La frase "Big Brother is Watching You", encunyada per George Orwell, ha transcendit la literatura per esdevenir una advertència constant sobre els riscos a la nostra privacitat que deriven del tractament massiu de dades mitjançant l’aplicació de les noves tecnologies, que avui es constata encara més a conseqüència de l’aplicació de la intel·ligència artificial (IA).
Les administracions públiques no són alienes a aquest corrent i està incorporant totes dues eines, no tan sols com a suport en els processos ordinaris de presa de decisions, sinó també a l’hora de dissenyar serveis públics, incloent-hi la possibilitat de perfilar les persones o col·lectius de persones que, per raó de les seves condicions personals, econòmiques o socials, poden ser destinataris de determinats serveis o subvencions, adreçats a cobrir les seves necessitats -fins i tot de manera proactiva.
És l’anomenada "administració proactiva", un model que vol anticipar-se a les necessitats del ciutadà mitjançant l'ús intensiu de dades, algoritmes i intel·ligència artificial.
A ningú no se li escapa que el seu objectiu és millorar els serveis públics i la protecció dels col·lectius més necessitats, però aquesta voluntat protectora s’ha de conciliar amb el dret fonamental a la protecció de dades.
En el nucli d’aquesta decisió hi ha la capacitat real del subjecte de controlar les seves dades i decidir sobre l’ús d'aquestes, així com poder establir límits efectius al tractament de les dades que altres persones (en aquest cas, públiques) puguin fer-ne.
1. El motor tecnològic: big data (dades massives) i IA en la gestió pública
L'evolució cap a una administració "que sap què necessitem abans que ho demanem" es basa en la convergència de les dades massives i la IA. Les dades massives permeten processar volums exponencials d'informació que les eines tradicionals no poden gestionar. Per la seva banda, la IA aporta la capacitat d'aprenentatge autònom i la formulació de previsions o decisions sense intervenció humana directa.
Aquesta potència tecnològica, al mateix temps, incrementa de manera crítica els riscos d'identificació, creació de perfils i predictibilitat de les persones, que obliga a adoptar mesures que impedeixen aquests efectes. Al mateix temps, el concepte de "dada personal" és dinàmic, ja que una dada que avui no permet identificar algú podria fer-ho en un futur pròxim gràcies a l'avenç tecnològic.
Això no tan sols obliga els responsables del tractament a revisar constantment les seves mesures de seguretat, sinó també a vetllar pel compliment de la normativa de protecció de dades. A més, si parlem de serveis proactius, l’element d'identificació del destinatari final del servei es posa en el centre de la decisió administrativa.
Ja no es tracta de demanar ajuts econòmics o serveis, sinó de què te’ls ofereixin. En definitiva, hi ha una fase prèvia de decisió administrativa, el resultat de la qual és: “a qui m’adreço per oferir-li aquest servei?”
La clau de la creació de perfils és l'aprenentatge autònom de la IA, que permet a l'Administració passar de la simple anàlisi de dades passades a la formulació de previsions sense intervenció humana directa. Aquest procés permet identificar una persona o grup de persones vinculant dades que, en un context determinat, podrien semblar inofensives, però que en conjunt revelen patrons de comportament, pautes de conducta i condicions personals, de salut o socioeconòmiques.
En la pràctica dels serveis proactius, els algoritmes s'utilitzen per a diverses funcions estratègiques:
- Identificació de vulnerabilitat: permeten detectar automàticament persones o col·lectius en situació de risc social o amb necessitats especials d'atenció.
- Estratificació de riscos: desenvolupen models predictius per classificar la població segons la probabilitat de necessitar una intervenció integrada social i sanitària en el futur.
- Personalització de serveis: adapten la prestació pública a les necessitats específiques de cada usuari, i s'anticipen a la seva demanda mitjançant una anàlisi predictiva de la informació facilitada.
Finalment, el funcionament d'aquests algoritmes està subjecte a controls de protecció de dades, com el dret a ser informat sobre la lògica aplicada pel sistema i les conseqüències que se'n poden derivar. Atès que la creació de perfils pot afectar l'accés a drets clau, com ajuts a l'habitatge o prestacions per fill, el sistema ha de garantir que el ciutadà pugui exercir el dret a l'oposició i a obtenir una intervenció humana per revisar qualsevol decisió automatitzada que l'afecti significativament.
2. Els serveis proactius: bases legitimadores
Aquesta decisió administrativa prèvia es construeix amb el tractament de dades i, en aquest punt, no podem oblidar que el tractament d’aquestes s’ha de basar en l’existència d’una base legitimadora i, al mateix temps, en el respecte als principis generals en matèria de protecció de dades.
La Llei 9/2025, de 13 de novembre, de modificació de la Llei 26/2010, de règim jurídic i de procediment de les administracions públiques de Catalunya, ha introduït l'article 40 bis, que en l’apartat 2 defineix els serveis proactius en els termes següents:
“S'entén per serveis proactius i personalitzats els serveis que, basant-se en la informació obtinguda per les administracions públiques en l'àmbit de llurs competències i en altres informacions i dades aportades per les persones interessades, es poden oferir de manera anticipada, predictiva i automatitzada.”
Fixeu-vos que es parla de la “informació obtinguda per les administracions públiques”, que, traslladat a l’àmbit de la protecció de dades, ens obliga a veure quina base jurídica legitimadora es pot emprar.
Ens podem plantejar dues opcions: la missió d’interès públic i el consentiment.
La missió d’interès públic
Si la decisió automatitzada es basa en una missió d'interès públic, aquesta ha d'estar recollida en una norma amb rang de llei que sigui clara, precisa i previsible, i que estableixi les mesures adequades per salvaguardar els drets de l'interessat.
No obstant això, no és suficient amb una norma que es limiti a indicar que no cal el consentiment de l’interessat, com seria preveure o habilitar la cessió generalitzada de dades entre administracions basant-se en l'exercici de poders públics, sinó que s’han d’indicar les dades que es tractaran i les finalitats a les quals s’adreçaran.
Així ho va indicar el Tribunal Constitucional, en la STC 76/2019, que assenyala la necessària reserva de llei i de la dimensió qualitativa d’aquesta, en termes de certesa i previsibilitat, i afegeix la necessària existència de garanties adequades per al respecte al dret a la protecció de dades.
Amb una previsió legal completa i explicativa, en els termes indicats, s’aconseguirà que la ciutadania sàpiga que les seves dades podran ser tractades per oferir-los determinats serveis o ajuts.
Així, no són admissibles clàusules genèriques que deixin la porta oberta a un ús indeterminat de la informació.
El consentiment
L’altra opció, com a base legitimadora, és el consentiment de l’interessat, el que fa plantejar-te com pots conciliar la proactivitat amb el consentiment previ de la persona al tractament de les seves dades.
L’article 40 bis l’estableix al voltant d’un registre de consentiments que permeti gestionar el consentiment per a la prestació de serveis proactius i personalitzats, incloent-hi un sistema de baixa voluntària (opt-out), i que permeti igualment el compliment de la normativa de protecció de dades.
Evidentment, no val qualsevol coneixement i, en aquest sentit, en línia amb el RGPD, l’article 40 bis indica el següent:
“3. La prestació de serveis proactius i personalitzats requereix el consentiment exprés i específic, informat i inequívoc de la persona interessada. Aquest consentiment s'ha d'atorgar de manera lliure i específica per a cada servei, indicant clarament i detalladament les dades que es tractaran i la finalitat concreta del tractament. Per complir el caràcter específic i informat del consentiment, la descripció del servei de què es tracti ha d'ésser prou detallada per a permetre a la persona decidir les condicions de perfilació de la seva persona per a l'oferiment d'aquest. No s'admeten descripcions genèriques o globals, ni consentiments generals o indeterminats.”
A més, no es pot oblidar que si el servei proactiu exigeix el tractament de dades tributàries, el caràcter reservat d'aquestes que recull l’article 95 de la LGT, exigeix igualment el consentiment de l’interessat, ja que l’oferiment de serveis proactius no guarda cap relació amb finalitats tributàries. Així ho ha indicat igualment el Tribunal Suprem, per exemple en la Sentència de 21 de gener de 2025:
“[…] si una Administración, para el ejercicio de las funciones que le son propias, solicita de la AEAT la cesión de datos tributarios, tal cesión será con fines tributarios; ahora bien, si es para el ejercicio de otras potestades ajenas a las tributarias y no hay una norma legal que lo prevea, deberá contar con la previa autorización del interesado. Por tanto el acto dictado con base en unos datos tributarios cedidos será conforme a Derecho si la cesión respeta las reglas del artículo 95.1de la LGT.”
3. El dret a no ser sotmès a una decisió automatitzada i el principi de transparència
No es pot oblidar, com indiquen les "Directrius del Grup de Treball de l’Article 29, sobre decisions individuals automatitzades i elaboració de perfils als efectes del Reglament 2016/679” (16 de febrer de 2018), que moltes vegades, aquest perfilat es podria dur a terme mitjançant actuació automatitzada o IA, cosa que obliga a ser més estrictes en l'aplicació.
En aquests casos, cal tenir en compte el que disposa l’article 22 del RGPD i, en particular, és especialment rellevant el compliment de les garanties que contenen els articles 13.2.f i 14.2.g pel que fa a la informació, i el dret d’accés de l’article 15 del RGPD.
El dret a no ser sotmès a una decisió automatitzada que regula l’article 22 del RGPD imposa que, prèviament al tractament, la persona tingui coneixement que les seves dades seran tractades amb una finalitat proactiva (i tingui la possibilitat d’oposar-s'hi), als efectes de protegir els ciutadans de decisions basades únicament en tractaments automatitzats que tinguin efectes jurídics o els afectin significativament.
No podem oblidar que ens trobem, moltes vegades, amb tractaments de dades especialment protegides, com ara, situacions de discapacitat, dependència o risc social. El tractament d'aquestes dades exigeix garanties addicionals i una justificació reforçada d'interès públic essencial.
A més, el compliment del principi de transparència dels articles 13 i 14 del RGPD (en funció de l’origen de les dades), imposa igualment aquest coneixement previ per part de la persona.
És difícil donar compliment a aquest principi si prèviament no s’ha informat l’interessat, i en aquest punt ens tornem a trobar amb la dicotomia d’una llei o del consentiment de l’interessat.
Si parlem d’una llei, com indiquen les directrius esmentades, la claredat exigible a la llei s’ha de traslladar a tots els punts de la informació de què ha de disposar el titular de les dades, amb la finalitat que es respectin els principis i les garanties que la normativa de protecció de dades imposa.
Pel que fa al consentiment i el dret a la informació, l’article 40 bis també el tracta, quan indica que:
“Abans d'obtenir el consentiment per a la prestació de serveis proactius i personalitzats, s'ha d'informar les persones afectades de tots els aspectes que requereix la normativa de protecció de dades, especialment sobre l'elaboració de perfils, la lògica aplicada i les conseqüències que en poden derivar.”
4. Conclusió: un equilibri necessari
No es poden negar els avantatges que la proactivitat comporta en termes de justícia social, per ajudar a col·lectius vulnerables que sovint desconeixen els seus drets. Tanmateix, l'eficiència no pot ser un xec en blanc per al tractament massiu i opac de dades personals.
En aquest sentit, el dret a la protecció de dades no és un obstacle, sinó la garantia que el progrés tecnològic romangui al servei de l'ésser humà i no al revés.
Tal com indica el Reglament (UE) 2024/1689 del Parlament Europeu i del Consell, de 13 de juny de 2024, sobre intel·ligència artificial, hem de tenir una IA fiable i centrada en l’ésser humà i, de la mateixa manera, quan les administracions presten serveis, han d’intentar conciliar l’eficiència amb el dret de les persones a controlar les seves dades. En cas contrari, ens podem trobar amb el risc que, basant-nos en una voluntarista proactivitat, totes les nostres dades (incloent-hi la declaració de la renda), siguin accessibles sense control.
En aquest punt, la regulació que conté l’article 40 bis de la Llei 26/2010 seria una bona aproximació a la prestació de serveis proactius, que conciliï eficiència i control.
