No está de más empezar por una evidencia. Los daños causados por sistemas de inteligencia artificial no son imputables a la propia IA, una entidad no viva que carece de personalidad jurídica, sino a las personas físicas o jurídicas. En el ámbito público resulta de aplicación el régimen de responsabilidad patrimonial objetiva de la Administración, regulado en los artículos 32 a 37 de la Ley 40/2015, de Régimen Jurídico del Sector Público, bastando la acreditación del daño antijurídico y su relación causal con el funcionamiento normal o anormal del servicio público, con independencia de la existencia de culpa.

La utilización de IA en los procedimientos administrativos se incardina, cuando procede, en la figura de la actuación administrativa automatizada definida en el artículo 41 de la Ley 40/2015, que exige la previa determinación del órgano responsable de la programación y supervisión del sistema, así como del órgano competente a efectos de impugnación. Este requisito garantiza la imputación orgánica de la actuación y la exigencia de responsabilidad jurídica.

Desde la perspectiva de los derechos fundamentales, el artículo 22 del Reglamento (UE) 2016/679, General de Protección de Datos (RGPD) reconoce el derecho de los interesados a no ser objeto de decisiones basadas exclusivamente en tratamientos automatizados que produzcan efectos jurídicos o les afecten significativamente, imponiendo la necesidad de una intervención humana efectiva. Esta exigencia se ve reforzada por el artículo 23 de la Ley 15/2022, de igualdad de trato y no discriminación, que impone deberes de control, evaluación y auditoría de los sistemas algorítmicos utilizados en la toma de decisiones públicas.

El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, de Inteligencia Artificial (RIA) establece una distinción estructural entre el proveedor del sistema de IA (art. 3.2 RIA), que es el responsable del diseño, desarrollo y puesta en el mercado, y el implantador o desplegador (art. 3.4 RIA), normalmente la Administración Pública que lo utiliza. El proveedor responde por los daños derivados de defectos del sistema —incluidos los relativos a datos de entrenamiento, documentación técnica, exactitud o seguridad—, mientras que la Administración responde por un uso indebido, negligente o contrario a las instrucciones y condiciones de utilización del sistema, sin perjuicio de su responsabilidad patrimonial frente a los ciudadanos.

Por otra parte, existe otro riesgo, en este caso no estrictamente técnico ni normativo, sino organizativo y cultural: la tendencia del empleado público a desplazar su juicio profesional hacia el sistema de IA generativa, asumiendo acríticamente sus resultados. El uso de estas herramientas en la Administración puede propiciar una abdicación práctica de la responsabilidad, en la medida en que la decisión humana se limita a validar la salida del sistema sin un análisis sustantivo propio. Esta dinámica, por supuesto, no altera el régimen jurídico de responsabilidad profesional o política, ni el de imputación —que sigue recayendo íntegramente sobre órganos y empleados humanos—, pero sí pone de relieve la necesidad de reforzar la formación, la supervisión efectiva y la conciencia de responsabilidad individual como elementos esenciales de una gobernanza jurídicamente responsable de la IA en el sector público.

Los ciudadanos conservan íntegramente sus derechos de impugnación frente a los actos administrativos adoptados con apoyo en sistemas de IA. En particular, tienen derecho a obtener información significativa sobre la lógica aplicada en los tratamientos automatizados (art. 15.1.h RGPD), a recibir una motivación suficiente y comprensible del acto administrativo (art. 35 de la Ley 39/2015, del Procedimiento Administrativo Común), y a interponer los correspondientes recursos administrativos y contencioso‑administrativos frente a órganos humanos identificables. La explicabilidad algorítmica es la nueva transparencia.

En el plano del Derecho privado europeo, la Directiva (UE) 2024/2853, sobre responsabilidad por los daños causados por productos defectuosos, extiende expresamente su ámbito a los productos digitales y al software, incluidos los sistemas de IA, e introduce una presunción de causalidad en favor de las víctimas cuando se incumplen obligaciones normativas de diligencia. La responsabilidad civil del proveedor del sistema se articula a través de esta Directiva, mientras que la responsabilidad de la Administración como implantadora continúa rigiéndose por el régimen objetivo de la Ley 40/2015.

Finalmente, la rendición de cuentas se completa mediante un sistema multinivel de supervisión, integrado por la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), la Agencia Española de Protección de Datos (AEPD) y los órganos europeos creados por el RIA, así como por los entornos controlados de prueba (sandboxes) previstos en los artículos 57 y siguientes del RIA y en el Real Decreto 817/2023, de 8 de noviembre.

Artículos relacionadosMás del autor

No hay comentarios

Dejar respuesta

Información básica de protección de datos. Responsable del tratamiento: Fundación esPublico. Finalidad: permitir la publicación de comentarios a los artículos del blog. Base jurídica: consentimiento que se entenderá otorgado al pulsar el botón "Publicar comentario". Destinatarios: público en general, la información que introduzca en el formulario será visible por todos los visitantes del blog. Ejercicio de derechos: de acceso, rectificación, supresión, oposición, limitación y portabilidad a través de dpd@espublico.com o en la dirección postal del responsable del tratamiento. Más información: Política de privacidad