Aspectos jurídicos más relevantes de Hispabot-Covid19

Introducción

El Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19, contempla una serie de medidas dirigidas a proteger la salud y seguridad de los ciudadanos, contener la progresión de la enfermedad y reforzar el sistema de salud pública. En este sentido, la Orden SND/234/2020, de 15 de marzo, sobre adopción de disposiciones y medidas de contención y remisión de información al Ministerio de Sanidad ante la situación de crisis sanitaria ocasionada por el COVID-19, modificada por la Orden SND/267/2020, de 20 de marzo, establece la obligación de remitir al Ministerio de Sanidad información por parte de las Comunidades Autónomas, centros hospitalarios públicos y determinados centros hospitalarios privados.

Adicionalmente, el artículo tercero de la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública, dispone que, con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible.

En el artículo 4 del citado Real Decreto 463/2020, de 14 de marzo, se habilita a las autoridades competentes delegadas para dictar las órdenes, resoluciones, disposiciones e instrucciones interpretativas que, en la esfera específica de su actuación, sean necesarios para garantizar la prestación de todos los servicios, ordinarios o extraordinarios, en orden a la protección de personas, bienes y lugares, mediante la adopción de cualquiera de las medidas previstas en el artículo once de la Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio.

En este marco, mediante Orden SND/297/2020, de 27 de marzo se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19. En el punto 2 del primer artículo de la citada orden, se encomendaba a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de un asistente conversacional/chatbot para ser utilizado vía whatsapp y otras aplicaciones de mensajería instantánea.

Finalmente, se crea el  asistente conversacional Hispabot-Covid19, que funciona a través de WhatsApp. Se trata de un canal de consulta automático que utiliza la inteligencia artificial y el lenguaje natural para responder a las inquietudes de la ciudadanía sobre el COVID-19 con información oficial, precisa y actualizada.

El sistema, testado con más de 200 preguntas que se pueden formular de 1.000  formas  diferentes,  emplea  información  procedente  de  fuentes  del Ministerio de Sanidad y otros organismos oficiales y relativa a síntomas de la enfermedad, medidas de prevención, información para la protección, cifras actuales, teléfonos de contacto, etc. Para utilizar Hispabot-Covid19 a través de WhatsApp, simplemente hay que guardar el número +34 600 802 802 en los contactos del teléfono y escribir la palabra “hola” en un mensaje para comenzar la conversación.  A continuación, el servicio da la bienvenida e informa sobre los temas sobre los que puede aportar información.

El objetivo de Hispabot-Covid19 es contribuir a reducir la presión sobre las líneas de atención telefónicas  sanitarias,  ofreciendo  una  alternativa  de  información  sencilla  y disponible en todo momento. Hispabot-Covid19 se ha creado sobre WhatsApp Business API, utilizando la plataforma global de comunicaciones Vonage API y con Red.es como punto de contacto.  Además, se ha contado con la colaboración de la Fundación ONCE, que ha llevado  a  cabo  una  evaluación  de la  herramienta  y  ha  ofrecido recomendaciones que se han integrado en Hispabot-Covid19 para garantizar su accesibilidad.

Concepto de chatbot

La traducción del anglicismo “chatbot” nos ofrece una definición simple pero necesaria: conversar (chat) con un robot (bot). Es decir, es un programa que simula mantener una conversación con una persona al proveer respuestas automáticas a entradas hechas por el usuario.

Los chatbots tienen su origen en 1950 cuando el científico Alan Turing desarrolló un experimento, el denominado test de Turing, que tenía la finalidad de comprobar si un ordenador podía convencer de que es humano a un interlocutor durante una conversación.

Si bien pudiera parecer algo novedoso, debemos tener en cuenta que en el sector legal ya se vienen utilizando desde hace tiempo. Así, en el año 2015 se creó el primer “robot-abogado del mundo”. Se denomina “DoNotPay” y se trata de una plataforma para tramitar las multas de tráfico de forma gratuita y que ha derivado en servicios de mayor valor añadido, como responder preguntas legales, ayudar a redactar algunos documentos legales o hasta cancelar tus suscripciones de manera automática cuando haya finalizado el mes de prueba gratuito. Sin embargo, DoNotPay no es el único bot en el sector legal. Existen numerosos ejemplos en el sector legal – BillyBot, PatBot, ConveyBot,  o Ailira, entre otros. En España, podemos señalar, a modo de ejemplo, “ELZABOT”, un asistente virtual para aclarar cualquier consulta que puedas tener sobre el despacho de abogados Elzaburu y sus servicios de Propiedad Industrial e Intelectual y Tecnologías de la Información.

Naturaleza jurídica

Los chatbots son, desde un punto de vista jurídico[1], programas de ordenador, piezas de código que ejecutan una serie de instrucciones en un dispositivo informático para obtener un resultado. La Ley de patentes 11/1986 en su artículo 4.4c) establece que no pueden protegerse los programas de ordenador como tales. Esto supone que el código fuente, el código objeto o cualquier otra forma de expresión particular de un programa de ordenador están excluidos del ámbito de la patentabilidad. El software se define por el artículo 96 del Texto Refundido de la Ley de Propiedad Intelectual (TRLPI) en los siguientes términos: “toda secuencia de instrucciones o indicaciones destinadas a ser utilizadas, directa o indirectamente, en un sistema informático para realizar una función o una tarea para obtener un resultado determinado, cualquiera que sea su forma de fijación”. El TRLPI reconoce, en el apartado i) de su artículo 10.1, los programas de ordenador como obras de carácter intelectual. Sería necesario realizar un análisis sobre las circunstancias en que se procedió para la construcción del HISPABOT-COVID19. La protección jurídica y derechos serán distintos si se creó desde cero –  en cuyo caso la totalidad de los derechos son atribuidos a su autor originario exclusivamente (art.1 TRLPI) – o si se apoyaron en librerías de código preexistente, propietario o abierto.

Responsabilidad por daños contractuales y extracontractuales

Como se ha expuesto anteriormente, la esencia del chatbot es su funcionamiento cuasi autónomo. Ahora imaginemos que el HISPABOT-COVID19 da una respuesta errónea a un usuario, y que dicho usuario toma una decisión perjudicial basándose en ella. A no sólo hablamos de respuestas erróneas, sino de preguntas y respuestas ambiguas y/o desfasadas.  Parece obvio que, dado que tiene capacidad de crear efectos jurídicos frente a terceros, el uso de chatbots puede generar todo tipo de responsabilidades. ¿Qué tipo de responsabilidades nacen y quién sería responsable? No debemos olvidar que siguen interactuando con ciudadanos,  cuyos derechos deben quedar siempre protegidos.

Gracias a los impresionantes avances tecnológicos de la última década, los robots ya no solo pueden realizar actividades que antes eran típica y exclusivamente humanas, sino que el desarrollo de determinados rasgos cognitivos y autónomos —como la capacidad de aprender de la experiencia y tomar decisiones cuasi independientes— ha hecho que estos robots se asimilen cada vez más a agentes que interactúan con su entorno y pueden modificarlo de forma significativa; que, en este contexto, es crucial la cuestión de la responsabilidad jurídica por los daños que pueda ocasionar la actuación de los robots. Así lo exponía la resolución del Parlamento Europeo, de 16 de febrero de 2017, con recomendaciones destinadas a la Comisión sobre normas de Derecho civil sobre robótica.

En dicha resolución, el Parlamento Europeo consideraba que debe entenderse que las leyes de Asimov[2] van dirigidas a los diseñadores, fabricantes y operadores de robots, incluidos los que disponen de autonomía y capacidad de autoaprendizaje integradas, dado que dichas leyes no pueden traducirse en código máquina.  Además, estimaba necesario disponer de una serie de normas en materia de responsabilidad, transparencia y rendición de cuentas que reflejen los valores humanistas intrínsecamente europeos y universales que caracterizan la contribución de Europa a la sociedad; que esas normas no deben afectar al proceso de investigación, innovación y desarrollo en el ámbito de la robótica.

Se define la  “autonomía de un robot” como la capacidad de tomar decisiones y aplicarlas en el mundo exterior, con independencia de todo control o influencia externos; que esa autonomía es puramente tecnológica y que será mayor cuanto mayor sea el grado de sofisticación con que se haya diseñado el robot para interactuar con su entorno. En este sentido, ¿qué naturaleza jurídica tiene un robot?, ¿pertenece a las categorías jurídicas existentes o debe crearse una nueva categoría con sus propias características jurídicas? Cuanto más autónomos sean los robots, más difícil será considerarlos simples instrumentos en manos de otros agentes, lo cual,  a su vez, suscita la cuestión de si la normativa general sobre responsabilidad es suficiente o si se requieren normas y principios específicos que aporten claridad sobre la responsabilidad jurídica de los distintos agentes y su responsabilidad por los actos y omisiones de los robots cuya causa no pueda atribuirse a un agente humano concreto, y de si los actos u omisiones de los robots que han causado daños podrían haberse evitado;

En el marco jurídico actual, los robots no pueden ser considerados responsables de los actos u omisiones que causan daños a terceros. Las normas vigentes en materia de responsabilidad contemplan los casos en los que es posible atribuir la acción u omisión del robot a un agente humano concreto, y en los que dicho agente podía haber previsto y evitado el comportamiento del robot que ocasionó los daños, de forma que los fabricantes, los operadores, los propietarios o los usuarios podrían ser considerados objetivamente responsables de los actos u omisiones de un robot. Sin embargo, para el caso de que un robot tome decisiones autónomas, ¿hasta qué punto son responsables los anteriores? En dicha resolución se establecía que el enfoque de gestión de riesgos no se centra en la persona «que actuó de manera negligente» como personalmente responsable, sino en la persona que es capaz, en determinadas circunstancias, de minimizar los riesgos y gestionar el impacto negativo; en principio, una vez que las partes en las que incumba la responsabilidad última hayan sido identificadas, dicha responsabilidad debería ser proporcional al nivel real de las instrucciones impartidas a los robots y a su grado de autonomía, de forma que cuanto mayor sea la capacidad de aprendizaje o la autonomía y cuanto más larga haya sido la «formación» del robot, mayor debiera ser la responsabilidad de su formador; observa en particular que, al determinar a quién incumbe realmente la responsabilidad de los daños o perjuicios causados por un robot, las competencias adquiridas a través de la «formación» de un robot no deberían confundirse con las competencias estrictamente dependientes de su capacidad de aprender de modo autónomo.  La Directiva 85/374/CEE solo cubre los daños ocasionados por los defectos de fabricación de un robot a condición de que el perjudicado pueda demostrar el daño real, el defecto del producto y la relación de causa a efecto entre el defecto y el daño (responsabilidad objetiva o responsabilidad sin culpa).

Hoy día, de acuerdo con la legislación española en vigor, la responsabilidad civil de todo empresario es una responsabilidad universal, es decir, responde con todos sus bienes presentes y futuros (artículo 1911 del Código Civil), debido al riesgo que implica la actividad empresarial y la correlativa necesidad de garantizar un resarcimiento efectivo a los sujetos afectados. Aunque también existe la posibilidad de incurrir en responsabilidad por hechos ajenos (artículo 1903 del Código Civil) respecto a los daños producidos por sujetos que dependan de él.

En lo que a Administración Pública se refiere, debemos tener en cuenta de que, de conformidad con el art.106.2 CE, “Los particulares, en los términos establecidos por la ley, tendrán derecho a ser indemnizados por toda lesión que sufran en cualquiera de sus bienes y derechos, salvo en los casos de fuerza mayor, siempre que la lesión sea consecuencia del funcionamiento de los servicios públicos”.     Existe una copiosa jurisprudencia y doctrina del Consejo de Estado acerca de los requisitos exigidos para poder declarar la responsabilidad patrimonial de la Administración. La responsabilidad patrimonial de la Administración Pública se caracteriza por ser una responsabilidad objetiva (no se tiene en cuenta la existencia o no de culpa en el agente causante de los daños a resarcir) y directa (cuando hubiere indemnizado a los lesionados, se exigirá de oficio de sus autoridades y demás personal a su servicio la responsabilidad en que hubieran incurrido por dolo, o culpa o negligencia graves, previa instrucción del correspondiente procedimiento). Desde un punto de vista subjetivo, la responsabilidad de la Administración se integra por los sujetos activos, que son aquellos que ostentan la condición de perjudicados, y por los sujetos responsables, que se define por la concurrencia de una Administración o Entidad Pública; en el ámbito objetivo, los elementos constitutivos son la lesión patrimonial real y efectiva, el daño ilegítimo, y el necesario nexo causal entre la acción producida y el resultado dañoso ocasionado. A grandes rasgos puede establecerse que la regulación en materia de responsabilidad patrimonial, se está refiriendo a la responsabilidad patrimonial extracontractual de la Administración, ello sin perjuicio de las dificultades que en ocasiones se presentan en la práctica para marcar la línea divisoria entre la responsabilidad contractual y la extracontractual, así como también sobre la eventual aplicación al ámbito de la responsabilidad contractual de los principios que dimanan de los mencionados preceptos legales.

En cualquier caso, como se puede observar, el Derecho y la legislación son incapaces de seguir el ritmo exponencial de las nuevas tecnologías en la regulación de la Inteligencia Artificial.

Protección de datos

Los chatbots utilizan tecnologías disruptivas que pueden llegar a tener una gran incidencia en la privacidad de las personas. Cualquier persona tiene derecho a saber si sus datos personales van a ser incluidos en un fichero, y los tratamientos que se realizan con esos datos. Los responsables tienen obligación de informar al ciudadano cuando recojan datos personales que le afecten. Este derecho de información es esencial porque garantiza que el consentimiento que se preste sea previo, específico e informado y es necesario para permitir el ejercicio de los derechos de acceso, rectificación, cancelación y oposición. Si a través del Hispabot-Covid19 se recogen datos personales, se debe cumplir con lo establecido en el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

El Reglamento General de Protección de Datos (RGPD) contiene las reglas necesarias para permitir legítimamente tratamientos de datos personales en situaciones en las que existe una emergencia sanitaria de alcance general. Por ello, la protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la pandemia.

La Agencia Española de Protección de Datos (AEPD) publicó un informe sobre los tratamientos de datos en relación con el COVID-19[3].  El informe recoge que el RGPD reconoce explícitamente en su Considerando 46 como base jurídica para el tratamiento lícito de datos personales en casos excepcionales, como el control de epidemias y su propagación, la misión realizada en interés público (art. 6.1.e) o los intereses vitales del interesado u otras personas físicas (art. 6.1.d), sin perjuicio de que puedan existir otras bases como, por ejemplo, el cumplimiento de una obligación legal (para el empleador en la prevención de riesgos laborales de su personal). Estas bases jurídicas permiten el tratamiento de datos sin consentimiento de los afectados.

Los datos de salud están catalogados en el Reglamento como categorías especiales de datos, prohibiéndose su tratamiento salvo que pueda ampararse en alguna de las excepciones recogidas en la normativa. El informe precisa las excepciones recogidas en el art. 9.2. RGPD:

• El cumplimiento de obligaciones en el ámbito del Derecho laboral y de la seguridad y protección social (art. 9.2.b). El informe recuerda la obligación de empleadores y de su personal en materia de prevención de riesgos laborales, y que corresponde a cada trabajador velar por su propia seguridad y salud en el trabajo y por la de aquellas personas a las que pueda afectar su actividad profesional a causa de sus actos y omisiones en el trabajo. Ello supone que el personal deberá informar a su empleador en caso de sospecha de contacto con el virus, a fin de salvaguardar, además de su propia salud, la de los demás trabajadores del centro de trabajo para que se puedan adoptar las medidas oportunas.
• El interés público en el ámbito de la salud pública (art. 9.2.i), que en este caso se configura como interés público esencial (art. 9.2.g).
• Cuando sea necesario para la realización de un diagnóstico médico (art. 9.2.h).
• Cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otras personas, cuando el interesado no esté capacitado para prestar su consentimiento. (art. 9.2.c).

Por otro lado, el informe hace referencia a la Ley Orgánica 3/1986 de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020, de 10 de marzo) o la Ley 33/2011 General de Salud Pública. La primera de dichas normas señala que “con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible”.

En materia de riesgo de transmisión de enfermedades, epidemia, crisis sanitarias etc., la normativa aplicable ha otorgado a las autoridades sanitarias de las distintas AAPP las competencias para adoptar las medidas necesarias previstas por la ley cuando así lo exijan razones sanitarias de urgencia o necesidad. Desde un punto de vista de tratamiento de datos personales, la protección de los intereses vitales de las personas físicas corresponde en el ámbito de la salud a las distintas autoridades sanitarias de las diferentes administraciones públicas, quienes podrán adoptar las medidas necesarias para salvaguardar a las personas en situaciones de emergencia sanitaria.

Así, serán las autoridades sanitarias de las distintas AAPP quienes deberán adoptar las decisiones necesarias, y los distintos responsables de los tratamientos de datos personales deberán seguir dichas instrucciones, incluso cuando ello suponga un tratamiento de datos personales de salud.

Del mismo modo, y en aplicación de lo establecido en la normativa de trabajo y de prevención de riesgos laborales, los empleadores podrán tratar, de acuerdo con dicha normativa y con las garantías que dichas normas establecen, los datos necesarios para garantizar la salud de todo su personal, y evitar contagios en el seno de la empresa y/o centros de trabajo.

Por último, el informe destaca que los tratamientos de datos personales, aún en estas situaciones de emergencia sanitaria, deben seguir siendo tratados de conformidad con la normativa de protección de datos personales (RGPD y Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales), ya que estas normas han previsto esta eventualidad. Es decir, al HISPABOT-COVID 19 le son de aplicación los principios contenidos en la normativa sobre protección de datos, y entre ellos el de tratar los datos personales con licitud, lealtad y transparencia, limitación de la finalidad (en este caso, salvaguardar los intereses de las personas ante esta situación de pandemia), principio de exactitud, y el principio de minimización de datos. Sobre esto último, se hace una referencia expresa a que los datos tratados habrán de ser exclusivamente los limitados a los necesarios para la finalidad pretendida, sin que se pueda extender dicho tratamiento a otros datos personales no estrictamente necesarios para dicha finalidad.

Conforme a la Orden SND/297/2020, de 27 de marzo, el diseño  estará basado en información oficial del Ministerio de Sanidad.  El responsable del tratamiento y su finalidad será el Ministerio de Sanidad y el encargado del tratamiento y titular del chatbot será la Secretaría de Estado de Digitalización e Inteligencia Artificial a través de la Subdirección General de Inteligencia Artificial y Tecnologías Habilitadoras Digitales.

Sobre e autor: D. Damián Tuset Varela, funcionario de la Administración de Justicia.

[1] Écija, 2018, Guía legal de chatbots: aspectos jurídicos y de mercado

[2] Las leyes de Asimov o tres leyes de la robótica son normas que se aplican a la mayoría de los robots de sus obras y que están diseñados para cumplir órdenes: 1.Un robot no hará daño a un ser humano o, por inacción, permitirá que un ser humano sufra daño; 2Un robot debe cumplir las órdenes dadas por los seres humanos, a excepción de aquellas que entrasen en conflicto con la primera ley; 3. Un robot debe proteger su propia existencia en la medida en que esta protección no entre en conflicto con la primera o con la segunda ley.

[3] Informe de la AEPD 17/20 sobre los tratamientos de datos en relación con el COVID-19 (12 marzo 2020).