Meta-título: protección de datos en el contexto de la Big Data y el Aprendizaje Automático
Meta-descripción: importancia de la protección de datos en el contexto de la Big Data y el Aprendizaje Automático

Una herramienta que puede ayudar a delinear de nuevo la frontera entre lo público y lo privado es el conocimiento sobre la normativa que protege nuestros datos.
Desde el 25 de mayo de 2018, la Unión Europea implementó el nuevo Reglamento General de Protección de Datos, enfatizando las responsabilidades de quienes manejan datos personales mediante el principio de responsabilidad activa. Dicho principio impulsa un manejo de datos responsable y sostenible, estableciendo que la tarea de evaluar la legalidad y la justicia en el procesamiento complejo de datos es obligación de los encargados y los reguladores, mas no del individuo.
Otro principio fundamental de este reglamento es la transparencia, que otorga a las personas un mayor poder de supervisión y decisión sobre el uso de sus datos personales. González (2017) identifica una tensión entre la transparencia requerida a nivel normativo y los desarrollos tecnológicos emergentes, tales como el Big Data y el Aprendizaje Automático.
Estas tecnologías se alimentan de cantidades masivas de datos, provenientes de orígenes cada vez más numerosos en nuestro día a día, como dispositivos inteligentes, nuestra huella digital o el comercio electrónico. Estos datos adquieren nuevas finalidades, que en muchas ocasiones no son previsibles en el momento su recogida, y son tratados de manera automatizada a través del uso de algoritmos, cuyo funcionamiento es opaco para los interesados. (González, 2017, p. 167)
Un aspecto que cuestiona la aplicación efectiva del principio de transparencia está estrechamente vinculado con la naturaleza de la información proporcionada a los usuarios, que a menudo se caracteriza por su tecnicidad, complejidad y extensión.
Los artículos 13, 14 y 15 que tratan sobre el derecho de las personas a ser informadas y a acceder a sus datos, subrayan la necesidad de notificar a los interesados sobre la existencia de procesos de toma de decisiones automatizadas en el momento en que se recopilan sus datos, así como las implicaciones de ese procesamiento. No obstante, González (2017) señala que, en el ámbito de tecnologías como el Big Data o los algoritmos de Aprendizaje Automático, es difícil anticipar las consecuencias de dicho procesamiento. Del mismo modo, debido a la tecnicidad inherente al funcionamiento de los algoritmos, una explicación detallada podría resultar incomprensible para una persona promedio. Se sugiere, entonces, que se ofrezca información detallada a petición de los interesados, a través de medios como el correo electrónico. Esta información adicional incluiría:
En primer lugar, podríamos hablar de información proporcionada “ex ante”, de forma previa a cualquier tipo de acción, es decir, el lapso de tiempo anterior a la creación de un modelo algorítmico y, por tanto, anterior también a la toma de cualquier decisión automatizada sobre una persona concreta. En segundo lugar, podríamos hablar de información “ex post”, que se refiere a aquella proporcionada tras la modelación del algoritmo, la ingesta de los datos de una persona específica y la toma de una decisión automatizada sobre dicha persona o, en otros términos, la explicación de una decisión particular. (González 2017, p. 170)
El autor plantea un momento intermedio en el que aún no se hayan manifestado consecuencias para el sujeto, aunque el responsable tenga el máximo de información de este. En este punto, el sujeto sería informado con el mayor grado de transparencia y conocimiento, sobre la información disponible, el funcionamiento del sistema algorítmico y las consecuencias previsibles.
Lo anterior se señala en el reglamento como “derecho de acceso” comprendido como la oportunidad de ser informado según la petición del interesado acerca del tratamiento de datos personales en cualquier instante ulterior a la recogida de los datos. De acuerdo con Aparicio (citado en González 2017) se trata de una reserva para la prevención de la acumulación de datos y las desviaciones de finalidad, dado que la principal amenaza radica en la acumulación de información que permite arrojar un retrato de la personalidad del individuo. Este derecho tiene como finalidad que el sujeto conozca la información alusiva a él que está siendo objeto de tratamiento y las circunstancias que lo rodean.
El artículo 22 del Reglamento establece que los individuos tienen el derecho de no ser sometidos a una decisión que se base solamente en el procesamiento automático, incluyendo la creación de perfiles, que tenga efectos legales significativos en ellos o les afecte de manera considerable. Esta norma se exceptúa cuando la decisión automática sea necesaria para la realización de un contrato del que el interesado forma parte, esté autorizada por la ley o se cuente con el consentimiento explícito del individuo. En el primero y tercer escenario, se deben implementar ciertas salvaguardias en la toma de decisiones automatizadas, que deben incluir, al menos: el derecho a la intervención humana, el derecho a que el interesado pueda expresar su opinión, y el derecho a impugnar la decisión. Además, tales decisiones solo podrán basarse en datos particularmente sensibles cuando exista un consentimiento explícito o un interés vital por parte del interesado y de igual manera, deben estar protegidas por garantías adecuadas.
La importancia se intensifica al considerar que cada vez es más común encontrar decisiones tomadas sin la intervención de humanos. Por tal razón, algunos autores y el propio reglamento “defienden que no se tomen por correctas aquellas actuaciones humanas que carecen de fundamento real, es decir, que de facto se destinen cimeramente a aprobar las decisiones automatizadas previamente tomadas por un modelo algorítmico sin realizar una revisión y valoración real del caso” (citado en González 2017, p. 174)
No obstante, tal como afirma González (2017) cumplir con estos requisitos no es una tarea fácil. Por una parte, la creciente complejidad de los sistemas, exacerbada por las técnicas de Aprendizaje Automático, hace que sea cada vez más complicado para una persona entender las razones detrás de las decisiones o sugerencias de un modelo algorítmico. Por otra parte, la proliferación de un mercado de algoritmos donde ciertas empresas se dedican a crear modelos de negocio basados en el desarrollo de algoritmos, los cuales son diseñados y entrenados por terceros ajenos a los que incumbe la obligación de explicar su funcionamiento, complica aún más la situación. Esto resulta en que el encargado de evaluar los resultados del sistema automatizado no tiene conocimiento sobre cómo funciona el algoritmo ni sobre las bases de sus decisiones específicas.
es posible que una persona no sea capaz de realizar una revisión profunda del procedimiento de decisión automatizada si dicho proceso incluye datos o algoritmos de terceras partes o procesos opacos. Es lo que en la doctrina se ha llegado a definir como cajas negras (Moerel y Prins (2016), Kuner et al (2017, 1-2), Pasquale (2015, 6), Diakopoulos (2014, 14), Hildebrandt (2016, 4)) o espejos de un solo sentido (Pasquale, 2015, 9). Ello implica que los modelos sean difíciles de comprender, incluso para sus creadores, de modo que resulta enormemente complicado dar una explicación sobre los motivos que han llevado a un algoritmo a tomar una determinada decisión e intervenir sobre ella. (González, 2017, p. 177)
Hasta ahora, se ha revisado la legislación existente en materia de protección de datos, que es crucial en una sociedad donde la información significa poder. No obstante, la mera existencia de leyes de protección de datos no es sinónimo de una defensa efectiva de la información personal. Tal como se ha discutido previamente, es imperativo que los individuos ejerzan activamente su derecho a demandar tal protección, pero ¿realmente contamos con el conocimiento y los recursos adecuados para contrarrestar la persistente invasión de nuestra privacidad en el ámbito digital?
Por otro lado, nos enfrentamos a un dilema adicional cuando el individuo opta por ignorar el principio de transparencia. ¿Cómo debería abordarse esta apatía? ¿Qué medidas pueden tomar tanto los entes reguladores como la sociedad civil para fomentar una cultura de protección de datos entre aquellos que aún no son consciente de su valor?
Surge la necesidad de educar a las personas en el manejo de la información en el entorno digital. Según De Marcos (2019), se propone una formación integral que abarque todas las edades, desmitificando la creencia errónea de que los más jóvenes poseen un profundo conocimiento en el uso de las tecnologías de la información y la internet, lo que los eximiría de requerir acompañamiento en este ámbito. En cambio, se plantea la importancia de brindar formación adaptada a la edad de cada individuo, utilizando ejemplos prácticos y evitando enfoques basados en prohibiciones y promoción del miedo. No se trata solo de ofrecerles información sobre los riesgos, sino también de las ventajas y los beneficios que pueden generar un uso correcto de las herramientas, más allá de la búsqueda de información, comunicación o juegos online con otros usuarios.
REFERENCIAS BIBLIOGRÁFICAS
de Marcos, L. D. F. (2019). Formación TIC (redes sociales, internet, ciberseguridad, big data, etc.) en casa, en el colegio, en la universidad y en la empresa: características, razón de ser y contenido. Revista Tecnología, Ciencia y Educación, (12), 89-110.
González, E. G. (2017). Big data y datos personales:¿es el consentimiento la mejor manera de proteger nuestros datos?. Diario La Ley, (9050), 1.
Comments