La aplicación en el (ciber)espacio de la Propuesta de Reglamento sobre inteligencia artificial

Desde la barra Análisis La aplicación en el (ciber)espacio de la Propuesta de...
- Advertisment -

No es la primera vez que en el blog dedicamos un post a la Propuesta de Reglamento sobre Inteligencia Artificial. Ya lo han hecho, con anterioridad, Alexia Pato y Sergi Galvez. En esta entrada, aprovechando una conferencia que he tenido que preparar, me gustaría retomar una cuestión ya planteada por ambos: la dificultad para determinar la aplicación del Reglamento teniendo en cuenta que las actividades a las que se refiere se llevan a cabo en el ciberespacio, es decir, un entorno sin fronteras. 

La propuesta de Reglamento inteligencia artificial como una manifestación de un nuevo modelo regulatorio europeo para las actividades digitales

Como es conocido, las instituciones europeas están trabajando en un paquete de medidas legislativas destinadas a establecer una nueva regulación de las actividades que las grandes plataformas tecnológicas llevan a cabo en el entorno digital.

Las nuevas leyes digitales, algunas de las cuales ya se han adoptado (tal es el caso del Reglamento 2022/1925 sobre mercados digitales y del Reglamento 2022/868 sobre gobernanza de los datos) y otras están en proceso (en particular, la Propuesta de Reglamento de Servicios Digitales, cuyo estado de tramitación está muy avanzado, la Propuesta de Reglamento de Inteligencia artificial y la Propuesta de Reglamento de Datos), representan un nuevo modelo regulatorio, basado en el Reglamento general de datos personales (RGPD), y que está caracterizado por cuatro elementos:

a. El recurso al Reglamento en vez de la Directiva

b. El establecimiento de un régimen de requisitos para el acceso y el ejercicio de sus actividades muy severo(como ejemplo, se pueden consultar los requisitos impuestos a los sistemas IA de alto riesgo en los arts. 8 a 15 de la Propuesta de Reglamento; y las obligaciones establecidas en los arts. 16 a 29).

c. El nombramiento por cada Estado miembro de autoridades nacionales de supervisión con competencias sancionadoras ante el incumplimiento de este nuevo régimen normativo (véase, por ejemplo, las sanciones previstas en los arts. 71 y 72 del Reglamento)

d. El establecimiento de un órgano colegiado a nivel europeo donde están representadas todas estas autoridades (en el caso del Reglamento IA, el Comité Europeo de Inteligencia Artificial, art. 56).

Este nuevo modelo regulatorio tiene diversas implicaciones relativas a la manera en la que el Derecho internacional privado debe afrontar la regulación de las actividades de estas plataformas digitales. En este post, unicamente me voy a referir a las implicaciones que se derivan de uno de estos elementos: el recurso al Reglamento y la inclusión en ellos de una norma de conflicto unilateral para determinar su ámbito de aplicación territorial o, dicho de otro modo, a qué situaciones privadas internacionales resulta aplicable

Como resulta imposible abarcar todas las medidas que se están adoptando, me referiré exclusivamente a una de ellas: el Reglamento de Inteligencia Artificial, y a su art. 2.1.  Pero muchas reflexiones que se van a realizar a continuación son extrapolables al muchas de las otras medidas que forman parte de ese paquete. 

 En relación con el RIA, me voy a referir, por un lado, a la razón de ser de ese art. 2.1,; y, por otro, a los criterios de conexión utilizados en dicha disposición. 

Razón de ser del art. 2.1 y su relación con las normas de Derecho internacional privado

 El recurso a la fórmula del Reglamento elimina la necesidad de determinar la ley del Estado miembro que resulta a la situación privada internacional, tal y como ocurre cuando se utilizan directivas. Esta circunstancia se puso en evidencia con la ya derogada Directiva 95/46 de protección de datos personales, la cual fue objeto de dos sentencias del TJUE (sentencia de 1 October 2015, C-230/14, “Weltimmo” y sentencia de 28 julio 2016, C-191/15, “Verein für Konsumenteninformation”) destinadas a determinar la ley del Estado miembro que debía resultar aplicable a la situación. En el Reglamento, no es necesario acudir a una norma de conflicto que determine su aplicación. 

El Reglamento determina su aplicación a partir del art. 2.1 (Ámbito de aplicación), norma que determina a que situaciones privadas internacionales que resulta aplicable. La razón para determinar la aplicación del Reglamento a partir de esta norma y no a partir de las normas de conflicto existentes en R. Roma I (ley aplicable a las obligaciones contractuales) o R. Roma II (obligaciones extracontractuales) es que el legislador europeo considera el Reglamento como una ley de policía, cuya aplicación debe garantizarse en todas las situaciones que presentan una estrecha vinculación con la UE. Efectivamente, este carácter de ley de policía queda acreditado por los intereses que según el considerando 13: “… garantizar un nivel elevado y coherente de protección de los intereses públicos en lo que respecta a la salud, la seguridad y los derechos fundamentales”.

En atención a este carácter de ley de policía, en las acciones civiles que se planteen ante los tribunales, el Reglamento debe aplicarse con carácter preferente a la ley designada por los reglamentos Roma I y Roma II, siempre que la situación, claro está, entre dentro de su ámbito de aplicación. 

 Pero no es esta la única situación en la que el Reglamento puede resultar aplicable. Al respecto, cabe recordar que el Reglamento, a imagen y semejanza del RGDP, establece un sistema de tutela jurídico-publico: es decir, las personas afectadas por el mal funcionamiento de un sistema IA pueden presentar una reclamación ante las autoridades de control anteriormente mencionadas (atención, si bien la Propuesta de la Comisión no establece un Derecho a presentar una reclamación, el texto aprobado por el Parlamento Europeo lo introduce en su art. 65 j). En tal caso, el Art. 2.1 establece a que situaciones les resulta aplicable el Reglamento y, correlativamente, sobre qué situaciones las autoridades de control europeas tienen competencia (cierto es que será necesario acudir a las normas previstas en el Reglamento para determinar de entre todas las autoridades de control de los Estados miembro cual es la competente). En este caso, no es necesario atribuir a estas normas el carácter de ley de policía ni determinar su relación con las normas de conflicto de Roma I o Roma II. Dada la naturaleza administrativa de estos órganos, únicamente pueden aplicar su propia ley que en este caso es el Reglamento. 

Además, el art. 2.1 juega un papel prospectivo: son muchas las empresas establecidas en terceros Estados que van a consultar la disposición para establecer si deben adaptar sus servicios digitales a los requisitos establecidos en el Reglamento y obtener, en el caso de que se considere que es un sistema IA de alto riesgo, el certificado de conformidad regulado en el capítulo 5.

Dudas interpretativas relativas a los criterios de conexión

Por lo que respecta a la segunda cuestión, cabe recordar que los criterios de conexión utilizados en el Art. 2.1 son los siguientes:

“El presente Reglamento es aplicable a: 

a) los proveedores que introduzcan en el mercado o pongan en servicio sistemas de IA en la Unión, con independencia de si dichos proveedores están establecidos en la Unión o en un tercer país; 

b) los usuarios de sistemas de IA que se encuentren en la Unión; 

c) los proveedores y usuarios de sistemas de IA que se encuentren en un tercer país, cuando la información de salida generada por el sistema se utilice en la Unión

Es de sobre conocido que la Unión Europea ha sido acusada de establecer la aplicación extraterritorial de sus normas en el entorno digital. Especialmente en relación con el Reglamento General de Datos Personales, materia en la que ha sido acusada de practicar el imperialismo de los datos (“Data Imperialism”). 

En principio, dichas críticas parecen infundadas, tanto en relación con el RGPD como el Reglamento IA, por cuanto los criterios de conexión utilizados están destinados a asegurar que la normativa europea se aplica a actividades que despliegan efectos en el territorio de la Unión Europea (y, por lo tanto, pueden afectar a los intereses de los ciudadanos europeos). No obstante, algunos de ellos pueden ser demasiado laxos y no responder a este patrón.

En primer lugar, se ha denunciado los problemas interpretativos de la letra b) “los usuarios de sistemas de IA que se encuentren en la Unión”. Algunos autores han señalado que no resulta claro si deben ser los usuarios o los sistemas IA los que deben encontrarse en la Unión. A mi modo de ver, resulta fácil concluir que deben ser los usuarios de sistemas IA los que deben encontrarse en la Unión. La interpretación alternativa llevaría al absurdo de que los usuarios que se encuentren y utilicen los sistemas IA en la Unión podrían burlar la aplicación del Reglamento localizando los sistemas IA en terceros Estados y trabajando con ellos en remoto. En cualquier caso, también podría resultar válida una interpretación según la cual el Reglamento resulta aplicable cuando los usuarios de sistemas IA se encuentran en la Unión y cuando los sistemas IA se encuentran en la Unión con independencia de si son utilizados por usuarios localizados en la UE o en terceros Estados. De esta manera se aseguraría un alto nivel de protección de los valores fundamentales de la UE: proveedores, usuarios y sistemas IA localizados estarían obligados a cumplir con el Reglamento incluso si la información de salida es utilizada en terceros Estados. 

Mayores problemas interpretativos genera la letra c) “los proveedores y usuarios de sistemas de IA que se encuentren en un tercer país, cuando la información de salida generada por el sistema se utilice en la Unión”. No resulta difícil imaginar una situación en la que una empresa establecida en un tercer Estado que presta servicios utilizando sistemas IA (p. ej. de selección de personal), adquiera dicho sistema de un proveedor establecido también en un tercer Estado, y lo utilice para prestar sus servicios a empresas europeas, en decir, en una situación en las que la información de salida se va a utilizar en la Unión. En este supuesto, el proveedor quedaría obligado a cumplir con las obligaciones establecidas en el Reglamento, y bajo la jurisdicción de las autoridades de control de los Estados miembros. Esta interpretación resulta confirmada por el considerando 11. A mi modo de ver, se trata de un criterio de conexión exorbitante, que no responde a criterios de proximidad y que genera una gran inseguridad jurídica pues puede llevar a resultados imprevisibles para estos proveedores. En estas situaciones, el Reglamento debería resultar aplicable exclusivamente a los usuarios del sistema IA, pero no a los proveedores. Es decir, la disposición debería rezar: c) los usuarios de sistemas de IA que se encuentren en un tercer país, cuando la información de salida generada por el sistema se utilice en la Unión”. La eliminación de la referencia a los proveedores no tiene consecuencias pues aquellos que comercialicen sus servicios a usuarios que se encuentran en la UE quedarían sujetos al Reglamento en atención a la letra a).

En definitiva, el Reglamento IA es un ejemplo de cómo el nuevo modelo regulatorio europeo para las actividades de las plataformas digitales afecta a la manera tradicional de regular las situaciones privadas internacionales por el Derecho internacional privado, si bien las instituciones deben cuidar algunos aspectos para que dicha regulación lleve a resultados adecuados. Para ello, los expertos en la materia siguen resultando indispensables.

Aurelio López-Tarruella
Profesor Titular de Derecho internacional privado. Universidad de Alicante (España), Director de la Cátedra de Cultura Digital y Propiedad Intelectual (OEI-UA), Profesor del Master de Derecho de la Sociedad Digital, del Doctorado Europeo EIPIN – Information Society (Horizon 2020 Marie Skłodowska Curie Action ITN-EJD 2016-2019) y de diferentes Masters y cursos en España y el extranjero. Consultor para OMPI, la Comisión Europea y el Parlamento Europeo en proyectos de propiedad intelectual y tecnologías digitales… Autor y editor de diferentes publicaciones.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Time limit is exhausted. Please reload CAPTCHA.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

LO ÚLTIMO

Must read

- Advertisement -

Quizá también te gusteRELACIONADOS
Recomendados para ti