Ley aplicable a algoritmos

Puede que seamos o no conscientes de ello, pero cada vez es más habitual que los algoritmos tomen decisiones que influyen en nuestra vida y, como no, en nuestros derechos.

Desde el algoritmo que decide el camino que debemos tomar cuando buscamos una ruta en el GPS (que no necesariamente es la más rápida), hasta el que decide que hemos cometido una infracción de tráfico por exceso de velocidad y nos envía una multa a casa. Todos estos procesos y muchos otros, en mayor o menor medida, se realizan sin intervención humana, de manera totalmente automatizada y gobernado por algoritmos más o menos opacos.

Si nos paramos a pensarlo, resulta inquietante e, incluso, aterrador. Sin ir más lejos, hace unos días la ciudad de San Francisco sufrió un colapso parcial de su tráfico debido a que una serie de taxis autónomos, actualmente en pruebas en dicha urbe, tomaron misteriosamente la decisión de agruparse y pararse en una de sus principales calles. De hecho, tuvieron que intervenir de urgencia los propios técnicos y desplazarse a tomar el control de sus vehículos manualmente dado que se negaban a recibir órdenes o ser controlados a distancia. Todo guiado por sus propios algoritmos que lo decidieron de manera totalmente misteriosa, al menos hasta hoy.

¿Podría suceder algo así en Europa? ¿Cómo nos protegemos ante las decisiones aparentemente opacas y/o arbitrarias de los algoritmos?

Más allá de la normativa sobre Inteligencia Artificial en ciernes que hemos tenido ya ocasión de comentar en el blog, lo cierto es que nuestra legislación ya cuenta con importantes herramientas que regulan el uso de algoritmos y que se pueden esgrimir para proteger nuestros derechos.

En primer lugar, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público regula, en su artículo 41, las llamadas actuaciones administrativas automatizadas que se definen como “cualquier acto o actuación realizada íntegramente a través de medios electrónicos por una Administración Pública en el marco de un procedimiento administrativo y en la que no haya intervenido de forma directa un empleado público.”

Así, hablamos de actos administrativos dictados directamente por un algoritmo o programación previa en los que se toma una decisión con efecto en los ciudadanos sin intervención humana. Por ejemplo, una sanción tramitada y notificada automáticamente al titular de un vehículo fotografiado a partir de la medición de un exceso de velocidad por radar.

En estos supuestos, el apartado 2 del citado artículo 41 dispone que deberá establecerse previamente lo siguiente:

  • El órgano u órganos competentes, según los casos, para la definición de:
    1. las especificaciones,
    2. programación,
    3. mantenimiento,
    4. supervisión,
    5. control de calidad y
    6. auditoría del sistema de información y de su código fuente, en su caso.
  • Asimismo, se indicará el órgano que debe ser considerado responsable a efectos de impugnación.

Por tanto, es necesario especificar estos extremos de forma precisa y siempre antes de poner en funcionamiento cualquier sistema o algoritmo que implique un trámite administrativo automatizado, de modo que el interesado afectado pueda tener dicha información y saber ante quién dirigirse para defender sus derechos.

En segundo lugar, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos – RGPD), en su artículo 22, se refiere a las llamadas decisiones individuales automatizadas aludiendo a que “todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”.

Así, dichas decisiones automatizadas, por defecto, estarán prohibidas salvo que se pueda acreditar lo dispuesto en el apartado 2 del citado artículo 22, es decir, que dicha decisión:

a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;

b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o

c) se basa en el consentimiento explícito del interesado.

En lo que se refiere a los puntos a) y c) anteriores, el apartado 3 obliga a que el responsable adopte las “medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado”.

Entre dichas medidas deberán figurar, como mínimo:

  • El derecho a obtener intervención humana por parte del responsable,
  • El derecho a expresar su punto de vista y
  • El derecho a impugnar la decisión.

Por tanto, hablamos de tres derechos mínimos que se deben conceder al interesado cuando excepcionalmente se apliquen algoritmos para la toma de decisiones con efectos jurídicos en él mismo o que, de otro modo, le afecten significativamente.

A estos tres derechos, se le suma, obviamente, el derecho a ser informados de la utilización de los citados algoritmos y de la lógica aplicada por ellos. Dicho derecho se incluye en los artículos 14.1.g) y 15.1.h) del RGPD para los casos de información al interesado cuando los datos no se hayan obtenido del mismo y de la que se debe facilitar como resultado de un ejercicio de derecho de acceso instado por el interesado a sus datos.

En ambos supuestos, se debe informar al interesado de lo siguiente:

  • la existencia de decisiones automatizadas, incluida la elaboración de perfiles,
  • su lógica aplicada,
  • su importancia y
  • las consecuencias previstas de dicho tratamiento para el interesado

En caso de que no se facilite dicha información, esto ya es un hecho denunciable ante la Autoridad de Control (en nuestro caso, la Agencia Española de Protección de Datos) que puede conllevar importantes sanciones económicas para el infractor, a la par que una eventual indemnización por daños y perjuicios al agraviado si se reclama ulteriormente por vía judicial.

Como vemos y a la espera de nueva regulación, ya estamos protegidos ante el uso y abuso de algoritmos en nuestro Derecho. Sólo queda conocerlo y, lo más importante, aplicarlo.