La Inteligencia Artificial (IA) está presente en nuestras vidas y cada vez lo estará más. Les pondré varios ejemplos de aplicación de la IA en la actualidad.
En la mayoría de entidades financieras la concesión de un préstamo se decide en base a un algoritmo, que calcula el nivel de scoring, esto es, la probabilidad de que un crédito de un importe determinado, para un cliente concreto y con una finalidad y un plazo específico entre en situación de impago. Si esa probabilidad es menor que el límite máximo puesto por la entidad financiera se concede el préstamo, y si lo supera, no. Ese algoritmo se calcula a partir de diferentes datos, como la ratio de insolvencia del interesado, ingresos en relación a pagos comprometidos, antigüedad del contrato laboral, formación académica, declaración patrimonial, entre otros factores.
Más ejemplos: algoritmos capaces de encontrar un cáncer con un porcentaje de acierto más alto que un grupo de especialistas o algoritmos capaces de definir la estrategia procesal más idónea para el éxito de un asunto en base a la jurisprudencia. Esto ya es realidad, y va a más.
Decisiones individuales automatizadas
El problema de los algorítmicos es que pueden dar lugar a decisiones injustas y discriminatorias.
Consciente de esta realidad, el legislador europeo estableció en el artículo 22 apartado 1 del RGPD lo siguiente: «Todo interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar».
El primer requisito para que entre en juego el artículo 21 apartado 1 del RGPD es que la decisión la adopte únicamente una máquina, o lo que es lo mismo, que no exista intervención humana, pero no es tan fácil discriminar si en el proceso de toma de decisión de un algoritmo existió presencia humana, pues no olvidemos que es una persona quien valora la automatización de la decisión y que es una persona quien decide si se adopta, o no, la decisión automatizada.
Según el artículo 22 apartado 2 del RGPD, las bases que legitiman el tratamiento automatizado se hallan en el artículo 6 del RGPD. De forma que solo se puede llevar a cabo cuando: a) sea necesario para la celebración o ejecución de un contrato entre el interesado y el responsable del tratamiento; b) se base en el consentimiento explícito del interesado. En ambos casos, el responsable del tratamiento debe garantizar el derecho del interesado a obtener la intervención humana, expresar su punto de vista e impugnar la decisión. También se admite el tratamiento automatizado cuando esté autorizado por el Derecho de la Unión o de los Estados miembros, si bien se establecerán medidas adecuadas para salvaguardar los derechos, libertades e intereses legítimos del interesado.
Con relación a la información relacionada con la lógica aplicada al tratamiento automatizado, esta ha de ser concisa, transparente, inteligible, de fácil acceso y suficiente como para que el interesado pueda saber cómo funciona el programa de IA que tomará la decisión basada en sus datos.
Si el interesado no está conforme con la iniciativa del responsable del tratamiento de automatizar la decisión puede no conceder el consentimiento para el tratamiento de sus datos. El problema es que si no está conforme, seguramente se quede sin la oportunidad de celebrar el correspondiente contrato, por ejemplo, de préstamo con una entidad financiera, lo que de por sí ya es injusto, toda vez que la igualdad de armas en esa negociación no es real.
Límites
El legislador europeo es consciente del peligro de este tipo de decisiones y ha puesto un límite: el tratamiento de categorías especiales de datos (datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud, a la vida sexual u orientación sexual de una persona física).
En tales casos, se autoriza la decisión automatizada si el interesado dio su consentimiento explícito. No obstante, el responsable debe diseñar el tratamiento de forma que proteja la libertad de elección de los usuarios, así, en el momento de solicitar el consentimiento deben proporcionarse alternativas viables y equivalentes a la decisión automatizada. Asimismo, se garantizará que, si elige no ser objeto a la decisión automatizada, no se va a introducir un sesgo en la decisión que sea perjudicial para los intereses del afectado. Si no se cumplen estas condiciones, el consentimiento no puede considerarse libre. Estas vías de actuación deben contemplarse desde la misma fase de diseño del tratamiento.
Otro supuesto en el que se admite el tratamiento automatizado de datos de categorías especiales es por razones de interés público esencial.