La inteligencia artificial (IA), en sus diferentes etapas, está presente en nuestra sociedad y en la economía digital desde hace muchos años. La irrupción de la inteligencia artificial generativa (IAG) en todos los ámbitos es, sin duda, uno de los grandes temas del momento.
Cada vez son más las empresas que están revisando y planteando su estrategia de adopción de IA coincidiendo con la “explosión” de estos primeros momentos de la apertura pública de la IAG, incorporando herramientas relacionadas con ello. Esta estrategia implica una revisión, entre otros, de los modelos de gestión de riesgos y, en particular, de todos aquellos relacionados con sus implicaciones legales y obligaciones de cumplimiento. Lo analizamos desde todos los ángulos del derecho de los negocios.
Implicaciones legales
Protección de datos
Las herramientas de IA en general pueden soportar decisiones que afecten a las personas desde el punto de vista de la protección de datos, por lo que es necesario tener en cuenta algunas precauciones. Según explica Katiana Otero, asociada principal de Economía del Dato, Privacidad y Ciberseguridad de Garrigues, la normativa de privacidad ya contempla cuestiones como el derecho de los ciudadanos a no ser objeto de decisiones individuales automatizadas. En estos casos, la clave será determinar si se trata de respuestas en las que no ha habido intervención humana y con efectos jurídicos sobre el interesado, ya que, de ser así, este tratamiento automatizado tiene limitaciones en cumplimiento de la normativa de protección de datos: será necesario llevar a cabo un análisis de impacto para evitar posibles riesgos, tomar una serie de cautelas y aplicar obligaciones reforzadas de información.
Por su parte, Alejandro Padín, socio de Economía del Dato, Privacidad y Ciberseguridad de Garrigues, recuerda, en relación con la IAG, que una de las cuestiones más relevantes sobre la mesa en este ámbito tiene que ver con la ingesta de información que reciben estos sistemas de inteligencia artificial, que podría incluir datos personales. Lo mismo sucede con los prompts o instrucciones que se proporcionan al sistema para obtener una respuesta, así como con el output o resultado final que ofrece la herramienta. Padín destaca cuatro cuestiones clave que las empresas deben tener muy presentes: la legitimación, la transparencia, las transferencias internacionales de datos y la seguridad. Y recomienda contar con esquemas de gobernanza y órganos de supervisión y control interno en las organizaciones.
Propiedad intelectual
Una tecnología disruptiva como la IAG, con capacidades creativas, siempre genera tensiones, especialmente en el ámbito legal, pero, según apunta Carolina Pina, socia de Propiedad Industrial e Intelectual de Garrigues, hay que ser optimistas porque no sustituirá la creatividad de la persona, como algunos auguran. Cabe hacerse algunas preguntas: ¿qué ocurre con la propiedad intelectual de los resultados de una herramienta de IAG? Según afirma esta experta, no se puede proteger lo que no es creado con intervención humana. Por ello, una recomendación para las empresas puede ser que el uso de una herramienta de IAG se haga en un proceso con intervención humana, incorporando elementos en el resultado que diferencien lo generado únicamente por la IAG, permitiendo así, al menos, proteger todos los elementos que determinan el resultado final, originando derechos sobre ello.
¿Y qué ocurre con los millones de datos que constituyen el dataset (la información que alimenta al sistema de IAG)? En los modelos públicos de propósito general se han utilizado, para su entrenamiento, todo tipo de fuentes públicas (Internet) y, aunque pudiera ser contenido protegido por propiedad intelectual, lo que hacen los sistemas de IAG es algo similar a “leer para aprender”, algo que el legislador europeo ya había previsto y que puede ser utilizado a estos efectos. La Directiva de Mercado Único Digital establece dos protecciones a los derechos de propiedad intelectual en relación con la minería de datos (artículos 3 y 4): se pueden captar esos datos para crear el dataset, pero los dueños de las webs pueden cerrar la puerta a la araña que captura información de entrenamiento para la IAG, si así lo desean.
Otro riesgo importante para las empresas es el uso posterior que se dé a los outputs o respuestas que ofrezca la herramienta de IAG. Este es el caso, por ejemplo, de las imágenes creadas con un modelo de IAG que podrían resultar una réplica exacta o bien una reproducción parcial de obras con las que ha sido entrenado. En función de cada caso, las consecuencias desde el punto de vista de los derechos de propiedad intelectual pueden variar, con el riesgo de infracción de la normativa sobre protección de derechos de propiedad intelectual. Ante este riesgo, se recomienda evaluar cuidadosamente el modelo, su funcionamiento y resultados para evitar futuras responsabilidades.
En cuanto a los conjuntos de datos que sirven de entrenamiento de un modelo de IAG y conforman su “cerebro”, Cristina Mesa, socia de Propiedad Industrial e Intelectual de Garrigues, señala que no son protegibles a través de la normativa de propiedad intelectual y, en principio, tampoco serían patentables, pero sí cabría, quizás, protegerlos como secretos empresariales.
Laboral
Desde una perspectiva del derecho del trabajo, cabe preguntarse hasta qué punto la IA en general puede sustituir la función de recursos humanos. En opinión de Clara Herreros, socia de Laboral de Garrigues, lo previsible es su utilización en el ámbito de las tareas de gestión, pero también la cada vez más necesaria supervisión, que siempre requerirá la intervención humana. Por tanto, las tareas más repetitivas y sencillas relacionadas con la administración (como, por ejemplo, la gestión de nóminas), se encuentran en un proceso de automatización desde hace años, lo que conduce a que la función de recursos humanos pueda centrarse más en la gestión de las personas. Ahí donde el factor humano no puede ser sustituido por la IA: “No es lo mismo comunicar una bajada de salario a través de una carta automatizada que hacerlo en persona”.
En cuanto a las decisiones basadas en un algoritmo que se puedan adoptar en un departamento de recursos humanos, Clara Herreros apunta algunos riesgos, como la posible vulneración del derecho a la igualdad y no discriminación, la seguridad y salud laboral, etc., y señala que alguien tendrá que vigilar que esas decisiones cumplen con la normativa laboral vigente: la figura del “vigilante del algoritmo” va a ser necesaria.
Por otra parte, la socia de Garrigues recuerda que la conocida como Ley Rider introdujo una disposición general sobre la IA: concretamente, se modificó el artículo 64.4 del Estatuto de los Trabajadores, que ahora recoge el derecho del comité de empresa a ser informado de los parámetros, reglas e instrucciones en los que se basan los algoritmos o sistemas de IA que afectan a la toma de decisiones de la empresa que pueden incidir en las condiciones de trabajo o el acceso y mantenimiento del empleo, incluida la elaboración de perfiles.
Además, una guía del Ministerio de Trabajo de 2022 también alude a los derechos de los representantes de los trabajadores o de los propios trabajadores en este ámbito. Se trata de un documento muy a tener en cuenta, ya que los juzgados y tribunales podrían acudir a él a la hora de interpretar la norma y dictar resoluciones.
Tributario
En el terreno de los tributos, en el que la información sobre los contribuyentes de la que dispone la administración tributaria no deja de crecer y ser cada vez más completa, y los algoritmos que aplican la regulación y los propios criterios de interpretación de los tributos siempre han sido un elemento central y controvertido, ¿quién vigila a los vigilantes?
Según recuerda Gonzalo Rincón, socio de Tributario de Garrigues, el Plan Estratégico de la Agencia Tributaria 2020-2023 recuerda que el uso de herramientas de IA puede contribuir y ser muy útil para el control del cumplimiento de la normativa fiscal y la lucha contra el fraude y reconoce el uso que se ha venido haciendo desde hace tiempo de estos sistemas. Pero este experto advierte que, para ello, resultará esencial que el arma con la que cuente la Administración tributaria garantice siempre un equilibrio de fuerzas con los derechos de los contribuyentes.
Uno de los grandes riesgos es la falta de transparencia o explicabilidad del sistema de IA adoptado, lo que, según apunta Gonzalo Rincón, hará que, en caso de inspección, Hacienda deba motivar no solo el fondo del asunto, sino también la forma en que se han extraído las conclusiones sobre el contribuyente afectado. Además, la IA debe evitar sesgos en la posible elaboración de perfiles de riesgo entre los ciudadanos por pertenecer a una determinada raza, origen social, etc.
Litigación y arbitraje
El servicio de la Administración de Justicia está inmerso en un proceso intenso de transformación digital. El plan del Ministerio Justicia 2030 incorpora diferentes proyectos relacionados con la inmediación digital o la automatización de los procedimientos, siendo posible la utilización de término justicia algorítmica. María Marelza Cózar, asociada sénior de Resolución de conflictos: litigación y arbitraje de Garrigues, señala que el desarrollo y la aplicación de sistemas de IA en el ámbito judicial español se está dando fundamentalmente en el ámbito de la tramitación procesal. Precisamente, el proyecto de Reglamento de Inteligencia Artificial de la Unión Europea, en su versión actual, no considera de alto riesgo su uso con valor instrumental para actividades accesorias y burocráticas, pero sí para la investigación, interpretación y toma de decisiones judiciales, ya que en estos casos podrían verse comprometidos los derechos fundamentales, los propios valores democráticos y especialmente el derecho a la tutela judicial efectiva y a un juez imparcial. Se trata (especialmente si se introduce la IAG en el ámbito de la Justicia) de evitar el riesgo de posibles sesgos, errores y opacidades. En este sentido, recuerda la frase del magistrado Manuel Marchena, presidente de la Sala Segunda del Tribunal Supremo, en cuanto a una posible proliferación de jueces robot: “De ellos podemos esperar decisiones exactas, pero no justas”.
Donde sí parece haber un campo especialmente abonado para la IA, según subraya María Marelza Cózar, es en el ámbito de los sistemas alternativos de resolución de conflictos, favoreciendo una mayor productividad y eficiencia en la resolución de este tipo de asuntos, cuando se caracterizan por su previsibilidad y ausencia de complejidad en su valoración.
En cuanto a lo que están haciendo países de nuestro entorno, Cózar señala el caso de Reino Unido, donde ya se utiliza para divorcios online o para litigios de pequeña cuantía. Más inquietantes son las noticias que llegan de otras jurisdicciones, como China, donde jueces y fiscales estarían aplicando IA en el ámbito penal.
Administrativo
Javier Fernández Rivaya, socio de Administrativo y Constitucional de Garrigues, destaca tres medidas adoptadas que van a incidir en cómo se desarrolle la IA en España e incluso en Europa.
Por un lado, la creación de la Agencia Española de Supervisión de Inteligencia Artificial, que impulsará la creación de entornos de prueba regulados que faciliten el despliegue responsable de sistema de inteligencia artificial. Esta agencia llevará a cabo tareas de supervisión, asesoramiento, concienciación y formación dirigidas a entidades de derecho público y privado para la adecuada implementación de la normativa nacional y europea sobre la adecuada utilización y el desarrollo de los sistemas de inteligencia artificial y los algoritmos. Además, le corresponderá la inspección, comprobación, sanción y demás funciones que le atribuya la normativa en la materia.
También está prevista la puesta en marcha de un sandbox regulatorio en materia de IA, cuyo objetivo será contribuir a promover una tecnología fiable, ética y robusta. Este entorno controlado de pruebas nacerá próximamente con la finalidad fundamental de servir de instrumento para estudiar la operatividad de los requisitos que la propuesta de reglamento europeo pretende imponer, y se espera que dé lugar a informes de buenas prácticas y a la elaboración de guías técnicas de ejecución y supervisión basadas en la evidencia obtenida.
A ello se suma el Centro de Transparencia Algorítmica de la Unión Europea (ECAT, por sus siglas en inglés), instalado en Sevilla, que reunirá expertos de primer nivel para apoyar las nuevas tareas de la Comisión Europea como regulador y que, además de convertirse en una base internacional de conocimiento en la materia que contribuya a la mayor transparencia posible, se pretende que sirva para prevenir riesgos sistémicos asociados a un mal uso de los algoritmos.
Adopción por la empresa de la IAG
Teniendo en cuenta todos los riesgos descritos, resulta esencial que, cuando una empresa se plantea la decisión de contratar o adquirir herramientas que incorporan sistemas de IAG, deba ser muy rigurosa en el análisis jurídico de dicha herramienta y se prepare internamente para su incorporación a la organización como una herramienta de trabajo. Se exponen a continuación dos cuestiones prácticas relevantes a estos efectos: Los términos y condiciones del producto a adquirir y la preparación de políticas internas de uso.
Contratación
A la hora de contratar herramientas de IAG, conviene prestar atención a los términos y condiciones, la letra pequeña de los contratos. Es fundamental entender cómo se distribuyen los riesgos derivados de estas tecnologías entre proveedores y clientes.
En este sentido, Cristina Mesa, socia de Propiedad Industrial e Intelectual de Garrigues, diferencia los marcos contractuales que una empresa se encuentra cuando utiliza soluciones de IAG suministradas por un proveedor especializado, o cuando decide “construir” o integrar una solución propia utilizando un modelos OS (open source) o directamente desde cero o “from scratch”. Y subraya algunos aspectos contractuales relevantes que se deben revisar en estos casos: su checklist incluye cuestiones como las condiciones del servicio (acceso); la propiedad de los outputs; la información y transparencia sobre el origen de los datos de entrenamiento; la indemnidad frente a infracciones de propiedad intelectual; el disclaimer en relación con los errores en las respuestas del sistema; las restricciones de uso (políticas); la confidencialidad; la protección de datos; las advertencias sobre servicios “AS IS” (no obligación de resultados); la responsabilidad del usuario; o la jurisdicción y ley aplicable.
También apunta cuestiones relativas a los procesos de due diligence en las operaciones de M&A cuando en la empresa analizada existen este tipo de sistemas. Como señala esta experta, es esencial conocer dónde reside el valor de estos activos, que no siempre es el software.
Política de uso de sistemas de IAG
Una vez integrados, los sistemas de IAG serán utilizados de manera generalizada por todas las personas de la organización y, dependiendo del tipo de sistema que se vaya a utilizar, es fundamental que exista una normativa interna que establezca la forma en que los empleados y miembros de dicha organización deben utilizar estas herramientas para su trabajo. Esta normativa, que puede tomar la forma de una política interna, deberá ser conocida por todos los miembros de la organización y cumplida de forma obligatoria, con el fin de evitar responsabilidades para la empresa. Es importante que el contenido específico de esta política se adapte tanto al tipo de organización como al tipo de herramientas que se vayan a utilizar.