75
3. «Big data» y «minería de datos» para el progreso tecnológico. Enfoque normativo en la tutela de la privacidad 78
4. El consentimiento y otras condiciones para el tratamiento de los datos 85
4.1. El consentimiento del interesado en el tratamiento de «datos personales» 85
4.2. Otras previsiones legales que justifican el tratamiento 89
4.3. Libre circulación para los «datos no personales» 90
5. Órganos de gestión 92
IV. DESAFÍO JURÍDICO: IMPLEMENTAR LA REUTILIZACIÓN
DE DATOS CON GARANTÍAS 96
1. Un cambio de rumbo para impulsar la reutilización en un mercado europeo de datos 96
2. Garantizar la reutilización de la información del sector público 101
3. Nuevas iniciativas para implementar el intercambio de datos. La Data Governance Act y la Data Act 106
4. Algunas diferencias entre la Data Governance Act y la Data Act 116
5. El intercambio de datos entre UK y EE.UU. 118
V. DEBERES DEL RESPONSABLE DEL TRATAMIENTO 119
1. Obligaciones de prevención, de revisión y de estar en condiciones de atender los derechos del interesado 119
2. Garantizar el derecho de acceso para salvaguardar el ejercicio de otros derechos 123
3. Abordar los riesgos derivados de decisiones automatizadas y elaboración de perfiles. El principio de exactitud 127
VI. SANCIONES Y RESPONSABILIDAD ANTE EL INCUMPLIMIENTO 130
1. Multas históricas y nuevos desafíos por los sistemas de IA 130
2. El mal denominado «principio de responsabilidad proactiva» 132
3. Las sanciones administrativas y las autoridades de control para velar por el cumplimiento del RGPD 135
4. La responsabilidad del artículo 82 del RGPD. Sistema objetivista 139
4.1. Ámbito de aplicación 143
4.2. Acción u omisión. Sujetos obligados y sujetos beneficiados 144
4.3. La relación de causalidad 145
4.4. Daños indemnizables. Reparación integral y alcance de la cuantía 147
VII. BALANCE Y ALGUNAS CUESTIONES PENDIENTES 149
Capítulo III
Reformular la responsabilidad civil para adaptarla a los sistemas de IA
VIII. RÉGIMEN VIGENTE. LA ADAPTACIÓN DE LA RESPONSABILIDAD CIVIL EN LA ERA DIGITAL 153
1. La necesidad de adaptar la responsabilidad civil a las realidades tecnológicas 153
1.1. Grosso modo 153
1.2. Los pasos dados por el colegislador europeo 156
1.2.1. ¿Tienen cabida las nuevas tecnologías en la normativa vigente? 156
1.2.2. Alcanzar acuerdos por la complejidad de la adaptación de la Directiva 85/374 157
1.2.3. Los principios básicos en el primer informe sobre responsabilidad en sistemas de IA 158
1.2.4. El «efecto caja negra» exige grandes ajustes 160
1.2.5. Nuevas definiciones, nuevos sujetos y los sistemas de alto riesgo. El PE no descartó promover dos textos diferentes 162
1.2.6. El propósito de una consulta decisiva. Y un resultado diferente 167
2. El marco jurídico armonizado proporcionado por la Directiva 85/374 ¿Son tan necesarios los cambios? 169
2.1. Nuevos productos en la era digital y sistemas de IA que causan daños 169
2.2. Aspectos relevantes de la Directiva 85/374. Régimen vigente 171
2.2.1. Ámbito de aplicación 171
2.2.2. Sujetos obligados y sujetos responsables 173
2.2.3 . Sujeto protegido: el consumidor que resulte perjudicado 176
2.2.4. Responsabilidad objetiva y causas de exoneración 178
2.2.5. Daños cubiertos y daños no indemnizables 180
3. La Directiva 85/374. Régimen vigente y propósitos de impulsar igual tratamiento a demás productos y a sistemas IA 182
3.1. A vueltas con la responsabilidad objetiva 182
3.2. El propósito de la armonización máxima 184
IX. LA PROPUESTA: UN CAMBIO DE PARADIGMA CON DOS DIRECTIVAS COMPLEMENTARIAS 184
1. Una, adaptar la Directiva 85/374 a la era digital y otra, proporcionar un sistema propio en materia de IA. Armonizar los dos instrumentos jurídicos. Algunas incoherencias 184
1.1. Nivel de armonización diferente 184
1.2. Distinto fundamento jurídico 186
1.3. Igual finalidad y distinto régimen normativo. ¿Y los casos fronterizos? 188
1.4. A grandes rasgos, otras diferencias esenciales del tratamiento diferenciado 190
2. La propuesta para los sistemas de IA. Armonización de mínimos y sólo algunos aspectos 193
2.1. ¿Cuáles son los aspectos objeto de armonización? 193
2.1.1. Ámbito objetivo. Exigencia de conducta culposa y la prueba, en definitiva, «culpa probada» 193
2.1.2. Ámbito subjetivo: el operador responsable y el perjudicado 199
2.1.3. Probada la culpa, hay que probar nexo causal ¿presunción de causalidad? 203
2.2. A futuro 209
Capítulo IV
La irrupción de ChatGPT. Algunos riesgos y responsabilidades
X. EL CASO DEL CHATGPT. HIPÓTESIS EN CASO DE DAÑOS 211
XI. POSIBLES RESPONSABILIDADES 213
1. Mecanismos de reacción del Derecho público: penas, multas y sanciones 213
2. Responsabilidad extracontractual 214
2.1. Cuando el daño deriva de la infracción del RGPD 214
2.2. Cuando el daño deriva por información de salida errónea u omisión 216
Capítulo V
Conclusiones 219
Bibliografía 225