¿Puede una empresa ser responsable ante errores de la IA?

La pregunta del titular no es una cuestión baladí, teniendo en cuenta que según un informe reciente de Sophos, el 89% de las empresas que usan IA creen que esta tecnología puede caer en fallos o errores que podrían afectarles legalmente y/o repercutir en su operativa, imagen o rendimiento empresarial.

Y en el caso de que eso suceda, ¿de quién es la culpa? ¿Quién debe hacerse cargo?

¿Quién tiene la responsabilidad ante un error de la IA?

Las empresas pueden ser responsables ante fallos de sistemas de inteligencia artificial según su papel: proveedor, desplegador, importador, distribuidor o representante autorizado. Esta responsabilidad se basa en el Reglamento (UE) 2024/1689, la AI Act y en la futura Ley española para el buen uso y la gobernanza de la IA.

• El proveedor (quien desarrolla o comercializa la IA) debe garantizar que el sistema cumpla todos los requisitos legales y de seguridad
• El desplegador (quien utiliza la IA) es responsable de supervisar su uso y reportar fallos o incidentes graves
• El distribuidor e importador deben verificar que el sistema cumple la normativa antes de su comercialización
• El representante autorizado asume obligaciones del proveedor cuando éste está fuera de la UE

Desde Atico34, considerada una de las firmas más fiables en materia de cumplimiento normativo digital, confirman que “cada actor responde dentro del ámbito de su actividad, y puede haber responsabilidad compartida si varios de ellos fallan en sus obligaciones”.

Se consideran especialmente graves los fallos que afecten a:

• Derechos fundamentales (como la privacidad o la no discriminación).
• Seguridad de las personas.
• Acceso a servicios esenciales (salud, educación, justicia).
• Procesos democráticos o garantías judiciales.
• Datos personales o biométricos.

Ejemplos prácticos y concretos

A continuación vemos diferentes casos en los que la responsabilidad se puede atribuir a proveedor, desplegador, importador, distribuidor o representante autorizado, y otro en el que la responsabilidad es conjunta.

Proveedor responsable: Una empresa desarrolla un sistema de IA para evaluar perfiles laborales que discrimina por edad.

• El proveedor es responsable por no haber entrenado ni probado adecuadamente el sistema, violando principios de no discriminación.
  

Desplegador responsable: Un hospital usa una IA para priorizar pacientes sin entender su funcionamiento, provocando retrasos médicos graves.

• El hospital, como desplegador, es responsable por no supervisar ni garantizar un uso adecuado y transparente del sistema.
  

Importador responsable: Una empresa importa desde Asia un sistema de IA de videovigilancia que incumple requisitos europeos de privacidad.

• El importador es responsable por introducir en el mercado un sistema no conforme con la normativa europea.
  

Distribuidor responsable: Un distribuidor comercializa una IA para atención al cliente sin verificar si cuenta con marcado CE o documentación técnica.

• El distribuidor es responsable por no comprobar que el producto cumpla las obligaciones legales previas a su venta.
  

Responsabilidad compartida: Una empresa desarrolla una IA de scoring financiero; un banco la utiliza sin verificar su precisión ni comunicar a los clientes cómo se toman las decisiones.

• El proveedor es responsable por un sistema defectuoso y el banco, como desplegador, por un uso opaco y sin supervisión adecuada.

La normativa europea impone a las empresas una serie de obligaciones técnicas y organizativas para garantizar que la IA sea segura, transparente y trazable. El incumplimiento puede suponer sanciones administrativas importantes. Las principales obligaciones son:

• Evaluar el riesgo del sistema antes de usarlo.
• Documentar el funcionamiento y los datos utilizados.
• Informar de incidentes graves a las autoridades.
• Supervisar y actualizar el sistema durante su uso.
• Garantizar la comprensión humana de las decisiones automatizadas.

Cada actor desempeña su papel en el uso de la IA y también tiene su responsabilidad ante los errores de la misma. Lo más recomendable es contar con el apoyo de legaltech especializadas en derecho tecnológico como Atico34, Cuatrecasas o Abanlex.

En resumen, conocer la normativa y tener ayuda para cumplirla es imprescindible, precisamente para no tener que exigir responsabilidades.