La toma de decisiones totalmente automatizada y la elaboración de perfiles son actividades de tratamiento sensibles que deben tomarse con precaución. Los responsables del tratamiento deben ser conscientes de ello y actuar en consecuencia para identificar los riesgos, reducirlos y aplicar salvaguardias y garantías.
Acabamos de mencionar la existencia de derechos de los interesados vinculados a estos tratamientos y reconocidos en el apartado 3 del artículo 22, a saber, el derecho a obtener intervención humana, a expresar el punto de vista del interesado y a impugnar la decisión.
Además, los responsables del tratamiento deben informar de forma sencilla pero transparente y completa de la existencia de procesos automatizados y actividades de elaboración de perfiles cuando entren en la definición del artículo 22 del RGPD. La información debe abarcar también una explicación de la lógica implicada en el proceso y la existencia de los derechos antes mencionados.
La información sobre la lógica de un sistema y las explicaciones de las decisiones deben proporcionar a los individuos el contexto necesario para decidir si desean solicitar una intervención humana y por qué motivos. En algunos casos, unas explicaciones insuficientes pueden hacer que los individuos recurran a otros derechos innecesariamente. Las solicitudes de intervención, la expresión de opiniones o las impugnaciones son más probables si los individuos no sienten que tienen una comprensión suficiente de cómo se ha llegado a la decisión.[1]
Además, el artículo 35, apartado 3, letra a) del RGPD establece la obligación de que el responsable del tratamiento lleve a cabo una EIPD en el caso de una evaluación sistemática y amplia de los aspectos personales relativos a las personas físicas que se base en el tratamiento automatizado, incluida la elaboración de perfiles, y en la que se basen decisiones que produzcan efectos jurídicos sobre la persona física o que la afecten significativamente de manera similar. Los responsables del tratamiento deben ser conscientes de que, ahora, cada país ha presentado sus listas de cuándo se requiere una EIPD al Comité Europeo de Protección de Datos. Si el responsable del tratamiento se encuentra en el EEE, esta lista también debe verificarse localmente.[2] (Según el artículo 37, apartado 1, letra b), y apartado 5 del RGPD, los responsables del tratamiento designarán a un delegado de protección de datos cuando “las actividades principales del responsable o del encargado del tratamiento consistan en operaciones de tratamiento que, debido a su naturaleza, alcance o fines, requieran un control regular y sistemático de los interesados a gran escala”.
Los responsables del tratamiento también deben mantener un registro de todas las decisiones tomadas por una herramienta de IA como parte de sus obligaciones de responsabilidad y documentación. Esto debe incluir también si un individuo solicitó la intervención humana, expresó alguna opinión, impugnó la decisión y si una decisión ha sido modificada como resultado[3] (véase la sección “Rendición de cuentas” en los “Principios” dentro de la Parte II de estas Directrices). Algunas acciones adicionales que pueden ser muy útiles para evitar la toma de decisiones automatizada son las siguientes: [4]
- Considere los requisitos del sistema necesarios para apoyar una revisión humana significativa desde la fase de diseño. En particular, los requisitos de interpretabilidad y el diseño eficaz de la interfaz de usuario para apoyar las revisiones e intervenciones humanas. Esto puede considerarse una obligación vinculante para los responsables del tratamiento en cumplimiento del principio de protección de datos desde el diseño.
- Diseñar e impartir la formación y el apoyo adecuados para los revisores humanos. Esto debe incluir la comprensión de las variables en las que se basa el modelo de toma de decisiones o de elaboración de perfiles y, especialmente, de las variables que no se tienen en cuenta en el modelo. Esto puede ser clave para detectar las especificidades de un sujeto de datos que lo convierten en un valor atípico en el modelo o cuyas circunstancias explican una decisión diferente.
- Dar al personal la autoridad, los incentivos y el apoyo adecuados para abordar o escalar las preocupaciones de los individuos y, si es necesario, anular la decisión de la herramienta de IA. Por ejemplo, cuando los revisores humanos se enfrentan a presiones organizativas o a consecuencias profesionales negativas si se desvían de la decisión automatizada, dicha autoridad e independencia se pondrán en riesgo.
| Lista de control: Toma de decisiones y elaboración de perfiles automatizados
☐ El controlador informa a los usuarios sobre el tipo de datos que recogen y procesan los sensores IdC, otros tipos de datos que reciben de fuentes externas y cómo se procesan y combinan. ☐ Los sistemas de la IdCpueden distinguir entre los distintos individuos que utilizan el mismo dispositivo para que no puedan conocer las actividades de los demás sin una base legal adecuada. ☐ Los responsables del tratamiento trabajan con los organismos de normalización y las plataformas de datos para apoyar un protocolo común para expresar las preferencias con respecto a la recogida y el tratamiento de datos por parte de los responsables del tratamiento, especialmente cuando los dispositivos no intrusivos recogen dichos datos. ☐ Los controladores han habilitado entidades locales de control y tratamiento (los llamados proxies de privacidad personal) que permiten a los usuarios tener una visión clara de los datos recogidos por sus dispositivos y facilitan el almacenamiento y tratamiento local sin tener que transmitir los datos al fabricante del dispositivo. ☐ Los sistemas IdC proporcionan:
☐ Los sistemas de IdC ofrecen opciones granulares a la hora de conceder acceso a las aplicaciones. La granularidad no solo se refiere a la categoría de los datos recogidos, sino también al momento y la frecuencia en que se capturan los datos. De forma similar a la función “no molestar” de los teléfonos inteligentes, los dispositivos del IdC deberían ofrecer una opción de “no recoger” para programar o desactivar rápidamente los sensores. ☐ La elaboración de perfiles y la toma de decisiones automatizada sólo se producen cuando se aplica una base legal y se han aplicado las garantías adecuadas. Se han implementado mecanismos capaces de informar sobre ello a todos los interesados implicados. ☐ Los controladores han realizado una EIPD. ☐ Los responsables del tratamiento han consultado a un DPD sobre el tratamiento. ☐ Los responsables del tratamiento han asegurado que se han aplicado adecuadamente todas las garantías previstas en el artículo 22 del RGPD. ☐ Los responsables del tratamiento se han asegurado de que todas las personas que intervienen en la elaboración de perfiles y en el tratamiento automático de datos han recibido la formación adecuada en materia de protección de datos. ☐ Los controladores han documentado toda la información relativa a esta cuestión. |
- ICO (2020) Guidance on the AI auditing framework – draft guidance for consultation. Information Commissioner’s Office, Wilmslow, p.94. Disponible en: https://ico.org.uk/media/about-the-ico/consultations/2617219/guidance-on-the-ai-auditing-framework-draft-for-consultation.pdf. ↑
- Comité Europeo de Protección de Datos (2019) Evaluación de impacto de la protección de datos. Consejo Europeo de Protección de Datos, Bruselas. Disponible en: https://edpb.europa.eu/our-work-tools/our-documents/topic/data-protection-impact-assessment-dpia_es . ↑
- ICO (2020) Guidance on the AI auditing framework – draft guidance for consultation. Information Commissioner’s Office, Wilmslow, p.94-95. Disponible en: https://ico.org.uk/media/about-the-ico/consultations/2617219/guidance-on-the-ai-auditing-framework-draft-for-consultation.pdf . ↑
- Ibid, p.95. ↑