La cirugía robótica en los seguros

/0 Comentarios/en /por

¿Se cubre la cirugía robótica en las actuales pólizas de los seguros de salud?

Actualmente la doctrina no ofrece una respuesta unánime a este interrogante, haciendo depender la misma de diversos factores, como la compañía aseguradora de que se trate o el tipo de cobertura que se contrate. Algunos autores han revisado las condiciones generales, las notas informativas, así como los documentos de información sobre los productos de seguro de salud, encontrando que en alguno de ellos se cita expresamente la cirugía robótica, junto a la cirugía bariátrica, a la radiocirugía y la cirugía de párkinson, entre las cirugías no cubiertas. Ahora bien, en la documentación de otras compañías, a diferencia de los antedicho, se halla incluida expresamente la cirugía robótica, pero solo para determinados tratamientos quirúrgicos de cáncer y bajo ciertas condiciones e indicaciones. De otro lado, también depende de los diferentes tipos de contratos de seguros de salud que ofertan las compañías de seguros que sí la cubren, con una cobertura básica de bajo coste, o con otra más amplia de coste, y con copago o sin copago. La doctrina señala que, aunque estos factores sean realmente determinantes, el mercado de los seguros de salud se está encaminando a una oferta de seguros adaptada a las avanzadas técnicas quirúrgicas, como es la robótica.

Parte de la doctrina autorizada en la materia, como Marta García Mandaloniz y Félix Benito Osma, señalan que, aunque estos factores sean realmente determinantes, el mercado de los seguros de salud se está encaminando a una oferta de seguros adaptada a las avanzadas técnicas quirúrgicas, como es la robótica. También reiteran que es especialmente importante, a la hora de acceder a la prestación, la autorización previa de la compañía aseguradora, la prescripción del cuadro médico y, en ocasiones, también se precisa el pago de una franquicia. De esta forma, habiendo quedado incluido el tratamiento quirúrgico mediante la cirugía robótica, con los criterios que se indiquen en la póliza, podría solicitarse el reembolso, normalmente de forma limitada, cuando la intervención se realice por un facultativo ajeno al cuadro médico de la aseguradora con la que se ha contratado un seguro de reembolso.

Como ejemplos actuales, destacan diferentes entidades aseguradoras, bastante populares, que cubren la cirugía con asistencia robótica, como son Adeslas, desde el año 2024, y Seguros DKV, pero únicamente para el tratamiento quirúrgico de dos tipos de cánceres, como son el de próstata, mediante prostatectomía radical, y el carcinoma renal mediante nefrectomía parcial, y deben cumplirse determinadas condiciones de tamaño o estadio del tumor. En este sentido, cumpliéndose las condiciones, y si nos encontramos ante tratamientos quirúrgicos de cáncer, la cirugía robótica se incluye en la cobertura “plena extra o integral” si se realiza en los centros concertados, previa inscripción de un facultativo especialista del cuadro médico y con autorización de la aseguradora, además de con el pago de una franquicia del asegurado al asegurador.

En caso de que el paciente asegurado se someta a una cirugía robótica en los términos incluidos en las condiciones generales o particulares de la póliza, pero tal cirugía sea llevada a cabo por personal especialista que no esté dentro del cuadro médico de la entidad aseguradora, podrá solicitad el reembolso de los gastos sanitarios causados por la intervención hasta una cantidad máxima anual. Para poder solicitar el reembolso, habrá de acompañar a la solicitud el informe original emitido por el facultativo, donde quede acreditado el cumplimiento de los criterios exigidos.

Como último ejemplo, en las condiciones generales del seguro de enfermedad y asistencia sanitaria de MAPFRE Salud se contiene la cobertura de la cirugía robótica para un mayor número de tipo de cirugías oncológicas (la cirugía urológica, para el cáncer de próstata y el carcinoma renal; la cirugía ginecológica para el cáncer de endometrio, la cirugía del aparato digestivo, la colorrectal y la torácica) es estadios localizados y “exclusivamente mediante el robot da Vinci”, en el tenor literal de sus condiciones generales.

En este sentido, autoras como la citada Marta García Mandaloniz, consideran que lo ideal sería que la legislación no permitiese excluir de cobertura en aquellos seguros de enfermedad y asistencia sanitaria que incluyan la cirugía y la hospitalización la utilización del equipamiento robótico cuando esté disponible en los centros del cuadro médico y haya facultativos formados en el manejo de este instrumento. Sin embargo, la realidad es que la exclusión se permite y varía en función del tipo de póliza que se haya contratado, o de cuáles sean las condiciones e indicaciones e indicaciones específicas para unos u otros tratamientos

De haber una inclusión implícita de la cirugía robótica autónoma, en la hipótesis de que esa exclusión no se contuviere de forma expresa y particularizada, sino de un modo amplio y general, con alusión a algún término como el de “las nuevas tecnologías quirúrgicas”, o las “técnicas de uso no habitual”, para ser eficaz dicha exclusión, la aseguradora habría de probar la novedad o la inseguridad alegada de la técnica autónoma. Por tanto, de ni probar la aseguradora la novedad o inseguridad, no estaría excluida de cobertura cuando la exclusión fuese recogida en la póliza en esos términos. Todo ello en virtud de lo establecido en los artículos 1288 y 1289 del CC, de los que se deriva el conocido principio de interpretación in dubio contra proferenten. Esto se traduce en que, la oscuridad u opacidad del clausulado no puede perjudicar al paciente asegurado, en alusión también a la buena fe contractual, prevista en los artículos 1258 del CC, así como el artículo 57 del Código de Comercio.

BIBLIOGRAFÍA

ATIENZA NAVARRO, M.L., “Seguro de responsabilidad civil y daños causados por sistemas de inteligencia artificial”, Revista de Derecho del Sistema Financiero, núm. 6, septiembre 2023.

BENITO OSMA, F., «El riesgo, el interés y la prima del seguro de salud en un entorno digital y tecnológico», en GIRGADO PERANDONES, P. (Dir.), El contrato de seguro y su distribución en la encrucijada, ed. Thomson Reuters Aranzadi, Navarra, 2018.

Documento Adeslas “Novedades para seguir cuidando de ti. Queremos dar más valor a tu seguro. Por eso, en 2024 ampliamos coberturas y servicios”. Consultado en: https://www.segurvaixaadeslas.es/en/node/3320. Última fecha de consulta: 24 de octubre de 2024.

Documento Condiciones Generales Maphre Salud. Consultado en: https://www.mapfreventas.com/condiciones/cg-asistencia-sanitaria.pdf. Última fecha de consulta: 24 de octubre de 2025.

Documento DKV. Fuente: https://dkv.es/particulares/intervencion-quirurgica. Última fecha de consulta: 24 de octubre de 2024.

GARCÍA MANDALONIZ, M., “¿Cubren las pólizas de salud la cirugía robótica?”, Publicación doctrinal de Derecho y Economía de los seguros privados, SEAIDA, 2024.

TAPIA HERMIDA A.J., “El seguro de responsabilidad civil profesional de los operadores de sistemas de inteligencia artificial”, en MORENO MARTÍNEZ, J.A. FEMENÍA LÓPEZ, P.J. (coords.), Inteligencia artificial y derecho de daños: cuestiones actuales. Acorde al Reglamento (UE) 2024/1689, ed. Dykinson, Madrid, 2024.

Blanca Aparicio Araque
Contrata Predoctoral FPU Departamento Civil UCLM
Investigadora colaboradora del Centro de Estudios de Consumo 

Cine y televisión a la carta con IA

/0 Comentarios/en /por

La inteligencia artificial cada vez abre más interrogantes legales en el campo del derecho digital y del entretenimiento. Un caso concreto es el de los derechos que se derivan de las creaciones conjuntas entre hombre e inteligencia artificial.

Cada día salen nuevas plataformas donde los usuarios pueden co-crear contenidos con sistemas de inteligencia artificial generativa. Plataformas como Midjourney o Stability AI, o Sora, ofrecen a los usuarios la posibilidad de crear imágenes y videos de manera conjunta. Cabe resaltar la reciente demanda que Disney y NBC Universal han presentado contra la compañía de servicios de inteligencia artificial, Midjourney, por haber creado imágenes a partir de sus películas. Alegan que la startup de IA generativa permite a los suscriptores generar imágenes que violan los derechos de autor al usar personajes como Deadpool, Lobezno, Spider-Man, los Minions, la sirenita, Homer Simpson o Shrek como base esencial para sus creaciones.

Pero una nueva ventana se abre en el campo del entretenimiento: la posibilidad de que usuarios/espectadores participen y desarrollen junto aplataformas como Netflix, Disney o Amazon, cortos, series o películas con la ayuda de la IA. En este caso, resulta importante reflexionar sobre la necesidad de regular este tipo de contenidos en las que el espectador se converiría en creador de su propia historia. Obras audiovisuales que permiten a los espectadores tomar decisiones en la trama para construir su “propia aventura” (véase por ejemplo el episodio Bandersnatch de la serie “Black Mirror” en la cual el espectador puede decidir el rumbo de la historia). En un futuro cada vez más próximo, el espectador no sólo podrá elegir la trama y el desenlace. También podrá escoger el género de la historia o incluso los actores que participarán en dichas películas mediante interpretaciones generadas por IA.

¿Podrán dar una respuesta adecuada los regímenes jurídicos vigentes a este nuevo contexto? ¿Cómo se deberá regular a futuro estas nuevas propuestas audiovisuales? ¿Estarán protegidos todos los derechos que entrañan estas nuevas formas de consumo, producción o distribución del contenido audiovisual?

No sería utópico pensar en un futuro mediato pensar que las plataformas negociaran con los productores o actores nuevos tipos de cesiones o licencias para poder ofertar por separado tramas, imágenes, voces, expresiones corporales o composiciones musicales y que sea el espectador quien orqueste y construya su propia trama y producto.

A partir de este escenario surgen un nuevo mercado, derechos y fuertes condicionantes objeto de negociación y contratación. A modo de ejemplo, si el rostro de los actores y su voz son procesadas para formar parte del futuro contenido creado por el espectador, la plataforma deberá contar con un consentimiento explícito y una cesión de derechos de imagen por parte del actor conforme a lo dispuesto en las distintas normativas internacionales en materia de protección de la imagen y datos, pues este tipo de procesamiento afectaría la imagen del actor, al igual que ocurriría con la voz, con las correlativas limitaciones y condiciones asociadas para evitar su inclusión en contextos y contenidos no deseados.

Se precisarán autorizaciones previas por parte de los artistas para que la utilización de su imagen como base para la creación de las llamadas “réplicas digitales” y para usos y contextos expresamente autorizados por el titular de los derechos, con las correlativas exclusiones y limitaciones -No son previsibles autorizaciones generales que puedan comportar elecciones del usuario en las que coloque al personaje réplica de la persona autorizante en cualquier situación, contexto o escena en el marco del contenido, por ejemplo, escenas de alto contenido sexual o cualquier otra que pueda afectar a la imagen y reputación del actor en el futuro (especialmente sin hubiera ya fallecido). En estos casos, a partir de la imagen y voz del actor, se produciría un contenido sintético, una actuación instruccionada por el usuario y creada por un algoritmo que tomará como base la imagen del actor. El guion podría ser susceptible de protección, en caso de reunir los requisitos para ello, por propiedad intelectual. Si bien, por lo que se refiere a la interpretación, como la música y otros contenidos, si éstos son generados por IA, se debe tener en cuenta que no serían susceptibles de registro, en tanto se considerarían un producto generado únicamente por IA y por ello no susceptible de protección por este cauce, ya que no se puede proteger por derechos de autor ninguna creación en la que no haya intervención humana significativa, conforme lo establece las normativas vigentes de derechos de autor.

En Estados Unidos el Right of publicity otorga a las personas, especialmente a las figuras públicas, el control exclusivo sobre el uso comercial de su nombre, imagen, voz y otros aspectos identificativos, aunque la regulación debe proteger no sólo a actores famosos y políticos, para lo que disponemos de las normativas de protección de datos, al igual que las proteccionistas de la imagen.

El uso de la imagen y voz en este contexto abre nuevos mercados donde no todo titular está conforme con participar en los mismos, conforme se está evidenciando ya en la actualidad. Los actores pueden ya obtener importantes beneficios licenciando su imagen y voz para crear contenido sintético, como ya se está negociando en la actualidad, mediante los contratos de cesión que se están promoviendo por la industria. Y no olvidemos el carácter de algunos de estos derechos, en función de la jurisdicción, como personalísimos, con el impacto que el marco jurídico aplicable puede tener en su cesión y explotación.

En mi opinión, necesitamos la revisión de los marcos jurídicos actuales para poder disponer de una regulación que abarque y dé una cobertura adecuada a está explotación de nuevos productos y nuevas formas de consumir los servicios ofertados por la industria. Es necesario que se proporcione seguridad jurídica y normas capaces de abarcar las nuevas formas de consumo, producción y comercialización del entretenimiento. Se avecina un mundo lleno de herramientas para el consumidor, en el marco de la inteligencia artificial y las nuevas tecnologías que de ella se derivan. Si avanzamos sin orden jurídico incurriremos en incertidumbre e inseguridad jurídica.

Luis Villamil Mendoza
Abogado especialista en Derecho audiovisual, tecnología y entretenimiento en Proyectil
Miembro ENATIC

Imagen generada con ChatGPT 4.o bajo instrucciones de su autor.

Entrenamiento de modelos de IA con contenidos protegidos por derechos de autor: Novedades judiciales sobre la doctrina del fair use.

/0 Comentarios/en /por

Los debates jurídicos alrededor del entrenamiento de modelos de IA con contenidos protegidos por derechos de autor se están intensificando, especialmente en relación con la aplicación de las excepciones o limitaciones de los mismos, en particular respecto de la minería de textos y de datos (TDM) en la UE y el fair use en EE.UU., esgrimidas por la industria de la IA.

Mi opinión y posicionamiento desde hace años, expresada en diversas monografías, artículos de investigación y conferencias, ha sido muy contraria a la aplicación automática de estas excepciones, especialmente en el caso de la primera en el ámbito de la UE, en la medida que no fue concebida para legitimar la reproducción (en su caso) y uso de obras protegidas por derechos de autor para el entrenamiento de modelos de IA con finalidad comercial, sin autorización ni compensación de sus titulares.

En relación con la excepción de minería de textos y de datos, durante este último año se han ido sumando nuevas voces críticas en relación con su aplicación en este contexto, por ejemplo, expertos como Tim W. Dornis. Asimismo, esta cuestión protagonizó la tardía transposición de la Directiva (UE) 2019/790 sobre los derechos de autor y derechos afines en el mercado único digital por parte de Polonia, que analizó en su Proyecto de Ley de transposición la excepción de minería de textos y de datos previstos en la misma, concluyendo que “la reproducción de obras para minería de textos y datos no puede utilizarse para crear modelos generativos de inteligencia artificial”. Por último, el reciente borrador de informe sobre Copyright and generative artificial intelligence-opportunities and challenges, del Comité de Asuntos Jurídicos del Parlamento Europeo, de 27 de junio de 2025, en relación con la Propuesta de Resolución del Parlamento Europeo sobre los derechos de autor y la inteligencia artificial generativa – oportunidades y retos (2025/2058(INI)), abordó esta excepción, recomendando a la Comisión, con independencia de la revisión prevista del marco jurídico de los derechos de autor y de la Directiva de Derechos de Autor, que lleve a cabo urgentemente una evaluación exhaustiva de si el acervo existente de la UE en materia de derechos de autor aborda adecuadamente la inseguridad jurídica y los efectos sobre la competencia asociados al uso de obras protegidas y otras materias para el entrenamiento de sistemas de IA generativa. Del mismo modo, recomienda además que dicha evaluación tenga como objetivo apostar por un marco en el que los mecanismos de remuneración equitativa permitan generar los recursos necesarios para que la producción artística y creativa europea prospere en el contexto de la transformación mundial impulsada por la IA.

En relación con la doctrina del fair use estadounidense, durante los últimos meses se han sucedido las primeras resoluciones judiciales en EE.UU. sobre su aplicación al entrenamiento de modelos de IA en función del contexto, y que me permito analizar a continuación de manera sucinta dada la extensión limitada de este tipo de artículo, en colaboración con Mª José Montañana Bartual, quien ha profundizado en estas cuestiones y su análisis en un reciente y brillante trabajo de investigación elaborado en el marco académico de la Universidad de Valencia.

Resolución del Tribunal del Distrito de Delaware, dictada en el Caso Thomson Reuters Enterprise Centre GmbH vs. Ross Intelligence Inc. (No. 1:20-cv-613-SB). 11 de febrero de 2025 (1).

La resolución dictada por el Juez Stephanos Bibas, del Tribunal de Distrito de Delaware, representó un precedente fundamental en el derecho de autor estadounidense respecto al uso de obras protegidas por derechos de autor para el entrenamiento de modelos de IA. Se trata de la primera ocasión en la que un tribunal federal determinó que el uso de contenido protegido por derecho de autor para entrenar tecnología de IA no constituye un uso legítimo bajo la doctrina del fair use, sin perjuicio del precedente dictado en el asunto White v. West (2014), al que nos referiremos con posterioridad.

La demanda se interpuso por Thomson Reuters Enterprise Centre GmbH y West Publishing Corp contra Ross Intelligence Inc.

El objeto del litigio se sustentaba en la reproducción y uso de headnotes (2) protegidos por derechos de autor y pertenecientes a la herramienta Westlaw – una de las bases jurídicas más importantes de mundo titularidad de la parte demandante-, como datos de entrenamiento para un motor de búsqueda legal basado en IA comercializado por Ross Intelligence, un competidor emergente de Westlaw, para lo que contrató a un tercero (LegalEase), tras la negativa previa de Thomson Reuters a licenciarle su contenido para entrenar su sistema.

Westlaw contiene bases de datos legales organizadas mediante un sistema propietario llamado “Key Number System” e incluye «headnotes» o sumarios que identifican los aspectos clave de la resolución a la que van asociados.

La parte demandante argumentó que Ross había infringido sus derechos de autor sobre sus headnotes como obras individuales, sobre el sistema Key Number System como compilación protegida y sobre las decisiones editoriales incorporadas en 500 valoraciones judiciales.

Para la parte demandante los headnotes constituían obras originales protegibles por derechos de autor, ya que representaban una síntesis creativa de opiniones judiciales extensas, requiriendo juicio editorial para identificar los puntos de derecho más relevantes.

La parte demandada basó su defensa en el fair use argumentando, entre otros aspectos, de un lado, que su uso era transformativo al crear una nueva herramienta de investigación legal con propósito diferente al original, de otro, la falta de originalidad de los headnotes y, de otro, su uso intermedio para el entrenamiento de modelos de IA, como los que se vienen haciendo en la ingeniería inversa respecto del software.

El Juez consideró que los headnotes están protegidos por derechos de autor, considerando que son producto del trabajo intelectual de los redactores y que contienen explicaciones originales, habiéndose copiado más 2.200 headnotes de forma textual y casi idéntica.

El Juez estimó la mayor parte de las peticiones de la parte demandante, rechazando la aplicación del fair use esgrimido como argumento de defensa por Ross Intelligence para el entrenamiento de su modelo de IA, y declarando la infracción directa de los derechos de autor de la parte demandante por parte de la demandada.

La resolución judicial abordó la ponderación de los distintos factores a considerar para considerar concurrente la excepción de fair use, conforme a la disposición 17 U.S.C. § 107, esto es, la finalidad y carácter del uso (uso comercial y no transformador por parte de Ross, distinguiéndolo de casos anteriores como Google LLC v. Oracle Am., Inc., 593 U.S. 1 -2021-), la naturaleza de la obra protegida (aunque sea considerada de un nivel creativo medio o limitado y con originalidad), la cantidad y sustancialidad del uso de las obras protegidas (las headnotes no fueron incluidas por Ross en el producto final, solo fueron utilizadas para el entrenamiento del modelo) y el efecto en el mercado (con afectación del mercado existente y potencial de Westlaw y a su negocio, estando además entre los planes de Ross competir directamente con Westlaw). Este último factor fue considerado el más importante, conforme recoge en otros pronunciamientos judiciales anteriores referenciados en la resolución judicial, como en el asunto Harper & Row, Publishers, Inc. v. Nation Enterprises, 471 U.S. 539 (1985).

Una vez ponderados estos factores, el Juez consideró que la doctrina del fair use es inaplicable en el supuesto analizado, concluyendo que el uso de los headnotes para el entrenamiento de modelos de IA no era transformador y competía directamente con el producto original, afectando su mercado, por lo que dictó sentencia a favor de la parte demandante por infracción directa de los derechos de autor sobre los headnotes, rechazando la concurrencia de fair use.

Significar algunas de sus conclusiones: “No basta con decir que el uso fue ‘para entrenar una IA’ o que ‘nadie verá directamente los textos copiados’. Si estás usando algo protegido por derechos de autor con fines comerciales, y sin transformarlo realmente, no puedes escudarte en el fair use”. “No todo uso de obras protegidas para entrenar inteligencia artificial está amparado por el fair use”, especialmente cuando el uso no es realmente transformador y compite con el creador original.

El Juez Bibas introdujo una analogía innovadora comparando la creación de headnotes con el trabajo escultórico. Esta metáfora legal establece que, así como un escultor crea una obra protegible al extraer una forma de un bloque de mármol, los editores legales crean obras protegibles al extraer aspectos jurídicos clave de opiniones judiciales extensas.

Del mismo modo, la resolución establece una distinción entre el copying intermedio en casos de software y el entrenamiento de IA. Mientras que en casos precedentes como el indicado anteriormente entre Google vs Oracle permitieron el copying intermedio cuando era necesario para acceder a elementos funcionales no protegidos, el Juez determinó que esta justificación no se aplica al entrenamiento de IA con contenido no funcional.

El Juez también rechazó el argumento de que el entrenamiento de IA es inherentemente transformativo, estableciendo que el carácter transformativo debe evaluarse según el propósito específico del uso, no según la tecnología empleada. El caso sigue abierto donde deberá también dilucidarse sobre el uso del sistema de organización “Key Number”.

La decisión estableció un precedente restrictivo para compañías de IA que buscan utilizar contenido protegido por derechos de autor para entrenamiento, especialmente cuando a) exista competencia directa con el titular de derechos de autor; b) el uso sea comercial y sin transformación significativa y; c) afecte a mercados existentes o potenciales en relación con las obras originales.

No obstante, este pronunciamiento contrasta relativamente con otros posteriores dictados en casos recientes, como el de Anthropic o Meta, que se abordarán a continuación, en la medida que en estos últimos se determinó que el entrenamiento de IA con obras protegidas podría considerarse fair use «con transformación significativa». Estas discrepancias judiciales y la falta de una delimitación clara de la doctrina del fair use en el marco del entrenamiento de modelos de IA sugieren que la cuestión llegará a la Corte Suprema.

Resolución del Tribunal de Distrito del Norte de California (Caso C24- 05417 WHA) sobre el uso de obras protegidas por derechos de autor por parte de Anthropic PBC en el entrenamiento de modelos de IA (Claude). 23 de junio de 2025 (3).

La resolución constituye otro precedente fundamental en la aplicación de la doctrina del fair use al entrenamiento de modelos de IA con obras protegidas por derechos de autor. La decisión judicial establece criterios diferenciados para evaluar distintos usos de obras protegidas por derechos de autor en el desarrollo de IA, marcando límites claros entre usos legítimos e infracciones de los derechos de autor.

La demanda fue interpuesta por Andrea Bartz, Charles Graeber y Kirk Wallace Johnson como autores, junto con sus entidades titulares de derechos, frente a Anthropic PBC, empresa de IA desarrolladora del modelo Claude, por infracción de derechos de autor por la entidad demandada al supuestamente entrenar su modelo de IA utilizando libros protegidos por derechos de autor, algunos obtenidos de fuentes ilícitas (piratas) y otros adquiridos legítimamente por Anthropic.

La parte demandante alegó la infracción de sus derechos de autor por la reproducción no autorizada de sus obras para crear una biblioteca central de libros y entrenar los modelos de IA con sus obras, la retención en los modelos de copias comprimidas de sus obras, la obtención de sus obras de fuentes ilícitas -piratas-, la no aplicación del fair use como causa legitimadora para el entrenamiento de modelos de IA con sus obras y la emulación de su estilo y expresión narrativa por parte del sistema generativo de la demandada. Y todo ello significando la naturaleza comercial lucrativa del negocio de Anthropic y el daño en el mercado, dado que el uso desplazaba ventas potenciales y mercados de licenciamiento emergentes.

Por su parte, la parte demandada reconoció el uso y copia masiva de obras y argumentó, entre otros aspectos, de un lado, que lo hizo con finalidad y uso transformativo de entrenamiento de sus modelos de IA y para la construcción de una biblioteca de investigación interna, de otro, que sus modelos no reproducen directamente las obras y, por último, que la transformación mediante la digitalización de libros físicos comprados en tiendas y plataformas para su conversión en PDF para uso interno era un uso razonable y legítimo (fair use). Adicionalmente, argumentó la analogía con el aprendizaje humano, comparando el entrenamiento de IA con el proceso de lectura y aprendizaje humano, de modo que no debería haber diferencias en el tratamiento legal, junto con el beneficio público para la sociedad de todo ello y la necesidad técnica de utilizar grandes volúmenes de datos para entrenar los modelos de IA.

Según recoge la resolución, Anthropic descargó millones de copias pirateadas de libros desde sitios como Books3, LibGen y PiLiMi entre 2021-2022. Posteriormente compró millones de libros físicos, los destruyó y los digitalizó para crear una «biblioteca de investigación central», utilizó subconjuntos de estas obras para entrenar diversos modelos de lenguaje que alimentan a Claude y generó más de mil millones de dólares en ingresos anuales.

El Juez William Alsup, a diferencia de la resolución anteriormente analizada, admitió el fair use para el entrenamiento de los modelos de la parte demandada con obras protegidas adquiridas en el mercado por la misma y su digitalización, si bien, rechazó el fair use respecto de obras obtenidas de fuentes ilícitas, considerando su uso una infracción.

El Juez tomó como referencia normativa para su resolución la disposición 17 U.S.C. § 107 – Fair Use Doctrine, así como casos precedentes como: Google v. Oracle (593 U.S. 1, 2021), que admite el fair use incluso en uso comercial si el fin es suficientemente transformador; Campbell v. Acuff-Rose (510 U.S. 569, 1994), que aborda el uso paródico como fair use; Authors Guild v. Google (804 F.3d 202, 2d Cir. 2015), que establece que escaneo masivo de libros puede ser fair use; Andy Warhol Foundation v. Goldsmith (2023); Thomson Reuters v. Ross (D. Del. 2025), que establece que el uso de textos jurídicos para IA no fue transformativo o; White v. West Pub. (S.D.N.Y. 2014), que consideró que constituye fair use usar textos jurídicos y justificado convertir y reutilizar material público de manera transformativa en bases de datos comerciales.

De este modo, el Juez admitió el fair use esgrimido por la parte demandada, tanto para el entrenamiento de sus modelos -considerando que sus modelos fueron entrenados con los libros, sin reproducción de los textos (aprenden patrones y estructura de lenguaje), sin generación de resultados de salida literales de las obras a los usuarios y con un uso transformativo, equiparando el proceso a cómo una persona aprende a escribir leyendo libros-, como para la conversión de libros comprados de formato físico a digital con finalidades de almacenamiento y búsqueda. Sin embargo, se rechazó la aplicación del fair use en relación con la descarga de libros por la parte demandada desde sitios piratas como Books3, LibGen o PiLiMi para conformar una biblioteca centralizada.

En definitiva, la doctrina sobre la que se sustenta esta resolución es que “el uso de libros adquiridos legalmente para entrenamiento de IA sería fair use”, considerando dicho uso transformativo a los efectos de la aplicación de la excepción. La creación de copias digitales a partir de libros comprados también lo es. Pero la piratería masiva para construir una biblioteca permanente no lo es y constituye una infracción. Significar, entre otros aspectos criticables de la resolución, que las obras protegidas fueron adquiridas en el mercado por la parte demandada con esa particular finalidad comercial pero no fueron puestas en el mercado y comercializadas por los titulares de los derechos sobre las mismas con dicha finalidad para sus usuarios, sino para un uso privado no comercial.

La resolución abre la vía para una demanda de responsabilidad multimillonaria contra Anthropic que podría impactar en negocio e incluso en su continuidad, por lo que acaba de reforzar su defensa con la contratación de varios abogados expertos para afrontar la misma.

Resolución del Tribunal de Distrito del Norte de California (caso No. 3:23- cv-03417, VC) en la demanda por infracción de derechos de autor contra Meta Platforms, Inc. por el uso de libros protegidos en el entrenamiento de modelos de IA (LLaMA). 25 de junio de 2025 (4).

La demanda fue interpuesta por distintos autores como Sarah Silverman, Christopher Golden y Richard Kadrey frente a Meta Platforms, Inc., por el entrenamiento por parte de ésta de sus modelos de IA LLMs (LLaMA 1 y LLaMA 2) con libros protegidos por derechos de autor sin autorización ni compensación, y desde fuentes ilícitas (piratas).

La parte demandante alegó una infracción masiva por entrenamiento de modelos de IA con obras protegidas, Según la misma, Meta obtuvo libros desde fuentes ilícitas (piratas), copiando y procesando íntegramente sus obras sin autorización ni compensación para entrenamiento de sus modelos, argumentando que dichos modelos podrían reproducir fragmentos protegidos y contenidos que compiten con los suyos, y que ello perjudica su capacidad de licenciar sus obras.

La parte demandada reconoció haber utilizado materiales pirateados, pero argumentó que dicho uso constituye fair use conforme a la disposición 17 U.S.C. § 107, invocando la naturaleza transformadora del entrenamiento de sus modelos y sosteniendo que los mismos no reproducen ni distribuyen directamente las obras protegidas o fragmentos de ellas, conforme la parte demandante no demostró, sino que se convierten en patrones estadísticos.

Para la parte demandada, entrenar sus modelos LLMs era un uso transformativo distinto al de lectura o entretenimiento, equiparable a cómo aprender de una obra para producir algo diferente.

El Juez tomó como referencia normativa para su resolución la disposición 17 U.S.C. § 107 – Fair Use Doctrine, así como los siguientes casos: Twentieth Century Music Corp. v. Aiken, 422 U.S. 151, 156 (1975); Harper & Row Publishers, Inc. v. Nation Enterprises, 471 U.S. 539, 566 (1985); Campbell v. Acuff-Rose Music, Inc., 510 U.S. 569, 590 (1994); Sony Corp. of America v. Universal City Studios, Inc., 464 U.S. 417, 430 (1984); Google LLC v. Oracle America, Inc., 593 U.S. 1, 18 (2021), que admite el fair use incluso en uso comercial si el fin es suficientemente transformador; Andy Warhol Foundation for the Visual Arts, Inc. v. Goldsmith, 598 U.S. 508, 526 (2023); Authors Guild v. Google (804 F.3d 202, 2d Cir. 2015), que establece que escaneo masivo de libros puede ser fair use; Thomson Reuters v. Ross (D. Del. 2025), que establece que el uso de textos jurídicos para IA no fue transformativo y; White v. West Pub. (S.D.N.Y. 2014).

La doctrina sobre la que el Juez sustentó esta resolución es que el uso de libros para entrenamiento de modelos de IA sería fair use, en defecto de alegaciones y pruebas que motiven determinar su no concurrencia, considerando el carácter transformador de dicho entrenamiento y no considerando la concurrencia de daños al mercado.

A diferencia del pronunciamiento judicial analizado en el caso Claude, C24- 05417 WHA, junio 2025, el Juez, Vince Chhabria, desestimó la petición contra Meta, argumentando que el entrenamiento de los modelos de IA era altamente transformador y que los demandantes no demostraron un daño real ni impacto en el mercado, aplicando la doctrina del fair use.

El juez reconoció que el uso de obras protegidas sin autorización para entrenar IA podría ser ilegal en muchos contextos, pero en este caso concreto la demanda fue desestimada por falta de pruebas y por la argumentación incorrecta de los demandantes según el juzgador. La decisión enfatizó que el fallo no implica que cualquier uso de obras protegidas por Meta sea legal, sino que los demandantes no lograron fundamentar adecuadamente su reclamación en instancia. El fallo no pretende avalar automáticamente toda práctica de la parte demandada.

Al igual que en el caso Bartz contra Anthropic, el juzgador consideró que el fair use eximía de responsabilidad a la parte demandada por supuesta infracción de derechos de autor. Ambos tribunales llegaron a la misma conclusión, si bien, sus razonamientos sobre la aplicación de la prueba de los cuatro factores de la doctrina del fair use (finalidad y carácter, naturaleza de la obra, cantidad usada y efecto en el mercado) fueron diferentes y con importantes salvedades.

El juez Chhabria, en el caso Meta, abordó con profundidad un posible argumento que los demandantes podrían haber esgrimido, pero que no presentaron de forma adecuada, esto es, que Meta había “copiado sus obras para crear un producto que probablemente inundaría el mercado con obras similares, provocando una dilución del mercado”. La teoría de la dilución es novedosa en el ámbito de los derechos de autor y se base en la expectativa de que los usuarios de sistemas generativos puedan producir volúmenes tan grandes de obras generadas por IA que los mercados ser verán inundados de obras generadas por IA que competirán con obras creadas por autores humanos, de modo que se desincentivarán éstos para crear obras nuevas y no
podrán vivir de la creación y explotación de sus obras.

Según el juez, si la parte demandante hubiera presentado alguna prueba que un jurado pudiera haber utilizado para determinar que los demandantes se  enfrentaban a tal dilución del mercado, la demanda interpuesta habría tenido que ser sometida a un jurado (no sumario), por lo que considera que el tribunal “no tenía más remedio” que dictar una resolución sumaria. El Juez considera en su resolución que la parte demandante presentó argumentos erróneos.

En definitiva, la resolución dictada constituye una decisión limitada al caso concreto y evidencia, a nuestro juicio, que el debate jurídico sobre la doctrina del fair use sigue abierto, en la medida que la aplicación de misma no está claramente delimitada y el posicionamiento de expertos no es pacífico, de modo que es previsible la intensificación del debate doctrinal y litigioso en EE.UU. Actualmente hay más de 40 procedimientos judiciales en tramitación sobre estos aspectos y habrá que esperar a la firmeza de sus resoluciones para conformar la doctrina del uso legítimo.

José Manuel Muñoz Vela
Abogado especialista en Derecho Digital e IA
Doctor en Derecho (IA)
Director Jurídico Adequa Corporación

Mª José Montañana Bartual
Graduada en Derecho y Criminología
Universidad de Valencia

(1) Thomson Reuters v. ROSS Intelligence, 1:20‑cv‑613‑SB (D. Del., feb‑2025)
(2) Son resúmenes breves que Westlaw crea para cada sentencia judicial
(3) Recuperado de https://regmedia.co.uk/2025/06/24/anthropic.pdf. Consultado el 28 de junio de 2025.
(4) Recuperado de https://cdn.arstechnica.net/wp-content/uploads/2025/03/Kadrey-v-Meta-Motion-for-Summary-Judgment-3-10-25.pdf. Consultado el 28.06.2025

Imagen generada por la IA de Google “Imagen 4” bajo prompting del autor

El tablero fantasma: Cómo la lA está forjando el nuevo orden mundial

/0 Comentarios/en /por

El motor que impulsa esta nueva era es la colosal rivalidad tecno-estratégica entre Estados Unidos y China. No se trata de una simple competencia comercial, sino de una lucha existencial por imponer un modelo de futuro. El AI Index 2025 de la Universidad de Stanford revela el pulso de esta batalla: Washington mantiene una formidable ventaja en la inversión privada, pero Pekín, con un esfuerzo estatal titánico, ha logrado una «casi paridad» en la calidad de sus modelos y ostenta el liderazgo en patentes e investigación. Esta competición, como la define el Center for a New American Security (CNAS), es una «Rivalidad Prometeica» cuyo premio es determinar si la tecnología más poderosa de la historia se regirá por principios democráticos o por la lógica del control autoritario.

La estrategia de Estados Unidos ha sido la de un «estrangulamiento» selectivo, usando controles de exportación y alianzas como la «Chip 4» entre Estados Unidos, Japón, Taiwán y Corea del Sur para cortar el acceso de China al eslabón más avanzado de la cadena. La respuesta de Pekín ha sido una ofensiva total por la autosuficiencia, una cruzada nacional para dominar una tecnología que considera vital para su seguridad y su destino. Este pulso por el silicio no es un fin en sí mismo; es la logística que alimenta los otros dos grandes frentes de la nueva guerra.

El primer frente que se nutre de este poder de cómputo es el de la guerra moderna. La IA está inyectando una velocidad vertiginosa en el arte del conflicto, persiguiendo la llamada «ventaja decisional». Sistemas como los probados por el Pentágono pueden procesar información y ofrecer opciones a los comandantes a un ritmo que la mente humana es incapaz de igualar. Esto conduce inevitablemente hacia un horizonte de autonomía, donde enjambres de drones y sistemas de armas navales o terrestres podrían ejecutar misiones complejas, tomando decisiones tácticas en milisegundos. La promesa es una eficiencia letal; el riesgo es un campo de batalla deshumanizado, donde el error de un algoritmo podría desencadenar una escalada catastrófica.

Pero quizás el frente más insidioso de esta guerra del siglo XXI no es el que se libra con hardware, sino el que se combate dentro de nuestras mentes. La IA generativa ha democratizado la capacidad de fabricar mentiras a una escala industrial. El conflicto en Ucrania ha sido un laboratorio para estas tácticas. Informes de la OTAN han detallado el uso por parte de Rusia de herramientas como «Meliorator», diseñadas para crear y operar ejércitos de perfiles falsos que inundan las redes con desinformación, polarizando el debate y socavando la confianza. Los deepfakes de líderes políticos, como los que suplantaron al presidente Zelenski, ya no son una anécdota de ciencia ficción, sino un arma de guerra psicológica real. El objetivo estratégico es claro: no solo ganar una discusión, sino erosionar el concepto mismo de verdad, desestabilizando las democracias desde sus cimientos al hacer imposible el consenso basado en una realidad compartida.

Esta militarización implacable de la tecnología obliga a la humanidad a asomarse a un profundo abismo ético. A medida que delegamos decisiones críticas en las máquinas, la cuestión de la responsabilidad se vuelve borrosa y urgente. Informes de instituciones como SIPRI alertan sobre el peligro fundamental del «sesgo algorítmico»: sistemas entrenados con datos del pasado que reflejan nuestros propios prejuicios, y que podrían llevar a una máquina a discriminar en el campo de batalla, violando el derecho internacional humanitario. En respuesta, la comunidad internacional busca a tientas un marco de gobernanza. Se celebran cumbres como REAIM (Responsible AI in theMilitaryDomain) y se aprueban resoluciones en la ONU, pero la misma rivalidad geoestratégica que impulsa la carrera armamentística impide alcanzar un tratado vinculante.

En medio de esta polarización, la Unión Europea intenta labrar un tercer camino. Con su Reglamento de IA, busca erigirse en una «potencia normativa», estableciendo un estándar global para una inteligencia artificial fiable y centrada en el ser humano que, sin embargo, está frenando la innovación en este territorio. En cualquier caso y aunque el Reglamento excluye los sistemas puramente militares, su regulación de las tecnologías de doble uso es un intento deliberado de proyectar sus valores, ofreciendo un modelo que no se somete ni a la lógica del mercado sin restricciones ni al control estatal absoluto.

Así, el tablero fantasma de la IA nos muestra que la contienda por el futuro es total. Es una guerra económica por los chips, una carrera militar por la autonomía letal, una batalla cognitiva por la verdad y una lucha filosófica por el alma de la nueva tecnología. El vencedor no será solo quien desarrolle los algoritmos más potentes, sino quien logre imponer su visión del mundo a través del código, definiendo para las generaciones futuras el equilibrio entre la libertad, la seguridad y el control en la era de las máquinas inteligentes.

En definitiva, las conclusiones que se desprenden de este tablero fantasma son inequívocas. No estamos asistiendo a carreras tecnológicas separadas, sino a un único y gran conflicto por el control del sistema operativo del siglo XXI. La soberanía sobre el silicio, la automatización del poder letal y la erosión de la realidad son facetas interdependientes de una misma pugna existencial por definir si el futuro se escribirá con un código de principios abiertos y democráticos o con uno de control centralizado y autoritario. Cada avance en este campo es una jugada estratégica con consecuencias profundas, y las decisiones que se tomen hoy —en los laboratorios, en los parlamentos y en los cuarteles generales— están configurando ya los cimientos de un nuevo orden mundial en el que la línea entre el progreso humano y el control maquinal es más fina y peligrosa que nunca.

Antonio Serrano Acitores
Abogado. Profesor Titular de Derecho Mercantil de la Universidad Rey Juan Carlos

RGPD & IA

/0 Comentarios/en /por

Acabábamos noviembre con un “provvedimento” del Garante al Grupo Editorial italiano Gedi indicándole que el acuerdo publicado con OpenAI en virtud del cual el primero compartirá los contenidos publicados “de forma prácticamente simultánea e inmediata” con el segundo, podría conculcar los arts. 9 (tratamiento de categorías especiales de datos), 10 (Tratamiento de datos personales relativos a condenas e infracciones penales), 13 (Información que deberá facilitarse cuando los datos personales se obtengan del interesado), 14 (Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado) del RGPD.

Y esto es así a ojos de la autoridad de protección de datos italiana que, con motivo de la publicación del mencionado acuerdo, inició una investigación de oficio ya que:

  1. los tratamientos de datos afectados implican un gran volumen de datos personales, que pueden incluir datos de categorías especiales de datos y datos relativos a condenas e infracciones penales;
  2. la Evaluación de impacto aportada por el Grupo editorial establece como base de legitimación para tal cesión el interés legítimo, no quedando clara la base de legitimación en lo relativo a las categorías especiales de datos involucradas;
  3. los titulares de los datos cuyos datos se cederán en el marco de este acuerdo no pueden esperar razonablemente dicha comunicación;
  4. los contenidos añadidos a las políticas de privacidad para facilitar la información de protección de datos “no parece suficiente para considerar cumplida la obligación de transparencia establecida en los artículos 13 y 14 del Reglamento, dado que hasta la fecha dicho párrafo aún no ha sido publicado (por ejemplo, la declaración de política de privacidad de La Repubblica se ha actualizado a diciembre de 2023) y que se dirige a los usuarios registrados en los periódicos mencionados y no a los interesados cuyos datos se comunican a OpenAI” y finalmente, señala el Garante que parece que GEDI no esté en condiciones de garantizar los derechos de los interesados y en particular su derecho de oposición.

Seguimos en diciembre y el día 17 el Comité europeo de protección de datos publicaba su dictamen sobre «ciertos aspectos de la protección de datos relacionados con el tratamiento de datos personales en el marco de los modelos de inteligencia artificial«), en particular sobre aspectos con motivo de la solicitud realizada por la autoridad de protección de irlandesa de un posicionamiento común (a la que cómo veremos, el Garante había transferido algunos asuntos de especial calado en el marco de su investigación sobre ChatGPT).

La opinión resulta interesante, aunque en varias cuestiones nos remite al ya conocido análisis «caso a caso». Sin perjuicio de ello, nos da detalle de i) cómo determinar si un modelo de IA debe estar sujeto al RGPD, cuándo y qué factores nos llevarían a ello, ii) el uso del IL como base de legitimación para el entrenamiento y el uso de los modelos de IA; y «concluye» abordando, para tres únicos supuestos, si la ilicitud del tratamiento de datos para el entrenamiento de modelos IA «contamina» o no los usos posteriores.

Para la primera cuestión, señala el Comité que no es posible considerar, como regla general, que todos los modelos de IA sean anónimos, sino que será necesario hacer esa evaluación caso por caso teniendo en cuenta, si los datos personales pueden ser extraídos o no, y si el resultado producido por el modelo podrá o no relacionarse de nuevo con los titulares cuyos
datos se utilizaron para el entrenamiento. Y después de leerlo, parece que esto va a ir de valorar si es posible o no a través del modelo la reidentificación y cuán difícil puede resultar. Facilita el Comité elementos para evaluar esa posibilidad e incluso nos da «pistas» sobre la documentación necesaria a mantener para acreditar tal aspecto.

Para la segunda y tercera cuestión, el interés legitimo y su utilización como base de legitimación para el entrenamiento de los modelos -teniendo en cuenta que los datos pueden haberse obtenido tanto del propio titular como a través de terceros-, y el posterior uso, se remite el comité a cuestiones generales que conocemos de informes y opiniones precedentes. Así nos recuerda los 3 requisitos de esta base de legitimación (identificación, evaluación de la necesidad del tratamiento y test de sopesamiento); señala y ejemplifica las afectaciones a derechos fundamentales de estos tratamientos; y finaliza este apartado haciendo, a nuestro juicio especial énfasis, en la información a los titulares de los datos y a su expectativa razonable.

Finaliza su opinión el Comité, como os decíamos, planteando tres escenarios que parten de un tratamiento ilegítimo de datos para el entrenamiento de un modelo que, no siendo anónimo, posteriormente, usa el mismo responsable del tratamiento u otro y un último caso en el que, si bien el responsable del tratamiento que desarrolla el modelo lo hace de manera ilícita desde el punto de vista del RGPD, lo anonimiza y es solo después de esa anominización, que se da el uso por parte de otro responsable del tratamiento.

Sin duda, esta opinión requerirá de varias lecturas pero en esta primera, nos quedamos con lo siguiente: i) recuerda el Comité a las autoridades de protección de datos sus poderes no solo sancionadores sino también correctivos; ii) señala que la valoración deberá hacerse caso a caso y iii) si bien para los dos primeros supuestos habrá que estar a la responsabilidad proactiva y la necesidad de que el responsable que esté tratando los datos pueda asegurar en todo caso la legitimidad del tratamiento, en el último, el segundo responsable no se contamina de la ilicitud del primero siempre que haya mediado esa anomización. A no olvidar que el tratamiento posterior en el que se incluya como medio del tratamiento el modelo anónimo, si incluye datos personales, deberá cumplir con el RGPD.

Y finalmente, solo tres días después de esta opinión, vuelve a publicar el Garante. En este caso, la sonadísima resolución sobre OpenAI y su servicio de ChatGPT. Este expediente se inició por parte del Garante de oficio con motivo de la noticia de prensa en la que se señalaba que ChatGPT había tenido problemas técnicos y que usuarios podían visualizar “la cronología de los títulos de los chats de otros usuarios”.

En el marco de tal procedimiento, recordamos todos la medida cautelar establecida por el Garante en marzo de limitación en territorio italiano del servicio, medida que se levantó en abril bajo la condición de adopción por parte de OpenAI de medidas idóneas para garantizar la adecuación del tratamiento con el RGPD. Pues bien, el pasado día 20, la autoridad italiana ha publicado su resolución en la que reprocha a OpenAI y su servicio de ChatPGT:

  1. Incumplimiento de la obligación de comunicación de brechas de datos personales (art. 33 RGPD): a pesar de haber comunicado la brecha a la autoridad irlandesa, el Garante considera que se ha infringido el art. 33 RGPD ya que debería haberse comunicado a la autoridad italiana.
  2. Falta de licitud del tratamiento: considera el Garante que OpenAI no había individualizado durante el entrenamiento del ChatGPT la base jurídica necesaria para el tratamiento de datos que implicaba (arts. 5 y 6 RGPD). Importante señalar que el Garante no se manifiesta sobre si el interés legítimo es la base adecuada para el tratamiento de entrenamiento de los modelos, cuestión que traslada a la autoridad principal (autoridad de protección de datos irlandesa).
  3. Incumplimiento del deber de información (arts. 5.1.a, 12 y 13 RPGD). Señala el Garante que i) la política informativa únicamente estaba en inglés, ii) no resultaba fácil su localización, iii) no permitía su lectura antes del registro y iv) las referencia a la mejora del servicio no podían entenderse como información sobre la “específica, peculiar e innovativa finalidad de entrenamiento de modelos de IA generativa”, por lo que, considera que resulta del todo insuficiente en relación con los usuarios. Adicionalmente, considera el Garante que para los no usuarios cuyos datos se han utilizado para el entrenamiento del modelo, si bien la información publicada por OpenAI era mucha y técnicamente relevante, no sirve para el cumplimiento del art. 12 y 13 ya que los usuarios no tendrían porqué sentirse interpelados por los mismos y acceder a ellos. Con ello, considera el Garante que ante la ausencia de información no solo se conculcan las obligaciones específicas de información sino el propio principio de transparencia que va muchas más allá.
  4. Ausencia de mecanismos de verificación de la edad (arts. 8, 24 y 25 del RGPD). Entiende el Garante que la propia sociedad preveía en sus términos legales la posibilidad de utilización del servicio por menores de 13 a 18 años para lo cual preveía la necesidad de la autorización del tutor legal y, sin embargo, no había previsto ningún mecanismo para verificar ese permiso de los tutores.
  5. Inexactitud de los datos (art. 5.1 RGPD): entiende el Garante que la naturaleza probabilística del sistema pero concluye que ello no exime a la sociedad de cumplir con el principio de exactitud. Reproduce las medidas implementadas por OpenAI para mejorar la exactitud del modelo durante el procedimiento y concluye que, estando lejos de resolverse y atendiendo al mecanismo de ventanilla única, pasa la cuestión a la autoridad irlandesa.
  6. Falta de cumplimiento de la medida correctiva de campaña informativa a convenir con la autoridad (art. 83.5.d RGPD): entiende el Garante que la campaña realizada por OpenAI no cumple con lo requerido por la autoridad ya que i) no ha sido acordada con el Garante, ii) no resulta idónea (medios elegidos, modalidades de comunicación, tiempo limitado de la misma para llegar al público en general).

Resuelve el Garante con imposición de una sanción de 15 millones de euros y la obligación de realización de la campaña divulgativa.

Importantísimo, y a la espera quedamos de la resolución de las cuestiones que el Garante reenvía a la autoridad irlandesa en relación con el uso del interés legítimo como base de legitimación para el entrenamiento de modelo y el cumplimiento del principio de exactitud en el marco de estas tecnologías. Como veis, lectura asegurada para el 2025.

Esther García Encinas
Abogado senior en Privacidad, Inteligencia Artificial y Contratación Mercantil en CaixaBank

Responsabilidad civil e IA

/0 Comentarios/en /por

Novedades en la propuesta reguladora de la UE en materia de responsabilidad civil extracontractual.

José Manuel Muñoz Vela
Abogado especialista en Derecho Digital e IA
Doctor en Derecho (IA)
Director Jurídico Adequa Corporación

_____

El Libro blanco sobre la inteligencia artificialde la Comisión Europea, de 19 de febrero de 2020, definió la hoja de ruta reguladora de la UE en materia de IA bajo un enfoque de riesgos, agrupándolos en tres bloques, en particular, los riesgos para los derechos fundamentales, los riesgos para la seguridad y los riesgos para un funcionamiento eficaz del régimen de responsabilidad civil.

La necesidad de garantizar el derecho a un resarcimiento efectivo de los perjudicados como consecuencia de los daños derivados del uso o funcionamiento de la IA y la preocupación del legislador europeo al respecto, se evidenciaron en la Resolución del Parlamento Europeo, de 16 de febrero de 2017, con recomendaciones destinadas a la Comisión sobre normas de Derecho civil sobre robótica.

La posteriorResolución del Parlamento Europeo, de 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre un marco de los aspectos éticos de la inteligencia artificial, la robótica y las tecnologías conexas, incorporó como propuesta del mismo a la Comisión, la “Propuesta de Reglamento del Parlamento europeo y del Consejo sobre los principios éticos para el desarrollo, el despliegue y el uso de la inteligencia artificial, la robótica y las tecnologías conexas”. El instrumento propuesto establecía, entre otras obligaciones para los sistemas inteligentes de alto riesgo, la rendición de cuentas y el derecho de resarcimiento en caso de daños causados por el desarrollo, despliegue y uso de la IA.

La coetánea Resolución del Parlamento Europeo, de 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre un régimen de responsabilidad civil en materia de inteligencia artificial, incorporó igualmente una “Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la responsabilidad civil por el funcionamiento de los sistemas de inteligencia artificial”.

El Parlamento proponía a la Comisión el establecimiento de un régimen legal de responsabilidad civil en materia de IA, mediante un instrumento jurídico con alcance general y de eficacia directa, que preveía un régimen de responsabilidad dual, de un lado, una responsabilidad objetiva para los sistemas clasificables conforme al mismo de alto riesgo y, de otro, una responsabilidad subjetiva para el resto, junto con otros aspectos como la responsabilidad solidaria en caso de pluralidad de agentes que pudieran intervenir en el ciclo de vida de un sistema inteligente.

La responsabilidad objetiva contemplada en aquella propuesta correspondía inicialmente al operador, y al fabricante cuando el control del riesgo recayera en aquél, acompañándose de la exigencia de un seguro obligatorio de responsabilidad civil, así como una limitación cuantitativa de las indemnizaciones. Del mismo modo, el Parlamento instaba expresamente a la Comisión entonces para que considerara la posibilidad de revertir las normas que regían la carga de la prueba para los daños ocasionados por las tecnologías digitales emergentes en casos concretos, previa y adecuada evaluación.

Estas propuestas no derivaron posteriormente en las correlativas iniciativas legislativas.

El 12 de junio de 2024 se publicó en el DOUE, después de más de tres años de tramitación desde la publicación de su primera versión, el 21 de abril de 2021, el Reglamento IA de la UE. El instrumento aprobado, concebido desde un enfoque de riesgos, no regula la responsabilidad civil asociada al uso y funcionamiento de la IA, al margen de la relación o impacto de algunas de sus disposiciones en la misma, por ejemplo, sus artículos25, 85 y 86.

La necesidad de revisar y ordenar jurídicamente la responsabilidad civil extracontractual asociada a la IA, ante la insuficiencia de los regímenes legales actuales para responder adecuadamente a los distintos supuestos que puede plantear la IA, motivaron la Propuesta de Directiva del Parlamento Europeo y del Consejo, relativa a la adaptación de las normas de responsabilidad civil extracontractual a la inteligencia artificial (Directiva sobre la responsabilidad en materia de IA), de 28 de septiembre de 2022, publicada coetáneamente con la Propuesta de Directiva del Parlamento Europeo y del Consejo, sobre responsabilidad por los daños causados por productos defectuosos.

El instrumento propuesto en materia de responsabilidad en materia de IA se apartó, de un lado, de la propuesta previa precitada del Parlamento a la Comisión, tanto en la forma como en el contenido, optando por una “Directiva” en lugar de “Reglamento y distanciándose de su objeto, contenido y alcance, y, de otro, del informe previo Liabilityfor Artificial Intelligence and otheremerging digital technologies de 2019, elaborado por el Grupo de expertos en responsabilidad y nuevas tecnologías de la Comisión Europea.

La Comisión adoptó la opción que suponía la menor intervención legislativa para la misma y que consideraba suficiente para la consecución de los objetivos pretendidos, en especial, el resarcimiento efectivo de la víctima que sufra daños, apartándose del posicionamiento de expertos y ciudadanía respecto de la exigencia de una responsabilidad objetiva para determinados sistemas  junto con la exigencia de seguros obligatorios -conforme evidenciaba la Evaluación de Impacto previa-, y atendiendo así a la demanda de la industria de la IA.

La Directiva propuesta integra un conjunto de disposiciones de carácter principalmente procesal más que sustantivo, dirigidas a facilitar la prueba a través de presunciones iuris tantum en relación con los elementos tradicionales de la responsabilidad extracontractual, esto es, la culpa y la relación de causalidad, considerándolas suficientes para equilibrar los intereses de todas las partes implicadas y con supuesta eficacia preventiva. La Directiva apuesta por una responsabilidad civil subjetiva o por culpa, no contemplando una posible responsabilidad objetiva para determinados sistemas de alto riesgo, la exigencia de seguros obligatorios o la inversión de la carga de la prueba.

La tramitación del instrumento no había avanzado durante los últimos dos años, si bien, su texto fue revisado el 24 de julio de 2024 por los Servicios de la Comisión, al objeto de considerar el contenido final del Reglamento IA de la UE, incorporando algunas adiciones de especial relevancia a los efectos de la aplicación de sus disposiciones (Por ejemplo, la nueva redacción propuesta del artículo 4.3.c).

El pasado mes de septiembre se presentó una Evaluación de Impacto Complementaria de la misma, a solicitud de la Comisión de Asuntos Jurídicos (JURI) del Parlamento Europeo, en la que se señalan deficiencias clave en la evaluación de impacto previa de la Comisión, entre ellas “una exploración incompleta de las opciones de política reguladora y un análisis abreviado de costes y beneficios, en particular del régimen de responsabilidad objetiva”.

El estudio realizado propone ahora que la Directiva propuesta amplíe su ámbito de aplicación para incluir los sistemas de propósito general y otros «sistemas de IA de alto impacto», así como los programas informáticos. Del mismo modo, analiza un marco de responsabilidad dual que equilibre la responsabilidad basada en la culpa y la responsabilidad objetiva, recomendando pasar de una directiva centrada en la IA a un reglamento sobre responsabilidad de los programas informáticos, para evitar la fragmentación del mercado y aumentar la claridad en toda la UE. Es decir, propone recuperar el instrumento regulador y modelo de responsabilidad dual recogidos en la propuesta del Parlamento Europeo precitada de 2020.

Las reuniones del Grupo de Trabajo sobre Responsabilidad Civil prosiguen en la actualidad bajo la Presidencia húngara.

Referencias bibliográficas complementarias:

MUÑOZ VELA, J.M. (2024). La regulación de la inteligencia artificial. Reto y oportunidad desde una perspectiva global e internacional. Editorial Aranzadi.

MUÑOZ VELA, J.M. (2024). “Retos, riesgos y responsabilidad de la inteligencia artificial”, en Giménez. I. (2024) Inteligencia Artificial. Retos y oportunidades. Editorial Fundación de Estudios Bursátiles y Financieros.

MUÑOZ VELA, J.M. (2023). “IA y responsabilidad civil. Comentarios a las propuestas europeas en materia de derechos de daños por productos defectuosos y adaptación de las normas de responsabilidad civil extracontractual”. Revista Aranzadi de derecho y nuevas tecnologías. Nº. 61. Editorial Aranzadi (Thomson Reuters).

MUÑOZ VELA, J.M. (2022). “Avanzando en la regulación de la IA. Hacia un equilibrio entre ética, protección de los derechos fundamentales, seguridad, confianza, innovación, desarrollo y competitividad”. Derecho Digital e Innovación. Núm. 14. Octubre-Diciembre. 2022. Ed. Wolters Kluwer.

MUÑOZ VELA, J.M. (2022). Retos, riesgos, responsabilidad y regulación de la inteligencia artificial. Un enfoque de seguridad física, lógica, moral y jurídica. Editorial Aranzadi (Thomson Reuters)

Imagen generada por Midjourney bajo prompting de Antonio Serrano Acitores

La revolución de la IA en LegalTech: cómo aumentar la productividad y desbloquear nuevas oportunidades para los abogados

/1 Comentario/en /por

Antonio Serrano Acitores

Abogado. Profesor Titular de Derecho Mercantil de la Universidad Rey Juan Carlos

Descubre cómo la inteligencia artificial está transformando el sector legal, automatizando tareas, mejorando la precisión y potenciando la eficiencia de los abogados.

  1. Introducción

La transformación digital ha llegado con fuerza al sector legal, y la inteligencia artificial está en el centro de esta revolución. Las herramientas de LegalTech potenciadas por IA están reconfigurando el trabajo de los abogados, no solo automatizando tareas rutinarias, sino también proporcionando análisis avanzados y predicciones basadas en datos que facilitan la toma de decisiones estratégicas. Pero, ¿cómo exactamente la IA está impactando el día a día de los profesionales del Derecho? ¿Y cómo puede aumentar su productividad de manera significativa?

En este artículo, exploraremos las diversas formas en que la IA está potenciando las herramientas de LegalTech y transformando la productividad de los abogados. También abordaremos los desafíos que conlleva esta tecnología y las oportunidades que ofrece para el futuro de la abogacía. Si buscas una manera de optimizar el funcionamiento de tu bufete o mejorar tus habilidades en el campo legal, no puedes dejar de conocer las ventajas que trae consigo la inteligencia artificial.

  1. El impacto de la IA en las herramientas LegalTech

El uso de la inteligencia artificial en el sector legal no es solo una moda pasajera. Está provocando un cambio estructural en la forma en que los abogados realizan sus tareas diarias. A continuación, examinamos cómo estas herramientas están cambiando el panorama de la abogacía.

1. Automatización de tareas repetitivas

Las herramientas de IA tienen la capacidad de automatizar una amplia gama de tareas que tradicionalmente consumen mucho tiempo, como la revisión de documentos, la redacción de contratos o la clasificación de correos electrónicos. Al integrar IA en estos procesos, los abogados pueden liberar tiempo para centrarse en actividades más estratégicas, como la elaboración de argumentos legales o la atención personalizada a sus clientes.

Además, las plataformas de revisión documental basadas en IA pueden procesar grandes cantidades de información en cuestión de minutos, algo que manualmente llevaría días o semanas. Esta capacidad no solo acelera el proceso, sino que también reduce el riesgo de errores humanos, garantizando que cada documento sea revisado con la máxima precisión.

2. Búsqueda y análisis de información jurídica

La búsqueda de precedentes legales o leyes aplicables a un caso puede ser una tarea tediosa, pero las plataformas de investigación jurídica basadas en IA han transformado esta labor. Al utilizar algoritmos avanzados, estas herramientas pueden encontrar información relevante en grandes bases de datos en cuestión de segundos. Además, algunos sistemas utilizan IA predictiva para sugerir posibles resultados de casos basados en datos históricos, lo que permite a los abogados planificar sus estrategias de manera más informada.

Un ejemplo de estas herramientas es el uso de asistentes legales virtuales, que no solo realizan búsquedas, sino que también generan informes detallados y resúmenes que facilitan la toma de decisiones.

3. Análisis predictivo y toma de decisiones basadas en datos

Una de las aplicaciones más interesantes de la IA en LegalTech es el análisis predictivo. Esta tecnología utiliza modelos matemáticos para analizar grandes volúmenes de datos históricos y detectar patrones. Estos patrones permiten a los abogados prever cómo podría desarrollarse un caso, qué argumentos podrían ser más efectivos y qué riesgos existen.

Este tipo de análisis puede ser especialmente útil en la resolución de litigios, ya que permite a los abogados prepararse mejor para posibles escenarios. Además, mejora la calidad del asesoramiento que se ofrece a los clientes, ya que las recomendaciones se basan en datos y no solo en la intuición o la experiencia previa.

  1. Cómo la IA aumenta la productividad de los abogados

A medida que las herramientas basadas en IA se vuelven más comunes en el sector legal, también lo hace su impacto en la productividad. La IA no solo permite a los abogados hacer más en menos tiempo, sino que también mejora la calidad y precisión de su trabajo.

1. Gestión del tiempo eficiente

Al automatizar las tareas repetitivas, los abogados pueden centrarse en lo que realmente importa: las actividades estratégicas que requieren su atención directa. La IA libera tiempo valioso, reduciendo la sobrecarga administrativa y permitiendo a los abogados gestionar mejor su flujo de trabajo. Esta mejora en la eficiencia se traduce directamente en mayores oportunidades de crecimiento y satisfacción profesional.

2. Reducción de errores y mayor precisión

El uso de herramientas de LegalTech basadas en IA también mejora la precisión del trabajo legal. Los sistemas de IA pueden detectar errores o inconsistencias en contratos y documentos con más rapidez que un ser humano. Esto reduce el riesgo de errores costosos y mejora la confianza en los resultados, tanto para los abogados como para sus clientes​.

3. Colaboración mejorada

La IA también facilita la colaboración entre equipos. Las plataformas de gestión de casos y documentos permiten que varios abogados accedan y trabajen en los mismos documentos en tiempo real, lo que es particularmente útil para grandes firmas que operan en diferentes jurisdicciones. Estas plataformas también permiten compartir análisis e informes de forma rápida, lo que agiliza la toma de decisiones y mejora la eficiencia general del equipo.

  1. Desafíos y oportunidades futuras

Si bien la IA ofrece múltiples ventajas, también conlleva ciertos desafíos. El principal es la curva de aprendizaje asociada con el uso de estas nuevas herramientas. Los abogados deben estar preparados para invertir tiempo en aprender a utilizar eficazmente las plataformas de IA y asegurarse de que se implementen de manera que respeten las normas éticas y de privacidad.

Además, la preocupación por la seguridad de los datos sigue siendo un tema importante. A medida que más información confidencial se gestiona a través de herramientas basadas en IA, es fundamental contar con medidas de ciberseguridad robustas para proteger la privacidad de los clientes y la integridad de los datos.

Por otro lado, las oportunidades que trae la IA son inmensas. Las firmas legales que adopten estas tecnologías podrán ofrecer servicios más innovadores y eficientes, ganando una ventaja competitiva en un mercado cada vez más saturado. Además, la formación continua en estas herramientas permitirá a los abogados estar siempre a la vanguardia de las tendencias tecnológicas​.

  • Conclusión: La revolución legal ha comenzado

La inteligencia artificial está transformando rápidamente el sector legal, y su impacto en las herramientas de LegalTech es innegable. Desde la automatización de tareas rutinarias hasta la mejora de la toma de decisiones estratégicas, la IA está ayudando a los abogados a trabajar de manera más eficiente y precisa que nunca. Aunque existen desafíos, como la seguridad de los datos y la adaptación a estas nuevas tecnologías, las oportunidades que ofrece la IA son infinitas.

El futuro del Derecho está íntimamente ligado a la inteligencia artificial, y aquellos abogados que sepan aprovechar su potencial estarán mejor posicionados para liderar la profesión en los próximos años.

Cartas de Derechos Digitales para una Era Digital

/0 Comentarios/en /por

El 14 de julio de 2021, el presidente del Gobierno, Pedro Sánchez, presentó la Carta de Derechos Digitales, un documento de carácter oficial que busca perfilar los derechos más relevantes en el entorno y los espacios digitales. Posteriormente, otros países y organismos internacionales han publicado o están trabajando en la publicación de instrumentos similares, que buscan ser una respuesta desde los gobiernos a los retos que el contexto actual de digitalización y transformación digital vienen imponiendo a la sociedad.

Posicionarse frente al impacto de las tecnologías digitales es una idea a la que no le faltan exponentes. Uno de los ejemplos más conocidos es la Declaración de Independencia del Ciberespacio, publicada por John Perry Barlow en 1996. Abordando en específico los derechos humanos, la Asociación para el Progreso de las Comunicaciones (APC) presentó en 2006 la primera Carta sobre Derechos en Internet. Finalmente, en 2014 Telefónica publicó su Manifiesto Digital, en el cual se hace mención explícita a los derechos digitales.

Un denominador común de las iniciativas citadas anteriormente es su naturaleza propositiva, pues promueven una visión sobre el desarrollo de la tecnología, en armonía con valores y principios fundamentales. Así mismo, todas contienen llamados a la acción de los gobiernos. Es interesante ver cómo el paso del tiempo va mudando las perspectivas sobre cuál debe su rol. Mientras que Perry Barlow aboga por su no intervención, tanto la APC como Telefónica los exhortan a involucrarse en el ámbito de una gobernanza de múltiples partes interesadas.

Históricamente, la forma en que los gobiernos del mundo han respondido a estos llamados ha sido a través de la regulación. En un primer momento, estas regulaciones, así como las discusiones en torno a las mismas, eran eminentemente locales, como es el caso de las leyes de telecomunicaciones. Sin embargo, con el avance de la globalización y la aparición de tecnologías disruptivas, estas han pasado a ser cada vez más adaptaciones locales de marcos legales construidos a nivel regional e internacional.

Ahora bien, aunque instrumentos como la Ley Modelo de Comercio Electrónico de la CNUDMI (1996), el Convenio de Budapest (2001) o el Reglamento General de Protección de Datos (2016) representan visiones ampliadas sobre cómo debería conducirse el uso y desarrollo de las tecnologías, sólo muy recientemente los gobiernos han empezado a adoptar iniciativas semejantes a las de la sociedad civil y el sector privado. Estamos hablando de documentos oficiales que, sean locales o regionales, casi no poseen componentes normativos y tienen un fuerte foco en los derechos.

La Unión Europea (UE) y sus miembros han sido especialmente prolíficos en su producción. Además de la Carta de Derechos Digitales de España, podemos mencionar la Dichiarazione dei diritti in Internet de Italia, la Carta Portuguesa de Direitos Humanos na Era Digital de Portugal y la Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital de la UE. En menor medida, al otro lado del océano también encontramos iniciativas similares, como la Declaration for the Future of the Internet promovida por Estados Unidos y adherida por 60 países. También, aunque en proceso de construcción, la Carta de Derechos Digitales de Perú y la Carta Iberoamericana de Principios y Derechos Digitales de la Organización de Estados Iberoamericanos (OEI).

Todos estos documentos presentan una constitución ciertamente atípica. Aunque sus textos recogen la regulación digital ya existente y de cierta manera la expanden, no suelen ser vinculantes (la Carta Portuguesa sería una excepción). Establecen un esquema de valores y principios a partir de los cuales trazan hojas de ruta, pese a no ser agendas digitales. Son lo suficientemente abstractas como para inspirar el desarrollo de políticas públicas o nuevas regulaciones, pero igualmente concretas como para ser fuentes de interpretación legislativa o incluso judicial.

A diferencia de la sociedad civil y el sector privado, en sus Cartas y Declaraciones los gobiernos y organismos internacionales solo se pueden interpelar a sí mismos y a la manera cómo han venido respondiendo ante los desafíos para los derechos humanos que plantean la digitalización y la transformación digital. Así pues, estos ejercicios de posicionamiento institucional se constituyen como una excelente oportunidad para repensar acciones pasadas, corregir las presentes y guiar las futuras.

Hay que decir además que el formato bajo el cual se han gestado la mayoría de estos instrumentos ha permitido una flexibilidad inédita. Al no ser leyes, ni tratados, han estimulado la participación de los actores no gubernamentales del ecosistema digital, a veces ausentes debido a las limitaciones propias de la burocracia. Por ejemplo, las Cartas de España y Perú han sido elaboradas sobre el trabajo de grupos de expertas y expertos hasta producir un borrador, el cual luego se ha sometido a consulta pública, todo ello en un período relativamente corto de tiempo.

Si bien es preciso señalar que este tipo de documentos no son ni serán los únicos medios a través de los cuales los gobiernos pueden posicionarse, sus características los hacen una opción conveniente. No resulta extraño pues que, a partir de los ejemplos citados, podamos identificar una tendencia en su adopción, al menos en los países y regiones que comparten valores y principios semejantes en torno a los derechos humanos. ¿Significa esto que veremos más de estas iniciativas en el futuro? No necesariamente.

Cuando en 2014 se aprobó el Marco Civil da Internet en Brasil, una de las primeras regulaciones en el mundo que otorga estatus de norma legal a diferentes derechos digitales, se avivó la llama de un movimiento que en el ámbito académico se denomina “constitucionalismo digital”. Una de las ideas del constitucionalismo digital es que el ejercicio de los derechos humanos en entornos digitales parece exigir su formalización a través de jurisprudencia, leyes ordinarias o cambios en las constituciones, no para gozar de la misma protección (que ya la tienen), sino para aportar claridad sobre su interpretación.

Durante los siguientes años y hasta ahora, se han producido diferentes iniciativas para lograr dicho fin, siendo especialmente visibles aquellas que buscan incluir dentro de las constituciones de los países el acceso a Internet como un derecho humano. Sin embargo, con el paso de los años, muchas de estas iniciativas han comenzado a diluirse sin haber producido grandes impactos. Si bien las Cartas de Derechos Digitales cumplen otro propósito, es posible inferir que incluso estas podrían experimentar problemas similares.

Sea cual sea el caso y destino de este nuevo instrumento, es una nueva oportunidad de pensar en los derechos, en el contexto de la Era Digital en la que vivimos.

Carlos Guerrero Argote
Abogado – Consultor independiente – www.carlosguerrero.pe

Reflexiones sobre movilidad y privacidad

/0 Comentarios/en /por

Según la ONU, el 68% de la población mundial para el año 2050, vivirá  en entornos urbanos. En Europa se estima que para dicho momento un 84% de su población será urbana. En un país como España su población urbana pasaría de alrededor de ochenta a ochenta y ocho millones de personas. Ello podría suponer que ciudades como Barcelona o Madrid se encuentren con una población cercana a los siete u ocho millones de habitantes. Esta creciente masificación y concentración de la población en las grandes urbes, unido a los evidentes problemas de la calidad del aire, ruido, accidentes, consumo de energía, entre otras cuestiones, obligan a replantearse el modelo actual de movilidad si queremos aliviar los problemas de congestión del tráfico, reducir las emisiones contaminantes, tener una movilidad más limpia y eficiente y, sobre todo, orientada a los ciudadanos.

Para ello, resulta absolutamente esencial el papel de los datos y la toma de decisiones en base a los mismos.  El sector de la movilidad (tanto para el diseño de las políticas públicas como para el desarrollo de nuevos negocios) se encuentra, indefectiblemente, ligado a vehículos conectados y autónomos, infraestructuras conectadas, nuevas tecnologías como 5G, blockchain, el uso actual de la inteligencia artificial, ciudades sensorizadas, plataformas digitales como servicio, sistemas inteligentes de transporte, uso de drones, etc.; y por lo tanto a la recopilación, análisis, estudio y utilización de datos de todo tipo (personales o no).

Y esta parece ser la hoja de ruta a seguir tanto en laEstrategia Europea de datos (que busca convertir a la UE en el líder de una sociedad impulsada por datos) y la Estrategia Europea de movilidad sostenible e inteligente (que ya prevé la futura construcción de un espacio común europeo de datos referidos a la movilidad); como en la Estrategia de Movilidad Segura, Sostenible y Conectada 2030 aprobada por el Gobierno, de acuerdo con los Objetivos de Desarrollo Sostenible (ODS) de la Agenda 2030, y el reciente Anteproyecto de Ley de movilidad sostenible (que prevé, entre otras cuestiones, la creación de un Sistema Nacional de Movilidad de Sostenible, un Espacio de Datos Integrado de Movilidad, “Sanboxes” de movilidad y la promoción de los “open data” y la provisión por parte de los operadores y proveedores de movilidad de determinados datos de transporte y movilidad de forma gratuita, no discriminatoria, actualizada y en modo estandarizado, accesible e interoperable).  

Sin embargo, no podemos olvidar que, a pesar de los más que evidentes beneficios y utilidades[1] que pueden conseguirse (además de otras cuestiones no menos importantes, como la gobernanza del modelo de transporte o movilidad, la generación de confianza en los agentes implicados, los espacios compartidos de datos u open data, interoperabilidad entre sistemas y plataformas, etc., que excederían con mucho el propósito de un post como el presente); la utilización de las referidas tecnologías y las que puedan aparecer en el futuro inmediato, junto a la recolección, análisis, estudio y uso masivo de datos hacen surgir nuevos riesgos y a la vez nuevos retos, especialmente en lo referente a la privacidad y al derecho fundamental a la protección de datos personales de los ciudadanos.

Un ejemplo de ello es la nueva tendencia, casi obligada podríamos decir, de los últimos años hacia un cambio del actual modelo de movilidad; surgiendo así, al menos en las grandes urbes, el nuevo paradigma del MaaS (mobility as a service) y las plataformas multimodales de movilidad potenciando y/o promoviendo un cambio en los hábitos de consumo del ciudadano transitando de un modelo de movilidad basado en la propiedad privada hacia un modelo basado en el servicio y la experiencia compartida.  La idea del MaaS no es otra que ofrecer una única interfaz al ciudadano-usuario donde pueda estudiar, comparar, planificar, elegir, reservar y pagar su viaje (ver rutas disponibles, incluso en tiempo real, horarios, tarifas, elegir medio o medios de transporte, elegir operador, realizar el pago, u optar por servicios adicionales, especialmente los basados en la ubicación, etc.). Pero también el sector público, y especialmente las entidades locales, podría verse beneficiados y mejorar las políticas de transporte y movilidad, la congestión del tráfico, la reducción de la huella de carbono, la definición y gestión de zonas de bajas emisiones, la gestión y recaudación de multas ante incumplimientos, crear nuevas infraestructuras y rutas de transporte según la demanda, etc.

El principal conjunto o tipo de datos personales que resultan esenciales para los proveedores MaaS son los datos de ubicación o referidos a la posición geográfica o geoespacial de una persona. Cuando se utilizan cualesquiera servicios en el entorno MaaS, se va dejando un “rastro digital del viaje” y de los movimientos realizados (punto de partida, punto de llegada, dispositivo elegido, medio o medios de transporte empleados, duración, velocidad, ruta elegida, fecha, hora, lugares visitados, donde se compra, donde se come, etc.). Incluso, en algunos casos también pueden seguir recolectándose algunos datos, aunque se apague o desconecte el dispositivo o se esté ejecutando la aplicación en segundo plano.

Además, ese “rastro digital del viaje” permite obtener patrones de movimiento y comportamiento de los ciudadanos que incluso, en algunos casos, podría llevar a obtener datos personales de carácter especial relativos a la salud (en función de la frecuencia de visitas a determinadas zonas, áreas o departamentos de determinados hospitales), orientación sexual (teniendo en cuenta la frecuencia de viajes a determinadas zonas de una ciudad, bares, restaurantes, etc.) o ideología (derivados de la frecuencia de viajes a determinados lugares, asociaciones, etc.). Si, además, esta información de “rastro digital del viaje” se cruzara con otras fuentes de información, como, por ejemplo, la derivada de distintas redes sociales, la precisión y exactitud del patrón de comportamiento aumenta exponencialmente. En cualquier caso, y con independencia del nivel de precisión, exactitud o calidad de los datos, bien a partir de datos individualmente considerados bien a partir de la información deducida del conjunto de estos, es posible llegar a identificar directa o indirectamente a una persona. “La relevancia de estos datos, también en lo jurídico, está en que no solo dicen dónde está la persona, también dicen quién es la persona[2]

Por otra parte, otro conjunto o tipo de datos que podrían recopilarse por los proveedores MaaS o de cualesquiera plataformas multimodales de movilidad podrían ser, dependiendo de los casos de negocio y/o finalidades de uso de cada proveedor: datos identificativos o de registro, método/os de pago, datos del propio dispositivo (bluetooth, dirección IP, operador móvil, sistema operativo, navegador, etc.), uso de cookies, datos de diferentes sensores móviles (como giroscopios, osciloscopios, acelerómetros, etc.), información sobre llamadas y mensajes de texto entre la plataforma y el usuario y/o diferentes operadores, token de inicio de sesión con redes sociales (que permite acceder a determinada información que el usuario publica en dichas redes sociales), etcétera.  

Los ecosistemas MaaS son sistemas complejos donde para poner a disposición del usuario final los diferentes servicios de movilidad, además de los tradicionales operadores de movilidad, tanto públicos como privados, se unen ahora nuevos intermediarios entre los operadores tradicionales y el usuario final como son los agregadores de datos, los integradores MaaS (y de los diferentes servicios de movilidad disponibles) y los operadores MaaS (que gestionan, facilitan la plataforma, aplicación o interfaz con el usuario final), pudiendo cada uno de ellos tener un rol diferenciado o mezclarse diversos roles en uno mismo. Resulta evidente que la “propiedad” y el acceso a los “datos” puede generar una posición de dominio en el mercado, pero también es verdad que ese nuevo modelo de movilidad no tendrá éxito sino es con la colaboración público-privada, privada-privada, y publica-publica; estableciendo y definiendo modelos justos y equitativos de intercambio de datos que incentiven y  favorezcan la inversión  y colaboración de todos los agentes y a la vez redunden en el beneficio e interés público y sean respetuosos, entre otros, con él derecho a la privacidad de los ciudadanos.    

En este nuevo escenario, una magnífica herramienta que ayudaría a garantizar el derecho fundamental a la protección de datos personales, y, por ende, la libertad de los ciudadanos; sería, en mi opinión, las evaluaciones de impacto en protección de datos (conocidas también por su acrónimo inglés “PIA”-Privacy Impact Assesment-), y reguladas en art. 35 RGPD. Ello permitiría, en primer lugar, contar con una descripción de los tratamientos de datos personales y su contexto (es decir, una descripción sistemática de las operaciones, finalidades del tratamiento- y/o de los múltiples tratamientos-, beneficios obtenidos, delimitación clara de roles- responsables/encargados/ corresponsables del tratamiento, esencial en un ecosistema MaaS-, tipos de datos, intercambios o cesiones de datos entre diferentes agentes públicos y/o privados). En segundo lugar, analizar el ciclo completo de vida de dichos datos (recolección, uso, almacenamiento, cesión, conservación, etc.). Y, en tercer lugar, identificar y gestionar adecuadamente los riesgos asociados al uso y tratamiento de los datos personales aplicando controles, medidas y garantías adicionales, en su caso, para reducir, mitigar o controlar dichos riesgos.   

Otra de las herramientas claves (junto con la minimización de los datos, el cifrado, o la transparencia) en aras a la protección de la privacidad, sería el uso de los procesos de “anonimización” de los datos, como sucede en el sector público en materia de reutilización de la información pública y los “open data”. Ante la gran cantidad de intervinientes o agentes, públicos y privados, en estos ecosistemas con diversidad de intereses, negocios, y competencias no siempre será necesario el uso de información personal. Por ejemplo, pudiera resultar que un determinado operador u operadores públicos o privados necesitaran compartir determinada información para el análisis y la mejora o eficiencia del alumbrado publico de una ciudad, o para el control de emisiones contaminantes y zonas de bajas emisiones, o para la realización de estudios o investigaciones para la futura creación o mejora de carriles- bici, etc. En principio, para cualquiera de estas finalidades no parece resultar necesaria el uso de información personal y podría procederse a la “anonimización” de la misma antes de proceder a su compartición o uso. Sin embargo, no debemos olvidar que los procesos de anonimización o de conversión de datos personales en datos anónimos constituyen un tratamiento en sí mismo de datos personales, sometido al RGPD y a los principios de la protección de datos, entre otros, el principio de la responsabilidad activa o accountability que le obliga  a cumplir y a demostrar dicho cumplimiento. Por ejemplo, dicho tratamiento debería quedar contemplado en el registro de actividades de tratamiento (art. 30 RGPD) o, según el caso, incluirse como medida adicional o ser objeto una evaluación de impacto (art. 35 RGPD). En cualquier caso, resulta absolutamente esencial llevar a cabo un análisis, gestión y revisión continua de los riesgos de reidentificación que el propio proceso de anonimización conlleva. Pero no solamente respecto de la reversibilidad en sí misma de la anonimización de los concretos datos o atributos de los mismos que contengan información personal, sino también respecto a las posibilidades de identificar o hacer identificable a una persona al realizar determinadas agregaciones de información o cruzar o mezclar distintos conjuntos o bases de datos (y ello a pesar de estar anonimizados en origen), como por ejemplo sucede con el “rastro digital del viaje” que hemos visto con anterioridad.

Sin duda, estas y otras herramientas ayudarían a garantizar y proteger la privacidad de los ciudadanos (aparte de otras cuestiones como definir o aclarar los roles y responsabilidades de cada uno de los agentes que intervienen en el ecosistema MaaS). Pero, además, si se impulsara o promoviese su uso y generalización, así como la transparencia y la publicidad de dichas “PIA”-Privacy Impact Assesment-, o al menos, un resumen ejecutivo de las mismas, especialmente cuando interviniera un agente público; ello generaría o impulsaría la confianza necesaria en el ciudadano para ese cambio de modelo y uso que este nuevo paradigma necesita.

En mi opinión, RGPD es y debe seguir siendo la piedra angular de la normativa europea en materia de protección de datos personales y de su libre circulación en el espacio económico europeo. Y ello, porque es en dicha norma (con un alcance general y directamente aplicable en todos los países del EEE y tanto al sector público como privado) donde se contienen las bases, las pautas y los principios generales de utilización de los datos personales en cualesquiera ámbitos y sectores. Esto no es incompatible con la posible existencia de normativas específicas o de desarrollo, de carácter sectorial o particular que desarrollen aspectos particulares de sectores determinados o ámbitos específicos o tecnologías particulares presentes o futuras permitiendo y favoreciendo la innovación, la competitividad, la compartición de datos, la reutilización de la información pública  y, en definitiva, el desarrollo económico y social.

En este sentido, además de resultar tremendamente interesante seguir de cerca, por las cuestiones de fondo que regula, el recorrido que tendrá la reciente propuesta de la Comisión Europea sobre un Reglamente del Parlamento Europeo de 23 de febrero de 2022 sobre “normas armonizadas sobre el acceso justo a los datos y su uso”, denominado “Ley de Datos” o “Data Act”, es que en su considerando 7 ya señala que “(…) El presente Reglamento complementa y se entiende sin perjuicio de la legislación de la Unión sobre protección de datos y privacidad, y en particular el Reglamento (UE) 2016/679 y la Directiva 2002/58/CE. Ninguna disposición de este Reglamento debe ser aplicada o interpretada de manera que disminuya o limite el derecho a la protección de datos personales o el derecho a la privacidad y confidencialidad de las comunicaciones (…)”.  

Aunque es cierto que en muchas ocasiones, y por diversos motivos o circunstancias que no vienen al caso, no resulta fácil de aplicar y llevar a la práctica el RGPD; no es menos cierto que han sido muchos los esfuerzos y los recursos destinados por la gran mayoría de organizaciones, tanto públicas como privadas, para adaptarse y cumplir con el modelo establecido por RGPD promoviendo un auténtico cambio cultural, en la forma de gestionar, tratar y utilizar la información de carácter personal que está redundando en beneficio de los ciudadanos (como clientes, ciudadanos, administrados, proveedores, usuarios, empleados, interesados, etc.).

Debe seguir existiendo un referente, un vértice geodésico europeo de datos personales, una norma básica de carácter general, directamente aplicable en todos los estados miembros que marque y establezca, de manera transversal, las líneas generales y las pautas de actuación y de uso de los datos personales, y esa norma es RGPD. Sin duda alguna, toda crítica constructiva será bienvenida porque no hay nada perfecto ni tampoco inamovible y todo es mejorable, máxime cuando lo que está en juego es la innovación, la economía y el propio desarrollo económico y social en aras a la consecución del bien común; pero cualquier cambio de estrategia en este sentido, supondría, en mi opinión, un retroceso en todo lo conseguido hasta ahora, un gran paso atrás  y una perdida irrecuperable en términos de privacidad para los ciudadanos europeos.

A pesar de que no será el único, en el sector de la movilidad los profesionales dedicados al cumplimiento y la privacidad tienen un gran reto por delante,  pudiendo aportar un enfoque proactivo en las diferentes organizaciones públicas y privadas, donde cada vez más las decisiones se van tomando en base al análisis de grandes cantidades de datos; para aportar soluciones imaginativas y creativas que favorezcan la colaboración público-privada, la innovación y el desarrollo de nuevos enfoques, soluciones o negocios, que promuevan, mejoren e impulsen el derecho a la movilidad de los ciudadanos pero que a la vez sean respetuosas con el derecho a la privacidad de las personas.

Oscar A. Sánchez Albarrán
Delegado de Protección de Datos, Autopistas.

Documentación o fuentes consultadas:

Más información:

[1] Puede obtenerse más información en DÍAZ DÍAZ, EFRÉN “20 formas en que se utilizan los datos GIS en los negocios y en la vida cotidiana” https://www.derechogeoespacial.com/uso-de-datos-geoespaciales/ y «Aspectos legales de los datos y servicios geoespaciales y su incidencia en la privacidad», Ed. Wolters Kluwer, España, 544 pp. ISBN 978-84-18349-29-4

[2] EFRÉN DÍAZ DÍAZ, en https://www.derechogeoespacial.com/los-datos-geoespaciales-nos-dicen-no-solo-donde-esta-la-persona-sino-quien-es/

“Accountability: necesita mejorar”

/0 Comentarios/en /por

Cuando nos vamos acercando a los cuatro años de la fecha de 25 de mayo de 2018, en la que comenzó la aplicación del Reglamento General de Protección de Datos (RGPD), podríamos hacer diferentes valoraciones con relación a su puesta en marcha. Aprovecho este post del blog de ENATIC para reflexionar en relación a una de las novedades más relevantes que nos trajo nuestro querido Reglamento.

Profesionalmente me dedico desde el año 2002 a ser “protector de datos” y la percepción es que se había de poner al día la Directiva del 95, pero todos somos conocedores que ya teníamos un corpus jurídico de protección de datos con la LOPD del 1999. Por esto, creo que tenemos que evaluar las novedades que nos trajo el Reglamento y cuál ha sido el grado de acomodación y cumplimiento en estas novedades normativas.

Personalmente, y muchos de los lectores lo pueden confirmar, creo que uno de los puntos más innovadores fue la puesta en marcha del principio de “accountability” o rendición de cuentas o de “responsabilidad proactiva”. También considero que es uno de los aspectos que menos se está interiorizando y aplicando de manera rigurosa por los responsables de tratamiento (o encargados de tratamiento).

El RGPD lo establece con carácter de principio en el art. 5.2 de su articulado. He asistido a múltiples debates en los que se discutía: ¿es una obligación? ¿es un principio?… Por supuesto que es un principio, pero de cierta naturaleza especial ya que es un principio que nos debe ayudar a cumplir con los principios de tratamiento de datos del art. 5.1 RGPD.

No voy a definir el principio de responsabilidad proactiva, pero  me gusta simplificarlo así: tengo que cumplir con el RGPD (vaya obviedad…) y tengo que poder demostrar que estoy cumpliendo.  En relación a su estricto cumplimiento os planteo mis dudas sobre el grado de cumplimiento que, la mayoría de obligados a cumplir el RGPD, puedan acreditar debidamente este principio de “accountability”.

Probablemente sean diversos factores los causantes de este “necesita mejorar”: desde la novedad normativa, pasando por el entorno cultural del sur de Europa y acabando en la falta de adecuadas metodologías por parte de los expertos en protección de datos que dan soporte a los obligados. Tuve la oportunidad en 2019 de llevar a cabo una estancia de investigación en una Universidad de Londres y os puedo confirmar  como la literatura científica, el conocimiento y la “impregnación” del “accountability” anglosajona era muy diferente al que se podía contrastar en nuestro territorio.

El marco que teníamos con la LOPD de 1999 y su Reglamento de Desarrollo no establecía un marco especialmente “accountability friendly”, y a pesar de disponer de algunas guías de referencia como por ej la opinión 3/2010 del GT del art. 29 sobre el referido principio, podría confirmar sin temor a equivocarme, que era la responsabilidad activa era un gran desconocido.

Tampoco voy a aportar ninguna “poción mágica” para dar cumplimiento a la “accountability”… y por supuesto la naturaleza, sector de la entidad, diversidad de tratamientos, etc. pueden determinar diversidad de formas de acreditación. No tenemos un conjunto de acciones o medidas estándares, sino que como expertos en protección de datos tenemos que ofrecer soluciones a nuestros clientes garantes con este principio.

Sensibilizar con este principio no es suficiente, sino que tenemos que ser capaces de poder “medir” con parámetros objetivos el grado de cumplimiento, documentar ese cumplimiento y verificar periódicamente su grado de adecuación.

Hemos de conectar necesariamente la “accountability” con el cumplimiento de la protección de datos desde el diseño y por defecto (tal vez otro gran desconocido y en que se puede hacer exacta reflexión). Probablemente nos encontramos con los puntos clave para poder establecer un grado de excelencia en relación al marco de adecuación al RGPD. En este sentido, os dejo la siguiente pregunta: ¿tenemos elementos objetivos medibles y concretos para verificar, por ejemplo, la protección de datos por defecto? Os invito a hacer un inventario de acciones auditables del 1 al 10 y ver el grado de cumplimiento en la mayoría de los obligados.

Este post sólo pretende reflexionar sobre la necesidad de mejorar y ofrecer soluciones adecuadas a los obligados y que la cultura “accountability” se establezca de forma natural en los empresas, organizaciones y administraciones obligadas a cumplir con el mismo.

Jordi Ferrer Guillén
Socio Director de Cyberlaw Consulting
Profesor Adjunto – Departamento Operaciones, Innovación & Data Sciences de la ESADE
Vocal de ENATIC