«La aplicación de la protección de datos a los algoritmos predictivos», artículo de Francisco J. Cantueso, abogado de ECIJA, para The Law Clinic.
El diseño y utilización de algoritmos predictivos es una realidad presente hoy en día más que nunca, teniendo como base para su funcionamiento el uso de una gran cantidad de datos. Sus finalidades pueden ir desde la predicción de muertes repentinas por episodios cardiorrespiratorios, hasta combatir el crimen a través de la asignación de puntuación a diversas actividades delictivas determinando la predisposición a la comisión de futuros delitos. Este escenario nos obliga a plantearnos como encajan este tipo de actividades con la actual normativa de protección de datos.
Los algoritmos predictivos podemos conceptualizarlos como una técnica estadística que, por medio de la modelización, aprendizaje automático y minería de datos, permiten identificar tanto posibles riesgos como oportunidades, siendo la base de su uso el manejo de datos masivos, tanto históricos como transaccionales.
Estos algoritmos, a día de hoy pueden tener múltiples funcionalidades, llegando a predecir una muerte repentina por episodios cardiorrespiratorios, como ya hemos indicado. Nos estamos refiriendo a un software de la Administración de Alimentos y Medicamentos (FDA, por sus siglas en inglés), que a través de un algoritmo analiza los datos de pacientes recogidos en hospitales, calculando el riesgo de que estos padezcan un ataque al corazón o un fallo respiratorio. Este algoritmo fue desarrollado utilizando la información sanitaria de miles de pacientes, pudiendo detectar cualquiera de esos episodios con una antelación de hasta seis horas antes de que ocurran, emitiendo una alerta a profesionales sanitarios para que pudieran prevenirlos.
Con esto podemos ver que los datos masivos son una gran fuente de innovación y de gran valor económico. Su uso puede tener una multitud de aplicaciones, no sólo en el ámbito que hemos indicado, sino también en la seguridad nacional, en la prevención de catástrofes naturales, persecuciones de fraude fiscal, etc.
No obstante, este uso de nuevas tecnologías puede a su vez tener importantes riesgos para la privacidad, tanto por el hecho de ser necesario para su funcionamiento una gran cantidad de datos, como para los ciudadanos que son valorados por medio de los mismos. Esta actividad hace necesario tener presente que este tipo de adelantos pueden implicar grandes riesgos en los tratamientos basados en predicciones, máxime si son usados de forma discriminatoria o para tomar decisiones excluyentes de derechos por medio de sus resultados a la población que se analiza.
La puesta en práctica de un algoritmo predictivo, si supone el tratamiento de datos personales, requiere la aplicación de la normativa de protección de datos, y más concretamente las nuevas obligaciones nacidas del Reglamento (UE) 2016/679 del Parlamento europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018.
Entre las acciones a tener en cuenta por parte de los responsables de estos métodos predictivos, sin duda la más importante, es tener presente el concepto de Privacy By design en el diseño de los mismos. La traducción de esta obligación, no es otra que la elaboración, con carácter previo al tratamiento de datos, de una política de protección de datos que deberá ser vinculante y aplicable. Esta política deberá recoger algunos aspectos tales como:
- Restricción de los tratamientos de datos personales a las finalidades que hayan sido informadas, y en su caso, consentidas por el titular de los datos, así como la elaboración de cláusulas de consentimiento informado para el interesado titular de los datos, recogiendo estas finalidades de manera transparente, expresa, precisa e inequívocas, tal y como es la elaboración de perfiles y modelos predictivos basados en la información del interesado, sus hábitos y preferencias, así como, su uso futuro, y cuáles serán las consecuencias que acarreará la creación de perfiles.
- La Realización de Evaluaciones de Impacto (EIDP o PIA, por sus siglas en inglés). Se trata, básicamente, en un análisis de riesgos para detectar aquellos que puede entrañar el citado algoritmo para las personas cuyos datos trata y/o se aplique.
Sobre las EIPD, el Reglamento, en su artículo 35.3.), establece como necesaria su realización siempre que se lleve a cabo la elaboración de perfiles, en especial si sobre el resultado del tratamiento se basan decisiones que produzcan efectos jurídicos sobre el individuo, o pueden afectarle de manera significativa. El resultado de este documento, no es otro que el establecimiento de una serie de garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y se pueda demostrar la conformidad con el Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.
- Disponer de un protocolo de derechos que debería incluir el conjunto total de los derechos que marca el Reglamento, tanto los ya conocidos como de acceso, rectificación, cancelación u oposición al tratamiento, así como limitación y portabilidad, junto con el derecho de revocación del consentimiento. En este último caso, es recomendable la creación de controles tanto organizativos como técnicos para hacerlo efectivo.
- Regularización de contratos de acceso a datos por parte de terceros, en los casos en los que, para el desarrollo del propio algoritmo predictivo, es precio la participación de entidades externos o prestadores de servicios, siguiendo en este caso los nuevos requisitos que se recogen en el Reglamento.
- Realización de auditorías externas y/o internas de su cumplimiento, con una periodicidad suficiente que deberá ser determinada por parte del responsable.
Es indudable que el avance de las nuevas tecnologías es algo imparable, y sus usos pueden ser realmente beneficiosos para la sociedad siempre y cuando prevalezca el respeto a la normativa, asegurándose los derechos y libertades de las personas. En el caso concreto de los algoritmos predictivos, esto pasa por cumplir con la nueva normativa de protección de datos.