12/8/2021

La automatización de los procesos y la interconexión masiva de sistemas y dispositivos digitales ha permitido una gran producción y captura de datos, los que son procesados mediante la utilización de algoritmos. Las compañías de los más diversos rubros están implementando sistemas predictivos que permitan simplificar la toma de decisiones y ayudar al diseño de estrategias comerciales más efectivas. Es lo que comúnmente ocurre con los datos procesados al utilizar buscadores y redes sociales, como Google o Instagram, que permiten mostrar,  a quien navegue, anuncios personalizados con los que probablemente interactuará. Este tipo de innovación es facilitada por la utilización de inteligencia artificial.

En términos amplios, la inteligencia artificial (IA) se refiere a la tecnología compuesta por sistemas informáticos que busca imitar cualidades humanas, tales como la racionalización o el aprendizaje. Lo anterior se logra por medio de la construcción de un modelo matemático que refleja el conjunto de instrucciones utilizado para resolver un problema. Al conjunto de instrucciones se le conoce como “algoritmo” y está basado en la existencia de determinadas variables que implican datos. Luego, para ser ejecutado, el algoritmo debe pasar a cierto lenguaje de programación que permitirá al computador entender e interpretar en lenguaje de máquina las instrucciones.

Un subtipo de IA es el machine learning, tecnología mediante la cual el sistema informático es capaz de aprender de sus propias experiencias y resolver problemas complejos. En ella, existe un algoritmo que está instruido para crear nuevos modelos matemáticos que permitan hacer predicciones o tomar decisiones en base a datos de muestra (conocidos como “datos de entrenamiento”). En otras palabras, cuando hablamos de machine learning, es el propio algoritmo el que crea nuevos algoritmos mediante la identificación de patrones o similitudes existentes en la base de datos de entrenamiento. Así, cuando se procesan nuevos datos, el sistema es capaz de reconocer los nuevos patrones en base al algoritmo creado por él mismo, lo que está vinculado a la cualidad de aprendizaje. Como resultado, los sistemas que incorporan este tipo de tecnología pueden percibir y relacionarse con el entorno, resolviendo problemas y generando respuestas en relación con un fin específico.

La IA es ampliamente utilizada para procesar datos personales, esto es, aquellos datos relativos a cualquier información concerniente a personas naturales, identificadas o identificables. Por una parte, los datos personales pueden formar parte de los datos de entrenamiento utilizados en la creación de nuevos modelos de algoritmos mediante la identificación de patrones. Por otra parte, estos mismos modelos se pueden, a su vez, aplicar a datos personales para hacer inferencias o predicciones sobre personas e incluso influir en su comportamiento. De esta forma, la IA permite la toma de decisiones automatizada basada en factores y criterios no definidos, sino que cambiantes, según la base de datos que alimente al algoritmo. Este tipo de decisiones puede no sólo traer eficiencias y disminuir costos de transacción, sino que se ofrece como una opción más precisa y teóricamente imparcial para ciertos procesos, ya que, en principio, busca evitar sesgos psicológicos particulares propios de las decisiones humanas. Ejemplo de lo anterior es su utilización para filtrar a los solicitantes de un empleo o marcar contenido como violento o falso en redes sociales.

Con todo, aun cuando la aplicación de esta tecnología a decisiones puede traer múltiples beneficios, también puede acarrear escenarios de discriminación, decisiones erróneas o abusos, reproduciendo sesgos humanos colectivos –por ejemplo, hacia minorías étnicas– o introduciendo nuevos, resultando incluso en vulneraciones a los derechos del individuo.

Es por lo anterior, que el desarrollo y la implementación de la IA debe considerar tanto los complejos desafíos involucrados en los aspectos legales como en los éticos. En dicho sentido, muchos países, entre los cuales se encuentra Chile, han adoptado compromisos a nivel internacional para un uso ético, responsable y equitativo de los datos personales. Sin ir más lejos, el año 2019 Chile suscribió las Recomendaciones del Consejo de Inteligencia Artificial, en la que se proporcionan una serie de principios y recomendaciones acordados internacionalmente para que los países firmantes puedan adoptar políticas democráticas, inclusivas y respetuosas de la dignidad del ser humano frente a la “crisis de la IA”. Otro tanto ocurre con la Política Nacional de Inteligencia Artificial, la cual fue sometida a consulta pública, la que finalizó el 27 de enero de 2021 y cuya redacción final terminó el 7 de junio recién pasado. Con todo, actualmente no existe en Chile una normativa que regule la IA en forma especializada, sino que se somete a la regulación genérica vigente en lo relativo al tratamiento de datos personales, esto es, la Ley N°19.628 sobre Protección de la Vida Privada, la cual data de 1997, y –a nivel constitucional– por el artículo 19 N°4 de la Carta Fundamental.

Respecto a la regulación de datos personales, en la Unión Europea, el Reglamento General de Protección de Datos (“RGPD”) –cuerpo legal en el que se inspira el actual Proyecto de Ley de Datos Personales (“PdL”), en Primer Trámite Constitucional en el Congreso– no menciona explícitamente la IA, pero muchas de sus disposiciones son de especial importancia para su despliegue.

En particular, en relación con las decisiones automatizadas, el artículo 22.1 del RGPD señala que “todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”. Esta disposición introduce una prohibición ex ante para los responsables del tratamiento respecto de la toma de decisiones basada únicamente en el tratamiento automatizado de datos personales, sin necesidad de acción alguna de parte del titular afectado. Por lo tanto, para que proceda esta prohibición se requieren cuatro condiciones:

En primer lugar, el tratamiento automatizado de datos debe utilizarse para tomar una decisión, es decir, para adoptar una postura hacia una persona.

En segundo lugar, la decisión debe basarse únicamente en el procesamiento automatizado –lo que en principio no se cumple cuando el sistema solo se utiliza como herramienta de apoyo a la toma de decisiones para los seres humanos, aun cuando sean éstos quienes finalmente tomen la decisión basados en la sugerencia ofrecida por el sistema–.

En tercer lugar, debe implicar la elaboración de perfiles, es decir, cualquier forma de tratamiento de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado.

Por último, en cuarto lugar, debe tener un efecto legal o significativo en forma similar, como la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red (considerando 71 RGPD).

No obstante, la toma de decisiones automatizadas que produzca efectos significativos sí será permitida si concurre alguna de las siguientes circunstancias, a saber que: (i) sea necesaria para la celebración o la ejecución de un contrato entre el titular y un responsable del tratamiento; (ii) que esté autorizada por ley y que establezca, asimismo, medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado; o, (iii) que esté basada en el consentimiento explícito del interesado. En los casos (i) y (iii) el responsable del tratamiento de datos debe adoptar las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, que, como mínimo, incluyen el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.

En la UE ya se han reportado casos en que los titulares de datos personales han ejercido su derecho a impugnar las decisiones adoptadas sobre la base del tratamiento automatizado de datos. Por ejemplo, a principios del año 2021, la Corte de Ámsterdam ordenó la reincorporación de seis trabajadores de Uber por considerar injustificada la terminación de sus relaciones con la compañía, la cual habría sido adoptada por “medios algorítmicos”. Dado el creciente uso de IA en la toma de decisiones, esta jurisprudencia adquirirá cada vez mayor importancia.

Por su parte, en nuestro país, el artículo 8 bis del PdL dispone que, por regla general, el titular de datos personales tiene derecho a oponerse a que el responsable del tratamiento adopte decisiones que le conciernan, basadas únicamente en el hecho de realizarse a través de un tratamiento automatizado de sus datos personales, incluida la elaboración de perfiles.

Con todo, la regla precedente –que pareciera seguir de cerca lo que dispone la regulación europea– tiene ciertas excepciones en las que no procedería el derecho de oposición del titular de los datos. Estos casos son (i) cuando la decisión del responsable sea necesaria para la celebración o ejecución de un contrato entre el titular y el responsable; (ii) cuando exista consentimiento previo y expreso del titular; y, (iii) cuando lo disponga la ley.

Para los casos de excepción (i) y (ii) enunciados en el párrafo anterior, el PdL dispone que el responsable de los datos debe adoptar las medidas necesarias para asegurar los derechos del titular a (a) obtener intervención humana por parte del responsable; (b) a expresar su punto de vista; y, (c) solicitar la revisión de la decisión.

El referido artículo, tal como se puede observar de la historia de su tramitación legislativa, siguió muy de cerca el RGPD, y en particular, a su artículo 22. Sin embargo, existen dos diferencias, que creemos relevante hacer notar:

Primero, respecto de la aproximación del legislador a la actividad regulada. Por un lado, el artículo 22 del RGPD parte desde el supuesto de que la toma de decisiones basadas únicamente en el tratamiento automatizado de datos personales y que produzca efectos jurídicos en él, o le afecte significativamente de modo similar al titular de los datos personales, está prohibida, sin necesidad de intervención del titular de los datos. Por otro lado, el artículo 8 del PdL parte del supuesto de que dicha actividad es lícita, pero el titular de los datos tiene un derecho a oponerse, sin que sea necesario que dicha decisión le produzca un efecto jurídico o le afecte forma alguna. Cabe destacar a este respecto que la redacción original del PdL consagraba una exigencia de estándar similar a la del señalado artículo 22 del RGPD, la que fue eliminada posteriormente en el curso de la discusión legislativa por considerarse que le entregaba una connotación negativa al tratamiento automatizado de datos, además de considerarse que la “afectación significativa” constituía una expresión un tanto ambigua.

Segundo, respecto de los derechos que posee el titular de los datos para los casos en que no proceda su derecho a oponerse a las decisiones basadas en el tratamiento automatizado de sus datos. En lo tocante a este punto, el RGPD consagra en su artículo 22 una regla que parece ser diversa a la del PdL chileno. El primero otorga al titular de los datos –para los casos en que proceda el tratamiento automatizado de sus datos, o sea, que ésta no se encuentre prohibida per se– el derecho a impugnar la decisión que adopte el responsable de los datos en base a aquel tratamiento.

En cambio, el proyecto de regulación chilena, en el inciso final del artículo 8 bis, hace precisamente lo contrario. Dicha norma priva al titular de los datos del derecho a oponerse en casos bastante similares a los que el RGPD prescribe para permitir –a modo de excepción– las decisiones basadas en el tratamiento automatizado, sólo otorgándole un derecho a la revisión de la decisión. Al efecto, la mencionada regla señala que “el responsable deberá adoptar las medidas necesarias para asegurar los derechos del titular, en particular el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a solicitar la revisión de la decisión”.

En consecuencia, pareciera ser que la redacción de nuestro PdL le otorgaría, por un lado, una defensa de menor intensidad al titular de los datos personales, y, por el otro, un mayor ámbito de discrecionalidad al responsable de los datos frente a las decisiones que adopte en base al tratamiento automatizado de datos personales, ampliamente utilizado por medio de la IA.

Así las cosas, cabe preguntarse no sólo en qué consistiría este derecho a revisión que tiene el titular de los datos, sino que también si es que ello podría implicar disminuir la intensidad de la protección de los datos personales de las personas frente a las decisiones basadas en el tratamiento automatizado de los mismos, en un mundo en que la IA y los algoritmos toman cada vez más protagonismo y ponen a prueba el respeto a la intimidad y privacidad de las personas.