134 91 4MB
Spanish Pages 148 Year 2023
Inteligencia artificial y Derechos fundamentales
Colección IA, Robots, y Bioderecho Directores FRANCISCO LLEDÓ YAGÜE Catedrático de Derecho Civil de la Universidad de Deusto IGNACIO BENÍTEZ ORTÚZAR Catedrático de Derecho Penal de la Universidad de Jaén CRISTINA GIL MEMBRADO Profesora Titular de Derecho Civil de la Universidad de las Islas Baleares ÓSCAR MONJE BALMASEDA Profesor Titular de Derecho Civil de la Universidad de Deusto Coordinadores Mª JOSÉ CRUZ BLANCA Profesor titular de Derecho Penal de la Universidad de Jaén IGNACIO LLEDÓ BENITO Profesor Derecho Penal de la Universidad de Sevilla. Profesor titular acreditado (ANECA) Comité científico Lorenzo Morillas Cueva Catedrático de Derecho Penal de la Universidad de Granada Manuel Marchena García Presidente de la Sala Segunda del Tribunal Supremo Pilar Ferrer Vanrell Catedrática de Derecho Civil de la Universidad de las Islas Baleares José Ángel Martínez Sanchiz Notario. Académico de “número” de la Real Academia de Legislación y Jurisprudencia Victorio Magariños Blanco Notario y miembro de la Comisión General de Codificación Pierre Lluigi D’ellosso Fiscal General de la República Emérito. Fiscal Nacional Antimafia (Italia) Alicia Sánchez Sánchez Magistrado-Juez Registro Civil de Bilbao Lucía Ruggeri Professore ordinario di Diritto privato presso Università degli Studi di Camerino Carmen Ochoa Marieta Directora médico ura, Cer.Santander,S.L, Medicina de la reproducción Marian M. De Pancorbo Catedrática de Biología Celular, Coordinadora Centro de Investigación Lascaray Ikergunea / Lascaray Research Center, Investigadora Principal Grupo biomics / biomics Research Group
Luis Martínez López
Catedrático de Lenguajes y Sistemas Informáticos de la Universidad de Jaén Humberto Nicanor Bustince Sola Catedrático de Ciencias de la Computación e Inteligencia Artificial de la Universidad Pública de Navarra
Inteligencia artificial y Derechos fundamentales
Lucrecio Rebollo Delgado
No está permitida la reproducción total o parcial de este libro, ni su incorporación a un sistema informático, ni su transmisión en cualquier forma o por cualquier medio, sea este electrónico, mecánico, por fotocopia, por grabación u otros métodos, sin el permiso previo y por escrito del editor. La infracción de los derechos mencionados puede ser constitutiva de delito contra la propiedad intelectual (art. 270 y siguientes del Código Penal). Diríjase a Cedro (Centro Español de Derechos Reprográficos) si necesita fotocopiar o escanear algún fragmento de esta obra. Puede contactar con Cedro a través de la web www.conlicencia.com o por teléfono en el 917021970/932720407
Este libro ha sido sometido a evaluación por parte de nuestro Consejo Editorial Para mayor información, véase www.dykinson.com/quienes_somos
© Copyright by Lucrecio Rebollo Delgado Madrid Editorial DYKINSON, S.L. Meléndez Valdés, 61 - 28015 Madrid Teléfono (+34) 91 544 28 46 - (+34) 91 544 28 69 e-mail: [email protected] http://www.dykinson.es http://www.dykinson.com ISBN: 978-84-1170-078-8 Depósito Legal: M-9226-2023 ISBN electrónico: 978-84-1170-122-8
Preimpresión por: Besing Servicios Gráficos S.L. e-mail: [email protected]
ÍNDICE
ABREVIATURAS.................................................................................................... 11 INTRODUCCIÓN.................................................................................................. 13 Capítulo I. INTELIGENCIA ARTIFICIAL............................................................. 19 1.
Origen y concepto...................................................................................
19
2.
Tipos de inteligencia artificial.............................................................
21
3.
El debate científico al respecto de los límites...................................
23
4.
Combinación de Big data e Inteligencia artificial.............................
26
5.
El condicionamiento al algoritmo.......................................................
27
CAPÍTULO II. SOCIEDAD DIGITAL Y DERECHOS FUNDAMENTALES.......... 33 1.
Delimitación del concepto de Derechos digitales............................. 33
2.
Normativa y proyectos jurídicos al respecto de la inteligencia artificial.................................................................................................. 37 2.1. Prácticas de inteligencia artificial prohibidas........................... 40 2.2. Sistemas de alto riesgo................................................................ 42
3.
Control de transparencia en el desarrollo y uso de software público y privado.....................................................................................
44
CAPÍTULO III. INCIDENCIA DE LA INTELIGENCIA ARTIFICIAL EN LOS DERECHOS FUNDAMENTALES............................................................. 51 1.
Cuestiones previas...................................................................................
51
8 Índice
2.
Derecho a la intimidad..........................................................................
54
3.
Protección de datos de carácter personal.........................................
60
4.
Libertad ideológica................................................................................
67
5.
Derecho a la información y libertad de expresión............................. 75
6.
Derecho a la igualdad............................................................................ 83 6.1. Red Neutral................................................................................. 84 6.2. El acceso universal a internet..................................................... 89
CAPÍTULO IV. PROPUESTAS JURÍDICAS SOBRE INTELIGENCIA ARTIFICIAL Y DERECHOS FUNDAMENTALES................................................. 95 1.
Empoderamiento del titular de los datos........................................... 95
2.
Decisiones individuales automatizadas y elaboración de perfiles.. 101
3.
Transparencia ......................................................................................... 109
4.
Códigos éticos......................................................................................... 112
5.
Anonimización......................................................................................... 115 5.1. Principios en la anonimización.................................................. 118 5.2. Especial dificultad de anonimización en algunos tipos de datos............................................................................................ 119 5.3. Medidas complementarias......................................................... 120
6.
Seguridad................................................................................................. 120
7.
Exactitud ................................................................................................ 125
8.
Normativa específica sobre Inteligencia artificial y órganos de control .................................................................................................... 128
BIBLIOGRAFÍA..................................................................................................... 139 1. Doctrina.................................................................................................. 139 2.
Documentación utilizada...................................................................... 143
A mi mujer Mª Dolores, y a mi hija Cristina, todo mi bagaje personal
ABREVIATURAS
AEPD
Agencia Española de Protección de Datos
ACPD
Agencia Catalana de Protección de Datos
AVPD
Agencia Vasca de Protección de Datos
APDCM
Agencia de Protección de Datos de la Comunidad de Madrid
ATC
Auto del Tribunal Constitucional
BOC
Boletín Oficial del Congreso de los Diputados
CC. AA.
Comunidades Autónomas
CE
Constitución Española de 1978
CEC
Centro de Estudios Constitucionales
CEDH
Convenio Europeo de Derechos Humanos
CEPC
Centro de Estudios Políticos y Constitucionales
CP
Código Penal
DOUE
Diario Oficial de la Unión Europea
DPD
Delegado de Protección de Datos
DUDH
Declaración Universal de Derechos Humanos de 1948
FCSEº
Fuerzas y Cuerpos de Seguridad del Estado
f. j.
Fundamento jurídico
IA
Inteligencia artificial
LDDP
Ley 41/2002 de Derechos y Deberes de los Pacientes
LO
Ley Orgánica
LO 3/2018
Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales
LOVI
Ley Orgánica de Videovigilancia
LSP
Ley 23/1992 de Seguridad Privada
LTRA
Ley sobre Técnicas de Reproducción Asistida
12
Lucrecio Rebollo
RGPD
Reglamento General de Protección de Datos de la UE 679/2016
RLOPD
Reglamento de desarrollo de la LOPD (R.D. 1720/2007)
RSP
Reglamento de Seguridad Privada aprobado por RD 2364/1994
SAN
Sentencia de la Audiencia Nacional
SEDIA
Secretaría de Estado de Digitalización e Inteligencia Artificial
STC
Sentencia del Tribunal Constitucional
STEDH
Sentencia del Tribunal Europeo de Derechos Humanos
STJUE
Sentencia del Tribunal de Justicia de la Comunidad Europea
STS
Sentencia del Tribunal Supremo
TC
Tribunal Constitucional
TEDH
Tribunal europeo de Derechos Humanos
TJUE
Tribunal de Justicia de la Comunidad Europea
TS
Tribunal Supremo
VV. AA.
Varios Autores
INTRODUCCIÓN
Una cuestión tan simple como la combinación de ceros y unos (sistema binario) ha convulsionado y cambiado la sociedad actual, quizás sea el cambio más significativo que ha vivido la humanidad hasta la fecha. Somos testigos del nacimiento de una nueva era, la sociedad digital, que trae consigo infinitos avances y beneficios, y un número no menor de problemas. La dificultad de encaje entre posibilidades y soluciones proviene esencialmente de que las herramientas clásicas no sabemos en qué grado nos serán útiles. La ruptura de las barreras del espacio y el tiempo, así como las posibilidades que ofrece el desarrollo tecnológico actual y futuro, nos son en gran medida desconocidas. El Derecho y el Estado han sido dos potentes formas de solventar conflictos sociales y ordenar la convivencia, las más tecnificadas que conocemos. Del mismo modo, no se puede cercenar la actividad empresarial, ni impedir el desarrollo tecnológico, puesto que son parte de nuestra esencia como organización social y es algo intrínseco al ser humano. Pero el Derecho tiene obligatoriamente que ser parte de la solución a este conflicto. La sociedad digital emana en unas estructuras económicas y sociales, y en un Derecho producto de una evolución histórica. Bajo la pretensión inequívoca de solventar conflictos sociales, el Derecho tiene unos elementos consustanciales que plantean la duda de si son los adecuados para resolver los problemas sociales venideros, y singularmente, si será capaz de preservar los pilares de la ordenación social de los que hoy disfrutamos: Estado de Derecho, democracia, desarrollo económico y singularmente la vigencia de derechos y libertades fundamentales. En ocasiones los desarrollos innovadores se han entremezclado con los procedimientos tradicionales, pero todo apunta a que la sociedad digital puede ser disruptiva con los mecanismos clásicos de ordenación social, y singularmente a través de la Inteligencia artificial junto con el Big data, porque sustraen al ser humano la capacidad de optar. Los postulados al respecto del planteamiento de este problema son muy variados. Hay quienes entienden que por mucha innovación tecnológica que se produzca, el ser humano seguirá conservando su singularidad y esencia, así como, en lo troncal, la sociedad quedará ordenada en parámetros
14
Lucrecio Rebollo
similares a los actuales. Existe la postura que toma conciencia de la profundidad de los cambios ya existentes y venideros, pero no vislumbra peligro o problemática, aun manteniendo que los cambios serán de mucho calado. Por último, existe una corriente de análisis que manifiesta una honda preocupación por los cambios tan radicales que puede introducir la sociedad digital, y que pueden generar una desestructuración social, o en todo caso, crear un mundo distinto al que hasta ahora hemos conocido. Sin ser partícipe pleno de ninguna de las tres posturas referidas, el presente trabajo quiere ser una modesta aportación a la tesis de que indefectiblemente habrá de ser el Derecho, entendido en una de sus acepciones más simples, como conjunto de normas, la herramienta que puede solventar la problemática que genere la sociedad digital. No es tarea sencilla, pero sí obligada del jurista, anticipar y ofrecer soluciones. Hay aplicaciones de IA en muchos ámbitos, con variados niveles de desarrollo. Es probable que los más evolucionados estén aplicándose al entorno militar, y que como ocurrió con internet, no tengan aplicación civil hasta dentro de bastantes años. Si bien es verdad que tendemos a magnificar tanto avance tecnológico, creo que hay que ser bastante prudentes en la valoración actual de la IA. El ámbito quizás más desarrollado se concreta en el uso de internet y las redes sociales, y también en aplicaciones de uso de tecnología en general, pero es incipiente en los demás, de igual forma que se omiten, singularmente a nivel informativo, los grandes fracasos de su desarrollo, incluso de aquellos que producen muchas muertes. De esta forma, se anuncia a bombo y platillo que un programa de ajedrez es capaz de vencer al mejor jugador del mundo, o que un programa de IA puede conducir un vehículo, o pilotar un avión, pero se omiten informaciones que nos ponen de manifiesto la torpeza de estos ingenios en algunas ocasiones, y también lo hacen con los accidentes o muertes que provocan, como ocurrió en el vuelo de Air France en Brasil en 2009, en el que fallecieron 228 personas por un fallo del piloto automático (una de las primeras aplicaciones de IA) sumado a un error humano. Menos relevancia informativa tienen aún los fracasos de estos ingenios en los que nunca caería un ser humano con la mínima formación. Hay aquí un juego de exaltación y ocultación que obedece a múltiples factores, pero que, en todo caso, pone de manifiesto el grado de desarrollo en esta materia con respecto a la imagen que se quiere proyectar de la misma. Se están realizando algunos avances en el ámbito de la justicia, tanto funcionales como materiales, pero como hemos manifestado, son incipientes y sin reconocimiento normativo. Se baraja la posibilidad de programas que faciliten la labor del juzgador en la aplicación de la norma y el uso de la jurisprudencia, incluso hay algunos avances en el núcleo de la función juzgadora, esencialmente en la subsunción del hecho a la norma. También hay algunos ensayos en el ámbito de la defensa, que facilitan la argumentación o fundamentación del enjuiciado. Lo más avanzada se concreta en la verifi-
Inteligencia artificial y derechos fundamentales
15
cación de la prueba, y el uso de la predictibilidad, en la que son ya algunas las aplicaciones que se utilizan a este respecto. En nuestro ordenamiento jurídico, a fecha de cerrar esta edición, está en proyecto la Ley de Eficiencia Digital del servicio público de Justicia, que realiza algunas referencias a la IA de forma muy genérica, y que no prevé vías de aplicación concreta más allá de la ayuda a la tramitación procesal de los expedientes. En el ámbito educativo también hay algunos tímidos avances con los denominados chadbot, los tutores virtuales, y con posibilidad de diálogos virtuales con personajes históricos. Hay aplicaciones, fundamentalmente predictivas, de IA en las áreas de comercio, seguros, marketing y otras muchas, pero su finalidad es muy concreta, si bien tienen una potencialidad significativa con el uso de bases de datos masivas. Igual ocurre en el ámbito de la medicina, pero hemos visto con la pandemia de COVID, como ha sido llamativa la ausencia de coordinación y de puesta en común de resultados y estrategias a nivel mundial, y donde cada país ha lidiado con el problema por su cuenta y riesgo en todos los ámbitos, adquisición de materiales de protección, medicamentos, vacunas, protocolos de actuación, y sobre todo, investigación al respecto de medidas paliativas. Esta descoordinación se sigue manifestando hoy, superada la pandemia, no hay ningún proyecto de carácter regional o universal que aplique IA y sume las inmensas bases de datos médicas relativas al COVID y de las que se obtengan proyecciones de futuro, ni tan siquiera para diagnosticar las posibles secuelas de aquél en el ámbito de la medicina preventiva. Se habla también de transhumanismo, entendido como la posibilidad de realizar actuaciones en el cerebro humano que modifique o complemente funciones de la persona, tanto a nivel físico, como mental. También aquí el simple planteamiento teórico genera fascinación y nos abre la mente a posibilidades infinitas, tanto positivas, como negativas, pero no hay una realidad, al menos conocida, que ponga de manifiesto desarrollo o aplicación alguna a este respecto, que vaya más allá de algún programa informático o aplicación de ayuda de lo ya conocido. Lo expuesto nos pone de manifiesto la potencialidad de la IA, pero a la vez hemos de obtener la conclusión de que no es conveniente deslumbrarse, más bien al contrario, afirmar que es una posible proyección de futuro, con enormes posibilidades, pero respecto de la cual queda mucho camino por recorrer. Esto no debe entenderse como un posicionamiento negativo o despectivo respecto a la IA, pero sí prudente en cuanto a sus posibilidades. Sin ánimo de ser peyorativo, hemos de reconocer que tanto el cine, como la literatura de ciencia ficción, realizan en esta materia una función de catapulta, de esta forma, cada pequeño avance, bien por intereses comerciales, o de otra índole, generan una explosión de ilusiones en las personas, pero la realidad es contundente, y todo avance, desarrollo o nueva aplicación, requiere de mucho tiempo, mucho trabajo, mucha inversión económica, para
16
Lucrecio Rebollo
obtener un resultado, que luego habrá de ser disputado comercialmente y que en última instancia, deberá adecuarse a un universo normativo. La tecnología nos ha introducido en un mundo en que la inmediatez se asimila de forma natural y este concepto de celeridad en todo trámite o acción lo hemos interiorizado, casi asumido como algo natural ya en nuestro desenvolvimiento cotidiano. Pero si nos paramos a reflexionar, vemos que, de los primeros descubrimientos sobre el uso de la tecnología relativa a la IA a nuestros días, ha pasado prácticamente un siglo, y aún así, tenemos que seguir manifestando que su desarrollo es incipiente. Como hemos expuesto con anterioridad, ello no puede entenderse como despectivo o negativo, y sí como exponente de que el conocimiento científico, y también el estudio jurídico, debe estar desposeído de todo aquello que no sea objetividad en el análisis. Recordemos que el Derecho parte con unas considerables desventajas intrínsecas para regular la tecnología. Es eminentemente estatal, y hemos manifestado que las innovaciones tecnológicas han roto la barrera del espacio y el tiempo. Otra característica del Derecho es que surge para solventar un conflicto ya existente, su capacidad predictiva es escasa y con un alto contenido de errores o portillos jurídicos, y en todo caso, normalmente se genera a posteriori, una vez constatada la necesidad. Por último, su elaboración está mediatizada por infinidad de actores y de intereses, a lo que se suma su dificultad en la aplicación. Ejemplo manifiesto de estas circunstancias es la regulación de protección de datos en el contexto europeo, donde ha existido tradicionalmente una firme pretensión de regulación de la materia. El RGPD 1 ha supuesto un avance muy significativo, es una norma moderna, adecuada y será eficiente, pero deja sin regulación un inmenso océano de datos. Como nos ponen de manifiesto sus artículos 1 y 4, su regulación es relativa a la “protección de las personas físicas en lo que respecta al tratamiento de datos personales y las normas relativas a la libre circulación de tales datos”. El segundo de los artículos referidos establece a su vez que son datos personales “toda información sobre una persona física identificada o identificables…”. De esta forma el tratamiento masivo de datos o el uso de estos mediante técnicas de inteligencia artificial, no son objeto de regulación. A ello se le añade la lista de exclusiones del art. 2.2, y otros muchos tratamientos de datos que no tienen la condición de datos de carácter personal. El definitiva, el Derecho tal y como lo conocemos en la actualidad, deberá cambiar de forma sustantiva para ser eficaz en esta tarea de solventar problemas en la sociedad digital. No faltan corrientes que apuntan como solución a este problema la sustitución de códigos normativos por códigos informáticos, lo que supone sustituir las necesidades sociales, o las humanas, por las digitales, circunstancia que, aunque nos parezca de ciencia ficción, está a la vuelta de la esquina. 1
Reglamento General de Protección de Datos UE 679/2016.
Inteligencia artificial y derechos fundamentales
17
Tampoco el Estado se vislumbra como posible solución a las problemáticas que plantea la sociedad digital, pero de modo parecido al Derecho, es actor necesario, es parte de la solución. Sus medios tradicionales de actuación, generar normas, ordenar procesos y la capacidad ejecutiva y en su caso coactiva, con límite territorial, no son suficientes en los nuevos desafíos. Sus potestades clásicas no alcanzan para poder controlar o limitar los desequilibrios o problemas que genere la sociedad digital. Junto a las deficiencias del Derecho y del Estado para solventar la problemática actual y futura, es conveniente relacionar las características de los datos y su versatilidad de uso, así como sus consecuencias. Ello nos hará más fácil la comprensión de nuestro objeto de análisis, a la vez que nos dará fiel muestra de las dimensiones de los problemas que plantea la sociedad digital. Son frecuentes las comparaciones de los datos con materias primas de mucho valor (petróleo, oro, diamantes) 2 y podríamos manifestar con rotundidad que supera el valor de estos materiales, ello se debe a las singulares características del objeto que tratamos: •
Los datos se producen en segundos y no se consumen, pueden ser reutilizados de forma indefinida.
•
Son fáciles de registrar y almacenar, no requiriendo unas infraestructuras ni medios costosos.
•
Su utilidad depende del tratamiento, pero éste es sumamente sencillo, cualquier ordenador personal actual puede efectuarlos.
•
La Inteligencia artificial y el Big Data pueden añadirle infinidad de funcionalidades, a la vez que un valor incalculable e insospechado al tratamiento.
•
Por último, el tratamiento no es perceptible, y generalmente se realiza en secreto. En unos casos con pretensión de beneficio empresarial, en otros por el poder que otorgan, y también porque muchas actividades relacionadas con los datos, se realizan en un limbo jurídico y exentas de control.
El simple hecho de relacionar estas posibilidades debe poner en guardia a todo jurista, singularmente porque el ordenamiento jurídico, y el Estado, están muy alejados en la actualidad de poder regular este maremágnum digital. Afortunadamente en la Unión Europea hay una honda preocupación por estas cuestiones, a la vez que ha sido ejemplo y avanzadilla mundial en la regulación del derecho a la protección de datos, teniendo como objetivo in2 Muy ilustrativa es la comparación de los datos y el petróleo crudo que hace Hoffmann-Riem, W: Big Data. Desafíos también para el Derecho. Traducción de López Pina. Cívitas Thomson-Reuters. Madrid 2018, páginas 53 a 57.
18
Lucrecio Rebollo
mediato el estudio de esta materia y su proyección futura. Ello se ha materializado, esencialmente, en propuestas éticas, y es deseable, si no perentorio, que se produzca el salto a la norma. Pero la sociedad digital no se concreta únicamente en los datos. Es mucho más relevante su uso y singularmente, los medios para hacerlo efectivo. Por ello la Inteligencia artificial tiene una potencialidad enorme y desconocida, puede suponer un cambio tan transcendente como el que originó Internet, o incluso superarlo, puesto que la Red es un medio, una herramienta, pero la IA es un nuevo orden. Utilizando la terminología de Kant, internet es un fenómeno y la IA un noúmeno. Es necesaria la reflexión académica que sea capaz de poner de manifiesto las necesidades y aportar soluciones, que establezcan el camino a seguir y las herramientas necesarias para ello. Este es el objetivo unívoco de esta obra. De forma previa al análisis jurídico, y singularmente al estudio de la relación entre derechos fundamentales y sociedad digital, es necesaria una aproximación a los dos fenómenos que entendemos tendrán una mayor relación con aquéllos, el tratamiento masivo de datos y la Inteligencia artificial. Un acercamiento, aunque sea somero, es necesario para poder entender y analizar sus mecanismos de funcionamiento, sus bases estructurales y lógicas, y singularmente, para poner de manifiesto los problemas jurídicos que pueden llevar implícitos, y en última instancia, para poder aportar soluciones jurídicas útiles.
Capítulo I INTELIGENCIA ARTIFICIAL
1.
Origen y concepto
La Inteligencia artificial (IA) es la combinación de algoritmos planteados con el propósito de crear software, máquinas u otros objetos, que presenten las mismas capacidades que el ser humano. Aristóteles fue el primero en describir de manera estructurada un conjunto de reglas, denominadas silogismos, que describen una parte del funcionamiento de la mente humana y que, al seguirlas paso a paso, producen conclusiones racionales a partir de premisas dadas. Ya en 1275 Ramon Llull tuvo la idea de que el razonamiento podía ser efectuado de manera artificial, y lo concretó en la denominada Ars Generalis Ultima, un ingenio mecánico, que movido por palancas y un volante, podría probar la verdad o mentira de un postulado. Su finalidad era explicar las verdades de la teología y la filosofía como si fueran una única ciencia, así como poner de manifiesto algunos errores conceptuales filosóficos de la época. En 1672 Gottfied Leibniz inventa el sistema binario, siguiendo los postulados de Llull propone un sistema de cálculo universal de razonamiento. En 1854 George Boole se dedica al estudio de las leyes fundamentales de las operaciones de la mente por las que se razona, para darles expresión en un lenguaje simbólico del cálculo. Es lo que se denomina en la actualidad el álgebra de Boole. En 1879, Gottlieb Frege crea un mecanismo para el razonamiento mecánico, generando lo que en la actualidad se denomina cálculo de predicados, que se constituye en el sistema básico de representación del conocimiento utilizado en Inteligencia artificial. Los trabajos de Alan Turing en 1936, y de forma concreta su artículo sobre los “Números Calculables”, son el inicio de las bases teóricas para todas las ciencias de computación, y que puede considerarse el origen oficial de la informática teórica. En este artículo introdujo el concepto de Máquina de Turing, una entidad matemática abstracta que formalizó el concepto de algoritmo y resultó ser la precursora de las computadoras digitales. Podía, conceptualmente, leer instrucciones de una cinta de papel perforada y ejecutar todas las operaciones críticas de un computador.
20
Lucrecio Rebollo
En 1943 Warren McCulloch y Walter Pitts presentaron su modelo de neuronas artificiales, el cual se considera el primer trabajo en el campo de la Inteligencia artificial, y ya en 1950 Turing lo consolidó con su artículo Computing Machinery and Intelligence, en el que propuso una prueba concreta para determinar si una máquina era inteligente o no, su famosa Prueba o test de Turing, por lo que se le considera el padre de la Inteligencia artificial. Años después Turing se convirtió en el adalid de quienes defendían la posibilidad de emular el pensamiento humano a través de la computación y fue coautor del primer programa para jugar al ajedrez. En 1956, John McCarthy acuñó la expresión «inteligencia artificial», y la definió como «la ciencia e ingenio de hacer máquinas inteligentes, especialmente programas de cómputo inteligentes». Martin Fischles y Oscar Firschein describieron en 1987 los atributos de un agente inteligente, que se concretan en lo siguiente: 1. Tiene actitudes mentales tales como creencias e intenciones. 2. Tiene la capacidad de obtener conocimiento, es decir, aprender. 3. Puede resolver problemas, incluso descomponiendo problemas complejos en otros más simples. 4. Es capaz de realizar operaciones complejas. 5. Entiende. Posee la capacidad de dar sentido, si es posible, a ideas ambiguas o contradictorias. 6. Planifica, predice consecuencias, evalúa alternativas (como en los juegos de ajedrez). 7. Conoce los límites de sus propias habilidades y conocimientos. 8. Puede distinguir a pesar de la similitud de las situaciones. 9. Puede ser original, creando incluso nuevos conceptos o ideas, y hasta utilizando analogías. 10. Puede generalizar. 11. Puede percibir y modelar el mundo exterior. 12. Puede entender y utilizar el lenguaje y sus símbolos. Puede manifestarse que la IA posee características humanas tales como el aprendizaje, la adaptación, el razonamiento, la autocorrección, el mejoramiento implícito, y la percepción modular del mundo. Así, podemos hablar ya no solo de un objetivo, sino de muchos, dependiendo del punto de vista o utilidad que pueda encontrarse o quiera darse a la IA. El concepto de IA es aún demasiado difuso, pero contextualizándolo, y teniendo en cuenta un punto de vista científico, podríamos definir esta ciencia como la encargada
Inteligencia artificial y derechos fundamentales
21
de imitar el cerebro, que no el cuerpo, de una persona en todas sus funciones. No sabemos qué nos deparará la IA, pero parece evidente que es uno de los ámbitos de la ciencia que tiene un mayor potencial de desarrollo, y una clara influencia en el ámbito de los derechos y libertades fundamentales, lo que justifica un acercamiento jurídico a su uso y futuros desarrollos. 2.
Tipos de inteligencia artificial
Los expertos en ciencias de la computación Stuart Russell y Peter Norvig 3 diferencian varios tipos de inteligencia artificial: •
Sistemas que piensan como humanos: automatizan actividades como la toma de decisiones, la resolución de problemas y el aprendizaje. Un ejemplo son las redes neuronales artificiales.
•
Sistemas que actúan como humanos: se trata de computadoras que realizan tareas de forma similar a como lo hacen las personas. Es el caso de los robots.
•
Sistemas que piensan racionalmente: intentan emular el pensamiento lógico racional de los humanos, es decir, se investiga cómo lograr que las máquinas puedan percibir, razonar y actuar en consecuencia. Los sistemas expertos se engloban en este grupo.
•
Sistemas que actúan racionalmente: idealmente, son aquellos que tratan de imitar de manera racional el comportamiento humano, como los agentes inteligentes.
Otra clasificación de la IA es aquella que atiende al proceso de conformación de la misma, y en la que se distinguen tres tipos: •
Inteligencia artificial específica o débil, que es aquella que tiende a imitar los procesos cognitivos del ser humano en una o varias actividades concretas. Se fundamenta en una aproximación inductiva ascendente (botón – up) y simbólica. Ejemplos de IA débil son los asistentes virtuales (Siri, Alexa, Cortana) los reconocimientos biométricos, los filtros de spam o muchas de las ayudas de vehículos o electrodomésticos.
•
Inteligencia artificial general o fuerte, que requiere dotar a la máquina de conciencia y capacidad de resolver de forma autónoma. Su aproximación es deductiva ascendente (top-dow) y subsimbólica. Su capacidad de aprendizaje y cognitiva es muy alta, imitando a la inteligencia humana.
3 Russell, S. J.; Norvig, P. N.: Artificial intelligence: a modern approach 3.ª Ed. 2009. Upper Saddle River, N.J.: Prentice Hall.
22
Lucrecio Rebollo
•
Superinteligencia. Sería aquella que supera a la inteligencia humana y que escaparía al conocimiento humano. Se suele identificar también con el concepto de singularidad. La máquina que es consciente y autónoma, no depende del ser humano, tiene plena independencia o libertad para tomar sus decisiones. Se le denomina también autoconciencia. Este tipo de IA, aunque tiene algunos desarrollos, es incipiente en la actualidad, y es la que más recelo despierta entre los científicos.
Esta clasificación coincide con las dos escuelas de pensamiento en el estudio y desarrollo de la IA, denominadas como convencional o simbólica deductiva, y computacional o subsimbólica inductiva. De esta variedad de IA, la que más problemas plantea es aquella que aplica algoritmos inteligentes que no se programan únicamente para resolver un problema específico, sino para aprender a resolver problemas, es a lo que se denomina deep learning (aprendizaje profundo) en virtud del cual el sistema está capacitado para aprender solo, sin necesidad de intervención humana, que a su vez pierde la capacidad de control, puesto que el sistema no tiene límites preestablecidos, dado que las normas que determinan sus fines ya no se pueden reconducir. Como manifiesta Hoffmann-Riem “Las actuaciones humanas que hasta ahora eran necesarias para programar algoritmos y sistemas algorítmicos complejos tienen cada vez menos importancia en los sistemas de aprendizaje inteligentes, con la consecuencia de que los pasos individuales y su interacción, así como la lógica utilizada para ello, ya no son reproducibles para los programadores humanos” 4. Puede darse incluso la situación de que los programadores humanos sean incapaces de comprender las operaciones realizadas por un ordenador dotado de deep learning, lo que supone que quedaría fuera del control humano. La IA más extendida y usada ya en infinidad de ámbitos es la específica o débil. Este tipo de IA no plantea problemas y tiene una clara característica de funcionalidad. De la superinteligencia no conocemos prácticamente nada, si bien consta que tanto China, como EE. UU., están trabajando en ello desde fechas recientes, y en aplicaciones de carácter militar, y de forma concreta en todo lo relacionado con armamento y singularmente con misiles. Es probable, que como lo ocurrido con los desarrollos tecnológicos determinantes desde mediados del siglo pasado, que estos avances tengan con posterioridad una utilidad civil, como sucedió con internet, o antes con la energía nuclear, pero indefectiblemente ello llevará mucho tiempo. A corto y mediano plazo la IA que puede plantear una mayor problemática es la general o fuerte, y singularmente, aquella que adquiere plena autonomía del control humano, y en concreto por la posibilidad que tiene a su vez de generar otras inteligencias también artificiales. Obra citada, pág. 61
4
Inteligencia artificial y derechos fundamentales
3.
23
El debate científico al respecto de los límites
No hay acuerdo en el mundo científico al respecto de los límites que debe o no tener la Inteligencia artificial, singularmente, el debate se centra en la posibilidad de atribuir o no a las máquinas identidad plena con el ser humano, y especialmente en referencia a emociones o sentimientos. En relación a la conciencia y las emociones, y aunque por el momento la mayoría de los investigadores en el ámbito de la IA se centran sólo en el aspecto racional, hay expertos que consideran seriamente la posibilidad de incorporar componentes «emotivos» como indicadores de estado, a fin de aumentar la eficacia de los sistemas inteligentes en determinadas situaciones. Particularmente, en el caso de los robots móviles, es necesario que estos cuenten con algo similar a las emociones con el objeto de saber –en cada instante y como mínimo– qué hacer a continuación. Para otros autores, como Mazlish, las máquinas, al tener «sentimientos» y, al menos potencialmente, «motivaciones», podrán actuar de acuerdo con sus «intenciones». Así, se podría equipar a un robot con dispositivos que controlen su medio interno; por ejemplo, que «sientan hambre» al detectar que su nivel de energía está descendiendo, o que «sientan miedo». Esta señal podría interrumpir los procesos de alto nivel y obligar al robot a conseguir el preciado elemento. Incluso se podría introducir el «dolor» o el «sufrimiento físico», a fin de evitar las torpezas de funcionamiento como, por ejemplo, introducir la mano dentro de una cadena de engranajes o saltar desde una cierta altura, lo cual le provocaría daños irreparables. Esto significa que los sistemas inteligentes deben ser dotados con mecanismos de retroalimentación que les permitan tener conocimiento de estados internos, igual que sucede con los humanos que disponemos de propiocepción 5, interocepción 6, y nocicepción 7. Esto es fundamental tanto para tomar decisiones, como para conservar su propia integridad y seguridad. La retroalimentación en sistemas está particularmente desarrollada en cibernética: por ejemplo, en el cambio de dirección y velocidad autónomo de un misil, utilizando como parámetro la posición en cada instante en relación al objetivo que debe alcanzar. Los sistemas inteligentes al no tener en cuenta elementos emocionales les permite no olvidar la meta que deben alcanzar. En los humanos el olvido de la meta o el abandonar los objetivos por cambios, o por perturbaciones emocionales, es un problema que en algunos casos llega a ser incapacitante. Los sistemas inteligentes, al combinar una memoria durable, una asigna Propiocepción: Capacidad que tiene nuestro cerebro para saber la posición exacta de todas las partes de nuestro cuerpo en cada momento. 6 Interocepción: Percepción del estado de los órganos internos del cuerpo humano. 7 Nocicepción: Percepción de señales en el sistema nervioso central provocado por la activación de unos receptores sensoriales especializados. 5
24
Lucrecio Rebollo
ción de metas o motivación, junto a la toma de decisiones y asignación de prioridades con base en estados actuales y estados meta, logran un comportamiento en extremo eficiente, especialmente ante problemas complejos y peligrosos. El ser humano está gobernado por su cerebro, pero la biología es imperfecta, abandonamos objetivos, nos desviamos de pretensiones originarias, y cuando una persona muere se van con ella todas sus experiencias, sus deducciones, y este conjunto de conocimiento se pierde. La IA, por el contrario, tiene un enfoque acumulativo, lo guarda todo para evolucionar, tiene capacidad de aprender y mejorar, de sumar todos los conocimientos, y las desviaciones de los objetivos son menores y reorientables. En definitiva, lo racional y lo emocional están de tal manera interrelacionados entre sí, que se podría decir que no sólo no son aspectos contradictorios, sino que son, hasta cierto punto, complementarios. Ello nos hace plantearnos la siguiente pregunta: ¿Podrá adquirir consciencia la Inteligencia artificial? La posibilidad de crear máquinas conscientes es inquietante. Sin embargo, y de momento, no es una realidad. Por ahora, solo se ha logrado que algunos robots se autoidentifiquen, aunque de la misma manera que identificarían a otros, es decir, sin tener consciencia de su propio “yo”. Más allá de eso, queda un vasto camino por recorrer: comprender la consciencia para traducirla a programación que volcar en las máquinas, y la primera parte de esta labor, de momento, parece inabarcable, lo que no es óbice para que se pueda lograr en un periodo corto de tiempo. Las principales críticas a la Inteligencia artificial tienen que ver con su capacidad de imitar por completo a un ser humano. Sin embargo, es claro que hoy ningún humano individual tiene capacidad para resolver todo tipo de problemas. En los humanos, la capacidad de resolver problemas tiene dos aspectos: los innatos y los aprendidos. Los primeros permiten, por ejemplo, almacenar y recuperar información en la memoria, mientras que en los segundos reside el saber resolver un problema matemático mediante el algoritmo adecuado. Del mismo modo que un humano debe disponer de herramientas que le permitan solucionar ciertos problemas, los sistemas artificiales deben ser programados de modo tal que puedan llegar a resolverlos. Uno de los problemas que se plantean en sistemas de Inteligencia artificial es la comunicación con el usuario. Este obstáculo es debido a la ambigüedad del lenguaje, y se remonta a los inicios de los primeros sistemas operativos informáticos. La capacidad de los humanos para comunicarse entre sí implica el conocimiento del lenguaje que utiliza el interlocutor. Para que un humano pueda comunicarse con un sistema inteligente hay dos opciones: o bien que el humano aprenda el lenguaje del sistema como si aprendiese a hablar cualquier otro idioma distinto al nativo; o bien que el sistema tenga la capacidad de interpretar el mensaje del usuario en la lengua que este utiliza. Un humano, durante toda su vida, aprende el vocabulario de su lengua nativa o materna, siendo capaz de interpretar los mensajes, a pesar de la po-
Inteligencia artificial y derechos fundamentales
25
lisemia de las palabras, utilizando el contexto para resolver ambigüedades. Sin embargo, debe conocer los distintos significados para poder interpretar, y es por esto que lenguajes especializados y técnicos son conocidos solamente por expertos en las respectivas disciplinas. Un sistema de Inteligencia artificial se enfrenta con el mismo problema, la polisemia del lenguaje humano, su sintaxis poco estructurada y los dialectos entre grupos. Otro aspecto importante en los desarrollos en Inteligencia artificial es que son mayores en los campos disciplinares en los que existe mayor consenso entre especialistas. Un sistema experto es más probable que sea programado en física o en medicina que en sociología o en psicología. Esto se debe al problema del consenso entre especialistas en la definición de los conceptos involucrados y en los procedimientos y técnicas a utilizar. Por ejemplo, en física hay acuerdo sobre el concepto de velocidad y cómo calcularla. Sin embargo, en psicología se discuten los conceptos, la etiología, la psicopatología y cómo proceder ante cierto diagnóstico. Esto dificulta la creación de sistemas inteligentes porque siempre habrá desacuerdo sobre la forma en que debería actuar el sistema para diferentes situaciones. A pesar de esto hay grandes avances en el diseño de sistemas expertos para el diagnóstico y toma de decisiones en el ámbito médico y psiquiátrico. Pero nótese que estamos refiriendo ámbitos de ciencia, técnicos. Si imaginamos la aplicación de Inteligencia artificial a otros aspectos de la vida individual o colectiva, como por ejemplo las decisiones políticas, los resultados serían aún menos fiables, o en todo caso, muy desestructurados. Otro problema que se plantea al desarrollar Inteligencia artificial es que se corre el peligro de que la máquina interaccione con seres humanos. Si la relación de los humanos con la máquina es de tipo maestro-esclavo, y el papel de los humanos es dar órdenes y el de la máquina obedecerlas, entonces sí cabe hablar de una limitación de la autonomía de la máquina. Pero si la interacción de los humanos con la máquina es de igual a igual, entonces la máquina puede tomar sus propias decisiones, y éstas escapan al control humano. Quizás por ello manifestara Stephen Hawking que la inteligencia artificial es una amenaza para la supervivencia de la humanidad.También es posible otra interpretación, si le damos a la IA plena asimilación con el ser humano, de tal forma que tiene plena autonomía, plena capacidad de acción. ¿Cuál sería su interacción con el hombre? ¿Lo asimilaríamos a los esclavos? ¿Sería susceptible una máquina de atribución de derechos? Como puede observarse es fascinante el mundo que se abre, las posibilidades se muestran holísticamente infinitas, casi inabarcables conceptualmente, ya no sólo en su resolución o en algún atisbo de proposición, sino también en su propio planteamiento. Parece así, necesario que, junto a las posibilidades técnicas de la IA, se desarrolle un conjunto de reflexiones y normas que establezcan los límites de su uso, y singularmente se delimiten los espacios de interacción. Un debate ético al respecto de la IA es necesario por las implicaciones sociales e
26
Lucrecio Rebollo
individuales que puede tener, como la reflexión al respecto de sus usos. Es fácil caer en el catastrofismo apocalíptico al referir las posibilidades de la IA, pero sin recurrir a él, debemos ser conscientes del peligro, desde la perspectiva individual y social, que lleva implícito. Estas afirmaciones no pueden tener como resultado la simple negación, prohibición o visión de rechazo. Más bien al contrario, se debe optar por facilitar todos los desarrollos, a la vez que deben establecerse medios para el estudio y un racional encaje en nuestra ordenación social, y por tanto en el mundo normativo que aquél lleva necesariamente aparejado. El estudio y la preocupación social por estas posibilidades técnicas es indefectible, al igual que lo debe ser la implicación multidisciplinar de las ciencias. 4.
Combinación de Big data e Inteligencia artificial
Como manifiesta Will Knight 8, desde el surgimiento de la inteligencia artificial ha habido dos escuelas de pensamiento respecto a lo entendible, o explicable: Unos , creían que tenía sentido desarrollar máquinas que razonaran de acuerdo a reglas y lógica, lo que volvería transparente su funcionamiento interno para cualquiera que quisiera examinar el código; otros sentían que la inteligencia avanzaría más si las máquinas se inspiraran en la biología, y aprendieran mediante la observación y la experiencia. Esto significaba invertir la programación informática. En lugar de que un programador escribiera los comandos para resolver un problema, el programa genera su propio algoritmo en base a datos de ejemplo y el resultado deseado. Las técnicas de aprendizaje automático que evolucionaron para convertirse en los sistemas de IA más potentes de la actualidad siguieron el segundo camino: básicamente, la máquina se autoprograma. Pero en un principio este enfoque no tenía demasiadas aplicaciones, y durante las décadas de 1960 y 1970 seguía ocupando la periferia de la IA. Esta circunstancia varía de forma espectacular con la llega de la posibilidad de aplicarla a tratamiento masivos de datos. Entonces la informatización de muchas industrias y la llegada del Big data renovaron el interés. La combinación a partir de los años 90 de redes neuronales artificiales, y datos masivos, supone un nuevo punto de inflexión en la evolución tecnológica. Como sigue manifestando Will Knight, “simplemente no es posible adentrarse en las entrañas de una red neuronal profunda para comprobar cómo funciona. Su razonamiento está arraigado en el comportamiento de miles de neuronas simuladas, dispuestas en docenas o incluso cientos de capas intrincadamente interconectadas. Las neuronas de la primera capa reciben informaciones, como la intensidad de un píxel dentro de una imagen, y después realizan un cálculo antes de emitir una nueva señal. Estas señales 8 Will Knight: https://www.technologyreview.es/s/7692/el-secreto-mas-oscuro-de-lainteligencia-artificial-por-que-hace-lo-que-hace.
Inteligencia artificial y derechos fundamentales
27
alimentan las neuronas de la próxima capa de una compleja red, y así sucesivamente hasta generar un resultado final. Además, hay un proceso conocido como propagación hacia atrás que ajusta los cálculos de neuronas individuales para que la red aprenda a producir un resultado deseado” 9. Esto plantea dos graves problemas a priori: en primer lugar, la forma de controlar el algoritmo de aplicación; y uno segundo, y no menor, el resultado que se puede obtener. Respecto al primer problema, es ilustrativo traer a colación las actuaciones realizadas en 2015, por un grupo de investigadores del Hospital Monte Sinaí de Nueva York. Se partió de la pretensión de aplicar el aprendizaje profundo a la enorme base de datos de historiales médicos de todos los pacientes del hospital. Este conjunto de datos incluye cientos de variables, procedentes de los resultados de pruebas, consultas médicas y otros datos. El programa resultante, que los investigadores llamaron Deep Patient, fue entrenado con datos de alrededor de 700.000 individuos, y cuando fue probado con historiales nuevos, ofreció unos excelentes resultados de predicción médica, tanto de enfermedades físicas, como mentales. Lo más relevante, era la obtención de patrones ocultos resultantes de la aplicación de IA a la inmensa base de datos médica, lo que hace fácilmente predecible un conjunto muy amplio de enfermedades hasta ahora mortales. Pero lo más problemático del ensayo realizado, es que sus propios creadores manifiestan su desconocimiento del proceso. De forma concreta, el líder del equipo, Joel Dudley, manifestaba que “podemos elaborar estos modelos, pero no sabemos cómo funcionan”. Respecto del resultado que se puede obtener, es necesaria una reflexión algo más extensa, y a ello le dedicamos el apartado siguiente. 5.
El condicionamiento al algoritmo
Nos sometemos en nuestra vida cotidiana, y cada vez más, a los algoritmos, en principio códigos informáticos, pero cada vez más códigos de obligado cumplimiento, muy alejados de nuestra forma actual de concebir el establecimiento de normas y aún más de los fines que han guiado nuestra ordenación social. Los algoritmos observan nuestras conductas, determinan nuestros intereses, a la vez que predicen nuestras necesidades y acciones futuras, en definitiva, nos someten a un determinismo que choca frontalmente con los principios sobre los que hemos cimentado nuestra convivencia, y que en gran medida anulan la vigencia de derechos fundamentales. Un segundo problema es que la utilización de algoritmos, aun siendo en principio neutra, puede arrojar resultados contrarios al bien común o individual. Es lo que se denomina el sesgo en la utilización de la IA, es decir, un resultado no deseado y que es contrario o perjudicial para la sociedad o el Ibidem.
9
28
Lucrecio Rebollo
individuo, o en todo caso, que se aleja de la moral o la ética. Un ejemplo ilustrativo es el caso de Argentina, donde existe una gran sensibilidad respecto al embarazo de adolescentes. El Estado elaboró varios programas de actuación social. Es llamativa entre estas actuaciones, la del gobernador de Salta, Juan Manuel Urtubey, que haciendo uso de la Inteligencia artificial, encomendó a Microsoft un programa que pudiera predecir el embarazo adolescente. Más precisamente, el gobernador dijo: “Con la tecnología vos podés prever cinco o seis años antes, con nombre, apellido y domicilio, cuál es la niña, futura adolescente, que está en un 86 por ciento predestinada a tener un embarazo adolescente” 10. El algoritmo arrojaba sus predicciones en base a datos como la edad, etnia, estudios, barrio de residencia, discapacidad, país de origen y abandono de estudios. El algoritmo padecía de un claro sesgo, y replicaba un prejuicio social, asociaba embarazo en adolescentes a pobreza 11. Otro aspecto importante de la conjunción de IA y Big data proviene de las actividades de intermediarios de la información y de las redes sociales. Los dos gigantes del tratamiento de datos son en la actualidad Google y Facebook, que obtienen una ingente cantidad de datos de los servicios que ofrecen, a la vez que comercian con ellos, constituyéndose en un potentísimo conjunto de posibilidades de intervención social en todos los ámbitos, no sólo referidos a la publicidad y el comercio, sino a todos los aspectos de la vida. Téngase en cuenta que cada aplicación de Inteligencia artificial se hace sumando bases de datos, que pueden ser aleatorias o sin una conexión a priori, pero de la que se pueden obtener resultados sorprendentes y pueden convulsionar las normas básicas que conocemos. Ya no se trata únicamente del uso de datos, se trata también de la forma de pensar y actuar de los individuos, de las necesidades sociales y de cómo se buscan soluciones para satisfacerlas. Un claro ejemplo de esta conjunción nos lo muestra Pariser en su elaboración del concepto de filtro burbuja, mecanismo que emplea tanto Inteligencia artificial, como el Big data, proveniente de los buscadores y de las redes sociales, y de forma concreta de Google y Facebook. Para el autor, el filtro burbuja consiste en que internet te va personalizando, recuerda tus búsquedas y los datos de tus redes sociales, con lo cual te ofrece una oferta de información distinta a la de otra persona 12. Como manifiesta el autor, “tiende a amplificar de forma drástica el sesgo de confirmación –en cierto modo, está “El método que aplica Urtubey para predecir el embarazo adolescente” publicado en Perfil el 12 de abril de 2018. Disponible en: https://bit.ly/2D1PQcG . 11 Zuazo, N: “Algoritmos y desigualdades”. Derechos Digitales. Publicado en noviembre de 2018. Disponible en: https://bit.ly/2PWHwlX. 12 Como prueba sencilla y contundente de esta realidad puede introducirse un mismo concepto o término de búsqueda por parte de varias personas desde su propio ordenador. Los resultados serán diferentes con toda seguridad y singularmente el orden en que nos aparecen. 10
Inteligencia artificial y derechos fundamentales
29
diseñado para ello–. Es fácil y agradable recurrir a información que coincida con nuestras ideas acerca del mundo; consumir aquella que nos invite a pensar de otra manera o a cuestionar nuestras suposiciones es frustrante y arduo. Este es el motivo por el que los partidarios de una tendencia política suelen no preferir los medios de comunicación de la otra. Como consecuencia de ello, un entorno informativo construido sobre la base de señales de clic favorecerá aquellos contenidos que respalden nuestras nociones actuales referentes al mundo por encima de aquellos otros que las desafíen” 13. En esta tarea de personalización también colabora el usuario, porque le es más fácil y cómodo recibir la información que le complace, frente a la tarea de objetivar y realizar un trabajo de análisis de la información que recibe. Pero ello, a juicio de Pariser pone de manifiesto claros riesgos sociales. “La personalización puede interferir en la creatividad y la innovación de tres maneras. Primera: la burbuja de filtros limita artificialmente el tamaño de nuestro , es decir, el espacio mental en el que buscamos soluciones a los problemas. Segunda: el entorno informativo elaborado por la burbuja de filtros suele carecer de alguno de los rasgos característicos que estimulan la creatividad, una capacidad dependiente del contexto: es más probable que se nos ocurran nuevas ideas en unos entornos que en otros y, en este sentido, los contextos que crean los filtros no son los que mejor se ajustan al pensamiento creativo. Tercera: la burbuja de filtros alienta un enfoque más pasivo con respecto a la obtención de información, incompatible con la clase de exploración que conduce al descubrimiento. Cuando el umbral de tu puerta está bien provisto de contenidos de primera, hay pocas razones para salir a la calle” 14. A nuestro juicio, el mayor problema de la conjunción de IA y Big data es la incidencia social es su relación con el Derecho. Cabe preguntarse si estas nuevas reglas de ordenación de la convivencia encajan con nuestros ordenamientos jurídicos, con el Estado de Derecho y con la democracia, y singularmente con la vigencia de los derechos y libertades fundamentales. Puede afirmarse que estas nuevas tecnologías desestructuran los mecanismos, tanto individuales, como colectivos, por los que hasta ahora hemos venido organizándonos. A la vista de ello, cabe preguntarse si el Derecho se verá afectado, o en todo caso si requeriría de profundas modificaciones de adecuación, o incluso si será sustituido por otro tipo de códigos. Si bien es cierto que la tecnología determinará el curso del s. XXI, no lo es menos, que estas transformaciones deberán tener en cuenta la condición humana, y singularmente los pilares de su ordenación, entre los que destaca de forma singular el Derecho. Si bien no podemos caer en versiones apocalípticas como las que formulara Marcuse 15, es cierto que “cuando la técnica se convierte en la forma universal de producción material, delimita una cultura íntegra, PARISER, E: El filtro burbuja. Taurus. Barcelona 2017, pág. 93. Ibidem, pág. 98. 15 MARCUSE, H: El hombre unidimensional. Seix Barral, Barcelona 1969. 13 14
30
Lucrecio Rebollo
configura una totalidad histórica, un mundo”, y quizás estemos en el inicio de este proceso. Lessig afirma que son hoy los ingenieros que crean el software o los que configuran los algoritmos, los que establecen los códigos de conducta sociales, incluso afirma de forma rotunda que “el código es la ley” 16. Pero los técnicos, ya sean ingenieros, informáticos o matemáticos, se resisten a pensar que sus creaciones tienen consecuencias morales o políticas, si bien alcanzan a identificar claramente que el producto de su trabajo tiene una clara incidencia social. Quizás quien con más claridad lo afirmó es Kranzberg “la tecnología no es ni buena, ni mala, ni neutra” 17. El técnico que elabora el algoritmo persigue un objetivo concreto, en la mayoría de las ocasiones es una pretensión comercial, en otras de reconducción social. A veces, es consciente de los cambios que su aplicación introducirá, pero no es su objetivo principal, lo entenderá como una consecuencia colateral, y con toda seguridad se autoafirmará en que no le compete a él paliar las deficiencias o distorsiones que ello pueda generar. Es muy probable incluso, que parta de la idea de que su finalidad es técnica y beneficiosa para el individuo o la sociedad, y tendrán que ser otros, el Estado, el legislador, el libre mercado, la moral, la ética, quienes introduzcan las correcciones necesarias. Este planteamiento en el que se sustenta toda avance tecnológico, es irreprochable, puesto que nuestra sociedad está configurada así, y aunque parezca duro de asimilar, la sociedad actual lo tiene asumido. Utilicemos un ejemplo: Cuando Ford desarrolló la industria del automóvil, a principios del s. XX, no se planteaba que estos producirían un ingente número de muertos diarios, o si su uso interfiriera de forma negativa en el medio ambiente, tanto por la fabricación, como por la contaminación que generan. Han sido los Estados los que, ante la problemática, han ido estableciendo mecanismos para paliar estas consecuencias, y que van desde un código de circulación con carácter universal, hasta un sinfín de medidas de seguridad y de prevención, y también limitación de las emisiones. Hoy todos los fabricantes de vehículos exaltan un alto número de bondades de su producto, entre las que destacan los bajos niveles de contaminación, o la protección que ofrece al usuario, incluso resaltan las sensaciones que produce la conducción de sus vehículos, pero no es la finalidad principal de su actividad, y sí lo es vender el producto de su trabajo. En idéntica línea de ejemplo se podría hablar de la informática, la telefonía móvil, la tecnificación de los materiales para la guerra y un largo etc. En resumen, quien genera el algoritmo lo hace atendiendo a una finalidad, y no le determinan en su generación las aplicaciones y consecuencias que puede tener respecto del individuo o la sociedad. Son otros los que de LESSIG, L: Code. New York. Bassic Books, 2006. KRANZBERG, M: “Technology and history”. Technology and Culture, 27 nº 3 de 1986, páginas 544 a 560. 16 17
Inteligencia artificial y derechos fundamentales
31
ben velar por los efectos de su aplicación o las disfuncionalidades que pueden generar. Entra así el algoritmo, y por extensión la IA, en el campo del Derecho y las funcionalidades del Estado.
CAPÍTULO II SOCIEDAD DIGITAL Y DERECHOS FUNDAMENTALES
1.
Delimitación del concepto de Derechos digitales
Toda actividad normativa tiene por primer objetivo delimitar su campo de actuación, constatar una necesidad que justifique su existencia, y por último, proponer soluciones. Para concretar la primera actuación suele recurrirse a una denominación lo más amplia y comprensiva posible del objeto de la nueva regulación. Así ocurre al respecto de las aplicaciones tecnológicas, en las que hay una pretensión delimitadora del campo de actuación, representativa de la problemática y con una pretensión de conjunto. El término escogido por el legislador tanto nacional, como europeo, es el de derechos digitales. Se traspasa así al mundo del Derecho las denominaciones ya existentes de sociedad digital, entorno digital, ciudadanía digital, mundo digital y un sinfín de sustantivos al que se le añade el citado adjetivo. Sin ánimo de ser exhaustivos, Europa se ha puesto de forma muy reciente manos a la obra en la regulación de este mundo digital, seguida, como no puede ser de otra forma, de las mismas pretensiones por parte de los Estados miembros. En 2021 la Comisión Europea publica la Brújala Digital Europea, documento que tiene por objeto hacer realidad las ambiciones digitales de la UE para 2030, donde se establecen cuatro objetivos: 1. Ciudadanos con capacidades digitales y profesionales del sector digital altamente cualificados, estableciendo además que para la cita fecha, el 80% de todos los adultos deberían tener competencias digitales básicas. 2. Infraestructuras digitales seguras, eficaces y sostenibles. 3. Transformación digital de las empresas. 4. Digitalización de los servicios públicos. También en 2021, el Gobierno de España publica la Carta de Derechos Digitales que, a pesar de no tener carácter normativo, supone una clara pre-
34
Lucrecio Rebollo
tensión de regulación futura. En el mismo rango de ejecutividad hay que referenciar la Declaración Europea Sobre los Derechos y Principios Digitales para la Década Digital, proclamada por el Parlamento Europeo, el Consejo y la Comisión, en enero de 2022. Como indica su Preámbulo, quiere ser el referente para los ciudadanos, los Estados y las empresas, en el contexto de transformación digital. Parece claro que en nuestro ámbito geográfico se ha determinado con nitidez el objetivo político de los próximos años, y que no es otro que impulsar una sociedad digital, es decir, un mundo que integre en todos los aspectos del individuo y la sociedad, los avances tecnológicos, y que este proceso se lleve a cabo con celeridad, y singularmente realizando la integración de forma natural y sin que se produzcan disrupciones. En ambos textos se incluye la IA como elemento referencial en integrante del concepto digital, y de forma más concreta en la genérica denominación de derechos digitales. Se hace necesario, por tanto, delimitar en primer lugar, qué se entiende por derechos digitales, en la idea de que es imprescindible establecer el concepto y el contenido de lo que es objeto de estudio. El concepto Derechos digitales goza de gran predicamento en los ámbitos políticos y doctrinales. Se presenta como el término más avanzado en el campo jurídico, y se le atribuye un áurea de novedad y singularidad excepcionales. Pero desde un análisis reposado y desnudo de pretensiones o ideología, el concepto se muestra vacío, cuando no netamente equívoco. Pudiera parecer que es un nuevo conjunto de derechos que vienen a paliar las deficiencias de los sistemas jurídicos vigentes, para lo que hay que anular su denominación, por ser ya caducos u obsoletos. Es un claro ejemplo de la actual corriente social donde las palabras empañan y desdibujan la realidad, y que confunden hasta al observador más objetivo. Por ello estimo conveniente en esta obra, dedicar un apartado a esta denominación tan novedosa. Cabe preguntarse si este nuevo concepto de Derechos digitales se incluye en el conjunto que conocemos como derechos fundamentales y libertades públicas, también nos podemos preguntar si los sustituyen o complementan, o incluso si vienen provistos de mecanismos específicos de protección. Podemos seguir preguntándonos, si este conjunto de derechos tiene un contenido esencial distinto, igual, o parecido a los derechos fundamentales, y cómo se relacionan o incardinan en éstos. También cabría la posibilidad de interrogarse de si nos encontramos ante una nueva era en los derechos o ante una nueva generación de derechos. Cabe responder de forma genérica a todos estos interrogantes con un no rotundo. El Derecho sigue siendo una fórmula de solventar conflictos sociales y opera bajo los mecanismos de siempre, es decir, en base a principios que tienen como fin el bien común, y que se insertan en un conjunto estructurado, al que denominamos ordenamiento jurídico. A priori pareciera que es un conjunto de derechos completamente novedoso y vienen a paliar nuevas necesidades sociales o individuales y que
Inteligencia artificial y derechos fundamentales
35
por ello requieren su inclusión obligatoria en las constituciones. El Preámbulo de la LO 3/2018 18, manifiesta que “en una deseable futura reforma de la Constitución debería incluir entre sus prioridades la actualización de la Constitución a la era digital y, especialmente, elevar a rango constitucional una nueva generación de derechos digitales”. Tan pomposo pronunciamiento de voluntad queda degradado en la misma norma, que no otorga el carácter de orgánica a la mayoría de los artículos 79 a 97 19, y que es donde se incluyen los denominados derechos digitales. Es esto o una clara muestra de mala técnica legislativa, o de una menor relevancia del contenido regulado, lo que casa mal con la pretensión de incluir a estos derechos en la Constitución. Igual valoración puede utilizarse respecto de la Carta de Derechos Digitales aprobada por el Gobierno de España con fecha 14 de julio de 2021, puesto que carece de valor jurídico, ubicándose en un documento de mero carácter programático, y también de la Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital 20, que recopila contenidos de la Declaración de Tallín, de Berlín, y Lisboa. Todas ellas sin exigibilidad jurídica. No puede restarse valor a estas declaraciones, pero tampoco sobrevalorarlas. Con ellas se muestra una tendencia, una pretensión, no se determina su plasmación ejecutiva, ni tampoco puede apreciarse cómo se articularán o insertarán en los distintos ordenamientos jurídicos, y más desconocido aún, es su eficacia. Puede afirmarse que son todas ellas una clara constatación de las nuevas necesidades jurídicas, del camino a seguir en la regulación, pero estamos lejos de palpar su concreción y funcionalidad, y singularmente como se incardinarán en los distintos ordenamientos jurídicos. A mi juicio, no supondrán una regulación ex novo, sino que habrán de integrarse en la vigente regulación europea y la de cada uno de los ordenamientos jurídicos de los Estados miembros, acomodándose como singularizaciones de los derechos consolidados en nuestras constituciones, y singularmente, en sus mecanismos de garantía. El concepto Derechos digitales viene a referir una evidente preocupación por las transformaciones digitales y las implicaciones sobre los derechos fundamentales, generando una clara confusión jurídica. De esta forma se aglutinan en un conjunto heterogéneo, pretensiones, facultades del individuo, derechos y derechos fundamentales. No pueden tener la misma delimitación jurídica, o importancia, una simple facultad, como es el derecho a la portabilidad de datos, que el derecho a la neutralidad de internet. En otras ocasiones se adjetiva como digitales verdaderos derechos fundamentales, siendo en realidad una manifestación o extensión de estos, como ocurre con el derecho a la intimidad, a la educación, o el derecho a la información. Párrafo final del apartado IV. Disposición final primera. 20 Comisión Europea, 26/01/2022. 18 19
36
Lucrecio Rebollo
Sin obviar las profundas transformaciones sociales que han devenido en el ámbito social y jurídico como consecuencia de la evolución tecnológica, es conveniente delimitar los conceptos, y singularmente clarificarlos, pues ello facilita su entendimiento, y nos hace arrancar en la investigación de postulados jurídicamente acertados. El término derechos digitales en puridad lo que hace es aglutinar un conjunto de facultades y derechos relacionados con un nexo común, podría incluso decirse que tienen una finalidad común. Todos ellos intentan dar soluciones jurídicas a nuevas necesidades surgidas de la sociedad digital. No es discutible su necesidad, pero es imprescindible clarificar su catalogación jurídica, su relevancia y su alcance, en definitiva, determinar cómo van a integrarse en los ordenamientos jurídicos existentes. Parece más lógico ir acomodando estas nuevas necesidades jurídicas y sociales a los derechos fundamentales ya ampliamente reconocidos y garantizados, expandiendo su contenido esencial y afinando en los medios y procedimientos de garantía. También parece que se acomode mejor esta pretensión con el desarrollo y evolución de los derechos fundamentales. Toda novedad conlleva en su inicio un cierto grado de incertidumbre, de imprecisión, a la que siempre se suman intereses diversos y limitaciones de encaje o clasificación. Como hemos visto, el concepto de derechos digitales es impreciso y encaja de forma poco convincente en los ordenamientos jurídicos actuales. Pese a la importancia de estos derechos, no parece que contengan la fuerza suficiente para adquirir plena autonomía o una clara diferenciación de los ya reconocidos. Parece más adecuado ir insertándolos en la estructura vigente, adecuándolos a los derechos y libertades reconocidos. También puede utilizarse una aplicabilidad específica, es decir, que en un entorno novedoso como es la sociedad digital, deberán ir estableciéndose mecanismos que reconozcan y garanticen los derechos y libertades en este contexto. Sería así más propio denominarlos derechos y libertades en el entorno digital, o de la sociedad digital. No va a surgir un nuevo derecho a la intimidad, a la libertad, o de información, éstos ya existen, y lo necesario es adecuarlos a las nuevas necesidades, utilizando para ello el inmenso esfuerzo realizado por la sociedad para su reconocimiento y garantía. Esta tarea parece más lógica y adecuada que articular un nuevo grupo de derechos, o en todo caso, se ajusta mejor a una finalidad de eficacia, que el mero agrupamiento de facultades o especificidades en su ejercicio. La Carta de Derechos Digitales elaborada por el Gobierno de España y publicada en julio de 2021, apunta parcialmente a esta solución, cuando en su apartado XXV. 4 establece que “Los poderes públicos evaluarán las leyes administrativas y procesales vigentes a fin de examinar su adecuación al entorno digital y propondrán en su caso la realización de reformas operativas en garantía de los derechos digitales”. Hemos afirmado que la intencionalidad es parcial, puesto que se refiere únicamente a normas administrativas y procesales, cuando en realidad debería haberse referido de forma más genérica, por ejemplo, remitiendo a
Inteligencia artificial y derechos fundamentales
37
todo el ordenamiento jurídico, en el que se incluye también a la Constitución, dado que habrá que ampliar las delimitaciones de los derechos y sus garantías. Parece claro que tenemos delimitado el concepto y el objeto de estudio, que vienen determinados por un fuerte impulso político y que no es otro que el de la sociedad digital. Esta nueva realidad necesita incorporar un conjunto de reglas que estructuren y ordenen su desenvolvimiento, y a ello se le denomina Derechos digitales, lo que no significa que refiramos nuevos derechos, y sí que se introducen modificaciones o adecuaciones sobre los ya existentes. En definitiva, se trata de una migración de un mundo analógico a otro digital, donde el Derecho es también objeto de la traslación. Esta nueva realidad digital se compone de un innumerable conjunto de correlaciones, siendo nuestro objeto de estudio un aspecto concreto de ella, la Inteligencia artificial 2.
Normativa y proyectos jurídicos al respecto de la inteligencia artificial
En 2017, el Consejo Europeo instó a “concienciarse de la urgencia de hacer frente a las nuevas tendencias, lo que comprende cuestiones como la inteligencia artificial [...], garantizando al mismo tiempo un elevado nivel de protección de los datos, así como los derechos digitales y las normas éticas”. En sus Conclusiones de 2019 relativas al Plan Coordinado sobre la Inteligencia Artificial, el Consejo de la Unión Europea destacó la importancia de garantizar el pleno respeto de los derechos de los ciudadanos europeos y pidió que se revisase la legislación pertinente en vigor con vistas a garantizar su adaptación a las nuevas oportunidades y retos que plantea la IA. Asimismo, el Consejo Europeo ha pedido que se defina con claridad qué usos de la IA deben considerarse de alto riesgo. Las Conclusiones posteriores, del 21 de octubre de 2020, instaban además a afrontar la opacidad, la complejidad, el sesgo, cierto grado de imprevisibilidad y un comportamiento parcialmente autónomo de ciertos sistemas de IA, para garantizar su compatibilidad con los derechos fundamentales y facilitar la aplicación de las normas jurídicas. El Parlamento Europeo también ha llevado a cabo una gran labor en el ámbito de la IA. En octubre de 2020, aprobó una serie de resoluciones relativas a la IA sobre cuestiones como la ética, la responsabilidad civil y los derechos de propiedad intelectual. En 2021, a estas les siguieron diversas resoluciones sobre el uso de la IA en el ámbito penal y en los sectores educativo, cultural y audiovisual. La Resolución del Parlamento Europeo sobre un marco de los aspectos éticos de la Inteligencia artificial, la robótica y las tecnologías, conexas recomienda específicamente a la Comisión que proponga medidas legislativas para aprovechar las oportunidades y los beneficios de la IA, sin dejar de garantizar la protección de los principios éticos. La Resolución incluye el texto para una propuesta legislativa de Reglamento sobre
38
Lucrecio Rebollo
principios éticos para el desarrollo, la implementación y el uso de la Inteligencia artificial, la robótica y las tecnologías conexas. Desde 2019 la Comisión Europea venía manifestando la necesidad de comenzar el estudio y desarrollo de una normativa sobre Inteligencia artificial. Esto se plasmó en el compromiso político de la presidenta Von der Leyen, que en sus orientaciones políticas para la Comisión 2019-2024, tituladas «Una Unión que se esfuerza por lograr más resultados», anunció que la Comisión presentaría propuestas de legislación para un enfoque europeo coordinado sobre las implicaciones éticas y humanas de la IA. Tras dicho anuncio, el 19 de febrero de 2020 la Comisión publicó el Libro Blanco sobre la Inteligencia artificial: “Un enfoque europeo orientado a la excelencia y la confianza”. En él se delimitan las opciones existentes para alcanzar el doble objetivo de promover la adopción de la IA y de abordar los riesgos vinculados a determinados usos de esta nueva tecnología. En definitiva, desarrollar un ecosistema de confianza mediante la proposición de un marco jurídico destinado a lograr que la IA sea fiable. De esta forma, y como se manifiesta en la propuesta “se basa en los valores y derechos fundamentales de la UE y tiene por objeto inspirar confianza en los ciudadanos y otros usuarios para que adopten soluciones basadas en la IA, al tiempo que trata de animar a las empresas a que desarrollen este tipo de soluciones. La IA debe ser un instrumento para las personas y una fuerza positiva en la sociedad, y su fin último debe ser incrementar el bienestar humano. En consecuencia, las normas relativas a la IA presente en el mercado de la Unión o que afecte de algún modo a sus habitantes deben estar centradas en las personas, a fin de que la población tenga la seguridad de que la tecnología se usa de un modo seguro y en consonancia con la ley, lo que también implica respetar los derechos fundamentales”. En 2021, el Parlamento Europeo y el Consejo publican su Propuesta por la que se establecen normas armonizadas en materia de Inteligencia Artificial (Ley de Inteligencia artificial) y se modifican determinados actos legislativos de la Unión 21. La propuesta responde asimismo a peticiones explícitas del Parlamento Europeo y el Consejo Europeo, que han solicitado en repetidas ocasiones que se adopten medidas legislativas para garantizar el buen funcionamiento del mercado interior de los sistemas de Inteligencia artificial y que en la Unión se aborden apropiadamente las ventajas y los riesgos que conlleva. Respalda el objetivo de que la Unión sea un líder mundial en el desarrollo de Inteligencia artificial segura, digna de confianza y ética. En este contexto político, la Comisión propone un marco reglamentario sobre Inteligencia artificial con los siguientes objetivos específicos: 21 File:///F:/Inteligencia%20artificial%20y%20Derechos%20Fundamentales/Documentos/Proyecto%20de%20Reglamento%20UE%202021.htm
Inteligencia artificial y derechos fundamentales
39
•
garantizar que los sistemas de IA introducidos y usados en el mercado de la UE sean seguros y respeten la legislación vigente en materia de derechos fundamentales y valores de la Unión;
•
garantizar la seguridad jurídica para facilitar la inversión e innovación en IA;
•
mejorar la gobernanza y la aplicación efectiva de la legislación vigente en materia de derechos fundamentales y los requisitos de seguridad aplicables a los sistemas de IA;
•
facilitar el desarrollo de un mercado único para hacer un uso legal, seguro y fiable de las aplicaciones de IA y evitar la fragmentación del mercado.
Como el propio Proyecto manifiesta, para alcanzar estos objetivos, se pretende “un enfoque normativo horizontal, equilibrado y proporcionado, para la IA, que se limita a establecer los requisitos mínimos necesarios para subsanar los riesgos y problemas vinculados a la IA, sin obstaculizar ni impedir indebidamente el desarrollo tecnológico y sin aumentar de un modo desproporcionado el coste de introducir soluciones de IA en el mercado”. La propuesta establece un marco jurídico sólido y flexible. Por un lado, las opciones reglamentarias fundamentales que plantea, incluidos los requisitos basados en principios que deben cumplir los sistemas de IA, son amplias y pueden resistir el paso del tiempo. Por otro lado, establece un sistema regulatorio proporcionado centrado en un enfoque normativo basado en los riesgos y claramente definido que no impone restricciones innecesarias al comercio, en el que la intervención jurídica se adapta a aquellas situaciones concretas en las que existe un motivo de preocupación justificado o en las que es posible anticipar razonablemente que se producirá un problema en un futuro próximo. Al mismo tiempo, el marco jurídico incluye mecanismos flexibles que le permiten adaptarse de manera dinámica a medida que evoluciona la tecnología y surgen nuevas situaciones preocupantes. La propuesta establece normas armonizadas para el desarrollo, la introducción en el mercado y la utilización de sistemas de IA en la Unión a partir de un enfoque proporcionado basado en los riesgos. También propone una definición única de la IA que puede resistir el paso del tiempo. Asimismo, prohíbe determinadas prácticas particularmente perjudiciales de IA por ir en contra de los valores de la Unión y propone restricciones y salvaguardias específicas en relación con determinados usos de los sistemas de identificación biométrica remota. La propuesta establece una sólida metodología de gestión de riesgos para definir aquellos sistemas de IA que plantean un “alto riesgo” para la salud y la seguridad o los derechos fundamentales de las personas. Dichos sistemas de IA tendrán que cumplir una serie de requisitos horizontales obligatorios que garanticen su fiabilidad y ser sometidos a procedimientos de evaluación de la conformidad antes de poder introducirse
40
Lucrecio Rebollo
en el mercado de la Unión. Del mismo modo, se imponen obligaciones previsibles, proporcionadas y claras a los proveedores y los usuarios de dichos sistemas, con el fin de garantizar la seguridad y el respeto de la legislación vigente, protegiendo los derechos fundamentales durante todo el ciclo de vida de los sistemas de IA. Las normas propuestas se aplicarán mediante un sistema de gobernanza a escala de los Estados miembros, el cual aprovechará las estructuras ya existentes, y también por medio de un mecanismo de cooperación a escala de la Unión con el que se establecerá un Comité Europeo de Inteligencia Artificial. Además, se proponen medidas adicionales para impulsar la innovación, en particular a través de espacios controlados de pruebas para la IA y otras medidas encaminadas a reducir la carga normativa y a respaldar a las pequeñas y medianas empresas (pymes) y las empresas emergentes. El proyecto viene a paliar la necesidad de una norma a nivel europeo que precise de forma clara los límites necesarios en el uso de la IA, y que habilite mecanismos de control, con el objetivo de salvaguardar los derechos fundamentales de los ciudadanos de la UE, a la vez que ello sea compaginable con el desarrollo de una actividad comercial cada vez más tecnificada. Determina la estructura de la propuesta normativa la clasificación que se realiza de la IA. De esta forma se establecen dos grandes grupos: uno primero relativo a las prácticas de IA prohibidas; y otro segundo, relativo a los sistemas de alto riego, en los que se determina además de su clasificación, los requisitos de ejercicio. Los analizamos por separado.
2.1. Prácticas de inteligencia artificial prohibidas Lo más destacable del Proyecto se centra en la clasificación que se realiza de las actividades de IA. De esta forma se establecen varias categorías de riego, que llevan aparejadas unas delimitaciones concretas. El art. 5 establece las prácticas de IA prohibidas, que concreta en las siguientes: a) La introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA que se sirva de técnicas subliminales que trasciendan la conciencia de una persona para alterar de manera sustancial su comportamiento de un modo que provoque o sea probable que provoque perjuicios físicos o psicológicos a esa persona o a otra. b) La introducción en el mercado, la puesta en servicio o la utilización de un sistema de IA que aproveche alguna de las vulnerabilidades de un grupo específico de personas debido a su edad o discapacidad física o mental para alterar de manera sustancial el comportamiento de una persona que pertenezca a dicho grupo de un modo que pro-
Inteligencia artificial y derechos fundamentales
41
voque o sea probable que provoque perjuicios físicos o psicológicos a esa persona o a otra. c) La introducción en el mercado, la puesta en servicio o la utilización de sistemas de IA por parte de las autoridades públicas o en su representación con el fin de evaluar o clasificar la fiabilidad de personas físicas durante un período determinado de tiempo atendiendo a su conducta social o a características personales o de su personalidad conocidas o predichas, de forma que la clasificación social resultante provoque una o varias de las situaciones siguientes: i) un trato perjudicial o desfavorable hacia determinadas personas físicas o colectivos enteros en contextos sociales que no guarden relación con los contextos donde se generaron o recabaron los datos originalmente; ii) un trato perjudicial o desfavorable hacia determinadas personas físicas o colectivos enteros que es injustificado o desproporcionado con respecto a su comportamiento social o la gravedad de este. d) El uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público con fines de aplicación de la ley, salvo y en la medida en que dicho uso sea estrictamente necesario para alcanzar uno o varios de los objetivos siguientes: i)
la búsqueda selectiva de posibles víctimas concretas de un delito, incluidos menores desaparecidos;
ii) la prevención de una amenaza específica, importante e inminente para la vida o la seguridad física de las personas físicas o de un atentado terrorista; iii) la detección, la localización, la identificación o el enjuiciamiento de la persona que ha cometido o se sospecha que ha cometido alguno de los delitos mencionados en el artículo 2, apartado 2, de la Decisión Marco 2002/584/JAI del Consejo, para el que la normativa en vigor en el Estado miembro implicado imponga una pena o una medida de seguridad privativas de libertad cuya duración máxima sea al menos de tres años, según determine el Derecho de dicho Estado miembro. El apartado 2 del artículo que venimos citando, también prohíbe “El uso de sistemas de identificación biométrica remota en tiempo real en espacios de acceso público con fines de aplicación de la ley para conseguir cualquiera de los objetivos mencionados en el apartado 1, letra d), tendrá en cuenta los siguientes aspectos:
42
Lucrecio Rebollo
a) la naturaleza de la situación que dé lugar al posible uso, y en particular la gravedad, probabilidad y magnitud del perjuicio que se produciría de no utilizarse el sistema; b) las consecuencias que utilizar el sistema tendría para los derechos y las libertades de las personas implicadas, y en particular la gravedad, probabilidad y magnitud de dichas consecuencias”. Como puede apreciarse, la regulación pretende ser contundente, pero a la vez es inespecífica. Traza con claridad el objetivo, pero no delimita con precisión los mecanismos para contrastarlo, siendo este un aspecto capital en IA. La prohibición se alimenta claramente de un sustrato de la regulación europea y de los Estados miembros en lo relativo a la dignidad humana, y una clara y larga vigencia de los derechos fundamentales, pero adolece de medios prácticos de verificación. Es una regulación de resultado, no de garantía en el proceso de aplicación. No deben entenderse estas afirmaciones como reproche, al contrario, la regulación es pionera y sustantiva, pero requerirá de medios aplicativos prácticos, de entrar en materia concreta y delimitar de forma más precisa los procesos. Téngase en cuenta que la prohibición al respecto de estas técnicas es absoluta, por lo que será necesario un mayor grado de determinación jurídica.
2.2. Sistemas de alto riesgo El art. 6 establece las reglas para la clasificación de un sistema de IA como de alto riesgo: 1. Un sistema de IA se considerará de alto riesgo cuando reúna las dos condiciones que se indican a continuación, con independencia de si se ha introducido en el mercado o se ha puesto en servicio sin estar integrado en los productos que se mencionan en las letras a) y b): a) el sistema de IA está destinado a ser utilizado como componente de seguridad de uno de los productos contemplados en la legislación de armonización de la Unión que se indica en el anexo II, o es en sí mismo uno de dichos productos; b) conforme a la legislación de armonización de la Unión que se indica en el anexo II, el producto del que el sistema de IA es componente de seguridad, o el propio sistema de IA como producto, debe someterse a una evaluación de la conformidad realizada por un organismo independiente para su introducción en el mercado o puesta en servicio. Por su parte el art. 9 establece la obligatoriedad de establecer, implantar, documentar y mantener un sistema de gestión de riesgos asociado a los sistemas de IA de alto riesgo. Ello se materializa en un proceso interactivo continuo que se llevará a cabo durante todo el ciclo de vida de un sistema de
Inteligencia artificial y derechos fundamentales
43
IA de alto riesgo, el cual requerirá actualizaciones sistemáticas periódicas. Constará de las siguientes etapas: a) la identificación y el análisis de los riesgos conocidos y previsibles vinculados a cada sistema de IA de alto riesgo; b) la estimación y la evaluación de los riesgos que podrían surgir cuando el sistema de IA de alto riesgo en cuestión se utilice conforme a su finalidad prevista y cuando se le dé un uso indebido razonablemente previsible; c) la evaluación de otros riesgos que podrían surgir a partir del análisis de los datos recogidos con el sistema de seguimiento posterior a la comercialización al que se refiere el artículo 61; d) la adopción de medidas oportunas de gestión de riesgos con arreglo a lo dispuesto en los apartados siguientes. A la hora de determinar cuáles son las medidas de gestión de riesgos más adecuadas, se procurará: a) eliminar o reducir los riesgos en la medida en que sea posible mediante un diseño y un desarrollo adecuados; b) implantar, cuando proceda, unas medidas de mitigación y control apropiadas en relación con los riesgos que no puedan eliminarse; c) proporcionar la información oportuna conforme al artículo 13, en particular en relación con los riesgos mencionados en el apartado 2, letra b), del presente artículo y, cuando proceda, impartir formación a los usuarios. Cuando se eliminen o reduzcan los riesgos asociados a la utilización del sistema de IA de alto riesgo, se tendrán en la debida consideración los conocimientos técnicos, la experiencia, la educación y la formación que se espera que posea el usuario, así como el entorno en el que está previsto que se utilice el sistema. Además de ello, los sistemas de IA de alto riesgo serán sometidos a pruebas destinadas a determinar cuáles son las medidas de gestión de riesgos más adecuadas. Dichas pruebas comprobarán que los sistemas de IA de alto riesgo funcionan de un modo adecuado para su finalidad prevista y cumplen los requisitos establecidos. Como fácilmente puede apreciarse, la propuesta normativa que analizamos se constituye en un avance necesario y útil en una primera normativa sobre IA. No cabe la menor duda de que esta regulación requerirá de medios efectivos de desarrollo, incluso que pronto se vea sobrepasada por las posibilidades técnicas, pero tiene un indefectible valor de contextualización normativa, de regulación básica, de sustrato común de una regulación in extenso. Una vez que esté aprobado el Reglamento europeo veremos cómo se encaminan las diversas regulaciones nacionales. A fecha de cerrar este estu-
44
Lucrecio Rebollo
dio 22, la única normativa española que recoge disposiciones relativas al uso o aplicaciones de IA es la Ley 15/2022, integral para la igualdad de trato y no discriminación. De forma concreta su art. 23.1 obliga a las Administraciones públicas a favorecer “la puesta en marcha de mecanismos para los algoritmos involucrados en la toma de decisiones que se utilicen en las Administraciones públicas tengan en cuenta criterios de minimización de sesgos, transparencia y rendición de cuentas, siempre que sea factible técnicamente…”. Para lo que se establece la obligatoriedad de realización de una evaluación de impacto que determine el posible sesgo discriminatorio. También se pretende que las Administraciones públicas prioricen la transparencia en el diseño y la implementación (art. 23.3), para lo que se establece la creación de un sello de calidad de los algoritmos (art. 23.4), para finalizar con el mandato a las Administraciones públicas y empresas de promover el uso de una IA “ética, confiable y respetuosa con los derechos fundamentales…”. Es sin duda un acierto, que una norma específica para promover la igualdad de trato y la no discriminación, dedique parte de su contenido a un ámbito tan esencial de regulación como es la IA, máxime cuando uno de los efectos negativos del uso de la IA se concreta precisamente en el sesgo o la discriminación. Como podemos apreciar, prácticamente en un lustro hemos pasado de recopilar principios éticos al respecto de la IA, a empezar a plasmar en normas jurídicas, con todo su valor normativo y ejecutivo, disposiciones al respecto de ella. Esta es una circunstancia novedosa, me refiero al espacio temporal entre la posibilidad técnica y la realidad aplicativa de la norma, que fuerza a ésta a la misma celeridad. Ha sido una característica secular del Derecho hacerse efectivo mucho tiempo después de que su necesidad se constatara y esta es una modificación muy reciente, el vertiginoso desarrollo de la tecnología ha obligado a acortar los tiempos de forma muy sustantiva al Derecho, lo que mejora su finalidad y lo hace más útil, se adecua mejor al concepto originario del Derecho como forma de solventar los conflictos sociales en aras del bien común. El art. 23 de la Ley 15/2022 nos pone en lo nuclear de lo que será a partir de ahora un elemento necesario en toda regulación genérica de los derechos digitales, y de forma concreta en IA, el control de transparencia, tanto en el software público como privado, y a este análisis dedicamos el siguiente apartado. 3.
Control de transparencia en el desarrollo y uso de software público y privado
En una entrevista ofrecida al diario El País 23, la Secretaría de Estado de Digitalización e Inteligencia Artificial, anunciaba la creación de la Estrategia Principios de 2023. De 21 de febrero de 2020.
22 23
Inteligencia artificial y derechos fundamentales
45
Nacional de Inteligencia artificial, en la que, con el característico leguaje político, se venía a singularizar la Inteligencia artificial española con la siguiente expresión: “Necesitamos una estrategia de IA made in Spain, aprender de los mejores en aquellos ámbitos en los que son buenos, pero debemos tener una posición diferencial. Y una de estas posiciones únicas y diferenciales, para mí, es la importancia que le vamos a dar a los derechos de los ciudadanos. Esta parte del humanismo tecnológico yo todavía no la he visto reflejada en ninguna estrategia nacional”. Finaliza la entrevista anunciando que se lanzará un plan Nacional de Habilidades Digitales, así como que se dará especial importancia a la digitalización de la Administración. Todos estos proyectos cabe enmarcarlos de forma más adecuada en un programa electoral o en un discurso de investidura de un Presidente de Gobierno, que en el plan de actuación de la nueva Secretaría de Estado. Aún, restando siempre el pomposo lenguaje político, y la clara inconcreción de los futuribles, cuesta creer que ningún Estado pretenda singularizarse en el ámbito del desarrollo de la IA. De igual forma, es perturbador entender que se pretenda una IA “única y diferencial” en un país en el que no alcanzamos unos niveles medios de digitalización, ni en la mayoría de la población, ni en el ámbito empresarial, y menos aún en la Administración pública. Pero como las circunstancias de la vida siempre son casuales, la pandemia del COVID-19 ha requerido de la actuación de los poderes públicos, con objeto de desarrollar aplicaciones que pueden facilitar la limitación de contagios. Con este objetivo surge la aplicación realizada por la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) denominada Radar COVID, y que ha sido desarrollada en colaboración con Indra Sistemas, S.A. La aplicación se lanzó en Google Play el 29 de junio de 2020, y se inició una prueba piloto en La Gomera. Tras analizar los resultados de esta, que fueron considerados positivos, la SEDIA ha puesto la aplicación a disposición de todos los españoles, supeditada a su previa integración por parte de los servicios de salud de las Comunidades Autónomas. Muy poco, o casi nada, se sabía de su funcionamiento, ni los códigos, las implimentaciones que tiene y los datos del usuario que utiliza. Quizás por ello un grupo de académicos han puesto de manifiesto su preocupación por esta y por otras aplicaciones creadas por los poderes públicos 24. En definitiva, el alto nivel de conciencia de los ciudadanos europeos y españoles al respecto del uso de los datos, demanda de los poderes públicos un muy alto grado de transparencia en la utilización de Inteligencia artificial y en el uso de los datos, circunstancia a la que le cuesta enormemente ajustarse a las Administraciones públicas, pero es obligación ineludible de éstas, en garantía del cumplimento de los derechos y libertades fundamentales. A pesar del elevado coste económico, y la firme pretensión de la Administración por su implantación, el uso de la aplicación
24 Manifiesto en favor de la transparencia en desarrollos de software públicos. Puede consultarse el texto íntegro del manifiesto en https://transparenciagov2020.github.io/#firmas
46
Lucrecio Rebollo
fracasó estrepitosamente debido a la desconfianza del ciudadano, y a pesar de lo loable de su finalidad. Otro ejemplo en el que interviene la Administración pública, y que es algo más alentador en principio, es el que se da en relación con el control de la empresa privada. La Comisión Nacional de los Mercados y la Competencia (CNMC) inició hace años un seguimiento al portal inmobiliario Idealista, a la red de agencias Look&Find, a CDC Franquiciadora Inmobiliaria, a Witei Solutions; y a Servicio Múltiple de Exclusivas Inmobiliarias SL (MLS) por alterar los precios del mercado de la vivienda. No está claro si lo hizo por una denuncia o de oficio, pero el caso es que las averiguaciones se han traducido en un expediente abierto con fundamento en “la fijación, directa o indirecta de precios y otras condiciones comerciales de la intermediación inmobiliaria con particular incidencia en la vivienda residencial”. Idealista es la mayor plataforma de búsqueda de viviendas en toda España, es un portal tanto de compraventa, como de alquiler, donde se publican cada día más de un millón de anuncios de inmuebles. La investigación de la CNMC no coloca la alteración de precios en el panel de anuncios, sino en los algoritmos y software que comercializa la empresa para agencias inmobiliarias. El organismo considera que las prácticas realizadas a través de estas herramientas digitales por las empresas investigadas se traducían en un encarecimiento de los productos que comercializaban. En los próximos meses los técnicos de la CNMC determinarán el alcance de su investigación, que ha analizado conductas a nivel local, regional y nacional, y se centra en el software utilizado para la gestión de carteras inmobiliarias, y de forma más concreta, en los algoritmos de estas plataformas, como la posible causa de la alteración de precios. La CNMC centra sus investigaciones tanto en el software de las franquicias y agencias, como en “algoritmos que han tenido especial relevancia en la conducta ilícita que se investiga”. La función básica de los algoritmos en las plataformas digitales es el cruce de datos para ofrecer resultados en función de distintos criterios (ciudades, distritos, tipo de vivienda ...) que introducen usuarios y clientes. La investigación en sí misma ya supone un salto adelante del organismo de vigilancia, ya que es la primera vez que incoa un expediente contra empresas por el uso de algoritmos, una herramienta común en el funcionamiento de plataformas digitales y orientadas a servicios de transportes, turismo, comercio, publicidad, etc. En este caso, el funcionamiento del software y el algoritmo tenía como resultado un aumento del precio de las viviendas y, por tanto, una conducta ilícita. La CNMC da por hecho que la coordinación de precios se habría instrumentado a través de estas herramientas. Como puede fácilmente deducirse por el organismo que interviene, lo que se busca es garantizar la libre competencia, y la garantía de los derechos. Con estos dos ejemplos, uno del ámbito del software público y otro del pri-
Inteligencia artificial y derechos fundamentales
47
vado, nos es fácilmente deducible el panorama normativo existente al respecto del uso y la regulación de la IA. A pesar de las buenas intenciones de la Secretaría de Estado de Digitalización e Inteligencia Artificial, es largo el camino que nos queda por recorrer en esta materia, y a todas luces lo podemos ubicar en un estadio de incipiente. Por ello es conveniente ir trazando elementos direccionales básicos. Parece existir unanimidad en la doctrina española que estudia de forma interdisciplinar esta materia, que existen una serie de obligaciones en la realización e implantación de medios de Inteligencia artificial en el software público, y que pueden concretarse en las siguientes: •
Un repositorio con el código que permita analizar la versión de todos los elementos del sistema el día que se haga público, así como futuros cambios, incluyendo aplicación y servidores, junto con los detalles de su despliegue y gobernanza: dónde se hallan, quién los administra, y qué medidas de seguridad se han adoptado, tanto para el despliegue a nivel nacional, como el relativo a las Comunidades Autónomas.
•
El repositorio de código utilizado durante el desarrollo, incluyendo el historial desde el inicio de este, detallando los cambios desde que la primera versión se hace disponible en las tiendas de las plataformas móviles y por lo tanto descargadas por los usuarios. La revisión de las versiones anteriores es necesaria debido a que no todos los usuarios actualizan periódicamente su software.
•
Informe de diseño del sistema (aplicación y servidores), detallando los análisis que han llevado a decidir los parámetros de configuración y uso de la API de Exposición de Notificaciones de Google y Apple, los mecanismos implementados y las librerías y servicios utilizados para evaluar la seguridad y privacidad de los datos, así como la evaluación de la inclusión y accesibilidad del diseño.
•
Informe detallado de los mecanismos de monitorización de la aplicación y mecanismos asociados para asegurar la privacidad y el cumplimiento de la normativa de protección de datos, referido a los datos recogidos tanto durante el proceso piloto como en la fase de producción.
•
La evaluación de impacto en la protección de datos basada en el informe de diseño y los análisis de riesgo asociados a la aplicación y su uso en las plataformas Android e iOS.
La liberación del código y su adecuada documentación es necesaria también para la materialización del principio de privacidad basada en el diseño, así como de los restantes principios de protección de datos contenidos en el RGPD, singularmente el de responsabilidad proactiva.
48
Lucrecio Rebollo
Como fácilmente puede apreciarse en estos dos ejemplos expuestos, nos encontramos ante situaciones novedosas para el ciudadano, para el Derecho y con respecto a las funciones del Estado. Nuevas posibilidades técnicas requieren de forma inmediata una respuesta jurídica para garantizar los derechos de los ciudadanos, y ello se traduce en la necesidad de nuevas regulaciones y una actuación rápida y eficiente del Estado para elaborar y canalizar soluciones. Todo un reto no exento de complejidades. El software público plantea un considerable número de ventajas, pero lleva añadido los inconvenientes típicos de toda actuación del Estado. Utilicemos en nuestro contexto nacional como ejemplo la sanidad o la educación. Son una función esencial del Estado, el núcleo del Estado del bienestar, y pese a ello, siempre se plantean disfuncionalidades. No podemos obviar la necesidad de su existencia, a la vez que dependa del Estado su ejecución, regulación y desarrollo. El mismo concepto cabría aplicar al software público, seguro que tendrá deficiencias, que mejorar en todo caso, pero la neutralidad y garantía de respeto a los derechos fundamentales y el indefectible fin social, que le otorgan su atribución al Estado, son garantía de su vigencia y efectividad. En términos parecidos podemos pronunciarnos respecto al control de los algoritmos. Es una tarea que necesariamente debe controlar el Estado, ya sea a nivel nacional, o a través de organismos internacionales. Todo apunta a que deben irse creando estructuras estatales e internacionales que controlen esta actividad, o bien delegarlo en agencias independientes de control, siguiendo la línea de actuación de un gran número de países occidentales. Todo parece indicar que el papel de los Estados en la creación de software y en la Inteligencia artificial deberá ser más activo, a la vez que deberá ir agrandando sus ámbitos de actuación. Uno perentorio es sin duda el control de la creación del software, tanto público como privado, a través de normativas específicas. La Unión Europea ha realizado una labor importante en la delimitación jurídica de las transformaciones digitales. La Declaración de Tallín abordó la administración electrónica, la de Berlín elaboró un conjunto de propuestas sobre la sociedad digital y el gobierno digital basado en valores, y por último, la Declaración de Lisboa abordó propuestas sobre la democracia digital. En todas ella subyace la necesidad perentoria de preparar estructuras, normas y acciones para la transición digital. En abril de 2021 se publica la propuesta de Reglamento del PE y del Consejo por el que se establecen normas armonizadas en materia de IA (Ley de Inteligencia Artificial) y se modifican determinados actos legislativos de la Unión. Esta pretensión reguladora culmina, hasta la fecha, con la Declaración Europea sobre Derechos y Principios Digitales para la Década Digital, de 26 de enero de 2022. La acción de la UE se centra en cuatro pilares de acción: las capacidades digitales, las infraestructuras digitales, la digitalización de las empresas, y, por último, la di-
Inteligencia artificial y derechos fundamentales
49
gitalización de los servicios públicos. Como establece su Considerando 5, “la Declaración tiene por objeto explicar las intenciones políticas comunes. No solo recuerda los derechos más importantes en el contexto de la transformación digital, sino que también debe servir como punto de referencia para las empresas y otros agentes pertinentes a la hora de desarrollar y aplicar nuevas tecnologías. La Declaración debe asimismo guiar a los responsables políticos en sus reflexiones acerca de su visión sobre la transformación digital…”. El Capítulo III de la Declaración que venimos citando se dedica a la libertad de elección, y de forma concreta en relación a las interacciones con algoritmos y sistemas de Inteligencia artificial manifiesta que “Toda persona deberá estar empoderada para beneficiarse de las ventajas de la inteligencia artificial a fin de tomas sus propias decisiones con conocimiento de causa en el entorno digital, así como protegida frente a los riegos y daños a su salud, su seguridad y sus derechos fundamentales”. A continuación, manifiesta el compromiso de “proporcionar salvaguardias que garanticen que la inteligencia artificial y los sistemas digitales son seguros y se utilizan con pleno respecto de los derechos de las personas”. La Carta de Derechos Digitales aprobada por el Gobierno de España, el 14 de junio de 2021, se posiciona en parecidos términos. El apartado XXIII está dedicado a los Derechos ante la Inteligencia artificial, y su apartado 1 establece que “a) Se deberá garantizar el derecho a la no discriminación algorítmica, cualquiera que fuera su origen, causa o naturaleza del sesgo, en relación con las decisiones y procesos basados en algoritmos. b) Se asegurarán la transparencia, auditabilidad, explicabilidad y trazabilidad. c) deberán garantizarse la accesibilidad, la usabilidad y fiabilidad”. El apartado 2 establece que “Las personas tienen derecho a no ser objeto de una decisión basada únicamente en procesos de decisión automatizada, incluidas aquellas que empleen procedimientos de inteligencia artificial, que produzcan efectos jurídicos o les afecten significativamente de modo similar, salvo los supuestos previstos en las leyes. En tales casos se reconocen los derechos a: a) solicitar una supervisión e intervención humana; b) impugnar las decisiones automatizas o algorítmicas”. Por último, el apartado 4 establece que “Se prohíbe el uso de sistemas de inteligencia artificial dirigidos a manipular o perturbar la voluntad de las personas, en cualesquiera aspectos que afecten a los derechos fundamentales”. Como puede apreciarse, están ya claras las incidencias que la tecnología digital, y de forma más concreta, la Inteligencia artificial, produce. También parece ser indubitado el camino a seguirse en estas delimitaciones, que necesariamente habrán de ser jurídico-vinculantes. También debe ser rotunda la afirmación de que el mayor peligro que platea esta tecnología, lo es con
50
Lucrecio Rebollo
respecto a los derechos y libertades fundamentales. Por todo ello, parece claro que es necesario un análisis doctrinal de la compleja relación entre Inteligencia artificial y derechos fundamentales. En resumen, el software público es una necesidad y un servicio obligado del Estado. Entre ellos, también la IA que verifique posibles problemas y de seguridad de uso, o en última instancia, que realice un cierto control de la aplicación de la misma, bien de forma directa, o a través de agencias independientes. Este es camino obligado, tanto a nivel estatal, como europeo, así el Estado está inexorablemente llamado a desenvolver una actividad de garantía y control a través del software público.
CAPÍTULO III INCIDENCIA DE LA INTELIGENCIA ARTIFICIAL EN LOS DERECHOS FUNDAMENTALES
1.
Cuestiones previas
Parece claro que no se puede aspirar a crear un nuevo derecho fundamental como consecuencia del surgimiento de cada una de las nuevas posibilidades tecnológicas, dado que no todas tienen el mismo grado de incidencia en las concepciones jurídicas, y no todas tienen la misma transcendencia desde la perspectiva jurídica. Incluso los denominados por la LO 3/2018, y de forma algo pretenciosa, derechos digitales, en su mayoría son concreciones o variantes aplicativas de los derechos fundamentales ya reconocidos en nuestro ordenamiento jurídico y el europeo, y suficientemente garantizados. Ningún ordenamiento jurídico puede pretender dar respuesta concreta a cada una de las posibilidades de vulneración o intromisión en los derechos fundamentales. La técnica aplicada hasta ahora ha sido, a través de la legislación y la jurisprudencia, ir adecuando los derechos existentes a las nuevas vulneraciones, ir ampliando las interpretaciones y solventando las omisiones, a la vez que formulando tendencias interpretativas, que con el tiempo tienen su plasmación en nuevas normativas. La STC 58/2018 es muy clarificadora a este respecto, y de forma concreta manifiesta que “… Los avances tecnológicos y el fenómeno de la globalización a través de internet y de otras vías dan lugar a nuevas realidades que, de una u otra forma, pueden incidir sobre el ejercicio de los derechos fundamentales, su delimitación y su protección, lo que obliga a este Tribunal a una constante labor de actualización de su doctrina para adecuarla a la cambiante realidad social, con el fin de dar una respuesta constitucional a esas nuevas situaciones…” 25. De igual forma, la jurisprudencia habrá de ir tejiendo la argumentación y fundamentación de variaciones en los derechos, armando una estructura lógico-jurídica de los derechos fundamentales, que STC 58/2018, de 4 de junio, f. j. 4.
25
52
Lucrecio Rebollo
produzca una respuesta adecuada a las nuevas necesidades jurídicas y que palié las deficiencias normativas, a la vez que facilite su aplicabilidad y ejecución material. La protección jurídica y los medios de garantía ya existen, lo que varían son las formas de vulneración, por ello no es necesario crear un ordenamiento jurídico ex novo, es necesario ir adecuando el existente a las nuevas necesidades, y ello es tarea tanto del legislador, de la jurisprudencia, y también de la doctrina. Parece claro, que la nueva sociedad digital no puede ser ahormada únicamente por el Derecho, teniendo en cuenta que supone una nueva conformación horizontal del conjunto social, y que afecta a los medios de comunicación, a la economía, a todos los ámbitos de lo social, incluso a las mismas bases de organización social y política. Por ello parece muy acertada la propuesta de De la Quadra Salcedo, cuando usa el concepto de la solución holística 26, y de forma concreta manifiesta que “Esa afección a todos los elementos fundamentales que estructuran e informan nuestras sociedades hace obligatorio adoptar una perspectiva holística en el tratamiento de los retos que plantea la sociedad digital” 27. Atribuir al Derecho la única forma de ordenar y encajar la sociedad digital es un grave error. El Derecho debe ser, como ha sido siempre, una forma de solventar conflictos sociales con una perspectiva de bien común, pero en todo caso necesita de la colaboración de otras áreas de conocimiento, de todos los elementos que conforman la estructuración social. Las soluciones aportadas por el Derecho hasta ahora parecen de todo punto insuficientes. Hacemos repaso de estas. El Derecho internacional tiene una limitada capacidad coactiva, por su escasa vinculación y su menor entidad sancionadora. Su efectividad se limita a áreas muy concretas, como es el comercio a nivel mundial, algunos aspectos de propiedad intelectual y quizás con mayor eficacia, en materia de elaboración de tratados. Otro ámbito en que de alguna forma se viene regulando la sociedad digital es el Derecho de defensa de la competencia. Las regulaciones nacionales encuentran grandes dificultades a la hora de la normación por la presión que ejercen de forma genérica las grandes empresas de tecnología, dado que aquélla siempre limita su capacidad de maniobra, a la vez que tienen múltiples formas de ir eludiendo las regulaciones nacionales. De igual manera, evitan con facilidad la competencia entre ellas, de tal manera que las denominadas “cinco grandes” (Google, Facebook, Microsoft, Amazon y Appel) se quedan con todo el mercado. La única herramienta de control sobre las empresas tecnológicas hasta la fecha ha venido a través del derecho de la libre competencia. De esta forma, Entendida en su formulación aristotélica como “el todo es mayor que la suma de sus partes”. 27 DE LA QUADRA SALCEDO FERNÁRDEZ DEL CASTILLO, T: Retos, riesgos y oportunidades de la sociedad digital, en la obra de VV. AA. Sociedad Digital y Derecho. BOE. Madrid 2018, pág. 63. 26
Inteligencia artificial y derechos fundamentales
53
tanto algunos Estados europeos, como la propia Unión Europea, han impuesto sanciones económicas a algunas de ellas, pero que han sido asumidas más como un coste añadido de producción, que como reproche jurídico efectivo a su actividad o a la forma de llevarla a efecto. En todo caso, y como nos recuerda Hoffmann-Riem, el derecho de defensa de la competencia tiene como finalidad “garantizar la funcionalidad de los mercados económicos y para impedir el abuso de una posición de dominio de mercado … pero no es un Derecho específico para limitar otros poderes (por ejemplo, políticos, culturales, sociales o de otra índole). El logro de objetivos de bien común como la protección de la autonomía (libertad frente a la manipulación), la equidad de oportunidades de acceso, la supresión de la discriminación o la formación de una opinión pública dirigida a la reproducción y promoción de la pluralidad social, no son objetivo específico del Derecho de defensa de la competencia” 28. Parece adecuado deducir que las soluciones que tiene que aportar el Derecho han de venir de la extensión aplicativa de principios jurídicos a las nuevas necesidades sociales. Como nos recordara García de Enterría, “la ciencia jurídica no tiene otra misión que la de desvelar y descubrir a través de conexiones de sentido cada vez más profundas y ricas, mediante la construcción de instituciones y la integración respectiva de todas ellas en un conjunto, los principios generales sobre los que se articula y debe, por consiguiente, expresarse el orden jurídico. Este, en la sugerente expresión de SIMONIUS, «está impregnado de principios hasta sus últimas ramificaciones», de modo que en hacer patente esa oculta y profunda vida de los principios está la augusta función del científico del Derecho, y no en ofrecer clasificaciones o sistematizaciones geométricas, lógicas o nemotécnicas de la materia de las leyes. Una ciencia jurídica puramente exegética (aunque quisiese incluir los «principios incluidos por el legislador en sus normas») no podría responder nunca a la clásica objeción de VON KIRCHMANN : «tres palabras rectificadoras del legislador convierten bibliotecas enteras en basura»; el que esto no haya sido así y las obras de los grandes juristas de la historia no sólo no sean basura, sino que hayan adquirido un permanente y eficaz valor clásico, es justamente porque en ellas se ha acertado a expresar un orden institucional de principios jurídicos no sometidos a la usura del tiempo. La superioridad del Derecho Romano sobre otros sistemas jurídicos históricos anteriores o posteriores estuvo justamente, no ya en la mayor perfección de sus leyes … sino en que sus juristas fueron los primeros que se adentraron en una jurisprudencia según principios, la cual ha acreditado su fecundidad, e incluso, paradójicamente, su perennidad, y hasta su superior certeza, frente a cualquier código perfecto y cerrado de todos los que la historia nos presenta” 29. Obra citada, páginas 102 y 103. García de Enterría, E: Reflexiones sobre la Ley y los principios generales del Derecho Administrativo. Texto extraido de https://dialnet.unirioja.es, páginas 201 y 202. 28 29
54
Lucrecio Rebollo
La aportación que el jurista puede realizar a esta novedosa realidad social que denominamos sociedad digital, ha de venir, inexorablemente, precedida del entendimiento del bagaje jurídico, que ha de cohonestarse con las nuevas necesidades. Ello ha de llevarse a efecto en base a la reconfiguración de principios jurídicos que nacen de una pretensión de ordenación social heredada, a la que se deben sumar las nuevas necesidades. Pero este proceso no puede realizarse sin contextualización, ni ser el producto de un laboratorio aislado o desconocedor de las realidades sociales. Es una tarea de conjunto, y no menor. En definitiva, se trata de ir incardinando, a la vez que adecuando, el ordenamiento jurídico a las nuevas necesidades sociales. Para ello, es necesario el análisis concreto de los puntos jurídicos de mayor fricción o de superior dificultad de encaje, y de forma más concreta, los derechos y libertades fundamentales más expuestos a las innovaciones que provienen o generará el desarrollo de una sociedad digital, y con posterioridad, ir verificando las posibles soluciones jurídicas. Para delimitar esta pretensión, hemos seleccionado el análisis de aquellos derechos fundamentales que entendemos más expuestos al uso de la IA. De esta forma, los derechos de carácter personal, la libertad ideológica, el derecho a la información y la libertad de expresión, junto con el derecho a la igualdad, se presentan como el núcleo de incidencia y el objeto de soluciones jurídicas. No existe la menor duda de que hay también afectación, directa o indirecta, de otros derechos, pero entendemos que la troncalidad de los referidos en la ordenación social, justifican esta selección del objeto de estudio. Otro aspecto que conviene concretar antes del análisis específico de los derechos fundamentales es que nos movemos en un contexto de permanente cambio. No ya cada año, sino cada mes, surge una nueva posibilidad, una mejora de aplicabilidad, se repara en una circunstancia que no había sido prevista. Las posibilidades técnicas tienen un crecimiento exponencial en cuanto a su creación y aplicabilidad en el tiempo. Por el contrario, el Derecho, como ya conocemos, es lento en su respuesta, y requiere de la actuación coordinada de muchos operadores (legislador, jurisprudencia, Administraciones Pública, órganos de control, etc.) a lo que se suma la necesidad de actuar también en diversos niveles, como el regional, o internacional. Por muy previsores que sean los ordenamientos jurídicos, la IA tiene un fuerte componente de imprevisibilidad, de resultados o consecuencias colaterales no previstas, y que, en su propia creación y aplicación, requieren de un proceso de control y readaptación permanente. Esto supone una dificultad añadida al Derecho como respuesta, y se constituye en el riego más sustantivo de la IA. 2.
Derecho a la intimidad
En 2013 Edward Snowden reveló la existencia de programas promovidos por los Estados Unidos junto con otros países (Canadá, Australia, Gran Bre-
Inteligencia artificial y derechos fundamentales
55
taña y Nueva Zelanda) a través de los que se realizaban actividades de vigilancia y espionaje masivo a nivel mundial. En particular, se trataba de dos programas de vigilancia electrónica confidencial a cargo de la NSA (Agencia de Seguridad Nacional de los Estados Unidos); PRISM, que desde 2007 se utilizó para recabar de manera no consentida información de más de 35 líderes mundiales; y XKeyscore, creado en 2008 para la búsqueda y análisis masivo de datos en internet. Según las revelaciones de Snowden, en su lucha contra el terrorismo, la NSA utiliza técnicas de espionaje diversas como la introducción de software espía en aplicaciones móviles muy populares como Angry Birds o Google Maps, la ruptura de la seguridad de los sistemas operativos iOS, Android, o la violación de los cifrados de las BlackBerry y teléfonos móviles. Se infectan cientos de miles de redes informáticas con malware a nivel internacional e incluso se espían los correos electrónicos de Hotmail, Outlook o Gmail. Se vigilan y almacenan miles de millones de llamadas y registros telefónicos. De esta manera, se consiguen contactos, datos de geolocalización, fotografías, aplicaciones o mensajes, datos que les permiten crear perfiles de prácticamente cualquier individuo, pues a partir de esto pueden deducir su modo de vida, país de origen, edad, sexo, ingresos, comunicaciones y contenidos de estas, actividades personales y profesionales, y un largo etc. La empresa israelí NSO ha desarrollado en 2010 el programa Pegasus, que vende, en teoría, únicamente a Estados, y que consiste en un software espía que se introduce en los teléfonos móviles y ofrece un control prácticamente ilimitado de funciones sobre el mismo (accede a la ubicación, graba conversaciones, accede a imágenes o videos y activa sus cámaras en control remoto, accede a correos electrónicos, agendas, etc.). Lo hace durante 24 horas al día y no deja rastro de su presencia. Su finalidad originaria es la prevención del terrorismo y el narcotráfico, si bien los servicios de inteligencia de los distintos países pueden darles el uso que estimen más conveniente, conforme a sus necesidades. Su uso en España por parte del Gobierno produjo en abril de 2022 una grave crisis política por el supuesto uso en el entorno independentista catalán, que se resolvió con la dimisión de la directora del Centro Nacional de Inteligencia y algunos cambios estructurales relativos a la dependencia y funciones del citado organismo. La relevancia informativa del asunto decayó, la tormenta política se diluyó, y como parece propio, no hubo más debate público al respecto de los programas espía, de su uso, de su control, ni de sus posibilidades, o lo más importante, de la posible afectación a derechos y libertades fundamentales. Los estudios realizados en el campo de la ciencia social computacional concluyen que se puede conocer la personalidad de un individuo por su forma de expresarse, por sus actuaciones, el carácter de lo que publica, cuánto y con qué frecuencia lo hace, o por su forma de interactuar, entre otras infi-
56
Lucrecio Rebollo
nitas opciones. Todo este rastro o huella digital dan lugar a la configuración de lo que se conoce como yo digital o personalidad virtual que está fabricada, no a partir de lo que realmente somos y de nuestras singularidades, sino a partir de lo que los algoritmos matemáticos y Big data, consideran que somos. El problema principal reside en que si bien los datos personales que se utilizan en el análisis predictivo, en principio, aunque no siempre, suelen ser anónimos, se ha llegado a la evidencia de que se pueden llevar a cabo procesos de desanonimización y consecuentemente, llegar a identificar a las personas a quienes tales datos anónimos corresponden. Y los datos personales que circulan por la red y que son sometidos a escrutinio son ingentes. Así los Gobiernos, las empresas o las redes sociales, recopilan datos personales de manera masiva y después realizan una tarea de discriminación o tratamiento de los datos en función de su relevancia o sus intereses. Lo que ha dado lugar a la existencia del llamado dark data o mares de datos irrelevantes e inútiles, que son obtenidos y almacenados, pero que, por su escasa entidad y calidad, no sirven para generar resultados óptimos en términos de Big Data. La información circulante crece a un ritmo que se duplica cada año y el 90% de esa información circulante no es analizada ni utilizada de momento. De esta forma sólo el 10% de toda la información generada por los usuarios es susceptible de ser tratada para conformar y utilizar datos de los ciudadanos, pero este porcentaje aumenta en la misma medida en que los dispositivos de Big data se van desarrollando y perfeccionando a través de la Inteligencia artificial. El derecho a la intimidad aparece recogido en nuestro ordenamiento jurídico en el art. 18. 1 CE: “Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen”. Si bien, en su origen el derecho a la intimidad se configura como un derecho de defensa, the right to be alone o derecho a ser dejado en paz en la vida privada frente a las injerencias de terceros; en la actualidad se constituye además como un derecho o potestad que posibilita al individuo decidir sobre lo que quiere que los demás conozcan de lo que le resulta propio. Esta manifestación del derecho a la intimidad como potestad le otorga un carácter fundamentalmente subjetivo. De ahí que el concepto de intimidad resultará diferente para cada ciudadano, grupo, sociedad e incluso momento histórico, siendo “elementos determinantes en su configuración la edad, la cultura, la educación, la comunidad en la que nos integramos. De entre ellos, el elemento de mayor influencia en la determinación del contenido esencial del derecho a la intimidad es la conformación social que de él realiza una sociedad en un momento determinado” 30. 30 REBOLLO DELGADO, L: Limites a la libertad de comunicación pública. Dykinson, 2008, páginas 96 a 113. Sobre la misma materia REBOLLO DELGADO, L: El derecho fundamental a la intimidad. Dykinson. 2ª Ed. Madrid 2005.
Inteligencia artificial y derechos fundamentales
57
Reflejo del concepto de intimidad vigente hoy en día en nuestro contexto social es el mostrado a través del comportamiento de las personas en las redes sociales, donde existe una constante y desmedida proyección voluntaria de lo que somos, tenemos y hacemos. Vivimos de manera pública. Reveladora de este nuevo concepto de intimidad que se abre camino con paso firme a través de la entronización de internet en nuestras actividades más cotidianas, es la conclusión de las encuestas sobre las tendencias entre los más jóvenes: los usuarios de 18 a 24 años tienen percepciones sobre la intimidad diferentes al resto, cercanas al concepto de la llamada sociedad de la transparencia, que lleva a la información total, sin permitir lagunas de información, ni de visión. 31 Se ha acuñado el término publicy como término opuesto a privacy. Antes elegíamos qué parte de nuestra privacidad queríamos exponer o hacer pública, ahora ocurre al revés, vivimos en público y elegimos qué parte de nuestras vidas mantenemos en privado. O lo que es lo mismo, la configuración por defecto es lo público: public is the new default. Esta diferente apreciación de lo que consideramos íntimo o privado es enormemente relevante en términos de Big data, puesto que somos los particulares los que mayor cantidad de datos producimos a través de nuestra actividad en redes sociales, la utilización de whatsapp, el uso de dispositivos móviles o nuestra navegación por la Red y, quienes, en consecuencia, exponemos de manera voluntaria y masiva nuestra intimidad o, lo que, hasta ese momento, considerábamos íntimo. Un último ejemplo al respecto de lo que venimos analizando, nos lo pone Pariser. Detalla el autor al respecto de los atentados del 11 S, que “inmediatamente después de los ataques, el alcance del complot no estaba muy claro. ¿Había más piratas aéreos que aún no habían sido encontrados? ¿Hasta dónde alcanzaba la red que había perpetrado los ataques? Durante tres días, la CIA, el FBI y un montón de otras agencias con siglas, trabajaron sin descanso para determinar quién más estaba implicado. Se ordenó aterrizar a los aviones de todo el país, se cerraron los aeropuertos. Cuando llegó ayuda, lo hizo desde un lugar improbable. El 14 de septiembre el FBI hizo públicos los nombres de los piratas aéreos y pedía -suplicaba- que cualquiera que tuviera información de los agresores se pusiera en contacto con ellos. Más tarde, ese mismo día, el FBI recibió una llamada de Mack McLarty, un antiguo funcionario de la Casa Blanca, miembro ahora del consejo directivo de una pequeña, aunque lucrativa compañía llamada Acxiom. Tan pronto como se hicieron públicos los nombres de los secuestradores, Acxiom buscó en sus enormes bases de datos, que ocupan dos hectáreas en la diminuta Conway (Arkansas). Encontró información interesante relativa a los culpables de los ataques. De hecho, resultó que Acxiom sabía más sobre once de los dieci-
31 Es interesante a este respecto la obra de Byung-Chul, H: La sociedad de la transparencia. Herder, 2012.
58
Lucrecio Rebollo
nueve secuestradores que todo el Gobierno de Estados Unidos, incluyendo su pasado, sus direcciones y los nombres de sus compañeros de piso” 32. Parece claro que el derecho a la intimidad ha evolucionado socialmente, lo que es una característica implícita del mismo, dado el fuerte componente social que le es inherente. Ahora bien, también es palmario que necesita de una reinterpretación jurídica que tape las ausencias de regulación que el tratamiento masivo de datos y la Inteligencia artificial han generado. Aun conscientes del giro a lo público de nuestras vidas generado por internet, no podemos obviar que en el derecho a la intimidad es donde surge la conformación del yo, y ámbito donde se gesta la dignidad humana y el libre desarrollo de su personalidad, aspectos todos ellos necesitados de protección jurídica. A ello debemos sumar que este contexto íntimo es donde a su vez se incardinan las raíces de la libertad del sujeto individualmente considerado. Sin este ámbito, el individuo es vulnerable, y como consecuencia de ello, también la sociedad, porque la intimidad sigue siendo el esencial sustrato de la pluralidad social. Eliminar esta protección no únicamente tiene el riesgo de hacernos a todos iguales, sino también de la manipulación o manejo de los individuos por cualquier ideología o interés, y lamentablemente nuestra historia universal es prolija en ejemplos de las consecuencias de la plasmación de esta circunstancia. Aunque es evidente que el derecho a la intimidad se ha ido acomodando, o quizás mejor expresado, reduciendo en su concepción más reciente, ello no supone problema jurídico si prevalece el elemento esencial de voluntariedad, debido a que como hemos manifestado, el contexto social ahorma de forma muy considerable los límites de la intimidad. Incluso podríamos manifestar que hay una colaboración necesaria del sujeto en ese reduccionismo de la intimidad que internet genera, pero no podemos desposeer por completo al individuo del derecho, o convertirlo en indisponible, o que el uso masivo de datos, combinado con la IA, lo desdibujen por completo. Ello no es solo contrario al ordenamiento jurídico, lo es también a la forma de entender al ser humano y su organización en sociedad. Si desposeemos al individuo de intimidad, lo hacemos también de los elementos esenciales que conforman su personalidad, lo deshumanizamos, creamos seres indiferenciados y manipulables, en definitiva, dejan de ser individuos para constituirse en sujetos de otros. Es doctrina sentada en el ámbito europeo, tanto por el TEDH y el TJUE, como por nuestro Tribunal Constitucional, en base al principio denominado “calidad de la ley”, que toda excepción, o injerencia en la vigencia de los derechos fundamentales, debe estar contemplada en ley formal, de tal manera que ésta debe establecer en qué circunstancias, y en qué condiciones, se pueden producir aquéllos supuestos. Otro principio básico plenamente asentado en los ordenamientos jurídicos occidentales es la interpretación PARISER, E: El filtro burbuja, páginas 50 y 51.
32
Inteligencia artificial y derechos fundamentales
59
restrictiva de toda limitación de derechos frente al carácter expansivo de la interpretación de su contenido esencial, vigencia y garantías. En la misma línea jurídica está el RGPD, si bien realiza una bifurcación al respecto de esta circunstancia, de forma tal que en unas ocasiones estas excepciones o injerencias justificadas vienen especificadas en el propio RGPD, y en otras se deja a los Estados miembros su determinación o concreción. Estas determinaciones no plantean dificultad de delimitación respecto a intereses públicos, pero es algo más confusa su delimitación en relación con los privados. En algunas ocasiones se delimita de forma concreta, incluso excepcionando el consentimiento, como ocurre en el art 6.1.f) 33. Como manifiesta Hernández Corchete 34, “… el RGPD no remite al legislador nacional la determinación de cuáles sean estos intereses y de qué condicionantes han de incorporarse en cada ámbito sectorial al tratamiento para que el sacrificio de la privacidad del titular de los datos sea proporcionado … debe entenderse como una proscripción del complemento normativo por el legislador nacional, salvo cuando éste sea expresamente requerido. Esta circunstancia conlleva, en el contexto que ahora nos ocupa, que no sea el legislador quien, luego de ponderar en qué medida procede el sacrificio de la privacidad de los titulares de los datos, disponga los presupuestos y las condiciones de los tratamientos que se admitan como lícitos. Una regulación tan genérica como la del artículo 6.1.a) RGPD deja enteramente para el momento aplicativo la selección de los intereses privados que justifican un tratamiento y la precisión de los términos y condiciones dentro de los cuáles se reputa lícito. Serán las autoridades administrativas de control y luego los tribunales de justicia, con el Tribunal de Luxemburgo como última instancia, quienes realicen caso por caso esta tarea, y la harán con completa libertad porque su decisión no resulta constreñida y ni siquiera guiada por criterios normativamente preestablecidos”. De ello no cabe deducir arbitrariedad o inseguridad jurídica, pero sí una ausencia de concreción jurídica, que deberá paliar la jurisprudencia, tanto nacional, como europea, y por tanto, hasta que ello se produzca, es claro el vacío jurídico. Como puede apreciarse, el derecho fundamental a la intimidad se ha visto constreñido, cuando no manifiestamente vulnerado por la aplicación y 33 Art. 6.1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones. 34 HERNÁNDEZ CORCHETE, J. A: Expectativas de privacidad, tutela de la intimidad y protección de datos, en la obra de VV. AA: Sociedad Digital y Derecho. BOE. Madrid 2018, páginas. 291 y 292.
60
Lucrecio Rebollo
extensión del uso de Big data y la aplicación de medios de Inteligencia artificial. Ante ello, no hay una respuesta jurídica unitaria, más bien al contrario, muchas vulneraciones de las referidas en este apartado se encuentran en la actualidad en un limbo jurídico, y su garantía depende más de las pretensiones o actuaciones de particulares o empresas privadas, que de la firme pretensión estatal de encajarlas en una normativa protectora o garante del derecho que analizamos. Pero aún en el supuesto de que se diera esa pretensión estatal, sus medios son manifiestamente limitados. Es lugar común hoy para los juristas, reclamar una normativa que tenga carácter global, y que lleve implícita una ejecutividad exenta de toda limitación estatal. Queda claro que el derecho a la intimidad es el primer y sustantivo damnificado por el uso masivo de datos operado a través de la IA. De igual forma, es palmario que, como barrera de contención, el derecho a la intimidad está literalmente desbordado, tanto sus pilares, como son el consentimiento y la voluntariedad del individuo; como en los aspectos colaterales de su vigencia. Es indudable que la ola del uso de la IA ha desbordado al derecho en su concepción jurídica moderna. El tratamiento actual de los datos hace inoperativa la voluntad del sujeto de mantener fuera del conocimiento público una infinidad de aspectos a él relativos. A ello se añade la problemática de que el mismo sistema operativo trabaja a ciegas con respecto a quién lo elabora, a lo que se suma, que, al tener una finalidad concreta, desconoce los efectos colaterales. De esta forma, en muchas ocasiones no hay una voluntariedad concreta de intromisión en el derecho a la intimidad, pero sí un resultado de vulneración del derecho. 3.
Protección de datos de carácter personal
Otro de los derechos fundamentales que puede resultar vulnerado es el derecho a la protección de datos de carácter personal, íntimamente relacionado con el derecho consagrado en el art. 18.1 CE y que el Tribunal Constitucional, por lo que se refiere a nuestro ordenamiento jurídico, configura en la Sentencia 292/2000, de 30 de noviembre de 2000 a partir de la dicción del art. 18.4 CE: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. La sentencia citada configura la llamada libertad informática o derecho a la protección de datos de carácter personal como “un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos
Inteligencia artificial y derechos fundamentales
61
personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular.” Por lo tanto, si desde el punto de vista de la privacidad, el riesgo que supone el Big data y la Inteligencia artificial sólo afecta a nuestros datos personales reservados, los que hemos elegido no hacer públicos; desde el punto de vista del derecho a la protección de datos, los datos personales afectados son todos, los públicos y privados, lo relevante es que se trata de información que nos identifica o nos pueda identificar. Existe la posibilidad técnica de que, mediante el cruce de datos anónimos, con otras bases de datos, se pueda revelar la identidad de las personas, o de forma genérica revertir la anonimización. Ésta ya no es una técnica irreversible y, por lo tanto, tampoco una garantía absoluta de protección de los datos de carácter personal. Gil González 35 nos pone dos claros ejemplos de sus deficiencias como técnica de protección. Caso GIC: identificación por el trío código postal, fecha de nacimiento y sexo. A mediados de los años 90, en Massachusetts, el denominado Group Insurance Commission (GIC) decidió hacer públicos datos relativos a las visitas al hospital de los funcionarios públicos, con el objetivo de que los investigadores pudieran analizarlos y sacar conclusiones. El GIC «anonimizó» previamente los datos, mediante la eliminación de identificadores personales explícitos, tales como el nombre, la dirección y el número de la Seguridad Social. Pese a ello, cerca de cien atributos de cada paciente y hospital, permanecieron en los datos hechos públicos; entre éstos, el código postal, la fecha de nacimiento y el sexo de los individuos. En ese momento, el Gobernador de Massachussets, William Weld, aseguró públicamente que la privacidad de los individuos estaba asegurada. Lantaya Sweeny, directora del Laboratorio de Privacidad de la Universidad de Harvard, realizó un estudio cuyo objetivo era poner de manifiesto las limitaciones de las normas de privacidad y las medidas de seguridad para poder implementar mejoras mediante el uso de algoritmos más fuertes y complejos. Sweeny pidió una copia de los datos publicados y comenzó a intentar reidentificar los datos del Gobernador. Sabía que éste residía en la ciudad de Cambridge (Massachusetts), una ciudad de 54.000 residentes y siete códigos postales. Además, pagando 20 dólares compró el último censo electoral de la ciudad de Cambridge, que contenía, entre otros datos, el nombre, dirección, código postal, fecha de nacimiento y sexo de cada votante. Combinando ambas bases de datos, los datos de GIC y el censo electoral, Sweeny consiguió identificar al Gobernador Weld sin dificultad: únicamente seis personas en Cambridge habían nacido el mismo día que el Gobernador, 35 GIL GONZÁLEZ, E: Big Data, privacidad y protección de datos. AEPD. Madrid 2016, páginas 104 y siguientes.
62
Lucrecio Rebollo
solo tres de estas personas eran hombres, y solamente él vivía en su código postal. Sweeny envió el historial médico del Gobernador, que incluía diagnósticos y prescripciones, a su oficina. Pero Sweeny, no se quedó ahí. Extendió sus análisis hasta concluir que el 87.1% de los ciudadanos residentes en Estados Unidos son identificables mediante este trío de atributos: código postal, fecha de nacimiento y sexo. Las conclusiones del experimento de Sweeny sobre este trío de identificadores han vuelto a ser analizadas y actualizadas. En un estudio llevado a cabo en la Universidad de Standford, se comprobó que en 2006 la proporción de personas residentes en Estados Unidos que podían ser reidentificadas utilizando únicamente la triada código postal, fecha de nacimiento y sexo había descendido al 63.3%. No obstante, el nuevo estudio volvió a demostrar que los ataques de reidentificación siguen siendo fáciles de realizar. Además, es necesario tener en cuenta que la disponibilidad de información que actualmente es pública es mucho mayor que en el momento en que se realizó el estudio, y las técnicas de reidentificación son más exactas, de modo que es fácil imaginar que quien tenga pretensión de hacerlo, pueda tener acceso a más datos que el código postal, la fecha de nacimiento y el sexo de las personas cuyos datos se encuentran en la base de datos. Caso Netflix: El segundo caso que expone la autora que venimos citando, es el denominado caso Premio Netflix. Ésta, es la mayor empresa del mundo proveedora, a través de una tarifa plana mensual, de contenidos multimedia (películas y series de televisión). En octubre de 2006, la compañía lanzó el denominado Premio Netflix. La empresa hizo públicos cien millones de registros de películas de 500.000 usuarios, y ofreció una recompensa a aquel que consiguiera mejorar su servicio de recomendación de películas (que se basa en las películas que otros usuarios con gustos similares puntuaron de forma muy alta). Los datos habían sido anonimizados, de forma que se eliminaron todos los identificadores personales, excepto las calificaciones de las películas y la fecha de la calificación; además, se añadió ruido (distorsionadores), de forma que las calificaciones de los usuarios fueron ligeramente incrementadas o reducidas. Como fuente de datos externa se utilizó la base de datos pública denominada Internet Movie Database (IMB), una base de datos online que almacena información relacionada con películas. La cuestión de la que partía el experimento era: ¿cuánto tiene que saber un adversario sobre un suscriptor de Netflix para poder identificar sus datos en la base de datos, y así, conocer su historial completo de películas? Es decir, en términos analíticos el estudio se basó en calcular el tamaño de los datos auxiliares que eran necesarios para reidentificar a los sujetos supuestamente anonimizados. En este sentido, cabría preguntarse si realmente un suscriptor de Netflix considera privado su historial de películas vistas. Incluso aunque la respuesta fuera negativa (lo cual no se puede asumir), eso sería así solo en la medida en que no comprendamos las consecuencias reales de reidentificar estos
Inteligencia artificial y derechos fundamentales
63
datos. Tal y como demostró el experimento, la correlación encontrada entre la base de datos anonimizada del Premio Netflix y la base de datos pública de IMB permite conocer información sensible y no pública sobre una persona, tal como preferencias políticas u orientación sexual. En efecto, se logró identificar a uno de los usuarios, una madre de familia lesbiana que mantenía su orientación sexual en secreto, residente en una región muy conservadora de Estados Unidos, y que demandó a la empresa bajo el pseudónimo de Jane Doe. Tras el escándalo, investigadores de la universidad de Texas compararon los datos de Netflix con otros datos públicos sobre calificación de películas. El estudio demostró que un usuario que hubiera calificado tan solo seis películas poco conocidas (de una lista de quinientas películas), podría ser identificado en el 84% de los casos. Y esta proporción aumentaba al 99% de los casos si, además, se sabía en qué fecha se habían calificado las películas. Así, se demostró que la calificación de las películas creaba una huella personal. Antes de este momento, nadie habría intuido que participar en una encuesta anónima al respecto de películas, pudiese revelar datos de identificación personal. En ambos casos fue necesario combinar dos bases de datos que contenían datos parciales sobre las personas, y que muestra el principio de que, a pesar de que una base de datos parezca anónima, cuando se compara con una segunda base de datos, se encuentra información única sobre los sujetos, y la reidentificación de éstos se hace posible. De la problemática en relación con el uso del Big data se han hecho eco muchos organismos e instituciones, como ejemplo traemos el de la Agencia Española de Protección de Datos que, en su Memoria de 2013, manifestaba lo siguiente: “… estos tratamientos encierran notables riesgos para los derechos de los individuos. Los Big data –se utilizan las dos pronunciaciones, en inglés y español– se emplean principalmente para hacer predicciones basándose en correlaciones, y tratan el qué, tratan de qué está ocurriendo o de qué va a ocurrir, pero no el porqué, por qué se han producido o por qué se van a producir. Con ello se pueden extraer conclusiones sobre individuos, señalar su proclividad a determinadas conductas, predecir su probabilidad de encontrarse en determinados estados –situaciones económicas, enfermedades, etcétera–; predicciones y conclusiones que, como fácilmente puede advertirse, tienen un enorme impacto sobre el libre desarrollo de las personas, tanto si son incorrectas como si son correctas, y aquí está uno de los aspectos más preocupantes. Entrañan un alto riesgo de discriminación y, en todo caso, son merecedoras de todos los reproches y las prevenciones que cabe hacer a cualquier clasificación de individuos por categorías”. En definitiva, y como nos recuerda Hoffmann-Riem, la aplicación e interpretación del Derecho no nos asegura “en modo alguno que tales posibilidades del ordenamiento jurídico de reaccionar con flexibilidad a los nuevos desarrollos puedan hacer frente plenamente a las bruscas transformaciones fundamentales como las que origina en la actualidad la transformación digi-
64
Lucrecio Rebollo
tal de la sociedad. Si no es este el caso, hay necesidad de modificar el ordenamiento jurídico” 36. La protección de datos de carácter personal, y su amplia regulación, tanto en algunos Estados, como en la Unión Europea, tampoco se establece como una limitación adecuada en los supuestos de Big data y su tratamiento a través de Inteligencia artificial. En primer lugar, la propia normativa abre grandes portillos jurídicos a la exclusión, como hace el art. 6.4 RGPD, a las que hay que añadir las excepciones del art. 9.2 de la misma norma. Otro gran portillo jurídico proviene de la clave de bóveda en que se constituye el consentimiento en la normativa actual. A pesar de la rotundidad del apartado 11 del art. 4 del RGPD, de la claridad del art. 7, y las interpretaciones que formulan los Considerandos 42 y 43, la realidad es bien distinta. Al prestar el consentimiento, en la mayoría de las ocasiones el usuario no tiene otra alternativa de mercado. A ello hay que añadir que la inmensa mayoría de los procesos de prestación del consentimiento van insertos en un conjunto de condiciones unilaterales, es decir, un contrato de adhesión, en virtud de lo cual no le cabe al usuario la posibilidad de negociación entre partes iguales, sino que únicamente puede optar entre el todo o la nada. Un elemento añadido distorsionador de la vigencia de la protección de datos en el ámbito de la Big data e Inteligencia artificial, proviene de la propia indefinición de la norma, que recurre en muchas ocasiones a conceptos jurídicos indeterminados, en cuya interpretación caben amplias líneas de aplicación, y que requerirán de precisiones jurídicas, ya sean de las resoluciones judiciales, o de las autoridades de control. Pero mientras ello se produce, la puerta está abierta, la vulneración es posible y la lesión del derecho está prácticamente garantizada. Otro problema respecto del consentimiento es la amplitud interpretativa que aplica aquél que lo recaba. De esta forma se indetermina la finalidad del tratamiento, lo que deja en manos del responsable su interpretación, aplicación o uso. Incluso esta interpretación extensiva puede hacer que un usuario otorgue consentimiento respecto de datos que no son de su titularidad, y por lo tanto, sobre los que no tiene derecho de disposición. Esto ocurre con la entrega de datos, o metadatos, de terceros en una comunicación o en una red social, donde el tercero es un mero interlocutor. La misma circunstancia se produce con la combinación de datos a través de tratamientos masivos, donde se agregan grupos de datos y se obtienen resultados de tendencias, nivel económico, predisposiciones u otra infinidad de perfiles, que a su vez pueden ser revendidos y sobre los que se añaden otras bases de datos masivas y sobre los que se aplican otros algoritmos. Recuérdese que una de las características del Big data es que el uso de los datos no se agota con un tratamiento, sino que los datos pueden estar sometidos a infinitos procesos Obra citada, pág. 79.
36
Inteligencia artificial y derechos fundamentales
65
para la obtención de los resultados pretendidos, incluido el de la reidentificación. El uso de los datos y metadatos de terceros es muy frecuente en las redes sociales. Así ocurrió en EE. UU. en 2018 con Facebook, donde bajo la calificación de robo, los datos de 87 millones de usuarios fueros usados por una empresa (Cambridge Analytica) para apoyar la campaña electoral del presidente de EE. UU. D. Trump. La mayoría de los datos no eran de los concretos usuarios de Facebook, sino de personas con quienes éstos se habían comunicado a través de la función “me gusta”. La entrada en vigor del Reglamento UE 868 37 apunta de forma muy clara la inclusión de los datos en el ámbito del mercado único en la UE, así como su valor intrínseco, al que se añade la reutilización infinita. Pese a que su objeto se circunscribe a las Administraciones públicas, se establece la figura de los servicios de intermediación de datos, entre los titulares de los mismos y los potenciales usuarios, y que como establece el art. 10 “estos servicios podrán comprender el intercambio bilateral o multilateral de datos o la creación de plataformas o bases de datos que posibiliten el intercambio o la utilización en común de datos, así como el establecimiento de otra infraestructura específica para la interconexión de los titulares de datos con los usuarios de datos”. La comercialización de datos es ya una realidad normativa y mercantil. La UE consciente del valor de este mercado ha establecido ya las bases de su regulación, pero se hace desde una perspectiva de mercado, de regulación mercantil, sin primar la defensa de los derechos y libertades fundamentales, sin que suponga tal afirmación que los desdeñe o soslaye en su vigencia, pero sí se observa con claridad que no es el objeto troncal de la regulación. Un último aspecto para considerar es que tanto el RGPD, como las regulaciones de los Estados miembros, desconocen la posibilidad de articular mecanismos de remuneración al usuario cuando presta el consentimiento de datos que tienen un especial valor económico, partiendo siempre de la idea de que todos los datos tienen valor. Parece adecuado que dado lo lucrativo del mercado de datos, este pudiera revertir parte de su productividad en sus titulares. A esta posibilidad viene oponiéndose de forma sistemática la Unión Europea, argumentado que sería mercantilizar un derecho fundamental, pero no debemos olvidar que otros derechos fundamentales son objeto de comercio, como ocurre con el derecho a la imagen. El atribuir la propiedad de los datos a su titular haría variar la protección al ámbito civil, que, en todo caso, se manifiesta como más garantista que la plena indefensión ante el uso y comercio de los datos existentes en la actualidad. Una interesante teoría al respecto de patrimonializar los datos, es la ofrecida por Ottolia, para quien la protección de la propiedad intelectual, dado su carác37 Reglamento UE 2022/868 del PE y del Consejo de 30 de mayo de 2022, relativo a la gobernanza europea de datos y por el que se modifica el Reglamento UE 2018/1724 (Reglamento de Gobernanza de Datos).
66
Lucrecio Rebollo
ter universal y sus desarrollados mecanismos de efectividad, puede suponer una alternativa como vehículo para patrimonializar los datos 38. Es conveniente referenciar, por último, la protección desde el diseño y por defecto. Como nos indica Gil González, “Los sistemas de privacidad desde el diseño implican que las tecnologías son construidas teniendo en cuenta la necesidad de la protección de la privacidad. Por su parte, los sistemas de privacidad por defecto conllevan que la tecnología está configurada para que las opciones que por defecto vienen establecidas sean las más protectoras de la privacidad; y el individuo puede posteriormente cambiar la configuración para permitir otras utilidades que requieran un nivel de privacidad menor. La mejor aproximación será incluir la configuración más segura por defecto en un sistema diseñado bajo los principios de privacidad desde el diseño. De este modo, los avances persiguen mantener todo el potencial de crear valor de las tecnologías, poniendo la protección del individuo como un factor más a tener en cuenta, junto con el resto de los parámetros (como capacidad operativa, viabilidad económica, etc.). Así se crea una dinámica win-win (es decir, en la que ganan ambas partes) para las organizaciones y los individuos” 39. Recordemos que el RGPD, en su artículo 25, establece que: “1.Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados. 2. El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas”. El Considerando 78 del RGPD establece que “… Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos persona38 OTTOLIA, A: Derecho, Big data e Inteligencia artificial. Tirant lo Blanch. Valencia 2018, páginas 85 y siguientes. 39 GIL GONZÁLEZ, E: Big Data y protección de datos. AEPD y BOE. Madrid 2016, pág. 125.
Inteligencia artificial y derechos fundamentales
67
les, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad. Al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos que están basados en el tratamiento de datos personales o que tratan datos personales para cumplir su función, ha de alentarse a los productores de los productos, servicios y aplicaciones a que tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos”. Como puede verificarse, son muchas las incógnitas y pocas las soluciones. Es evidente que la normativa actual de protección de datos adolece de una regulación integral que solvente la problemática introducida por la aplicación de Inteligencia artificial a bases de datos masivas. En la actualidad puede afirmarse que la regulación alcanza, y con dificultad, a la protección de datos de carácter personal para un uso normalizado de los mismos, pero es manifiestamente insuficiente más allá de la prescripción de si el dato está referido a una persona identificada o identificable. Si a ello añadimos la reversibilidad de las técnicas de anonimización, la conclusión es aún más rotunda, hay cierta protección sobre los datos de carácter personal, pero ninguna sobre el resto de datos, pero lo alarmante es que éstos rompen la protección jurídica de los primeros a través del tratamiento masivo con IA, lo que se constituye en una inquietante realidad, el mecanismo más técnico, mejor perfilado para la garantía de los derechos fundamentales en relación con las nuevas tecnologías, se ve manifiestamente vulnerado por las nuevas técnicas de IA. 4.
Libertad ideológica
La influencia que tiene la existencia de Big data y la Inteligencia artificial es también muy significativa en la libertad ideológica, tanto de forma directa al propio derecho, como en otros muchos aspectos de la organización social, sobre los que destaca la esencia de la democracia, o de forma algo más genérica, la organización política. Aunque la libertad ideológica está íntimamente correlacionada con la libertad de expresión e información, hemos querido dedicar apartados de análisis diferentes, puesto que la libertad ideológica tiene a nuestro juicio una esencial importancia en la conformación de nuestra sociedad actual, a la vez que se producen efectos diferenciados con respecto a la libertad de expresión e información. Es lugar común en la doctrina, esencialmente en la sociología y en la ciencia política, alinearse con las dos posturas mayoritarias en el análisis de
68
Lucrecio Rebollo
la influencia de las nuevas tecnologías respecto a libertad ideológica. Por un lado, se postula que Internet es un ámbito de libertad, y libre actuación que escapa al control de los Estados y de los poderosos intereses existentes a nivel global, por lo cual el individuo accede a una infinita cantidad de información para elaborar sus propias convicciones y conformar su ideología en plena libertad; por otro, se manifiesta lo ilusoria de esta concepción puesto que la Red no es neutra, y está sometida a los mismos intereses que existen fuera de ella, e incluso se controla de forma más sencilla que la vida real, independientemente de que los impulsos sean políticos, ideológicos o comerciales. Muchos de estos planteamientos se centran no tanto en la propia libertad ideológica, y sí más bien en el concepto y evolución que tendrá la democracia con el uso de Internet. A nuestro juicio la libertad ideológica es su configuración actual en los países democráticos es uno de los pilares sobre el que se asienta la ordenación social. La dignidad de la persona y el libre desarrollo de la personalidad tienen su concreción en la libertad ideológica, a la vez que ésta es elemento esencial de conformación del pluralismo en el sentido más amplio del término. A ello se añade en la mayoría de los ordenamientos jurídicos occidentales, la limitación de la imposibilidad de discriminación por razón de opinión, y la exención de declarar sobre la propia ideología. Tiene así la libertad ideológica un carácter absoluto, si bien se limita su aplicación o materialización. A juicio de nuestro Tribunal Constitucional, la libertad ideológica como derecho subjetivo tiene una perspectiva interna y otra externa. La primera viene constituida por el derecho de todo individuo a “adoptar una determinada posición intelectual ante la vida y cuanto le concierne y a representar o enjuiciar la realidad según sus personales convicciones”. Desde la perspectiva externa el Tribunal Constitucional configura este derecho como la opción del individuo a una actuación conforme a sus ideas y convicciones sin por ello “sufrir sanción o demérito, ni padecer la compulsión o injerencia de los poderes públicos” 40. Desde la perspectiva ideológica, al Estado le corresponde mantener una posición de neutralidad, no le está permitido valorar, posicionarse o mantener una ideología concreta, puesto que la libertad ideológica, como hemos manifestado, adquiere una dimensión institucional, al ser el fundamento del pluralismo político que establece el art. 1.1 CE como uno de los valores superiores de nuestro ordenamiento jurídico. Pero es también relevante en este derecho, y dentro del contexto que nos ocupa, la relación entre particulares. A este respecto opera la limitación del inciso final del art. 16.1 CE “necesaria para el mantenimiento del orden público protegido por la ley”. Este concepto jurídico indeterminado se muestra hoy poco eficaz, máxime teniendo en cuenta que la sociedad digital ha variado de forma muy significativa el origen de las vulneraciones o limitaciones del derecho que nos ocupa. De esta forma, los poderes públicos son STC 120/1990, f. ju. 10.
40
Inteligencia artificial y derechos fundamentales
69
en esencia árbitros del ejercicio de la libertad ideológica, dado que las vulneraciones provienen esencialmente de la actuación de particulares. El Estado es hoy en esencia más un garante de su vigencia, que sujeto activo de sus vulneraciones. Indudablemente esta afirmación cabe matizarla o concretarla al respecto de aquellos Estados que entran dentro de unos cánones democráticos, y siempre siendo conscientes que existen excepciones ocasionales a esta afirmación. En todo caso, no constituyen el grueso de los quebrantos normativos, pero afirmando a la vez, que no supone ello su inexistencia. De esta forma, hemos de concluir que hoy la vulnerabilidad de la libertad ideológica proviene esencialmente de particulares, a la vez que, de otros Estados no democráticos, y los riesgos son muy variados. Sin pretender hacer relación exhaustiva de los mismos, sí referenciaremos aquellos que entran en directa correlación con el uso de Big data y la Inteligencia artificial. La consecuencia más evidente a este respecto es que los generadores e intermediarios de la información necesitan muy pocos recursos para realizar análisis automatizados, o tratamientos de esta que puedan obedecer a una multiplicidad de pretensiones, entre las que destaca la personalización de la información. Opera aquí de forma contundente el concepto de filtro burbuja que utiliza Pariser, de tal forma que internet nos va ofreciendo un conjunto informativo, o de canales de información, en función de nuestros gustos o de nuestras interacciones en la Red. Ello supone limitar de forma sustantiva nuestro mundo de acceso informativo, a la vez que hay que deducir que el rastro en la navegación que vamos dejando es objeto de tratamiento o manipulación, lo que a su vez condiciona el ofrecimiento de información que se nos realiza. Aunque si bien es cierto que esto es subsanable por el sujeto, también lo es que requiere una actividad complementaria y un plus de objetividad por parte del individuo. Otro mecanismo de tratamiento de la información se concreta en la creación de tendencias, que tienen una directa repercusión en la opinión pública, y como consecuencia de ello, incluso pueden generar de forma artificial opiniones que sean mayoritarias (a lo que se denomina realidad aumentada). También existe la posibilidad de generación de noticias falsas que, aún, no teniendo una tendencia cuantitativa en la formación de la opinión pública, suelen generar desinformación o una clara confusión de ésta. En resumen, y como afirma Hoffmann-Riem “en la medida en que el manejo de datos permite el desarrollo del poder político o social de un modo que resulta problemático bajo aspectos del Estado socialdemocrático de Derecho, es importante que se establezcan mecanismos eficaces para contrarrestarlo jurídicamente” 41. Si bien la actividad del Estado está sometida a un alto grado de control de transparencia, no ocurre lo mismo con la actividad empresarial, singular Obra citada, pág. 121.
41
70
Lucrecio Rebollo
mente en lo que se refiere a la obtención y explotación de la información. De esta forma es frecuente que se imposibilite o se niegue el acceso a los procesos de tratamiento de la información, a la vez que tampoco se permite el control externo efectivo que constate una realización de buenas prácticas, o de no vulneración del ordenamiento jurídico, incluso en los supuestos en que se ven afectados intereses o derechos individuales y colectivos. Este control, necesariamente debería producirse sobre los algoritmos utilizados para el tratamiento y obtención de la información, y debe concretarse en las finalidades de aquéllos, al objeto de verificar que son acordes con el ordenamiento jurídico. Las empresas son muy celosas de estas actividades y a su vez en la mayoría de los países occidentales, paradójicamente están protegidas por el propio ordenamiento jurídico. Pensemos por ejemplo en las fórmulas que utiliza una empresa farmacéutica para la elaboración de un medicamento, o en la que usa una compañía de refrescos. Aquí el Estado realiza un control de la elaboración, producción y también de sus productos, con objeto de verificar que, en todo caso, no sean perjudiciales para el ciudadano, y de serlo, prohibirá su producción y comercialización. Pero esta circunstancia no es trasladable al ámbito de la información, lo que puede suponer una lesión de la libertad ideológica, y como consecuencia directa de ello, un falseamiento del pluralismo ideológico y político, que a su vez tiene una muy negativa repercusión en la organización social. Debemos recordar aquí que la libertad ideológica se constituye en el pilar del desarrollo de las sociedades democráticas, y a la vez en el engranaje imprescindible del libre desarrollo de la personalidad. Si limitamos o anulamos estos derechos, retrotraemos al individuo a la categoría de súbdito, y usamos para ello la tecnología. Como manifiesta Pariser, “cuanto más poder ostentamos sobre nuestro propio entorno, más poder tienen sobre nosotros quien asume el control” 42. En nuestro ordenamiento jurídico, el Tribunal Constitucional ha tenido ocasión de poner de manifiesto aspectos esenciales de una adecuación de la libertad ideológica a las necesidades actuales. De forma concreta la STC 76/2019 43, delimita los nuevos contornos de este Derecho, y merece una aproximación a sus contenidos. Para el Tribunal, y después de recordar que a la libertad ideológica se la califica de categoría especial de dato en el art. 9 del RGPD, entiende que la protección de datos realiza en ocasiones una función instrumental de otros derechos fundamentales, y de forma concreta en el caso que se analiza en esta sentencia, respecto a la libertad ideológica. Obra citada, pág. 216. STC 76/2019, de 22 de mayo de 2019, f. ju. 5. Que resuelve el recurso de inconstitucionalidad planteado por el Defensor del Pueblo en relación con el art. 58 bis de la Ley Orgánicas de Régimen Electoral General, en su redacción dada por la LO 3/2018 de Protección de Datos de Carácter Personal y Garantía de los Derechos Digitales. El objeto del recurso es la posibilidad de los partidos políticos de tratar datos de los electores “en el marco de sus actividades electorales” y que es declarado inconstitucional. 42 43
Inteligencia artificial y derechos fundamentales
71
Manifiesta así, que “… c) La libertad ideológica consagrada en el artículo 16 CE tiene una dimensión positiva, pues se protege «sin más limitación, en sus manifestaciones, que la necesaria para el mantenimiento del orden público protegido por la ley» (apartado 1), y también una dimensión negativa, pues incluye el derecho de toda persona a no «ser obligado a declarar sobre su ideología» (apartado 2). En síntesis, la libertad ideológica comprende «la proclamación de ideas o posiciones políticas propias o adhesión a las ajenas» (STC 235/2007, de 7 de noviembre, FJ 9), tanto individual como colectivamente, así como la posibilidad de abandonarlas o cambiarlas por otras en todo momento, pero también el secreto o silencio sobre las ideas o posiciones políticas propias, sin ser objeto de coacción o perturbación alguna antes o después de su proclamación o modificación, ni derivada del silencio libremente elegido. Este Tribunal ha tenido ocasión de destacar la importancia del derecho consagrado en el artículo 16.1 CE. Como afirmamos en la STC 20/1990, de 20 de febrero, FJ 3: «sin la libertad ideológica consagrada en el artículo 16.1 CE, no serían posibles los valores superiores de nuestro ordenamiento jurídico que se propugnan en el artículo 1.1 de la misma para constituir el Estado social y democrático de derecho que en dicho precepto se instaura». Asimismo, en la STC 120/1992, de 27 de junio, FJ 8, aludimos a la faceta externa de ese derecho en los siguientes términos: «la libertad ideológica […] no se agota en una dimensión interna del derecho a adoptar una determinada posición intelectual ante la vida y cuanto le concierne y a representar o enjuiciar la realidad según personales convicciones. Comprende, además, una dimensión externa de agere licere, con arreglo a las propias ideas sin sufrir por ello sanción o demérito ni padecer la compulsión o la injerencia de los poderes públicos». Después de recordar el Tribunal que la necesidad de disponer de garantías adecuadas es especialmente importante cuando el tratamiento afecta a categorías especiales de datos, y hacer repaso de la normativa al respecto, el fundamento jurídico 6 se centra en el establecimiento de las garantías para que “el tratamiento de datos se realice en condiciones que aseguren la transparencia, la supervisión y la tutela judicial efectiva, y deben procurar que los datos no se recojan de forma desproporcionada y no se utilicen para fines distintos de los que justificaron su obtención. La naturaleza y el alcance de las garantías que resulten constitucionalmente exigibles en cada caso dependerán de tres factores esencialmente: el tipo de tratamiento de datos que se pretende llevar a cabo; la naturaleza de los datos; y la probabilidad y la gravedad de los riesgos de abuso y de utilización ilícita que, a su vez, están vinculadas al tipo de tratamiento y a la categoría de datos de que se trate. Así, no plantean los mismos problemas una recogida de datos con fines estadísticos que una recogida de datos con un fin concreto. Tampoco supone el mismo grado de injerencia la recopilación y el procesamiento de datos anónimos
72
Lucrecio Rebollo
que la recopilación y el procesamiento de datos personales que se toman individualmente y no se anonimizan, como no es lo mismo el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, la salud, la vida sexual, o la orientación sexual de una persona física, que el tratamiento de otro tipo de datos”. Continúa manifestando el Tribunal, que “… el nivel y la naturaleza de las garantías adecuadas no se pueden determinar de una vez para todas, pues, por un lado, deben revisarse y actualizarse cuando sea necesario y, por otro lado, el principio de proporcionalidad obliga a verificar si, con el desarrollo de la tecnología, aparecen posibilidades de tratamiento que resultan menos intrusivas o potencialmente menos peligrosas para los derechos fundamentales”. De esta forma concluye el TC que “… las opiniones políticas son datos personales sensibles cuya necesidad de protección es, en esa medida, superior a la de otros datos personales. Una protección adecuada y específica frente a su tratamiento constituye, en suma, una exigencia constitucional, sin perjuicio de que, como se ha visto, también represente una exigencia derivada del Derecho de la Unión Europea. Por tanto, el legislador está constitucionalmente obligado a adecuar la protección que dispensa a dichos datos personales, en su caso, imponiendo mayores exigencias a fin de que puedan ser objeto de tratamiento y previendo garantías específicas en su tratamiento, además de las que puedan ser comunes o generales”. Continuando con el análisis de la STC 76/2019, es relevante la argumentación al respecto de la inconstitucionalidad de la nueva redacción dada al art. 58 bis de la LOREG por la Ley Orgánica 3/2018. Se manifiesta que “a) La primera tacha de inconstitucionalidad que se dirige a la disposición legal impugnada es que no especifica el interés público esencial que fundamenta la restricción del derecho fundamental. b) La segunda tacha de inconstitucionalidad que se dirige a la disposición legal impugnada es que no limita el tratamiento regulando pormenorizadamente las restricciones al derecho fundamental. La disposición legal impugnada solo recoge una condición limitativa del tratamiento de datos que autoriza: la recopilación de datos personales relativos a las opiniones políticas de las personas solo podrá llevarse a cabo «en el marco de sus actividades electorales». Se trata de una condición que apenas contribuye a constreñir el uso de la habilitación conferida. De una parte, el desarrollo de las actividades electorales no tiene por qué contraerse al proceso electoral, expresión que, en cambio, es la utilizada en el apartado 2 del artículo 58 bis LOREG. De otra, los procesos electorales son relativamente frecuentes en nuestro sistema político. Más allá de la citada condición («en el marco de sus actividades electorales»), la disposición legal impugnada carece de reglas sobre el alcance y contenido de los tratamientos de datos que autoriza”. Continúa manifestado el Tribunal, en su fundamento jurídico 9, que “De lo anterior se concluye que la ley no ha identificado la finalidad de la injerencia para cuya realización se habilita a los partidos políticos, ni ha delimitado los presupuestos ni las condiciones de esa injerencia,
Inteligencia artificial y derechos fundamentales
73
ni ha establecido las garantías adecuadas que para la debida protección del derecho fundamental a la protección de datos personales reclama nuestra doctrina, por lo que se refiere a la recopilación de datos personales relativos a las opiniones políticas por los partidos políticos en el marco de sus actividades electorales. De esta forma, se han producido tres vulneraciones del artículo 18.4 CE en conexión con el artículo 53.1 CE, autónomas e independientes entre sí, todas ellas vinculadas a la insuficiencia de la ley y que solo el legislador puede remediar, y redundando las tres en la infracción del mandato de preservación del contenido esencial del derecho fundamental que impone el artículo 53.1 CE, en la medida en que, por una parte, la insuficiente adecuación de la norma legal impugnada a los requerimientos de certeza crea, para todos aquellos a los que la recopilación de datos personales pudiera aplicarse, un peligro, en el que reside precisamente dicha vulneración y, por otra parte, la indeterminación de la finalidad del tratamiento y la inexistencia de «garantías adecuadas» o las «mínimas exigibles a la Ley» constituyen en sí mismas injerencias en el derecho fundamental de gravedad similar a la que causaría una intromisión directa en su contenido nuclear”. En definitiva, este análisis jurisprudencial nos pone de manifiesto como el tratamiento de datos puede constituir un elemento necesario para la vulneración del derecho a la libertad ideológica. El individuo queda sometido, como sujeto pasivo, a un tratamiento-manipulación de la información que elude la objetividad, y como consecuencia vicia el ejercicio del derecho a la libertad ideológica. Es tanto como contaminar la fuente que abastece al individuo en la conformación más absoluta del mismo, la ideológica. Ello contamina a su vez el pluralismo en todos sus ámbitos, político, social, ideológico, religioso y moral. Para eludir aquella manipulación, el sujeto debe realizar un esfuerzo significativo de formación, de cultura, que acceda a fuentes diversas de conocimiento, compare y realice una identificación o separación de lo objetivo y de lo subjetivo. Quizás sea ello una actividad desproporcionada en un mundo tecnológico, que demanda inmediatez, donde lo instantáneo es lo adecuado, y donde la saturación de información produce desinformación. Aquí triunfan los eslóganes, los titulares de periódicos, la información sin elaboración. Todo ello tiene una nefasta repercusión individual, y como consecuencia de ella, social. Es evidente que la tecnología de Big data que alimenta a la Inteligencia artificial ha producido ya un gran deterioro de la conformación ideológica de los ciudadanos, al igual que se aprecian ya iguales síntomas en la organización social, lo que es tanto como reconocer que tenemos ya afectadas las cuadernas de la nave, y las soluciones no se tornan sencillas. Aunque lo hemos apuntado de forma tangencial, merece en este apartado hacer una pequeña reflexión al respecto de la libertad ideológica, del concepto de globalización. La ordenación social de carácter mundial se sub-
74
Lucrecio Rebollo
divide hoy claramente en dos mundos, el occidental, donde prima en mayor o menor grado la democracia y la vigencia de los derechos; y el autocrático, que se sumerge en un oscurantismo informativa tergiversado. La globalización ha interconectado estos dos mundos, y ello tiene aspectos positivos y negativos. En los primeros cabe reseñar el conocimiento extenso que puede conseguirse de países que hasta hace poco no teníamos ni referencia de su existencia, a la vez que ellos pueden tener conocimiento de la existencia de otras formas de ordenar la vida social. El elemento más negativo para occidente es la vulnerabilidad respecto de la información o desinformación. Cada vez son más conocidas las claras evidencias de interacción de los regímenes autocráticos en los democráticos a través de los medios de información y comunicación. De forma más concreta cabría hablar de desinformación, o de generar confusión informativa. Las fake news son hoy en día un problema relevante, tanto a nivel estatal, como individual, y tienen como objetivo minar la libertad ideológica del ciudadano. Se constituye en un riesgo cierto para el Estado, para la organización social, y también para el individuo, ataca el corazón del Estado social y democrático de Derecho, y a lo más radical en la libre configuración de la persona. La facilidad con la que opera aquí la IA es asombrosa. A esta palpable práctica de desinformación de los regímenes autocráticos se suman otras muchas, como son los intereses comerciales, la presión ideológica que realizan los lobbys o grupos de interés, y los intereses geopolíticos, entre otros. En definitiva, la ideología es objeto de un conglomerado de intereses alejados de la objetividad o la neutralidad, y donde no sólo al individuo le es difícil entresacar conclusiones claras, sino que afecta también al Estado, que es igualmente sujeto pasivo de esta tensión. La circunstancia expuesta no es novedosa, es propia de la condición humana y acompañado al hombre desde el origen de su existencia, pero la novedad y por consiguiente, el peligro, es ahora la facilidad para desdibujar los elementos que históricamente hemos utilizado para conformar la ideología. Las herramientas clásicas, la mentira, la distorsión de la realidad, la retorsión del lenguaje, la posverdad, entre otras, se ven catapultadas por el uso de la IA, y se hace ello con una manejabilidad y con una eficacia asombrosa. El algoritmo es un fiel servidor de su creador, es una potentísima herramienta de control y de materialización del poder en la más amplia concepción del concepto. Aunque sería más propio de un análisis sociológico de como se conforma hoy la ideología, parece evidente que el camino clásico que era la formación intelectual, o determinados contextos de formación (la tribu, la familia, el grupo, la sociedad) estos están variando en la actualidad, de igual forma que han variado los medios de acceso a la información y el conocimiento, o en todo caso, aunque persisten estas estructuras, su contenido nuclear se ve modificado por el uso de las nuevas tecnologías, y ello tiene una directa influencia en la manera en que se accede a contenidos que conforman la ideología, pero también en lo que respecta a como se reconfigura, a como se adapta o
Inteligencia artificial y derechos fundamentales
75
acomoda. Parece evidente que el individuo tiene hoy una mayor dificultad para estructurar su ideología, para componer su visión en lo personal y en lo global. 5.
Derecho a la información y libertad de expresión
La libertad de información y expresión constituye otro elemento troncal en nuestro sistema social, que puede verse afectado por el uso de Big data y la Inteligencia artificial, y que lo ha sido ya por la irrupción de Internet. El mundo de la información ha venido estando copado por grupos de información muy potentes, tanto en prensa, radio y televisión, y con una fuerte dependencia empresarial e ideológica, que configuraba la opinión pública. El ciudadano ha sido usuario indolente de su producción, y a la vez receloso de esta dinámica, y los ordenamientos jurídicos han entendido siempre la diversidad como garantía de pluralismo democrático, a la vez que exigía ciertas garantías en el ejercicio de la información, por ser una actividad profesionalizada. Por ello nuestro Tribunal Constitucional ya afirmaba en 1987 que la protección constitucional de las libertades comunicativas “alcanza su máximo nivel cuando la libertad es ejercitada por los profesionales de la información a través del vehículo institucionalizado de formación de la opinión pública que es la prensa entendida en su más amplia acepción” 44. Internet ha variado de forma radical esta realidad, y ahora la opinión pública se conforma parcialmente al modo clásico, es decir, proveniente de los grandes grupos de comunicación, pero a la vez el usuario de internet es también productor, emisor y receptor de información. Esta información está desprovista de la profesionalidad de los medios clásicos, a la vez que se desconocen en la mayoría de las ocasiones las pretensiones ideológicas o los intereses que las promueven. Ese gran entorno de libertad que constituye Internet, tiene una cara buena de fundamento de libertad, y otra indefectiblemente peligrosa, de manipulación y control informativo, que en la mayoría de las ocasiones se materializa en desinformación. Como manifiesta Capodiferro “recurrir al carácter de garantía institucional del sistema democrático que se ha atribuido a las libertades comunicativas para justificar una interpretación restrictiva de sus límites cuando se ejercen por particulares con un alcance que trasciende el entorno más cercano del sujeto activo o, directamente, defender la ausencia de controles sobre su ejercicio a través de Internet es realizar un brindis a una falsa libertad. Tal cosa supone privilegiar sin una justificación razonable la posición subjetiva del comunicante sobre la de quien ve vulnerado sus derechos a consecuencia de su actuación, ya sea como receptor del mensaje o como titular de un derecho de la esfera personal que resulta lesionado por el contenido de la comunicación” 45. STC 165/1987, f. j. 10. CAPODIFERRO CUBERO, D: “La libertad de información frente a Internet”. Revista de Derecho Político de la UNED nº 100, de 2017, pág. 710. 44 45
76
Lucrecio Rebollo
Como puede comprobarse, nuevas circunstancias, generan nuevos problemas. Por ello es conveniente hacer repaso de los contenidos doctrinales y jurisprudenciales troncales en esta materia. Como nos recuerda Salvador Martínez 46, “… Tradicionalmente, las Declaraciones de Derechos recogidas en textos constitucionales o en Tratados internacionales garantizaban un único derecho a la libertad de expresión, pero entendida ésta en un sentido amplio, como libertad comprensiva de las diferentes «libertades» que podía ejercer un ciudadano en tanto que emisor en cualquier proceso de comunicación: la libertad de expresar opiniones, la libertad de transmitir noticias, la libertad de expresarse artísticamente, la libertad de transmisión de conocimientos, etc... Posteriormente, algunas Constituciones y Declaraciones de Derechos reconocieron la existencia autónoma de la libertad de información respecto de la libertad de expresión. Y las Constituciones más modernas, entre las que se encuentra la nuestra, no sólo reconocen expresamente la libertad de información, como derecho fundamental autónomo, aunque estrechamente vinculado a la libertad de expresión, sino también la existencia de un derecho a la información. En efecto, la Constitución Española reconoce, por un lado, en el artículo 20.1.a) el «derecho a expresar y difundir libremente los pensamientos, ideas y opiniones mediante la palabra, el escrito o cualquier otro medio de reproducción» y, por otro lado, en el arto 20.1.d), el «derecho a comunicar o recibir libremente información veraz por cualquier medio de difusión». Nuestro Tribunal Constitucional ha manifestado con rotundidad, que el derecho a recibir información “es en rigor una redundancia (no hay comunicación cuando el mensaje no tiene receptor posible), cuya inclusión en el texto constitucional se justifica, sin embargo, por el propósito de ampliar al máximo el conjunto de los legitimados para impugnar cualquier perturbación de la libre comunicación social”, y continúa manifestando que “el derecho a la información es, como los restantes derechos reconocidos en el arto 20, un derecho de libertad frente al poder y un derecho común a todos los ciudadanos”. Por ello creemos muy acertada la utilización del concepto más amplio de derecho a la libre comunicación pública que utiliza Torres del Moral 47, puesto que el objeto tanto del derecho a la información, como de la libertad de información es el mismo, proteger la libre comunicación o transmisión de informaciones; solo que, en un caso, esa libre comunicación de informacio46 SALVADOR MARTÍNEZ, M: “El derecho a la información: una asignatura pendiente”, en la obra colectiva de M.A. García Herrera (ed.), Constitución y Democracia. 25 años de Constitución democrática en España, Editorial: CEPC-Servicio Editorial de la Universidad del País Vasco, Bilbao, 2006, páginas 545 a 557. 47 TORRES DEL MORAL, A: Principios de Derecho Constitucional español. 6º Ed. Servicio de Publicaciones de la Facultad de Derecho de la Universidad Complutense. Madrid 2010, pág. 435.
Inteligencia artificial y derechos fundamentales
77
nes se protege desde el punto de vista del emisor (libertad de información) y, en el otro, desde el punto de vista del receptor (derecho a la información). Como sigue manifestando el autor que venimos citando, “La libertad de comunicación pública, que ha tenido tradicionalmente y sigue teniendo una naturaleza esencialmente negativa, de rechazo de injerencias externas, se adorna en la actualidad de ciertos ribetes positivos porque demanda la actuación de los poderes públicos para la ordenación de los medios de comunicación que sirven de soporte material a dicha libertad. Este enfoque está expresamente asumido por el art. 20.3 de la Constitución en relación con los medios de titularidad pública, pero, a mi juicio, es extensible a otros, principalmente en el ámbito de la radiodifusión y de la televisión”. Acertadamente continúa manifestando el autor que venimos citando, que: “La libertad de comunicación pública convierte a las personas en ciudadanos activos que compiten en el mercado ideológico, de modo similar a como lo hacen en el mercado económico, para defender sus ideas e intereses. Esta comunicación libre ayuda a que los grupos tomen conciencia de sus intereses y de sus posibilidades de satisfacción en el sistema político” 48. Otro aspecto importante delimitado por la jurisprudencia del Tribunal Constitucional en la diferenciación entre libertad de información y expresión se concreta en los límites. Como manifiesta Salvador Martínez, “La diferenciación que el Tribunal Constitucional realiza entre la libertad de expresión y la de información tiene como consecuencia la existencia de dos tipos de límites: en primer lugar, los límites generales y externos, entre los que se encuentran los referidos a los derechos de la personalidad (arts. 20.4 y 18.1 de la Constitución), que afectan tanto a la libertad de expresión como a la libertad de información; y, en segundo lugar, dos límites específicos e internos, la veracidad y el interés público, cuyo respeto se exige exclusivamente para el legítimo ejercicio de la libertad de información. Así pues, de acuerdo con la interpretación de nuestro Tribunal Constitucional, la libertad de información no protege la transmisión de cualquier tipo de informaciones, sino sólo aquellas que respeten los requisitos de veracidad e interés público. Han de concurrir, pues, estos dos requisitos: que se trate de difundir información sobre un hecho noticioso o noticiable, por su interés público, y que la información sobre tal hecho sea veraz. En ausencia de alguno de estos dos requisitos la libertad de información no está constitucionalmente respaldada y, por ende, su ejercicio podrá afectar, lesionándolo, a alguno de los derechos que como límite enuncia el art. 20.4 CE” 49. Como consecuencia de esta argumentación jurídica, en nuestro ordenamiento la diferenciación o delimitación entre libertad de expresión y la libertad de información es relevante en la práctica, solo para solventar el choque entre estas libertades y los derechos de la personalidad (honor, intimidad y propia imagen). De Ibidem, pág. 436. Obra citada, pág. 550 y 551.
48 49
78
Lucrecio Rebollo
esta forma, “en los casos en que se produzca una colisión entre los citados derechos, es preciso, de acuerdo con la jurisprudencia constitucional, determinar si estamos ante el ejercicio de la libertad de expresión o de la libertad de información, pues, para que el ejercicio de la libertad de información sea legítimo, es preciso que se respeten los dos citados límites internos (veracidad y relevancia pública), que no rigen sin embargo para el ejercicio de la libertad de expresión. Por el contrario, en los casos en los que no se produzcan este tipo de colisiones resulta irrelevante si el contenido del mensaje son opiniones o hechos; en estos casos el Tribunal Constitucional se refiere conjuntamente a «las libertades de expresión e información» sin distinguir entre una y otra, de modo que la estructura y el contenido de la libertad que el ciudadano ejerce, los obligados por ese derecho, los límites generales, las garantías específicas y la posible suspensión del derecho son iguales, tanto si se expresan opiniones, como si se divulgan hechos” 50. También es relevante, que nuestro Tribunal Constitucional ha otorgado secularmente una posición preferente de la libertad de información respecto de los límites establecidos en el art. 20.4 CE, y se argumenta para ello que “… dada su función institucional, cuando se produzca una colisión de la libertad de información con el derecho a la intimidad y al honor, aquélla goza, en general, de una posición preferente, y las restricciones que de dicho conflicto puedan derivarse a la libertad de información deben interpretarse de tal modo que el contenido fundamental del derecho a la información no resulte, dada su jerarquía institucional, desnaturalizado ni incorrectamente relativizado”. No obstante, esta prevalencia se condiciona a la ponderación de las circunstancias concretas de cada conflicto, y en todo caso habrá de determinarse, como requisitos para considerar legítimo el ejercicio de la libertad de información, la veracidad de la información difundida y el interés público de la misma. El entramado jurídico expuesto, obedece a unos medios de comunicación que en la actualidad han variado de forma muy significativa. Como manifiesta Pauner Chulvi, “Debe reconocerse que las nuevas tecnologías han permitido la concurrencia de numerosos instrumentos alternativos a los medios «clásicos» de difusión de la información y hoy en día la web está dominada por contenidos generados por los usuarios, reconvertidos en los principales actores de la comunicación del siglo XXI, y por información compartida, vista y recibida por no profesionales. En este contexto, resulta más difícil reconocer qué elementos caracterizan el ejercicio profesional e incluso puede no resultar unívoco definir la misma profesión periodística … Entendemos, sin embargo, que estas actividades de difusión de información personal a través de las redes sociales no deben quedar exentas con carácter general de los principios en materia de protección de datos, habida cuenta
Ibidem, pág. 552.
50
Inteligencia artificial y derechos fundamentales
79
de los cada vez más invasivos modos en los que la información personal se maneja y difunde públicamente en las redes sociales” 51. Hoy existen una multiplicidad de los conocidos como generadores de contenidos, que ya, y cada vez menos, tienen una referencia con los medios de comunicación clásicos (prensa, radio y televisión). Además de ello la información fluye en todos los sentidos, y no como lo hacía tradicionalmente. El mundo de la información y la comunicación ha variado de forma ostensible, y continuará haciéndolo. Como nos recuerda Pariser “El coste de producir y distribuir medios de comunicación de todo tipo -palabras, imágenes, videos y audio vía streaming- continuará cayendo, acercándose cada vez más a cero. A raíz de ello recibiremos un aluvión de opciones a las que prestar atención y seguiremos sufriendo de . Los gestores, ya sean humanos o software, serán más importantes que nunca y nuestra dependencia con respecto a esto a la hora de determinar qué noticias debemos consumir aún más creciente. Los redactores profesionales humanos son caros, mientras que codificar es barato. Dependemos cada vez más de una combinación de redactores no profesionales (nuestros amigos y colegas) y códigos informáticos para decidir qué mirar, leer y ver. Este código recurrirá al poder de la personalización y desplazará a los redactores profesionales humanos” 52. Si a ello le añadimos que no existe en nuestro país ningún grupo de comunicación, o medio individualmente considerado, que sea económicamente sostenible con sus propios ingresos, parece claro que el panorama variará radicalmente en no mucho tiempo. Pero todas estas novedades no suponen que tengamos que eliminar de nuestro ordenamiento jurídico las argumentaciones doctrinales y jurisprudenciales al respecto de esta materia, pero sí es obvio que requieren reinterpretaciones y actualizaciones, dado que las necesidades han variado de forma muy significativa 53. En la Unión Europea no faltan pronunciamientos judiciales que suponen el inicio de argumentos jurídicos de cómo solventar las nuevas necesidades normativas. Los reconocimientos son bastantes coincidentes y podríamos agruparlos bajo un denominador común, prácticamente todos son de corte clásico. La Carta de Derechos Fundamentales de la UE, reconoce en su art. 11 la Libertad de expresión y de información con el siguiente texto: “1. Toda persona tiene derecho a la libertad de expresión. Este derecho comprende la libertad de opinión y la libertad de recibir o de comunicar in-
51 PAUNER CHULVI, C: “La libertad de información como límite al derecho a la protección de datos personales: La excepción periodística”. En Teoría y Realidad Constitucional, UNED, núm. 36 de 2015, pág. 383. 52 Obra citada, pág. 59. 53 En el mismo sentido es interesante la opinión de PRESNO LINERA, M. A: Derechos fundamentales e inteligencia artificial. Marcial Pons. 2022, páginas 52 a 60.
80
Lucrecio Rebollo
formaciones o ideas sin que pueda haber injerencia de autoridades públicas y sin consideración de fronteras. 2. Se respetan la libertad de los medios de comunicación y su pluralismo. Por su parte, el CEDH, en su art. 10 y bajo el título de libertad de expresión establece que: 1. Toda persona tiene derecho a la libertad de expresión. Este derecho comprende la libertad de opinión y la libertad de recibir o de comunicar informaciones o ideas, sin que pueda haber injerencia de autoridades públicas y sin consideración de fronteras. El presente artículo no impide que los Estados sometan a las empresas de radiodifusión, de cinematografía o de televisión a un régimen de autorización previa. 2. El ejercicio de estas libertades, que entrañan deberes y responsabilidades, podrá ser sometido a ciertas formalidades, condiciones, restricciones o sanciones previstas por la ley, que constituyan medidas necesarias, en una sociedad democrática, para la seguridad nacional, la integridad territorial o la seguridad pública, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, la protección de la reputación o de los derechos ajenos, para impedir la divulgación de informaciones confidenciales o para garantizar la autoridad y la imparcialidad del poder judicial”.
El RGPD hace excepción de la vigencia del derecho a la protección de datos de carácter personal con respecto a las denominadas informaciones periodísticas. De forma concreta el art. 85, bajo el título de Tratamiento y libertad de expresión y de información, establece que: 1. Los Estados miembros conciliarán por ley el derecho a la protección de los datos personales en virtud del presente Reglamento con el derecho a la libertad de expresión y de información, incluido el tratamiento con fines periodísticos y fines de expresión académica, artística o literaria. 2. Para el tratamiento realizado con fines periodísticos o con fines de expresión académica, artística o literaria, los Estados miembros establecerán exenciones o excepciones de lo dispuesto en los capítulos II (principios), III (derechos del interesado), IV (responsable y encargado del tratamiento), V (transferencia de datos personales a terceros países u organizaciones internacionales), VI (autoridades de control independientes), VII (cooperación y coherencia) y IX (disposiciones relativas a situaciones específicas de tratamiento de datos), si son necesarias para conciliar el derecho a la protección de los datos personales con la libertad de expresión e información. 3. Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte de conformidad con el apartado 2 y, sin dilación, cualquier modificación posterior, legislativa u otra, de las mismas.
El Considerando 153 del texto que venimos analizando, concreta algo más, al establecer que “El tratamiento de datos personales con fines exclusi-
Inteligencia artificial y derechos fundamentales
81
vamente periodísticos o con fines de expresión académica, artística o literaria debe estar sujeto a excepciones o exenciones de determinadas disposiciones del presente Reglamento si así se requiere para conciliar el derecho a la protección de los datos personales con el derecho a la libertad de expresión y de información consagrado en el artículo 11 de la Carta. Esto debe aplicarse en particular al tratamiento de datos personales en el ámbito audiovisual y en los archivos de noticias y hemerotecas. Por tanto, los Estados miembros deben adoptar medidas legislativas que establezcan las exenciones y excepciones necesarias para equilibrar estos derechos fundamentales. Los Estados miembros deben adoptar tales exenciones y excepciones con relación a los principios generales, los derechos del interesado, el responsable y el encargado del tratamiento, la transferencia de datos personales a terceros países u organizaciones internacionales, las autoridades de control independientes, la cooperación y la coherencia, y las situaciones específicas de tratamiento de datos. Si dichas exenciones o excepciones difieren de un Estado miembro a otro debe regir el Derecho del Estado miembro que sea aplicable al responsable del tratamiento. A fin de tener presente la importancia del derecho a la libertad de expresión en toda sociedad democrática, es necesario que nociones relativas a dicha libertad, como el periodismo, se interpreten en sentido amplio.” Conviene recordar que la Ley Orgánica 3/2018 no concreta nada al respecto de esta materia. Algo más clarificadora ha sido la jurisprudencia del TJUE al respecto de la materia. El Tribunal se pronuncia en el asunto Buivids 54 acerca de la aplicación de las limitaciones previstas en la normativa de protección de datos, cuando se difunden, a través de una plataforma de Internet, imágenes de otras personas grabadas por un usuario, y en concreto, si esta actividad puede constituir un tratamiento de datos personales con fines periodísticos. Los hechos que originaron el presente litigio son los que se describen a continuación. El señor Buivids grabó en vídeo, en los locales de una comisaría letona, su propia declaración. El video, en el que aparecían varios policías en el ejercicio de sus funciones, fue publicado por el señor Buivids en la plataforma www.youtube.com sin el consentimiento de los policías. En este contexto, la Autoridad de control de Protección de Datos letona consideró que el señor Buivids había infringido la normativa de protección de datos, al no haber informado sobre la finalidad del tratamiento a los policías y le requirió para que suprimiera el vídeo de la plataforma. Tras ver desestimadas sus pretensiones en primera y segunda instancia, el señor Buivids recurre ante el Tribunal Supremo de Letonia, que a su plantea cuestiones prejudiciales ante el TJUE, que de forma concreta tratan de aclarar dos aspectos: en primer lugar, si la grabación de funcionarios policiales en el ejercicio de sus funciones y su posterior publicación en YouTube es una 54 Asunto C-345/17. Sentencia del Tribunal de Justicia UE (Sala Segunda) de 14 de febrero de 2019.
82
Lucrecio Rebollo
actividad comprendida en la normativa de protección de datos; y en segundo lugar, si esta actividad puede entenderse como un tratamiento de datos personales con fines periodísticos. En la respuesta a la primera cuestión prejudicial, el TJUE, de acuerdo con los precedentes jurisprudenciales al respecto, afirma que las imágenes de una persona grabadas por una cámara y su posterior publicación en una página de Internet constituyen un tratamiento de datos personales de acuerdo con la normativa (apartados 31 y 35 de la sentencia). Además, en la medida en que el señor Buivids publicó las imágenes sin restricciones de acceso, no puede considerarse que el tratamiento se realice en el marco de actividades exclusivamente personales o domésticas. Tampoco el hecho de que sean funcionarios públicos excluye, a juicio del TJUE, la aplicación de la normativa de protección de datos. Por tanto, la cuestión relevante se centra en concretar si el tratamiento de datos llevado a cabo por el señor Buivids constituye una actividad con fines periodísticos. En este sentido, el Tribunal confirma su jurisprudencia anterior de acuerdo con la cual, el termino periodismo no se limita a medios de comunicación profesionales, sino que incluye actividades que tienen por finalidad “divulgar al público información, opiniones o ideas por cualquier medio de transmisión” (apartado 53 de la sentencia). Siendo así, una grabación como la controvertida, esto es, efectuada por una persona no periodista profesional y publicada en una plataforma de compartición de contenidos, puede constituir una actividad periodística. A juicio del TJUE, el tribunal remitente debe comprobar si la actividad controvertida tiene como única finalidad la divulgación al público de información, opiniones o ideas (apartado 59 de la sentencia). Para realizar este análisis, el TJUE aporta ciertos criterios que deben ser tenidos en cuenta: que la actividad contribuya a crear un debate de interés general; el objeto del reportaje; el comportamiento anterior del interesado; el contenido; la forma y las repercusiones de la publicación; la forma y las circunstancias en que se obtuvo la información; su veracidad; y las medidas adoptadas para mitigar el alcance de la injerencia en el derecho de la intimidad. La sentencia tiene especial importancia porque delimita la interpretación que debe realizarse de la excepción “con fines periodísticos”, que debe incluir a periodistas no profesionales, como pueden ser blogueros o usuarios, así como los conocidos de forma genérica como generadores de contenidos, es decir, cualquier persona. La libre comunicación es, inexorablemente, otro de los pilares de nuestra ordenación social, clave en la conformación ideológica del ciudadano, esencial en un aspecto de la libertad, necesario para el pluralismo social, y elemento estructural básico de los sistemas democráticos. Existe una lectura quizás más clarificadora en sentido negativo, de tal forma que en la medida que se limita, manipula o condiciona la libertad de comunicación pública, el individuo es menos libre y la sociedad en la que se integra, menos demo-
Inteligencia artificial y derechos fundamentales
83
crática, y el tratamiento masivo de datos, y el uso de la Inteligencia artificial, ofrecen la posibilidad, bastante accesible, de limitar, manipular, o condicionar la libre comunicación, a la vez que generalizar la desinformación o confusión informativa. Se constituyen en una clara amenaza al derecho objeto de estudio, y la normativa y la construcción jurídica existente son insuficientes para hacerle frente. La jurisprudencia, al igual que la legislación, no conforman la realidad con carácter absoluto. La primera resuelve un conflicto jurídico, normalmente interpretativo o aplicativo; la segunda tiene una pretensión ordenadora en base a un fin, pero no garantiza tampoco la consecución total del mismo. Ambos son mecanismos de eficacia parcial e independientes de otros muchos elementos. Son herramientas necesarias, pero insuficientes, y en el ámbito que nos ocupa, queda evidente su eficacia parcial. Se requieren nuevos mecanismos jurídicos. Aunque en el apartado final de este trabajo se exponen una amplitud de soluciones y propuestas, cabe adelantar aquí, que la primera medida para paliar esta situación es la transparencia en el uso de los algoritmos que producen y tratan la información, así como también de aquellos que la seleccionan o reorientan. El algoritmo se constituye en una potente herramienta al servicio del poder, en su más amplio sentido de la expresión, de intereses concretos, y opera de forma oculta, sin posibilidad de contrapeso, de límite o de mecanismo de reequilibrio. La ausencia de conocimiento de su uso, o de la transparencia en su utilización lo convierten en un medio de manipulación de información, y singularmente de los medios a través de los que esta se transfiere. Esta circunstancia nos hace retrotraernos varios siglos atrás en nuestra conformación social. Más allá de las necesidades jurisprudencial, legislativas y doctrinales, el ciudadano también debe irse acomodando a ciertas circunstancias novedosas. Durante mucho tiempo se ha atenido a lo escrito, visto y oído como realidades inmutables, como verdades absolutas. Esta circunstancia debe ir variando, el ciudadano debe asumir que todo lo que se escribe, se ve u oye, tiene un variable grado de coincidencia con la realidad que puede cuantificarse numéricamente. Interiorizar esta técnica de filtrado de la información debe constituir en la actualidad una práctica habitual, a la que indefectiblemente ayuda el conocimiento de su proceso de elaboración, o la transparencia en su generación. Nuevas circunstancias deben generar nuevos hábitos, es la materialización del efecto acción-reacción, tan propio de la condición humana. 6.
Derecho a la igualdad
Como nos recuerda Gómez Sánchez 55, el principio de igual está inexorablemente unido al surgimiento del Estado de Derecho, y aunque existe una 55 GÓMEZ SÁNCHEZ, Y: Constitucionalismo Multinivel. Derechos Fundamentales. 4ª Ed. UNED y Sanz y Torres. Madrid 2018, páginas 283 y 284.
84
Lucrecio Rebollo
primera aportación del Estado liberal, su surgimiento y plasmación jurídica devendrá con el surgimiento del Estado social, de tal forma que “La población ya no demandaba la abstención del Estado y el libre desenvolvimiento de la sociedad civil, sino que ahora solicitaba servicios y prestaciones públicas. Pero este nuevo Estado interventor transforma también el principio de igualdad. Esta transformación se opera cuando se abandona en parte la concepción de la igualdad como un punto de partida y se defiende, sin embargo, la igualdad como una finalidad y sobre todo como un instrumento de transformación social, lo cual, por otro lado, era uno de los postulados principales del Estado social. Podríamos, incluso, enunciar la tesis de manera más radical ya que el Estado liberal no podía crear una sociedad en la que la igualdad primaria, pues ello hubiera resultado incompatible con sus principios estructurales. Sólo en un Estado social que propugna la redistribución y la nivelación social se podía defender un principio de igualdad que se superponga a las desigualdades naturales. ... Será el constitucionalismo posterior a la Segunda Guerra Mundial (que también extenderá la implantación de la justicia constitucional), el que definitivamente incorpore esta nueva versión del principio de igualdad que ahora emerge como una igualdad material (también denominada real, efectiva o de oportunidades) que a partir de entonces coexiste con el más tradicional principio de igualdad formal, en sus manifestaciones de igualdad ante la ley e igualdad en la ley.” Este concepto jurídico de igualdad no ha dejado de ampliarse y concretarse en los ordenamientos jurídicos modernos, alcanzado prácticamente a todos los ámbitos de la vida social, y con sus respectivos traslados al ámbito jurídico, y también a la sociedad digital de forma muy pareja y coetánea en tiempo. Puede afirmarse que la concreción del derecho fundamental a la igualdad tiene su plasmación en el contexto de la sociedad digital, en dos formulaciones esenciales, la Red neutral y el principio de acceso universal a la Red, aspectos que analizamos por separado a continuación.
6.1. Red Neutral Internet es el mayor y mejor instrumento de cambio social conocido en la era de la humanidad. No hay ninguna otra creación humana parangonable con ello, y afortunadamente se ha conseguido sin menoscabo de vidas humanas, es el producto del desarrollo humano y de las capacidades del hombre. Hoy se ha convertido en algo consustancial al ser humano y a la organización social, a la vez que se constituye en el mecanismo de máxima proyección para el ser humano. El estudio de su conformación y regulación se ha instituido en una parte esencial del Derecho, y no sólo nacional, sino también internacional. Existe al respecto de la Red y el Derecho una concepción de espacio de libertad, este trasfondo es el que acuña el concepto de Red como ciberlibertaria, y que encuentra sus orígenes en la Declaración de Independencia del
Inteligencia artificial y derechos fundamentales
85
Ciberespacio. Parte de la idea de que la Red no es propiamente un sujeto material, por lo cual debe ser ajeno a la influencia de poderes políticos y también del Derecho. El ciberespacio sería así una realidad inmaterial, únicamente regulada por la voluntad de sus partícipes (autorregulación). Ello tiene un fuerte componente imaginario e ilusorio, próximo a un mundo virtual eternamente feliz. Esta concepción de Internet y también del Metaverso, que podría tener cierto encuadre en 1996, ahora está muy lejos de la realidad, pero curiosamente, está muy presente y es objetivo esencial de muchos sectores ideológicos y políticos. Pero es irrealizable, si bien no teóricamente, sí en la práctica. Por mucho que se quiera configurar un mundo distinto en el ciberespacio, la persona es parte integrante de él, y la persona y sus relaciones sociales son las que determinan su conformación. El hombre cuando se inserta en el mundo virtual no queda desposeído de sus características o condicionamientos, la condición humana no se filtra, de tal modo que desparezcan todos los elementos negativos inherentes a él. De esta forma, lo relevante no es el contexto, el mundo que conformamos, sea real o virtual, lo determinante son las personas. Hace 10.000 años los medios para cometer delitos eran muy precarios, pero se cometían. Hoy siguen existiendo delitos, injusticias y muchos desequilibrios, y la necesidad de que la sociedad establezca soluciones a ellos. Poco hay de nuevo en las relaciones personales y sociales, y en la condición humana. Las personas siguen siendo violentas o pacíficas, egoístas o humanitarias, racionales o irracionales, sigue existiendo el robo, el crimen, la violencia, la pobreza, la marginación y la violación de derechos fundamentales, a pesar de que ha variado de forma muy considerable el contexto humano. Los avances tecnológicos no despojan al ser humano de sus características innatas, al igual que tampoco desmontan las relaciones sociales. En un mundo virtual, si hay humanos habrá bondad y maldad, habrá solidaridad y egoísmo, habrá amor y odio, habrá libertad y sometimiento, y habrá también violencia y concordia. En definitiva, existirá, al igual que en el mundo real, lo que es innato al ser humano. Por ello, las relaciones humanas requieren de normas para ordenar la convivencia, y se requiere del poder político como contrapeso necesario y como garante del bien común o del interés general. Internet necesita de los mecanismos clásicos de la ordenación social, a la cabeza de los cuales se encuentra el Derecho. Es utópico o ilusorio entender a la Red como un ámbito exento de regulación jurídica, sería tanto como volver a las primeras formas de organización social, donde el más fuerte o la teocracia, en sus distintas vertientes, eran las formas de ordenación, o en todo caso es una forma de asegurar la anarquía más absoluta, y como ocurre ahora con el mundo Woke en las redes sociales, a la arbitrariedad y sometimiento más puro de los usuarios. El problema ahora no es si la Red debe estar sometida y regulada por el Derecho, circunstancia ésta indiscutible, la cuestión es cómo se articula ese Derecho y qué vigencia tiene. La primera gran dificultad proviene de un
86
Lucrecio Rebollo
límite propio de aquél, que tiene una radicación estatal, donde la vigencia de las normas coincide con la extensión territorial del Estado. Pero la Red no tiene fronteras, ni físicas, ni temporales, por lo que se introduce la necesidad de regulación jurídica. Para solventar este conflicto han sido muy útiles las regulaciones supraestatales o regionales, como ocurre con el Consejo de Europa y la Unión Europea, pero se adolece de una normativa efectiva de carácter internacional. Constatada la realidad expuesta, no es menos cierto que al respecto de la Red se vienen aplicando determinados principios que en gran medida tienen carácter universal. Quizás el de más amplio reconocimiento sea el de la necesidad de una Red neutral. El principio de neutralidad de Red establece que la información sea transmitida sin discriminación, esto es, que sea tratada con igualdad, independientemente de su naturaleza, origen, destino, o cualquier otra circunstancia. El término neutralidad de la Red lo acuñó Tim Wu, en 2003, y se constituye hoy en uno de elementos centrales para la comprensión de la relación entre Derecho e Internet. Hablar de neutralidad de la Red es hablar de uno de los principios fundamentales para el funcionamiento de Internet. Según este principio, toda la información o dato que circule por la Red debe ser tratado de la misma forma y sin importar quien lo emite o quien lo vaya a recibir. Este principio suele chocar frontalmente con los intereses comerciales. Las grandes empresas, como Google, consideran que sus datos son más valiosos, en tanto tienen más demanda, por lo que deberían ser tratados con preferencia y así mejorar sus servicios. Al igual que este criterio, surgen otros muchos que postulan o justifican una intervención o discriminación en el tránsito de los datos por la Red. Desde los orígenes de la Red, se ha sido consciente de que los ciudadanos y las empresas tienen derecho a que el tráfico de datos recibido o generado no sea manipulado, tergiversado, impedido, desviado, priorizado o retrasado en función del tipo de contenido, del protocolo o aplicación utilizado, del origen o destino de la comunicación, ni de cualquier otra consideración ajena a la de su propia voluntad. Junto a ello, no debemos olvidar que proteger la neutralidad de la red supone también proteger otros derechos fundamentales de los ciudadanos. En 2005, la FCC de Estados Unidos (Federal Communications Commission), estableció las cuatro libertades de Internet (acceso, uso, conexión de terminales y competencia), añadiendo en 2007 dos libertades adicionales: transparencia y no discriminación. Estos son hoy los principios básicos que sustentan la conformación universal de la Red. Se cumplen en distinto grado dependiendo de los Estados y de las circunstancias concretas de cada país. No obstante, puede extraerse de forma pacífica la conclusión de que a mayor nivel de desarrollo económico y democrático, más y mejor se cumplen los principios enunciados.
Inteligencia artificial y derechos fundamentales
87
Aunque la neutralidad de la Red sea un principio fundamental de Internet y debería considerarse como uno de los derechos fundamentales de los ciudadanos en la misma, lo cierto es que no son pocas las prácticas destinadas a alterarla. Consciente de esta realidad, el Parlamento Europeo, en noviembre de 2017 aprueba la Resolución The open internet and net neutrality in Europe, con objeto de que se vaya conformando una normativa que evite la intervención en la Red que suponga discriminación en el tráfico y tratamiento de los datos. En principio, y de forma muy genérica, puede utilizarse la definición de Red neutral como aquella que permite comunicación de punto a punto sin alterar su contenido. También puede delimitarse de forma sencilla utilizando el principio en virtud del cual, los proveedores de servicios de Internet y los gobiernos que la regulan, deben tratar todo tráfico de datos que transitan por la Red de igual forma, sin aplicar criterios que puedan afectar al contenido, o a los medios usados. A ello hemos de añadir que la neutralidad de la Red comprende dos compromisos de no discriminación diferentes: uno de servicio universal; y otro de servicio público de transporte. El primero es la llamada neutralidad de la red lite, que mira hacia el pasado y que reivindica que los usuarios de Internet no deberían estar en desventaja por las prácticas de los proveedores de Internet. El argumento es que se debe prestar un nivel mínimo de servicio que ofrezca acceso abierto a Internet sin bloquear o degradar aplicaciones o protocolos específicos, lo que se ha descrito como una versión actualizada del servicio universal y que en general se propone a 2 Mbps. Esto proporciona un nivel básico de servicio que en último término todos los abonados deberían recibir. La llamada neutralidad de la red positiva, con vistas al futuro, describe una práctica según la cual la oferta de una mayor calidad de servicio a precios más altos debe realizarse en condiciones justas, razonables y no discriminatorias a todos los interesados, lo que supone un equivalente moderno del servicio público o common carriage. Se trata de un principio más discutible, y muchos proveedores de contenidos y operadores establecen sus políticas de mercado, a lo que no puede oponerse ninguna objeción desde la perspectiva jurídica. Como el principio de servicio público o common carriage, dicta los términos, pero no las condiciones específicas del mercado, la transparencia y la no discriminación no se traducirían automáticamente en una pluralidad de servicios. Como puede comprobarse, la regulación de la Red es una cuestión compleja, en la que intervienen una multiplicidad de factores y donde los eslóganes o conclusiones fáciles son pura demagogia o defensa de un interés particular. La primera y más clara deducción que hemos de obtener al respecto de la Red es su necesidad de regulación jurídica, a la que se suma la intervención de los poderes públicos, con objeto de garantizar su finalidad social. Indefectiblemente estas dos aportaciones deben tener un carácter supranacional, o de forma más concreta, la normativa debe tener ámbito universal.
88
Lucrecio Rebollo
Las normas del Estado, y su poder político, son ahora inertes ante la revolución que supone el uso de la Red, y obligan a una regulación de carácter universal. De igual forma, y como venimos argumentado, debe ser prioridad del Estado, garantizar el acceso a Internet sin que exista desigualdad o diferenciación alguna, ya sea de carácter social, económico, técnico, cultural o de otra índole. El principio de igualdad como elemento básico del Estado social, se debe traducir en el ámbito de la sociedad digital en la pretensión de la mayor libertad posible, a la vez que compaginado con el principio de igualdad, o en su vertiente negativa, de no discriminación de acceso o de tránsito de contenidos. Esta tarea no se plantea como sencilla, máxime en un mundo tan mercantilizado y basado en el consumo, como es el actual, pero en todo caso, es tarea inexcusable del Estado garantizar este derecho. El papel que juega la IA respecto de la Red neutral es capital. La posibilidad de filtrar, distorsionar, modificar, sesgar o limitar contenidos, en definitiva, de discriminar en función de los sujetos, es algo cotidiano en ámbitos como la información, la actividad comercial, política y de forma más genérica, social. En el mismo momento en que pasamos del ámbito estatal al universal en los postulados de la Red neutra, nos encontramos con un enorme problema, y al que ya hemos hecho referencia. La división del mundo en dos grandes bloques, países democráticos y regímenes autocráticos, al que se suman los posicionamientos geoestratégicos y geopolíticos, descomponen la sencillez de las propuestas de solución. Varían por completo las pretensiones, y por tanto, las posibilidades de implantación con carácter universal. Existen dos mundos contrapuestos, pero que no son desconocidos el uno del otro, a la vez que no son permeables, más bien al contrario, se repelen e intentan neutralizarse. De esta forma los países y entornos autocráticos usan la Red como elemento de control, y sus actuaciones están muy alejadas de un espacio de libertad y menos aún, poseen una justificación en la igualdad. Obedecen en esencia a intereses de poder, a pretensiones ideológicas, muy alejadas de los principios en los que se sustentan las ordenaciones sociales de los países occidentales, en los cuales es frecuente perder la perspectiva universal, y olvidar la máxima de que vivimos en un mismo mundo, en el que hay muchas realidades. Pero no debemos ser ilusos, la Red es una potentísima herramienta de poder político, económico, cultural, social, un gran espacio de libertad, y de igual forma, de control y sometimiento, y esto es aplicable a los dos mundos que hemos referido, el occidental y democrático, y el autocrático. La neutralidad de la Red debe ser una aspiración, pero no es una realidad, ni en los países democráticos, ni en los autocráticos. Lo cual no es óbice para puntualizar las grandes diferencias que se dan entre uno y otro mundo. En los países democráticos la Red presenta unas características de sometimiento o control a intereses comerciales, de grupos de presión o de interés, y precisamente por tener un menor control ideológico, también a la injerencia difusa de los regímenes autocráticos. Por el contrario, en los paí-
Inteligencia artificial y derechos fundamentales
89
ses carentes de democracia, y aunque no desconocedores de dicho mundo, la neutralidad de la Red se ve perturbada por la ideología o por los fines políticos, y se justifica, curiosamente, en el objetivo del beneficio social, incluso en muchas ocasiones en la propia igualdad. Rusia, China o Irán son claros ejemplos de esta tesitura.
6.2. El acceso universal a internet Frank La Rue, relator especial sobre promoción y protección del derecho de libertad de expresión, presentó un informe a la Asamblea General de la ONU en el que recomendó consolidar el acceso a Internet como derecho fundamental. Manifiesta que dado el poder especial que le confería su carácter interactivo, Internet debería considerarse un elemento necesario para el ejercicio de muchos derechos en la esfera socioeconómica y para la promoción de la diversidad cultural en el mundo. Con dicho informe comenzó a gestarse el desarrollo del acceso a Internet como derecho fundamental. La resolución fue aprobada recientemente, aunque contó con el rechazo de países como Rusia, China, Arabia Saudita, Sudáfrica e India, quienes mostraron dudas respecto de la conveniencia de la redacción final del texto. Hay que tener en cuenta que en dichos países son frecuentes las limitaciones parciales o temporales de acceso a la Red, a la vez que no tienen un concepto de derechos fundamentales homologable a países democráticos. La resolución aboga por garantizar el acceso a Internet, ya que “facilita vastas oportunidades para una educación asequible e inclusiva a nivel mundial”, o proporciona otros recursos para la educación, y en especial pretende evitar la brecha digital. De forma concreta se establece que se “Exhorta a todos los Estados a que consideren la posibilidad de formular, mediante procesos transparentes e inclusivos con la participación de todos los interesados, y adoptar políticas públicas nacionales relativas a Internet que tengan como objetivo básico el acceso y disfrute universal de los derechos humanos”. Como bien conocemos, esta normativa no tiene vinculación jurídica, si bien supone un punto de inicio para que los Estados regulen la materia y una aspiración próxima de los países menos desarrollados. Pero el problema esencial al respecto del acceso universal se plantea en la doctrina en referencia a si debe o no clasificarse como un derecho fundamental, es decir en igual necesidad de protección a los ya incluidos en esta categoría máxima de garantía. El primer elemento que debemos clarificar es el de considerar si el acceso a Internet es en realidad un derecho, y además un derecho fundamental (derecho humano en la terminología anglosajona). Para Vinton Cerf, inventor del protocolo TCP/IP y uno de los padres de Internet, en ocasiones estamos pasando por alto el punto más importante: la tecnología es un facilitador de los derechos, no un derecho en sí, por ello es un error colocar
90
Lucrecio Rebollo
cualquier tecnología en esta máxima categoría, ya que con el tiempo terminaremos valorando las cosas equivocadas. Según Cerf para que algo tenga consideración de derecho humano debemos tener más altura de miras. Un derecho básico debe ser una de las cosas que, como seres humanos, necesitamos para llevar vidas saludables y significativas, como la libertad, la condena de la tortura o la libertad de conciencia. Es un error colocar cualquier tecnología en esta máxima categoría. Cerf pone un ejemplo muy clarificador: hace tiempo, si no tenías un caballo era difícil ganarse la vida. Pero el derecho importante en ese caso era el derecho a ganarse la vida, no el derecho a un caballo. De la misma manera, ningún país decretó nunca que todo el mundo tuviera derecho a un teléfono. El padre de Internet considera que el teléfono nos acercó a la noción de servicio universal (en el que también está la electricidad y, por qué no, una conexión a Internet de banda ancha), pero que no debemos confundir servicio universal con derecho humano. Los avances científicos y tecnológicos presentes en un mundo globalizado como el que caracteriza nuestra sociedad actual tienen, de forma clara y directa, impacto en los derechos fundamentales. El surgimiento de nuevas tecnologías, como Internet, han cambiado el ejercicio de derechos como el acceso a la información, libertad de asociación, libertad de expresión y pensamiento, el derecho a la educación, la salud, pero a la vez han incidido o hecho más vulnerables otros derechos, como el derecho a la seguridad, la intimidad, la libertad ideológica, la igualdad, la libertad de expresión e información, entre otros. Las nuevas tecnologías no solo producen bienestar o comodidad, también libertad y facilidad para el ejercicio de derechos y libertades fundamentales. Como indica Miranda 56 el derecho de acceso a internet “debe considerarse un derecho social, o más bien una pretensión subjetiva que debe ser satisfecha con prestaciones públicas, al igual que el derecho a la educación, de la salud y la prevención social. Un servicio universal que las instituciones nacionales deben garantizar a sus ciudadanos a través de inversiones estatales, y políticas sociales y educativas. En efecto, cada vez más el acceso a la red de internet, y el desarrollo de esa actividad, constituye el modo en el cual el sujeto se relaciona con los poderes públicos, y por lo tanto, ejerce sus derechos. El uso de internet se está convirtiendo en una herramienta imprescindible para la libertad de expresión y para el acceso a la información. Más que una posibilidad de comunicación se está convirtiendo en una necesidad debido al periodo de globalización que hoy se vive. En este sentido, los Estados tienen la obligación de promover el acceso universal a internet para garantizar el disfrute efectivo del derecho a la libertad de expresión. El acceso a internet también es necesario para asegurar el respeto de otros derechos, como el derecho a la educación, la atención de la salud y el trabajo, 56 MIRANDA BONILLA, H: “El acceso a internet como derecho fundamental”. En Revista Jurídica IUS Doctrina nº 15 de 2016, pág. 9 y ss.
Inteligencia artificial y derechos fundamentales
91
el derecho de reunión y asociación, y el derecho a elecciones libres”. Esta argumentación doctrinal del derecho de acceso a internet como derecho humano, fundamental o constitucional, ha tenido su fundamentación esencialmente en Italia 57, en Hispanoamérica 58, y también en Alemania 59, y se viene asentando doctrinalmente en el sustrato ya consolidado del derecho a la igualdad, y singularmente a la igualdad de oportunidades. Si Internet es ya, y lo será en un futuro inmediato cada vez más, el motor del desarrollo social, no existe la menor duda de que hay una correlación esencial con el derecho a la igualdad, de igual forma que ocurriera en siglos pasados con la educación o el acceso a la cultura, como elemento de dinamización social y desarrollo individual. En igual grado en que el ciudadano se aleja del desarrollo tecnológico, se distancia de la necesaria integración social. La importancia del acceso a internet como forma de eliminar la desigualdad se ha plasmado en la normativa, y de forma concreta, la LO 3/2018, en su art. 97, relativo a “Políticas de impulso de los derechos digitales”, por parte de los poderes públicos, se obliga al Gobierno, en colaboración con las CC. AA., a elaborar un “Plan de Acceso a Internet”, con tres objetivos fundamentales: a) superar las brechas digitales, garantizando la accesibilidad a Internet de colectivos vulnerables o con necesidades especiales, mediante medidas como un bono social de acceso a Internet; b) impulsar la existencia de espacios públicos para la conexión a Internet; c) fomentar la formación en competencias y habilidades digitales básicas, así como la capacidad de todas las personas para realizar un uso autónomo y responsable de las tecnologías digitales, mediante medidas educativas. Por otra parte, prevé la aprobación de un Plan de Actuación enfocado a promover acciones de formación, difusión y concienciación para un uso equilibrado y responsable de los dispositivos digitales y de las redes sociales por parte de los menores, a fin de garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y derechos fundamentales. Como nos recuerda Zapatero Martín 60, en el seno de la Asamblea General de las Naciones Unidas, se ha aprobado la Agenda 2030 para el Desarrollo 57 Entre otros, FROSINI, V: Cibernética, Derecho, Internet y sociedad. Lex-Olejnik. Santiago de Chile. 2019; RODOTÁ, S: La vida y las reglas. Trotta. 2010. 58 Obra citada de Miranda Bonilla. 59 Por todos HOFFMANN-RIEM, W: Big Data. Desafíos también para el Derecho. Traducción de López Pina. Cívitas Thomson-Reuters. Madrid 2018. 60 En REBOLLO DELGADO, L y ZAPATERO MARTÍN, P: Derechos Digitales. Dykinson, Madrid 2019, páginas 207 y ss.
92
Lucrecio Rebollo
Sostenible que, en su Objetivo 9 61, contempla la construcción de infraestructuras resilientes, la promoción de la industrialización inclusiva y sostenible, así como el fomento de la innovación. Una de las metas planteadas es el aumento significativo del acceso a la tecnología de la información y las comunicaciones, a fin de proporcionar acceso universal y asequible a Internet en los países menos adelantados antes de 2020. Por otra parte, su “Objetivo 4 62”, se centra en garantizar una educación inclusiva, equitativa y de calidad, promoviendo oportunidades de aprendizaje para todos. Se reconoce que la educación es la base para mejorar la calidad de vida y, especialmente, “el acceso a la educación inclusiva y equitativa puede ayudar a abastecer a la población local con las herramientas necesarias para desarrollar soluciones innovadoras a los problemas más grandes del mundo”. Por su parte, en el ámbito de la UE, se ha adoptado una Agenda Digital para Europa 63, cuya principal finalidad es el establecimiento de un mercado único digital, basado en una Internet rápida en aplicaciones interoperables. La Agenda pretende fomentar la innovación, el crecimiento económico y la mejora de la vida cotidiana tanto para los ciudadanos como para las empresas. En el citado documento, se reconoce la existencia de carencias en la alfabetización y capacitación digitales, que llevan a producir la exclusión de muchos ciudadanos de la sociedad y la economía digitales, por lo que resulta necesaria una reacción coordinada de los Estados miembros para garantizar que los ciudadanos puedan acceder a los servicios de Internet de modo muy rápido y a un precio competitivo. Con esta finalidad, se propone la elaboración de una política global, basada en una combinación de tecnologías, que se centre en dos objetivos: en primer lugar, garantizar la cobertura universal de la banda ancha, con velocidades de internet que vayan aumentando gradualmente hasta los 30 Mbps; en segundo lugar, con el tiempo, incrementar el despliegue de las redes de acceso de nueva generación (NGA) para hacer posibles conexiones ultrarrápidas en una gran parte del territorio de la UE. En el marco de dicha política global, las autoridades competentes estarán obligadas a garantizar que las obras de ingeniería civil, públicas y privadas, tengan en cuenta las redes de banda ancha y el cableado dentro de los edificios, aplicando derechos de paso y cartografiando las infraestructuras pasivas disponibles adecuadas para el cableado. En definitiva, la política europea deberá fomentar una gestión eficiente del espectro de la radiodifusión, imponiendo la utilización de determinadas frecuencias del dividendo digital para la banda ancha inalámbrica, garantizando cierta flexibilidad y respetando la competencia y la innovación.
https://www.un.org/sustainabledevelopment/es/infrastructure/ https://www.un.org/sustainabledevelopment/es/education/ 63 https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2010:0245:FIN: ES:PDF 61 62
Inteligencia artificial y derechos fundamentales
93
Por último, conviene reseñar, que el Parlamento Europeo ha dictado un conjunto de mandatos sobre la materia, y de forma concreta, en la Resolución de 2017 64 incorpora un apartado de no discriminación en el que se pone de manifiesto lo siguiente: “19. Hace hincapié en que, como consecuencia de los conjuntos de datos y sistemas de algoritmos que se utilizan al hacer evaluaciones y predicciones en las distintas fases del tratamiento de datos, los macrodatos no solo pueden resultar en violaciones de los derechos fundamentales de los individuos sino, también, en un tratamiento diferenciado y en una discriminación indirecta de grupos de personas con características similares, en particular en lo que se refiere a la justicia e igualdad de oportunidades en relación con el acceso a la educación y al empleo, al contratar o evaluar a las personas o al determinar los nuevos hábitos de consumo de los usuarios de los medios sociales; 20. Insta a la Comisión, a los Estados miembros y a las autoridades encargadas de la protección de datos a que definan y adopten las medidas que se impongan para minimizar la discriminación y el sesgo algorítmico y a que desarrollen un marco ético común sólido para el tratamiento transparente de los datos personales y la toma de decisiones automatizada que sirva de guía para la utilización de los datos y la aplicación en curso del Derecho de la Unión; 21. Pide a la Comisión, a los Estados miembros y a las autoridades de protección de datos que evalúen de manera específica la necesidad, no solo de transparencia algorítmica, sino también de transparencia en relación con posibles sesgos en los datos de capacitación utilizados para hacer inferencias sobre la base de los macrodatos; 22. Recomienda que las empresas lleven a cabo evaluaciones periódicas sobre la representatividad de los conjuntos de datos, que consideren si los conjuntos de datos se ven afectados por elementos sesgados, y que desarrollen estrategias para superarlos; pone de relieve la necesidad de examinar la exactitud e importancia de las predicciones basadas en el análisis de los datos teniendo presente las preocupaciones de carácter ético y la equidad”.
A nuestro juicio, tanto el concepto de red neutral, como el de acceso universal a internet, se constituyen en medios necesarios para hacer efectivo el derecho a la igualdad en un mundo globalizado. La cuestión doctrinal a dilucidar es si estos son derechos, o tienen carácter instrumental, o entidad suficiente para ser considerados derechos fundamentales, y lo más importante, cómo juega esta categorización en relación con la Inteligencia artificial y
64 Resolución del Parlamento Europeo, de 14 de marzo de 2017, sobre las implicaciones de los macrodatos en los derechos fundamentales: privacidad, protección de datos, no discriminación, seguridad y aplicación de la ley (2016/2225(INI).
94
Lucrecio Rebollo
el uso masivo de datos, o planteado desde otra perspectiva, se hace necesario dotarles de un mayor grado de protección frente a esta nueva amenaza. La realidad es que hoy hay un conjunto enorme de ciudadanos ubicados en lo que se denomina la periferia digital, apátridas digitales, excluidos de la vigencia de uno de los principios organizadores de la sociedad básicos, como es el de la igualdad, y el acceso universal a Internet se constituye en una herramienta necesaria para paliarlo. Si hemos de posicionarnos al respecto de las dos materias abordadas en este apartado, la Red neutral y el acceso universal a Internet, a mi juicio no se constituyen en un derecho fundamental, pero son determinantes para la vigencia del derecho fundamental a la igualdad, son para él un colaborador necesario, una herramienta esencial de inclusión y no discriminación. Es una corriente extendida hoy, incluso dentro de los estudiosos del Derecho, de elevar todo a la categoría de derecho fundamental. Se hace ello con el loable propósito de ofrecer un mayor nivel de garantía y de protección. Pero el jurista debe deslindar con claridad los propósitos de los medios, y en el ámbito de las nuevas tecnologías esta circunstancia se multiplica de forma exponencial, es probable que sea debido a la desnudez jurídica con que nacen. Pero esta circunstancia no nos debe hacer perder de vista lo sustantivo, lo esencial, lo sine qua non. En este grupo hay que incluir el derecho a la igualdad, pero no las formas de llevarlo a cabo o hacerlo efectivo. Pero ello no puede aminorar la importancia que las dos pretensiones que hemos analizado en este apartado tienen en la actualidad, y singularmente para alzar a un número enorme de personas al ámbito de lo digital, como elemento insoslayable de mejora en sus condiciones de vida, y de medio para conseguir la vigencia de la mayoría de los derechos fundamentales y, esencialmente, del derecho a la igualdad.
CAPÍTULO IV PROPUESTAS JURÍDICAS SOBRE INTELIGENCIA ARTIFICIAL Y DERECHOS FUNDAMENTALES
A lo largo de estos tres capítulos hemos realizado una aproximación a la Inteligencia artificial, a su delimitación, y hemos atendido de forma especial a su relación con el uso masivo de datos y sus implicaciones, así como al estudio de las propuestas normativas y tendencias doctrinales y jurisprudenciales más recientes. En el Capítulo III hemos intentado poner de manifiesto los problemas que la IA plantea en su relación con el Derecho, entendido éste como medio secular para solventar conflictos sociales y promover los elementos consustanciales al hombre, la libertad, la dignidad humana y la búsqueda de su felicidad, tanto individual como colectiva. Nos toca ahora realizar la parte más compleja, la de aportar soluciones. La tarea realizada es descriptiva, constatadora, de recopilación y ordenación de los que es objeto de análisis, la tarea por realizar es abordar las propuestas de solución. Como hemos manifestado, las soluciones a los problemas humanos no pueden ser aisladas, deben ser holísticas, desde todas las perspectivas, desde todas las ciencias, puesto que el objeto de estudio no es unidimensional, ni se puede aislar por completo. Nuestra propuesta no es absoluta, arrancamos de la idea de que es una parte de un todo. Las propuestas que realizamos son esencialmente jurídicas, quizás en algunas ocasiones con los necesarios ribetes políticos, pero son primordialmente el producto de un aspecto consustancial al individuo y a la organización social que conocemos por el concepto de Derecho, cuya característica más destacada es la ejecutividad, la obligatoriedad de su cumplimiento, lo cual no es un plus de valía con respecto a otras ciencias, pero si un elemento determinante de su eficacia. 1.
Empoderamiento del titular de los datos
Resulta inquietante la despreocupación con que los usuarios proporcionan información personal en su día a día, en actividades cotidianas, desde la cumplimentación de un formulario clínico, las autorizaciones para la publicación de imágenes de los niños en la página web o redes sociales de los co-
96
Lucrecio Rebollo
legios, los mensajes o imágenes compartidas a través de WhatsApp, hasta la información de todo tipo publicada en redes sociales. Esta despreocupación resulta especialmente alarmante en los más jóvenes, sin duda, el colectivo más vulnerable, que no dudan en ceder información personal para acceder a servicios en internet, simplemente porque son gratuitos 65. La sociedad digital ha supuesto que podamos acceder a una gran cantidad de servicios de manera gratuita, obtengamos información, investigamos, nos relacionamos con otros, escuchamos música o vemos películas y, todo ello aparentemente de forma gratuita. Sin embargo, no somos conscientes de que el precio que pagamos son nuestros propios datos, en suma, nuestra identidad digital. Somos nosotros mismos la mercancía a intercambiar por el acceso a esos servicios digitales. Los expertos han acuñado una frase para hacer referencia a esta reflexión: “cuando algo es gratis, el producto eres tú”. De algún modo, mantenemos una vida analógica y una vida digital y es, en esta última, en la que nos comportamos de una manera poco cauta en lo que se refiere a nuestros datos. El problema se agrava cuando esa información es subida a la Red, debido a que es muy difícil eliminarla. Por lo que las conductas, actividades, opiniones o imágenes que, en un momento dado, se han publicado, de alguna manera nos persiguen durante el resto de nuestras vidas. Se comparte contenido que puede afectarnos en un futuro sin ser conscientes de la permanencia de esa información, o en todo caso, de la ardua tarea que supone ejercer el derecho a retirar todos esos contenidos de la Red. Si bien es cierto que esta actividad ya lleva mucho tiempo comercializada, es decir, que existen empresas que tienen como actividad la limpieza, ocultación, o el borrado de nuestros datos en Internet, no es menos cierto que ello tiene un coste económico, y siempre es una tarea ingrata tener que eliminar contenidos relativos a nosotros que nos desagradan, a lo que hay que añadir la ingente cantidad de datos que ponemos en la Red. El usuario debe ser consciente de la cantidad de información que revelamos cuando, por ejemplo, navegamos por la Red y ni tan siquiera nos planteamos qué ocurre con nuestra información cuando un servicio desaparece o es adquirido por un tercero. Hay, sin embargo, expertos que consideran que somos plenamente conocedores de la situación pero que accedemos, un tanto ingenuamente, porque la recompensa obtenida, el servicio gratuito, nos merece la pena. Incluso se ha acuñado un término “datamania” para referirse a esa continua obsesión de muchos usuarios de la Red – los llamados “datasexual” - de generar contenido personal a través de las redes sociales exponiendo de manera diaria todas y cada una de las actividades realizadas o experiencias vividas. Los sociólogos y los psicólogos han explicado que la conducta más desinhibida de las personas en la Red se produce por la falta de inmediatez, es 65 Ver a este respecto la obra de GIL ANTÓN, A. Mª: El derecho a la propia imagen del menor en internet. Dykinson. Madrid 2013.
Inteligencia artificial y derechos fundamentales
97
decir, no somos conscientes de que la información no se comparte únicamente con el dispositivo que estamos utilizando, sino con un potencialmente ilimitado público, a lo que deben sumarse las actividades empresariales que tienen como fin específico la recopilación de datos. En nuestro comportamiento en la vida analógica salvaguardamos nuestra privacidad porque simplemente somos conscientes de la amenaza que supone para nosotros la presencia física, inmediata y tangible, de terceras personas, o en todo caso, usamos mecanismos deductivos para valorar el riesgo, por el contrario, en el mundo digital no existe esa inmediatez, ni tampoco la apreciación del riesgo. En la actualidad los datos respecto del uso de redes sociales son asombrosos. Mark Zuckerberg recientemente dio a conocer que, en un solo día, 1billón de personas se habían conectado a Facebook, es decir, ese día uno de cada siete habitantes del planeta había usado la red social. De igual forma, se observa un cambio de tendencia en la percepción de los usuarios respecto a la confianza que en relación con la privacidad les ofrecen las empresas que recaban sus datos personales. El Informe anual sobre confianza online publicado por Truste en febrero de 2014 concluye que los usuarios (un 92% de los encuestados) muestran una mayor preocupación por su privacidad personal respecto al año anterior, se muestran más reticentes a compartir sus datos personales y están aumentando los niveles de protección sobre los mismos. De tal manera que el 83% evita hacer clic en los anuncios, un 80% intenta no usar aplicaciones móviles sobre las que no consideren que custodien su privacidad, y un 74% no se mostró dispuesto a compartir su ubicación cuando usa el móvil para evitar cualquier posibilidad de rastreo digital. Existen multitud de iniciativas dirigidas a la educación e información de los usuarios de Internet, enfocadas particularmente en los más jóvenes, como por ejemplo la Think before you post (piensa antes de publicar) en Estados Unidos. Campaña encaminada a concienciar a los adolescentes de las repercusiones en su vida personal de la actividad llevada a cabo en Internet; o en España: las recomendaciones emitidas por la Brigada de Investigación Tecnológica de la Policía Nacional y Guardia Civil sobre el uso seguro, privado y responsable de los dispositivos conectados a Internet; la Guía de recomendaciones sobre los derechos de los niños y niñas y deberes de los padres y madres (2008) o las Recomendaciones a Usuarios de Internet (2009) de la Agencia Española de Protección de Datos, entre otras publicaciones de entidades y organizaciones destinadas a concienciar y educar sobre el uso de Internet. La autoridad de control española realiza prácticamente todos los años campañas de concienciación al respecto del uso de tecnologías e Internet, bien de forma individual, o en colaboración con diversos organismos estatales o privados. Incluso han surgido servicios de eliminación de datos y perfiles de las diferentes redes sociales: tal es el caso de Web 2.0 Suicide Machine, plataforma que pretende borrar nuestra información personal y nuestros contactos en Facebook, LinkedIn, MySpace o Twitter de manera irreversible.
98
Lucrecio Rebollo
Es esencial que los usuarios sean conscientes del problema y participen de manera activa mediante la prestación del consentimiento informado al tratamiento de sus datos personales, para lo que resulta fundamental la lectura detenida de los Términos y Condiciones de Uso o Políticas de Privacidad, o de Protección de Datos de las plataformas que van a proceder al recabado y tratamiento de nuestros datos personales, antes de aceptar la prestación de los servicios respectivos. En la medida en que el usuario es más consciente de sus derechos, su pretensión de seguridad es también mayor. En esta labor vienen colaborando de forma muy significativa y eficaz las autoridades de control, que realizan una actividad divulgativa de los riesgos y los derechos sumamente eficaz, y que, en todo caso, debe intensificarse. Igual tarea debe acometer la Administración Pública, que debe realizar una actividad constante de concienciación al usuario, tanto en el ámbito de los derechos que posee, como en el de modos de uso y entendimiento de la sociedad digital. Parece excesiva la propuesta que realiza Pariser 66, en la que recomienda una alfabetización algorítmica, en la que se recomienda aprender “los elementos básicos de programación, a la que se añade la pretensión para protegernos de la personalización y los filtros burbuja cambiando nuestra propia conducta, dado que parece más sencillo, que todo código algorítmico tenga obligatoriamente que ser conocido, y no su funcionamiento, pero sí los parámetros que utiliza y singularmente cuál es su finalidad de resultado, en definitiva, la transparencia de las finalidades, hacer visibles los procesos para los usuarios, al igual que se hace como muchos elementos complejos y muy técnicos que afectan a nuestras decisiones, que existen medios de simplificarlos y hacerlos comprensibles al gran público”. Nos parece excesiva esta afirmación, porque al ciudadano, es lógico que se le debe exigir que sea consciente y cauto, conocedor de los posibles riesgos, o de forma algo más genérica, que tenga una actitud de cierto recelo ante la tecnología, pero entiendo que en ningún caso debe exigírsele que tenga un alto conocimiento, a nivel técnico, de las funciones algorítmicas que usa la Inteligencia artificial. Parece esta una tarea más propia del Estado, o de otros organismos privados, que del ciudadano. En todo caso, la concienciación del usuario no debe estar justificada únicamente en la preservación del derecho a la intimidad, la propia imagen o la protección de datos de carácter personal. Debe ir bastante más allá, y adquirir conciencia individual y de la proyección social que implican los tratamientos de datos masivos aplicados a la Inteligencia artificial. Como hemos puesto de manifiesto, las vulneraciones del derecho a la igualdad, la libre comunicación pública, o la libertad ideológica tienen un plano de repercusión individual y otro colectivo. Al ciudadano le corresponde la obligación de velar en igual medida por la garantía de ambos, puesto que los dos son elementos esenciales de su vida. Se debe ir trasladando esa pretensión individualizada de pro Obra citada, pág. 225.
66
Inteligencia artificial y derechos fundamentales
99
tección a un ámbito más genérico, más moral que ético, más colectivo que individual. Esta concienciación, afortunadamente está extendida en muchos ámbitos, de los cuales es valioso ejemplo la ecología y la solidaridad, pero que debe ampliarse también al ámbito de la sociedad digital. Hemos elegido en término de empoderamiento, porque es el que se viene utilizando en el ámbito de la Unión Europea 67, y porque tiene una pluralidad de significados. El Diccionario de la Lengua Española le atribuye dos acepciones que son muy útiles en su aplicación concreta a la protección de datos y de forma más genérica en relación con la sociedad digital. La primera de ellas entiende que empoderar es “hacer poderoso o fuerte a un individuo o grupo social desfavorecido”; y la segunda acepción lo refiere como “dar a alguien autoridad, influencia o conocimiento para hacer algo”. La conjunción sintetizada de ambas proyecta el objetivo que perseguimos como solución. De esta forma el ciudadano se ha visto atropellado por el desarrollo tecnológico, y lo ha ubicado en una situación de usuario, pero también de perjudicado o desfavorecido. A la vez el concepto empoderar proyecta una idea de acción, de acometer una actuación que se materializa, además de favorecer el conocimiento, en tener capacidad de influencia respecto de un fin. Aquí están las claves de toda actuación respecto de la IA, o de forma más genérica, en relación con la sociedad digital. En esta labor de empoderamiento, las autoridades de control, junto con las Administraciones públicas, deben realizar una labor de concienciación y promoción del conocimiento, tanto de los riesgos a que se somete el ciudadano, así como de los derechos de los que es titular, y de igual forma, una labor promocional de los derechos y la educación digital 68. El art. 57 del Reglamento 1725/2018 UE, otorga al Supervisor Europeo de protección de Datos la función de “promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento”, estableciendo a los niños como sujetos de especial énfasis en esta tarea. También se le atribuye una función de promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que le incumben. Idénticas funciones le otorga la LO 3/2018 a la Agencia Española de Protección de Datos, pero además de ello, el art. 97, relativo a las políticas de impulso de los derechos digitales, establece lo siguiente: “1. El Gobierno, en colaboración con las Comunidades Autónomas, elaborará un Plan de Acceso a Internet con los siguientes objetivos: a)
superar las brechas digitales y garantizar el acceso a Internet de colectivos vulnerables o con necesidades especiales y de entor-
La reciente Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital de 2022, utiliza el término con profusión. 68 Sobre esta materia puede consultarse el Capítulo VIII de la obra de REBOLLO DELGADO, L y ZAPATERO MARTÍN, P: Derechos Digitales. Dykinson 2019, páginas 205 a 224. 67
100
Lucrecio Rebollo
nos familiares y sociales económicamente desfavorecidos mediante, entre otras medidas, un bono social de acceso a Internet; b) impulsar la existencia de espacios de conexión de acceso público; y c) fomentar medidas educativas que promuevan la formación en competencias y habilidades digitales básicas a personas y colectivos en riesgo de exclusión digital y la capacidad de todas las personas para realizar un uso autónomo y responsable de Internet y de las tecnologías digitales. 2. Asimismo se aprobará un Plan de Actuación dirigido a promover las acciones de formación, difusión y concienciación necesarias para lograr que los menores de edad hagan un uso equilibrado y responsable de los dispositivos digitales y de las redes sociales y de los servicios de la sociedad de la información equivalentes de Internet con la finalidad de garantizar su adecuado desarrollo de la personalidad y de preservar su dignidad y derechos fundamentales. 3. El Gobierno presentará un informe anual ante la comisión parlamentaria correspondiente del Congreso de los Diputados en el que se dará cuenta de la evolución de los derechos, garantías y mandatos contemplados en el presente Título y de las medidas necesarias para promover su impulso y efectividad”. Podemos concluir que el concepto de empoderamiento en la sociedad digital se basa en dos pilares: el conocimiento que el individuo tebe tener respecto de los riesgos; y singularmente la conciencia de la vigencia de sus derechos. Si estos dos objetivos están necesitados de desarrollo de forma general para la sociedad digital, en lo referido a la IA, podemos afirmar que deben multiplicarse los esfuerzos, debido a que operan de forma oculta, no son fáciles de constatar, y de forma genérica, requieren un elevado nivel de conocimiento técnico. Ello nos hace derivar más la actuación hacia las instituciones y órganos públicos, singularmente a las autoridades de control, que sobre el propio ciudadano. Hemos referido que el art. 23 de la Ley 15/2022, integral para la igualdad de trato y la no discriminación, establece un mandato específico a las Administraciones públicas para que favorezcan “la puesta en marcha de mecanismos para que los algoritmos involucrados en la toma de decisiones que se utilicen en las Administraciones públicas tengan en cuenta criterios de minimización de sesgos, transparencia y rendición de cuentas…”. Ahora bien, este mandato queda considerablemente limitado por el mismo texto, puesto que afirma a continuación “siempre que sea factible técnicamente”. Ello supone una deficiencia de técnica legislativa, que deja sin eficacia jurí-
Inteligencia artificial y derechos fundamentales
101
dica y limita la seguridad jurídica, respecto de lo afirmado con anterioridad. Supone un enorme portillo jurídico. También conviene tener en cuenta que la vigencia de la norma citada lo es con respecto a las Administraciones públicas, y los dispositivos que ella utilice, dejando fuera de la regulación, todos los dispositivos de IA de la empresa privada o los realizados por particulares, si bien se deja abierta, como no puede ser de otro modo, “a las iniciativas europeas entorno a la IA”. En resumen, se pone de manifiesto la endeblez normativa al respecto de la IA, y sobremanera, a la necesidad de control y transparencia que repercuta en un conocimiento concreto por parte del ciudadano del empleo de sistemas de IA, y singularmente, de normativa que lo empodere y otorgue facultades amplias de su aplicación en aquello que le afecte. 2.
Decisiones individuales automatizadas y elaboración de perfiles
En la actualidad, y como hemos puesto de manifiesto, el tratamiento masivo de datos y el uso de la Inteligencia artificial no poseen una regulación específica en la Unión Europea, ni tampoco en los Estados miembros. Hay que recordar a este respecto, que viene siendo frecuente desde principios de los años ochenta, la iniciativa de las instituciones europeas en la regulación inicial del uso de las nuevas tecnologías, y son los Estados miembros los que complementan o puntualizan estas normativas. Pese a ello, del RGPD pueden extraerse contenidos que pueden ser útiles en la pretensión de regulación. De forma concreta y en lo referido a Big data, realiza algunas referencias tangenciales. El art. 27.2 a), habla de tratamiento a gran escala cuando establece la obligación de designar responsable en la UE en el supuesto de responsable o encargados del tratamiento no establecidos en la misma. También lo referencia de forma explicativa el Considerando 80. El art. 35, cuando establece la obligatoriedad de las evaluaciones de impacto, las aplica a los tratamientos a gran escala. El art. 37, cuando establece la obligación de la figura del Delegado de Protección de Datos, también lo relaciona el supuesto de tratamiento a gran escala de categorías especiales de datos. Pero el contenido del RGPD que tiene un mayor contenido regulador respecto al tratamiento masivo de datos y al uso de la Inteligencia artificial es el art. 22, relativo a las decisiones individuales automatizadas, incluida la elaboración de perfiles. Establece lo siguiente: 1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar. 2. El apartado 1 no se aplicará si la decisión:
102
Lucrecio Rebollo
a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento; b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o c)
se basa en el consentimiento explícito del interesado.
3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión. 4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado. Los considerandos 71 y 72 abundan en la argumentación del artículo citando, estableciendo que “El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar, como la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna. Este tipo de tratamiento incluye la elaboración de perfiles consistente en cualquier forma de tratamiento de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Sin embargo, se deben permitir las decisiones basadas en tal tratamiento, incluida la elaboración de perfiles, si lo autoriza expresamente el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento, incluso con fines de control y prevención del fraude y la evasión fiscal, realizada de conformidad con las reglamentaciones, normas y recomendaciones de las instituciones de la Unión o de los órganos de supervisión nacionales y para garantizar la seguridad y la fiabilidad de un servicio prestado por el responsable del tratamiento, o necesario para la conclusión o ejecución de un contrato entre el interesado y un responsable del tratamiento, o en los casos en los que el interesado haya dado su consentimiento explícito. En cualquier caso, dicho tratamiento debe estar
Inteligencia artificial y derechos fundamentales
103
sujeto a las garantías apropiadas, entre las que se deben incluir la información específica al interesado y el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión tomada después de tal evaluación y a impugnar la decisión. Tal medida no debe afectar a un menor. A fin de garantizar un tratamiento leal y transparente respecto del interesado, teniendo en cuenta las circunstancias y contexto específicos en los que se tratan los datos personales, el responsable del tratamiento debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado y se impidan, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o que den lugar a medidas que produzcan tal efecto. Las decisiones automatizadas y la elaboración de perfiles sobre la base de categorías particulares de datos personales únicamente deben permitirse en condiciones específicas”. Por último, el Considerando 72 encomienda al Comité Europeo de Protección de Datos la tarea de “formular orientaciones en este contexto”. Pero el inconveniente de esta regulación es que no todo tratamiento masivo de datos queda sometido al RGPD, debido a que la limitación que establecen los artículos 1 y 4 del propio texto, hacen que su aplicabilidad se limite única y exclusivamente a los tratamientos de carácter personal y referidos a informaciones relativas a una persona física identificada o identificable. De igual forma, tampoco es de aplicación el RGPD cuando no es posible la identificación de los individuos, o requiera un esfuerzo desproporcionado. El art. 4.1 del RGPD exige dos valoraciones o criterios para determinar este supuesto: la razonabilidad en la disposición de medios técnicos o humanos; y en la proporcionalidad de los esfuerzos para poder identificar de forma directa o indirecta a la persona. Como establece el Considerando 26 del RGPD la necesidad de que los datos de personas físicas se refieran a personas identificadas o identificable, para que pueda darse la aplicabilidad del Reglamento supone que los principios de protección de datos no deben aplicarse a la información anónima, ni a los datos convertidos en anónimos, de forma tal que el interesado o titular de los datos ya no es identificable. Esta regulación debe completarse con la vigencia de la Directiva 58/2002 69, que en su Considerando 26 establece que “Los datos relativos 69 DIRECTIVA 2002/58/CE DEL PARLAMENTO EUROPEO y del CONSEJO, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas.
104
Lucrecio Rebollo
a los abonados que son tratados en las redes de comunicaciones electrónicas para el establecimiento de conexiones y la transmisión de información contienen información sobre la vida privada de las personas físicas, y afectan al derecho de éstas al respeto de su correspondencia, o se refieren a los intereses legítimos de las personas jurídicas. Dichos datos sólo deben poder almacenarse en la medida en que resulten necesarios para la prestación del servicio, para fines de facturación y para los pagos de interconexión, y durante un tiempo limitado. Cualquier otro tratamiento de dichos datos que el proveedor de servicios de comunicaciones electrónicas disponibles al público pretenda llevar a cabo para la comercialización de servicios de comunicaciones electrónicas o para la prestación de servicios de valor añadido sólo puede permitirse si el abonado ha manifestado su consentimiento fundado en una información plena y exacta facilitada por el proveedor de servicios de comunicaciones electrónicas disponibles al público acerca del tipo de tratamiento que pretende llevar a cabo y sobre el derecho del abonado a denegar o a retirar su consentimiento a dicho tratamiento. Los datos sobre tráfico utilizados para la comercialización de los servicios de comunicaciones o para la prestación de servicios de valor añadido deben también eliminarse o hacerse anónimos tras la prestación del servicio. Los proveedores de servicios deben mantener siempre informados a los abonados de los tipos de dato que están tratando y de la finalidad y duración del tratamiento”. De forma concreta el art. 6.1 del texto que venimos refiriendo, relativo a los datos de tráfico en la redes sociales, establece que “Sin perjuicio de lo dispuesto en los apartados 2, 3 y 5 del presente artículo y en el apartado 1 del artículo 15, los datos de tráfico relacionados con abonados y usuarios que sean tratados y almacenados por el proveedor de una red pública de comunicaciones o de un servicio de comunicaciones electrónicas disponible al público deberán eliminarse o hacerse anónimos cuando ya no sea necesario a los efectos de la transmisión de una comunicación”. Aún más concluyente es el art. 9.1, cuando afirma que “En caso de que puedan tratarse datos de localización, distintos de los datos de tráfico, relativos a los usuarios o abonados de redes públicas de comunicaciones o de servicios de comunicaciones electrónicas disponibles al público, sólo podrán tratarse estos datos si se hacen anónimos, o previo consentimiento de los usuarios o abonados, en la medida y por el tiempo necesarios para la prestación de un servicio con valor añadido. El proveedor del servicio deberá informar a los usuarios o abonados, antes de obtener su consentimiento, del tipo de datos de localización distintos de los datos de tráfico que serán tratados, de la finalidad y duración del tratamiento y de si los datos se transmitirán a un tercero a efectos de la prestación del servicio con valor añadido. Se deberá ofrecer a los usuarios y abonados la posibilidad de retirar en todo momento su consentimiento para el tratamiento de los datos de localización distintos de los datos de tráfico”. Como manifestara el G 29, la anonimización es el resultado de un tratamiento de los datos personales realizado para evitar de forma irreversible su
Inteligencia artificial y derechos fundamentales
105
identificación, y es el concepto de irreversible, lo que somete o no los datos a la vigencia del RGPD. Por el contrario, sí estarían bajo su vigencia los datos seudonimizados, en virtud del art. 4.5 del RGPD, puesto que únicamente requieren de la utilización de información adicional para hacer plenamente identificada o identificable a la persona. Un análisis meritorio del art. 22 del RGPD, es el realizado por Palma Ortigosa, a quien reproducimos en las siguientes conclusiones 70. Se plantea este autor ¿cuál es el problema del tratamiento definido en el art. 22.1 del RGPD? Para afirmar a continuación que “a diferencia de otros tratamientos específicos como las cesiones de datos donde claramente un responsable puede conocer de antemano si va a llevar a cabo o no cesiones de datos, el tratamiento reconocido en el 22.1 se compone de varios conceptos jurídicos indeterminados que obligan al responsable a valorar si el tratamiento que pretende implantar se encuadra en la definición del Art 22.1. De esta manera, derivado de esa inconcreción de la norma, por un lado, los propios responsables del tratamiento de buena voluntad desconocerán en muchos casos si realmente tal tratamiento que están llevando le es aplicable las reglas del Art.22, y, por otro lado, dado que este precepto establece unas mayores exigencias para los responsables, esto es; bases legales más restringidas para legitimar el tratamiento (Art 22.2) y la previsión de una batería de facultades específicas en favor de los titulares de los datos, ante situaciones dudosas de aplicación de este precepto, los responsables tenderán a huir de su aplicación por entender que el tratamiento que están llevando a cabo no se asimila al definido en el precepto que analizamos. Es por ello que se hace sumamente necesario esclarecer todos estos conceptos jurídicos que ayuden al conjunto de operadores jurídicos a determinar cuando el tratamiento concreto que se está llevando a cabo se subsume o no en el tratamiento reconocido en el Art. 22”. A continuación, pasa el autor a detallar las exigencias del artículo objeto de estudio. “El primer elemento que exige el RGPD para que se aplique el tratamiento reconocido en el Art 22 es que la decisión que se derive de dicho tratamiento sea automatizada. Es evidente por tanto que solo se encuadran en este precepto aquellas decisiones donde no exista o no haya existido presencia humana. De esta manera, el hecho de que el legislador europeo ponga su atención en las decisiones plenamente automatizadas pone en sobre aviso los especiales riesgos que para los particulares puede comportar este tratamiento … En el trasfondo de este precepto se palpa por tanto una desconfianza hacia las decisiones que pueda adoptar una máquina sin intervención de un humano. Son precisamente esos riesgos los que han llevado al legislador europeo a prever un tratamiento de datos personales de forma específica que lo diferencia del resto. Ahora PALMA ORTIGOSA, A: “Decisiones automatizadas en el RGPD. El uso de algoritmos en el contexto de la protección de datos”. Revista General de Derecho Administrativo º 50 de 2019. https://www.iustel.com/v2/revistas/detalle_revista.asp 70
106
Lucrecio Rebollo
bien, lo que a primera vista pudiera parecer obvio, esto es, que la decisión es totalmente automatizada, no siempre será fácil de deslindar y requerirá en su caso de un análisis del en la decisión. Es decir, hoy en día, la mayoría de las decisiones que se toman en las organizaciones no son completamente automatizadas, sino que generalmente, el resultado que indica el algoritmo es utilizado como apoyo o soporte con el que el humano finalmente toma una u otra decisión. Ello puede llevar a una aplicación residual de este precepto. Sin embargo, debido a la eficiencia de los sistemas algorítmicos en la toma de decisiones, cada vez se vuelve más irrelevante el papel del humano en dichas decisiones … Por consiguiente, la participación real se convierte en un elemento esencial a la hora de valorar la automatización o no de la decisión. Ello ha llevado a la doctrina a valorar el carácter o no significativo de la decisión, teniendo en cuenta la frecuencia con la que el responsable del tratamiento adopta decisiones finales en un sentido distinto al planteado por el algoritmo. Por consiguiente, en nuestra opinión, si de facto, la decisión que toma el algoritmo es la que finalmente acaba adoptándose por el humano sin realizar un análisis de tal decisión o simplemente existe una mera supervisión, hay que entender que tal decisión es plenamente automatizada y por tanto se incluiría en al ámbito de aplicación del Art.22”. Continúa manifestado el autor, que “Dicho esto, somos conscientes de que uno de los principales escollos a los que se enfrentan los particulares que se ven sometidos a este tipo de decisiones automatizadas es que no lleguen ni siquiera a ser consciente de ello debido a que el responsable del tratamiento no considere que tal decisión es automatizada, aunque de facto si lo sea”. En definitiva, concluye el autor que venimos citando, de lo dicho en este apartado resulta evidente que a la hora de valorar si la decisión es o no completamente automatizada, se deberá de acudir a la realidad fáctica efectiva de la decisión y no a lo que formalmente haya en su caso previsto el responsable. En este sentido, en el ámbito de la Inteligencia artificial, la confianza hacia estos sistemas aumenta progresivamente conforme la eficiencia del sistema autónomo mejora. Trasladado al ámbito de las decisiones automatizadas, el paso del tiempo hará que las decisiones automatizadas que ahora suelen utilizarse como un parámetro más de apoyo a la hora de tomar una decisión determinada, se conviertan en la regla a seguir, pudiendo llegar un momento de estandarización donde se pase de la desconfianza de la máquina, al recelo de la decisión que pueda adoptar un humano contraria a la que ha indicado el algoritmo, de manera que ya no se dude de la máquina sino de la persona. Parece claro, que es insuficiente la regulación del art. 22, en esencia porque su contenido es tangencial al núcleo de las disposiciones materiales de la norma en que se incluye, que es la protección de datos de carácter personal. Se constata con ello el argumento con anterioridad establecido, la nece-
Inteligencia artificial y derechos fundamentales
107
sidad de una regulación específica al respecto del uso masivo de datos con aplicaciones de Inteligencia artificial. Como constata Ottolia “parece que el método del artículo 22 comparta el método basado en la identificación de un principio, pero su aplicación real es decepcionante, ya que resulta debilitado por las excepciones” 71. También parece evidente que el dilema que se plantea en la aplicación del art. 22 y y de forma concreta en lo relativo a qué aspecto debe fijarse el control: si en la necesidad o no de la intervención humana; o en la necesidad de controlar si el tratamiento se atribuye únicamente al algoritmo que se aplique, no plantea complejidad. Como analizamos en el apartado siguiente, la transparencia requerida en los sistemas de tratamiento indiferencia a aquellos, lo relevante es que se conozca la finalidad de la programación del tratamiento. El desarrollo de la IA hace insuficiente la aplicación de límites exclusivos establecidos a las decisiones individuales automatizadas y a la elaboración de perfiles, ha desbordado estos límites, que ya en origen son débiles por la inconcreción y la falta de delimitación jurídica. El art. 22 del RGPD es útil al contexto de la protección de datos, pero no lo es para el control del uso de la IA aplicada a datos masivos. La norma está pensada para unas funcionalidades que han sido ampliamente superadas en un periodo de tiempo muy corto, téngase en cuenta que la vigencia del Reglamento es de 2018, pero su publicación es de 2016, y ha transcurrido un decenio desde la formulación de sus postulados, lo cual supone mucho tiempo a los ritmos en que nos movemos en IA. A ello hay que añadir que el art. 22 refiere únicamente dos funcionalidades, hoy no troncales de la IA, la elaboración de perfiles y las decisiones individuales automatizadas, cuando la amplitud de posibilidades que se plantean hoy se desconoce. La AEPD ha clarificado la aplicación del art. 22 del RGPD en lo relativo al uso de IA 72, manifestando que “En el caso de que el interesado esté sometido a decisiones automatizadas o en la elaboración de perfiles a los que hace referencia el artículo 22 del RGPD, un aspecto importante que se establece en el artículo 13.2.f del RGPD es que éste (se refiere al interesado) ha de “disponer de información significativa sobre la lógica aplicada” y “la importancia y las consecuencias previstas”. La palabra significativa, que según la RAE denota se ha de interpretar como información que, proporcionada al interesado, le hace consciente del tipo de tratamiento que se está llevando a cabo con sus datos y le proporciona certeza y confianza sobre sus resultados.
OTTOLIA, A: Derecho, Biga Bata e Inteligencia Artificial. Tirant lo Blanch. Valencia 2018, pág. 102. 72 Adecuación al RGPD de tratamientos que incorporen Inteligencia Artificial. Una introducción. AEPD. 2020, pág. 24. 71
108
Lucrecio Rebollo
Cumplir con esta obligación ofreciendo una referencia técnica a la implementación del algoritmo puede ser opaco, confuso, e incluso conducir a la fatiga informativa. Por ello debe facilitarse información que permita entender el comportamiento del tratamiento. Continúa manifestando la AEPD que, aunque dependerá del tipo de componente de IA utilizado, un ejemplo de información que podría tener relevancia de cara al interesado, sería: •
El detalle de los datos empleados para la toma de decisión, más allá de la categoría, y en particular información sobre los plazos de uso de los datos (su antigüedad).
•
La importancia relativa que cada uno de ellos tiene en la toma de decisión.
•
La calidad de los datos de entrenamiento y el tipo de patrones utilizados.
•
Los perfilados realizados y sus implicaciones.
•
Valores de precisión o error según la métrica adecuada para medir la bondad de la inferencia.
•
La existencia o no de supervisión humana cualificada.
•
La referencia a auditorías, especialmente sobre las posibles desviaciones de los resultados de las inferencias, así como la certificación o certificaciones realizadas sobre el sistema de IA. En el caso de sistemas adaptativos o evolutivos, la última auditoría realizada.
•
En el caso de que el sistema IA contenga información de terceros identificables, la prohibición de tratar esa información sin legitimación y de las consecuencias de realizarlo.
El art. 22 del RGPD aporta una solución tangencial a un problema sobrevenido, como es la aplicación de IA a bases masivas de datos, por lo que su eficacia es limitada. Parece necesaria una regulación más específica, que concrete todas las posibilidades y lo haga desde la perspectiva de la protección del usuario, de la persona implicada. Pero aquí nos volvemos a encontrar con el problema recurrente de qué tipo de información ofrecemos, qué nivel técnico tiene, y en qué grado es entendible para el usuario o titular de los datos. Este problema de aplicabilidad no es menor, y plantea la vuelta a la dinámica de la Directiva 95/46/UE y que desterró el RGPD, es decir, que al responsable o encargado del tratamiento no le es suficiente con cumplir la norma, sino que debe conseguir la finalidad propuesta por ella. Esto supone un endoso al responsable o encargado del tratamiento de la teleología del mandato jurídico de la norma, cuya efectividad suele quedar difuminada.
Inteligencia artificial y derechos fundamentales
3.
109
Transparencia
Hemos puesto de manifiesto como la inmensa mayoría de los tratamientos de datos se realizan mediante técnicas que permanecen ocultas, fuera del control de los titulares de los datos y también de cualquier verificación estatal. Con acierto nos india Ottolia que ello se lleva a cabo a través del secreto industrial, que a su vez está amparado en la Directiva 2016/943, de 8 de julio 73. Bajo la protección jurídica de la actividad empresarial se realizan hoy una infinidad de recopilaciones y tratamientos de datos que escapan a cualquier tipo de control jurídico o ético. Por ello es imperiosa la necesidad de crear desde la perspectiva normativa, mecanismos que garanticen la transparencia y singularmente el conocimiento de la finalidad de los procesos, que a su vez permitan una valoración ética de los mismos. En la Unión Europea ya se ha puesto de manifiesto la necesidad de regulación de esta materia, y de forma concreta con las Resoluciones del Parlamento Europeo sobre macrodatos de 2018, y la más reciente de 2019 sobre Inteligencia artificial y robótica. Pero no tienen carácter normativo, son esencialmente un conjunto de evaluaciones de posibles riesgos, así como perspectivas de futuros desarrollos. Algo más determinantes empiezan ya a ser algunas regulaciones nacionales, como sucede con la Ley de la República Digital francesa (Ley nº 2016/1321, de 7 de octubre). Es de destacar en nuestro ordenamiento jurídico la Ley 22/2018, de 6 de noviembre de la Comunidad Autónoma de Valencia, en sus artículos 17 a 29. Los textos normativos referidos concretan la posibilidad de acceder a los algoritmos, a la lógica de los procesos, con objeto de verificar la legalidad de estos, pero hemos de recalcar, que no existen en la actualidad normativas de carácter genérico que establezcan la obligatoriedad de transparencia y acceso a los procesos lógicos de tratamiento de los datos a través del uso de la Inteligencia artificial aplicada a los macrodatos. Muy acertada a este respecto son las propuestas que condensa Cotino 74, algunas de ellas ya presente en el RGPD, como son las evaluaciones de impacto (art. 35) y las políticas de responsabilidad y proactivas (art. 24) y la protección de datos desde el diseño y por defecto (art. 25), pero no existe la menor duda de que la situación actual requiere un paso más, el que materialice la imperatividad de la transparencia en los procesos de tratamiento realizados por la inteligencia artificial y sustentada en datos masivos. Especialmente, debe prestarse atención, como indica Cotino, al uso de la propia inteligencia artificial para controlarla. “Sin duda que hay que apostar por herramientas de IA para controlar a la propia IA. Obviamente la cuestión Obra citada, páginas 31 y siguientes. COTINO HUESO, L: “Riesgos e impactos del Big Data, la inteligencia artificial y la robótica. Enfoques, modelos y principios de la propuesta del derecho”. Revista General de Derecho Administrativo, nº 50 de 2019. 73 74
110
Lucrecio Rebollo
última es la de cómo controlar al controlador. Habrá que aplicar los principios éticos y la normativa y poder monitorear a las propias tecnologías de control. A partir de las evocaciones del cine y la literatura, no faltará quien se pregunte si la singularidad o giro de la IA hacia la superinteligencia lleve a que la IA autónoma intente eludir tanto los controles humanos como los controles a través de IA. Es más, hasta podría pensarse en un complot o connivencia entre sistemas de IA para eludir el control humano. Al menos, por lo que orientan los expertos, quedan algunas décadas para que al parecer sea posible” 75. Como manifiesta Hoffmann-Riem “las exigencias de transparencia no se refieren solo a la posibilidad de percibir la superficie de la comunicación, sino también el conocimiento de factores que son importantes para comprender el funcionamiento de la dirección basada en algoritmos. Esto afecta, por ejemplo, al diseño técnico y a los criterios y conceptos del empleo de algoritmos. La transparencia es un requisito para garantizar sobre todo la responsabilización (rendimiento de cuentas)” 76. Esta eliminación del déficit de transparencia y su regulación jurídica, se encuentra ante dos corrientes de opinión paradójicas en la actualidad. Por un lado, se viene manifestando que es pronto para una regulación precisa que pueda paliar esta carencia, y con énfasis se argumenta que en muchas ocasiones se hace ciencia ficción con las posibilidades de uso generalizado de la Inteligencia artificial aplicada a Big data, dado que muchos de los procesos están aún por desarrollar; por otro, se hacen afirmaciones apocalípticas, que prevén lo incontrolable para el ser humano de una Inteligencia artificial que se crea a sí misma y que ya escapa por completo del control humano, y obedece a ignotos intereses. Otras soluciones, como las que aporta Pariser, abogan por considerar a la información como una forma de propiedad 77 y que empieza a tener cierto eco en la doctrina especializada en la materia, pero a la que la Unión Europea se opone de forma troncal, bajo el argumento de que no pueden entrar en el mercado los derechos fundamentales. La cuestión se sustenta, en última instancia, en una opción. Todas las empresas tecnológicas afirman que la gratuidad del uso de los datos se realiza en base a la renuncia de derechos para que no existan costes, y el acceso a la Red pueda tener un carácter universal y gratuito. Si existe remuneración por los datos, se limita el beneficio económico y también la vulneración de derechos, pero la Red dejaría de ser gratuita, lo que a su vez también supondría lesión de derechos. Esta misma circunstancia es aplicable a la transparencia de los tratamientos de COTINO HUESO, L: “Ética en el diseño para el desarrollo de una inteligencia artificial, robótica y big data confiables y su utilidad desde el derecho”. Revista Catalana de Dret Public, nº 48 de 2019, páginas 43 y 44. 76 Obra citada, páginas 122 y 123. 77 Obra citada, páginas 235 y 236. 75
Inteligencia artificial y derechos fundamentales
111
datos, pero es más sencilla su aplicación. Se trataría de verificar que el tratamiento cumple con una serie de exigencias que devienen de nuestro ordenamiento jurídico, y singularmente se tendería a constatar el cumplimiento de no lesión de una serie de principios jurídicos básicos como pueden ser si los códigos algorítmicos son contrarios al bien común, limitan la libertad ideológica, o el derecho a la igualdad, a título de ejemplo. Los algoritmos guardianes, o test de verificación de idoneidad jurídica, se constituirían así, en un elemento esencial para su uso. No existe la menor duda de que estos medios de control deben tener su respaldo normativo, y que requerirán de un debate multidisciplinar en su elaboración. De esta forma, parecería lógico que, en un futuro inmediato, toda aplicación de algoritmos debería pasar un control a través de un organismo especializado y autorizado por la normativa, que verifique que los resultados de su aplicación no son contrarios al bien común, y que cumplen determinados requisitos de no discriminación o de inclusión de sesgos de ningún tipo. Ello es perfectamente compatible con garantizar la libertad de empresa, a la vez que no impide su utilización por los usuarios. Hemos utilizado como ejemplo en varias ocasiones los fármacos, que tienen una comercialización universal, y están sometidos a un conjunto muy amplio de controles, tanto antes de su comercialización, como después. El volumen de negocio las sitúa a estas compañías entre las grandes en el ámbito universal, a la vez que la competencia es feroz. En esta actividad se da un nivel de desarrollo tecnológico y de investigación muy elevado, siendo puntero en muchas ocasiones en el empleo de tecnología, y especialmente en el uso de bases de datos masivas y en la aplicación de IA. Pues bien, a pesar de todo ello, existen controles a nivel de la ONU 78, la Unión Europea 79 y los Estados 80, con objeto de que el producto, en ningún caso, tenga efectos negativos para quien los consume, y se tenga una trazabilidad de su uso y efectos secundarios. Siempre salvando las distancias, parece un modelo de control de transparencia a seguir, por su efectividad y conservación de los elementos esenciales de la actividad, por su universalidad, y especialmente, por la eficacia de resultado. No existe la menor duda de que la transparencia es la clave en el uso de la IA y su relación con el ejercicio de los derechos y libertades fundamentales, y de su regulación depende la garantía de éstos, y en cierto grado, de la continuidad de nuestro modelo de organización social. De lo contrario la tecnología será disruptiva, no sabemos en qué grado, o de qué forma concreta, pero lesiva, en todo caso. El Título IV del Proyecto de Reglamento de la Unión Europea sobre IA, se dedica a las obligaciones de transparencia, si bien se concreta solo en al Organización Mundial de la Salud. Agencia Europea del Medicamento. 80 En España, la Agencia Española de Medicamentos y Productos Sanitarios. 78 79
112
Lucrecio Rebollo
gunos sistemas de IA. El art. 52.1 obliga a garantizar que “los sistemas de IA destinados a interactuar con personas físicas estén diseñados y desarrollados de forma que dichas personas están informadas de que están interactuando con un sistema de IA, excepto en las situaciones en que esto resulte evidente debido a las circunstancias y el contexto de utilización”. Se excepcionan de esta obligatoriedad los sistemas que tengan por finalidad la detección, prevención, investigación o enjuiciamiento de infracciones penales. El art. 53.2 establece que “los usuarios de un sistema de reconocimiento de emociones o de un sistema de categorización biométrica, informarán del funcionamiento del sistema a las personas físicas expuestas a él”. También se excepciona aquí a los sistemas de IA la categorización biométrica autorizada por ley para fines de detección, prevención e investigación de infracciones penales. Por último, el apartado 3 del artículo que venimos citando manifiesta que “los espacios controlados de pruebas para la IA no afectarán a las facultades de supervisión y correctoras de las autoridades competentes. Cualquier riesgo significativo para la salud, la seguridad y los derechos fundamentales detectado durante el proceso de desarrollo y prueba de estos sistemas implicará la mitigación inmediata y, en su defecto, la suspensión del proceso de desarrollo y prueba hasta que se produzca dicha mitigación”. 4.
Códigos éticos
El establecimiento de normas propias de las empresas vinculadas a un sector concreto de la actividad de la recopilación, o tratamiento de datos, viene siendo una técnica habitual en los países occidentales, a la que se ha sumado de forma más reciente la corregulación, en virtud de la cuál, también participan entidades públicas, normalmente encargadas del control del sector de actividad. Todo ello se traduce en los denominados códigos éticos. Pero conviene delimitar de forma rápida que estos mecanismos de control tienen una tutela muy limitada, y bastante alejada de la imperiosidad y ejecutividad de la norma. Cabe más entenderlos como acuerdo de mínimos, que como una regulación completa. Bajo distintas denominaciones (Códigos tipo, Códigos éticos, Códigos de conducta, autorregulación, corregulación, entre otros) su finalidad se centra en ser una guía de actuación autoimpuesta. Suelen ser muy variados, dependiendo del tipo de actividad, de las funciones que se realizan y del contexto jurídico en el que se desenvuelven. Por lo que respecta a la regulación concreta, debemos hacer referencia al RGPD y a la LO 3/2018. El artículo 40 del RGPD regula los códigos de conducta, aunque no contempla una definición de estos, si bien el G 29, los definía como “cualquier conjunto de normas de protección de datos que se apliquen a una pluralidad de responsables del tratamiento que pertenezcan a la misma profesión o al mismo sector industrial, cuyo contenido haya sido determinado fundamentalmente por miembros del sector in-
Inteligencia artificial y derechos fundamentales
113
dustrial o profesión en cuestión”. Sí estable el artículo citado, la finalidad de estos, que se concreta en “contribuir a la correcta aplicación del presente Reglamento”, lo que se traduce en una aproximación entre la norma europea y los intereses y necesidades de los sectores que han de someterse a la legislación sobre protección de datos. Una labor de mediación que el código de conducta ha de desarrollar sin desatender el objeto esencial de garantizar los derechos de las personas físicas en lo que respecta al tratamiento de datos personales, que es la pretensión última de la norma europea, haciéndolo compatible con el tratamiento de la información y con la libre circulación de estos datos. Como manifiesta Serrano Pérez, “… por código de conducta hay que entender un acuerdo o documento autoimpuesto y delimitado por una norma superior jerárquicamente, orientado a una finalidad determinada, aprobado por un procedimiento especial y concreto, sujeto a supervisión por parte de la autoridad competente acreditada para ello y de obligado cumplimiento para el conjunto de sujetos que se encuentren sometidos al mismo” 81. La norma no limita ni restringe el número de Códigos tipo, por lo que pueden existir tantos como adaptaciones se quieran efectuar del RGPD a diferentes sectores, máxime teniendo en cuenta que la promoción de su elaboración es una función asignada expresamente a los Estados miembros, a las autoridades de control, al Comité y a la Comisión (art. 40.1 RGPD), además de a los sujetos contemplados en el art. 38.2 de la LO 3/2018. La proliferación de códigos de conducta puede verse limitada a través del procedimiento del art. 40.9 RGPD, por el que la Comisión otorga validez general dentro de la Unión a un código cuando guarde relación con actividades de tratamiento en varios Estados miembros, según el art. 40.7 RGPD y siguiendo el procedimiento establecido en el art. 40.8 RGPD. Por último, siempre que se haya elaborado y aprobado por el procedimiento establecido, resulta de aplicación obligatoria, por lo que aparece como una figura peculiar en el espacio de las fuentes y del propio ordenamiento jurídico. Nuestra norma específica vigente de protección de datos, la LO 3/2018, regula en su art. 38 los Códigos tipo, si bien remite en su regulación al RGPD, aunque matiza que la promoción del código corresponde “además de a las asociaciones y organismos a los que se refiere el artículo 40.2 del Reglamento (UE) 2016/679, por empresas o grupos de empresas, así como por los responsables o encargados a los que se refiere el artículo 77.1 de esta ley orgánica”. Por tanto, la función de promoción corresponde a asociaciones y otros organismos de categorías de responsables o encargados del tratamiento, así como a empresas y grupos de empresas, todas ellas en el ámbito privado, y a los órganos, entidades y organismos, todos ellos públicos, a los que se refiere 81 REBOLLO DELGADO, L y SERRANO PÉREZ, Mª. M: Manual de protección de datos. 3ª Ed. Dykinson, Madrid 2019, pág. 202.
114
Lucrecio Rebollo
el art. 77.1 LO 3/2018 82. Repárese en que su obligatoriedad de existencia no lo constituye en un mecanismo de ejecutividad, o en un complemento de la norma, puesto que sus dictados son genéricos, y en ocasiones inconcretos, reiterativos de normas y que soslayan los elementos conflictivos que le puedan ser negativos, o en todo caso, su grado de indeterminación los convierte en muchas ocasiones en una proclama de buenas intenciones. Como regla general para todas las entidades y organismos que promuevan la elaboración de un código, será la autoridad de protección de datos competente quien habrá de verificar que los citados organismos o entidades reúnen los requisitos recogidos en el art. 41.2 RGPD, según consta en el art. 38.2, último párrafo, de la LO 3/2018. El art. 41 se excepciona para los tratamientos realizados por las autoridades y organismos públicos (art. 41.6 RGPD), lo que significa que, en estos casos, el código queda al margen de la supervisión de un organismo específico, siendo verificado solamente por la autoridad de control competente. Como manifiesta Serrano Pérez, el art. 40.3 RGPD refiere la posibilidad de “adherirse a un código de conducta los responsables y encargados a los que no se aplica el RGPD. Se trata de la adhesión a un código aprobado de acuerdo con el art. 40.5 RGPD y siempre que dicho código tenga validez general en virtud del apartado 9 del precepto. La finalidad de la adhesión a códigos de conducta, por parte de sujetos no obligados por la norma europea, pretende ofrecer garantías adecuadas para las transferencias de datos a terceros países u organizaciones internacionales. Es decir, la adhesión a códigos de conducta por parte de responsables y encargados no obligados por el RGPD (art. 3) ha de reunir dos condiciones formales: por una parte, el código ha de haber sido aprobado de acuerdo con el procedimiento establecido en el art. 40.5 RGPD, esto es, haber sido presentado ante la au82 Art. 77.1. El régimen establecido en este artículo será de aplicación a los tratamientos de los que sean responsables o encargados: a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos. b) Los órganos jurisdiccionales. c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local. d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas. e) Las autoridades administrativas independientes. f) El Banco de España. g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público. h) Las fundaciones del sector público. i) Las Universidades Públicas. j) Los consorcios. k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.
Inteligencia artificial y derechos fundamentales
115
toridad competente y ser conforme con el RGPD. Por otro lado, otorgar al código de conducta validez general en toda la Unión de acuerdo con el art. 40.9 RGPD” 83. Conviene recordar que esta regulación es referida a datos de carácter personal, relativos a una persona identificada o identificable, pero que la mayoría de las actividades que se realizan con aplicación de Inteligencia artificial sobre conjuntos de datos masivos, no entran dentro de la regulación referida, por lo que parece necesario, incluso, imperativo, extender esta regulación a la referida actividad, aún, siendo conscientes de la limitada eficacia de los referidos códigos. Otro aspecto importante de los Códigos éticos viene constituido por quienes participan en su elaboración. A este respecto, se viene constatando la necesidad de dar participación a los usuarios, y de forma más concreta, a las asociaciones de usuarios, que hasta ahora eran omitidos en los procesos de elaboración. Como indica Hoffmann-Riem “en el desarrollo de códigos de conducta y otras autorregulaciones similares parece razonable que sea obligatoria una participación de los representantes de la sociedad civil que defiendan intereses de los usuarios. A dichos representantes se les podría otorgan también competencias en el contexto del control sobre el cumplimiento de las obligaciones autoimpuestas por las empresas” 84. El Proyecto de Reglamento de la UE relativo a IA, en su Título IX regula también la elaboración de Códigos de conducta, pero únicamente para los proveedores de IA que no son de alto riesgo, y permite incluir compromisos voluntarios relativos a la sostenibilidad medioambiental y a la accesibilidad para personas con discapacidad. Otro aspecto para destacar y que conecta con lo que venimos manifestando como evolución lógica de los Códigos de esta naturaleza, es dar entrada en su elaboración a las partes interesadas en el diseño y desarrollo de sistemas de IA. Por su parte, el art. 69.3 del Proyecto, establece la posibilidad de que los Códigos de conducta puedan ser elaborados por proveedores individuales de sistemas de IA, por organizaciones que los representen, o por ambos, “también con la participación de usuarios y de cualquier interesado y sus organizaciones representativas”. Ello les otorgará una más amplia garantía en su elaboración y aplicación, y ayudará, sin duda, a hacer más confiables las técnicas de IA. 5.
Anonimización
Tanto en el ámbito de la sociedad digital, como en el de la protección de datos, e IA, la anonimización es una potente herramienta para salvaguardar Obra citada, pág. 214. Obra citada, pág. 169.
83 84
116
Lucrecio Rebollo
la vigencia de los derechos fundamentales frente a los riesgos que ocasionan aquéllas, y se constituye en una inmejorable garantía respecto de los titulares de los datos. La anonimización es una técnica que surge casi de forma coetánea al tratamiento de datos de carácter personal, y consiste en separar o eliminar los elementos que hacen identificable al titular de estos, es una disociación de los datos y de su titular, rompiendo la cadena de identificación. Las ventajas de la anonimización no son únicamente frente a la eliminación de riesgos, o a la protección de los derechos, también ofrece una mejor manejabilidad en los tratamientos, a la vez que en la actividad comercial de datos. Un ejemplo muy asimilable a los datos anonimizados lo constituye las tarjetas de crédito, que facilitan el uso del dinero, simplifican procedimientos y se constituyen en una medida de seguridad añadida. Diferenciamos anonimización de seudonimización en que la ruptura de esa cadena de identificación lo es de forma definitiva en el primer caso, y recuperable en el segundo. Cuando se anonimizan datos surge un nuevo conjunto de datos completamente disociado de su titular, en la seudonimización el proceso es reversible, de tal forma que se puede reidentificar a su titular, en definitiva, se puede revertir el proceso. En muchas ocasiones la seudonimización dispone de herramientas sencillas para la reidentificación, como puede ser un código identificador, o numérico, existiendo una gran variedad de procesos, que van desde los más sencillos, a otros más complejos, como pueden ser los identificadores en línea facilitados por los dispositivos, aplicaciones o protocolos que usamos en Internet, identificadores de sesión en forma de cookies, etiquetas de identificación por radiofrecuencia, y otros muchos medios que tienen una amplia gradación de complejidades, pero que en todos, como hemos manifestado, el proceso es reversible, y siempre cabe la posibilidad técnica de identificar al sujeto titular de los datos. Pese a la creencia extendida, singularmente en el ámbito empresarial, de que el cifrado de datos equivale a anoniminzar, desde la perspectiva jurídica o técnica, esta afirmación no es aceptable. Sí puede incluirse el dato cifrado en seudonimizados, pero no es el grupo de anonimizados, puesto que el uso de claves de cifrado que hace inaccesible la identificación, posibilita también con el uso de claves el proceso inverso, acceder a los datos de identificación. De igual forma hay que diferenciar la anonimización y la seudonimización, de la minimización de datos. Esta última es una técnica que consiste en la utilización del menor número de datos posibles, o simplemente los imprescindibles, para la consecución de la finalidad del tratamiento de que se trate. Ello se consigue aplicando medios técnicos y organizativos, reduciendo la extensión del tratamiento, limitando los plazos de conservación de los datos, y reduciendo de forma considerable su accesibilidad.
Inteligencia artificial y derechos fundamentales
117
Es una simple proporción de riesgos, a menor número de datos, menor riesgo. El RGPD establece la minimización como datos “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.” (art. 5.1.c). La diferencia más determinante desde la perspectiva jurídica entre datos anonimizados y datos seudoanonimizados, es que los primeros quedan excluidos de la normativa sobre protección de datos, y los segundos entran de lleno en su regulación. Desde el momento en que se produce la desvinculación con la persona física identificada o identificable, y este proceso es irreversible, los datos anónimos quedan excluidos de la vigencia de la normativa sobre protección de datos. Pese a lo manifestado, conviene advertir que el tratamiento realizado para anonimizar sí queda sujeto a normativa sobre protección de datos, puesto que en esta fase el proceso de reidentificación aún es posible. Una vez producida la anonimización definitiva, surgen dos conjuntos de datos: uno producto del tratamiento de anonimización, que si está sometidos a norma; y otro conjunto de datos ya anonimizado, que queda excluido de la aplicación de las normas sobre protección de datos. A pesar de las bondades de la anonimización, hemos de ser conscientes que no es posible su uso de forma plena, de tal forma que, en conjuntos muy pequeños de sujetos, y en determinados contextos, la técnica es ineficaz. En otras ocasiones la anonimización convierte a los datos en inservibles, o no adecuados a la finalidad para la que se recabaron. Otro problema que plantea esta materia es que datos que han sido anonimizados de forma adecuada, puede que, con otros tratamientos posteriores, o añadiéndoles otras bases de datos, se pueda llegar a la identificación. Partiendo de que no cabe hablar de anonimización absoluta, lo que si se produce es un proceso de garantía. Es lo mismo que ocurre con la seguridad en nuestra vida normal, se pueden tomar muchas medidas de seguridad, pero no se puede evitar con carácter absoluto (lo que se denomina en seguridad riesgo cero) ser sujeto de hechos delictivos. Así, lo importante es la consecución de objetivos parciales, a sabiendas de que el objetivo último, la protección absoluta, es prácticamente inalcanzable. A pesar de que hemos utilizado como ejemplo la seguridad, en su concepción genérica, a los procesos de anonimización de los datos, es conveniente deslindarlo de la seguridad de los datos. La ruptura de la cadena de anonimización, no cabe identificarla con el incumplimiento, o de brecha en las medidas de seguridad, son dos aspectos de la vida de los datos que hay que diferenciar. De esta forma, y como manifiesta la AEPD “la finalidad del proceso de anonimización es eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados manteniendo la veracidad de los resultados del tratamiento de estos, es decir, además de evitar la identificación de las personas, los datos anonimizados deben garantizar que cualquier
118
Lucrecio Rebollo
operación o tratamiento que pueda ser realizado con posterioridad a la anonimización no conlleva la distorsión de los datos reales” 85.
5.1. Principios en la anonimización El RGPD establece como principio básico del tratamiento, y con objeto de garantizar la vigencia de los derechos y libertades, que aquél se realice mediante medidas técnicas y organizativas apropiadas, desde el diseño del tratamiento, así como garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento (art. 25). Esta obligación se materializa tanto en el diseño del sistema o del producto utilizado para la anonimización, como también a lo largo de todo su ciclo de vida del dato. Para ello es necesario la aplicación de un conjunto de principios que analizamos 86: 1. Principio proactivo. Que se traduce en que desde el inicio del diseño del futuro tratamiento, debe adoptarse una pretensión proactiva y no reactiva, con objeto de garantizar la privacidad de los interesados. Para ello, suele ser habitual realizar una primera clasificación, tanto cuantitativa, como cualitativa, de los datos, que muestre una escala en la sensibilidad de la información. 2. Principio de privacidad por defecto. En todo diseño en el que existe tratamiento de datos, el primer objetivo debe ser garantizar la confidencialidad de los interesados. 3. Principio de privacidad objetiva. Una vez realizada la evaluación de impacto de protección de datos, queda un umbral de riesgo residual de reidentificación. Este riesgo será asumido por el responsable del tratamiento como riesgo aceptable y debe ser conocido por el destinatario de la información anonimizada, y si los datos son para uso público, también se pondrá en conocimiento dicho riesgo. 4. Principio de plena funcionalidad. Atiende a garantizar la utilidad final de los datos, de forma que no se produzcan distorsiones en los datos no anonimizados, lo que garantiza la utilidad de los datos anonimizados. 5. Principio de privacidad en el ciclo de la vida de la información. La protección de la privacidad debe aplicarse a todo el ciclo de vida de la información, en el que se incluye el periodo anterior a la efectividad de la anonimización, así como el final del ciclo, singularmente en la destrucción o eliminación de la información. 85 AEPD: Orientaciones y garantías en los procedimientos de anonimización de datos personales. Pág. 2. 86 Ibidem, pág. 3 y 4.
Inteligencia artificial y derechos fundamentales
119
6. Principio de información y formación. En el proceso de anonimización es necesario la formación e información de todo el personal que participe en el proceso, así como en su explotación. De esta forma se obliga, durante todo el ciclo de vida de la información, y con independencia de que los datos estén o no anonimizados, a que el personal involucrado sea convenientemente forma e informado.
5.2. Especial dificultad de anonimización en algunos tipos de datos Los procesos de anonimización son bastante laboriosos, y requieren de una implicación de medios muy elevada, por lo que el primer planteamiento que suele realizarse es una valoración del coste-beneficio, así como otra de riesgo-beneficio. Además de ello, la singularidad de este proceso obliga a la realización, prácticamente para cada caso concreto, a introducir una multiplicidad de variantes, por lo que no es factible utilizar un proceso de forma generalizada. Es frecuente que se produzcan muchas variaciones en la finalidad, en los detinatarios y en otras muchas circunstancias que hacen inviable la aplicación de un modelo estandarizado, y por lo tanto más rentable económicamente, y que se ajuste a normativa existente. Otro problema añadido en la anonimización es la dificultad para su aplicación, que plantean algunos tipos de datos, como pueden ser los biométricos, voz, imagen, entre otros. En estos supuestos, el problema surge desde el inicio de la anonimización, y en algunas ocasiones existen alternativas, y en otras la aplicación de esta técnica es tan compleja, que se desecha como objetivo. Los registros de voz pueden tener determinadas características personales o comunes a un grupo o a una región (expresiones autóctonas, elementos epidípticos, identificadores retóricos) que, al intentar distorsionarlos, desaparecen, o en todo caso, modifican sustancialmente el dato original. En estos supuestos, para anonimizar, se suelen usar sintetizadores de voz, o realizar transcripciones, que pueden ser también orales o escritas, pero que en la mayoría de los casos eliminan la calidad del dato, o lo distorsionan en tal grado que lo convierten en poco valioso para la finalidad originaria. Los registros de imagen también plantean un elevado nivel de complejidad en la anonimización. En unas ocasiones por elementos identificativos personales, y en otras por el contexto. En todo caso, el proceso de anominzación tendrá que conseguir el objetivo de que no ponga de manifiesto la identidad de la persona, o en todo caso, que no resulte identificada o identificable. También plantean una gran dificultad los datos biométricos, siendo imposible su anonimización en muchos supuestos, si se quiere conservar el dato original. Es habitual en estos casos de tanta dificultad en el proceso de anonimización, que la evaluación de impacto los especifique, y se opte por el cifrado de este tipo de datos, como mecanismo menos efectivo, pero
120
Lucrecio Rebollo
válido en la preservación de riesgos con relación a los derechos y libertades fundamentales.
5.3. Medidas complementarias Como hemos manifestado, al igual que en el ámbito de la seguridad se afirma con rotundidad que no existe el riesgo cero, en el de la anonimización hemos manifestado que no es una técnica de carácter absoluto, y que por tanto ha de existir una pretensión constante de aproximarse a este fin, con el objeto de paliar el riesgo residual, que se incrementa con el transcurso del tiempo y con la aplicación de nuevos tratamientos, o como consecuencia de añadir nuevas bases de datos. Para minimizar este porcentaje residual, se suele acudir de forma genérica a las medidas de seguridad y auditoria, que en algunas ocasiones lo palían. Pero el mecanismo más utilizado son los acuerdos de confidencialidad que deben afectar a todos los intervinientes en el proceso: responsable del tratamiento; responsable del proceso de anonimización; responsable del tratamiento de datos anonimizados; y también al personal con acceso a la información anonimizada. 6.
Seguridad
Entendemos por seguridad todo aquello que está libre y exento de riesgo, y por riesgo la contingencia o proximidad de un daño 87. Como hemos manifestado, tener riesgo cero en seguridad es prácticamente inviable, el objetivo, en el más amplio sentido del término seguridad, debe ser minimizar el riesgo, con objeto de conseguir el menor grado posible de inseguridad. Esta pretensión se aplica a los dos grandes ámbitos de la seguridad, la personal o individual y la social o colectiva. En el terreno de las tecnologías de la información y la comunicación, la pretensión de seguridad se denomina seguridad digital, o de forma más frecuente ciberseguridad. El Tribunal Constitucional, en su sentencia 142/2018, identifica la ciberseguridad como sinónimo de la seguridad en red, integrada en la seguridad pública y en las telecomunicaciones, definiéndola como “conjunto de mecanismos dirigidos a la protección de las infraestructuras informáticas y de la información digital que albergan” y señalando que “presenta un componente tuitivo que se proyecta específicamente sobre el concreto ámbito de la protección de las redes y sistemas de información que utilizan los ciudadanos, empresas y Administraciones públicas”. En el ámbito normativo, es mucha la regulación al respecto a esta materia, singularmente de la Unión Europea. Entre las más recientes, destaca la Diccionario de la Real Academia Española de la Lengua.
87
Inteligencia artificial y derechos fundamentales
121
Directiva (UE) 2016/1148 o Directiva NIS, relativa a “las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión”. Pretende integrar unos requisitos mínimos comunes en materia de desarrollo de capacidades y planificación, intercambio de información, cooperación y requisitos comunes de seguridad, y de forma concreta: •
establece obligaciones para todos los Estados miembros de adoptar una estrategia nacional de seguridad de las redes y sistemas de información;
•
crea un Grupo de cooperación para apoyar y facilitar la cooperación estratégica y el intercambio de información entre los Estados miembros y desarrollar la confianza y seguridad entre ellos;
•
crea una red de equipos de respuesta a incidentes de seguridad informática, la red de CSIRT;
•
establece requisitos en materia de seguridad y notificación para los operadores de servicios esenciales y para los proveedores de servicios digitales;
•
establece obligaciones para que los Estados miembros designen autoridades nacionales competentes, puntos de contacto únicos y CSIRT con funciones relacionadas con la seguridad de las redes y sistemas de información.
Por su parte, la Directiva 2016/680 UE sobre protección de las personas físicas en lo que respecta al tratamiento de los datos personales por parte de las autoridades competentes, con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos, establece que los Estados miembros deberán: •
proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales, y
•
garantizar que el intercambio de datos personales por parte de las autoridades competentes en el interior de la Unión, en caso de que el Derecho de la Unión o del Estado miembro exijan dicho intercambio, no quede restringido ni prohibido por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.
Troncal al ámbito de la seguridad ha sido el RGPD, en el que podemos destacar los siguientes mandatos:
122
Lucrecio Rebollo
•
establece la obligación por parte del responsable o encargado del tratamiento de datos personales de evaluar los riesgos del tratamiento y aplicar medidas para mitigarlos;
•
contempla el cifrado a fin de mantener un nivel de seguridad adecuado;
•
enumera las posibles consecuencias en caso de no tomar a tiempo las medidas adecuadas, entre otras, la pérdida de control sobre los datos personales, restricción de los derechos, discriminación e incluso usurpación de identidad;
•
advierte de la necesidad de que el responsable del tratamiento, en cuanto tenga conocimiento, notifique las violaciones de seguridad a la autoridad de control competente y a los interesados cuando entrañen riesgos para sus derechos y libertades.
El art. 4.12 del RGPD define la violación de la seguridad de los datos personales como: “… toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. Con objeto de afianzar la seguridad del tratamiento de los datos personales, preceptúa determinadas medidas técnicas y organizativas a aplicar por el responsable y el encargado del tratamiento, debiendo tenerse en cuenta los riesgos que presente el tratamiento de datos. De forma más reciente, y como expone Zapatero Martín 88, el Reglamento 2019/881 UE, aborda la cuestión de la ciberseguridad, entendida como “todas las actividades necesarias para la protección de las redes y sistemas de la información, de los usuarios de tales sistemas y de otras personas afectadas por las ciberamenazas”. Este Reglamento contempla, por una parte, la regulación de la ENISA (Agencia Europea para la Ciberseguridad) y por otra, un marco para la creación de esquemas europeos de certificación de la ciberseguridad de las tecnologías de la información y la comunicación, a fin de garantizar que los productos, servicios y procesos de TIC evaluados con arreglo a dichos esquemas, cumplen los requisitos de seguridad establecidos. Entre los objetivos de seguridad perseguidos con la creación de dichos esquemas destacan los siguientes: •
La protección de los datos almacenados, transmitidos o tratados de otro modo frente al tratamiento, acceso, revelación o destrucción accidentales o no autorizados.
•
El acceso exclusivamente a los datos, servicios o funciones a que las personas, programas o máquinas estén autorizados.
88 REBOLLO DELGADO, L y ZAPATERO MARTÍN, P: Derechos Digitales. Dykinson 2019, páginas 44 y 45.
Inteligencia artificial y derechos fundamentales
123
•
La detección y documentación de las dependencias y vulnerabilidades conocidas.
•
El registro y comprobación de los datos, servicios o funciones que han sido objeto de acceso, de uso u otro tratamiento, de los momentos en que se ha producido y por quién se ha efectuado.
•
La verificación de que los productos, servicios y procesos de TIC, no contengan vulnerabilidades conocidas.
•
La restauración de la disponibilidad y el acceso a los datos, servicios y funciones de forma rápida, en caso de incidente físico o técnico.
•
Garantizar que los productos, servicios y procesos TIC sean seguros por defecto, desde el diseño y que se entreguen siempre con un programa y equipos informáticos actualizados, que no contengan vulnerabilidades conocidas y dispongan de mecanismos para efectuar actualizaciones de seguridad.
Actualmente se encuentra en tramitación la propuesta de otro importante texto normativo, el Reglamento e-Privacy, sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas. En España, la Ley de Seguridad Nacional 89 considera de especial interés la ciberseguridad, por resultar básica para preservar los derechos y libertades, así como el bienestar de los ciudadanos. Desarrollo de esta es el Real Decreto 1150/2021, de 28 de diciembre, por el que se aprueba la Estrategia de Seguridad Nacional 2021, que dedica un apartado específico a la vulnerabilidad del ciberespacio, y que distingue dos tipologías generales de amenazas en el ciberespacio. “Por un lado, los ciberataques, entendidos como acciones disruptivas que actúan contra sistemas y elementos tecnológicos. Ejemplos de ello son los ataques de ransomware (secuestro de datos) o la denegación de servicios, entre otros; y, por otro lado, el uso del ciberespacio para realizar actividades ilícitas, como el cibercrimen, el ciberespionaje, la financiación del terrorismo o el fomento de la radicalización”. Continúa manifestando el texto, que “La creciente exposición digital amplía la superficie de exposición a ciberataques de ciudadanos, empresas y administraciones. Entre las dinámicas que marcan una mayor revolución industrial, el despliegue de las redes 5G multiplicará la capilaridad de las redes y con ello aumentará de manera significativa su uso, no solo por usuarios sino en el segmento Internet de las Cosas y las comunicaciones máquina-a-máquina. Consecuentemente, se generará un aumento de la vulnerabilidad ante ciberataques en aparatos conectados a la red y servicios como el vehículo autónomo o las redes inteligentes”. 89 Ley 36/2015, desarrollada por el Real Decreto 1150/2021, de 28 de diciembre, por el que se aprueba la Estrategia de Seguridad Nacional 2021.
124
Lucrecio Rebollo
De forma muy clara, la Estrategia de Seguridad Nacional de 2021, reconoce que “el dato constituye un nuevo ámbito de poder que afecta tanto a la relación entre Estados como entre el sector público y el privado, al ser las compañías tecnológicas las que poseen un mayor acceso a los datos. La seguridad de la información afecta al ciudadano de forma directa. La regulación, protección y garantía del uso adecuado de los datos y las redes por las que transitan es un aspecto clave de la Seguridad Nacional, con impacto directo sobre la privacidad personal”. Como no podía ser de otra forma, el texto que venimos analizando, referencia como elemento troncal la IA, y de forma concreta establece que “Tecnologías como la Inteligencia Artificial y el big data subyacen cada vez más en ámbitos como el sanitario, el de transportes, el energético, el empresarial, el financiero, el educativo y el militar. La capacidad de procesamiento de grandes cantidades de datos se presenta como una característica avanzada para la consecución de los objetivos deseados. Su potencial de transformación y aplicación en procesos de análisis de riesgos y de alerta temprana es cada vez mayor. Pero el desarrollo de estas tecnologías también genera interrogantes relacionados con la seguridad. La aplicación de algoritmos para la toma automática de decisiones requiere un marco de protección de la privacidad y la no-discriminación. El empleo de sistemas autónomos también tiene implicaciones éticas que requieren mecanismos de control y parámetros que garanticen el respeto a los derechos humanos. En el medio-largo plazo, el salto tecnológico que supone la computación cuántica permitirá usos difíciles de prever hoy en día en materia de comunicaciones seguras, cifrado y descifrado y sistemas de vigilancia avanzados, entre otros”. También es importante referenciar en este apartado la Estrategia Española de I+D+I en Inteligencia Artificial 90, ésta se define como la Ciencia e Ingeniería que permite diseñar y programar máquinas capaces de llevar a cabo tareas que requieren inteligencia para ser realizadas. Entre otras aplicaciones de la IA se encuentran: el análisis de datos mediante aprendizaje automático; el uso de chatbots –programas informáticos con los que es posible mantener una conversación, ya sea para solicitar algún tipo de información o para que lleven a cabo una determinada acción– basados en el procesamiento del lenguaje natural; los sistemas inteligentes de predicción; las técnicas de aprendizaje profundo o Deep learning; los algoritmos de planificación multimodal y el diseño de perfiles basados en análisis de secuencias temporales de datos. La Estrategia de I+D+I en IA presta especial atención al valor de los datos en el desarrollo de la IA, sin embargo, reconoce que pueden existir sesgos negativos en la aplicación de estas tecnologías, capaces de causar perjuicios de género u otras formas de discriminación. Por ello, 90 Ministerio de Ciencia, Innovación y Universidades, 2019.”Estrategia Española de I+D+I en Inteligencia Artificial”, pág.12.
Inteligencia artificial y derechos fundamentales
125
una de las principales prioridades fijadas será precisamente tratar de evitar dichos sesgos, incorporando el razonamiento ético a la hora de diseñar los sistemas de IA. Como puede apreciarse, la normativa referida, es más expositiva de los riesgos que limitadora de sus efectos negativos. Es mas una advertencia de posibilidades negativas, que de medios para su erradicación. Esta circunstancia no se produce por dejación del legislador, y sí, por el desconocimiento de cómo será su plasmación real, su desarrollo concreto. El uso de la IA y su aplicabilidad a bases masivas de datos nos pone ante una realidad singular. Vemos el inminente riesgo, pero no sabemos como se va a materializar. Hasta que no se produzca esta circunstancia, no podemos ponernos manos a la obra para paliarla. Es la misma tesitura que se produce entre el médico y el paciente en la fase iniciaría del diagnóstico, y que hace que hasta que no sea éste concluyente, no puede indicarse el tratamiento. 7.
Exactitud
Es una singularidad de la IA la cuestión de la exactitud de los datos que se utilizan, y que, si bien se aplican en su materialización normas relativas a la protección de datos, hay que realizar algunos apuntes de su especificidad. Para el RGPD, en art. 5.1.d), los datos deben ser “ d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan;” y se constituye en uno de los principios básicos en protección de datos, pero la dificultad de aplicación de este principio respecto de la IA viene constituida por la existencia de sesgos en los modelos de inferencia, que tienen una significativa repercusión en la exactitud o calidad del dato. Todo interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar, como la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna. Como establece el segundo párrafo del Considerando 71 del RGPD, los datos asociados a los interesados ya sean los datos directamente recogidos, o los inferidos, han de ser exactos. En particular, se hace explicito que el responsable del tratamiento ha de utilizar “procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles” que garanticen que los datos vinculados con el interesado son exactos. Es obligatorio demostrar y documentar que los procedimientos empleados para la inferencia de información sobre un interesado son precisos y, por tanto, estables y predecibles. De esta forma, cuando un responsable selecciona el empleo de un componente de IA para un tratamiento, ha de tener la diligencia de asegurarse
126
Lucrecio Rebollo
de que los datos tratados, generados y vinculados con el interesado, cumplen con las condiciones anteriores. Como indica la AEPD 91, existen un conjunto de factores que influyen en la exactitud, y de forma concreta, respecto a que los datos inferidos sobre el interesado sean exactos, hay que tener en cuenta tres factores: •
La propia implementación del sistema de IA. Existen IA’s, como por ejemplo sistemas expertos basados en reglas, en los que la concepción del propio sistema puede introducir errores que conduzcan a inferencias erróneas; o sistemas basados en ML que no son capaces de modelar el tratamiento deseado. Se pueden producir errores porque elementos externos a la IA, como por ejemplo lectores biométricos, introduzcan errores en los datos de entrada. Por otro lado, existe la posibilidad de que existan errores de programación o de diseño que trasladen, de forma errónea, el modelo a su implementación práctica. En estos casos se puede decir que el sesgo está hardwired por las decisiones que se toman cuando se construye el modelo de análisis (sesgos de evaluación y agregación).
•
Puede ocurrir también, que el conjunto de datos de entrenamiento o validación esté viciado con errores, contenga información deliberadamente errónea, o sesgos que imposibilitan que las inferencias sean correctas. Estos sesgos podrían ser inherentes, ya existen en los datos que alimentan el sistema, como mala calidad de los datos, es decir, datos ausentes, o muestreo selectivo. También podrían ser de representación y medida, debido a cómo se da formato al conjunto de datos para alimentar al sistema.
•
Otra circunstancia que puede darse es la evolución sesgada del modelo IA. En el caso de IA que implementan técnicas adaptativas, la solución IA puede estar siendo utilizada mayoritariamente por un grupo de sujetos con características particulares que introducen nuevos sesgos de realimentación.
En cuanto a la exactitud requerida en caso de datos de entrenamiento, se han de emplear métricas y técnicas de depuración y trazabilidad para garantizar la fidelidad e integridad del conjunto de datos. Aunque no es común a todas las soluciones de IA, en algunos modelos los datos de entrenamiento y explotación pueden clasificarse en datos “duros” y datos “blandos”. Los primeros son datos objetivos, generalmente cuantificables, como, por ejemplo: calificaciones, porcentaje de asistencia, valores analíticos, resultados de pruebas, etc. Los datos “blandos” son aquellos datos generalmente cualitativos que contienen un componente subjetivo o de incertidumbre. Ejemplos de datos “blandos” podrían ser: los obtenidos a través de procesamiento de 91 Adecuación al RGPD de tratamientos que incorporen Inteligencia Artificial. Una introducción. AEPD. 2020, pág. 36.
Inteligencia artificial y derechos fundamentales
127
lenguaje natural, opiniones, evaluaciones personales, encuestas, etc. Aunque los datos “duros” no están exentos de errores y sesgos, el responsable ha de tener especial cuidado en evaluar los problemas de exactitud que se pueden derivar de utilizar o dar mayor relevancia a los datos “blandos” como fuente de información. El sesgo no es un problema exclusivo de un sistema de IA, sino que puede aparecer en cualquier sistema de proceso automático o no automático que toma decisiones o que realiza elaboración de perfiles. Existen técnicas conocidas como Algorithmic Impact Assessment (AIA), orientadas a examinar y determinar la posible existencia de sesgos en los algoritmos utilizados en las soluciones de IA y a garantizar la equidad en la implementación del modelo. Estas métricas han de analizar la lógica implementada, para que la misma no produzca inexactitudes por diseño, y emplear modelos maduros de pruebas y test de la lógica para detectar errores de diseño. Especial importancia tiene la exactitud al respecto de la información biométrica en IA, como ocurre con el reconocimiento facial, huellas dactilares, voz, etc. En ese caso, se han de tener en cuenta factores de rendimiento (falsos positivos, falsos negativos y otros) y también el impacto sobre la recogida de los datos de personas con alguna discapacidad o singularidad física. Especialmente, cuando la solución de IA es incapaz de identificar al individuo como tal, lo que produce un perfilado erróneo incluso antes de la ejecución del tratamiento principal. Pueden ponerse como ejemplos de sesgos no intencionados, y que el Consejo de Europa nos ha puesto de manifiesto, los siguientes: el software de seguimiento facial de Hewlett Packard no reconoció los rostros oscuros como caras; la aplicación Google Photos etiquetó una foto de una pareja afroamericana como “gorilas”; una cámara Nikon seguía preguntando a personas de origen asiático: ¿alguien parpadea?; a un hombre asiático se le rechazó la foto de pasaporte porque “los ojos del sujeto están cerrados”. Se pueden poner más ejemplos, con el estudio que realizaron Buolamwini y Gebru, en el que se descubrió que las mujeres de piel más oscura son el grupo más mal clasificado, con tasas de hasta el 34,7%, cuando la tasa de error máxima para los hombres de piel más clara es del 0,8%. Otro ejemplo es que existen personas con huellas dactilares poco marcadas que sometidas a sistemas de acceso mediante identificación por huella se encuentran con continuos problemas de acceso. Por todo ello el responsable ha de tener en cuenta que, aunque dichos usuarios pueden ser una minoría, se han de establecer mecanismos alternativos para evitar la exclusión de un sujeto porque la solución de IA no es capaz de procesar las características biométricas de los interesados. Lo mismo ocurre cuando se generan varios perfiles de un sujeto mediante IA. Por ejemplo, podrían existir tratamientos en el ámbito penal que utilizan soluciones de IA que permiten evaluar un perfil sobre la posibilidad de que un individuo se presentará a un emplazamiento ante el tribunal y, simultáneamente, un perfil sobre el riesgo de que el mismo interesado puede reincidir
128
Lucrecio Rebollo
en un delito. En ese caso, y a menos que se justifique documentalmente, es conveniente que estos perfiles se elaboren de forma independiente, sin que los valores o el riesgo inferido para uno de ellos, influya en la inferencia realizada para el otro. Por lo expuesto, la realización de pruebas o verificación del componente de IA es una parte capital en el desarrollo de este, así como un criterio importante para seleccionar uno u otro componente por el responsable del tratamiento. Éste ha de tener en cuenta que la inclusión en un tratamiento de un componente de IA verificado, no implica que el conjunto del tratamiento esté validado, ni tampoco la adecuación del componente de IA para ese tratamiento específico. La validación del tratamiento llega más lejos, ya que asegura que los productos y servicios resultantes satisfacen los requisitos relativos a una aplicación específica o uso previsto. La validación garantiza que el tratamiento, así como la solución de IA sobre la que se apoya, cumple con los resultados planificados para un producto o servicio concreto. Es decir, la validación del tratamiento que incluye un componente de IA ha de realizarse en las condiciones que reflejen el entorno real en el que se pretende desplegar el tratamiento. A su vez, el proceso de validación exige una revisión periódica, en la medida que evolucionen dichas condiciones o el tratamiento en sí. En el caso de que las soluciones de IA evolucionen, sobre todo cuando se realimenten, tanto con su interacción con el interesado, como con la interacción con terceros distintos del interesado, es necesario realizar procesos de recalibración del modelo. La deriva en la exactitud del perfilado realizado por una solución de IA debido al efecto “filtro burbuja” puede realimentar los sesgos que, sobre sí mismo o sobre terceros, tiene el usuario del tratamiento que incluye la IA. Hay que tener siempre en cuenta que en IA existe lo que se denomina aprendizaje por refuerzo, que se concreta en crear recompensas al algoritmo para ir orientándole es sus propios objetivos. De esta forma cuando se consigue un resultado satisfactorio, se refuerza ese comportamiento, por el contrario, cuando el resultado se aleja del objetivo, ese comportamiento el algoritmo lo relega. 8.
Normativa específica sobre Inteligencia artificial y órganos de control
A pesar de que hemos manifestado que el individuo debe realizar una labor de aprendizaje, y de autoprotección en el ámbito digital, a la vez que es necesario que adquiera conciencia de los procesos de los que es sujeto, tanto pasivo, como activo, no es menos cierto que no puede recaer en él toda la responsabilidad de protección. Esta misma circunstancia se produce con la seguridad personal off line, en la que todo ciudadano debe seguir ciertas cautelas, pero no es únicamente suya la responsabilidad de la falta de seguridad. La existencia del Estado y la vigencia del Derecho, son una solución secular
Inteligencia artificial y derechos fundamentales
129
en la organización social a esta problemática, y al respecto de la cuestión que nos ocupa en este trabajo, son actores imprescindibles. Como manifiesta Cotino, “Los problemas clave que generan las tecnologías emergentes no pueden resolverse sólo de forma reactiva y a golpe de resolución jurisdiccional tardía. Se necesitan decisiones políticas, de planeación y de Derecho positivo. Se requieren respuestas de los actores políticos, institucionales y del Derecho en sus diversas fórmulas. Estas decisiones no siempre pueden esperar a que se decanten todas las opciones e intereses en un entorno cambiante. Sin renunciar a un Derecho “sólido”, hay que hacer de la necesidad virtud e introducir nuevas fórmulas regulatorias, más dinámicas, que incorporen la evaluación y adecuación normativa, que faciliten las diversas versiones, que introduzcan fórmulas de remisiones a la determinación normativa por órganos capacitados técnicamente y con suficiente legitimación. Todo ello puede permitir que el Derecho despliegue razonablemente su eficacia ante los nuevos retos. Ello, obviamente, respetando todos los principios de publicidad y seguridad jurídica y la legitimación democrática de las decisiones normativas. Como se señala /supra/, la introducción de los principios de precaución y de responsabilidad y sus técnicas son especialmente adecuados” 92. Desde el punto de vista de la adopción de normas que regulen el uso del Big data e Inteligencia artificial, existen múltiples documentos, trabajos, e informes, que insisten en la necesidad del establecimiento de las medidas que garanticen la vigencia de los derechos fundamentales, resumimos los más destacados: •
En 2013 el Grupo de Berlín elaboró el documento Working Paper and Recommendations on the Publications of Personal Data on the Web, Website Contents Indexing and the Protection of Privacy que contiene, en aplicación del principio de control sobre los datos personales, el derecho a la eliminación de la información procesada ilegalmente o sin consentimiento.
•
El 23 de abril de 2014, en la 13ª edición de The Global Information Tecnology Report se presentó el documento Rewards and Risks of Big Data (Recompensas y riegos de los grandes volúmenes de datos) en el que se ponen de manifiesto las carencias y debilidades existentes en el actual sistema empresarial y de innovación de las Tecnologías de la Información y las Comunicaciones de 148 países; y refleja, cuantificadamente cuál podría ser el impacto del Big data en la privacidad de las personas y los beneficios que podría suponer para las empresas.
92 COTINO HUESO, L: “Riesgos e impactos del Big Data, la inteligencia artificial y la robótica. enfoques, modelos y principios de la respuesta del derecho”. Revista General de Derecho Administrativo nº 50 de 2019.
130
Lucrecio Rebollo
•
En mayo de 2014, el Gobierno de los Estados Unidos, presionado por el escándalo de las filtraciones de Edward Snowden acerca del espionaje masivo llevado a cabo por la NSA, se vio obligado a elaborar un informe denominado Seizing opportunities, preserving values (Aprovechar las oportunidades, preservando los valores) en el que defiende e insta a la consecución de los beneficios y el progreso que el Big data proporciona, pero advierte de los efectos negativos que su uso puede representar para las personas.
•
En enero de 2015 la Internet Rights and Principles Coalition (Coalición por los Derechos y Principios de Internet) publicó la Carta de Derechos Humanos y Principios para Internet, documento que adapta los Derechos Humanos contenidos en la Declaración Universal de Derechos Humanos y otros pactos que conforman la Carta Internacional de Derechos Humanos de la ONU “al entorno de internet para crear conciencia, comprensión y una plataforma común para la movilización en torno a los derechos y principios para internet” 93, en la que se relacionan de forma concreta derechos de los internautas. De forma concreta se establece lo siguiente: Art. 8 “a) La legislación nacional sobre la privacidad Los Estados deben establecer, implementar y hacer cumplir marcos legales integrales para proteger la privacidad y los datos personales de los ciudadanos. Éstos deben estar en consonancia con las normas internacionales de derechos humanos y la protección de los consumidores, y deben incluir la protección contra violaciones de privacidad por parte del Estado y de las empresas privadas. b) Políticas de configuración de la privacidad La protección de la privacidad y su configuración debe ser fácil de encontrar en todos los servicios. La gestión y configuración de la privacidad debe ser integral y estar optimizada para facilitar su uso. c) Normas de confidencialidad e integridad de los sistemas TIC El derecho a la privacidad debe ser protegido por las normas de confidencialidad e integridad de los sistemas de TIC, proporcionando protección contra el acceso a los sistemas de TIC sin su consentimiento. d) Protección de la personalidad virtual Toda persona tiene derecho a una personalidad virtual: la personalidad virtual de la persona humana (es decir, la identificación personal en la información) es inviolable.
93 Coalición por los Derechos y Principios de Internet: Introducción “Carta de Derechos Humanos y Principios para Internet”. Enero, 2015.
Inteligencia artificial y derechos fundamentales
131
Las firmas digitales, nombres de usuario, contraseñas, códigos PIN y TAN no deben ser utilizadas o modificadas por terceros sin el consentimiento del propietario. La personalidad virtual de la persona humana debe ser respetada. Sin embargo, el derecho a una personalidad virtual no debe ser mal utilizado en detrimento de los demás. e) Derecho al anonimato y a utilizar cifrado Toda persona tiene derecho a comunicarse de forma anónima en Internet. Toda persona tiene derecho a utilizar la tecnología de encriptación para garantizar una comunicación segura, privada y anónima. f) La libertad ante la vigilancia Todo el mundo tiene la libertad de comunicarse sin la vigilancia o interceptación arbitraria (incluyendo el seguimiento del comportamiento, de perfiles y del acecho cibernético), o la amenaza de vigilancia o interceptación. Todo acuerdo relativo al acceso a los servicios en línea que incluye la aceptación de la vigilancia deberá indicar claramente la naturaleza de esta vigilancia. Art. 9 “a) Protección de datos personales Las prácticas de información justas deben estar promulgadas en la ley nacional para imponer obligaciones a las empresas y los gobiernos que recogen y procesan datos de carácter personal, y dar derechos a las personas cuyos datos personales se recogen. b) Obligaciones de los colectores de datos La recopilación, uso, divulgación y conservación de los datos personales debe cumplir con una política de privacidad transparente. Toda persona tiene derecho a ejercer el control sobre sus datos personales recogidos y su uso. Quien exija datos personales, deberá solicitar el consentimiento informado del individuo con respecto al contenido, efectos, ubicación de almacenamiento, la duración y los mecanismos para el acceso, recuperación y corrección de los datos. Toda persona tiene derecho a acceder, recuperar y eliminar los datos personales recogidos sobre ellos.
132
Lucrecio Rebollo
c) Normas mínimas sobre el uso de datos personales Cuando se requiere información personal sólo será recogido el mínimo de datos necesario y por el período mínimo de tiempo. Los datos deben ser borrados cuando ya no son necesarios para los fines para los que se recopilaron. Los recolectores de datos tienen la obligación de solicitar el consentimiento activo y notificar a las personas si su información ha sido transmitida a terceros, perdida, robada o mal utilizada. Se tomarán las medidas de seguridad adecuadas para la protección de datos personales almacenados en ficheros automatizados contra la destrucción accidental o no autorizada o la pérdida accidental, así como contra el acceso no autorizado, alteración o difusión de estos datos. d) Monitorización de la protección de datos La protección de datos debe ser vigilada por las autoridades independientes de protección de datos, que funcionarán de forma transparente y sin ventajas comerciales o influencia política. Nadie puede ser objeto de ataques ilegales a su honra y reputación en Internet. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques. Sin embargo, la protección de la reputación no debe utilizarse como excusa para restringir la libertad de expresión legítima”.
Resulta obvio que en muchos casos la propia actividad y los resultados derivados del uso del Big data y de la IA, suponen una vulneración de algunos de los derechos relacionados en la Carta de Derechos Humanos y Principios para Internet. Tal es el caso de la libertad ante la vigilancia, la inviolabilidad de la personalidad virtual, la relativa a la política de privacidad transparente o la conservación de los usuarios de internet del control sobre sus datos personales. Así, el Grupo de Berlín en su Informe sobre Big data y Privacidad “Privacy principles under pressure in the age of Big Data analytics” (Principios de privacidad en riesgo en la era del Big data) de 6 de mayo de 2014 considera que los principales riesgos que el uso del Big data supone para la privacidad son: •
El uso de datos para nuevos propósitos o la reutilización de los datos
•
La maximización de los datos o recabado de datos de forma masiva
•
Falta de transparencia en relación a los derechos de información y acceso
•
Recabado de información sensible encubierta
•
Riesgo de re-identificación
Inteligencia artificial y derechos fundamentales
133
•
Implicaciones en materia de seguridad
•
La incorrección de los datos o falta de integridad de la información
•
El desequilibro de poder entre las partes implicadas o power imbalance
•
El determinismo y la discriminación de los datos
•
El efecto disuasorio o Chilling effect
•
El efecto caja de resonancia o Echo Chambers 94
A continuación, el citado Informe concluye estableciendo una serie de recomendaciones que deben observarse en el uso del Big data con el objeto de evitar el impacto de los anteriores riesgos en la privacidad de las personas. A la vista de los problemas, riesgos e implicaciones que el uso del Big data conlleva, debería llevarse a cabo la adopción de medidas, estándares y protocolos de actuación que tiendan a eliminar o minimizar en lo posible el impacto de aquellos en los derechos de las personas: 1. Robustecimiento y mejora de los procesos de anonimización impidiendo que puedan ser revertidos, establecimiento de medidas que frustren toda posibilidad de que la combinación de datos pueda resultar una vía para identificar a las personas, así como la eliminación de toda aquella información “neutra” asociada a datos anónimos que permita rastrear la identidad virtual de la información. 2. Definición y establecimiento no exhaustivo ni ilimitado de finalidades en el momento de recabado de los datos y la previsión de la posibilidad de reutilización de los datos a la hora de la delimitación de ulteriores finalidades, que necesariamente han de ser compatibles. 3. Limitación de los datos recabados en función de las finalidades previamente establecidas, impidiendo la recopilación masiva de información no adecuada ni pertinente, así como el recabado de datos de escasa calidad en términos de Big Data (principio de minimización de los datos). 4. Ineludible necesidad de que el tratamiento de datos cuente con la legitimación requerida por la normativa, principalmente y con carácter general el consentimiento de los titulares de los datos, sin perjuicio de otras vías de legitimación previstas por la ley que permitan el tratamiento legítimo de la información.
Entendido como aquel que se produce cuando la información, ideas, comportamientos o creencias se amplifican o son reforzados a través de su transmisión y repetición dentro de un sistema “cerrado”, donde los puntos de vista opuestos o diferentes son censurados, reprobados o de alguna manera infravalorados. 94
134
Lucrecio Rebollo
5. Puesta a disposición de los ciudadanos de información completa y transparente a través de Términos y Condiciones de Uso o Políticas de Privacidad en relación a los datos recabados, finalidades a las que se van a destinar, plazos de conservación de los datos, entidades y organizaciones que acceden o que accederán en un futuro a la información, procesos y herramientas (algoritmos) de análisis a los que van a ser sometidos los datos y modo de hacer efectivo el control sobre los datos recabados a través del ejercicio de los derechos de acceso, rectificación, cancelación y oposición. 6. Establecimiento de procedimientos que permitan el ejercicio del control sobre los datos personales. En este sentido, podría utilizarse plataformas que unifican los datos de los individuos en sus relaciones con las empresas o administración y que permiten a estos la gestión integral de los mismos, así como la posibilidad de compartir dichos datos con terceros o simplemente negarse a que dichos datos sean comunicados. 7. Control y revisión de los procedimientos de análisis con el objeto de que sus resultados sean justos, sostenibles, beneficiosos, progresivos y respetuosos y de evitar que produzca efectos discriminatorios o de exclusión. 8. La utilización de mecanismos de Privacy By Design o Privacidad por diseño, de manera que las medidas de seguridad y los protocolos de actuación se implementen con carácter previo y preventivo, con el objeto de impedir la producción material del impacto negativo debido al uso del Big data.
La Privacidad por Diseño implica, por tanto, que los intereses de los usuarios y la protección de sus datos hayan de ser tenidos en cuenta desde el momento inicial de la configuración de los sistemas y que hayan de utilizarse medidas de privacidad por defecto, de manera que se establezca una mayor protección inicial de la información personal de los usuarios que sólo podrá ser modificada o rebajada posteriormente por una acción expresa de éstos. Puede igualmente establecerse medidas de control independientes sobre los términos y condiciones a que deben atenerse los prestadores de servicios, que no podrán modificarlos unilateralmente, sino que deben contar con el previo consentimiento de los usuarios.
Otra de las herramientas a utilizar desde la privacidad por diseño es la elaboración de Evaluaciones de impacto en la privacidad o Privacy Impact Assessment (PIA) que aparecen contempladas en la propuesta de Reglamento del Parlamento Europeo y del Consejo de 2012 para aquellos supuestos en que el tratamiento de datos entraña riesgos específicos y que según el art. 33.3 del mismo “deberá incluir, como
Inteligencia artificial y derechos fundamentales
135
mínimo, una descripción general de las operaciones de tratamiento previstas, una evaluación de los riesgos para los derechos y libertades de los interesados, las medidas contempladas para hacer frente a los riesgos, y las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales y a probar la conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas”. 9. Afrontar el tratamiento de datos que supone el uso del Big Data desde el principio de responsabilidad o accountability de las entidades y organizaciones que gestionan la información y que introduce el art. 5 de la Propuesta de Reglamento. Este principio de responsabilidad supone la adopción de protocolos y políticas de actuación con el objetivo de demostrar que el tratamiento de datos se realiza con arreglo a la normativa vigente. 10. Elaboración y adopción de Códigos de conducta por las entidades y organizaciones que tratan datos personales en entornos de Big Data, que tengan en cuenta las particularidades y riesgos específicos que entraña y que contribuyan a la correcta aplicación de la normativa vigente y a garantizar la efectividad de los derechos de los interesados. 11. Realización de operaciones conjuntas de las autoridades de control en el ámbito de la Unión Europea que fomenten la cooperación y asistencia mutua de los Estados miembros. 12. Adopción de acuerdos con terceros países, principalmente Estados Unidos, teniendo en cuenta el alcance global de implantación de la tecnología Big Data, que trasciende el ámbito nacional y europeo; y que conlleva la necesidad de llevar a cabo políticas de actuación uniformes, así como la posibilidad de someter a la jurisdicción y legislación europeas las actividades de Big Data que afecten a los ciudadanos de los Estados miembros. Como conocemos, muchas de estas propuestas, incluso podría decirse que casi todas, son contenido actual del RGPD y como consecuencia directa de su desarrollo, también han pasado a serlo del ordenamiento jurídico de los Estados miembros. Más reciente es la Resolución del Parlamento Europeo de 14 de marzo de 2017, al respecto del uso de los macrodatos, que establece una serie de pautas de actuación y desarrollos, tanto a nivel de la propia Unión Europea, como a los Estados miembros, en el establecimiento de mecanismos que eliminen la vulneración de los derechos fundamentales a través de técnicas de uso masivo de datos.
136
Lucrecio Rebollo
La misma preocupación existe en la Unión Europea respecto a la utilización de la Inteligencia artificial, de esta forma, en febrero de 2019 el Parlamento Europeo aprueba la Resolución sobre política industrial global europea en materia de Inteligencia artificial y robótica 95. Después de realizar una contextualización de los avances y los cambios que introducirá esta nueva tecnología, dedica el apartado 1.2. al que denomina “uso malintencionado de la inteligencia artificial y los derechos fundamentales”, manifestando que “el uso malintencionado o negligente de la inteligencia artificial podría constituir una amenaza para la seguridad digital, la seguridad física y la seguridad pública, ya que podría utilizarse para llevar a cabo ataques a gran escala, muy selectivos y muy eficientes contra servicios de la sociedad de la información y máquinas conectadas, para lanzar campañas de desinformación y, en general, para reducir el derecho de las personas a la autodeterminación; “señala que el uso malintencionado o negligente de la inteligencia artificial también podría conllevar riesgos para la democracia y los derechos fundamentales”. Por ello, “Pide a la Comisión que proponga un marco que penalice las prácticas de manipulación de la percepción cuando los contenidos personalizados o las fuentes de noticias provoquen sentimientos negativos y una deformación de la percepción de la realidad que podrían tener consecuencias negativas (por ejemplo, resultados electorales o percepciones distorsionadas sobre cuestiones sociales como la migración). También insta a “… la Comisión a que tome nota de los retos sociales derivados de las prácticas resultantes de la clasificación de los ciudadanos; subraya que los ciudadanos no deben ser objeto de discriminación en función de su clasificación y que deben tener derecho a una «segunda oportunidad»”. Por último, manifiesta “… su gran preocupación por el empleo de aplicaciones de inteligencia artificial, incluido el reconocimiento facial y vocal, en los programas de «vigilancia emocional», es decir, el seguimiento de las condiciones mentales de los trabajadores y los ciudadanos, con el fin de obtener un incremento de la productividad y preservar la estabilidad social, en algunos casos asociándolos a sistemas de «crédito social», como, por ejemplo, los que ya se han establecidos en China; destaca que “esos programas entran en conflicto de por sí con los valores y normas europeos que protegen los derechos y libertades de las personas”. Como puede comprobarse, la función estatal, o regional, como es el caso de la Unión Europea, ponen de manifiesto una clara preocupación por la materia, pero está ausente una plasmación normativa sobre la misma. Cabe deducir que será el siguiente paso, y que se llevará a efecto de forma inminente, pero en la actualidad, la inexistencia de una regulación concreta sobre la materia es ya una necesidad imperiosa. Como hemos analizado, son muchos los documentos internacionales y de la UE que instan a la necesidad de regulación. Si bien es cierto que lo deseable sería una normativa de carác http://www.europarl.europa.eu/doceo/document/TA-8-2019-0081_ES.html
95
Inteligencia artificial y derechos fundamentales
137
ter universal, no es menos cierto, que la UE ha ido marcando la senda en el ámbito de la protección de los derechos y libertades fundamentales en relación con las nuevas tecnologías, y todo apunta, a que también será así en la regulación del uso masivo de datos con aplicación a la Inteligencia artificial en su relación con los derechos fundamentales. A lo largo de 2021 la Unión Europea ha impulsado un gran número de propuestas normativas al respecto de IA, tanto en el ámbito penal, como en los sectores educativo, cultural y audiovisual, así como un marco relativo a los aspectos éticos de la IA, que se concretó en una Resolución del Parlamento Europeo. Todas estas iniciativas tienen carácter sectorial y no abordan una regulación al completo sobre IA. Por el contrario, sí lo hace el Proyecto de Reglamento de 21 de abril de 2021, por el que se establecen normas armonizadas en materia de Inteligencia artificial (Ley de IA) y se modifican determinados actos legislativos de la Unión. Pretende ser la norma nuclear en la regulación de esta materia, y para ello establece como objetivos específicos los siguientes: •
Garantizar que los sistemas de la IA introducidos y usados en el mercado de la UE sean seguros y respeten la legislación vigente en materia de derechos fundamentales y valores de la Unión;
•
Garantizar la seguridad jurídica para facilitar la inversión en innovación en IA;
•
Mejorar la gobernanza y la aplicación efectiva de la legislación vigente en materia de derechos fundamentales y los requisitos de seguridad aplicables a los sistemas de IA;
•
Facilitar el desarrollo de un mercado único para hacer un uso legal, seguro y fiable de las aplicaciones de IA y evitar la fragmentación del mercado.
Se pretende una regulación específica de la UE que limite el uso de la IA en relación con las posibles vulneraciones de los derechos y libertades fundamentales, sin obstaculizar el desarrollo tecnológico y sin aumentar de forma desproporcionada el coste de su realización, y sin introducir restricciones innecesarias a la actividad empresarial y comercial. Por último, la propuesta de Reglamento es consciente de que la perspectiva regulatoria debe estar basada en los riesgos presente y futuros, por lo que establece mecanismos flexibles que le permitan adaptarse de forma dinámica a la evolución de la tecnología. A este desarrollo normativo de la UE, una vez aprobado, le deberán seguir las normativas de los Estados miembros, y un conjunto jurisprudencial que asiente toda la regulación, y solvente las dificultades aplicativas. Como puede deducirse, un proceso largo, pero necesario, que viene a ratificar la
138
Lucrecio Rebollo
necesidad de intervención de los operadores imprescindibles en el ámbito de la IA, el Derecho y el Estado, como garantes necesarios. Parece también claro, que la regulación debe necesariamente tener carácter internacional, pero ante esta carencia, también es conveniente reconocer que la UE viene teniendo un liderazgo claro en materia de regulación y garantía de todo aquello que implica una relación entre tecnología y derechos fundamentales, liderazgo que ha suplido al tradicional de EE. UU. Y que se constituye en el modelo a seguir por todos los países del mundo. Ello nos debe predisponer de forma positiva en las soluciones, y contrarresta en alguna medida el amplio abanico de riesgos que se generan en el uso de la IA aplicado a Big data. Otro aspecto complementario de la necesaria normativa específica es la existencia de autoridades de control. A imagen de la regulación europea y de los Estados miembros en protección de datos, donde existe una estructurada normativa, a la que se añade un conjunto de órganos controladores, parece que en el ámbito de la IA se debe seguir el mismo camino. El Proyecto de Reglamento de la UE de 2021 sobre Inteligencia Artificial establece en su Título VI en el que se regula la gobernanza, que se creará un Comité Europeo de Inteligencia Artificial, que ofrece asistencia y asesoramiento a la Comisión, y que cooperará con las autoridades nacionales de supervisión y control sobre la materia. Integran el Comité las autoridades nacionales de control, junto con el Supervisor Europeo de Protección de Datos. Tiene una fuerte dependencia administrativa y funcional de la Comisión. También contempla el Proyecto de Reglamento la figura de las denominadas “Autoridades Nacionales Competentes”, y de forma concreta el art. 59 establece que cada Estado “establecerá o designará autoridades nacionales competentes con el fin de garantizar la aplicación y ejecución del presente Reglamento”. No se pronuncia al respecto de si estas nuevas autoridades pueden ser las mismas que las de protección de datos, o deben realizarlas organismos distintos. De la redacción del citado artículo, debemos deducir que el Proyecto de Reglamento deja la puerta abierta a ambas posibilidades, puesto que refiere “establecerá”, para el supuesto de que sea distinta autoridad, o “designará”, de cuya dicción podemos deducir que esta tarea la podría asumir también la autoridad nacional relativa a protección de datos. A nuestro juicio, parece más adecuado el establecimiento por parte de los Estados miembros de una autoridad distinta a las existentes en protección de datos, si bien éstas habrán de colaborar de forma activa. La complejidad de las tareas encomendadas, y el volumen previsible de actuaciones, apunta a que los Estados en su normativa de desarrollo del futuro Reglamento, opten por una autoridad diferenciada y específica para la regulación, control y sanción de todo lo relacionado con la Inteligencia artificial.
BIBLIOGRAFÍA
1. Doctrina ABA CATORIA, A: “Seguridad nacional: libertad y seguridad en el ciberespacio”. Revista General de Derecho Administrativo nº 50 de 2019. ALCALDE, I: “Somos datos: privacidad y límites del Big Data”. http://www.ignasialcalde.es/somos-datos-privacidad-y-limites-del-big-data/ ARELLANO TOLEDO, W: “El derecho a la transparencia algorítmica en Big Data e inteligencia artificial”. Revista General de Derecho Administrativo nº 50 de 2019. BARNATT, C: “Big Data”. http://explainingcomputers.com/big_data.html BARRERA ARRESTEGUI, L: “Fundamentos históricos y filosóficos de la Inteligencia artificial”. Revista de Investigación y Cultura. Vol 1, nº 1 de 2012, páginas 87 a 92. BARRIO ANDRÉS, M: Internet de las cosas. Reus. Madrid 2018. BOYD, D y CRAWFORD, K: “Critical Questions for Big Data”. http://www.tandfonline.com/doi/abs/10.1080/1369118X.2012.678878 BYUNG-CHUL, H: La sociedad de la transparencia. Herder, 2012. CAPDEFERRO VILLAGRASA, O: “Las herramientas inteligentes anticorrupción: entre la aventura tecnológica y el orden jurídico”. Revista General de Derecho Administrativo nº 50 de 2019. CAPODIFERRO CUBERO, D: “La libertad de información frente a Internet”. Revista de Derecho Político de la UNED nº 100, de 2017, págs. 701-737. CANALS AMETLLER, D: “El proceso normativo ante el avance tecnológico y la transformación digital (inteligencia artificial, redes sociales y datos masivos)”. Revista General de Derecho Administrativo nº 50 de 2019. CASTELLANOS CLARAMUNT, J: “La democracia algorítmica: inteligencia artificial, democracia y participación política”. Revista General de Derecho Administrativo nº 50 de 2019. Castells, M: “Internet, libertad y sociedad: Una perspectiva analítica”. Polis. Revista Latinoamericana, nº 4 de 2003. https://journals.openedition.org/ polis/7145
140
Lucrecio Rebollo
Cerrillo i Martínez, A: “El impacto de la inteligencia artificial en el derecho administrativo ¿nuevos conceptos para nuevas realidades técnicas?”. Revista General de Derecho Administrativo nº 50 de 2019. Cotino Hueso, L: “Ética en el diseño para el desarrollo de una inteligencia artificial, robótica y big data confiables y su utilidad desde el derecho”. Revista Catalana de Dret Públic, nº 58 de 2019, páginas 29 a 48. - “Big data e inteligencia artificial. Una aproximación a su tratamiento jurídico desde los derechos fundamentales”. Dilemata, nº 24 de 2017, páginas 131 a 150. - “Riesgos e impactos del big data, la inteligencia artificial y la robótica. Enfoques, modelos y principios de la respuesta del Derecho”. Revista General de Derecho Administrativo nº 50 de 2019. COX, M. y ELLSWORTH, D.: “Application-Controlled Demand Paging for Outof-Core Visulization” Report NAS-97-010, Julio, 1997. http://www.nas.nasa. gov/assets/pdf/techreports/1997/nas-97-010.pdf DE LA CUADRA-SALCEDO, T y PIÑAR MAÑAS, J. L (Dir): Sociedad Digital y Derecho. BOE. Madrid 23018. DOMENECH, F: “Cara y Cruz del Big Data – Philip Evans”. https://www.youtube. com/watch?t=2&v=IVTfu0czaws FERRER SERRANO, R.L.: “Electronic Discovery, el Big Data de los abogados”. www. abogacia.es/2015/05/18/electronic-discovery-el-big-data-de-los-abogados/ FROSINI, V: Cibernética, Derecho, Internet y Sociedad. Ediciones Olenjnik. Chile 2019. GARCÍA GARCÍA, E: “Acotando el concepto de Big Data”. http://www.cnis.es /images/informes/Articulo%20Big%20Data%200.0.pdf GIL ANTÓN, A. Mª: El derecho a la propia imagen del menos en internet. Dykinson. Madrid 2013. GIL GONZÁLEZ, E: Big Data y protección de datos. AEPD y BOE. Madrid 2016. GUASCH PORTAS, V: Las transferencias internacionales de datos en la normativa española y comunitaria. AEPD y BOE. Madrid 2014. HOGAN-DORAN, D: “Big Data, the legal profession, the courts and the law”. http:// hogandoran.com/2015/07/25/big-data-the-legal-profession-the-courts-andthe-law/ HOFFMANN-RIEM, W: Big Data. Desafíos también para el Derecho. Traducción de López Pina. Cívitas Thomson-Reuters. Madrid 2018. IBM Institute for Business Value: “Analytics: el uso del big data en el mundo real.” 2012. KOCHETKOVA, K: “El lado escalofriante del Big Data”. https://blog.kaspersky.es/ scary-big-data/6637/ KONRAD, A: “Meet Confluent, The Big-Data Startup Than Has Silicon Valley Buzzing”. http://www.forbes.com/sites/alexkonrad/2015/08/19/why-confluent-data-has-silicon-valley-buzzing/
Inteligencia artificial y derechos fundamentales
141
KRANZBERG, M: “Technology and history”. Technology and Culture, 27 nº 3 de 1986, páginas 544 a 560. LANEY, D: “3D Data Management: Controlling Data Volume, Velocity, and Variety” 6 de febrero de 2001. http://blogs.gartner.com/doug-laney/files/2012/01/ ad949-3D-Data-Management- Controlling-Data-Volume-Velocity-and-Variety. pdf. LESSIG, L: Code. New York. Bassic Books, 2006. LÓPEZ MORATALLA, N: Sobre inteligencia artificial ¿Conciencia artificial? Ideas y Libros Ediciones. Madrid 2018. MARCUSE, H: El hombre unidimensional. Seix Barral, Barcelona 1969. MARTÍNEZ MARTÍNEZ, S. y LARA NAVARRA, P: “El big data transforma la interpretación de los medios sociales”, en El profesional de la información, Vol. 23, Nº 6, de 2014, págs. 575-581. http://dialnet.unirioja.es/servlet/extart?codigo=4922423 MARTÍNEZ NADAL, A: Big Data, Cloud Computing y otros retos jurídicos planteados por las tecnologías emergentes. Aranzadi. 2019. MARR, B: “How Big Data and the Internet of Things improve public transport in London”. 26 de julio de 2015. https://www.linkedin.com/pulse/how-big-data-internetthings-improve-public-transport-bernard-marr?trk MIRALLES, R: “Big Data vs. Small Law” 10 de julio de 2013. http://www.abogacia. es/2013/07/10/big-data-vs-small-law/ MORCILLO, F: “Big Data para el ciudadano, el reto en las Smart cities”. 15 de marzo de 2015. https://smartcitymb3.wordpress.com/2015/03/15/bigdata-parael-ciudadano-el-reto-en-las-smartcities/ OTTOLIA, a: Derecho, Big Data e Inteligencia Artificial. Tirant Lo Blanch. Valencia, 2018. PALMA ORTIGOSA, A: “Decisiones automatizadas en el RGPD. El uso de algoritmos en el contexto de la protección de datos”. Revista General de Derecho Administrativo nº 50 de 2019. PAUNER CHULVI, C: “La libertad de información como límite al derecho a la protección de datos personales: La excepción periodística”. Teoría y Realidad Constitucional. UNED., nº 36, de 2015, páginas 377-395. PARISER, E: El filtro burbuja. Taurus. Barcelona 2017. Piergiorgio. S: “China y Estados Unidos dejan atrás a Europa en inteligencia artificial”. La Vanguardia, 18 de febrero de 2019. PONCE SOLÉ, J: “Inteligencia artificial, Derecho administrativo y reserva de humanidad: algoritmos y procedimiento administrativo debido tecnológico”. Revista General de Derecho Administrativo nº 50 de 2019. PowerData: “Big Data y Hadoop: el valor de los datos agrupados y clasificados”. http://blog.powerdata.es/el-valor-de-la-gestion-de-datos/bid/406199/BigData-y-Hadoop-el-valor-de-los-datos-agrupados-y-clasificadose
142
Lucrecio Rebollo
PRECIADO DOMÉNECH, C. H: Los derechos digitales de las personas trabajadoras. Thomson-Reuters. Aranzadi. Pamplona 2019. PRESNO LINERA, M. A: Derechos fundamentales e inteligencia artificial. Marcial Pons. 2022. Press, G: “A Very Shory History of Big Data”. http://www.forbes.com/sites/ gilpress/2013/05/09/a-very-short-history-of-big-data/ - “Big Data Observations: The Datasexual” 11 de octubre de 2013. http://whatsthebigdata.com/2013/10/11/big-data-observations-the-datasexual/ PULIDO CAÑABATE, E: “Big Data: ¿solución o problema?”. 2014. PUYOL MORENO, J: “Una aproximación a Big Data”. Revista de Derecho UNED, núm. 14, 2014 Quantic: “Las 5 V’s del Big Data.”. http://www.quanticsolutions.es/big-data/las5-v-big-data/ Quiñonez, J. D.: “47 datos curiosos y estadísticas sobre Whatsapp [Infografía]”. http://wwwhatsnew.com/2015/06/07/47-datos-curiosos-y-estadisticas-sobrewhatsapp-infografia/ REBOLLO DELGADO, L: El derecho fundamental a la intimidad. Dykinson 2ª Ed. Madrid 2005. - Protección de datos en Europa. Dykinson. Madrid 2018. - Límites a la libertad de comunicación pública. Dykinson, 2008. REBOLLO DELGADO, L y SERRANO PÉREZ. Mª. M: Manual de Protección de Datos. 3ª Ed. Dykinson, Madrid 2019. REBOLLO DELGADO, L y ZAPATERO MARTÍN, P: Derechos Digitales. Dykinson. Madrid 2019. REIG, D: “Privacidad cambiante en la Sociedad de la Transparencia”. http://www.dreig. eu/caparazon/2012/05/22/privacidad-sociedad-de-la-transparencia/ REINA, L: “Los desafíos del Big Data”, en Bit, Nº 193, 2013, págs. 46-48. http:// dialnet.unirioja.es/servlet/extart?codigo=4284564 Ridaura Martínez, Mª. J: Seguridad privada y derechos fundamentales: la nueva Ley 5/2014, de 4 de abril, de Seguridad Privada. Tirant lo Blanch, Valencia 2015. RISEN, J y POITRAS, L: “N.S.A Collecting Millions of Faces from Web Images”. http:// www.nytimes.com/2014/06/01/us/nsa-collecting-millions-of-faces-fromweb-images.html?_ SANCHO LÓPEZ, M: “Estrategias legales para garantizar los derechos fundamentales frente a los desafíos del Big Data”. Revista General de Derecho Administrativo nº 50 de 2019. SANTOS PASCUAL, E: “Yo digital. Estudio de la personalidad”. http://www.abogacia.es/2015/06/01/yo-digital-estudio-de-la-personalidad/#.VWxFmte QZaw. twitter SICULAR, S: “What’s next for Big Data?”. http ://m.firstpost.com/business/ whatsnext-big- data-2022207.
Inteligencia artificial y derechos fundamentales
143
TRONCOSO REIGADA, A: Comentarios a la Ley de Protección de Datos de carácter personal. Civitas-Thomson Reuters. Pamplona 2010. - Comentario a la Ley de Transparencia, acceso a la información pública y buen gobierno. Civitas-Thomson Reuters. Pamplona 2017. UNIVERSIDAD INTERNACIONAL DE VALENCIA: “La sociedad española y la alfabetización multimedia: internet, redes sociales y competencia tecnológica”. Valencia 2015. VAN DEN BERG, E: “¿Qué es eso del Big Data?”. http://elpais.com/elpais/ 2015/03/26/buenavida/1427382655_646798.html VERDU, M: “Forbes y Teradata revelan los beneficios del Big Data. http://www.networkworld.es/actualidad/forbes-y-teradata-revelan-los-beneficios-de-big-data Zuazo, N: “Algoritmos y desigualdades”. Derechos Digitales. Publicado en noviembre de 2018. https://bit.ly/2PWHwlX.
2.
Documentación utilizada
- Artificial Intelligence for Europe. Communication from the Commission to the European Parliament, the European Council, the Council, the European Economic and Social Committee and the Committee of the Regions -, Comisión Europea, abril 2018, Bruselas. - Discrimination, artificial intelligence, and algorithmic decision-making, Prof. Frederik Zuiderveen Borgesius, Consejo de Europa 2018. - How can humans keep the upper hand? The ethical matters raised by algorithms and artificial intelligence, CNIL, diciembre 2017. - Robustness and Explainability of Artificial Intelligence. From technical to policy solutions. Comisión Europea. 2020. - Estrategia Española de I+D+I en Inteligencia Artificial, Ministerio de Ciencia, Innovación y Universidades, 2019. - Report on Algorithmic Risk Assessment Tools in the U.S. Criminal Justice System, Partnership on AI (PAI), abril 2019. https://www.partnershiponai.org/ report-on-machine-learning-in-risk-assessment-tools-in-the-u-s-criminal-justice-system/ - Human-AI Collaboration Framework & Case Studies, Partnership on AI (PAI), septiembre 2019. https://www.partnershiponai.org/human-ai-collaborationframework-case-studies/ - AI Index 2018 Annual Report, Zoe Bauer et al., AI Index Steering Committee, HumanCentered AI Initiative, Stanford University, Stanford, CA, December 2018. - Artificial Intelligence and the Future of Humans, J. Anderson et al., Pew Research Center, diciembre 2018.1. - Serie relativa a Inteligencia Artificial del blog del ICO. https://ico.org.uk/aboutthe-ico/what-we-do/tech-and-innovation/blogs/
144
Lucrecio Rebollo
- Artificial Intelligence Safety and Cybersecurity: a Timeline of AI Failures Roman V.Yampolskiy, University of Louisville 2018. - Exploring the landscape of spatial robustness, Logan Engstrom, MIT. https://arxiv.org/pdf/1712.02779.pdf - Towards federated learning at scale: system design Keith, Bonawitz et al. https://arxiv.org/pdf/1902.01046.pdf - What’s your ML Test Score? A rubric for ML production systems, Eric Breck, 2018, Google Inc. https://www.eecs.tufts.edu/~dsculley/papers/ml_test_score.pdf - A Survey on Security Threats and Defensive Techniques of Machine, Qiang Liu et al., IEEE - Dictamen 05/2014 sobre técnicas de anonimización, Grupo del Artículo 29, 2014. - Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679. Grupo del Artículo 29. Adoptadas el 3 de octubre de 2017 Revisadas por última vez y adoptadas el 6 de febrero de 2018. - Directrices sobre los delegados de protección de datos (DPD), Grupo del Artículo 29.Adoptadas el 13 de diciembre de 2016 Revisadas por última vez y adoptadas el 5 de abril de 2017. - Guía de Privacidad desde el Diseño, AEPD, octubre 2019. - Guía práctica para las evaluaciones de impacto en la protección de datos personales, AEPD, octubre 2018. - Orientaciones y garantías en los procesos de anonimización de datos personales, AEPD, 2016. - Adecuación al RGPD de tratamientos que incorporen Inteligencia Artificial. Una introducción. AEPD. 2020.
GRACIAS POR CONFIAR EN NUESTRAS PUBLICACIONES Al comprar este libro le damos la posibilidad de consultar gratuitamente la versión ebook. Cómo acceder al ebook: ) Entre en nuestra página web, sección Acceso ebook (www.dykinson.com/acceso_ebook) ) Rellene el formulario que encontrará insertando el código de acceso que le facilitamos a continuación así como los datos con los que quiere consultar el libro en el futuro (correo electrónico y contraseña de acceso). ) Si ya es cliente registrado, deberá introducir su correo electrónico y contraseña habitual. ) Una vez registrado, acceda a la sección Mis e-books de su cuenta de cliente, donde encontrará la versión electrónica de esta obra ya desbloqueada para su uso. ) Para consultar el libro en el futuro, ya sólo es necesario que se identifique en nuestra web con su correo electrónico y su contraseña, y que se dirija a la sección Mis ebooks de su cuenta de cliente.
CÓDIGO DE ACCESO
Rasque para ver el código
Nota importante: Sólo está permitido el uso individual y privado de este código de acceso. Está prohibida la puesta a disposición de esta obra a una comunidad de usuarios.