El tratamiento de datos personales mediante el uso de inteligencia artificial en la toma de decisiones automatizadas

Publicación

scroll

12/8/2021

La automatización de los procesos y la interconexión masiva de sistemas y dispositivos digitales ha permitido una gran producción y captura de datos, los que son procesados mediante la utilización de algoritmos. Las compañías de los más diversos rubros están implementando sistemas predictivos que permitan simplificar la toma de decisiones y ayudar al diseño de estrategias comerciales más efectivas. Es lo que comúnmente ocurre con los datos procesados al utilizar buscadores y redes sociales, como Google o Instagram, que permiten mostrar, a quien navegue, anuncios personalizados con los que probablemente interactuará. Este tipo de innovación es facilitada por la utilización de inteligencia artificial.

En términos amplios, la inteligencia artificial (IA) se refiere a la tecnología compuesta por sistemas informáticos que busca imitar cualidades humanas, tales como la racionalización o el aprendizaje. Lo anterior se logra por medio de la construcción de un modelo matemático que refleja el conjunto de instrucciones utilizado para resolver un problema. Al conjunto de instrucciones se le conoce como “algoritmo” y está basado en la existencia de determinadas variables que implican datos. Luego, para ser ejecutado, el algoritmo debe pasar a cierto lenguaje de programación que permitirá al computador entender e interpretar en lenguaje de máquina las instrucciones.

Un subtipo de IA es el machine learning, tecnología mediante la cual el sistema informático es capaz de aprender de sus propias experiencias y resolver problemas complejos. En ella, existe un algoritmo que está instruido para crear nuevos modelos matemáticos que permitan hacer predicciones o tomar decisiones en base a datos de muestra (conocidos como “datos de entrenamiento”). En otras palabras, cuando hablamos de machine learning, es el propio algoritmo el que crea nuevos algoritmos mediante la identificación de patrones o similitudes existentes en la base de datos de entrenamiento. Así, cuando se procesan nuevos datos, el sistema es capaz de reconocer los nuevos patrones en base al algoritmo creado por él mismo, lo que está vinculado a la cualidad de aprendizaje. Como resultado, los sistemas que incorporan este tipo de tecnología pueden percibir y relacionarse con el entorno, resolviendo problemas y generando respuestas en relación con un fin específico.

La IA es ampliamente utilizada para procesar datos personales, esto es, aquellos datos relativos a cualquier información concerniente a personas naturales, identificadas o identificables. Por una parte, los datos personales pueden formar parte de los datos de entrenamiento utilizados en la creación de nuevos modelos de algoritmos mediante la identificación de patrones. Por otra parte, estos mismos modelos se pueden, a su vez, aplicar a datos personales para hacer inferencias o predicciones sobre personas e incluso influir en su comportamiento. De esta forma, la IA permite la toma de decisiones automatizada basada en factores y criterios no definidos, sino que cambiantes, según la base de datos que alimente al algoritmo. Este tipo de decisiones puede no sólo traer eficiencias y disminuir costos de transacción, sino que se ofrece como una opción más precisa y teóricamente imparcial para ciertos procesos, ya que, en principio, busca evitar sesgos psicológicos particulares propios de las decisiones humanas. Ejemplo de lo anterior es su utilización para filtrar a los solicitantes de un empleo o marcar contenido como violento o falso en redes sociales.

Con todo, aun cuando la aplicación de esta tecnología a decisiones puede traer múltiples beneficios, también puede acarrear escenarios de discriminación, decisiones erróneas o abusos, reproduciendo sesgos humanos colectivos –por ejemplo, hacia minorías étnicas– o introduciendo nuevos, resultando incluso en vulneraciones a los derechos del individuo.

Es por lo anterior, que el desarrollo y la implementación de la IA debe considerar tanto los complejos desafíos involucrados en los aspectos legales como en los éticos. En dicho sentido, muchos países, entre los cuales se encuentra Chile, han adoptado compromisos a nivel internacional para un uso ético, responsable y equitativo de los datos personales. Sin ir más lejos, el año 2019 Chile suscribió las Recomendaciones del Consejo de Inteligencia Artificial, en la que se proporcionan una serie de principios y recomendaciones acordados internacionalmente para que los países firmantes puedan adoptar políticas democráticas, inclusivas y respetuosas de la dignidad del ser humano frente a la “crisis de la IA”. Otro tanto ocurre con la Política Nacional de Inteligencia Artificial, la cual fue sometida a consulta pública, la que finalizó el 27 de enero de 2021 y cuya redacción final terminó el 7 de junio recién pasado. Con todo, actualmente no existe en Chile una normativa que regule la IA en forma especializada, sino que se somete a la regulación genérica vigente en lo relativo al tratamiento de datos personales, esto es, la Ley N°19.628 sobre Protección de la Vida Privada, la cual data de 1997, y –a nivel constitucional– por el artículo 19 N°4 de la Carta Fundamental.

Respecto a la regulación de datos personales, en la Unión Europea, el Reglamento General de Protección de Datos (“RGPD”) –cuerpo legal en el que se inspira el actual Proyecto de Ley de Datos Personales (“PdL”), en Primer Trámite Constitucional en el Congreso– no menciona explícitamente la IA, pero muchas de sus disposiciones son de especial importancia para su despliegue.

En particular, en relación con las decisiones automatizadas, el artículo 22.1 del RGPD señala que “todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”. Esta disposición introduce una prohibición ex ante para los responsables del tratamiento respecto de la toma de decisiones basada únicamente en el tratamiento automatizado de datos personales, sin necesidad de acción alguna de parte del titular afectado. Por lo tanto, para que proceda esta prohibición se requieren cuatro condiciones:

En primer lugar, el tratamiento automatizado de datos debe utilizarse para tomar una decisión, es decir, para adoptar una postura hacia una persona.

En segundo lugar, la decisión debe basarse únicamente en el procesamiento automatizado –lo que en principio no se cumple cuando el sistema solo se utiliza como herramienta de apoyo a la toma de decisiones para los seres humanos, aun cuando sean éstos quienes finalmente tomen la decisión basados en la sugerencia ofrecida por el sistema–.

En tercer lugar, debe implicar la elaboración de perfiles, es decir, cualquier forma de tratamiento de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado.

Por último, en cuarto lugar, debe tener un efecto legal o significativo en forma similar, como la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red (considerando 71 RGPD).

No obstante, la toma de decisiones automatizadas que produzca efectos significativos sí será permitida si concurre alguna de las siguientes circunstancias, a saber que: (i) sea necesaria para la celebración o la ejecución de un contrato entre el titular y un responsable del tratamiento; (ii) que esté autorizada por ley y que establezca, asimismo, medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado; o, (iii) que esté basada en el consentimiento explícito del interesado. En los casos (i) y (iii) el responsable del tratamiento de datos debe adoptar las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, que, como mínimo, incluyen el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.

En la UE ya se han reportado casos en que los titulares de datos personales han ejercido su derecho a impugnar las decisiones adoptadas sobre la base del tratamiento automatizado de datos. Por ejemplo, a principios del año 2021, la Corte de Ámsterdam ordenó la reincorporación de seis trabajadores de Uber por considerar injustificada la terminación de sus relaciones con la compañía, la cual habría sido adoptada por “medios algorítmicos”. Dado el creciente uso de IA en la toma de decisiones, esta jurisprudencia adquirirá cada vez mayor importancia.

Por su parte, en nuestro país, el artículo 8 bis del PdL dispone que, por regla general, el titular de datos personales tiene derecho a oponerse a que el responsable del tratamiento adopte decisiones que le conciernan, basadas únicamente en el hecho de realizarse a través de un tratamiento automatizado de sus datos personales, incluida la elaboración de perfiles.

Con todo, la regla precedente –que pareciera seguir de cerca lo que dispone la regulación europea– tiene ciertas excepciones en las que no procedería el derecho de oposición del titular de los datos. Estos casos son (i) cuando la decisión del responsable sea necesaria para la celebración o ejecución de un contrato entre el titular y el responsable; (ii) cuando exista consentimiento previo y expreso del titular; y, (iii) cuando lo disponga la ley.

Para los casos de excepción (i) y (ii) enunciados en el párrafo anterior, el PdL dispone que el responsable de los datos debe adoptar las medidas necesarias para asegurar los derechos del titular a (a) obtener intervención humana por parte del responsable; (b) a expresar su punto de vista; y, (c) solicitar la revisión de la decisión.

El referido artículo, tal como se puede observar de la historia de su tramitación legislativa, siguió muy de cerca el RGPD, y en particular, a su artículo 22. Sin embargo, existen dos diferencias, que creemos relevante hacer notar:

Primero, respecto de la aproximación del legislador a la actividad regulada. Por un lado, el artículo 22 del RGPD parte desde el supuesto de que la toma de decisiones basadas únicamente en el tratamiento automatizado de datos personales y que produzca efectos jurídicos en él, o le afecte significativamente de modo similar al titular de los datos personales, está prohibida, sin necesidad de intervención del titular de los datos. Por otro lado, el artículo 8 del PdL parte del supuesto de que dicha actividad es lícita, pero el titular de los datos tiene un derecho a oponerse, sin que sea necesario que dicha decisión le produzca un efecto jurídico o le afecte forma alguna. Cabe destacar a este respecto que la redacción original del PdL consagraba una exigencia de estándar similar a la del señalado artículo 22 del RGPD, la que fue eliminada posteriormente en el curso de la discusión legislativa por considerarse que le entregaba una connotación negativa al tratamiento automatizado de datos, además de considerarse que la “afectación significativa” constituía una expresión un tanto ambigua.

Segundo, respecto de los derechos que posee el titular de los datos para los casos en que no proceda su derecho a oponerse a las decisiones basadas en el tratamiento automatizado de sus datos. En lo tocante a este punto, el RGPD consagra en su artículo 22 una regla que parece ser diversa a la del PdL chileno. El primero otorga al titular de los datos –para los casos en que proceda el tratamiento automatizado de sus datos, o sea, que ésta no se encuentre prohibida per se– el derecho a impugnar la decisión que adopte el responsable de los datos en base a aquel tratamiento.

En cambio, el proyecto de regulación chilena, en el inciso final del artículo 8 bis, hace precisamente lo contrario. Dicha norma priva al titular de los datos del derecho a oponerse en casos bastante similares a los que el RGPD prescribe para permitir –a modo de excepción– las decisiones basadas en el tratamiento automatizado, sólo otorgándole un derecho a la revisión de la decisión. Al efecto, la mencionada regla señala que “el responsable deberá adoptar las medidas necesarias para asegurar los derechos del titular, en particular el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a solicitar la revisión de la decisión”.

En consecuencia, pareciera ser que la redacción de nuestro PdL le otorgaría, por un lado, una defensa de menor intensidad al titular de los datos personales, y, por el otro, un mayor ámbito de discrecionalidad al responsable de los datos frente a las decisiones que adopte en base al tratamiento automatizado de datos personales, ampliamente utilizado por medio de la IA.

Así las cosas, cabe preguntarse no sólo en qué consistiría este derecho a revisión que tiene el titular de los datos, sino que también si es que ello podría implicar disminuir la intensidad de la protección de los datos personales de las personas frente a las decisiones basadas en el tratamiento automatizado de los mismos, en un mundo en que la IA y los algoritmos toman cada vez más protagonismo y ponen a prueba el respeto a la intimidad y privacidad de las personas.

‍

Autores

No items found.

Áreas de Práctica Relacionadas

Telecomunicaciones, Medios y Tecnología (TMT)

Conversemos

Santiago

Orinoco 90, Piso 16
Las Condes
Santiago 7560970
Chile
+562 2652 9000

Contacto

Información General

fn@fn.cl

Información de Prensa

medios@fn.cl

Para Postulaciones

postulaciones@fn.cl

Back

El tratamiento de datos personales mediante el uso de inteligencia artificial en la toma de decisiones automatizadas

Publicación

Notas sobre las inadmisibilidades recientes de proyectos en el SEIA

Notas sobre las inadmisibilidades recientes de proyectos en el SEIA

Algunas directrices sobre restricciones verticales relativas a precios en la jurisprudencia reciente: el caso del RPM

El derecho al olvido: un tema que, de tanto en tanto, aparece en el horizonte

FerradaNehme asesora a ClaroVTR en negociación con On*NetFibra

Análisis de recientes casos de salidas alternativas en procesos penales contra personas jurídicas

Fernanda Skewes representa a ComunidadMujer frente al TC

A propósito de "El Orden del Tiempo", de Carlo Rovelli

¿Cómo están cambiando los estándares de diligencia frente a la IA?

Día Mundial del Consumidor: revisión de las sentencias dictadas por la Corte Suprema durante 2023 en materia de cláusulas abusivas

Colegios de abogados bajo la lupa de las autoridades de libre competencia

Una mirada a la crónica de “V13”, de Emmanuel Carrère

La Unión Europea avanza en la primera regulación sobre inteligencia artificial

Cambios en la protección del cielo nocturno

La Comisión Europea adopta una nueva comunicación sobre definición de mercado relevante

Sobre el proyecto de ley que regula las transferencias de recursos públicos a personas e instituciones privadas

Nicole Nehme y Diego Hernández en GCR Live: Law Leaders Global 2024

El legado de los Juegos Panamericanos Santiago 2023

¡Cuidado! Las prácticas históricas de una industria pueden de todos modos contravenir la libre competencia

Razones para reactivar el proyecto de Ley que regula la mediación civil y comercial

La primera de varias normas: entrada en vigencia de la modificación al Reglamento del SEIA

Día de la Protección de los Datos personales 2024

Evolución Regulatoria: Criptomonedas, ETFs y el Nuevo Paradigma Financiero en Chile

Compras Públicas y empresas del Estado: reforma y contrarreforma

Proyecto de ley que modifica la SMA: ¿fortalecimiento de la fiscalización, sanción y cumplimiento ambiental?

Proyecto de ley que modifica el Sistema de Evaluación de Impacto Ambiental: una revisión necesaria

Acerca de la sentencia del Tribunal de Justicia de la Unión Europea en el asunto European Superleague Company

Directors’, Senior Executives’ and Managers’ Fiduciary Duties in Chilean M&A Deals

Nuevo instructivo de la SMA para el cumplimiento de la REP

Alcance sobre el Proyecto de Ecoblanqueo: ¿Lavado verde de imagen o criterios ESG?

Nuevamente sobre la responsabilidad del concesionario de obra pública vial bajo la Ley del Consumidor

Una nueva estructura en Contraloría General de la República

Opinión sobre la Nueva Ley de protección de datos

La igualdad en materia sanitaria: las prestaciones médicas en salud mental

Comentarios de “Magnificos rebeldes” de Andrea Wulf

Legalizando las “vías alternativas de cumplimiento ambiental”

SEA publica nueva Guía para la Participación Ciudadana Temprana en Proyectos que Ingresan al SEIA

El cine y los nuevos modos de ver

Breve reflexión sobre la conferencia “Disclosure in Antitrust Damages Actions in Europe”

Reparando el Plan de Reparación

Cuatro nuevos Dictámenes Interpretativos del Sernac sobre la garantía legal

Actualizando los incentivos al cumplimiento ambiental

La Comisión Europea recomienda realizar evaluaciones de riesgos en cuatro áreas tecnológicas críticas

"Arbitraje de Emergencia": una nueva herramienta del CAM Santiago

Impactos del Proyecto de Ley "Sernac te Protege" y Cyber Monday

A un año del Acuerdo de Escazú

Criterios ESG: Cuidado con aquello que se publicita

Desafíos e incentivos asociados a la Ley REP de envases y embalajes

Chambers and Partners | Chile: Una Introducción al Derecho Público chileno

Chambers and Partners | Chile: An Introduction to Public Law

Humo blanco para la modernización del sistema de compras públicas

Sobre la Ley de Protección al Denunciante

El Sernac publica una nueva circular y cuatro dictámenes interpretativos

El SEA dicta instructivo sobre la vigencia y aplicabilidad de sus guías y criterios de evaluación

Las otras reformas del Proyecto de Ley sobre Delitos Económicos

FerradaNehme es reconocido por el CeCo UAI como el estudio líder en procedimientos de libre competencia en Chile

Servicio Nacional del Consumidor publica siete nuevos dictámenes interpretativos en su web

Algunas notas sobre la rivalidad entre ligas de golf y libre competencia

Comentarios sobre el proyecto de ley que modifica el régimen de sociedad conyugal

Cambia el paradigma ambiental desde infracciones administrativas a penales

Nueva ley de delitos económicos: un cambio mayúsculo en los riesgos ambientales

“Ley Uber” y protección de los consumidores

Nuevo procedimiento concursal de reorganización simplificada: una reflexión sobre eficiencia concursal y neutralidad

Sobre la posible suspensión del delito de colusión corporativa

Proyecto guiado por FerradaNehme es uno de los ganadores del Desafío Pro Bono 2022

Notas sobre el proyecto de ley de delitos económicos

Breves comentarios de Nicole Nehme sobre “Hitos de la Política de Competencia”, de Enrique Vergara

Preservación de comunicaciones corporativas ante el uso de plataformas de mensajería instantánea y dispositivos personales

Audiencia simulada del equipo U. de Chile para el Moot Madrid 2023

Día Mundial del Agua

Programas de cumplimiento y daño ambiental, ¿compatibles?

Avances en la implementación de la ley de eficiencia energética

Dos nuevos profesores de la Universidad de Chile

Nueva guía metodológica para la consideración del cambio climático en el SEIA

Ejercicio de derechos ARCO y su tramitación

Delitos informáticos ¿Más de lo mismo para los modelos de prevención de delitos?

XII Jornadas Nacionales de Derecho del Consumo

El gran aporte femenino en la Conferencia anual de Fordham University sobre política internacional de competencia