Artículo publicado en El Derecho, 27 de enero de 2023.
En los últimos tiempos hemos ido viviendo grandes avances en el ámbito de la tecnología, aspectos que han ido evidenciado la necesidad de, denominativamente, dejar de hablar de nuevas, teniendo en cuenta el nivel de superación que ellas conllevan.
Si bien, no hace mucho hablábamos de la importancia del big data o el establecimiento de sistemas predictivos y los grandes beneficios que ello conllevaba, no sólo para las propias empresas (en lo relacionado con la atención a sus clientes, definición de productos, entre otros aspectos), sino, también, para las propias personas en relación con sus necesidades, este avance ha ido evolucionando, junto con otras cuestiones, hasta un nuevo hito, la adopción de sistemas de inteligencia artificial.
Rara es la semana en la que no encontramos en los medios noticias sobre esta temática, donde sistemas como ChatGPT, nos ayudan a entender su funcionamiento y, lo que es más importante, la definición de posibles usos, desde la óptica del presente, pero, sobre todo, con la mirada puesta en el futuro.
Si bien esta tipología de avances se produce en el ámbito de la tecnología, en ocasiones, nuestro regulador -nacional y europeo-, parece ir dando pasos más lentos, una cuestión que puede entenderse alineada con los pronunciamientos de las propias autoridades de control.
En el horizonte, encontramos reflexiones de éstas o proyectos normativos que, aun quedando camino por recorrer, vendrán a regular y aportar una mayor seguridad jurídica en el ámbito del tema que, de fondo, nos ocupa.
Así, hemos ido conociendo, lo que será tras su tramitación, la propuesta de futuro Reglamento Europeo, donde parte de los principios y limitaciones de uso quedaron previamente recogidos en el Libro Blanco de Inteligencia Artificial (publicado por la Comisión Europea en 2020).
Igualmente, ante las dudas y retos que se plantean, debemos considerar que, alguna de las soluciones las encontramos en la normativa actual. Es decir, parte de esos retos, nacen de planteamientos jurídicos que, en ocasiones, ya se encontraban regulados, tal y como ocurre con la normativa en materia de protección de datos. Cuestiones tales como el derecho/deber de transparencia, la necesaria legitimación para el tratamiento, la realización de evaluaciones de impacto, o relación con los proveedores, se encuentran asentadas dentro de las obligaciones y derechos, en relación con los responsables y encargados del tratamiento y, fundamentalmente, hacia las propias personas y el tratamiento de sus datos personales.
Así, en lo que respecta a la normativa en materia de protección de datos, por ejemplo, no puede obviarse que una de las grandes funcionalidades que integran los sistemas de inteligencia artificial es, precisamente, la capacidad de realizar análisis masivos de datos que posibiliten la adopción de determinadas decisiones, en la mayor parte de los casos. Un reto en el marco de la protección de los datos personales, que encuentra su respuesta en el Reglamento General de Protección de Datos (en adelante, el “RGPD”) que, en su artículo 22 reconoce el derecho de las personas a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluyendo la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente, con la salvedad de que la adopción sea necesaria para celebración de un contrato, estuviese por una norma o se legitimara en el consentimiento (libre, expreso, inequívoco) de la propia persona.
Un derecho que, precisamente, posibilidad a la persona reclamar ante la toma de decisiones en las que no haya intervención humana, paliando el posible efecto negativo que puedan tener sobre él los criterios observados por el algoritmo diseñado.
Estas obligaciones ya existentes encuentran su reflejo en las nuevas normas que se están elaborando, donde esos pilares de la protección de los datos personales que anticipábamos se asientan dentro de las obligaciones que, quienes vayan a desarrollar o utilizar estos sistemas, deben cumplir.
La propuesta referida de Reglamento de Inteligencia Artificial dispone obligaciones específicas referidas a la transparencia respecto al uso de sistemas de inteligencia artificial. De considerarse fundamental, por ejemplo, facilitar información específica y clara a los propios interesados sobre el uso de estos sistemas. Cuestión de debe reforzarse en aquellos casos en los que dichos sistemas se hayan desarrollado para que las personas puedan interactuar con ellos, evitando así, no sólo ficciones, sino menoscabos a los derechos de las personas. Un aspecto que adquiere mayor relevancia en sistemas, como los que nos ocupan, que posibiliten el reconocimiento de emociones o de aquellos otros enfocado hacia la categorización biométrica, exceptuando aquellos casos en lo que, por ejemplo, exista autorización legal para su utilización, en el caso de que sea empleado para la detección, prevención, investigación o enjuiciamiento de infracciones penales.
El texto que conocemos de la futura norma europea establece diferentes niveles riesgo, que incluyen una línea roja que no debe cruzarse por su impacto en los derechos y libertades de las personas, a otros menores atendiendo al escalado de los mismos. Concretamente, dentro de los considerados como riesgo alto, se encuentran: juguetes y aparatos electrónicos; medios de transporte (embarcaciones de recreo y motos acuáticas, ascensores, transporte por cable); sanitarios y/o protección de personas (diagnóstico in vitro, protección individual); identificación biométrica y categorización de personas físicas; gestión y funcionamiento de infraestructuras esenciales; educación y formación profesional; empleo, gestión de trabajadores y acceso al autoempleo (tanto en contratación como con la finalidad de tomar decisiones referidas a la promoción profesional); acceso y disfrute de servicios públicos y privados esenciales (evaluación de personas para ayudas y subvenciones, evaluación de la solvencia y clasificación crediticia, envío de servicios de primera intervención en situaciones de emergencia), entre otros.
Dentro del desarrollo de sistemas de alto riesgo se deberá cumplir con una triple configuración: la necesidad de llevar a cabo una evaluación de riesgos (garantizando la implementación de un sistema de control de calidad durante todo el ciclo de vida), contar con documentación técnica que permita acreditar los usos particulares del sistema y contar con una evaluación de conformidad de la UE, por el organismo competente en el estado miembro en el que esté ubicada su actividad.
Aspectos que, en otro orden, se recogen dentro de las obligaciones que establece RGPD, en relación con determinados tratamientos y la aplicación de evaluaciones de impacto o de los principios de privacidad desde el diseño y por defecto, entre otros. Es por ello por lo que, parte de los aspectos que venimos enunciando, no deben resultar desconocidos para aquel obligado con la normativa en materia de protección de datos.
Centrándonos en el ámbito de la protección de datos, debemos partir de la premisa de que entendemos por datos personal. Si tomamos la definición recogida en el RGPD (que venía dándose también en las normas europeas y nacionales previas), cualquier información que identifique o haga identificable a una persona sería entendido como datos personal, por tanto, no puede contemplarse el cumplimiento exclusivamente desde el momento de recogida de la información en que quizás, el sistema no identifique a una persona concreta (bien porque no se le solicite determinada información o porque el número de datos no posibilite la identificación a priori), sino desde una visión completa, teniendo en cuenta que las operaciones que posteriormente se realicen o que el enriquecimiento de la información -incluso con aquellos datos que facilite el propio interesado, puedan posibilitar la identificación posterior. Esta es una cuestión que ya ha sido analizada en diferentes ocasiones, en el establecimiento de sistemas de big data, donde el concepto de anonimización se hace complicado, posibilitándose la identificación o reidentificación a posteriori.
En este punto, en el momento de analizar si nos encontramos o nos encontramos ante datos personales, la aplicación de procedimientos de privacidad desde el diseño y por defecto. Sólo mediante la interacción de todas las áreas implicadas de la empresa, pueden obtenerse conclusiones que faciliten el cumplimiento normativo (con la consiguiente reducción de riesgos sancionatorios).
Caso parecido nos encontramos dentro de la definición de tratamiento, atendiendo a que cualquier operación que vayamos a realizar con un dato personal, desde su recogida, explotación, modificación, utilización, conservación o, incluso, eliminación, estarían bajo el concepto recogido por el RGPD.
Partiendo de estas premisas, para difícil llegar a la conclusión de que no será de aplicación la normativa en materia de protección de datos, tanto a los propios desarrolladores de estas soluciones, como a aquellos que las vayan a implementar en su ámbito de acción, con la consiguiente definición de roles, como responsables o encargados del tratamiento.
Durante el ciclo de vida del dato, precisamente, atendiendo al proceso de aprendizaje de la solución, se produce un enriquecimiento de este, que, además, permite realizar los ajustes necesarios, la mejora de la experiencia, su grado de efectividad, entre otros aspectos. Si buen pudiera darse el caso de que, no fuese necesaria la identificación unívoca de una persona en ese momento, debe considerarse si se realiza un proceso de anonimización completo o la naturaleza personal sigue persistiendo. Aspecto que no precisa mandatoriamente de la identificación de una persona concreta o el registro en el sistema.
Para garantizar el nivel de cumplimiento y la protección de las personas, las propias autoridades de control en materia de protección de datos han ido emitiendo guías y recomendaciones, que posibiliten la adopción de garantías suficiente que, si bien carecen de carácter imperativo, pueden facilitar al responsable la adopción de medidas, siempre teniendo en cuenta los requisitos legales vigentes,
En el caso de España, nuestra Agencia Española de Protección de Datos, emitió en febrero de 2020, su guía de adecuación al RGPD de tratamientos que incorporan inteligencia artificial. En la misma, la AEPD, analiza las principales cuestiones que tienen impacto en el tratamiento de los personales, junto con los riesgos que conllevan, más consideran la posible intromisión en el derecho al honor e intimidad de las personas, o el posible sesgo que se puedan generar con las consecuencias discriminarías, por ejemplo, en aquellos casos en los que su diseño y uso, no cumplan con las exigencias normativas e, incluso, éticas (una aspecto más difícil de definir ,a tendiendo al momento, circunstancias sociales, pensamiento social, avance tecnológico, entre otras cuestiones).
Sobre el tratamiento de datos personales mediante sistemas de inteligencia artificial, tanto de forma previa, como cuando es resultado de una identificación posterior, debemos tener en cuenta lo establecido en el RGPD, en relación el tratamiento de categorías especiales de datos, definidas en el artículo 9 del RGPD como aquellos datos que “que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física”.
De igual manera que recogíamos que podemos encontrarnos con un dato personal, claramente identificado, en el inicio del tratamiento o, a posteriori, derivado del sumatorio de otras informaciones, en el caso de las categorías especiales de datos podemos encontrarnos ante este mismo paradigma.
A priori, la información contenida en la factura de la luz de un particular no revela mayor información que la relativa a los consumos, costes, tramos, … pero en ningún caso información que pueda encuadrarse dentro de esta categoría especial. No obstante, conocemos estudios de diferentes Universidades que ponen de manifiesto que, el análisis sistematizado de los consumos, horarios, tipo de vivienda, .. podrían llegar a desvelar determinados padecimientos de las personas o, incluso, cuadros clínicos, tales como insomnio o incontinencia, facilitando, de donde sólo había una mera información de consumo, una conclusión que podría llegar a ser tratado dentro de estas categorías especiales de datos.
De la misma manera en que, mediante el uso de estos sistemas, podríamos llegar a medir las emociones de las personas, sus sensaciones o estado anímico, posibilitando la interacción con solución que empaticen con las mismas, la información obtenida podría ser considerada dentro de la misma especialidad anterior. No sólo por aquél que vaya a tratar los datos o las conclusiones a los que llegue el sistema (e.g. profesional sanitario), sino por el impacto que tenga para la propia persona (e.g. sesgo del dato o de las consecuencias del mismo).
A modo de ejemplo, dentro de estas tecnologías y establecimiento de riesgos, nos encontramos con aquellas soluciones o sistemas enfocado al reconocimiento de emociones, concretamente, aquel que parte del análisis de las expresiones faciales, tanto sobre imágenes dinámica como aquellas otras fijas, facilitando extraer información y conclusiones sobre el estado emocional de las personas.
No puede olvidarse que, desde un punto de vista técnico, este tipo de sistema, posibilitan la categorización, dependiendo del algoritmo empleado, sobre aquellas emociones más básicas -como la alegría, el miedo o la tristeza- o más complejas -temeroso y tristeza, tristemente enfadado u otras combinaciones de aquellas más básicas-, pudiendo aumentar el grado detalle o la información inferida de su uso.
Y es que no podemos obviar que nuestra normativa, tal y como ocurría con la anterior, tiene una asignatura pendiente, el nivel social de protección de datos. Es decir, más allá de los niveles de seguridad que establecía la previa o las categorías especiales de datos, existe un nivel social, subjetivo, donde determinada información tiene un mayor peso para la propia persona, mayor sean consecuencias para la misma o, incluso podría implicar un mayor riesgo para con sus derechos. Aspectos que, deberán en todo caso ser analizados en la correspondiente evaluación de riesgos e impacto.
En todo caso, debemos tener en cuenta que, para llevar a cabo estos tratamientos especiales, partimos de una prohibición, salvo que se aquellas legitimaciones y circunstancias conforme se recoge en el artículo 9 del RGPD.
Llegados a este punto, una vez hemos definido los datos y categorías que serán tratados, aplicando el precitado principio de privacidad desde el diseño, se han de evaluar y analizar las diferentes operaciones de tratamiento que se pretendan realizar, tanto de manera principal, como aquellas otras que puedan desprenderse de estas, directa o de forma independiente. Junto con las finalidades, deben definirse los roles que participaran en el tratamiento, de aquellos que actuarán como responsables o corresponsables, en su caso, de aquellos proveedores o terceros que lo harán como encargados del tratamiento, junto con la previsión de posibles cesiones o comunicaciones que puedan realizarse. En relación con estas, el acceso o tratamiento realizado por un tercero en su calidad de responsable independiente y su impacto, tanto cuando el dato personal vaya a ser comunicado directamente o, se produzca un proceso de anonimización previo, mediante la adopción de garantías jurídicas, técnicas y organizativas suficientes.
Solo desde un análisis profundo y detallado de lo pretendido, con la privacidad en el horizonte, podrá darse cumplimiento a otras exigencias, necesarias, para el cumplimiento normativo. El deber de información, como consecuencia del principio de transparencia, de manera clara, entendible y completa, tal y como han venido recogiendo las autoridades en sus resoluciones sancionadores sobro como debe realizarse esta información su detalle y la necesidad de establecer reglas claras con las personas cuyos datos serán objeto del tratamiento. La necesaria legitimación para llevarlo a cabo, teniendo en cuenta las exigencias reforzadas para el tratamiento de las categorías especiales de datos (partiendo de la prohibición de tratamiento expuesta).
El resto de principios recogidos en la normativa vigente, requieren de un análisis exhaustivo en el diseño e implantación, la minimización de los datos (cuestión que adquiere una mayor relevancia atendiendo al proceso de desarrollo y aprendizaje, junto con la generación de información por parte de las soluciones de inteligencia artificial), calidad del dato y actualización de los mismos (respondiendo a la realidad de las personas, cuestión igualmente relevante, atendiendo a la posible toma de decisiones automatizada que exponíamos anteriormente y, por tanto, los posibles efectos adversos que puedan generarse -jurídicos o de otra índole) o limitación de la finalidad, entre otros.
Incidiendo en las cuestiones técnicas/seguridad, el RGPD se refiere a la obligación de adoptar las medidas técnicas y organizativas apropiadas, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. Cuestiones que, como se ha expuesto, tienen una especial incidencia en el diseño y uso de estas soluciones y sistemas.
Tanto el propio RGPD como la Ley Orgánica española, establecen la obligatoriedad de realizar análisis de riesgos de los tratamientos de datos que se lleven a cabo, de las nuevas particularidades que se incluyan en los mismos y de los nuevos tratamientos que se pretendan llevar a cabo, que le permita conocer en todo momento el riesgo asociado a la propia naturaleza de dicho tratamiento y, en su caso, si es necesario realizar una evaluación de impacto en la privacidad, tal y como desglosa la Guía de gestión del riesgo y evaluación de impacto en tratamientos de datos personales de la AEPD (junio 2021).
Como complemento de lo anterior, teniendo en cuenta, la utilización de estas soluciones, el alcance, contexto o fines, y el alto riesgo que conllevan para los derechos y libertades de las personas físicas, deberá realizarse las correspondientes evaluaciones de impacto, llegando a, en determinados casos, necesitar solicitar la autorización o conformidad por parte de la autoridad de control o, en determinados, casos, la imposibilidad de llevar a cabo el tratamiento pretendido. En relación con los riesgos, deberá considerarse lo recogido, por ahora, en la propuesta de Reglamento, atendiendo al espíritu del legislador y, llegado el momento, al Reglamento que sea de aplicación.
En relación con los proveedores y soluciones, la propuesta de Reglamento referenciada hace mención específica al sistema de certificación por parte de la autoridad que, en caso de aprobación de este, sea designada, quién evaluará los procedimientos, políticas, diseños técnicos y evaluaciones -tales como la referida en materia de protección de datos- para emitir las correspondientes autorizaciones. Aspectos que refuerzan los recogido por la vigente sobre el tratamiento de los datos personales, donde se recogen, incluso, la previsión de sistemas de certificación e interacción con la autoridad de control en el marco de las garantías y observancia por responsables y encargados del tratamiento.
Debe recordarse la obligatoriedad de que el sistema empleado o desarrollado, facilite la atención de los derechos que ejerciten las personas sobre sus datos. Así, el no cumplimiento de los aspectos expuestos, junto con la no identificación de los flujos de información, el enriquecimiento de esta o los diferentes destinatarios, ni posibilitarían la atención de manera objetiva de aquellos que la persona ejercite, en los términos que exige el RGPD.
No puede obviarse lo relativo a las potenciales transferencias internacionales de datos, gestión de brechas de seguridad y el establecimiento de sistemas de auditoría continua, dentro del enfoque de responsabilidad proactiva.
Todos estos aspectos que deben ser tenidos en cuenta en relación con el desarrollo y utilización de sistemas basados en inteligencia artificial, tanto en las fases de tratamiento de los datos, como del diseño y de las propias de aprendizaje de la tecnología, tal y como recoge la propia AEPD en la guía referenciada.
