MACHINE LEARNING Y PRIVACIDAD. UN REPASO NORMATIVO.

Ariel Abrutin – Abogado – Especialista en Derecho e Informática. @pixelaw / aabr@nexolegal.com.ar

I.- INTRODUCCIÓN.

En la esfera de protección de datos personales encontramos conflictos por el uso de Inteligencia Artificial, y en particular, los modelos de Machine Learning – Aprendizaje Automático-, la situación es aún más compleja.

El vertiginoso avance tecnológico ha expuesto salvajemente la frágil situación en la que se encontraba la Privacidad, que ha resultado vulnerada gravemente. Hace muchos años atrás nos preocupábamos por el uso descontrolado de cookies en sitios web; luego comenzamos a preocuparnos por Internet de las Cosas y el consecuente tratamiento masivo de datos (Big Data).

Hicimos futurología en cuanto a las cuestiones legales que podría  presentar el avance tecnológico., y advertimos que de continuar de esta manera, la situación lejos de mejorar iba a empeorar. 

Al tiempo que las legislaciones, medidas administrativas y sentencias judiciales intentan adaptarse a las nuevas tecnologías, cierto es que éstas han continuado evolucionando exponencialmente, hasta llegar a la Inteligencia Artificial, temática de este artículo, y en particular el uso de modelos de Aprendizaje Automatizado (Machine Learning).

II.- CONCEPTOS TECNICOS

La Inteligencia Artificial hace referencia a la habilidad de un software para simular la Cognición humana, que es la facultad para procesar información a partir de la percepción, el conocimiento adquirido y características subjetivas que permiten valorar la información

El aprendizaje automático es una rama de la inteligencia artificial que hace referencia a la habilidad del sistema de aprender sin que haya sido programada específica y expresamente para ello.

No pretendo otorgar conceptos técnicos que me exceden, pero sí precisar bases claras para poder comprender el alcance de la problemática.

Los sistemas de aprendizaje automático utilizan algoritmos mediante los que recibe y analiza datos, otorgando así una predicción en base a ello.

Un algoritmo es un conjunto reglas que el sistema sigue para solucionar un problema, realizar un cómputo o procesar datos

Los modelos de Machine Learning van aprendiendo aunque en su programación ello no haya sido escrito. A mayor cantidad de datos que se le proveen, el sistema aprende a optimizar su análisis y mejora su performance, desarrollando así una Inteligencia.

Algoritmos de Machine Learning (ML)utilizan las plataformas como Netflix, para predecir y hacer recomendaciones de contenido a sus usuarios; los vehículos autónomos para frenar ante la luz roja; las empresas como Facebook para crear un perfil en base a monitoreo digital, para el envío de publicidad.

Los modelos de ML son entrenados por profesionales para que realicen tratamiento de datos que en muchos casos son personales, y sensibles, cuando entramos dentro de la esfera de la definición del Art. 2 Ley 25.326 (datos que brindan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual)

Los algoritmos heredan, por tanto, los prejuicios de las personas y de sus sistemas de valores, y pueden provocar daños.

III NORMATIVA.

En este punto me referiré a las disposiciones que regulan la elaboración de perfiles y la toma de decisiones automáticas, determinadas en el Reglamento General de Protección de Datos Personales (GDPR), Ley 25.326, RESOLUCIÓN N° 4/2019 y Anteproyecto de reforma de la Ley de Protección de Datos Personales.

A).- GDPR

El reglamento exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a los tratamientos de datos que lleven a cabo.

El Artículo 4 define la actividad de elaborar perfiles a todo tratamiento de datos en los que se analizan distintos aspectos de la persona (rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos) para realizar predicciones sobre estos mismos aspectos. 

Si bien la definición no se detiene en si la finalidad última del tratamiento sea el envío de publicidad o la provisión de un servicio, se enfoca en el tratamiento mismo, lo que resulta de extrema importancia, ya que le otorga plasticidad a un concepto que requiere de esta características para poder adaptarse al avance tecnológico.  

No obstante ello, el considerando 70 del reglamento sí hace esta distinción al señalar el derecho del titular de los datos personales a oponerse a la elaboración de perfiles con fines de mercadotecnia, y luego lo regula expresamente en el Art 21 Inc. 2.

Queda reforzada la idea de que el titular de los datos sea el que tiene control sobre ellos, mediante el derecho de oposición que se encuentra receptado en el Art. 22, en donde se considera la elaboración de perfiles como un tratamiento automatizado de datos personales.

Si una persona brinda datos personales a un sistema para obtener un préstamo o un seguro, la decisión automatizada elaborada en base al perfil creado, causará impacto en este sujeto, con consecuencias jurídicas. El considerando 71 así lo ejemplifica al mencionar como ejemplos a la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna

Si el sistema de Machine Learning toma decisiones automatizadas consecuentes al tratamiento realizado, sin intervención humana que controle, y provoque efectos jurídicos o afecte significativamente a la persona, este derecho de oposición funciona como una prohibición genérica.

La oposición puede ser ejercida en cualquier momento (Art. 21), y el responsable del tratamiento deberá cesar en dicha actividad  “salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones”

Como todo principio, éste también admite excepciones cuando la elaboración de perfiles resulta necesaria para celebrar o ejecutar un contrato el interesado y un responsable del tratamiento o se basa en el consentimiento explícito del interesado (inc. A y c).

En este caso el responsable del tratamiento deberá adoptar las medidas técnicas de seguridad pertinentes para resguardar y garantizar los derechos del interesado, en particular, el impugnar la decisión automatizada a la que el sistema de Machine Learning haya llegado, a dar su opinión al respecto y hasta para exigir la intervención de personal humano.

Otra excepción la encontramos ante el supuesto en que la elaboración de perfiles esté autorizada por la legislación aplicable de un estado miembro, la que deberá obligar al responsable del tratamiento a cumplir con las garantías jurídicas y técnicas que el mismo reglamento exige. (inc b)

Vale mencionar que la elaboración de perfiles y las decisiones automatizadas que adoptan sistemas de Machine Learning en el ambiente médico y salubridad, encuentran su respaldo en lo dispuesto por el Art. 9 que en principio prohíbe el tratamiento de datos considerados especiales (sensibles en nuestra legislación), pero luego lo permite en los casos en que exista consentimiento expreso del titular o existan razones de un interés público esencial.

Otro punto de conflicto lo encontramos en la exactitud de los datos utilizados en la elaboración de perfiles o la toma de decisiones automatizadas.

Si los datos utilizados en un proceso de decisión automatizada o de elaboración de perfiles son inexactos, cualquier decisión o perfil resultante será defectuoso. Las decisiones pueden tomarse sobre la base de datos desactualizados o de la incorrecta interpretación de datos externos. Las inexactitudes pueden provocar predicciones o afirmaciones inadecuadas sobre, por ejemplo, la salud, el crédito o el riesgo de seguro de una persona.

Existe un contexto, y el único que puede brindarlo es el titular. La interpretación debe hacerse en base a ese contexto, por ello es probable que la interpretación no arroje un resultado aproximado a la subjetividad del titular del dato.

El considerando 71 determina que el responsable del tratamiento debe utilizar procedimientos matemáticos o estadísticos adecuados reducir el riesgo de error por datos o factores inexactos que pueden provocar, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual.

El perfil elaborado puede encasillar  a una persona en una categoría específica y limitarla a las preferencias que se le sugieren. Esto puede limitar su libertad a la hora de elegir, ya que le van a ofrecer productos y servicios en base a ese perfil que puede ser equivocado. La consecuencia es la discriminación y/o la denegación de servicios y bienes.

En el año 2014, Amazon comenzó a testear un sistema para analizar automaticamente CVs, y así poder determinar a los mejores candidatos. Este sistema pronto aprendió a preferir candidatos hombres sobre mujeres, generando así una discriminación en base al género.

El problema radicó en que el algoritmo tomó como dato valorable el haber asistido a determinadas Universidades, sin reparar en el hecho de que muchas mujeres habían asistido a otras instituciones no elegidas por los ingenieros de Amazon, pero igual de prestigiosas que las informadas al algoritmo.

Este sistema también analizaba los verbos mayormente utilizados por los hombres, y los prefería. No pudiendo arreglar este problema, el proyecto fue abandonado.  

La tecnología en sí no es problemática, sino que se transforma en injusta a través de los datos que utiliza, que pueden ser falsos, inexactos, o como en el ejemplo comentado, parcializada por valores transmitidos en la programación.

Por este motivo, el titular de los datos personales tiene el derecho a ser informado  si se elaborara un perfil o si estará sujeto a una decisión automatizada, para poder ejercer así el derecho de oposición antes mencionado.

Según el artículo 12, apartado 1, el responsable del tratamiento debe facilitar a los interesados información concisa, transparente, inteligible y de fácil acceso sobre el tratamiento de sus datos personales.

El responsable del tratamiento debe garantizar que dispone de una base jurídica para este tipo de tratamiento. Asimismo, el responsable del tratamiento ofrece al interesado información sobre los datos recogidos y, si procede, la existencia de decisiones automatizadas contempladas en el artículo 22, apartados 1 y 4, la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento

Los responsables del tratamiento deben poder explicar y justificar claramente la necesidad de recoger y conservar datos personales, para la elaboración de perfiles.

Los artículos 13 y 14 determinan que a fin de cumplir con el principio de transparencia, el responsable del tratamiento deberá brindar información sobre el tratamiento, al sujeto que lo requiera, ya sea que los datos sean obtenidos directamente de esta persona (que completa un formulario por ejemplo), o indirectamente de su navegación o de terceras partes.

En los inc. 2 f y g respectivamente, el reglamento determina que el responsable deberá informar que hay decisiones que se tomarán en forma automatizada y/o que se elaborarán perfiles. (ver también Considerando 60).

El artículo 15 ofrece al interesado el derecho de acceso, que le permitiría obtener detalles de cualquier dato personal utilizado para la elaboración de perfiles. El problema es que el proceso de elaboración de perfiles suele ser invisible para el interesado y muchas veces ignora que ello está sucediendo, o conociéndolo, desconoce sus consecuencias.

Las personas tienen distintos niveles de comprensión y les puede resultar difícil entender las complejas técnicas de los procesos de elaboración de perfiles y decisiones automatizadas.

Por otro lado, y como punto importante a destacar, resulta interesante la obligación que el Reglamento pone en cabeza del responsable del tratamiento de datos, de brindar información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado (Arts 13/14/22).

La problemática que presentan los modelos de Machine Learning es que en ocasiones son considerados como cajas negras (black box) cuyo contenido no puede ser revisado y/o descifrado por sus programadores, ya que éstos desconocen la lógica y el proceso a través del cual el modelo ha realizado una predicción o tomado una decisión.

En consecuencia, al no poder explicarlos, tampoco podrían cumplir en brindar esta información si se les solicitará, con base a los artículos arriba referidos.

La solución podría encontrarse en el uso de tecnología de IA Explicable (XAI), mediante las que resulta posible “explicar” sus acciones, decisiones, permitiendo revisar y corregir en tiempo real lo que realice el modelo de Machine Learning.

Volviendo al reglamento y al deber de información, el responsable del tratamiento debe explicar la finalidad del tratamiento, plazo, destinatarios, Considerando, la lógica implícita en todo tratamiento automático de datos personales y, por lo menos cuando se base en la elaboración de perfiles, las consecuencias de dicho tratamiento. (Considerando 63).

El Reglamento limita en algún punto el derecho de acceso, ya que éste no debe afectar secretos comerciales o la propiedad intelectual de los modelos de Machine Learning. Igualmente, no puede negarse la información en base a estas consideraciones, debiendo el responsable del tratamiento buscar la forma de garantizar el cumplimiento de este derecho.

En virtud de todo lo aquí expuesto, y dado que la utilización de modelos de ML, entraña un alto riesgo para los derechos y libertades de las personas físicas el responsable del tratamiento debe llevar adelante la evaluación de impacto determinada en el Art. 35 del Reglamento, para identificar y registrar el grado y detalles de la participación humana en el proceso de toma de decisiones automatizadas

B) Ley N° 25.326.

Nuestra legislación no se refiere expresamente a la utilización de algoritmos de aprendizaje automatizado o elaboración de perfiles, por lo que la Agencia de Acceso a la Información Pública (AAIP), autoridad de aplicación de la ley de protección de datos personales, dictó el 16/01/19 la Resolución N° 4/2019 creando “Criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley Nº 25.326”

Allí se refiere a la dificultad que plantean las nuevas tecnologías frente al derecho de acceso regulado en los Arts. 14 y 15. En particular, la AAIP determinó el alcance de este derecho para los casos en que exista tratamiento automatizado de datos que le produzcan al titular de los datos efectos jurídicos perniciosos o lo afecten significativamente de forma negativa.

En este sentido, el responsable del tratamiento deberá brindar una explicación sobre la lógica aplicada en la decisión, de conformidad a la obligación determinada en el inc. 1 del Art. 15 de la Ley Nº 25.326.

El anteproyecto de reforma recepta los principios del reglamento y de esta resolución, determinando la obligación de informar la existencia de decisiones automatizadas, elaboración de perfiles y la lógica aplicada. (Arts. 28 inc. H y 32).

En el Artículo 32 se determina el derecho a oponerse a ser objeto a una decisión automatizada de la misma forma que lo regula el Artículo 22 del GDPR.

Deja un comentario

Tu dirección de correo electrónico no será publicada.