Desde hace unos años las noticias que refieren el empleo de avanzados programas informáticos de inteligencia artificial para las más variadas tareas se suceden cada vez con más frecuencia. Sólo en nuestro país es ya habitual su uso, aunque sea incipiente, para la prevención de casos de violencia de género a la detección de fraudes de todo tipo, del control de posibles cárteles a intentos de defraudar a la Seguridad social o a Hacienda o en el disfrute de ayudas públicas, y en algunos países de la Unión Europea ya se apuesta abiertamente incluso por la puesta en marcha de avanzados sistemas de control del comportamiento de los ciudadanos en espacios y vía públicos. Si hiciéramos caso a los medios de comunicación y generalizáramos lo que nos van contando, llegaríamos a la conclusión de que el empleo de algoritmos para realizar funciones de inspección o control por parte de nuestros poderes públicos es una realidad consolidadísima, totalmente asentada y, aparentemente, que se viene desarrollando sin mayores dudas jurídicas sobre cómo habría de realizarse.
De momento, sin embargo, la regulación que tenemos no está aún debidamente adaptada, es francamente deficiente y, además, de resultas de todo ello, acaba operando de forma muy poco garantista. Ante esta situación, preventivamente, en una suerte de manifestación de un “principio de precaución” tecnológico (Cotino Hueso), algunos países, como Alemania, han optado por una alternativa que excluya radicalmente la adopción de toda decisión exclusivamente automatizada que afecte a ciudadanos, en lo que ha sido llamado como una “reserva de humanidad” (Ponce Solé) aplicada a estos casos, pero ni siquiera esta opción es realmente satisfactoria. Por un lado, porque sigue dejando la puerta abierta a ese uso instrumental en teoría, pero en el que en la práctica la decisión algorítmica, aunque imputada a un humano, se acaba imponiendo efectivamente -y que cada vez estaría llamada a ser más frecuente-. De otra, porque generalizarla y consolidarla para el futuro supondría renunciar a ganancias de eficiencia allí donde sepamos que en efecto las hay, lo que no parece una solución óptima.
En otros casos, como pasa en España, contamos con normas más bien parcas, como es el art. 41 de la Ley 40/2015 de Régimen Jurídico del Sector Público (LRJSP), pensado para actuaciones automatizadas donde la informática actúe más bien como elemento de agilización y automatización de decisiones totalmente predeterminadas normativamente, razón por la cual establece pocas cautelas más que la designación de un responsable del tratamiento y del funcionamiento del algoritmo en cuestión, pero poco más, y que por ello es manifiestamente insuficiente para supuestos donde el algoritmo haga mucho más, como controlar, tomar decisiones complejas a partir de una lógica cuyos resultados son difíciles de prever ex ante o se encargue de evaluación de circunstancias y datos que van más allá de lo que un ser humano puede afrontar razonablemente de modo eficiente. Esta carencia de normas que encuadren suficientemente el fenómeno nos ha hecho acudir a normas europeas, especialmente a las reglas en materia de protección de datos (el Reglamento General de Protección de Datos, que es el texto de referencia a día de hoy, por vía indirecta y empleando la protección de datos, para tratar de controlar ciertas decisiones algorítmicas, también las públicas), para tratar de contener mínimamente el fenómeno y dotarnos de un mínimo de seguridad. Desgraciadamente, el intento no está llamado a tener demasiado éxito. No sólo porque estas normas, por definición y diseño, estén pensadas más para mediar entre situaciones entre agentes privados y por ello pueda ser manifiestamente insuficientes para un encuadre del tratamiento por parte del poder público, como entre nosotros por ejemplo ha explicado Alba Soriano, sino porque además en su propio desarrollo y literalidad, coherente con este postulado, aunque no excluyen del cumplimiento de estos mínimos al tratamiento por parte de la Administración pública, sí incluyen la posibilidad de que estos queden excepcionados por la regulación legal correspondiente. Lo que suele ser el caso, dejándonos en situaciones como la del precitado art. 41 LRJSP.
Incluso la reciente propuesta de regulación más detallada, en sede europea, sobre el empleo de algoritmos e inteligencia artificial que puedan generar riesgos o discriminaciones, recientemente desvelada, sigue esta misma línea. Aunque se trata de una mera propuesta, y sin duda representa un avance notable, por ejemplo, al reconocer por primera vez de forma exhaustiva y detallada los riesgos propios e implícitos de generación de riesgos de discriminación o sesgos propios de estos tratamientos, aspirando a darle una solución específica desde la programación y el control de la misma, el enfoque sigue siendo común, estableciendo controles semejantes para el mundo público o privado y unas categorías (riesgo inadmisible, alto riesgo, riesgo limitado…) de las que se deducen consecuencias jurídicas (prohibición de uso, mayores limitaciones o exigencia de ciertos controles) que en principio si pueden permitir diferenciar entre tratamientos públicos o privados, pero sin que esta diferenciación aparezca como clave en ningún lugar. Es más, da la sensación en la regulación que al menos para cuestiones de interés general así definidas legalmente, esto es, en favor de los poderes públicos, ciertas ponderaciones pueden actuar en el sentido de que, si finalmente este marco normativo se aprobara, las categorías no funcionaran exactamente igual en unos ámbitos y otros.
Por esta razón, una primera y muy importante decisión regulatoria que parece absolutamente esencial, pero que todavía no se ha asumido plenamente, es que los usos y empleos de la inteligencia por parte de la Administración, por parte de los poderes públicos, han de ser tratados de forma diferenciada y, al menos respecto de la afección que pueden suponer a las personas en sus derechos y esfera de libertad, de modo mucho más exigente. Más o menos en esta línea, en lo que es sin duda un avance, parecía ir la propuesta de Carta de Derechos Digitales avanzada por el Gobierno de España. Al menos, así parecía deducirse de su punto XVI, si bien con un reconocimiento de derechos más bien tímido y, en concreto de algunas referencias en los derechos frente a la inteligencia artificial que en su punto XXII podrían, si desarrollados correctamente, amparar un derecho al conocimiento exacto y completo de la programación empleada por la Administración que tenga efectos sobre los ciudadanos. Ahora bien, ha de señalarse que ni esta conclusión se deduce necesariamente del texto, sino que para llegar a ella se requiere de una interpretación exigente y que quiera ir en esa dirección, ni además esta propuesta pretende siquiera tener valor normativo en sí misma. Queda, pues, muchísimo por avanzar en esta dirección. Si la Carta sirve para iniciar el debate, dado que no parece ser su intención otra, recojamos el guante y planteemos cuáles deberían ser los elementos básicos y estructurantes de cualquier regulación mínimamente garantista y admisible, por ello, para estos usos de algoritmos por parte de la Administración Pública.
En este sentido, ha de reiterarse, y partir de esa base, que los poderes públicos, cuando empleen algoritmos -por ejemplo para sus labores de inspección y control- están también ejerciendo funciones públicas y de autoridad. Y lo hacen con un abanico de facultades en su poder que potencialmente pueden afectar de modo muy intento a la vida y situación de cualquier ciudadano. Así pues, si en estas funciones la predeterminación de cómo se emplearán esos poderes públicos tan intensos queda residenciada en -no parece adecuado decir en estos casos “queda en manos de”- un algoritmo o programa informático, esta inteligencia artificial que sustituirá a la humana debe actuar de acuerdo a una “programación jurídica” lo suficientemente clara, entendible, transparente y accionable. Una programación que atienda a, responda a y garantice, al menos, y con una debida traducción al nuevo lenguaje que es la programación informática con la que funciona la herramienta, todas las cautelas y protecciones públicas que nuestro Derecho ha ido desarrollando para embridar y pautar, para controlar, el ejercicio del poder por parte de esos poderes públicos.
Pues bien, por estas razones, y dados todos estos elementos, a mi juicio resulta obvio que hemos de hacer un esfuerzo para trasladar, “traducir” o rediseñar las garantías propias del ejercicio de la potestad reglamentaria para que, debidamente adaptados, aparezcan también como garantías y exigencias en la aprobación de cualquier sistema algoritmos de control o inspección que tenga una capacidad efectiva de preconfiguración de la decisión que va a llevar al ejercicio del poder público. Porque, como he manifestado en ya en otras ocasiones, a estos efectos, y cuando son así empleados por las Administraciones públicas y producen estas consecuencias sobre los ciudadanos, los algoritmos son reglamentos. Como tales hemos de asumirlos y como tales hemos de tratarlos. Estas garantías tradicionales, si se quiere debidamente adaptadas, han de constituir por ello el marco básico esencial de lo que debe constituir el futuro de las garantías que frente al empleo por parte de la Administración de herramientas digitales de control e inspección hemos de tener los ciudadanos.
No debe perderse de vista, por último, y es una idea importante con la que me gustaría acabar, que esta correcta traslación de garantías no es sólo imprescindible como medida de protección de los ciudadanos, sino en realidad también esencial para la posibilidad efectiva de puesta en marcha de estos sistemas de un modo que se les pueda extraer todo su rendimiento. La reciente y conocida sentencia SyRI, de febrero de 2020 sobre un sistema de control algorítmico muy avanzado para prevenir posibles fraudes en ayudas sociales en los Países Bajos, es un excelente ejemplo de cómo, cuando los sistemas algorítmicos se ponen en funcionamiento tratando de extraer sus ventajas en términos de eficiencia pero sin asumir que la existencia de los riesgos expuestos requiere de un sistema de garantías acorde, están destinados al fracaso. Los tribunales, ante los riesgos evidentes de un sistema de control como este, y por mucho que apareciera dibujado como mera herramienta de apoyo, no los van a validar fácilmente. Como demuestra esta importante decisión judicial, en el futuro, si la Administración quiere usar estos sistemas de forma generalizada y extraerles todo su rendimiento, no va a tener más remedio que regular mucho mejor, más intensamente, más al modo de cómo los reglamentos disciplinaban y disciplinan aún hoy en día el ejercicio del poder, cómo habrá que empezar a desplegarlo ahora y en el futuro a partir de decisiones algorítmicas automatizadas.
Cita recomendada: Andrés Boix Palop, “El empleo de algoritmos para realizar funciones de inspección o control por parte de la Administración y su encuadre jurídico” IberICONnect, 2 de agosto de 2021. Disponible en: https://www.ibericonnect.blog/2021/08/el-empleo-de-algoritmos-para-realizar-funciones-de-inspeccion-o-control-por-parte-de-la-administracion-y-su-encuadre-juridico/
Universitat de València