Por Norberto J. de la Mata y Sergio Pérez González
Con el Grupo de expertos de alto nivel sobre inteligencia artificial de la Unión Europea, creado en 2018, podemos caracterizar los sistemas de inteligencia artificial como sistemas de software (y posiblemente también de hardware) diseñados por humanos que, ante un objetivo complejo, actúan en la dimensión física o digital percibiendo su entorno, a través de la adquisición e interpretación de datos estructurados o no, realizan razonamientos sobre el conocimiento, procesando la información derivada de los datos y deciden las mejores acciones para alcanzar el objetivo fijado. La Organización para la Cooperación y el Desarrollo Económicos dirá que un sistema de inteligencia artificial es un sistema basado en máquinas que puede, para un conjunto de objetivos definidos por humanos, realizar predicciones, recomendaciones o decisiones influidas por entornos virtuales o reales.
Interesa hacer referencia aquí a la distinción entre agentes artificiales predeterminados con comportamiento automatizado, por un lado, y agentes artificiales capaces de aprender y, por tanto, autónomos, al menos relativamente, por otro, pudiendo todavía diferenciar, como indica Salvadori hasta cuatro niveles entre automatización y autonomía de los agentes artificiales: los que operan de manera automática y pueden ser supervisados e intervenidos en todo momento por la acción humana (human in the loop); los que operan mediante algoritmos deterministas; los semi-autónomos, que incorporan algoritmos de aprendizaje automático, aunque susceptible de ser supervisado y corregido por el sujeto humano (human on the loop); y, por último, los que incorporan sistemas multi-agente para operar con otros agentes y aprender de manera automática, desarrollando así gran autonomía (human out of the loop). Aun con una clasificación tan elemental en el plano informático.
Como se ha podido comprobar en otros ámbitos (uso de maquinaria peligrosa, utilización de armas, etc.), puede afirmarse que el consenso está en que los agentes artificiales automáticos, bajo control del elemento humano, generan responsabilidad en las personas físicas y que los agentes artificiales autónomos o semi-autónomos generan un cierto si no vacío de responsabilidad (responsability gap), sí complicado tratamiento jurídico (y penal) de la misma.
Sobre la respuesta jurídica que merecen los resultados lesivos producidos por agentes artificiales con cierto grado de autonomía, un grupo de propuestas, posibilistas, conectan el uso de la IA con la responsabilidad humana, a través de la culpa in vigilando, la generación de riesgos previsibles, etc., y, en definitiva, con la posibilidad de la sanción de la comisión por omisión que permite el art. 11 CP; otras directamente, humanizando la IA, acuden a una responsabilidad específica del agente artificial que choca, sin embargo (y no solo), con el tema de la consecuencias jurídicas que puedan imponerse al “robot”.
En todo caso, el contexto de uso, hoy en día, de la IA con aprendizaje automático y de manera sustancial en sus estrategias de negocio (hacia objetivos de eficacia específicos) es el de una gran empresa con capacidad para componer instrucciones sobre grandes bases de datos que generen aprendizaje en el agente artificial hasta tomar decisiones no controlables, al menos directamente, por el elemento humano. Este sería, desde la perspectiva criminológica, el escenario que compone la duda sobre un posible vacío de responsabilidad más necesitado de aclaración.
¿Cómo podemos clasificar la relevancia de los procesos decisionales de sistemas de IA en estas grandes empresas? En primer lugar, puede pensarse en la ayuda de los agentes artificiales en la toma de decisiones de humanos (individual o colegiadamente), pero también puede pensarse en la proyección de la autonomía de algunos sistemas de IA en otros dos sentidos: a) como procesadores de decisión que se integran colegiadamente en el mismo nivel que las decisiones humanas (AI as a Corporate Board member) y b) como procesadores de decisión no supervisada directamente por humanos ,que se ejecutan por delegación conforme a la normativa interna de la empresa.
Toma relevancia, desvinculado de todo rasgo humanizador, este último supuesto: un agente artificial está habilitado para ejecutar sus propias decisiones sin supervisión específica de agentes humanos y sin rasgos de automatización, esto es, estamos ante un l sistema de IA relativamente autónomo.
Imaginemos (o simplemente pensemos en), por ejemplo:
1º Una gran empresa que ofrece servicios de música en streaming y que dispone que un sistema de inteligencia artificial analice datos de sus clientes con el objetivo de ofrecer otros servicios adicionales (premium) bajo un objetivo genérico de eficacia: cuantos más contratos se consigan, mejor. El algoritmo pone en relación datos muy variados, relaciones de datos que generan aprendizaje automático que actualiza sus pautas de actuación y que deja de ser rastreable desde una perspectiva humana: intereses detectados, tendencias de navegación en determinadas franjas espacio-temporales, hábitos de consumo y contratación de servicios, litigiosidad previa con la empresa etc. En función de estos datos, el agente artificial decide lanzar una oferta de contratación de servicios adicionales con el formato contractual, a la hora y la localización del dispositivo en la que concluye que es más probable la aceptación. Una revisión conforme a parámetros de racionalidad plurales considerados por humanos apuntarían a que ese contrato lanzado, con condiciones de difícil visibilidad (en los límites por lo admitido en la normativa y jurisprudencia civil), es aceptado con el ‘logueado’ por defecto del titular (para el uso rutinario de los servicios ya contratados) por un menor con quien convive, que es quien suele usar el ordenador común a esa hora y desde esa posición geolocalizable. Al margen de las consideraciones civiles, ¿puede considerarse que la Empresa ha estafado al titular de los servicios usando al menor como instrumento?
2º En una gran empresa de inversión que realiza, a través de un agente artificial, compras y ventas en el mercado de valores, con el objetivo de maximizar los beneficios en determinados márgenes y plazos temporales, el agente artificial introduce órdenes de venta masivas, ya que proyecta que el precio del valor caerá por imitación en las órdenes de venta de otros operadores. Posteriormente, el agente artificial realiza compras a precios inferiores, ya que proyecta que el valor superará los precios de venta en un determinado plazo de tiempo. ¿Comete la empresa un delito de alteración de precios del mercado financiero previsto en el artículo 284.1.3º CP?
La empresa conforma un actuar autónomo de los condicionamientos materiales de las personas físicas (el riesgo sobre el propio patrimonio), esto es, actúa en la manera en que lo hace, justamente, porque, por definición jurídica, no es la suma de los sujetos físicos que la participan. Es, a la inversa, un ente que solo pretende ser para no ser la suma de los sujetos físicos que lo integran. Y que toma decisiones en un nivel distinto del de las personas físicas que la componen, más allá de que, como sujeto, no goce de capacidad reflexiva o conciencia de sí misma, como un agente artificial.
A partir de la singularidad corporativa expuesta, parece lógico que la empresa pueda realizar hechos típicos por sí misma. De lo contrario, estaríamos avalando una suerte de responsabilidad objetiva por hechos ajenos.
Pues bien, puede ser que el hecho que se atribuye directamente a una persona jurídica sea el que, fenomenológicamente, realiza un agente artificial (no, en principio, una persona física). La construcción de nuestro art. 31 bis CP parece presuponer un elemento humano, pero puede esquivarse tal intuición y considerar que la persona jurídica comete por sí misma el hecho típico protagonizado por un agente artificial, bien por la vía del artículo 31 bis a), en la medida en que el agente artificial puede considerarse como uno de los que (“aquellos”) “están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma” bien por la vía del artículo 31 bis b), en la medida en que el agente artificial esté “sometido a la autoridad de las personas físicas mencionadas en el párrafo anterior (y) han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad”.
Sin embargo, el artículo 31 ter 1 CP precisa que “la responsabilidad penal de las personas jurídicas será exigible siempre que se constate la comisión de un delito que haya tenido que cometerse por quien ostente los cargos o funciones aludidas en el artículo anterior, aun cuando la concreta persona física responsable no haya sido individualizada o no haya sido posible dirigir el procedimiento contra ella”. Persona física, se dice. Y de nuevo de personas se habla en los apartados 2 y 4 del artículo 31 bis. ¿Hay que sustituir las alusiones a las personas físicas por “agentes humanos o artificiales”? Ayudaría, por más que pueda entenderse que estamos virtualizando en exceso la responsabilidad de la persona jurídica. Otra opción para responsabilizar a ésta nos obligaría a entender, cuando de inteligencia artificial autónoma se trate, que aquí (y no sólo en la automatizada) hay una “persona física” detrás. Algo en absoluto descabellado desde el entendimiento de que toda inteligencia artificial tiene quien la crea o, y esto es relevante (más en el ámbito de la responsabilidad empresarial), quien la debe controlar.
Aun así (o junto a ello), habría que comprobar el “defecto de organización” empresarial que permite tal responsabilidad. Es el compliance penal (el programa de cumplimiento) el que debiera señalar los límites de programación en las rutinas empresariales, de modo que las acciones excesivas respecto de aquel habrían de interpretarse como fenómenos incomprensibles para la empresa. La persona jurídica, así, no otorgaría sentido, en sus rutinas internas, a un actuar que resultase contrario a sus protocolos ético-sociales; si no es capaz de entender la acción, no podrá afirmarse ninguna suerte de responsabilidad (penal), ya que ni puede prever ni se le puede exigir que pueda prever lo que ocurre.
La persona jurídica no respondería, en ningún caso, si su compliance atiende las normas que han de regir la gestión de sistemas de IA, desde la perspectiva del caso concreto, al modo, por ejemplo, como se exige por el Grupo Independiente de Expertos de Alto Nivel sobre Inteligencia Artificial antes aludido, que entre otros requisitos, exige para una IA fiable “[…] garantizar [una] prevención del daño”, así como “evaluar y abordar constantemente […] a lo largo del ciclo de vida de los sistemas de IA” aspectos tales como su solidez técnica y seguridad, correcta gestión de la privacidad y de los datos, transparencia, etc., y una adaptación de los requisitos clave a la aplicación específica de cada IA. Esto es, se trataría de obligar a trasladar, en la creación y uso de IA, las prohibiciones penales a un lenguaje informático de “validez lógica” y “precisión terminológica” que garantice (de modo probabilísticamente elevado) la ausencia de riesgo penal.
Así, en los ejemplos antes planteados,
1º Habría de exigirse, aun desde evoluciones autónomas, un sistema de cumplimiento que valore el riesgo de que el contrato lo firme un menor, haga obligatorio un sistema de doble verificación e impida cualquier variación de tal exigencia.
2º En el segundo ejemplo, el sistema de cumplimiento debería valorar el riesgo de alteración de los precios de productos financieros y proponer un sistema de evitación de venta masiva conforme a la valoración estadística del comportamiento de otros operadores en el mercado (probabilidades de que la orden de venta autónoma del sistema de IA propio sea el principal generador de una tendencia bajista que cause algunas de las consecuencias prohibidas por el art. 284.1.3º CP). O, para impedir que se evite el riesgo consustancial a todo modelo de negocio, garantizar al menos un software que en su actuación autónoma impida que ser genere “un beneficio superior a doscientos cincuenta mil euros” o que “se cause un grave impacto en la integridad del mercado”.
En definitiva, la implantación de la inteligencia artificial en las rutinas sociales es evidente y lo es que la causación de resultados lesivos por mediación de agentes artificiales se ha convertido en un problema jurídico de primer orden. Desde la perspectiva penal, podemos localizar cierto vacío de responsabilidad en relación con los sistemas de IA autónomos.
Pero, teniendo en cuenta que seguramente la casuística más gravosa de utilización de agentes artificiales autónomos se ubica en el ámbito de la decisión corporativa empresarial, también aquí, como en el ámbito de la responsabilidad penal corporativa derivada de actuaciones de una persona física, la inexistencia de un (buen) programa de cumplimiento normativo debe convertirse en el elemento definidor (salvados ciertos obstáculos de literalidad no definitivos) de tal responsabilidad.
