La lucha contra las inmunidades de los poderes… tecnológicos
Hace casi sesenta años, el maestro García de Enterría publicó un texto que ha terminado por ser clásico en la materia: La lucha contra las inmunidades del poder en el derecho administrativo (poderes discrecionales, poderes de gobierno, poderes normativos). Bajo título tan elocuente, el ilustre administrativista analizaba las diversas formas de manifestar el ejercicio de la potestad político-administrativa, señalando el papel que la normativa, y en especial la jurisdicción, está llamada a jugar como función de control.
Hay recorrido para que, en no muchas décadas, un nuevo García de Enterría pueda actualizar y trasplantar el análisis, desde su actual inmunidad, al inmenso poder de las tecnológicas que se sostiene sobre algunas piedras de toque y dilemas que se recogen a continuación.
Monopolizan, poseen y “son” nuestro ciber-yo.
Se constituyen en propietarios, en un cuerpo de bytes, ceros y unos, de nuestra identidad digital con capacidad para estrujarla, modelarla, manipularla e incluso matarla. Porque ya hay víctimas que se enfrentan al asesinato de su “ciber-yo”, al ser abruptamente cancelada sin explicación alguna la cuenta de correo y todo lo asociado con ella.
Inaccesibles
¿Se avanzará hacia la accesibilidad de servidores e instalaciones? Especialmente para romper la principal cúpula de defensa de que disponen: la inaccesibilidad de sus servidores e instalaciones para inspeccionar sus prácticas y conductas y contrastar la coherencia entre lo que “declaran” y lo que “hacen”. No debe olvidarse que uno de los principales procedimientos que se iniciaron en Europa frente a una de las grandes tecnológicas se produjo, precisamente, cuando la autoridad francesa de protección de datos (CNIL) pudo realizar una inspección “in situ” a lo único “inspeccionable”: uno de los coches que captaba imágenes para Google Street view, al comprobar que aprovechaba para recolectar toda la información disponible de datos de redes wifi.
Queda pendiente, pues, acceder al que se ha convertido en el más importante territorio ignoto para el hombre, el virtual, tras haber quedado cartografiado exhaustivamente el mundo físico.
¿Cómo evolucionará la caja negra algorítmica?
Sin que sean accesibles sus servidores, sus algoritmos y su Código fuente, que quedan protegidos por el secreto, lo que les otorga un mayor poder incluso del que ya disponen. ¿Cómo se acomodará la “caja negra” con el sistema de garantías públicas en las resoluciones administrativas? Ya han recaído variadas resoluciones en diferentes países de Europa (incluido el Consejo de Transparencia en España) salvaguardando el secreto del código fuente de algoritmos utilizados por la Administración que, como verdaderos reglamentos, otorgan o no derechos a los ciudadanos. Así ha ocurrido, por ejemplo, en España, Italia y Francia. Y así lo considera el Parlamento europeo. En España ya ha ocurrido respecto a la solicitud de desvelar las entrañas del programa BOSCO, un software desarrollado por orden del Gobierno, que las eléctricas utilizan para decidir quién es beneficiario del denominado bono social. El Código permanece en secreto tras la negativa del Consejo de Transparencia a amparar el acceso.
Estas resoluciones impiden –o dificultan en grado extremo- conocer su funcionamiento y aplicar las garantías frente a las decisiones automatizadas que recoge el Reglamento General de Protección de Datos y que invisten a cualquier otro acto administrativo: control, motivación y transparencia. Cuestión si cabe más relevante por cuanto su inmensa destreza les puede convertir –o se están convirtiendo- en arcanos cercanos a Dios a los que invocar en caso extremo (Amazon en la pandemia), que monopolicen desde la tecnología cuántica o la fusión nuclear hasta el destino de nuestro “otro yo”, que nos sobrevivirá en forma de bits.
¿Será necesario reforzar los “neuroderechos”?
La posibilidad de hackear la mente y dominar nuestras emociones ha planteado la exigencia de un catálogo de derechos sobre el cerebro o “neuroderechos” que ya ha sido recogida en Chile mediante una enmienda a la Constitución. Derechos a la identidad personal, libre albedrío, privacidad mental, acceso equitativo a las tecnologías de aumentación, protección contra sesgos y discriminación en especial algorítmica. Será necesario estar atentos a las amenazas y a los instrumentos para hacerlas frente.
¿Cómo se garantizan derechos en un internet sin fronteras frente a un mundo asimétrico y basado en Estados?
El escenario sigue siendo incierto ante el limitado número de países con Agencia de Protección de Datos, la fragmentación de los instrumentos y jurisdicciones y la asimetría de modelos y principios, incluso entre Europa y Estados Unidos, sin marco vigente de transferencia internacional de datos. Adicionalmente, el procedimiento de cooperación y coherencia del Reglamento General de Protección de Datos entre las Agencias europeas sigue ofreciendo dudas por crear burocracia, sobrecargar y centralizar la irlandesa y luxemburguesa (donde ubican las multinacionales sus sedes), vaciar su contenido con la interpretación de que no es aplicable si el establecimiento principal se encuentra situado fuera de la UE y por la falta de autocontención por los tribunales nacionales en aspectos que debieran ser sometidos a cuestión prejudicial.
Es más, en la reciente propuesta de Reglamento de inteligencia artificial está ausente un sistema de “ventanilla única” como en el GDPR, que se basa en una única autoridad principal supervisora del cumplimiento de las organizaciones que operan en varios Estados miembros, lo que puede derivar en la fragmentación de la supervisión de los sistemas de Inteligencia Artificial.
La única respuesta, de enorme dificultad política, probablemente debe venir de la creación de estructuras internacionales lo más extendidas posibles, preferentemente en el entorno ONU, que regulen el tráfico y establezcan normas “iguales para todos”, con posibilidad de imponer sanciones. Dotar asimismo de competencias ejecutivas al Supervisor Europeo de Protección de Datos para cuestiones transnacionales sería también un avance.
¿Se mantendrá la prohibición de inspecciones prospectivas y límites a las vigilancias masivas?
Sigue siendo una de las batallas más activas la que se produce entre privacidad por un lado y, por el otro, barridos, vigilancia masiva y Big Data como instrumentos, en especial en manos de las autoridades, para realizar fiscalizaciones ilimitadas con el fin de detectar fraude e infracciones.
Con uno de sus últimos hitos en la reciente aprobación por las autoridades europeas de protección de datos de un dictamen conjunto sobre la propuesta de Reglamento de la Comisión Europea sobre Inteligencia Artificial. Piden que se prohíba el uso de la IA para el reconocimiento automatizado de rasgos humanos en espacios de acceso público, y algunos otros usos de la IA que pueden dar lugar a una discriminación injusta.
¿Se conseguirá “institucionalizar” el control de contenidos y datos en Internet?
El modelo Europa-Estados Unidos y el proyecto de Reglamento de Servicios digitales (DSA) lanzado por la Comisión a finales de 2020 mantiene el apoderamiento a las tecnológicas para filtrar perfiles y contenidos, en su caso con datos. Son “guardianes del acceso” a internet. Como posible alternativa futura sobrevuela la “refundación” del control judicial o institucional para responder a los retos de rapidez y coherencia existentes. Debe recordarse que el Consejo Constitucional francés ya se ha manifestado exigiendo que la ley francesa prevea plazos de retirada que permitan consultar a los jueces y los riesgos de autocensura en caso de duda.
¿Se conseguirá implementar el derecho de “explicación” frente a algoritmos “no deterministas”?
La obligación según el Reglamento general de Protección de datos de explicar las decisiones automatizadas que afecten a las personas (como otorgar o no un crédito) y el derecho a que haya intervención humana y a que el afectado pueda alegar, cuestiona -o al menos invita a reflexionar- sobre el futuro –al menos legal- de los sistemas no predictivos vinculados al “machine learning” en los que no sea posible deducir de la “entrada” de información, el “producto” final. Y en todo caso plantea cual va a ser la fórmula para su conciliación.
Todo ello obliga a seguir con atención las actividades del Comité Antimonopolio del Congreso de Estados Unidos y de la Comisión Europea, enfocadas a dividir sus negocios, dificultarles adquirir otros e imponer nuevas reglas para salvaguardar la competencia; a los avances que se puedan realizar en Europa para proteger a los consumidores contra las cláusulas abusivas en los contratos sobre servicios digitales; a las iniciativas de las autoridades europeas de Protección de Datos; y por supuesto, a las previsibles decisiones del Tribunal de Justicia de la Unión Europea llamado a trazar líneas en aspectos fronterizos, como ya hizo en su momento respecto al derecho al “olvido”.
Jose Lopez Calvo es doctor en Derecho y Administrador Civil del Estado. Ocupa puestos directivos desde hace más de veinte años en la Administración pero sus opiniones en este blog son exclusivamente personales