Menú móvil

El Notario - Cerrar Movil
REVISTA110

ENSXXI Nº 113
ENERO - FEBRERO 2024

Por: ELISA DE LA NUEZ SÁNCHEZ-CASCADO
Abogado del Estado
Secretaria de la Fundación Hay Derecho


NUEVAS TECNOLOGÍAS

El reto regulatorio de la utilización de la inteligencia artificial
La inteligencia artificial ya está aquí. Y su regulación (o su falta de regulación) va a suponer un reto fundamental para la sociedad en general y para las Administraciones Públicas en particular. Recordemos que la inteligencia artificial es la que permite, por ejemplo a partir de la información que proporcionan nuestras compras en tiendas virtuales como Amazon, Booking.com, Airbnb, Edreams, etc., ofrecernos una oferta absolutamente personalizada acorde con nuestras preferencias y también con nuestra capacidad de compra. Además su utilización se va expandiendo en nuevos ámbitos como el de seguros, bancos, sanidad, etc., sin que muchas veces seamos totalmente conscientes como usuarios. En el sector público puede utilizarse también en procesos de control, evaluación, auditoría, concesión de subvenciones y ayudas, etc.

En cuanto a su definición, para la RAE la Inteligencia Artificial (en adelante IA) es una disciplina científica encargada de la creación de programas informáticos que ejecutan operaciones comparables a las que realiza la mente humana, como el aprendizaje o el razonamiento lógico. Presupone la capacidad de máquinas u ordenadores a los que se ha suministrado una gran cantidad de datos de aprender por sí solas (machine learning) a partir de dicha información, detectando patrones o estándares, lo que le permite ofrecer soluciones para resolver una infinidad de problemas y de procedimientos, tanto en el ámbito público como en el privado. Su característica es que es capaz de manejar una ingente masa de datos (big data) y a una velocidad vertiginosa, aprendiendo de los mismos y generando decisiones que, en principio, deberían mejorar las que puede alcanzar un ser humano.
Es importante subrayar que uno de los problemas al que nos enfrentamos cuando hablamos de IA es que no siempre es posible detectar su utilización, no ya cuando complementa o auxilia sino incluso cuando suple a las personas en los procesos de toma de decisiones. Estas decisiones pueden afectar profundamente a nuestro ámbito de derechos e intereses, de ahí que la transparencia aparezca como un concepto fundamental. Tenemos que conocer cómo se utiliza la IA, con qué tipo de datos se alimenta, cómo se inserta en los procedimientos de toma de decisiones, cómo se implanta, cómo se evalúa, etc. El aspecto esencial a tener siempre en cuenta es que la IA persigue mejorar la calidad de las decisiones adoptadas. Si esto no ocurre, es decir, si la utilización de IA lleva a decisiones de peor calidad que cuando las adoptan los seres humanos, o bien limita o perjudica los derechos e intereses legítimos de los ciudadanos afectados de alguna forma hay que plantearse en qué medida está cumpliendo con su finalidad.

“La Inteligencia Artificial (IA) es una disciplina científica encargada de la creación de programas informáticos que ejecutan operaciones comparables a las que realiza la mente humana, como el aprendizaje o el razonamiento lógico”

Efectivamente, el problema se plantea porque no siempre la IA mejora la calidad de las decisiones, como sería lo deseable. Investigaciones como la que lleva a cabo la organización algorithmwatch ponen de relieve los riesgos de que la IA multiplique errores, los sesgos o introduzca limitaciones de derechos y fomente conductas directamente discriminatorias. Dado que el programa es capaz de aprender a partir de los datos que se le facilitan, detectando patrones, estándares o rasgos comunes si estos datos presentan sesgos o errores lo que ocurre es que la IA los multiplicará y producirá soluciones y resultados erróneos a una velocidad y a una escala desconocida para los seres humanos.
Pensemos por ejemplo en el hecho conocido de que, en general, para realizar los diagnósticos médicos se suelen utilizar muchos más datos clínicos de hombres que de mujeres. Si se utiliza la IA en estos casos se pueden multiplicar los errores de diagnóstico.

La importancia de la transparencia en el ámbito de la inteligencia artificial
De ahí la necesidad de aplicar un concepto como el de la transparencia en el ámbito de la IA. Hay que saber conocer cómo se ha alimentado la IA, es decir, qué tipo de datos utiliza y también cómo se inserta en los procesos de toma de decisiones. La desconfianza surge siempre de la opacidad y del desconocimiento acerca de cómo se toman las decisiones que nos afectan y esto ocurre de la misma forma cuando se utiliza la IA. Ahora bien, dado que la principal característica de la IA es su capacidad de aprendizaje a partir de la información que se le suministra y de las conexiones que establece la transparencia en este ámbito va a requerir del apoyo de expertos en su diseño, en los datos que la han alimentado y en los algoritmos que utiliza.
La transparencia exige también conocer cuál ha sido exactamente el grado de intervención de la IA en el proceso de toma de decisiones concreto. Lógicamente no es lo mismo su intervención en procesos totalmente automatizados (en los que se prescinde de la intervención humana siendo la IA el único fundamento de la decisión que se adopta) que en procesos parcialmente automatizados, donde coexiste la intervención de la IA con la de los seres humanos a los que la complementa o auxilia. En la actualidad este tipo de procesos parcialmente automatizados es el más numeroso. Esto supone que hay que delimitar en qué medida interviene la IA y en qué medida intervienen los seres humanos a efectos, básicamente, de determinar cual es el papel de cada uno en el resultado de la decisión final, que en todo caso será imputable a la persona física o jurídica que la adopte, al menos mientras no reconozcamos personalidad jurídica a las máquinas u ordenadores.
Pero más allá de la imputación jurídica de la decisión, es importante detectar en qué medida el resultado final ha sido condicionado o facilitado por la IA, dado que (sobre todo cuando se producen vulneraciones de derechos o intereses legítimos, o vulneraciones del ordenamiento jurídico) habrá que proceder, en su caso, a precisar la responsabilidad de cada uno de los intervinientes, expertos en datos, diseñadores, implementadores, evaluadores, etc. Se trata en primer lugar de corregir los errores advertidos pero también de atribuir las correspondientes responsabilidades en su caso. En este sentido la transparencia es imprescindible de la rendición de cuentas, ya que permite averiguar quien ha diseñado, implantado, evaluado o auditado la IA para localizar las responsabilidades jurídicas correspondientes si se producen decisiones ilegales, erróneas o lesivas de derechos e intereses. 

“Tenemos que conocer cómo se utiliza la IA, con qué tipo de datos se alimenta, cómo se inserta en los procedimientos de toma de decisiones, cómo se implanta, cómo se evalúa, etc.”

Por último, recordemos que en nuestro ordenamiento jurídico privado carecemos todavía de una regulación general de la IA por lo que habrá que acudir a los conceptos y a los principios generales del Derecho, utilizando principios tales como el de responsabilidad, confianza, protección a consumidores o usuarios y, por supuesto, la protección de los derechos fundamentales tales como el derecho a la no discriminación frente a un posible uso lesivo de la IA. Por el contrario, en el ámbito público sí contamos con una incipiente regulación de la IA. Esto es lógico si tenemos en cuenta no solo que para la gestión de muchos servicios públicos es necesaria la gestión de un gran volumen de información sino también que, de forma creciente, se va delegando esta tarea en algoritmos que pueden facilitar y simplificar la gestión a los seres humanos, especialmente cuando se trata de agilizar la tramitación de un gran número de expedientes administrativos.

Regulación en el ámbito público
En ese sentido, debemos de señalar que en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (en adelante LPAC) hay una primera referencia a estas cuestiones. Su artículo 41 regula lo que denomina “actuación administrativa automatizada” en los siguientes términos: “1. Se entiende por actuación administrativa automatizada, cualquier acto o actuación realizada íntegramente a través de medios electrónicos por una Administración Pública en el marco de un procedimiento administrativo y en la que no haya intervenido de forma directa un empleado público. 2. En caso de actuación administrativa automatizada deberá establecerse previamente el órgano u órganos competentes, según los casos, para la definición de las especificaciones, programación, mantenimiento, supervisión y control de calidad y, en su caso, auditoría del sistema de información y de su código fuente. Asimismo, se indicará el órgano que debe ser considerado responsable a efectos de impugnación”.
Por tanto, los requisitos para entender que hay una actuación administrativa automatizada son:
a) Que se produzca un acto administrativo o una actuación en sentido amplio.
b) Que se realice en el marco de un procedimiento administrativo.
c) Que se haya realizado íntegramente por medios electrónicos.
d) Que se haya realizado sin intervención directa de un empleado público.
Por el contrario, si en la actuación administrativa sí interviene un empleado público, o dicha actuación se realiza fuera de un procedimiento administrativo, no podemos hablar de actuación administrativa automatizada. Para el caso de actuaciones administrativas totalmente automatizadas se establecen una serie de garantías en este mismo artículo en su párrafo 2º cuya finalidad es, precisamente, delimitar quienes son los sujetos competentes en cada caso a efectos de una posible imputación de responsabilidades jurídicas. Debe de tener carácter previo y además entendemos que debe de ser pública precisamente para facilitar la transparencia y la posible exigencia de rendición de cuentas.
Según el artículo 41.2 LPAC: “En caso de actuación administrativa automatizada deberá establecerse previamente el órgano u órganos competentes, según los casos, para la definición de las especificaciones, programación, mantenimiento, supervisión y control de calidad y, en su caso, auditoría del sistema de información y de su código fuente. Asimismo, se indicará el órgano que debe ser considerado responsable a efectos de impugnación”.

“La desconfianza surge siempre de la opacidad y del desconocimiento acerca de cómo se toman las decisiones que nos afectan y esto ocurre de la misma forma cuando se utiliza la IA”

Como hemos visto es también preciso indicar el órgano que debe de ser considerado como responsable a efectos de impugnación de las decisiones que se adopten que será el que tiene asignado la competencia material con independencia de que utilice IA en sus actuaciones. En caso de una decisión errónea o incorrecta o gravemente lesiva para los derechos e intereses de los ciudadanos por un problema en el diseño, implantación o evaluación de la IA es perfectamente posible su impugnación por esos motivos, con independencia de las responsabilidades internas que puedan exigirse al órgano responsable de su diseño, implantación o auditoría.
Aunque esta previsión se realiza únicamente en relación con las actuaciones administrativas totalmente automatizadas entendemos que lo mismo es aplicable, por analogía, a las actuaciones administrativas no totalmente automatizadas al menos en lo que se refiere a la utilización de la IA y a la identificación de los sujetos responsables en el caso de que de la misma se hayan derivado decisiones erróneas, perjudiciales o que acarren perjuicios para terceros.
Lo esencial es que las decisiones que se adopten en este tipo de procedimientos administrativos con fundamento o con apoyo de inteligencia artificial tienen que tener al menos las mismas garantías que cuando se adopten por seres humanos, si no más. Ya hemos visto que la IA tiene la capacidad de multiplicar exponencialmente los errores, por lo que hay que ser extremadamente cuidadoso. En todo caso, el dato de que una decisión o resolución administrativa se adopte en el seno de un procedimiento total o parcialmente automatizado no altera en absoluto su naturaleza jurídica, ni el carácter de las potestades que se ejercitan en ese procedimiento. De ahí que su impugnación o revisión sea perfectamente posible por los mismos motivos que cuando son ejercitadas en procedimientos no automatizados total o parcialmente.

“Recordemos que en nuestro ordenamiento jurídico privado carecemos todavía de una regulación general de la IA por lo que habrá que acudir a los conceptos y a los principios generales del Derecho”

Como hemos dicho más arriba, lo que parece evidente es que la utilización de la IA no puede suponer un perjuicio mayor para el interesado que su no utilización, de manera que es preciso dotarse de los instrumentos jurídicos adecuados para garantizar que su utilización es correcta y que se respetan los derechos e intereses de los ciudadanos.

La transparencia y la protección de datos
Por último, hay que hacer referencia también a las disposiciones del Reglamento (UE) 2016/679 en materia de protección de datos en relación con la elaboración de perfiles y con el derecho reconocido en su artículo 22 del Reglamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46 (en adelante REPD).
Se trata de la importante cuestión de la posible vulneración de derechos y libertades fundamentales por su utilización (tanto en el ámbito público como en el privado) en relación con la elaboración de perfiles, empezando por el derecho a la protección de los datos de carácter personal, dado que precisamente las aplicaciones tecnológicas se nutren de datos, y en la mayoría de las ocasiones se tratará de datos de carácter personal.
En cuanto a que se entiende por perfilado o profiling hay que tener en cuenta lo establecido en el artículo 4 REPD que considera como tal “toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física”.
Por su parte, el artículo REPD regula las denominadas “decisiones individuales automatizadas, incluida la elaboración de perfiles” en los siguientes términos:
“1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
2. El apartado 1 no se aplicará si la decisión:
a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
c) se basa en el consentimiento explícito del interesado.
3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión”.

“Lo esencial es que las decisiones que se adopten en este tipo de procedimientos administrativos con fundamento o con apoyo de IA tienen que tener al menos las mismas garantías que cuando se adopten por seres humanos, si no más”

Además hay que tener en cuenta que las excepciones contempladas en el apartado 2 no pueden basarse en las categorías especiales de datos personales contempladas en el artículo 9 salvo las excepciones previstas en dicha norma y que se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
Por su parte, el artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDDD), contiene también un precepto relativo a la transparencia en el ámbito de la protección de datos en general y de la elaboración de perfiles en particular. Señala dicho precepto que: “1. Cuando los datos personales sean obtenidos del afectado el responsable del tratamiento podrá dar cumplimiento al deber de información establecido en el artículo 13 del Reglamento (UE) 2016/679 facilitando al afectado la información básica a la que se refiere el apartado siguiente e indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información. 2. La información básica a la que se refiere el apartado anterior deberá contener, al menos:
a) La identidad del responsable del tratamiento y de su representante, en su caso.
b) La finalidad del tratamiento.
c) La posibilidad de ejercer los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679.
Si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, la información básica comprenderá asimismo esta circunstancia. En este caso, el afectado deberá ser informado de su derecho a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten significativamente de modo similar, cuando concurra este derecho de acuerdo con lo previsto en el artículo 22 del Reglamento (UE) 2016/67”.
En conclusión, la LOPDDD se preocupa especialmente por la posibilidad de que los datos obtenidos sirvan para la realización de los denominados perfiles preocupándose básicamente de que esta información sea transparente para el interesado dado el derecho que se le reconoce en el artículo 22 del REPD a oponerse a la adopción de decisiones individuales automatizadas que produzcan efectos jurídicos sobre él o le afecten de forma similar.

Palabras clave: Inteligencia artificial, Administraciones Públicas, Oferta personalizada.

Keywords: Artificial intelligence, Government bodies, Personalised offers.

Resumen

La inteligencia artificial ya está aquí. Y su regulación (o su falta de regulación) va a suponer un reto fundamental para la sociedad en general y para las Administraciones Públicas en particular. Recordemos que la inteligencia artificial es la que permite, por ejemplo a partir de la información que proporcionan nuestras compras en tiendas virtuales ofrecernos una oferta absolutamente personalizada acorde con nuestras preferencias y también con nuestra capacidad de compra. Además su utilización se va expandiendo en nuevos ámbitos como el de seguros, bancos, sanidad, etc., sin que muchas veces seamos totalmente conscientes como usuarios. En el sector público puede utilizarse también en procesos de control, evaluación, auditoría, concesión de subvenciones y ayudas, etc.

Abstract

Artificial intelligence is here to stay, and its regulation (or the lack thereof) will pose a fundamental challenge for society in general and for government bodies in particular. For example, artificial intelligence uses the information provided by our purchases in virtual stores to offer us completely personalised offers of products based on both our preferences and our purchasing power. Its use in new areas such as insurance, banks and healthcare is increasingly widespread, often without users being fully aware of it. It can also be used in the public sector in processes related to oversight, evaluation, auditing, awarding subsidies and grants, among other areas.

El buen funcionamiento de esta página web depende de la instalación de cookies propias y de terceros con fines técnicos y de análisis de las visitas de la web.
En la web http://www.elnotario.es utilizamos solo las cookies indispensables y evaluamos los datos recabados de forma global para no invadir la privacidad de ningún usuario.
Para saber más puede acceder a toda la información ampliada en nuestra Política de Cookies.
POLÍTICA DE COOKIES Rechazar De acuerdo