Adrián Palma Ortigosa

Decisiones automatizadas en el RGPD. El uso de algoritmos en el contexto de la protección de datos.

 30/05/2019
 Compartir: 

En el presente trabajo se realiza una interpretación del Art 22 del RGPD, para ello defendemos que, además del derecho de los particulares a no verse sometido a decisiones plenamente automatizadas, lo que en esencia se reconoce en este precepto es la regulación específica de un tratamiento de datos personales concreto, esto es, el uso de máquinas por parte de organizaciones en la toma de decisiones sobre particulares sin intervención humana. Para ello, junto al análisis y definición del tratamiento, se estudian las distintas bases jurídicas que legitiman al responsable para llevarlo a cabo y, se examinan una por una el conjunto de facultades de las que gozan aquellos particulares que se ven afectados por tal tratamiento. Nuestro principal objetivo es clarificar un precepto que a día de hoy se muestra como uno de los pocos que prevé una serie de garantías jurídicas en favor de aquellos que se ven sometidos a decisiones tomadas por una máquina.

Adrián Palma Ortigosa es Contratado Pre-Doctoral en Derecho Administrativo en la

Universidad de Valencia

El artículo se publicó en el número 50 de la Revista General de Derecho Administrativo (Iustel, enero 2019)

I. INTRODUCCIÓN

El uso de algoritmo y programas informáticos en la toma decisiones automatizadas sobre particulares por parte de todo tipo de organizaciones tanto públicas como privadas ha aumentado progresivamente en los últimos años. Así, cada vez es más habitual que a través de estas herramientas que se basan en la inteligencia artificial se fijen precios de pólizas, se concedan o no préstamos, se identifican a personas a través de su imagen, se luche contra la evasión fiscal o incluso se prevea un posible delito(1). Como se puede ver, en todos estos sectores las máquinas vienen a sustituir tareas que hasta la fecha eran llevadas a cabo por personas, fruto de la eficacia y la precisión de estos nuevos instrumentos(2). Esta precisión se ha visto reforzada no solo por la mejora de los modelos algorítmicos, sino también por una mayor disponibilidad de datos tanto personales como no personales en manos de las organizaciones(3), datos que se convierten en el entrenamiento y alimento de los algoritmos, determinando el resultado de la decisión.

Como es lógico, este desarrollo exponencial en el uso de algoritmos a la hora de tomar decisiones ha derivado en todo tipo de problemas legales: discriminación, decisiones injustas, o denegaciones de un servicio o producto por parte de una máquina, exigen de una regulación específica. Así, en el ámbito del derecho a la protección de datos, el nuevo Reglamento General de Protección de Datos Europeo 2016/679 (en adelante RGPD) ha establecido una regulación concreta para aquellos tratamientos que tengan como objetivo la toma de decisiones basada únicamente en el dictamen emitido por una máquina, para ello, la norma europea dota a los particulares sometidos a estas decisiones de un haz de facultades, a su vez, esta misma norma impone una serie de obligaciones a las organizaciones que decidan hacer uso de estos sistemas. En nuestra opinión, y teniendo en cuenta la escasez de preceptos que a día regulan las consecuencias jurídicas que se derivan del uso de algoritmos en la toma decisiones sobre los particulares, el Art. 22 del RGPD se muestra como un armazón legal esencial que ha de tener en mente cualquier operador jurídico que pretenda enfrentarse a este asunto.

Pasamos a su correspondiente estudio.

II. LAS DECISIONES AUTOMATIZADAS

1. Redacción confusa

Una vez realizada la introducción, iniciamos el estudio particular del artículo Art 22 del RGPD. Para empezar, hay que indicar que este precepto se caracteriza por una redacción bastante confusa, así, a primera vista, si únicamente analizamos este precepto desde la perspectiva de su encuadre en el RGPD, rápidamente llegamos a la conclusión de que el Art. 22 forma parte del conjunto de facultades que se reconocen a los titulares derivadas del derecho fundamental a la protección de datos(4), ya que tal precepto forma parte del Capítulo III denominado “Derechos del Interesado(5), y además, específicamente, dentro de este capítulo, tal precepto debe ponerse en estrecha relación con el derecho de oposición, ya que ambos forman parte de la Sección 4 denominada “Derecho de oposición y decisiones individuales automatizadas”. De esta manera, tal encaje formal ha llevado a parte de la doctrina y autoridades de control a considerar que el Art 22 viene a reconocer únicamente o de manera central una variante del derecho de oposición, concretamente del derecho de oposición a las decisiones automatizadas o el derecho a no verse sometido a este tipo de decisiones(6).

Sin embargo, si junto a ese análisis formal del precepto le unimos un estudio completo de todo el contenido que abarca el Art 22, se puede llegar a la conclusión de que el artículo que estamos analizando esconde mucho más que un derecho de oposición a las decisiones automatizadas, en nuestra opinión, lo que realmente se está reconociendo en el Art 22 es la regulación concreta de un tratamiento de datos personales específico, esto es, la toma de decisiones automatizadas, incluida la elaboración de perfiles que produzcan efectos jurídicos o afecte significativamente de modo similar al interesado que se ve sometido a este específico tratamiento. Esta afirmación que a primera vista puede resultar cuanto menos criticable, será debidamente justificada y argumentada a lo largo del desarrollo del trabajo. Es decir, no estamos negando que el Art 22 no reconozca un derecho de oposición a decisiones automatizadas o negación a dichas decisiones, obviar la existencia de este derecho sería abstraernos del encaje legal de dicho artículo, lo que pretendemos justificar en este trabajo es que, dicho derecho de oposición no deja de ser una facultad más entre las que el legislador europeo ha dotado a los particulares que se ven sometidos a este concreto tratamiento que se define en el apartado primero del Art.22. El problema con el que nos encontramos es, que su redacción y su encuadre formal en el apartado de derechos ha oscurecido la auténtica realidad que esconde este precepto. Se podría decir así que, formalmente se reconoce un derecho o facultad, pero materialmente se regula un tratamiento de datos personales específico. (Art 22.1). Tal interpretación no creemos que sea para nada descabellada, el propio RGPD en distintos preceptos hace mención explícita a la regulación del Art 22.1 como un tratamiento de datos personales(7), el problema como hemos dicho es, que su reconocimiento aparece incrustado junto con el derecho a no verte sometido a decisiones individuales automatizadas.

Así, la consideración del Art. 22 como un tratamiento y no como un derecho se acerca más a la interpretación que ha realizado el Grupo de Trabajo del Art. 29 de este artículo(8), concretamente, este organismo, sin negar la existencia de un derecho, pone el acento en la prohibición general de las decisiones basadas únicamente en un tratamiento automatizado(9). Para ello, argumenta que, tal interpretación ayuda a proteger de forma más efectiva a las personas que se ven sometidas a estas decisiones, ya que, conforme a esta interpretación, a priori existirá una prohibición para llevar a cabo este tipo de decisiones y por tanto, solo cuando se cumplan algunas de las excepciones recogidas en el apartado segundo del Art 22, los particulares podrán ser sometidos a estas decisiones. Para nosotros, aunque esta interpretación de este artículo se acerca bastante a la idea que defendemos, más que una prohibición general reconocida en el Art.22.1, lo que existe en realidad es la definición de un tratamiento particular que solamente podrá llevarse a cabo a través de unas concretas bases de legitimación, (Art 22.2), bases legitimas que el responsable deberá de tener en cuenta a la hora de llevar a cabo tal tratamiento.

Por otro lado, tampoco resulta irrazonable que una normativa incorpore la regulación particular de un tratamiento específico, sir irnos más lejos, la derogada LOPD 15/1999 reconocía de forma particular un tratamiento de datos personales, esto es, las comunicaciones o cesiones de datos (Art. 11) (10). Así, nuestro legislador entendió en su momento que, las cesiones de datos requerían de unas reglas específicas respecto del resto de tratamientos de datos que pueden llevarse a cabo por parte de los responsables. A su vez, por parte de la doctrina también se ha hecho mención a la necesidad de regular de forma separada tratamientos de datos personales, tal y como ocurre con las llamadas recopilaciones internacionales de datos(11).

Conviene hacer mención al hecho de que la regulación específica de este tratamiento no es una novedad del RGPD, desde el punto de vista histórico, el germen normativo del tratamiento que ahora analizamos tiene su origen en la Ley Francesa relativa a la tecnología de la información, los ficheros y las libertades de 1978(12), precepto que posteriormente fue acogido por el legislador europeo en el Art 15 de la meritada Directiva 95/46 de protección de datos personales. Es precisamente este último precepto al que sustituye el actual Art.22 del RGPD. En este sentido, ya se advertía durante la tramitación de la mencionada Directiva de los riesgos que podía comportar el uso de grandes bases de datos y de perfilado en la toma de decisiones de los particulares(13), debiendo con ello, preverse una serie de garantías en la legislación que dotaran a los individuos de suficientes armas para combatir estos nuevos riesgos derivados del uso masivo de datos. No obstante, y si bien podríamos decir que el legislador europeo fue atrevido al implantar este nuevo artículo, la realidad práctica demuestra que su uso a lo largo de estos años ha sido residual. Si nos trasladamos a nuestras fronteras, aplicación práctica es muy similar, así, el Art 13 de la LOPD 15/1999 -precepto que viene a trasponer el Art 15 de la Directiva 95/46- ha sido rara vez utilizado por parte tanto de los órganos judiciales como por las distintas agencias de protección de datos(14). En relación a la poca aplicación de ambos preceptos, esto es, tanto en el ámbito europeo como nacional, podemos hacer referencia a varios factores, en primer lugar, pensamos que la Directiva no fue lo suficientemente clara a la hora de redactar y encuadrar este precepto en su articulado, así, mientras que el reconocimiento del derecho de acceso (Art.12) o el de oposición (Art.14) resulta obvio, tal clarividencia se diluye cuando la Directiva hace referencia al derecho que reconoce en el Art.15 , consecuencia de ello, la doctrina tampoco le ha prestado especial atención a su análisis. En segundo lugar, y consustancial al factor anterior, pensamos que hasta la fecha existe un gran desconocimiento de que empresas privadas o administraciones públicas han estado llevando a la práctica este tipo de tratamientos. Por último, y en tercer lugar, se podría decir que el Art 15 de la Directiva y los preceptos nacionales que lo traspusieron fueron adelantados a su época, y es que, resulta obvio que no ha sido hasta fechas recientes cuando efectivamente se han dado las condiciones idóneas para que todo tipo de organizaciones comiencen a implantar sistemas automatizados en la toma de decisiones. En este sentido, y como en la introducción de este trabajo indicábamos, ahora más que nunca, la recopilación masiva de datos y el uso de algoritmos más precisos está llevando a que resulte eficiente el uso de tales herramientas(15). Este aumento en la implantación de todo tipo de herramientas basadas en decisiones automatizadas llevara consigo irremediablemente el aumento de problemas jurídicos y por tanto una mayor puesta en práctica de las reglas contenidas en el Art 22 RGPD, precepto, que a diferencia del Art 15 Directiva 95/46, si parece estar llamado a aplicarse con más frecuencia

Respecto a esto último, la regulación del RGPD se presenta como una buena oportunidad para revertir los defectos indicados arriba, por un lado, el legislador europeo ha apostado claramente por una mayor transparencia por parte de los responsables del tratamiento en favor de interesados (Art. 5.1.a), todo ello, con el objetivo de favorecer el empoderamiento de estos últimos en relación a sus datos personales, lo que en nuestro contexto se materializa en que dichos particulares puedan conocer si están viéndose sometidos a este concreto tratamiento (Arts. 13.2.f y 14.2.g). Por otro lado, el Art.22 prevé nuevas facultades, lo que refleja la preocupación del legislador europeo en dotar de suficientes garantías a los particulares que se ven sometidos a este concreto tratamiento. Es por ello que resulte del todo lógico que dada la virtualidad que puede tener en el presente y futuro este precepto, el legislador europeo haya previsto un tratamiento específico que por los especiales riesgos que conlleva su aplicación requiera de la dotación de unas reglas específicas respecto de otros tratamientos de datos personales.

2. Definición del tratamiento

En definitiva, una vez que ha quedado claro que el Art 22 regula un tratamiento específico, es turno de analizar la definición de tal tratamiento, ello nos tiene que llevar a estudiar su definición y los elementos que lo componen. Así, tal precepto indica que: Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

De la lectura de este precepto se pueden extraer a primera vista dos elementos esenciales que han de estar presentes en todo momento para que entren en juego las reglas previstas del Art. 22, en primer lugar, la decisión que afecta al particular ha de ser tomada por medios automatizados, y, en segundo lugar, dicha decisión debe producir efectos jurídicos en los particulares o generar efectos significativamente similares a los jurídicos.

En este sentido, resulta del todo lógico señalar que corresponde al responsable del tratamiento considerar si, el tratamiento concreto que está llevando en su organización se alinea o no con la definición del tratamiento del Art 22.1. Así, la normativa en materia de protección de datos exige entre otras cosas al responsable que, previamente al uso y recopilación de los datos personales, indique y establezca el concreto tratamiento que va a llevar a cabo y la finalidad del mismo (Art 5. RGPD). Estas exigencias tienen como objetivo ayudar al titular de los datos a conocer que se está haciendo con sus datos personales(16). Por consiguiente, antes de que el responsable vaya a llevar a cabo el tratamiento de datos, este deberá de haber comprobado que el tratamiento concreto que pretende implantar se corresponde con la definición del Art 22.1, y, si así es, aplicar todas las exigencias previstas en tal precepto.

Ahora bien, ¿cuál es el problema del tratamiento definido en el Art 22.1? A diferencia de otros tratamientos específicos como las cesiones de datos donde claramente un responsable puede conocer de antemano si va a llevar a cabo o no cesiones de datos, el tratamiento reconocido en el 22.1 se compone de varios conceptos jurídicos indeterminados que obligan al responsable a valorar si el tratamiento que pretende implantar se encuadra en la definición del Art 22.1. De esta manera, derivado de esa inconcreción de la norma, por un lado, los propios responsables del tratamiento de buena voluntad desconocerán en muchos casos si realmente tal tratamiento que están llevando le es aplicable las reglas del Art.22, y, por otro lado, dado que este precepto establece unas mayores exigencias para los responsables, esto es; bases legales más restringidas para legitimar el tratamiento (Art 22.2) y la previsión de una batería de facultades específicas en favor de los titulares de los datos, ante situaciones dudosas de aplicación de este precepto, los responsables tenderán a huir de su aplicación por entender que el tratamiento que están llevando a cabo no se asimila al definido en el precepto que analizamos.

Es por ello que se hace sumamente necesario esclarecer todos estos conceptos jurídicos que ayuden al conjunto de operadores jurídicos a determinar cuando el tratamiento concreto que se está llevando a cabo se subsume o no en el tratamiento reconocido en el Art. 22.

2.1. Decisión basada únicamente en un tratamiento automatizado

El primer elemento que exige el RGPD para que se aplique el tratamiento reconocido en el Art 22 es que la decisión que se derive de dicho tratamiento sea únicamente automatizada. Es evidente por tanto que solo se encuadran en este precepto aquellas decisiones donde no exista o no haya existido presencia humana. De esta manera, el hecho de que el legislador europeo ponga su atención en las decisiones plenamente automatizadas pone en sobre aviso los especiales riesgos que para los particulares puede comportar este tratamiento(17). En el trasfondo de este precepto se palpa por tanto una desconfianza hacia las decisiones que pueda adoptar una máquina sin intervención de un humano. Son precisamente esos riesgos los que han llevado al legislador europeo a prever un tratamiento de datos personales de forma específica que lo diferencia del resto.

Ahora bien, lo que a primera vista pudiera parecer obvio, esto es, que la decisión es totalmente automatizada, no siempre será fácil de deslindar y requerirá en su caso de un análisis del “grado de participación del humano” en la decisión. Es decir, a día de hoy la mayoría de las decisiones que se toman en las organizaciones no son completamente automatizadas(18), sino que generalmente, el resultado que indica el algoritmo es utilizado como apoyo o soporte con el que el humano finalmente toma una u otra decisión. Ello puede llevar a una aplicación residual de este precepto. Sin embargo, debido a la eficiencia de los sistemas algorítmicos en la toma de decisiones, cada vez se vuelve más irrelevante el papel del humano en dichas decisiones. En este sentido, el Grupo del Art. 29 ya ha advertido que la actuación del humano no puede ser simbólica, sino que esta ha de ser significativa, debiendo existir una influencia o participación real de la persona en la decisión que previamente ha arrojado el programa informático(19). Por consiguiente, la participación real se convierte en un elemento esencial a la hora de valorar la automatización o no de la decisión. Ello ha llevado a la doctrina a valorar el carácter o no significativo de la decisión, teniendo en cuenta la frecuencia con la que el responsable del tratamiento adopta decisiones finales en un sentido distinto al planteado por el algoritmo(20).

Por consiguiente, en nuestra opinión, si de facto, la decisión que toma el algoritmo es la que finalmente acaba adoptándose por el humano sin realizar un análisis de tal decisión o simplemente existe una mera supervisión, hay que entender que tal decisión es plenamente automatizada y por tanto se incluiría en al ámbito de aplicación del Art.22.

Dicho esto, somos conscientes de que uno de los principales escollos a los que se enfrentan los particulares que se ven sometidos a este tipo de decisiones automatizadas es que no lleguen ni siquiera a ser consciente de ello debido a que el responsable del tratamiento no considere que tal decisión es automatizada, aunque de facto si lo sea. En este sentido, resulta bastante fácil para un responsable del tratamiento establecer la presencia humana durante el proceso de toma de decisión de un algoritmo(21). Es por ello que, partiendo de que no será fácil discernir o averiguar para un particular que la decisión que le afecta ha sido fruto de una decisión automatizada(22), hagamos referencia a varias situaciones donde puede llegar a ser previsible o intuirse la existencia de dicha automatización en la decisión.

En primer lugar, el Grupo del Art 29 hace referencia a una herramienta básica, nos estamos refiriendo a las llamadas evaluaciones de impacto que en determinados casos deben de establecer los responsables del tratamiento(23). Así, la evaluación de impacto es necesaria cuando un determinado tratamiento comporte un alto riesgo para los derechos y libertades de los individuos conforme al Art 35 RGPD. Consecuencia de ello, aunque la decisión que tome el algoritmo sea utilizada únicamente como soporte, ello no debe de ser impedimento para considerar que tal tratamiento comporta un alto riesgo y por tanto el responsable venga obligado a su implantación. En estos casos, el responsable al menos, deberá de identificar y registrar el grado de participación humana en el proceso de toma de decisiones(24). Así, en estos supuestos, se podrá valorar si tal grado de humanización realmente existe.

En segundo lugar, como indicio a tener en cuenta para valorar que el tratamiento se basa en decisiones automatizadas, podemos hacer alusión al grado de complejidad de la operación a la que se somete la decisión. De esta manera, cuanto menos complejas sea la operación, más probabilidad de que la decisión sea totalmente automatizada. Por ejemplo, en el sector bancario, es habitual que los algoritmos se utilicen como indicador para valorar el nivel de scoring que dicho programa informático asigna al cliente que solicita un crédito. Pues bien, puede ser muy habitual que ante determinados puntajes que indique el algoritmo, la entidad bancaria o prestamista tenga establecido por norma la concesión del préstamo sin necesidad de un análisis y control por parte de un humano, lo que necesariamente puede llevar a un particular a intuir que tal decisión por la poca complejidad que conlleva sea decidida por una máquina, aunque como tal, el responsable haya indicado que tal decisión es analizada y sopesada por un humano. A sensu contrario, cuando la operación que se pretenda llevar a cabo resulte más compleja o suponga un alto riego para el responsable, lo lógico será que este último, no solo tenga en cuenta la opinión del algoritmo, sino que sopesará otra pluralidad de factores o circunstancias.

En tercer lugar, otro indicio que puede llevar a pensar que una decisión es plenamente automatizada aunque el responsable no lo haya indicado, es la velocidad en la toma de la decisión, esto es, me estoy refiriendo a aquellos casos en los que la decisión que afecta al particular es tomada inmediatamente tras la aportación de los datos personales del particular afectado al programa informático. Ejemplo paradigmático lo encontramos en la publicidad en línea o compartimental(25).

En cuarto lugar, las decisiones tomadas de forma masiva a distintos particulares también puede ser un indicio de que tal decisión es adoptada por un algoritmo y no por una persona, debido esencialmente a la imposibilidad de esta última de tomar múltiples decisiones en un corto plazo.

En definitiva, de lo dicho en este apartado resulta evidente que a la hora de valorar si la decisión es o no completamente automatizada, se deberá de acudir a la realidad fáctica efectiva de la decisión y no a lo que formalmente haya en su caso previsto el responsable. En este sentido, en el ámbito de la inteligencia artificial, la confianza hacia estos sistemas aumenta progresivamente conforme la eficiencia del sistema autónomo mejora(26). Trasladado al ámbito de las decisiones automatizadas, el paso del tiempo hará que las decisiones automatizadas que ahora suelen utilizarse como un parámetro más de apoyo a la hora de tomar una decisión determinada, se conviertan en la regla a seguir, pudiendo llegar un momento de estandarización donde se pase de la desconfianza de la máquina(27), al recelo de la decisión que pueda adoptar un humano contraria a la que ha indicado el algoritmo, de manera que ya no se dude de la máquina sino de la persona.

2.2. Efectos jurídicos o significativamente similares.

Una vez hemos analizado el carácter automatizado del tratamiento como elemento necesario para encuadrarlo en el concepto indicado en el Art 22.1, es turno de analizar el segundo de los requisitos, esto es, que la decisión produzca efectos jurídicos en el particular o le afecte significativamente de modo similar. Como se puede apreciar, son requisitos alternativos, es decir, o bien la decisión basada únicamente en el tratamiento automatizada genera efectos jurídicos, o bien dicha decisión afecta significativamente de forma similar a los efectos jurídicos. Pasamos a analizar cada uno de estos elementos.

En primer lugar, por lo que se refiere a los llamados efectos jurídicos, el Grupo del Art.29 ha indicado que la decisión que se basa en el tratamiento automatizado ha de afectar a los derechos o al estatuto jurídico del titular que se ve sometido a dicho tratamiento(28). Pensamos que el supuesto contemplado en este apartado puede llegar a ser frecuentemente aplicado en el ámbito de decisiones tomadas por parte de las Administraciones Públicas. En este sentido, la recopilación masiva de datos personales por parte de las organizaciones públicas no es algo novedoso, si en cambio los posibles usos que se puedan realizar de esos datos en un futuro para alimentar a los algoritmos y en su caso, las decisiones que se puedan llegar a tomar respecto a los particulares.

En segundo lugar, y en relación a las decisiones que afecten significativamente de modo similar, se requiere de un análisis más profundo. Lo primero que podemos decir de este requisito es que la decisión debe de generar en el particular que se ve sometido a este tratamiento unos efectos similares a los que se derivarían de una decisión que generara efectos jurídicos, esto supone de antemano que no toda decisión se encuadra en este precepto, sino solo aquella que genere efectos de cierta relevancia o importancia(29). Ahora bien, más allá de los supuestos a los que hace alusión el Grupo del Art 29 y otras Autoridades de Control(30), corresponde enteramente al responsable valorar si las decisiones que se derivan del tratamiento de datos que lleva a cabo generan tal efecto significativo similar a los efectos jurídicos. En este sentido, parte de la doctrina ha considerado que, a la hora de apreciar si dichos efectos son significativos, hay que atender a un criterio subjetivo, esto es, valorar si a cada concreto particular le puede afectar significativamente tal decisión(31). No compartimos esta opinión, creemos que es el responsable del tratamiento el que se encuentra en la mejor posición para valorar si el concreto tratamiento que está llevando cabo y la decisión que se deriva de tal tratamiento puede generar efectos significativos en el particular, así, corresponde al responsable establecer criterios objetivos que les permita de antemano decidir si tal tratamiento genera los efectos indicados. Todo ello sin perjuicio de que los particulares puedan en su caso denunciar o comunicar al responsable que dichas decisiones les están afectando de manera significativa, denuncias que deberían de llevar al responsable a replantearse si tal tratamiento que está llevando a cabo se encuadra o no en el Art. 22.1 RGPD.

Entre los criterios objetivos que proponemos, el responsable debería de; a) valorar los posibles perjuicios que en términos generales puede generar la decisión, b) analizar posibles colectivos de personas que frecuentemente pueden verse afectados por tal decisión.

Finalmente, y para acabar con el análisis de este elemento, solo decir que el término “afectar de manera significativa” no debe de entenderse únicamente para decisiones que generen efectos negativos, el término afectar es perfectamente compatible con decisiones que en su caso puedan ser positivas para los particulares. En este sentido, si bien será habitual que los particulares hagan uso de las facultades que se les reconocen cuando tales decisiones les afecten negativamente, nada impide que ese mismo particular pueda ejercer esas facultades cuando la decisión le afecte positivamente. Es más, de antemano, un responsable no podrá prever en muchos casos los efectos negativos/positivos que se pueden derivar del concreto tratamiento que pretende implantar respecto de ese particular, es por ello que, si entendiéramos el concepto afectar únicamente en su sentido negativo, el responsable podría excusarse de aplicar las obligaciones derivadas de este precepto por entender que estas decisiones solo afectaran positivamente al particular.

III. BASES JURÍDICAS DE ESTE TRATAMIENTO

Desgranado por tanto el tratamiento que define el Art 22.1, es turno de analizar las concretas bases o mecanismos en los que puede basarse un responsable cuando quiera llevar a cabo este tratamiento. Así, conforme al principio de licitud del tratamiento reconocido en el Art 5 RGPG, los datos personales deben de ser tratados sobre alguna de las bases legítimas establecidas en el RGPD o en el Derecho de la UE o de los Estados Miembros. (Cdo.40 RGPD). En este sentido, el Art 22 en su apartado segundo hace referencia a las concretas bases que legitiman a un responsable para poder llevar a cabo el tratamiento indicado en el Art 22.1. De esta manera, y dadas las particularidades de este tratamiento, el legislador europeo ha limitado las bases legítimas que en términos generales se prevén para todo tipo de tratamientos, esto es, las recogidas en el Art 6. Consecuencia de ello, aquel responsable que pretenda llevar a cabo el tratamiento descrito en el Art 22.1 solo podrá llevarlo a ejecución cuando: a) sea necesario para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento; b) dicho tratamiento esté autorizado por el Derecho de la Unión o de los Estados miembros o c) cuando el tratamiento se base en el consentimiento explícito del interesado.

Antes de proceder a analizar cada una de las bases que legitiman este concreto tratamiento conviene hacer una primera aclaración. Una vez más, y como ya advertíamos al inicio de este trabajo, en el estudio de este Art 22 se realiza una interpretación propia de lo que entendemos que dicho precepto establece. Interpretación que pretende clarificar la redacción cuanto menos confusa y poco atinada que se establece en este precepto, de ahí que, al analizar ahora el apartado segundo del Art 22 no hablemos de “excepciones” como las denomina el RGPD, sino que, y con objetivo de favorecer la lectura y comprensión de este precepto, nosotros hablemos de las bases que legitiman tal tratamiento. Tal interpretación tampoco creemos que sea para nada desatinada, resulta cuanto menos lógico que, una vez ha sido presentado y definido el tratamiento específico (Art 22.1), en su apartado segundo se reconozcan las bases específicas que lo legitiman. Y es que, ante los riesgos que conlleva este concreto tratamiento, el legislador europeo ha considerado que solo determinados mecanismos pueden llegar a legitimarlo. En este sentido, el tildar a las excepciones recogidas en el Art 22.2 como bases jurídica puede legar a considerarse una mero intercambio de palabras, sin embargo, somos conscientes que tal interpretación puede ayudar a los responsables a comprender mejor tal precepto y además ayudarles a fijar de antemano cual es la base en la que van amparar el tratamiento, lo que a su vez se traduce en un beneficio también para el particular que se ve sometido a tal tratamiento al conocer desde el inicio tal base jurídica. Art 5.1.b) RGPD (32).

Para finalizar con esta introducción, solo cabe indicar que tal interpretación que proponemos de este apartado supone no permitir a los responsables utilizar otras bases jurídicas distintas a las que a continuación vamos a señalar, consecuencia de ello, bases como el interés legítimo, deben quedar excluidas como mecanismo que pueden justificar este tratamiento(33). En este sentido, esta afirmación no es para nada caprichosa, ya que por un lado, el Art.22.2 es bastante claro al indicar cuales son las únicas bases que pueden justificar el tratamiento y, además, si consideráramos que otras bases legítimas del tratamiento pueden ser viables, el derecho a no verte sometido a decisiones automatizadas carecería de lógica para alguna de las bases que justifica el propio Art 22.2, me estoy refiriendo concretamente al consentimiento (Art 22.2.c) o, al carácter necesario de la ejecución o celebración de contratos (Art 22.2.a). Así, en el primer caso, el particular podría negarse a continuar el tratamiento previamente consentido a través de la retirada del consentimiento, y, en el segundo supuesto, a través de la cancelación del contrato, lo que dejaría prácticamente sin virtualidad dicho derecho, ya que no sería necesario ejercer tal facultad debido a que existen otras acciones que puede ejercer el titular que generan los mismos efectos, esto es, paralizar el tratamiento.

Pasamos por tanto a analizar cada uno de los mecanismos que legitiman las decisiones individuales automatizadas.

1. Contrato o ejecución Art.22.2 a)

La primera base jurídica en la que puede ampararse un responsable para poder llevar a cabo este tratamiento es la referida a aquellos casos en los que sea necesario tal tratamiento para la ejecución o celebración de un contrato entre el interesado y responsable. Esta base de legitimación es y será frecuentemente utilizada en aquellos sectores u organizaciones donde es habitual realizar una evaluación previa del potencial cliente que pretende formalizar un contrato con el responsable(34). Para ello, el responsable, antes de concertar dicho contrato, valorará al potencial cliente con el objetivo de analizar la viabilidad futura de tal acuerdo. Piénsese por ejemplo en sectores como el bancario, seguros o el laboral(35).

Así, la evaluación previa de un cliente o un trabajador antes de la formalización del contrato no es algo novedoso, es totalmente legítimo que una empresa, en favor de sus intereses pueda valorar que concreto trabajador se adecua por ejemplo más al perfil del puesto que se oferta, lo que resulta novedoso ahora, y, lo diferencia de un proceso de evaluación previa tradicional, es, que un programa informático sea el que decida si finalmente se contrata a esa persona o se le concede o deniega el préstamo solicitado, basado precisamente en los datos que aporta el potencial cliente.

Dicho esto, para que se pueda llevar a cabo este tratamiento bajo el amparo legal de esta base jurídica por parte del responsable, este último ha de justificar que dicho tratamiento es necesario. Así, la necesariedad en el ámbito de la protección de datos ya ha sido analizada por parte del TJUE en varias ocasiones en relación al derecho a la protección de datos(36), indicando que las medidas que se implanten deben de ser eficaces, pero a su vez, estas últimas no pueden ser potencialmente agresivas para el particular que se ve sometidas a ellas(37).

Es por ello que, el principal escollo al que se enfrenta el responsable que pretenda basar el tratamiento en este mecanismo será el de acreditar que tal tratamiento es el más efectivo y a su vez el menos invasivo para el derecho a la protección de datos de los particulares que se ven sometidos a este tratamiento concreto(38). Ese equilibrio entre efectividad y carácter invasivo del tratamiento no siempre será fácil de demostrar(39), aquí será esencial aplicar algunas de las medidas de responsabilidad activa que propone el legislador europeo como la Privacidad desde el Diseño o la Evaluación de Impacto.

2. Consentimiento. Art 22.2 c)

La segunda base jurídica que pasamos a analizar es el consentimiento, el consentimiento ha sido sin ninguna duda el mecanismo más frecuentemente utilizado por todo tipo de organizaciones para amparar su tratamiento. En nuestro país, el uso de este mecanismo ha sido aún más acusado, fruto de la redacción del Art 6. LOPD 15/1999 del que se desprendía una prioridad del consentimiento respecto de otras bases jurídicas(40), redacción que difiere de la posición de igualdad en la que se encontraban las bases jurídicas que legitiman el tratamiento en el Art. 7 de la derogada Directiva 95/46. Así, el consentimiento ha dejado de ser en muchos sectores el cauce ideal a través del cual los particulares ostentan un pleno control de sus datos personales(41). Consecuencia de ello, la doctrina viene considerando que el consentimiento se muestra como una herramienta ineficaz en estos contextos(42).

Precisamente y consciente de ello, el nuevo RGPD parece vislumbrar un nuevo paradigma del consentimiento explícito del interesado al regularlo en su Art 7(43). Para nosotros, y de acuerdo con la redacción de tal precepto, en el ámbito concreto que estamos analizando, todo particular que se ve sometido al tratamiento reconocido en el Art 22.1 deberá de quedarle meridianamente claro antes de otorgar su consentimiento que tal tratamiento llevará consigo una decisión totalmente automatizada(44), esto es, que consiente que sea una máquina la que tomará una decisión sobre él o ella.

3. Legislación de los Estados miembros o derecho de la UE. Art 22.2 b)

Como tercer y último mecanismo que legitima el tratamiento que abordamos en este trabajo, el Art 22.2 b) permite que el Derecho de la Unión o el de los Estados miembros pueda establecer otras disposiciones donde se autorice a los responsables a llevar a cabo dicho tratamiento. Para ello, solo establece una condición a dicha legislación, esto es, que prevea medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

Dicho lo anterior, se abre una oportunidad ideal para que los Estados Miembros introduzcan especificaciones propias relacionadas con el tratamiento definido en el Art 22. Tal previsión es del todo atinada, ya que permitirá que las normas que desarrollen este precepto puedan aplicarse a concretos sectores donde puede existir una mayor incidencia de la toma decisiones individuales automatizadas.

Resulta conveniente así, pararse a profundizar en la forma que deberían de revestir tales normas de desarrollo y en su caso, el contenido que podrían llegar a establecer.

En cuanto al elemento formal, hay que comenzar indicando que el RGPD en términos generales no exige a los Estados Miembros ningún instrumento normativo concreto para desarrollar su contenido(45), sino que más bien, y solo para casos muy específicos, se hace alusión a la ley como instrumento legal preceptivo(46), casos específicos que no comportan el precepto que ahora analizamos. Como consecuencia de este amplio margen, corresponde a cada Estado Miembro considerar la norma que en su caso regule los supuestos en los que podrá un responsable basar el tratamiento reconocido en el Art 22.1. Si nos trasladamos a nuestra esfera nacional, es necesario analizar sucintamente cual debería de ser el cauce legal adecuado que en su caso desarrollara el mandato del legislador europeo conforme a nuestro ordenamiento jurídico. Así, en España, el Tribunal Constitucional, cuando ha analizado la posible limitación del derecho a la protección de datos, ha indicado que la regulación que tenga como objetivo limitar dicho derecho fundamental, debe de quedar protegida por el principio de reserva de ley(47). A estos efectos, indicar que la recientemente aprobada Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPD 3/2018) incorpora dentro de su contenido de carácter orgánico los preceptos referidos a las decisiones automatizadas(48). Es por ello, que podamos llegar a entender que la regulación que desarrolle el contenido del Art 22.2.b) del RGPD deba de materializarse a través del instrumento normativo de la Ley(49). No obstante, somos conscientes de que este argumento se construye sobre una doctrina del Tribunal Constitucional basada en la limitación del derecho a la protección de datos, limitación que en el caso que analizamos, esto es, el Art 22.2.b), no se da como tal, ya que este precepto autoriza a los EEMM o al Derecho de la UE a establecer garantías, no a limitar el derecho a la protección de datos.

En segundo lugar, por lo que se refiere al contenido o materias que pueden regular estas normas de desarrollo del Art 22.2.b), hay que entender que el RGPD también concede un amplio margen al legislador de la UE o a los Estados Miembros. No obstante, el Art 23.2 RGPD si establece un contenido mínimo que debe de incorporar toda norma que limite el contenido de los Art 12 a 22 y 34 del RGPD. De esta manera, dicha normar deberá de prever entre otros aspectos; la finalidad del tratamiento, la legitimación de dicho tratamiento, alcance de las limitaciones, etc. Tales requisitos no dejan de ser un reflejo del principio de calidad de la ley que necesariamente debe de estar presente ante la restricción de un derecho fundamental(50).Sin embargo, este precepto nuevamente está pensado en normas que limiten el derecho a la protección de datos, limitación que no parece derivarse del mandato previsto en el Art 22.2.b), al obligar a los Estados Miembros o al Derecho de la UE a prever garantías y salvaguardias. Dicho esto, y como ya señalábamos anteriormente, tanto la UE como los Estados Miembros, tienen cierto margen de maniobra para regular distintos aspectos relacionados con las decisiones individuales automatizadas. Estas previsiones normativas deberán de precisar el ámbito concreto donde este tratamiento pretende implantarse y tener en cuenta las posibles consecuencias jurídicas que se pueden derivar de su implantación. Así, por ejemplo, no tendrá la misma relevancia aquella decisión automatizada que se lleve a cabo por parte de una Administración cuando dicha decisión se base en competencias regladas a que dicha decisión o acto administrativo se base en potestades discrecionales(51). En este sentido, la sensibilidad de determinados sectores puede llegar a justificar que determinados ámbitos sean vetados al uso de este tipo de tratamiento basado en decisiones automatizados(52), así, la norma francesa que desarrolla parte del contenido del RGPD ha establecido la prohibición de implantar sistemas de decisiones automatizadas basados en datos especialmente sensibles en el ámbito administrativo(53). En este orden de cosas, resulta un tanto sorprendente que la nueva Ley Orgánica 3/2018 no haya cogido el testigo propuesto por el Art 22.2.b) RGPD y se haya limitado a remitirse en esta materia a lo ya regulado en el RGPD(54), sin perjuicio de que a través de algunos de sus preceptos se pueda llegar a considerar legitimado este tipo de tratamientos, como puede ser el caso de la videovigilancia o el controvertido y novedoso Art 58.bis LOREG sobre la recopilación de datos personales por parte de partidos políticos con fines electorales (55).

Aparte de la nueva norma sobre protección de datos, cabe indicar determinadas normas nacionales que hacen mención a las decisiones automatizadas. Así, en el ámbito administrativo se hace referencia a la actuación administrativa automatizada, previéndose entre otras garantías la posibilidad de realizar auditorías a los códigos fuentes en los que se basan los programas que dictan dichos actos administrativos, así como el órgano competente a efectos de la impugnación de tal decisión. (Art 41.2 LRJSP. Ley 40/2015). A su vez, en términos muy parecidos, el Art 96.3 LGT Ley 58/2003, de 17 de diciembre, General Tributaria hace referencia también a las decisiones automatizadas(56).

Por último, y con el objetivo de finalizar con el análisis de esta concreta base de legitimación, hacíamos alusión anteriormente a que la única exigencia que prevé el Art 22.2.b) al derecho de los Estados Miembros o de la UE para regular este concreto es que tal regulación de desarrollo establezca medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado. Pues bien, dado que en los siguientes apartados hablaremos en concreto de las facultades específicas que se reconocen a los particulares que se ven afectados por este concreto tratamiento, ahora solo indicaremos que cuanto menos, las facultades/garantías que se deben de reconocer en estas normas de desarrollo a los particulares que se ven sometidos, han de ser como mínimo las previstas en el Art 22.3, es decir, las que se exigen a los responsables que bases su tratamiento en el consentimiento o la ejecución del contrato. De esta manera, y teniendo en cuenta que el Art 22.2.b) abre la vía a que los Estados Miembros desarrollen sus propias exigencias en relación a esta base jurídica, al menos, con esta propuesta, se logra la existencia de un mínimo de garantías o facultades comunes presentes en todos los Estados Miembros (57).

4. Categorías especiales de datos personales

Junto con las bases jurídicas mencionadas anteriormente, existe una previsión específica en el Art 22.4 para aquellos casos en los que el tratamiento únicamente automatizado utilice datos de categorías sensibles, esto es, los indicados en el Art 9 RGPD. Así, en tales casos, solo se podrá llevar a cabo el tratamiento descrito en el Art 22.1 cuando los particulares afectados por la decisión hayan prestado su consentimiento explicito o, el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado. Arts. 9.2.a) y 9.2.g) en relación al Art 22.4 RGPD(58). En ambos supuestos, el responsable del tratamiento debe de establecer las medidas adecuadas para salvaguardar los derechos y libertades e intereses legítimos del interesado(59), lo que se traduce nuevamente en que al menos, se establezcan por parte de los responsables del tratamiento las garantías y facultades que vienen previstas en el Art. 22.3. RGPD. Sectores como el sanitario o el de seguros probablemente se verán abocados al uso de este mecanismo. (Art.9 LO 3/2018).

IV. FACULTADES ESPECÍFICAS DE ESTE TRATAMIENTO

Bueno, una vez que se ha definido el tratamiento objeto de este trabajo y hemos analizados las bases jurídicas específicas en las que puede ampararse un responsable para poder llevarlo a cabo. Es turno de analizar el elenco de facultades y derechos que ha previsto el RGPD en favor de los particulares que se ven sometidos al tratamiento definido en el Art. 22.1(60). Así, y como ahora estudiaremos, el legislador europeo ha establecido un mini estatuto jurídico en favor de dichos particulares, otorgándoles unas herramientas que hagan frente a los riesgos que se derivan de la toma de decisiones únicamente automatizadas(61). Pasamos por tanto a analizar cada una de estas facultades.

1. Derecho a no verte sometido a decisiones individuales totalmente automatizadas

Llevamos argumentando a lo largo de todo este trabajo que el Art 22.1 reconoce un tratamiento específico, no obstante, también hemos indicado que, dada la redacción y el encuadre legal de este precepto, es imposible negar que este artículo también está reconociendo a los particulares un derecho a no verse sometidos a decisiones individuales automatizas. Es turno por tanto de analizar la virtualidad de este derecho.

Para empezar, hay que indicar que este derecho se encuadra dentro del Capítulo III del RGPD, dicho capítulo engloba el conjunto de derechos que la normativa en materia de protección de datos personales les reconoce a los interesados, de manera que, todas las previsiones generales que en su caso sean referidas a tales derechos, son perfectamente trasladables a la facultad que ahora analizamos(62). Así, el RGPD reconoce un derecho específico a través del cual, los particulares pueden ejercerlo frente a los responsables que en su caso lleven a cabo un tratamiento basado en decisiones individuales automatizadas.

Ahora bien, de la lectura global del Art 22 se desprende que este derecho es bastante limitado, y es que, dicho derecho no reconoce a los particulares una oposición general a tal tratamiento, sino que más bien permite que los particulares puedan negarse a verse sometidos a este tratamiento en dos situaciones muy específicas:

A) Cuando el responsable no se haya amparado en alguna de las bases jurídicas que permite el Art 22.2 para este concreto tratamiento; así, por ejemplo, cuando el responsable hubiera basado el tratamiento en el interés legítimo, dicho interesado se podrá negar a tal tratamiento por no ser una base legítima adecuada. Ahora bien, el ejercicio de este derecho no genera los mismos efectos que se derivarían del ejercicio del derecho de oposición reconocido en el Art. 21. RGPD. Así, ante el ejercicio del derecho de oposición por parte del particular, el responsable, en determinadas situaciones, podrá seguir tratando los datos(63), sin embargo, cuando el derecho que se alegue sea el reconocido en el Art 22.1 ,el responsable deberá automáticamente cesar el tratamiento de los datos y a su vez, como consecuencia de haber utilizado una base legal no permitida para ese concreto tratamiento conforme al Art 22.2, tal actuación podrá conllevar la infracción de la normativa en materia de protección de datos. Art 83.5 a) y b) RGPD. Esta diferenciación de efectos de cada una de estas facultades incide en la idea que defendemos en este trabajo sobre la distinción del derecho de oposición y el derecho a no verte sometido a decisiones automatizadas.

B) Cuando el responsable, habiéndose basado en alguna de las bases previstas en el Art 22.2, no las hubiera justificado adecuadamente conforme a los requisitos que previamente hemos desgranado en el epígrafe anterior. De esta manera, a modo de ejemplo, el particular afectado podría también alegar su derecho a no verse sometido a estas decisiones automatizadas en los que casos en los que el responsable no hubiera probado adecuadamente la existencia de un consentimiento explícito (Art 22.2.c) o, no hubiera argumentado suficientemente el carácter necesario del tratamiento para la elaboración o ejecución de un contrato. (Art.22.2.a).

Por consiguiente, de lo dicho arriba se desprende que, el derecho a no verse sometido a decisiones individuales automatizadas opera solamente cuando la base jurídica utilizada por el responsable no sea la permitida por la norma, o, siendo la adecuada, no se hayan cumplido todos los requisitos para que tal base legal esté lo suficientemente legitimada(64).

2. Derechos de información

La transparencia es uno de los elementos que más se ha visto reforzado tras la entrada en vigor del RGPD, concretamente, esta se ha incorporado al conjunto de principios básicos relativos al tratamiento de datos personales. (Art 5 del RGPD). Este precepto establece aquellos principios rectores que todo responsable debe observar cuando pretenda llevar a cabo un tratamiento de datos personales. Lo que se traduce en una obligación global que ha de estar presente durante todo el ciclo de vida de dicho tratamiento(65). Dicho esto, en el ámbito específico de las decisiones individuales plenamente automatizadas, el RGPD prevé una serie de precisiones específicas relacionadas con la información que en su caso han de suministrar los responsables. Tales precisiones del principio de transparencia suponen el núcleo duro del conjunto de facultades que analizaremos en este trabajo, estas se materializan en los Arts. 13.2.f), 14.2.g) (Derechos de información), Art 15.1.h). (Derecho de acceso) y Cdo. 71 (Derecho de explicación). Es turno de analizar cada uno de estos preceptos y sus repercusiones en el tratamiento que estamos estudiando a lo largo de este trabajo.

2.1. Derecho de Información

Los Arts. 13.2.f) y 14.2.g) obligan al responsable a informar al interesado sobre “la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado”. De este precepto se desprenden una serie de deberes de transparencia que pasamos ahora a desgranar, estos son: informar sobre la existencia de decisiones automatizadas, facilitar información significativa sobre la lógica aplicada del tratamiento e, indicar la importancia y las consecuencias previstas del tal tratamiento.

Por lo que se refiere a la existencia de decisiones automatizadas, la norma europea pretende que todo interesado que se vea sometido al tratamiento definido en el Art 22 sea conocedor de ello. En este sentido, dicha información no deja de ser un reflejo del principio de limitación de la finalidad del tratamiento plasmado en el Art 5.1.b) RGPD, es decir, se ha de determinar y explicitar claramente la finalidad del tratamiento, y, por consiguiente, la existencia de este. Ahora bien, el RGPD no solo exige a aquellos que tratan los datos el deber de comunicar que están llevando a cabo el tratamiento definido del Art 22, sino que además, les exige que informen sobre determinadas características específicas de dicho tratamiento, esto es, que ofrezcan información significativa sobre la lógica aplicada de tal tratamiento, así como la importancia y las consecuencias previstas de este(66).

Pues bien, en relación a la información relacionada con la lógica aplicada del tratamiento, está ha de ser suficiente como para que el particular que se ve sometido a dichas decisiones al menos, pueda llegar a hacerse una idea de cómo puede funcionar el programa informático que tomará una decisión basada en sus datos personales. Así, lo primero que deberá de incluirse en esta información es los datos o categorías de datos que en su caso se han utilizado para entrenar/alimentar al algoritmo(67), es importante destacar que dichos datos pueden ser tanto personales como no personales. Es por ello que será elemental conocer que datos se consideran los más relevantes y en su caso indicar porqué se ha establecido que dichos datos se consideran pertinentes en defecto de otros(68). Junto a ello, en determinados modelos también puede llegar a ser posible informar sobre lógica estimada, es decir, cómo los inputs (datos personales del particular), se transforman en un determinado resultado por parte del algoritmo. (decisión automatizada). Es precisamente esto último a lo que se está refiriendo el RGPD cuando habla de la necesidad de informar sobre las consecuencias previstas del tratamiento(69). En estos casos, lo conveniente es aportar patrones que se deriven de la práctica diaria del propio programa informático. Por ejemplo, los datos de entrada podrían ser el historial de compras de un cliente y la salida podría ser productos que son probables que el cliente adquiera en el futuro. Derivado de ello, el particular no se verá sorprendido posteriormente por la decisión, ya que podrá prever los posibles resultados de forma orientativa, sean o no perjudiciales.

Precisamente, con el objetivo de favorecer un mayor entendimiento de esa lógica aplicada y de las consecuencias previstas, el RGPD impone en términos generales una serie de requisitos formales en relación a cómo debe de proporcionarse dicha información, así, el Art 12.1 obliga a que tal información se suministre en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Trasladadas estas exigencias al tratamiento que estamos analizando, habrá que entenderse que tal información debería de ser flexible, no excesivamente técnica y en su caso funcional, es decir, debe de ser una información que sea útil para el interesado que se ve inmerso o va a verse inmerso en la toma de decisiones automatizadas(70), de manera que tenga ciertas herramientas para poder impugnar posteriormente la decisión si entiende que le afecta.

2.2. Derecho de Acceso

El Art.15.1.h) en términos totalmente similares a lo que disponen los Arts. 13.2.f) y 14.2.g) del RGPD facultan al interesado a ejercer su derecho de acceso en relación al tratamiento de datos reconocido en el Art 22.1 RGDP, debiendo el responsable ante tal petición facilitar aquella información que anteriormente habíamos analizado. Esto es, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado. De esta manera, el legislador europeo no solo ha considerado que el interesado debe de ser informado durante la recopilación u obtención de los datos personales sobre el tratamiento al que se van a someter dichos datos, sino que además, faculta al particular a poder conocer en cualquier momento toda aquella información relacionadas con la lógica y las consecuencias previstas del tratamiento. En este sentido, aunque el tenor literal del precepto sea similar a lo contenido en los Art 13 y 14, ello no es óbice para que en su caso el responsable siempre deba de facilitar la misma información que en un primer momento otorgó conforme a lo indicado en los Arts. 13 y 14. Hay que tener en cuenta que la naturaleza de los derechos de información y de acceso son distintas, de ahí que su alcance también lo deba de ser. Consecuencia de ello, en el caso de que el responsable tenga más información de la que disponía en un momento inicial cuando informó conforme a los Arts.13 y 14, tal información deberá de ampliarse(71). Esta interpretación ayuda a una mejor comprensión por el particular del tratamiento al que está siendo sometido y, se consigue una mayor virtualidad del derecho de acceso.

En el sector público, el contenido de este derecho que se reconoce en el Art 15.1.h) RGPD puede llegar a tener un alcance muy parecido al propio que en su caso pueda derivarse de las distintas normativas sobre transparencia, acceso a la información pública y buen gobierno que existen en nuestro país(72). Y es que, en base al derecho de acceso a la información pública reconocido por la normativa sobre transparencia, existen varias resoluciones que han obligado a la Administración a facilitar tanto el código fuente como el algoritmo a un particular afectado por una decisión plenamente automatizada(73). Derivado de ello, y ante la doble vía que se les abre a los particulares que se pueden ver afectados por la toma de decisiones automatizadas en el seno de las Administraciones Públicas, la posibilidad de que existan distorsiones en cuanto a la información que se ha de suministrar puede variar según la ruta que utilice dicho particular, esto es, protección de datos o transparencia. Así, en el caso de que se opte por la normativa en materia de protección de datos, los artículos 13, 14 y 15 previamente analizados, solo obliga a las Administraciones a informar sobre la lógica del algoritmo y las consecuencias previstas, sin embargo, en la esfera del derecho de acceso a la información pública, una interpretación amplia puede ir más allá de las exigencias que se derivan del RGPD., (como así ya se ha constatado con las resoluciones mencionadas)

En este sentido, no resultaría descabellado pensar que en un futuro las autoridades de protección de datos y en su caso los consejos de transparencia y buen gobierno decidan unificar criterios en relación al tipo de información general mínima que han de proporcionar las administraciones públicas sobre los algoritmos y programas informáticos que utilizan(74). Así, la coparticipación en el diseño del contenido de estos derechos por parte de las autoridades de protección de datos y transparencia ayudaría a enriquecer el contenido de dichas facultades, favoreciendo con ello a la estandarización de criterios en un sector donde se requiere de normas claras para los particulares afectados por la decisión, los responsables que llevan a cabo estos tratamientos, así como los diseñadores de estos programas. Evitando con ello que, un mismo responsable debiera otorga más o menos información sobre el algoritmo o programa informático en base al tipo de cauce legal al que acuda el particular afectado por la decisión, generándose con ello un campo de inseguridad jurídica nada deseable en el seno de las Administraciones Públicas en el sector que analizamos.

2.3 Derecho de explicación

El derecho a una explicación de las decisiones que toma un programa informático respecto de un particular ha sido hasta la fecha el que más controversias ha generado en la doctrina. Esencialmente se han detectado dos problemas.

En primer lugar, el carácter o no vinculante de este derecho(75), a diferencia del conjunto de derechos que prevé el RGPD en favor de los particulares que se ven sometidos al tratamiento regulado en el Art 22.1, esta concreta facultad no es reconocida en ninguno de los preceptos de dicho texto legal, sino que aparece señalada en el Considerando 71(76). Derivado de ello, se ha dudado de su carácter vinculante y, por tanto, de su posibilidad de ejercicio o no por parte de los particulares. Para combatir estas opiniones se ha aludido a que una interpretación sistemática de los Art.13, 14, 15 y 22 RGPD soportan la existencia de un derecho de explicación(77).

En segundo lugar, aun reconociendo la existencia de este derecho, no queda claro cuál debe de ser el alcance y contenido de dicha explicación, y es que, el ejercicio de este derecho, choca frontalmente con otros bienes jurídicos en juego del que es titular el responsable del tratamiento, por ejemplo; propiedad intelectual, secretos comerciales o dificultad para explicar la decisión tomada por el programa informático(78). Ello ha llevado a la doctrina a proponer explicaciones que otorguen al particular una comprensión adecuada de la decisión del algoritmo sin que para ello sean necesario un entendimiento completo del funcionamiento del sistema. Entre otras explicaciones, se ha hecho referencia a las siguientes: a) informar a los particulares de aquellas circunstancias que en su caso han de modificar para que la decisión en un futuro se altere(79), b) indicar que la decisión se ha basado en resultados de otros sujetos que poseían características similares al particular afectado(80),o, c) señalarles aquellos factores que posiblemente más han incidido en la decisión final.

Visto así, el derecho a la explicación exige del responsable una aportación de información mucho más personalizada sobre la decisión algorítmica que aquella que debía aportar en un primer momento el responsable conforme a los Arts. 13.2.f), 14.2.g), 15.1.h) RGPD, información previa que no tenía todavía en cuenta la decisión automatizada del particular basada en los datos personales aportados por este último.

En definitiva, independientemente del carácter o no vinculante del derecho de explicación o de su contenido, lo cierto es que el responsable del tratamiento, ante una decisión automatizada, estará obligado a explicar en la medida de lo posible al particular la decisión que ha tomado el programa informático, todo ello con el objetivo de que dicho particular pueda comprender tal decisión y en su caso poder ejercer el resto de facultades que el propio RGPD le habilita, como son; el derecho a impugnar la decisión o el derecho a expresar su punto de vista.(Art 22.3). Hay que tener en cuenta además, que tal explicación o motivación de la decisión acabará imponiéndose en la práctica, bien porque dicha motivación venga impuesta por la normas, tal y como ocurre con los actos administrativos(81), o bien, porque la propia dinámica lleve consigo su implantación, en este sentido, tanto el Art 22.3 como el 22.2.b) RGPD habilitan a los responsables, Estados miembros y al Derecho de la UE a implantar otras medidas de garantía en favor de los particulares que se ven sometidos a estas decisiones. En ambos supuestos, la motivación se muestra consustancial a la decisión automatizada, ya que será la que habilite en su caso a posibles acciones posteriores.

Explicadas por tanto el conjunto de facultades relacionadas con la información que ha de facilitar el responsable que hace uso del tratamiento reconocido en el Art.22, es turno de analizar aquellos limites específicos que restringen los derechos de información, acceso y el hipotético derecho a la explicación anteriormente analizados en relación a las decisiones automatizadas.

2.4 Límites a la información

Conviene indicar que los deberes de información que se derivan del principio de transparencia no dejan de ser un precio que deben de pagar aquellas organizaciones que acuden a la eficiencia del tratamiento reconocido en el Art.22, fruto de los riesgos que comporta para los particulares el verse sometidos a estas decisiones automatizadas. Dicho esto, no podemos obviar que tales imposiciones de transparencia no pueden ser totales. Así, el Cdo.4 del RGPD establece que el derecho a la protección de datos personales no es un derecho absoluto, debiendo de lidiar con otros bienes e intereses jurídicos con los que puede entrar en juego. Es por ello que ahora pasemos a mencionar algunos de esos bienes jurídicos de los que goza en su mayoría el responsable del tratamiento.

Propiedad intelectual y secretos comerciales:

El primer escollo con el que se pueden topar los particulares cuando requieran información sobre la lógica del algoritmo o en su caso una explicación sobre la decisión, son los referidos al derecho de propiedad intelectual o secretos comerciales a los que pueden estar sometidos el programa informático o el algoritmo. (Cdo.63). De esta forma, una transparencia total o radical puede chocar de frente con estos dos límites(82), ya que una vez se obtenga un pleno conocimiento y accesibilidad del algoritmo o programa informático, dichos derechos de propiedad intelectual decaen. A modo de ejemplo, el Art 308 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público permite que en los pliegos de contratos de suministros de productos informáticos se puedan establecer cláusulas de confidencialidad.

Falta de entendimiento del funcionamiento del algoritmo:

Uno de los problemas que ya ha sido indicado por expertos y diseñadores de algoritmos es la dificultad que existe a la hora de poder llegar a entender la decisión que ha tomado dicho programa informático, esta dificultad para escudriñar tal decisión se acrecienta conforme los sistemas devienen más complejos(83). De esta manera, muchas de estas decisiones a las que llegan estos sistemas resultan indescifrables.

Junto a la complejidad técnica que deviene de origen, hay que sumarle a su vez la falta de entendimiento de estos sistemas por aquellos que finalmente hacen uso de estos, concretamente, me estoy refiriendo al personal perteneciente a las organizaciones tanto públicas como privadas que en su caso decidan implantar en su labor diaria este tipo de programas informáticos(84). En estos supuestos, sería recomendable que aquellas personas que finalmente sean las encargadas de tratar con los particulares afectados, hayan sido lo suficientemente formadas para poder explicar o al menos intentar explicar tales decisiones. Para evitar estos problemas, en el ámbito de las administraciones públicas, el Parlamento Europeo propuso que, las Administraciones, antes de proceder a la adquisición de este tipo de programas a través de licitación pública, pudieran comprobar el código subyacente que está presente en estos algoritmos para valorar la adecuación de estos últimos a las exigencias de transparencia que establece la normativa(85). En este sentido, y relacionado con la motivación del acto administrativo, la doctrina ha indicado que dicha motivación habrá de integrarse en la programación del sistema, de manera que solo mediante la revisión de esa programación se pueda reaccionar ante el acto administrativo emitido(86).

Por tanto, la imposibilidad de conocer el funcionamiento y/o la decisión tomada por el algoritmo puede devenir de la propia máquina que vierte decisiones cuanto menos poco explicables o no esperadas y, a su vez, de un desconocimiento o déficit de comprensión de los propios miembros de las organizaciones que recurren a este tipo de programas. Esto podría llevar a este tipo de organizaciones a hacer uso de la restricción indicada en el Art 14.5.b) RGPD que permite limitar la información cuando resulte imposible, sin embargo, tal y como ha entendido este concepto el Grupo del Art.29, lo cierto es que no será fácil que aquellos que hagan uso de este tipo de programas puedan ampararse en tal precepto(87).

Trucar el algoritmo:

Finalmente, otra discrepancia que ha sido señalada por las organizaciones para limitar la información relativa al funcionamiento de los algoritmos o la explicación de su decisión es referida a la idea de que, los particulares afectados por dichas decisiones acaben jugando con el algoritmo en favor de sus intereses(88) , de tal manera que, una vez conocen el funcionamiento general de este, acaben trucándolo a su favor, lo que haría que dicho programa informático dejara de ser eficiente e instrumental para las funciones que se les asignaron, imposibilitando así el logro de las pretensiones de dicho tratamiento.

Precisamente, el Art 14.5.b) habilita al responsable del tratamiento a no suministrar información de la lógica aplicada cuando entiendan que tal información pueda suponer un esfuerzo desproporcionado, debiendo valorarse si el suministro de información obstaculiza o no el logro de los objetivos del tratamiento(89). Proporcionar más o menos información relativa al algoritmo puede ser muy complejo en sectores especialmente sensibles, como puede ser en materia de terrorismo, control de los flujos migratorios o la lucha contra el fraude.

En definitiva, de lo dicho en los párrafos anteriores se desprende la posibilidad de que los responsables puedan ponderar y limitar el suministro de información relacionada con el tratamiento en cuestión, no obstante, ello nunca podrá ser motivo para plantear una total opacidad informativa.

3. Derecho a obtener una intervención humana por parte del responsable, derecho del particular a expresar su punto de vista y derecho a impugnar la decisión

El Art.22.3 RGPD reconoce a los particulares un conjunto de derechos en su favor cuando se ven sometidos al tratamiento objeto de este trabajo, concretamente, la norma europea reconoce el derecho a obtener una intervención humana por parte del responsable, el derecho del particular a expresar su punto de vista y, a su vez, el derecho a impugnar la decisión automatizada. Como se podrá comprobar, las facultades que a continuación desgranaremos, aparecen estrechamente interrelacionadas las unas con las otras, lo que no quiere decir que cada una de ellas no tenga su propio contenido y alcance.

Ahora bien, estas facultades solo se prevén cuando el responsable haya basado dicho tratamiento en el consentimiento del particular o, cuando dicho tratamiento sea necesario para la ejecución o celebración de un contrato. (Art. 22.3 ab initio). Consecuencia de ello, a priori, en los casos en los que la base de legitimación de este tratamiento se haya amparado en el Derecho de la Unión o de los Estados miembros Art.22.2.b), los particulares sometidos a dichas decisiones no gozaran de tales derechos, en estos casos, serán las respectivas normas nacionales o europeas las que prevean las correspondientes garantías en favor de esos particulares. Dicho esto, no creemos que el Art 22.3 deba de interpretarse de forma excluyente. En nuestra opinión, este precepto omite la base de legitimación reconocida en el Art 22.2.b) porque entiende que han de ser los Estados o en su caso el derecho de la Unión los encargados de establecer las correspondientes medidas de garantía, todo ello para ajustarse a las características propias del tratamiento que pretenda legitimarse, ahora bien, en caso de que dichas normas que desarrollen el Art 22.2.b) no contemplen unas garantías adecuadas, entendemos que como mínimo, esas garantías deberían de ser las mismas que se prevén en el Art 22.3, así como las ya analizadas en los Art 13, 14, 15 del RGPD, siempre claro está, que tal tratamiento se corresponda con el definido en el Art 22.1 RGPD.

Dicho ello, procedemos al análisis de estos derechos.

En primer lugar, por lo que respecta al derecho del particular a obtener una intervención humana por parte del responsable, entendemos que esta facultad es una concreción de un derecho/principio mucho más amplio que en el futuro tendrá un fuerte desarrollo en determinados sectores. Nos estamos refiriendo al derecho a poder ser asistido por un humano o tener contacto directo con una persona.

En este sentido, hemos de tener en cuenta que cada vez existen más ámbitos donde las máquinas van progresivamente sustituyendo a los humanos, este proceso imparable justifica la idea de reconocer facultades que permitan a los particulares poder reivindicar la presencia de un ser humano en la realización de un determinado servicio que es frecuentemente llevado a cabo por una máquina(90), de manera que se acoten parcelas donde sea necesaria dicha presencia humana. Trasladad esta idea a la normativa en materia de protección de datos, el Art 22.3 RGPD exige al responsable implantar un procedimiento que en su caso permita que el particular afectado pueda llegar a interactuar con un miembro perteneciente a la organización que ha llevado a cabo el tratamiento. Como ya indicábamos anteriormente, aquella persona perteneciente a la organización que en su caso intermedie con el particular afectado por la decisión automatizada debe de estar lo suficiente capacitada y con la suficiente legitimación para atender las demandas del particular.

En segundo lugar, encontramos el derecho del interesado a expresar su punto de vista. Dicha facultad estará irremediablemente ligada al derecho previamente analizado, esto es, a la obligación de una intervención humana por parte del responsable, ya que, una vez que al particular se le habilite un canal para poder expresar su punto de vista, debemos de entender que tal petición deberá de ser analizada por un humano. A través de este cauce, el particular podrá expresar aquellos aspectos que en su opinión pueden discernir de la decisión que ha tomado el programa informático, ello puede llevar al particular a la aportación de otros documentos que en su caso no se hubieran tenido en cuenta en un momento inicial o, hacer ver al responsable que algunos de los datos de los que dispone y que han podido ser relevante para la decisión algorítmica final son inexactos, incorrectos o incompletos para que en su caso los rectifique. (Art 16 RGPD)

A modo de ejemplo, los Sistemas de información Crediticia en España que evalúan la solvencia patrimonial de un cliente están conformados en la mayoría de los casos por datos negativos de solvencia, quedando muy restringido el acceso a los datos positivos de solvencia (91), ello puede dar lugar a que, ante un algoritmo que solo ha sido alimentado con datos negativos , la decisión que este adopte pueda ser cuanto menos errónea por no tener una imagen completa del particular que se somete a este tratamiento.

Finalmente, y como tercera garantía que aparece reconocida, el Art 22.3 habla del derecho a impugnar la decisión automatizada. Una vez más, esta facultad va unida a las anteriormente analizadas, y ello supone que, ante dicha decisión tomada por la máquina, el particular tenga la posibilidad de llevar a cabo un trámite de audiencia donde pueda alegar lo que estime oportuno (derecho a expresar su punto de vista) a efectos de exigir sus intereses(92), ante tal petición, el responsable del tratamiento debe de valorarla (derecho a intervención humana), y, una vez evaluada esa petición, el responsable en su caso podrá realizar una reconsideración de la decisión tomada por el algoritmo o volver a incorporar nuevos datos al programa informático. Así, el Art. 13 de la antigua LOPD 15/1999, ya analizado, reconocía en términos parecidos este derecho de impugnación, concretamente establecía la posibilidad de impugnar los actos administrativos o decisiones privadas que implicaran una valoración del comportamiento del afectado, dicha redacción del precepto llevo a parte de la doctrina española a considerar que este artículo estaba reconociendo en favor del particular afectado una acción procesal directa que impugnara la decisión ante el orden jurisdiccional competente(93). Sin embargo, creemos que realmente, el Art 22.3 RGPD, cuando habla del derecho a impugnar la decisión, se está refiriendo a la posibilidad de que el particular afectado pueda recurrir la decisión ante el responsable en un contexto previo a la vía judicial, de manera que se abra la posibilidad de revertir la decisión sin necesidad de acudir a la vía judicial, todo ello, sin perjuicio de que posteriormente y una vez ejercidas el elenco de facultades descritas en este precepto, el afectado pueda emprender las correspondientes acciones judiciales o en su caso acudir a la autoridad de control correspondiente. (Art 79 y 77 RGPD respectivamente)

En definitiva, de este conjunto de facultades se desprende una intención muy clara por parte del legislador europeo, que es la de obligar al responsable a implantar todo un procedimiento que permita a los particulares mantener un nivel adecuado de garantías que no se vea debilitado por el hecho de que sea una máquina la que toma una decisión sobre ellos.

De esta manera y a modo de recapitulación, el responsable, en un primer momento deberá de informar sobre los aspectos generales del tratamiento (Arts. 13.2.f y Art.14.2.g), en un segundo momento y tras la decisión tomada por el programa informático, el responsable deberá de explicar dicha decisión al particular (Cdo.71) y como consecuencia de esa explicación, el particular podrá en su caso impugnar dicha decisión y expresar su punto de vista, requiriendo para ello la intervención del personal de la organización. (Art 22.3). Visto así, el reconocimiento global de todas estas facultades no deja de ser un reflejo más del carácter instrumental del derecho de la protección de datos(94), en la medida que sirve como instrumento para el ejercicio más efectivo de otros derechos e intereses que, sin las herramientas previstas por la normativa en materia de protección de datos, resultaría más complejo su ejercicio.

V CONCLUSIONES

A) El uso de algoritmos por parte de todo tipo de organizaciones está aumentando progresivamente, fruto de la eficiencia de estos sistemas. Es por ello que las respuestas legales a los problemas que se pueden derivar a estos nuevos retos sean necesarias.

B) EL RGPD apuesta precisamente por establecer una regulación específica concediendo a los particulares sometidos a estas decisiones a un elenco de derechos, a su vez, correlativo a dichas facultades, la misma norma impone una serie de deberes que han de cumplir los responsables que pretendan llevar a cabo tal tratamiento.

C) Aunque a primera vista pudiera parecer que el Art. 22 únicamente reconoce un derecho a no verse sometido a decisiones automatizadas, para nosotros, lo que realmente establece tal precepto es la definición y regulación de un tratamiento de datos personales específico.

D) Dado los riesgos que comporta este tratamiento de datos reconocido en el Art 22, el legislador europeo ha considerado que solo mediante concretas bases jurídicas un responsable podrá llevar a cabo el mencionado tratamiento.

E) El conjunto de derechos que reconoce el RGPD en favor de los particulares que se ven sometidos al tratamiento analizado suponen a día de hoy una de las pocas respuestas legales sólidas que versan sobre las decisiones que toma una máquina sobre un particular. Es por ello que se deban de exprimir al máximo.

NOTAS:

(1). Cdo. 71 RGPD hace referencia a alguno de los usos que los Estados miembros pueden autorizar.

Sobre el uso de la inteligencia artificial para prevenir posibles delitos, véase: https://www.propublica.org/article/machine-bias-risk-assessments-in-criminal-sentencing

(2). LE SEUR, A: “Robot Government: Automated Decision-Making and its Implications for Parliament”. En: HORNE, A y LE SEUR, A (Edit.): Parliament: Legislation and Accountability. Ed. Bloomsbury, UK, 2018. Disponible en: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2668201

(3). Big data, artificial intelligence, machine learning and data protection. Information Commissioner´s Office. Version 2. 2.. Pág. 9.

(4). Comúnmente conocido como el habeas data. MURILLO DE LA CUEVA, P, L y PIÑAR MAÑAS, J,L: El derecho a la autodeterminación informativa. Ed, Fundación Coloquio Jurídico Europeo, 2009, Madrid, pág.14.

(5). Arts. 15 a 22 RGPD.

(6). APARICIO SALOM, J: “Derecho de oposición y decisiones automatizadas (Art.21-23”. En LÓPEZ CALVO, J (coord.): El nuevo marco regulatorio derivado del Reglamento Europeo de Protección de Datos. Ed. Wolters Kluwer, 2018, Madrid, (Pág.413) y también en un primer momento la propia Agencia Española de Protección de Datos en: “Código de buenas prácticas en protección de datos para proyectos de Big Data”. Pág.19.

(7). Los Arts. 13.2.f), 14.2.g) y 15.1.h) se refieren expresamente al tratamiento definido en el Art.22.1. A su vez, el Cdo.71 también hace alusión en varias ocasiones y de forma concreta a dicho tratamiento.

(8). De obligada lectura. “Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679”. Grupo del Art.29. Adoptadas el 3 de octubre de 2017 y revisadas el 6 de febrero de 2018.

(9). Vid. Pág.21

(10). El concepto de tratamiento de datos personales definido en el Art 4.1) del RGPD es tan amplio que prácticamente todo tipo de proceso aplicado a datos personales entra en su ámbito de aplicación. DÁVARA RODRIGUEZ, M, A: La protección de datos en Europa: principios, derechos y procedimiento. Ed. Asnef Equifax, Madrid, 2001. pág.22. y MARTÍNEZ MARTINEZ, R: “El derecho fundamental a la protección de datos: perspectivas” En: III Congreso Internet, Derecho y Política (IDP). Nuevas perspectivas Revista de Internet, Derecho y Política. N.º 5. 2007, pág.5. Disponible en: http://www.uoc.edu/idp/5/dt/esp/martinez.pdf

(11). REMOLINA ANGARITA, N: Recolección internacional de datos personales: un reto del mundo post-Internet. Ed. BOE, Madrid, 2015.

(12). BYGRAVE, L.A: “Minding the Machine: Article 15 of the EC Data Protection Directive and Automated Profiling”. Computer Law & Security Report, 2001, volume 17, pp. 17–24;

(13). Commission communication on the protection of individuals in relation the processing of personal data in the community and Information security. COM (90) 314 final-SYN 287 and 288. Bruselas, 13 de septiembre de 1990 (pág.29).

(14). En España existe un reducido número de resoluciones judiciales que han aplicado el Art 13 LOPD 15/1999. Véase: Auto AP Madrid (Sección 5ª), nº1176/2006 de 21 de marzo y Auto AP Ciudad Real (Sección1), núm.43/2005, de 7 de marzo.

(15). GIL, GONZÁLEZ, E: Big data, privacidad y protección de datos. Ed. BOE, 2016, Madrid, Págs.28 y ss.

Disponible en: https://www.aepd.es/media/premios/big-data.pdf

(16). “El derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino, con el propósito de impedir su tráfico ilícito y lesivo para la dignidad y derecho del afectado”. STC 292/2000. FJº.6.

(17). Las suspicacias de las decisiones que puede tomar una máquina en relación a una persona ya fueron indicadas en los trabajos previos a la redacción de la Directiva 95/46. En: Commission of the European Communities, COM (92) 422 final - SYN 287 Brussels, 15 October 1992. (Págs. 26 y 27).

(18). Information Commissioner´s Officer’s. Automated decision-making and profiling

https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/automated-decision-making-and-profiling/

(19). “Directrices sobre decisiones individuales automatizadas y elaboración de perfiles ”, op. cit. Pág. 23

(20). TODOLÍ SIGNES, A: “La gobernanza colectiva de la protección de datos en las relaciones laborales: big data, creación de perfiles, decisiones empresariales automatizadas y los derechos colectivos”. Revista de derecho social, Nº84, 2018.

(21). VEALE, M y EDWARD: “Clarity, surprises, and further questions in the Article 29. Working Party draft guidance on automated decision-making and profiling”. Computer law & security review. (2018), Núm 34, Págs.398–404. Concretamente, Págs.400 y 401.

(22). PUYOL MONTERO, J: “Derecho de oposición a decisiones basadas en un tratamiento de datos”. En: ZABÍA DE LA MATA, J (Coord) Protección de Datos. Comentarios al Reglamento. Ed. Lex Nova, 2008, Valladolid, Pág. 329.

(23). Para un estudio más profundo sobre la materia véase: RECIO GAYO, M: “Aproximación basada en el riesgo, evaluación de impacto relativa a la protección de datos personales y consulta previa a la autoridad de control”. En: PIÑAR MAÑAS, J,L: Reglamento General de Protección de Datos: Hacia un nuevo modelo europeo de privacidad. Ed. Reus, 2016, Madrid, Págs. 351 a 366.

(24). “Directrices sobre decisiones individuales automatizadas y elaboración de perfiles ”, op. cit. Pág. 23

(25). La publicidad personalizada en línea es a día de hoy un negocio en auge, en este sentido, empieza a ser habitual que los datos personales con los que cuenta una determinada organización se coticen como un activo muy suculento a la hora de valorar a dicha empresa.

https://www.businessinsider.es/ad-agency-ipg-to-pay-23-billion-for-acxioms-data-marketing-division-2018-7?r=US&IR=T

(26). “Big data, artificial intelligence, machine learning ” Information Commissioner’s Officer. Version 2.2.

(27). CASEY, A,J y NIBLETT, A: “Focus feature: Artificial Intelligence, Big Data, and the future of law”. University of Toronto. Law Journal. 66(4), 2016, págs. 423–442, pág.435

(28). “Directrices sobre decisiones individuales automatizadas y elaboración de perfiles ”, op. cit. Pág. 23

(29). “Directrices sobre decisiones individuales automatizadas y elaboración de perfiles ”, op. cit. Falta la pág.)

(30). Entre otras:

i)Decisiones que afecten a las circunstancias financieras de una persona, como su elegibilidad para un crédito; ii) decisiones que afecten al acceso de una persona a los servicios sanitarios; iii) decisiones que denieguen a una persona una oportunidad laboral o que la coloquen en gran desventaja; iv) decisiones que afecten al acceso de una persona a la educación, por ejemplo, su ingreso en la universidad.

(31). VIZCAINO CALDERÓN, M: Comentarios a la Ley Orgánica de Protección de datos de carácter personal. Ed. Civitas, 2001, Madrid, pág.186 y PUYOL MONTERO, J: “Derecho de oposición a decisiones basadas en un tratamiento de datos”. En: ZABÍA DE LA MATA, J (Coord) Protección, op,cit. pág.328.

(32). Esta interpretación también favorece una mejor comprensión del concreto tratamiento que se está llevando a cabo. Art 5.1.b) Principio de limitación de la finalidad.

(33). Somos conscientes de los beneficios que supone llevar a la práctica el interés legítimo como base que legitima el tratamiento de datos. Cecilia Álvarez Rigaudias indica que la trasformación digital va a convertir al interés legítimo en la base jurídica más utilizada en la práctica. Comparecencia en el Congreso de los Diputados para analizar el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal. Diario de sesiones del Congreso de los Diputados. En sesión celebrada el jueves 15 de marzo de 2018. Pág. 38 y 39.

(34). Existen sectores donde incluso la norma obliga a los responsables del tratamiento a realizar evaluaciones de las personas, como ocurre en el caso de la concesión de créditos y la necesidad de realizar una evaluación de la solvencia patrimonial del que solicita el crédito. (Crédito responsable) Art 18. Orden EHA/2899/2011, de 28 de octubre, de transparencia y protección del cliente de servicios bancarios y Art 29. Ley 2/2011, de 4 de marzo, de Economía Sostenible.

(35). TODOLÍ SIGNES, A: “La gobernanza colectiva de la protección de datos en , loc.cit.

(36). Véase entre otras sentencias. STJUE de 8.4.2014 Asuntos acumulados C-293/12 y C-594/12. ECLI:EU:C: 2014:238. (FJ 51 a 68), STJUE de 30.5.2013 Asunto C-342/12. ECLI:EU:C: 2013:355 (FJ 34 y 35), STJUE de 17.10.2013 Asunto C-291/12. ECLI:EU:C: 2013:670. (FJ 46 y ss.).

(37). STJUE de 16.12.2008 Asunto C-524/06. ECLI:EU:C: 2008:724 (FJ 66)

(38). En la misma línea el Grupo del Art. 29. Págs. 25 y 26.

(39). Si solo apreciamos la efectividad a la hora de implantar un algoritmo para la toma de decisiones siempre se implantaría esta medida, ya que dicha efectividad está más que probada.

(40). El Art.6.1 de la LOPD 15/1999 indica exactamente. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

(41). El Defensor Europeo de Protección de Datos habla de la posibilidad de superar el enfoque tradicional basado en el consentimiento y utilizar otras bases jurídicas para legitimar el tratamiento de datos por parte de los responsables. Dictamen 4/2015 Hacia una nueva ética digital Datos, dignidad y tecnología. Pág.13.

(42). Sobre la validez del consentimiento en contextos de big data véase, COTINO HUESO, L: “Big data e inteligencia artificial. Una aproximación a su tratamiento jurídico desde los derechos fundamentales”. Dilemata. (2017), nº 24, 131-150, pág. 145, también en: OLIVER-LALANA, A Y MUÑOZ SORO, J, L: “El mito del consentimiento y el fracaso del modelo individualista de protección de datos”, en VALERO TORRIJOS, J (Dir): La protección de los datos personales en internet ante la innovación tecnológica. Navarra, 2013, Ed, Aranzadi, pág.185 y ss.

(43). Se han de tener en cuenta también las precisiones indicadas en el Art 7 y Cdo.32 del RGPD.

(44). ICO Guide. Pág.13

(45). Véase Considerando. 41.

(46). En muy pocos preceptos el RGPD obliga a desarrollar su contenido por medio de ley. Ejemplos de ello lo encontramos el Art 8.1 en relación a la regulación de la edad para otorgar el consentimiento de los menores o al Art 54.1 sobre las Autoridades de Control.

(47). STC 17/2013 de 31 de enero de 2013., FJ 4º

(48). No todo el contenido de este nuevo texto legal tiene carácter de ley orgánica. Véase la DF1ª Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales. Ley Orgánica 3/2018.

(49). En este sentido, la nueva Ley Orgánica de Protección de Datos hace referencia a determinados tratamientos de datos que habrán de regularse necesariamente a través de ley. Véase Art 8 y 9.2. LOPD 3/2018.

(50). El principio de calidad de la ley estuvo presente en la STJUE que declaró inválida la “Directiva 2006/24/CE sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones en relación a su contenido”. En la STJUE Digital Rights C-293/12 y C-594/12. (FJ.65). Más recientemente, el Tribunal Europeo de Derechos Humanos también se ha pronunciado en el mismo sentido en el Caso B.B.W. AND OTHERS v. THE UNITED KINGDOM en Sentencia del 13 de septiembre de 2018. (FJ 322 y 388). También se puede ver un análisis de este principio en: COTINO HUESO, L: “La inconstitucionalidad e ilegalidad de la cesión del padrón por los Ayuntamientos para la celebración de la consulta catalana y la posibilidad de su solución a través de una adecuada regulación legal”. APEP Informa, 2014, nº10, Págs.11 y ss.

(51). Gran parte de la doctrina considera que las decisiones individuales plenamente automatizadas no pueden adoptar actos administrativos que impliquen el ejercicio de una potestad discrecional. Entre otros: VALERO TORRIJOS, J: El régimen jurídico de la e-Administración. Granada, 2004, Ed. Comares, págs. 31 y ss, en el mismo sentido; GAY FUENTES,C: Intimidad y tratamiento de datos en las Administraciones Públicas. Madrid, 1995, Ed. Complutense, pág.84, también en: LE SEUR, A: “Robot Government: Automated Decision-Making and its Implications for Parliament”. En: HORNE, A y LE SEUR, A (Edit.): Parliament: Legislation , loc.cit.

(52). Como se ha propuesto respecto al ámbito sanitario. Martínez Martínez, R: “Big data, investigación en salud y protección de datos personales. ¿un falso debate?”. Revista valenciana d'estudis autonòmics, Nº 62, 2017, págs. 235-280, pág. 270.

(53). BOTO ÁLVAREZ, A: “Tratamiento de datos personales: entre la protección francesa de la vida privada y el mercado digital único”. Revista General de Derecho Administrativo. Nº 49, 2018, págs.. 6 y 7.

(54). El Art 18, así como los Arts. 11.2 y 12 de Ley Orgánica 3/2018 remite expresamente al RGPD sin aportan nada nuevo a lo que ya prevé el RGPD.

(55). Ambos tratamientos han sido reconocidos por la nueva LO 3/2018 de protección de datos personales en los Art 22 y D.F 3ª respectivamente.

(56). Algunos ejemplos prácticos pueden verse en: ACÍN FERRER, A: “Nuevas leyes en búsqueda del tesoro de la eficiencia administrativa”. La Administración Práctica, Aranzadi. num.2/2016.

(57). No podemos olvidar que uno de los objetivos esenciales del RGPD es garantizar un nivel uniforme y elevado de protección de las personas físicas en toda la Unión Europea. Cdo.10.

(58). Ya hemos indicado previamente que el Art 9.2 de la LOPD 3/2018 exige para los tratamientos amparados en el Art.9.2. g) del RGPD la reserva legal.

(59). Grupo de trabajo del Art.29. Pág.27.

(60). La nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales hace referencia a dichos derechos en su Art.18, si bien, se remite a los dispuesto en el RGPD.

(61). El origen del derecho a la protección de datos se debe en parte a la preocupación que empezó a generarse en relación a la intimidad de las personas ante la irrupción de las nuevas tecnologías. Resolución Nº 509/1968. Asamblea del Consejo de Europa. “Los derechos humanos y los nuevos logros científicos y técnicos”.

(62). A lo largo del RGPD se prevén disposiciones que afectan a los derechos de los interesados. Art 23, 25, 83.5.b), etc.

(63). El Art 21.1. RGPD permite que el responsable siga tratando los datos de los particulares aun cuando se hubiera opuesto al tratamiento el particular, si dicho responsable alega motivos legítimos imperiosos.

(64). En ambos casos el principio que se estaría incumpliendo por parte del responsable es el de licitud del tratamiento, esto es, todo tratamiento de datos personales ha de estar amparado por alguna base jurídica. Art 5.1.a), Art 6 y Cdo.40. RGPD.

(65). Grupo de Trabajo del artículo 29 Directrices sobre la transparencia en virtud del Reglamento (UE) 2016/679. Pág. 6. Adoptadas el 29 de noviembre de 2017 Revisadas por última vez y adoptadas el 11 de abril de 2018

(66). El análisis de estos dos conceptos jurídicos ha sido ya analizado en diferentes estudios doctrinales. Por indicar algunos. GOODMAN,B y FLAXMAN,S , ‘EU Regulations on Algorithmic Decision-Making and a “right to Explanation”. AI Magazine, Vol 38, No 3, 2017. Disponible en: http://arxiv.org/abs/1606.08813, también en: WATCHER,S, MITTELSTADT,B, FLORIDI,L:; “Why a Right to Explanation of Automated Decision Making Does Not Exist in the General Data Protection Regulation”, International Data Privacy Law, Volume 7, Issue 2, 1 May 2017, Pages 76–99, Disponible en: https://doi.org/10.1093/idpl/ipx005

(67). Directrices sobre decisiones individuales automatizadas y elaboración de, op,cit,. Pág.35.

(68). BRKAN, M: “AI-supported decision-making under the general data protection regulation”, Protection Regulation. In Proceedings of ICAIL ’17, London, United Kingdom, June 12 - 16, 2017, Pag.3-8, pág.5

(69). Sobre esta materia cabe destacar en la doctrina española las aportaciones de Julia Valero Torrijos. En:

http://modernadministracion.blogspot.com/2016/06/la-necesaria-reformulacion-de-las.html . Consultado el día 14-12-2018.

(70). SELBST, A,D y POWLES, J: “Meaningful information and the right to explanation”. International Data Privacy Law, 2017, Vol. 7, No. 4, pág.236.

(71). GIL, GONZÁLEZ, E: “Aproximación al estudio de las decisiones automatizadas en el seno del Reglamento General Europeo de Protección de Datos a la luz de las tecnologías big data y de aprendizaje computacional”. Revista Española de la Transparencia, Nº 5. Segundo Semestre 2017, pág.172.

(72). Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, así como el conjunto de normativas autonómicas sobre la misma materia.

(73). Comisión de Garantía del Derecho de Acceso a la Información Pública. (Cataluña). Resolución de 21 de junio de 2017. Véase también: Resoluciones de 11 de mayo de 2016; de 21 de septiembre de 2016.

(74). No es la primera vez que la Agencia Española de Protección de Datos y el Consejo de Transparencia y Buen Gobierno han establecido criterios conjuntos para afrontar determinados problemas comunes que se suscitan en los espacios de protección de datos y transparencia y acceso a la información.

(75). WATCHER, S, MITTELSTADT,B, RUSSELL,CH: “Counterfactual explanations without opening the black box: automated decisions and the GDPR”. Harvard Journal of Law Technology, 2018, pág.3.

(76). El TJUE ha señalado que un considerando no constituye en sí mismo una norma, sino que su función es la de aclarar la interpretación de dicha norma. STJUE (Sala Tercera) de 13 de julio de 1989, Asunto 215/88. (FJ 31).

(77). SELBST, A,D y POWLES, J: “Meaningful information and the right to ,”, loc.cit. Pág. 234, también en:

KAMINSKI M: “The Right to Explanation, Explained”, (2018) https://doi.org/10.31228/osf.io/rgeus

(78). ZERILLI,J, KNOTT,A, MACLAURIN,J and GAVAGHAN,C: “Transparency in Algorithmic and Human Decision-Making: Is There a Double Standard?”, Philosophy and Technology, 2018, págs. 3 y 4. Disponible en: https://doi.org/10.1007/s13347-018-0330-6

(79). WATCHER, S, MITTELSTADT,B, RUSSELL,CH: “Counterfactual explanations without opening the black box: automated,loc, cit, pág.25

(80). BINNS, R, VAN KLEEK,M, VEALE,M, LYNGS,U,ZHAO,J y SHADBOLT,N: “It’s Reducing a Human Being to a Percentage; Perceptions of Justice in Algorithmic Decisions. “Conference on Human Factors in Computing Systems (CHI'18), 2018. DOI: https://doi.org/10.1145/3173574.3173951

(81). Art 35. Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

(82). ANANNY, M Y CRAWFORD, K: “Seeing without knowing: Limitations of the transparency ideal and its application to algorithmic accountability”. New media & society, 2018, Vol. 20(3), págs. 978 y 979.

(83). Ello ocurre con el llamado machine learning, el aprendizaje automático es una técnica que permite a los algoritmos extraer correlaciones de los datos con una supervisión mínima. Los objetivos del aprendizaje automático pueden ser muy variados, pero a menudo implican tratar de maximizar la precisión de la predicción de un algoritmo. Stuart Shirrell. Visto en:

https://iapp.org/news/a/the-privacy-pros-guide-to-explainability-in-machine-learning/

(84). BENNETT MOSES, L y DE KOKER, L: “Open Secrets: Balancing Operational Secrecy and Transparency in the Collection and Use of Data by National Security and Law Enforcement Agencies”, Melbourne University Law Review, Vol. 41, No. 2, 2017, Pág.549.

(85). Véase Consideración General 29. Resolución del Parlamento Europeo, de 14 de marzo de 2017, sobre las implicaciones de los macrodatos en los derechos fundamentales: privacidad, protección de datos, no discriminación, seguridad y aplicación de la ley

(86). NAVARRO GONZÁLEZ, R.M: La motivación de los actos administrativos. Ed. Aranzadi, 2017, Navarra.

(87). El grupo del Art 29 habla de que la imposibilidad sea total, de manera que, en aquellos casos en los que existe cierta posibilidad de aportar información, esta limitación no puede ser aplicada. Además, este precepto solo se aplica para aquellos casos en los que los datos que haya obtenido el responsable no los hubiera recopilado directamente del particular, supuesto que en los casos que estamos analizando no siempre se aplicará. Directrices sobre la transparencia en virtud del RGPD 2016/679. Adoptadas el 29 de noviembre de 2017 y revisadas por última vez y adoptadas el 11 de abril de 2018. Apartado.59. Pág.33.

(88). DIAKOPOULOS, N: “Accountability in Algorithmic Decision Making”. Communications of the ACM ,2016, Vol. 59 | Nº. 2, págs. 58 y ss.

(89). Directrices sobre la transparencia en virtud del RGPD 2016/679. Adoptadas el 29 de noviembre de 2017 y revisadas por última vez y adoptadas el 11 de abril de 2018. Apartado.64. Pág.35.

(90). Se hace referencia a determinados sectores donde el factor humano es esencial a establecer un derecho a poder elegir entre el contacto humano y la asistencia de un robot. En: Council of Europe, Parliamentary Assembly. Committee on Culture, Science, Education and Media Session 2017 - Second part-session. Report titulado “Technological convergence, artificial intelligence and human rights. Autor: Mr Jean-Yves LE DÉAUT. (2017) Págs. 15 y 16.

(91). Un estudio muy completo sobre la problemática de los datos personales positivos y negativos de solvencia patrimonial puede verse en: MAS BADÍA, Mª,D: “Los ficheros de solvencia patrimonial en la proyectada nueva Ley Orgánica de Protección de datos de carácter personal. ¿Un avance o una oportunidad perdida?” Actualidad Civil, Nº 11, 2017.

(92). PUENTE, A: “Cuarto Comentario: Derechos de las personas. Artículo 36.- Derecho de oposición a las decisiones basadas únicamente en un tratamiento automatizado de datos”. En, GONZÁLEZ-ESPEJO y PALOMAR OLMEDA, A (dirs): Comentario al Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal: (aprobado por RD 1720/2007, de 21 de diciembre). Ed. Civitas, 2001, Madrid, pág. 364.

(93). VIZCAINO CALDERÓN, M: Comentarios a la Ley Orgánica de Protección de datos de.”. op.ct., pág.189.

(94). Sobre el carácter instrumental del derecho a la protección de datos, véase TRONCOSO REIGADA, A: La protección de datos personales. En busca del equilibrio. Ed. Tirant Lo Blanch, 2010, Valencia, Págs. 74 y 75.

Comentarios

Noticia aún sin comentar.

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su email y contraseña:

 

Si desea registrase en la Administración al Día y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en La Administración al Día.

  • El INAP no es responsable de los comentarios escritos por los usuarios.
  • No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
  • Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.

Últimos estudios

Conexión al Diario

Ágora

Ágora, Biblioteca online de recursos de la Administración Pública

Publicaciones

Lo más leído:

 

Atención al usuario: publicacionesinap.es

© INAP-2019

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI: abre una nueva ventana