por Andrés Montero

Versión personalizada a la realidad española de un artículo publicado en Agenda Pública.

Recientemente se ha conocido a través de medios de prensa que el Instituto Nacional de Estadística (INE) en España tendrá acceso a datos agregados de posicionamientos GPS de dispositivos móviles que estén asociados a una línea telefónica. Esos datos serán proporcionados por las propias operadoras de telefonía móvil en España, en este caso por las tres principales (Movistar, Orange y Vodafone), aparentemente en base a un contrato mercantil entre las partes, el INE por un lado y las operadoras por otro.

Los datos que aportarán las operadoras serán agregados estadísticos, es decir, información desprovista de datos identificativos personales. Es de suponer que esta anominización de los datos para realizar una función estadística por parte del organismo público encargado de estas funciones, el INE, es respetuosa con el Reglamento General de Protección de Datos (RGPD), puesto que los datos están despersonalizados, y a partir de ellos no se puede identificar a ningún usuario individual, ni a rasgos personales de ningún usuario individual. En tanto datos agregados, se nos dice, únicamente servirán para conocer patrones de comportamiento colectivo, en este caso de movilidad, que podrán servir para diseñar políticas públicas municipales relacionadas con el transporte. En orden a llevar a cabo ese análisis, el INE hará lo que siempre se hace en el trabajo de recogida de datos estadístico: un muestreo de datos durante varios días laborales y un día festivo, para garantizar que los datos recogidos tienen representatividad estadística.

Aunque expertos legales y asociaciones de consumidores piden prudencia hasta conocer en detalle el alcance del proyecto del INE, se advierte que la práctica a realizar por el INE podría vulnerar el Derecho en lo referente a las políticas de cesión de datos según la Ley Orgánica de Protección de Datos (LOPD) o según la Ley de Conservación de Datos Relativos a las Comunicaciones Electrónicas. Sin embargo, en la actualidad, con la emergencia de algoritmos de clasificación y análisis automático de grandes volúmenes (big data) de datos poblaciones, el verdadero terreno de nadie, el auténtico campo minado para los derechos civiles –y me atrevería a decir fundamentales- no es tanto la cesión de datos recogidos por dispositivos electrónicos, sino cómo esos datos son empleados en sofisticado instrumental software para diseñar y construir herramientas que decidirán, literalmente en tanto máquinas, sobre la vida de los ciudadanos.

Tanto el derecho nacional español (la mencionada LOPD) como el europeo (RGPD) están poniendo el acento en la protección de los datos personales identificativos: cómo se recogen, cómo se almacenan, cómo se ceden, y cómo se utilizan. Sin embargo, en esa utilización final la legislación se queda en el uso finalista que se le va a dar al dato en concreto, pongamos por caso, por ejemplo en el escenario del INE, para estadística general sobre movilidad. Sin embargo, por robusta que sea la legislación al principio de la secuencia de recogida, almacenamiento y uso de los datos en bruto, el Derecho todavía no está abarcando el instante en que el dato deja de ser dato (ya sea personal o anonimizado) y se convierte en convierte en una célula de un cuerpo electrónico autónomo, ése sí ya desregulado, que es el algoritmo automático, hormonado o no con inteligencia artificial. Ahí, de momento, los derechos de la ciudadanía están en un limbo.

Apliquemos ese prisma algorítmico al polémico asunto del INE. Imaginemos que los datos que proporcionen las operadoras de telefonía en efecto se utilizan con propósitos estadísticos; digamos por ejemplo que para establecer un mapa de densidad de tráfico en horas del día. No nos escandalicemos porque eso ya lo hace Google con los datos que le cedemos al utilizar Google Maps u otros servicios del mismo proveedor, principalmente si tenemos un dispositivo Android: cuando conectamos con una ruta en Google Maps y el mapa nos marca en color rojo que hay saturación de tráfico en un punto de la ruta lo hace utilizando los datos de la misma manera, más o menos, que pretende hacer ahora el INE: geoposicionamiento –en el caso de Google en tiempo real- de dispositivos móviles de usuario. Hasta aquí, no parece haber problemas de privacidad.

Ahora bien, pongamos el escenario en que igual que el INE está contratando mercantilmente a empresas de telefonía para obtener los datos de geoposicionamiento de móviles, es otro actor mercantil el que contrata a las operadoras pidiendo los mismos datos. Imagine que es usted una persona que reside en un barrio, digamos, de marcadores socioeconómicos humildes, o directamente deprimidos. Supongamos que una gran empresa de seguros o de análisis crediticio contrata a los mismos operadores telefónicos que ha contratado el INE para obtener exactamente los mismos datos que el INE. Entonces conjeturemos que esa gran empresa no utiliza los datos con fines estrictamente estadísticos, sino para alimentar un conjunto de algoritmos automáticos basados en inteligencia artificial que introduciéndole un código postal de residencia proporciona un factor de ponderación positivo o negativo, o simplemente un color –verde, amarillo o rojo-, que queda asociado a una persona sencillamente porque vive en un determinado territorio sobre el que un algoritmo entiende que, a partir del análisis del big data, se dan condiciones de prospectiva negativa para realizar una inversión o conceder un crédito. Actualmente el funcionamiento de ese tipo de algoritmos, que pueden tener efectos discriminatorios sobre personas para nada anónimas a partir del tratamiento de volúmenes masivos de datos perfectamente anonimizados, no está regulado, y su posible colisión con derechos civiles o derechos fundamentales no está fiscalizada.

Es cierto que para cuestiones de vulneración de las leyes de protección de datos tenemos a la Agencia Española de Protección de Datos (AEPD). Sin embargo, ¿tenemos alguna institución pública que verifique que el comportamiento de algoritmos automáticos no es lesivo de derechos? A priori parece que ni siquiera lo hemos pensado, y parece que puede ser el momento, pues si en algo se está distinguiendo el espacio común europeo es en situarse como vanguardia en la regulación de las nuevas realidades digitales.

En ese contexto, mientras la AEPD es efectiva en la protección del ciudadano en esas etapas iniciales de vida del dato digital que tenga propiedades de identificación personal, no parece que nadie se haya fijado en la operativa de los algoritmos automáticos que operan con datos: ¿están programados con un sesgo discriminatorio que pudiera ser ilegal?; el resultado que arrojan, ¿tiene supervisión humana? ¿El modelo matemático en que están sustentados, y su posterior operacionalización computacional, han pasado por una auditoría de cumplimiento debido respecto de derechos civiles y fundamentales? Si esos algoritmos están adoptando decisiones con influencia en la sociedad y en el ciudadano, estas preguntas no deberían quedar sin respuesta en un Estado de Derecho. Es bastante intuitivo pensar que la labor que ejerce la AEPD con el dato en bruto, debería desempeñarla un órgano de garantías de protección de derechos en el caso de los algoritmos que operan con procesamiento de datos. Y en nuestra cultura del Derecho, las garantías de protección las ejercen los Jueces. Todavía más cuando los bienes jurídicos a proteger en un caso y en otro son distintos: con la fiscalización del dato se protege la intimidad del ciudadano, pero con la fiscalización del algoritmos con potencial discriminatorio el bien jurídico a salvaguardar es la igualdad.

Este planteamiento de jueces entendiendo de la protección de derechos en un ámbito concreto no es ni siquiera extraña a nuestra realidad: la Junta Electoral Central es, precisamente, un órgano de garantías que establece en qué condiciones un comportamiento es lesivo o no para el libre ejercicio de los derechos políticos de los ciudadanos. De la misma manera podría hacerse con los algoritmos automáticos que pretendan ser aplicados con potencial discriminatorio en la sociedad: atenerse a cumplir, tanto en su modelización matemática como en su operacionalización computacional, con comportamientos que no sean lesivos de derechos civiles ni fundamentales.