Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y COMPLIANCE

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Riesgos de la Inteligencia Artificial

Siempre digo que los datos personales son el filón del siglo XXI y que debemos tomar conciencia de la importancia que tienen nuestros datos para defender nuestros derechos, intereses y libertades.

Si les hablo de Inteligencia Artificial (IA) seguro que muchos pensarán en ciencia ficción, pero se equivocan si piensan así. Les pondré varios ejemplos de aplicación de la IA en la actualidad.

En la mayoría de las entidades financieras la concesión de un préstamo se decide en base a un algoritmo, que calcula el nivel de “scoring”, esto es, la probabilidad de que un crédito de un importe determinado, para un cliente concreto y con una finalidad y un plazo específicos entre en impago. Si esa probabilidad es menor que el límite máximo puesto por la entidad financiera se concede el préstamo, y si lo supera, no se concede. Ese algoritmo se calcula a partir de diferentes datos como la ratio de insolvencia del interesado, sus ingresos en relación a pagos comprometidos, antigüedad del contrato laboral, formación académica, declaración patrimonial, entre otros factores.

Más ejemplos: algoritmos capaces de definir la estrategia procesal más idónea para el éxito de un asunto en base a la jurisprudencia o algoritmos capaces de encontrar un cáncer con un porcentaje de acierto más alto que un grupo de especialistas. Todo esto ya es realidad y va a más.

El problema de los modelos algorítmicos es que no tienen “alma” y pueden dar lugar a decisiones injustas y discriminatorias, y consciente de esta realidad, el legislador europeo estableció en el artículo 22 apartado 1 del RGPD lo siguiente: «Todo interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar».

El primer requisito para que entre en juego el artículo 21.1 del RGPD es que la decisión la adopte únicamente una máquina, o lo que es lo mismo, que no exista intervención humana, pero no es tan fácil discriminar si en el proceso de toma de decisión de un algoritmo existió presencia humana, pues no olvidemos que es una persona quien valora la automatización de la decisión y que es una persona quien decide si se adopta, o no, la decisión automatizada. 

Según el artículo 22.2 del RGPD, las bases que legitiman el tratamiento automatizado se encuentran en el artículo 6 del RGPD. De forma que solo se puede llevar a cabo cuando: a) sea necesario para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento; b) cuando esté autorizado por el Derecho de la Unión o de los Estados miembros, si bien establezcan asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o c) cuando se base en el consentimiento explícito del interesado.

Si el responsable del tratamiento decide que la decisión sea automatizada debe, primero, informar de ello al interesado y, segundo, debe justificar que dicho tratamiento resulta necesario. Algunos han dado en llamar a este derecho como “derecho de explicación” en base al Considerando 71 del RGPD. Ahora bien, este derecho no es absoluto, pues encuentra límites en los derechos de propiedad intelectual y secretos comerciales, por ejemplo, para salvaguardar la lógica del algoritmo.

Con relación a la información relacionada con la lógica aplicada al tratamiento automatizado, ésta ha de ser concisa, transparente, inteligible, de fácil acceso y suficiente como para que el interesado pueda saber cómo funciona el programa de IA que tomará la decisión basada en sus datos.  

Si el interesado no está conforme con la iniciativa del responsable del tratamiento de automatizar la decisión puede no conceder el consentimiento si cree que se ponen en juego sus derechos. El problema es que si no está conforme con la decisión del responsable del tratamiento, seguramente se quede sin la oportunidad de celebrar el correspondiente contrato (por ejemplo, de préstamo con una entidad financiera). Resulta evidente que, en muchas ocasiones, la igualdad de armas no es real y que la libertad del interesado no está garantizada.

El RGPD legitima el tratamiento automatizado de datos personales si el Derecho de la Unión o el de los Estados miembros lo autoriza expresamente, si bien se han de salvaguardar los derechos, las libertades y los intereses legítimos del interesado. De modo que se concede a los Estados miembros un amplio margen para regular los supuestos en los que un responsable del tratamiento podrá tomar decisiones automatizadas (por ejemplo, con fines de control y prevención del fraude). Por el momento, en España no hay una regulación al respecto, si bien el Gobierno de la Nación ya ha anunciado el uso de la IA en procedimientos sancionadores iniciados por Inspección de Trabajo y Seguridad Social. Haciendo clic aquí pueden consultar un artículo que publiqué tras el anuncio del Gobierno.

El legislador europeo es consciente del peligro de este tipo de decisiones y ha puesto un límite: el tratamiento de categorías especiales de datos (datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual u orientación sexuales de una persona física). En estos casos, solo se autoriza la decisión automatizada si el interesado dio su consentimiento explícito o si el tratamiento es necesario por razones de un interés público esencial sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al fin perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado de acuerdo con el artículo 22.4 en relación con los artículos 9.2.a y g) del RGPD.

En definitiva, todos los ciudadanos tenemos derecho a obtener una intervención humana en las decisiones del responsable del tratamiento que nos afecten, salvo en los supuestos excepcionales previstos por la normativa. 

PortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).