Riesgos legales en la implantación real de la inteligencia artificial en la empresa

El pasado lunes 26 de febrero, la Oficina Acelera Pyme de FADE organizó, de la mano de Garrigues, una jornada dedicada a analizar los principales riesgos legales que se deben afrontar en la adopción real de herramientas de inteligencia artificial (IA) en la empresa.

Que la inteligencia artificial (IA), en sus diferentes etapas, está presente en nuestra sociedad y en la economía digital desde hace muchos años es innegable, de ahí, que la irrupción de la inteligencia artificial generativa (IAG) en todos los ámbitos sea, sin duda, uno de los grandes temas del momento.

Con el objetivo de analizar los problemas que es necesario abordar antes de adoptar el uso de estas herramientas desde una perspectiva práctica, durante la jornada organizada por FADE, un equipo de profesionales de Garrigues los ha examinado desde todos los ángulos del derecho de los negocios.

Qué riesgos afrontan las empresas y cómo mitigarlos

Cada vez son más las empresas que están revisando y planteando su estrategia de adopción de IA coincidiendo con la «explosión» de estos primeros momentos de la apertura pública de la IAG, incorporando herramientas relacionadas con ello. Esta estrategia implica una revisión, entre otros, de los modelos de gestión de riesgos y, en particular, de todos aquellos relacionados con sus implicaciones legales y obligaciones de cumplimiento.

Las herramientas de IA en general pueden soportar decisiones que afecten a las personas desde el punto de vista de la protección de datos, por lo que es necesario tener en cuenta algunas precauciones. Según explicó José María Muñoz Paredes, Catedrático de Derecho Mercantil y socio en los Departamentos de Mercantil y Litigación y Arbitraje de Garrigues, la normativa de privacidad ya contempla cuestiones como el derecho de los ciudadanos a no ser objeto de decisiones individuales automatizadas. En estos casos, la clave será determinar si se trata de respuestas en las que no ha habido intervención humana y con efectos jurídicos sobre el interesado, ya que, de ser así, este tratamiento automatizado tiene limitaciones en cumplimiento de la normativa de protección de datos: será necesario llevar a cabo un análisis de impacto para evitar posibles riesgos, tomar una serie de cautelas y aplicar obligaciones reforzadas de información.

Por su parte, Nelly Sánchez, asociada principal del Departamento de Litigación y Arbitraje, recordó, en relación con la IAG, que una de las cuestiones más relevantes sobre la mesa en este ámbito tiene que ver con la ingesta de información que reciben estos sistemas de inteligencia artificial, que podría incluir datos personales. Destacó cuatro cuestiones clave que las empresas deben tener muy presentes: la legitimación, la transparencia, las transferencias internacionales de datos y la seguridad. Y recomendó contar con esquemas de gobernanza y órganos de supervisión y control interno en las organizaciones.

Una tecnología disruptiva como la IAG, con capacidades creativas, siempre genera tensiones, especialmente en el ámbito legal, pero, según apuntó Carolina Pina, socia de Propiedad Industrial e Intelectual de Garrigues, hay que ser optimistas porque no sustituirá la creatividad de la persona, como algunos auguran. Cabe hacerse algunas preguntas: ¿qué ocurre con la propiedad intelectual de los resultados de una herramienta de IAG? Según afirmó esta experta, no se puede proteger lo que no es creado con intervención humana. Por ello, una recomendación para las empresas puede ser que el uso de una herramienta de IAG se haga en un proceso con intervención humana, incorporando contenidos en el resultado que diferencien lo generado únicamente por la IAG.

El dataset y los derechos de propiedad intelectual

¿Y qué ocurre con los millones de datos que constituyen el dataset (la información que alimenta al sistema de IAG)? Los sistemas de IAG es algo similar a «leer para aprender», algo que el legislador europeo ya había previsto y que puede ser utilizado a estos efectos. La Directiva de Mercado Único Digital establece dos límites a los derechos de propiedad intelectual en relación con la minería de datos (artículos 3 y 4): se pueden captar esos datos para crear el dataset con contenidos obtenidos de fuentes públicas, pero los dueños de las webs pueden cerrar la puerta a la araña que captura información de entrenamiento para la IAG cuando tengan ánimo de lucro, si así lo desean. Si la minería de datos tiene finalidades de investigación sin ánimo de lucro los titulares de los derechos de propiedad intelectual no podrán adoptar medidas que restrinjan la minería de datos.

Otro riesgo importante para las empresas es el uso posterior que se dé a los outputs o respuestas que ofrezca la herramienta de IAG. Este es el caso, por ejemplo, de las imágenes creadas con un modelo de IAG que podrían resultar una réplica exacta o bien una reproducción parcial de obras con las que ha sido entrenado. En función de cada caso, las consecuencias desde el punto de vista de los derechos de propiedad intelectual pueden variar, con el riesgo de infracción de los derechos de propiedad intelectual. Ante este riesgo, se recomienda evaluar cuidadosamente el modelo, su funcionamiento y resultados para evitar futuras responsabilidades.

El derecho del trabajo

Desde una perspectiva del derecho del trabajo, cabe preguntarse hasta qué punto la IA en general puede sustituir la función de recursos humanos. En opinión de Ignacio Sánchez, socio de Laboral de Garrigues, lo previsible es su utilización en el ámbito de las tareas de gestión, pero también la cada vez más necesaria supervisión, que siempre requerirá la intervención humana. Por tanto, las tareas más repetitivas y sencillas relacionadas con la administración (como, por ejemplo, la gestión de nóminas), se encuentran en un proceso de automatización desde hace años, lo que conduce a que la función de recursos humanos pueda centrarse más en la gestión de las personas. Ahí donde el factor humano no puede ser sustituido por la IA: «No es lo mismo comunicar una bajada de salario a través de una carta automatizada que hacerlo en persona».

En cuanto a las decisiones basadas en un algoritmo que se puedan adoptar en un departamento de recursos humanos, Ignacio apuntó algunos riesgos, como la posible vulneración del derecho a la igualdad y no discriminación, la seguridad y salud laboral, etc., y señaló que alguien tendrá que vigilar que esas decisiones cumplen con la normativa laboral vigente: la figura del «vigilante del algoritmo» va a ser necesaria.

Por otra parte, el socio de Garrigues recordó que la conocida como Ley Rider introdujo una disposición general sobre la IA: concretamente, se modificó el artículo 64.4 del Estatuto de los Trabajadores, que ahora recoge el derecho del comité de empresa a ser informado de los parámetros, reglas e instrucciones en los que se basan los algoritmos o sistemas de IA que afectan a la toma de decisiones de la empresa que pueden incidir en las condiciones de trabajo o el acceso y mantenimiento del empleo, incluida la elaboración de perfiles.

Además, una guía del Ministerio de Trabajo de 2022 también alude a los derechos de los representantes de los trabajadores o de los propios trabajadores en este ámbito. Se trata de un documento muy a tener en cuenta, ya que los juzgados y tribunales podrían acudir a él a la hora de interpretar la norma y dictar resoluciones.

Agencia Tributaria

En el terreno de los tributos, en el que la información sobre los contribuyentes de la que dispone la administración tributaria no deja de crecer y ser cada vez más completa, y los algoritmos que aplican la regulación y los propios criterios de interpretación de los tributos siempre han sido un elemento central y controvertido, ¿quién vigila a los vigilantes?

Según comentó Alfonso Vallaure, counsel de Tributario de Garrigues, el Plan Estratégico de la Agencia Tributaria 2020-2023 recuerda que el uso de herramientas de IA puede contribuir y ser muy útil para el control del cumplimiento de la normativa fiscal y la lucha contra el fraude y reconoce el uso que se ha venido haciendo desde hace tiempo de estos sistemas. Pero este experto advirtió que, para ello, resultará esencial que el arma con la que cuente la Administración tributaria garantice siempre un equilibrio de fuerzas con los derechos de los contribuyentes.

Uno de los grandes riesgos es la falta de transparencia o explicabilidad del sistema de IA adoptado, lo que, según apuntó Alfonso Vallaure, hará que, en caso de inspección, Hacienda deba motivar no solo el fondo del asunto, sino también la forma en que se han extraído las conclusiones sobre el contribuyente afectado. Además, la IA debe evitar sesgos en la posible elaboración de perfiles de riesgo entre los ciudadanos por pertenecer a una determinada raza, origen social, etc.

El desarrollo de la IA en España

Javier García Luengo, catedrático de Derecho Administrativo y consejero académico con categoría de of counsel de la práctica de Derecho Administrativo y Urbanístico de Garrigues destacó varias medidas adoptadas que van a incidir en cómo se desarrolle la IA en España e incluso en Europa. Por un lado, la creación de la Agencia Española de Supervisión de Inteligencia Artificial, que impulsará la creación de entornos de prueba regulados que faciliten el despliegue responsable de sistema de inteligencia artificial. Esta agencia llevará a cabo tareas de supervisión, asesoramiento, concienciación y formación dirigidas a entidades de derecho público y privado para la adecuada implementación de la normativa nacional y europea sobre la adecuada utilización y el desarrollo de los sistemas de inteligencia artificial y los algoritmos. Además, le corresponderá la inspección, comprobación, sanción y demás funciones que le atribuya la normativa en la materia.

También está prevista la puesta en marcha de un sandbox regulatorio en materia de IA, cuyo objetivo será contribuir a promover una tecnología fiable, ética y robusta. Este entorno controlado de pruebas nacerá próximamente con la finalidad fundamental de servir de instrumento para estudiar la operatividad de los requisitos que la propuesta de reglamento europeo pretende imponer, y se espera que dé lugar a informes de buenas prácticas y a la elaboración de guías técnicas de ejecución y supervisión basadas en la evidencia obtenida.

Teniendo en cuenta todos los riesgos descritos, resulta esencial que, cuando una empresa se plantea la decisión de contratar o adquirir herramientas que incorporan sistemas de IAG, deba ser muy rigurosa en el análisis jurídico de dicha herramienta y se prepare internamente para su incorporación a la organización como una herramienta de trabajo. A la hora de contratar herramientas de IAG, conviene prestar atención a los términos y condiciones, la letra pequeña de los contratos. Es fundamental entender cómo se distribuyen los riesgos derivados de estas tecnologías entre proveedores y clientes.

En este sentido, Carolina Pina diferenció los marcos contractuales que una empresa se encuentra cuando utiliza soluciones de IAG suministradas por un proveedor especializado, o cuando decide «construir» o integrar una solución propia utilizando un modelo OS (open source) o directamente desde cero o «from scratch». Y subrayó algunos aspectos contractuales relevantes que se deben revisar en estos casos: su checklist incluye cuestiones como las condiciones del servicio (acceso); la propiedad de los outputs; la información y transparencia sobre el origen de los datos de entrenamiento; la indemnidad frente a infracciones de propiedad intelectual; el disclaimer en relación con los errores en las respuestas del sistema; las restricciones de uso (políticas); la confidencialidad; la protección de datos; las advertencias sobre servicios «AS IS» (no obligación de resultados); la responsabilidad del usuario; o la jurisdicción y ley aplicable.

También apuntó cuestiones relativas a los procesos de due diligence en las operaciones de M&A cuando en la empresa analizada existen este tipo de sistemas. Como señaló esta experta, es esencial conocer dónde reside el valor de estos activos, que no siempre es el software.

Una vez integrados, los sistemas de IAG serán utilizados de manera generalizada por todas las personas de la organización y, dependiendo del tipo de sistema que se vaya a utilizar, es fundamental que exista una normativa interna que establezca la forma en que los empleados y miembros de dicha organización deben utilizar estas herramientas para su trabajo. Esta normativa, que puede tomar la forma de una política interna, deberá ser conocida por todos los miembros de la organización y cumplida de forma obligatoria, con el fin de evitar responsabilidades para la empresa. Es importante que el contenido específico de esta política se adapte tanto al tipo de organización como al tipo de herramientas que se vayan a utilizar.

Con este tipo de iniciativas y jornadas, FADE a través de su oficina Acelera Pyme y como parte de su estrategia global de digitalización, busca impulsar la transformación digital y la innovación de las empresas asturianas, ayudándolas a ser más competitivas y sustentables.

Toda la información de la oficina Acelera Pyme de FADE se puede revisar en el siguiente enlace: https://web.fade.es/acelerapyme

- Ver vídeo completo de la jornada

Las Oficinas Acelera pyme puestas en marcha en toda España por Red.es, entidad pública adscrita al Ministerio de Transformación Digital a través de la Secretaría de Estado de Digitalización e Inteligencia Artificial, cuentan en su segunda onvocatoria 2022 con un presupuesto de 18.450.000 €, de los cuales Red.es aportará hasta el 80% del presupuesto subvencionable y las entidades beneficiarias el resto. Las actuaciones están financiadas con cargo al Programa Operativo Crecimiento Inteligente, Fondos Europeos de Desarrollo Regional (FEDER) del periodo de programación 2021-2027.

Temas

• FADE