Читать книгу Nuevas normatividades: Inteligencia Artificial, Derecho y Género - Rafael Fernández Acevedo - Страница 10

El RGPD abrió una posibilidad ideal para los diferentes Estados miembro para que pudieran introducir especificaciones relativas al tratamiento de las decisiones automatizadas. Si bien, en el caso español, aunque la Ley Orgánica 3/2018 de protección de datos personales y garantía de los derechos digitales (LOPDGDD) ha incorporado en su contenido los preceptos relativos a las decisiones automatizadas, pero sin añadir especificaciones, concretamente a través del artículo 18. No obstante, en el ámbito legislativo del ámbito administrativo sí que se ha hecho mención sobre la actuación administrativa automatizada.

Si bien la Agencia Española de Protección de Datos (AEPD) ha comenzado a preocuparse por el uso de decisiones automatizadas mediante IA, subrayando en sus recientes publicaciones que en la toma de decisiones la IA puede adoptar dos roles: por una parte, como ayuda para el proceso de decisión, proporcionando inferencias o perfiles sobre un sujeto o situación para que el ser humano tome la decisión final; y, por otra parte, el de la toma y ejecución de la decisión. Por su parte, la Autoridad Catalana de Protección de Datos también ha destacado la necesidad de fijar unos límites en la ética y el uso de IA para la adopción de decisiones automatizadas24.

No obstante, en España la inteligencia artificial todavía se encuentra en una fase inicial en al ámbito de la Administración pública, si bien ya se están llevando a cabo proyectos que requieren de atención jurídica y posibles soluciones. Así, diversos autores25 han manifestado que, para el caso de los tratamientos de las Administraciones públicas en la toma de decisiones automatizadas, si estos son necesarios para un procedimiento administrativo no resultaría probable que el interesado pudiera manifestar libremente su consentimiento, por lo que solamente podría resultar de aplicación la segunda excepción recogida en la normativa de protección de datos. A lo anterior deben sumarse otras como que dichas elaboraciones no pueden basarse en datos personales especialmente protegidos, que son los relativos a las opiniones políticas, el origen étnico o racial, las convicciones religiosas o filosóficas o la afiliación sindical, así como datos genéticos, biométricos, de salud o relativos a la vida u orientación sexual.

De esta forma, la toma de decisiones públicas para las que se empleen algoritmos de IA requerirá una autorización, o bien, por el Derecho de la UE, o bien, mediante la normativa de los Estados miembro que resulten de aplicación al responsable de tratamiento. Concretamente, en el caso español, el artículo 8.1 de la LOPDGDD exige una norma con rango de ley, que como ya han destacado autores como Boix Palop26 puede tener cabida en el artículo 41 de la Ley 40/2015 de Régimen Jurídico del Sector público (LRJSP). Dicho artículo dedicado a la actuación administrativa automatizada, establece que se entenderá por dicha actuación cualquier acto o actuación realizada íntegramente a través de medios electrónicos por una Administración pública en el marco de un procedimiento administrativo, en el que no haya intervenido de forma directa un empleado público. Además, en estos casos deben establecerse de forma previa, el órgano u órganos competentes para la definición de las especificaciones, programación, mantenimiento, supervisión, etc. Es decir, mediante este artículo se establecen ciertos criterios y mecanismos previos.

No obstante, junto a la posibilidad de esas autorizaciones previas, se plantea la cuestión relativa a la determinación del momento en el que los efectos de estas decisiones comienzan a tener un efecto jurídico. En este sentido, y conforme al Grupo de Trabajo del Artículo 2927 en su documento “Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679”, habría este efecto en aquellas decisiones que denieguen a una persona una oportunidad laboral, que afecte a sus circunstancias económicas, o el acceso de una persona a servicios sanitarios, aquellas que le denieguen una ayuda o que afecten a su acceso a la educación. Por este motivo, estas decisiones automatizadas deben estar sometidas a una serie de garantías para proteger los derechos de los interesados, como el derecho a obtener una intervención humana o a impugnar la decisión entre otros. A mayores, se plantea la realización de auditorías o certificaciones para garantizar que los algoritmos no den lugar a sesgos de ningún tipo, así como la creación de comités éticos para analizar el impacto que puedan tener28. Otra posibilidad es la utilización de evaluaciones de impacto, recogidas en el RGPD, y que permiten analizar y describir de forma preventiva los riesgos potenciales frente a los datos objetivos de tratamiento, con el objetivo de elaborar un plan de prevención.

Ahora bien, para poder entender cómo se hizo la predicción o el algoritmo tomó la decisión se habla sobre la explicabilidad, la posibilidad de que los resultados sean fácilmente entendibles. Por ello el uso de este sistema en la toma de decisiones debe ser transparente y motivada29. Para poder lograr este objetivo, se debería aplicar estándares para garantizar su fiabilidad, y que exijan cierta garantía de imparcialidad. En este sentido, la opacidad en la elaboración y el uso de algoritmos es uno de los grandes riesgos, por este motivo resulta habitual referirse a los algoritmos de aprendizaje automático como cajas negras o black boxes30. Ya que su opacidad puede provenir por complejidades técnicas debido a la cantidad ingente de datos empleados para su entrenamiento, por cuestiones jurídicas ya que la legislación española sobre transparencia reconoce diversos límites, o bien por causas organizativas debido a que las Administraciones públicas no formalizan las decisiones sobre el uso de algoritmos o no tengan determinadas especificaciones técnicas. No obstante, la legislación vigente sobre transparencia no está adaptada para este nuevo reto ni ayuda a aclarar cuál es la información concreta que debe ser pública sobre los algoritmos empleados sin que afecte a otros derechos como la posible propiedad intelectual del desarrollador. Este es un indicador que demuestra la necesidad de desarrollar mecanismos de transparencia enfocados en la IA, siendo un ejemplo claro la realización de una supervisión proactiva por parte de la administración31. El control sobre la programación es esencial, teniendo que llevarse a cabo por órganos independientes, preferiblemente colegiados y con la participación de las diferentes personas o colectivos que puedan verse afectados por la decisión derivada de los algoritmos. El comportamiento del algoritmo puede ensayarse y testearse antes de su incorporación al ámbito público. Para la detección de estos una solución viable es la propia formación e los equipos técnicos que lo desarrollen en cuestiones de ética y derechos humanos, así como el fomento de equipos mixtos y representación diversa.