Decisions individuals automatitzades: dubtes i més dubtes...

En aquesta ocasió, i sense cap pretensió més enllà de plantejar alguns dubtes, vull fer un breu repàs a l’article 22 del Reglament general de protecció de dades (RGPD), que regula el dret a no ser objecte de decisions individuals automatitzades (DIA), i indica, en el primer apartat, que:

Tot i que el terme “dret” ens podria portar a pensar que cal que la persona afectada l’invoqui, per fer-lo efectiu, de fet el que regula és una prohibició general de les DIA. Així ho va indicar el Grup de treball sobre protecció de dades de l’article 29, en les directrius sobre decisions individuals automatitzades i elaboració de perfils als efectes del Reglament 2016/679.

Per tant, el règim jurídic de les DIA té caràcter restrictiu. I, no oblidem que, a més de l’article 22 del RGPD, quan es pren una DIA cal aplicar la resta de principis regulats en l’article 5 del RGPD (licitud, lleialtat, transparència, minimització, exactitud, responsabilitat proactiva, seguretat, etc.) i complir la resta d’obligacions que corresponguin (base jurídica, avaluacions d’impacte sobre la protecció de dades, anàlisi de riscos, mesures de seguretat, etc.).

Aquesta regulació tan estricta no és una novetat; la Directiva 95/46/CE ja regulava les DIA, en concret en l'article 13 s’establia que els estats membres havien de reconèixer a les persones el dret a no veure’s sotmeses a una decisió amb efectes jurídics sobre elles o que les afectés de manera significativa, que es basés únicament en el tractament automatitzat de dades destinades a avaluar determinats aspectes de la seva personalitat, com el rendiment laboral, crèdit, fiabilitat, conducta, etc. En aquest marc, la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades personals, ho recollia en l'article 13, sota el títol “Impugnació de valoracions”, i establia que els ciutadans tenen dret a no estar sotmesos a una decisió amb efectes jurídics, sobre ells o que els afecti de manera significativa, que es basi únicament en un tractament de dades destinades a avaluar determinats aspectes de la seva personalitat.

Però, encara podem anar més enrere, ja que la Llei orgànica 5/1992, de 29 d’octubre, reguladora del tractament automatitzat de dades personals, en l'article 12, títol III, que recollia els drets de les persones, establia que la persona afectada podia impugnar els actes administratius o les decisions privades que impliquessin una valoració del seu comportament que tinguessin com a únic fonament un tractament automatitzat de dades personals que oferís una definició de les seves característiques o personalitat.

I, doncs, per què ara se’n parla tant, com si fos una novetat del RGPD? Doncs perquè ara les tecnologies de nova generació han fet més real i ordinària la possibilitat que una "màquina" prengui decisions que ens afectin.

La computació en el núvol, la internet de les coses, les dades massives (big data), han fet possible el tractament massiu i ordenat de dades, que, alhora, ha permès que la intel·ligència artificial faci un gran salt endavant i sigui una eina molt útil per ajudar en quasi bé tots els camps (no m’atreveixo a dir tots), i aporti més eficàcia i reducció de costos. Però també pot introduir nous riscos: opacitat, biaixos, etc. En aquest nou context, el RGPD aporta més garanties al dret a la protecció de dades i reforça els drets de la persona i les obligacions del responsable del tractament en els casos en què hi hagi més risc per als drets i les llibertats de les persones; i particularment en les DIA.

El RGPD no només es refereix a les DIA en l’article 22, també ho fa quan regula el dret d’informació a les persones interessades establint l’obligació d’informar de l’existència de decisions automatitzades, incloent-hi l’elaboració de perfils -apartats 22.1 i 22.4. A més, en aquests casos, s’ha de facilitar informació significativa sobre la lògica aplicada, així com la importància i les conseqüències previstes d’aquest tractament per a la persona afectada (art. 13.2.f i 14.2.g).

També, en el reforçat dret d’accés (art. 15 del RGPD) s'inclou la necessitat de facilitar la informació sobre aquestes qüestions quan una persona exerceixi aquest dret.

Veient que no és un dret nou, i que hi ha una regulació específica per a la qüestió, ens podria semblar que és fàcil identificar quan estem davant una DIA. Però, el cert és que a la pràctica es plantegen nombrosos dubtes, com per exemple:

• Què és una DIA en el context de l'administració electrònica? És una actuació administrativa automatitzada? En quins casos?
• Quins elements s’han de donar per considerar que hi ha intervenció humana? Quan hi hagi un efecte que afecti significativament una persona (de manera similar a un efecte jurídic)?
• I, què fem si, a més, estem elaborant perfils (als quals avui no m’he referit, expressament)?

Es plantegen molts dubtes en un context de transformació digital, amplificat per la pandèmia, en què la datificació de la societat i l’economia de les dades han adquirit una rellevància com a motor social i econòmic mai vista.

Per afrontar aquests dubtes i buscar solucions que protegeixin els drets, sense limitar la innovació, crec que hem d’anar a l’essència del dret a la protecció de dades. Plantejar-nos què el defineix i què vol protegir. Potser les respostes senzilles, com que el dret a la protecció de dades atorga el control a cada persona sobre les seves pròpies dades, sobre qualsevol informació que s'hi refereixi, i que, en últim terme, protegeix valors com la llibertat d’actuació individual i la dignitat de la persona, ens ajudaran a identificar el millor sistema per assolir els objectius perseguits, protegint alhora les persones.

Així, qualsevol actuació que comporti tractar dades personals s'ha d’enfocar en les persones, i s'ha d'identificar com s’està afectant la possibilitat de la persona de controlar la seva informació i com reduir-ne l'impacte; a més, amb independència de quina sigui la base jurídica que ens legitima el tractament (el consentiment, una llei, un contracte, etc.).

Amb aquest punt de partida, si sabem que una DIA, per definició, comporta un efecte important sobre la persona a què es refereix, el responsable del tractament ha de ser més diligent en les seves actuacions. La responsabilitat proactiva i l’enfocament en el risc ho exigeixen així. I han de ser curosament avaluades, documentades, implantades i revisades periòdicament qüestions com el col·lectiu afectat, la tecnologia emprada, la tipologia de dades tractades, el procés de recollida de les dades i d’informació sobre el tractament, la base jurídica de legitimació, l’aplicació dels principis de protecció de dades al llarg de tot el procés del tractament de la informació, els sistemes d’exercici dels drets o la notificació de violacions de seguretat.

Per finalitzar, cal recordar que el mateix RGPD introdueix una sèrie d’excepcions a la prohibició general de l’article 22.1, i estableix que es pot adoptar una DIA quan:

• a) És necessària per formalitzar o executar un contracte entre la persona interessada i un responsable del tractament.

• b) Està autoritzada pel dret de la Unió o dels estats membres, que és aplicable al responsable del tractament i que estableix, així mateix, mesures adequades per protegir els drets, les llibertats i els interessos legítims de la persona interessada.

• c) Es basa en el consentiment explícit de la persona interessada.

En el supòsit b és la norma la que ha d'introduir les mesures adequades, en els altres dos casos ha de ser el responsable del tractament qui ha d’adoptar les mesures adequades per protegir els drets, les llibertats i els interessos legítims de la persona interessada. Les mesures mínimes a adoptar són:

• el dret a obtenir la intervenció humana del responsable,
• a expressar el seu punt de vista,
• i a impugnar la decisió.

A més, només es poden prendre DIA basades en les categories especials de dades personals quan s'hagin pres mesures adequades per protegir els drets, les llibertats i els interessos legítims de la persona interessada, i:

• es compti amb el consentiment explícit de la persona interessada, o
• el tractament és necessari per raons d'un interès públic essencial, d’acord amb el dret de la Unió o dels estats membres, que ha de ser proporcional a l'objectiu perseguit, ha de respectar el dret a la protecció de dades en allò essencial i ha d'establir mesures adequades i específiques per protegir els interessos i els drets fonamentals de la persona interessada.