Читать книгу Nuevas normatividades: Inteligencia Artificial, Derecho y Género - Rafael Fernández Acevedo - Страница 8

Una vez establecido el panorama de la IA en el ámbito europeo y el futuro respecto a su próximo marco regulatorio, es necesario ahondar en las decisiones automatizadas y el derecho a la protección de datos en el RGPD. Así, el artículo 22.1 dispone que todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluyendo la elaboración de perfiles, que produzca efectos jurídicos en él. Esto implica una prohibición para realizar decisiones automatizadas cuando concurran esos elementos y no haya habilitación que lo permita. Se establece, por lo tanto, una regulación concreta para las decisiones basadas en los dictámenes emitidos por máquinas. El artículo 22 forma parte del Capítulo III titulado “Derechos del interesado”, concretamente en la Sección 4 “Derecho de oposición y decisiones individuales automatizadas”. Este hecho ha generado en las autoridades de control y parte de la doctrina consideren que este precepto reconoce una variante del derecho de oposición, centrado en el derecho a no ser objetivo de decisiones bajo estas características19. Sin embargo, otros autores apuntan a una verdadera definición y regulación de un tratamiento de datos personales específico20, consideración que va en línea con la interpretación llevada a cabo por el anterior Grupo de Trabajo del Art. 29, que acentuó la prohibición general de las decisiones basadas exclusivamente en el tratamiento automatizado. Para ello, argumentó que dicha interpretación ayudaría a proteger de forma efectiva a las personas sometidas a este tipo decisiones, ya que bajo esta perspectiva existiría una prohibición para llevarlas a cabo, y solamente cuando se cumplan las condiciones contempladas en el artículo 22 los ciudadanos podrían verse sometidos a estas decisiones.

Dicho precepto indica que, “todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”. Esto supone que la decisión debe ser tomada exclusivamente a través de medios automatizados y que debe producir efectos jurídicos en las personas o similares. Refiriéndose estos últimos a la afectación de los derechos o del estatuto jurídico del titular que se ve sometido a dicho tratamiento, o bien, que se generasen efectos con cierta relevancia.

Respecto a las condiciones para poder emplear dicho tipo de decisiones el propio artículo 22 continúa: “el apartado 1 no se aplicará si la decisión: a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento; b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o c) se basa en el consentimiento explícito del interesado”. La primera se refiere a la ejecución o celebración de un contrato entre el interesado y el responsable, con el que el responsable debe acreditar que dicho tratamiento es el más efectivo y el menos invasivo para el derecho a la protección de datos. La segunda base permite que el Derecho de la Unión o el de los Estados miembros pueda establecer disposiciones en las que se autorice a los responsables a llevar a cabo dicho tratamiento. Como condición se establece que se prevean medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado. Si bien, el RGPD no exige a los Estados miembros un instrumento normativo concreto para desarrollar el contenido, sino que solo para casos muy concretos se contempla la ley como instrumento legal preceptivo. De esta forma se deja una vía a los estados para que introduzcan especificaciones propias relacionadas con este tratamiento de datos. En el caso español el cauce legal adecuado para aquellos casos que tuvieran como objetivo limitar el derecho fundamental a la protección de datos debe quedar protegida por el principio de reserva de ley21, lo que podría llegar a ser de aplicación.

En cualquier caso, estas previsiones deben precisar con claridad el ámbito en el que este tratamiento pretende implantarse y tener en cuenta las posibles consecuencias jurídicas que se pueden derivar de su implantación. Por ello, no tiene la misma relevancia aquella decisión automatizada que se lleve a cabo por una Administración cuando dicha decisión se base en competencias regladas a que este se base en potestades discrecionales. Y es que determinados sectores pueden llegar a justificar que ámbitos concretos sean vetados en el uso de este tipo de tratamiento basado en decisiones automatizadas, como el caso sanitario22.

Finalmente, la base relativa al consentimiento tiene cierta prioridad frente a otras bases jurídicas, implica que el particular que se ve sometido al tratamiento debe ser informado y tener claro dicho sistema antes de dar su consentimiento.

Continúa el artículo 22 en su apartado tercero “en los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión”. Junto a esto existe una previsión contemplada en el apartado cuarto para aquellos casos en los que el tratamiento automatizado use datos de categorías sensibles, es decir, los recogidos en el artículo 9 del RGPD. En estos casos solamente podrá llevarse a cabo el tratamiento descrito en el artículo 22.1 cuando los particulares hayan prestado su consentimiento explícito, o el tratamiento sea necesario por razones de interés público esencial, sobre la base del Derecho de la UE o de los Estados miembro. En cualquier caso, este tratamiento tiene que ser proporcional al objetivo perseguido y respetar en lo esencial el derecho a la protección de datos, así como establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales.