Aportaciones de un proceso

Aportaciones ASEDIE al Manifiesto ético del dato del Gobierno de Navarra

La Administración, como responsable final de los datos y los servicios de los ciudadanos, debe extender las consideraciones del uso práctica de la Inteligencia Artificial y establecer los mecanismos que regulen la responsabilidad de su uso. Dar respuesta a esta necesidad y permitir a las empresas españolas y europeas mantener su competitivdad en un contexto de aldea global es un tarea ineludible para el legislador.

PUNTO 4. Una IA para la ciudadanía y el bienestar social y ambiental En el punto sobre el compromiso, sería interesante especificar que las evaluaciones serán sostenidas en el tiempo y contemplarán al menos los hitos principales del despliegue de cada nuevo algoritmo: (1) la evaluación previa a la publicación del algoritmo, constatando su buen desempeño; y (2) la comprobación de ausencia de sesgo mediante tests de laboratorio que manipulen la entrada de datos o el aprendizaje por refuerzo del algoritmo, para descartar errores al menos las casuísticas más problemáticas. Sería aconsejable que estas evaluaciones sean realizadas, no sólo por profesionales técnicos que evalúen la eficiencia del algoritmo, sino también por perfiles con formación más “humanista” (psicólogos, sociólogos…). La evaluación del buen funcionamiento del algoritmo cada cierto tiempo ya una vez publicado (especialmente si el algoritmo cuenta con aprendizaje automático) perseguiría asegurar que, en un entorno real y tras el aprendizaje autónomo del algoritmo (distinto probablemente respecto al que fue programado), éste sigue libre de sesgos. PUNTO 3. Gobernanza de los datos Respecto a la unidad responsable de la gobernanza de datos, sería interesante que permitiera alguna forma de participación externa a Gobierno de Navarra, como la colaboración con entidades de distintos tipos (ongs, empresas) así como ciudadanos. PUNTO 6. Rendir cuentas de los sistemas de IA Además del análisis desde el punto de vista de coste económico, social y medioambiental, sería necesario contemplar también el punto de vista ético. No son aislados los casos en los que el uso de algoritmos no pueden ser declarados objetivamente éticos y es muy cuestionable su aplicación por este motivo, aunque a nivel económico, de comodidad o de impacto medioambiental no aparenten resultar un problema.

Creo que el documento es buen primer paso. Sin embargo, me gustaría realizar algunas sugerencias sobre la necesidad de especificar algunos aspectos del borrador. Adjunto un documento para ello.

Antes de nada, muy agradecido por la iniciativa. Enhorabuena. Ahora, con ánimo exclusivo de ayudar a mejorar la versión actual y conseguir un manifiesto mas "pulido" y útil sugiero: - Modificar la introducción levemente para evitar la frase "dotar de inteligencia a los datos". Los datos nunca son ni serán inteligentes. Simplemente son datos. Creo que lo que habrá que hacer inteligente es la gestión de los mismos. - Me parece que en el punto 1 convendría introducir una referencia a que en cualquier caso cada ciudadano(a) deberá autorizar el uso de sus datos. Los usuarios tienen que ser conscientes de que se están utilizando sus datos - Entre los compromisos del punto 5 vendría bien recoger algo parecido a favorecer y explorar nuevas acciones a favor de la inclusión y la igualdad y contra la violencia y la brecha de género a partir de algoritmos basados en I.A. - Em algún lugar del manifiesto vendría bien incluir la obligación de crear una Comisión de Ética en la IA, con carácter y dunciones análogas a las que tienen las ya existentes en ambitos biosanitarios.

Respecto al borrador del manifiesto ético leído, destaco que lo primero que debe preservarse es el cumplimiento de la protección de datos (Reglamento General de Protección o RGPD y Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales o LOPDGDD). Para ello, deben destinarse medios adecuados y formar pertinentemente al personal. Ello exige contar con personal específicamente dedicado a la materia y lograr que el conjunto del personal tenga unos conocimientos básicos en la materia. No existe LOPD/RGPD a coste cero. La protección de datos es una exigencia a nivel comunitario. Su cumplimiento nos sitúa en el centro de la Europa del siglo XXI. Sin embargo, no puede lograrse un cumplimiento satisfactorio ni por azar ni por disposición espontánea. En estas latitudes el nivel de concienciación en materia de privacidad podría no haber sido hasta ahora equiparable a lo exigido por estándares comunitarios. La entrada en vigor y aplicación del RGPD no habilita automáticamente ese cumplimiento pendiente sino que supone un desafío todavía mayor. A ello hay que sumar el proceso de digitalización que no cesa de evolucionar exponencialmente y con él los riesgos asociados al mismo. En este sentido, no resulta complicado imaginar riesgos de actuaciones que no cumplirían con la ética en el manejo de datos (tampoco con el ordenamiento de la protección de datos): - Contratar servicios de marketing digital para promoción de turismo y no asegurarse de que luego la empresa contratada no use los datos para fines de publicidad propia o los venda a otras empresas - Obtener resultados para una política sanitaria en base a una investigación sobre salud asegurando a pacientes que su participación es confidencial y anónima pero luego conservar sus datos sin ningún tipo de disociación y compartiéndolos con cualquier profesional vinculado a las personas inicialmente autorizadas a tratar datos - Llevar a cabo un estudio científico sobre movilidad urbana o de otro tipo en el marco smartcity sin informar a las personas afectadas de que se van a tratar sus datos de domicilio, matriculación de vehículos o diversos localizadores de carácter digital Más allá de supuestos particulares, cualquier entidad pública debe preguntarse qué medios se destinan a cumplir el RGPD, qué nivel de conocimientos y concienciación tiene el personal, que políticas y prácticas en la materia sigue este personal, cómo se ha elaborado el Registro de Actividades de Tratamiento de Datos y cómo va a actualizarse, entre otras cuestiones. Respecto a lo anterior, expondré un detalle llamativo en relación con la Ley Foral 11/2019, de 11 de marzo, de la Administración de la Comunidad Foral de Navarra y del Sector Público Institucional Foral. Esta ley foral no cita en ningún momento el Reglamento General de Protección de Datos (norma comunitaria de base) y sí cita en cambio una LOPD (la 15/1999) ya derogada cuando se publica la ley (artículo 96). Además de la protección de datos, cabe plantearse otras cuestiones éticas sobre las consecuencias de su tratamiento. Por ejemplo, si se va a hacer un estudio de movilidad urbana debe tenerse en cuenta si la publicación de su resultado provocaría un cambio en las políticas de alquiler en determinados barrios. En todo caso, quiero plantear que cualquier administración destina un sinfín de recursos a tareas no obligatorias legalmente pero justificadas en base a discutibles motivos de conveniencia administrativa. ¿Por qué no destinamos algún recurso (más) para cumplir RGPD y LOPD?

1. Los ciudadanos tienen el derecho a producir datos sobre los asuntos de su interés y a que éstos sean integrados en los procesos de información y considerados en toma de decisiones. Para ello la administración establecerá y actualizará qué estándares deben cumplir los dispositivos, sensores o aplicaciones reconoce como válidos para la generación de datos. Los ciudadanos por su parte podrán determinar en qué situaciones y condiciones podrán ser los datos generados por ellos publicados o utilizados. 2. La administración colaborará con aquellas instituciones surgidas de la ciudadanía para el gobierno colectivo de los datos para el bien común, tales como cooperativas ciudadanas de datos, fideicomisos de datos o fundaciones para el gobierno de los datos.

(se adjunta pdf para su mejor lectura) 1. El análisis ético y legal respecto de la obtención de datos no puede limitarse a la fase administrativa o a su efecto respecto a la Administración, sino que debe tenerse en cuenta toda la cadena y recursos involucrados en la obtención de los mismos, y en particular si otros terceros obtienen datos asociados de distinta naturaleza. Se velará muy especialmente porque como resultado de la colaboración de terceros con la obtención de datos por la Administración, éstos no puedan generar perfiles de usuarios, por asociar la información pública a perfiles de los que ya pudieran disponer, por ejemplo. En efecto, se debe tener mucho cuidado con que en la generación de datos (por ejemplo estadísticas de uso de sus servicios en línea) no se contribuya a generar perfiles de usuario, especialmente por que cuando dichas estadísticas se externalicen, las empresas proveedoras no posean datos que le permitan la identificación del usuario. (p.ej.: el masivo uso de Google Analytics por Administraciones Públicas se hace en el convencimiento de que es cierto lo que aquella empresa dice, que sólo suministra datos anonimizado: y es verdad, la Administración sólo tiene datos anónimos; pero Google conoce en un enorme porcentaje de los casos el usuario que accede, ya que tiene otra mucha información asociada a la cuenta de usuario, dispositivo, navegador o ip desde la que hace la consulta, y la Administración Pública está alimentando esa base de datos pese a no poder ceder los datos de sus usuarios, muy especialmente para la realización de perfiles que luego vayan a ser usados en decisiones automatizadas). En la práctica actual de muchas Administraciones se produce esa cesión siempre que el administrado desea iniciar un trámite administrativo (uso de analíticas de terceros, tipografías, botonería, formularios[1],...). Ello no es sólo contrario a la ética, es contrario a las obligaciones que el RGPD impone a la Administración Pública. No podemos olvidar que la Administración Pública,m además de estar sometida al Derecho (artículo 9 CE), está llamada a impulsar su aplicación, a remover los obstáculos que impiden su ejercicio (artículo 9.3 CE). El RGPD[2], continuando la línea de la Directiva 95/46/CE “trata de armonizar la protección de los derechos y las libertades fundamentales de las personas físicas en relación con las actividades de tratamiento de datos de carácter personal” (considerando 3); esto es, busca “la protección de los derechos y libertades de las personas físicas” que se puedan poner en peligro con ocasión de cualesquiera tratamientos de datos personales (considerando 9). La protección de datos tiene así (además de su autonomía cmo derecho propio) una importante función tuitiva de otros derechos, y no sólo de la privacidad o intimidad, como ha puesto de relieve el Tribunal de Justicia de la UE en varias ocasiones. Así por ejemplo en su Sentencia de 13-05-2014 (ECLI:EU:C:2014:317), recaída en el asunto C-131/12, caso Google Spain y Google Inc. contra España (AEPD y un particular), señala (apartado 66): “procede recordar que, como se desprende de su artículo 1 y de su considerando 10, la Directiva 95/46 tiene por objeto garantizar un nivel elevado de protección de las libertades y los derechos fundamentales de las personas físicas, sobre todo de su vida privada, en relación con el tratamiento de datos personales (véase, en este sentido, la sentencia IPI, EU:C:2013:715, apartado 28)”; y en el apartado 68: “El Tribunal de Justicia ya ha declarado que las disposiciones de la Directiva 95/46, en la medida en que regulan el tratamiento de datos personales que pueden atentar contra las libertades fundamentales y, en particular, contra el derecho a la intimidad, deben ser interpretadas a la luz de los derechos fundamentales que, según reiterada jurisprudencia, forman parte de los principios generales del Derecho cuyo respeto garantiza el Tribunal de Justicia y que están actualmente recogidos en la Carta (véanse, en particular, las sentencias Connolly/Comisión, C‑274/99 P, ECLI:EU:C:2001:127[3], apartado 37, y Österreichischer Rundfunk y otros, EU:C:2003:294[4], apartado 68)”. Esta línea es la seguida por el TJUE hasta la actualidad, STJUE 14-02-2019 (ECLI:EU:C:2019:122), o de 10-07-2018 (ECLI:EU:C:2018:551). En términos simples, una Administración no puede ceder datos de particulares a empresas que generan perfiles de usuarios, y que además los utilizan para mercadotécnia y para la toma de decisiones automatizadas, cuando además la autorización para el uso de dichos datos le viene de su posición como autoridad, no consentida por el titular de los datos. De ahí que cuando la Sentencia del Tribunal de Justicia de la Unión Europea, de 29-07-2019[5] señala que incluir botonería de red social (extrapolable entre otros a cualquiera de los elementos antes referidos: analíticas, mapas, tipografía, iframes,…) convierte a quien la incluye en responsable del tratamiento de recogida de datos para esa red social, dando la razón a los que venimos señalando la incorrección de estas prácticas[6] tristemente tan extendidas. La Administración Pública no puede condicionar el derecho de un ciudadano de relacionarse con ella electrónicamente (recogido en el artículo 14 de la Ley 39/2015[7]) a la cesión (ni si quiera aceptada, pero mucho menos si se realiza inadvertidamente) de datos a un tercero para usos distintos de los propios de la Administración. Menos aún si se sabe (porque así lo manifiestan) que realizan perfilado de datos para mercadotecnia y realización de decisiones automatizadas. Desde un punto de vista económico, no puede beneficiar a unas redes sobre otras, y suministrarle la información a unas y no a otras, al menos sin un previo concurso público. Pero, más allá de ello, las Administraciones Públicas están llamadas a respetar y proteger los derechos fundamentales de la persona (principio de legalidad del art. 9 CE) y el libre desarrollo del individuo (artículo 9.3 CE), que en internet supone preservar espacios de libertad no sometidos a la supervisión, a la influencia o manipulación. 2. En la difusión y divulgación de los datos públicos y de los estudios basados en los mismos se evitará usar medios de comunicación que a su vez generen perfiles de sus usuarios, por cuanto eso supone incentivar un consumo poco ético de aquellos, y nunca se usará de forma exclusiva dichos medios, sino de forma conjunta con medios propios o cuanto menos neutrales desde el punto de vista de la generación de perfiles de usuario. Dicha práctica obliga a los ciudadanos a acudir para consumir los datos que deberían ser de libre acceso a empresas que generan perfiles de usuarios, con lo que se pervierte en el consumo la libre disposición y acceso, que pasa a hacerse a cambio de la cesión de los datos del usuario a un tercero. La difusión de información pública únicamente por redes sociales que generan datos sobre los usuarios es una forma poco ética de divulgar los datos públicos: es necesario cuanto menos establecer canales alternativos con al menos la misma información. Probablemente la mejor solución es que las Administraciones Públicas mantengan sus nodos de redes sociales distribuidas -en el plano legislativo el RGPD está llamado a dar una vuelta de tuerca más, y pasar de la interoperabilidad pasiva: exportación de datos, a la activa: interconexión de sistemas como se obliga a todos los operadores de telecomunicaciones, y portabilidad de perfiles de usuario como si de un número de teléfono se tratara-). Dichas redes distribuidas están cada vez más extendidas, tienen el grado de madurez suficiente, y son fácilmente implantables por cualquier Administración Pública (tanto más por una Administración autonómica, como la Administración Foral de Navarra), nos referimos a redes como Mastodon (ejemplo: https://silba.me) análogo a Twitter en su funcionamiento; Diaspora (https://encanarias.info), de estilo Facebook; PixelFed, tipo Instagram; o PeerTube, alternativa distribuida a Youtube o Vimeo. A efecto de valorar la viabilidad se señala que los enlaces arriba referidos como ejemplos están mantenidos desde hace años por quien suscribe, abogado, desde el compromiso personal con la protección de datos. Es necesario que la Administración Pública siga esos ejemplos. 3.- El uso de IA por la Administración Pública requiere que ésta adquiera de forma permanente la totalidad del código software que la soporta, incluyendo los datos de entrenamiento de la IA y, cuando parte de esto sea hardware, también los conocimientos para reproducir su construcción, salvo en este último caso cuando pueda acreditarse que el hardware no incide en el control ni resultado de los procedimientos de IA. Las decisiones que afecten a derechos individuales no pueden ser tomadas basándose exclusivamente en procedimientos de IA. En estos casos, adicionalmente, se buscará que la IA no exprese sólo el resultado de su análisis, sino también arroje argumentos que sean comprensibles por humanos sobre dicha ponderación, a los efectos de que el interesado pueda siempre refutar la decisión así asistida por medio de los recursos administrativos que procedan. 4.- La comunidad foral de Navarra se compromete con impulsar el empoderamiento de la ciudadanía respecto de sus datos personales, impulsando servicios distribuidos sobre estándares abiertos, así como la gestión personal y reutilización de los datos por los usuarios en cuanto sea posible, en particular: - eligiendo servicios en nube que sean o puedan ser auto-alojados, interoperables con otros nodos independientemente del proveedor, mediante estándares abiertos sin extensiones que lo hagan inoperante. - promoviendo el uso de redes sociales distribuidas, basadas en estándares abiertos, incluidas las acciones referidas en la Disposición Adicional 15ª de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información[8]; - abogando en cuanto le competa por modelos en los que el ciudadano sea dueño de sus datos y pueda moverlos a los dispositivos o proveedores de su elección, autorizando desde su repositorio el acceso a cierto conjunto de sus datos para aplicaciones de terceros (aplicaciones basadas en Solid[9] o modelos similares, en sintonía con lo dispuesto en el apartado 5 del artículo 4 de la Ley 37/2007[10], sobre reutilización de la información del sector público). - fertando los servicios de red necesarios para garantizar el cumplimiento de estos principios, y en particular los referidos en la Disposición Adicional 16ª de la Ley 56/2007[11]. Todas las Administraciones Públicas han de trabajará para hacer realidad el mandato contenido en la Disposición Adicional 16ª de la Ley 56/2007[11], de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información, como plasmación más general del espíritu de la Disposición Adicional tercera de la Ley 23/2006[12], de 7 de julio (fomento de la difusión de obras digitales): La creación de espacios de utilidad pública y para todos, que contendrán los contenidos digitales o digitalizados de que dispongan las Administraciones Públicas, cuyos derechos de propiedad intelectual le pertenezcan sin restricciones o sean de dominio público, y a los que se podrá acceder de forma telemática sin restricciones tecnológicas, para su uso consistente en el estudio, copia o redistribución, siempre que las obras utilizadas de acuerdo con lo anteriormente señalado citen al autor y se distribuyan en los mismos términos. La Ley de Medidas de Impulso de la Sociedad de la Información mandataba a todas las Administraciones Públicas a disponer de repositorios en la que debía publicar cuanta información (documentos, software y datos en general) pudiera ser públicamente accesible. La creación de dichos repositorios, en los que la ciudadanía podrá también realizar y publicar sus propias valoraciones sobre los datos allí mismo publicados, es generador de un debate previsiblemente enriquecedor en términos democráticos, al tiempo que ayuda a un mejor y más exacto conocimiento de los términos de propiedad intelectual sobre cada una de dichas obras o fuentes de datos. Su acceso debe ser libre en términos tecnológicos, hoy diríamos interoperable mediante un protocolo abierto, o si se prefiere la Administración debe hacer prevalecer el principio de neutralidad de Internet, en términos del artículo 80 de la LOPDgdd[13] (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales). Las obligaciones de reutilización (conforme a la Ley 37/2007) requieren previamente de una buena implantación y gestión de estos repositorios. __NOTAS:__ [1] Ejemplo fuga de datos con formularios en las AA.PP.: https://encanarias.info/posts/63 [2] RGPD: https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32016R0679&from=ES#d1e40-1-1 [3] STJUE Connolly/Comisión, C‑274/99 P, ECLI:EU:C:2001:127, http://curia.europa.eu/juris/document/document.jsf?text=&docid=46230&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=3428806 [4] STJUE Österreichischer Rundfunk y otros, EU:C:2003:294, http://curia.europa.eu/juris/document/document.jsf?text=&docid=48330&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=3440325 [5] Sentencia del Tribunal de Justicia de la Unión Europea, de 29-07-2019, http://curia.europa.eu/juris/document/document.jsf?text=&docid=216555&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=30442 [6] Valoración de la Sentencia anteriormente citada, https://encanarias.info/posts/16371 [7] Artículo 14 de la Ley 39/2015, https://www.boe.es/buscar/act.php?id=BOE-A-2015-10565#a14 [8] Disposición Adicional 15ª de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información, https://www.boe.es/buscar/act.php?id=BOE-A-2007-22440#dadecimoquinta [9] Solid, propuesta de Tim Berners-Lee, https://solid.mit.edu/ [10] Artículo 4 de la Ley 37/2007(ver apdo. 5), https://www.boe.es/buscar/act.php?id=BOE-A-2007-19814#a4 [11] Disposición Adicional 16ª de la Ley 56/2007, mandato a las AA.PP. para la publicación en abierto, https://www.boe.es/buscar/act.php?id=BOE-A-2007-22440#dadecimoquinta [12] Ley 23/2006, de reforma de la LPI, véase D.A. tercera, https://www.boe.es/buscar/doc.php?id=BOE-A-2006-12308 [13] Artículo 80 de la LOPDgdd (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales), https://www.boe.es/eli/es/lo/2018/12/05/3/con Luis Fajardo López Abogado – Doctor en Derecho Delegado de Protección de Datos Twitter: @lfajardo | Mastodon: @lfajardo@silba.me

(se adjunta pdf para su mejor lectura) 1. El análisis ético y legal respecto de la obtención de datos no puede limitarse a la fase administrativa o a su efecto respecto a la Administración, sino que debe tenerse en cuenta toda la cadena y recursos involucrados en la obtención de los mismos, y en particular si otros terceros obtienen datos asociados de distinta naturaleza. Se velará muy especialmente porque como resultado de la colaboración de terceros con la obtención de datos por la Administración, éstos no puedan generar perfiles de usuarios, por asociar la información pública a perfiles de los que ya pudieran disponer, por ejemplo. En efecto, se debe tener mucho cuidado con que en la generación de datos (por ejemplo estadísticas de uso de sus servicios en línea) no se contribuya a generar perfiles de usuario, especialmente por que cuando dichas estadísticas se externalicen, las empresas proveedoras no posean datos que le permitan la identificación del usuario. (p.ej.: el masivo uso de Google Analytics por Administraciones Públicas se hace en el convencimiento de que es cierto lo que aquella empresa dice, que sólo suministra datos anonimizado: y es verdad, la Administración sólo tiene datos anónimos; pero Google conoce en un enorme porcentaje de los casos el usuario que accede, ya que tiene otra mucha información asociada a la cuenta de usuario, dispositivo, navegador o ip desde la que hace la consulta, y la Administración Pública está alimentando esa base de datos pese a no poder ceder los datos de sus usuarios, muy especialmente para la realización de perfiles que luego vayan a ser usados en decisiones automatizadas). En la práctica actual de muchas Administraciones se produce esa cesión siempre que el administrado desea iniciar un trámite administrativo (uso de analíticas de terceros, tipografías, botonería, formularios[1],...). Ello no es sólo contrario a la ética, es contrario a las obligaciones que el RGPD impone a la Administración Pública. No podemos olvidar que la Administración Pública,m además de estar sometida al Derecho (artículo 9 CE), está llamada a impulsar su aplicación, a remover los obstáculos que impiden su ejercicio (artículo 9.3 CE). El RGPD[2], continuando la línea de la Directiva 95/46/CE “trata de armonizar la protección de los derechos y las libertades fundamentales de las personas físicas en relación con las actividades de tratamiento de datos de carácter personal” (considerando 3); esto es, busca “la protección de los derechos y libertades de las personas físicas” que se puedan poner en peligro con ocasión de cualesquiera tratamientos de datos personales (considerando 9). La protección de datos tiene así (además de su autonomía cmo derecho propio) una importante función tuitiva de otros derechos, y no sólo de la privacidad o intimidad, como ha puesto de relieve el Tribunal de Justicia de la UE en varias ocasiones. Así por ejemplo en su Sentencia de 13-05-2014 (ECLI:EU:C:2014:317), recaída en el asunto C-131/12, caso Google Spain y Google Inc. contra España (AEPD y un particular), señala (apartado 66): “procede recordar que, como se desprende de su artículo 1 y de su considerando 10, la Directiva 95/46 tiene por objeto garantizar un nivel elevado de protección de las libertades y los derechos fundamentales de las personas físicas, sobre todo de su vida privada, en relación con el tratamiento de datos personales (véase, en este sentido, la sentencia IPI, EU:C:2013:715, apartado 28)”; y en el apartado 68: “El Tribunal de Justicia ya ha declarado que las disposiciones de la Directiva 95/46, en la medida en que regulan el tratamiento de datos personales que pueden atentar contra las libertades fundamentales y, en particular, contra el derecho a la intimidad, deben ser interpretadas a la luz de los derechos fundamentales que, según reiterada jurisprudencia, forman parte de los principios generales del Derecho cuyo respeto garantiza el Tribunal de Justicia y que están actualmente recogidos en la Carta (véanse, en particular, las sentencias Connolly/Comisión, C‑274/99 P, ECLI:EU:C:2001:127[3], apartado 37, y Österreichischer Rundfunk y otros, EU:C:2003:294[4], apartado 68)”. Esta línea es la seguida por el TJUE hasta la actualidad, STJUE 14-02-2019 (ECLI:EU:C:2019:122), o de 10-07-2018 (ECLI:EU:C:2018:551). En términos simples, una Administración no puede ceder datos de particulares a empresas que generan perfiles de usuarios, y que además los utilizan para mercadotécnia y para la toma de decisiones automatizadas, cuando además la autorización para el uso de dichos datos le viene de su posición como autoridad, no consentida por el titular de los datos. De ahí que cuando la Sentencia del Tribunal de Justicia de la Unión Europea, de 29-07-2019[5] señala que incluir botonería de red social (extrapolable entre otros a cualquiera de los elementos antes referidos: analíticas, mapas, tipografía, iframes,…) convierte a quien la incluye en responsable del tratamiento de recogida de datos para esa red social, dando la razón a los que venimos señalando la incorrección de estas prácticas[6] tristemente tan extendidas. La Administración Pública no puede condicionar el derecho de un ciudadano de relacionarse con ella electrónicamente (recogido en el artículo 14 de la Ley 39/2015[7]) a la cesión (ni si quiera aceptada, pero mucho menos si se realiza inadvertidamente) de datos a un tercero para usos distintos de los propios de la Administración. Menos aún si se sabe (porque así lo manifiestan) que realizan perfilado de datos para mercadotecnia y realización de decisiones automatizadas. Desde un punto de vista económico, no puede beneficiar a unas redes sobre otras, y suministrarle la información a unas y no a otras, al menos sin un previo concurso público. Pero, más allá de ello, las Administraciones Públicas están llamadas a respetar y proteger los derechos fundamentales de la persona (principio de legalidad del art. 9 CE) y el libre desarrollo del individuo (artículo 9.3 CE), que en internet supone preservar espacios de libertad no sometidos a la supervisión, a la influencia o manipulación. 2. En la difusión y divulgación de los datos públicos y de los estudios basados en los mismos se evitará usar medios de comunicación que a su vez generen perfiles de sus usuarios, por cuanto eso supone incentivar un consumo poco ético de aquellos, y nunca se usará de forma exclusiva dichos medios, sino de forma conjunta con medios propios o cuanto menos neutrales desde el punto de vista de la generación de perfiles de usuario. Dicha práctica obliga a los ciudadanos a acudir para consumir los datos que deberían ser de libre acceso a empresas que generan perfiles de usuarios, con lo que se pervierte en el consumo la libre disposición y acceso, que pasa a hacerse a cambio de la cesión de los datos del usuario a un tercero. La difusión de información pública únicamente por redes sociales que generan datos sobre los usuarios es una forma poco ética de divulgar los datos públicos: es necesario cuanto menos establecer canales alternativos con al menos la misma información. Probablemente la mejor solución es que las Administraciones Públicas mantengan sus nodos de redes sociales distribuidas -en el plano legislativo el RGPD está llamado a dar una vuelta de tuerca más, y pasar de la interoperabilidad pasiva: exportación de datos, a la activa: interconexión de sistemas como se obliga a todos los operadores de telecomunicaciones, y portabilidad de perfiles de usuario como si de un número de teléfono se tratara-). Dichas redes distribuidas están cada vez más extendidas, tienen el grado de madurez suficiente, y son fácilmente implantables por cualquier Administración Pública (tanto más por una Administración autonómica, como la Administración Foral de Navarra), nos referimos a redes como Mastodon (ejemplo: https://silba.me) análogo a Twitter en su funcionamiento; Diaspora (https://encanarias.info), de estilo Facebook; PixelFed, tipo Instagram; o PeerTube, alternativa distribuida a Youtube o Vimeo. A efecto de valorar la viabilidad se señala que los enlaces arriba referidos como ejemplos están mantenidos desde hace años por quien suscribe, abogado, desde el compromiso personal con la protección de datos. Es necesario que la Administración Pública siga esos ejemplos. 3.- El uso de IA por la Administración Pública requiere que ésta adquiera de forma permanente la totalidad del código software que la soporta, incluyendo los datos de entrenamiento de la IA y, cuando parte de esto sea hardware, también los conocimientos para reproducir su construcción, salvo en este último caso cuando pueda acreditarse que el hardware no incide en el control ni resultado de los procedimientos de IA. Las decisiones que afecten a derechos individuales no pueden ser tomadas basándose exclusivamente en procedimientos de IA. En estos casos, adicionalmente, se buscará que la IA no exprese sólo el resultado de su análisis, sino también arroje argumentos que sean comprensibles por humanos sobre dicha ponderación, a los efectos de que el interesado pueda siempre refutar la decisión así asistida por medio de los recursos administrativos que procedan. 4.- La comunidad foral de Navarra se compromete con impulsar el empoderamiento de la ciudadanía respecto de sus datos personales, impulsando servicios distribuidos sobre estándares abiertos, así como la gestión personal y reutilización de los datos por los usuarios en cuanto sea posible, en particular: - eligiendo servicios en nube que sean o puedan ser auto-alojados, interoperables con otros nodos independientemente del proveedor, mediante estándares abiertos sin extensiones que lo hagan inoperante. - promoviendo el uso de redes sociales distribuidas, basadas en estándares abiertos, incluidas las acciones referidas en la Disposición Adicional 15ª de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información[8]; - abogando en cuanto le competa por modelos en los que el ciudadano sea dueño de sus datos y pueda moverlos a los dispositivos o proveedores de su elección, autorizando desde su repositorio el acceso a cierto conjunto de sus datos para aplicaciones de terceros (aplicaciones basadas en Solid[9] o modelos similares, en sintonía con lo dispuesto en el apartado 5 del artículo 4 de la Ley 37/2007[10], sobre reutilización de la información del sector público). - fertando los servicios de red necesarios para garantizar el cumplimiento de estos principios, y en particular los referidos en la Disposición Adicional 16ª de la Ley 56/2007[11]. Todas las Administraciones Públicas han de trabajará para hacer realidad el mandato contenido en la Disposición Adicional 16ª de la Ley 56/2007[11], de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información, como plasmación más general del espíritu de la Disposición Adicional tercera de la Ley 23/2006[12], de 7 de julio (fomento de la difusión de obras digitales): La creación de espacios de utilidad pública y para todos, que contendrán los contenidos digitales o digitalizados de que dispongan las Administraciones Públicas, cuyos derechos de propiedad intelectual le pertenezcan sin restricciones o sean de dominio público, y a los que se podrá acceder de forma telemática sin restricciones tecnológicas, para su uso consistente en el estudio, copia o redistribución, siempre que las obras utilizadas de acuerdo con lo anteriormente señalado citen al autor y se distribuyan en los mismos términos. La Ley de Medidas de Impulso de la Sociedad de la Información mandataba a todas las Administraciones Públicas a disponer de repositorios en la que debía publicar cuanta información (documentos, software y datos en general) pudiera ser públicamente accesible. La creación de dichos repositorios, en los que la ciudadanía podrá también realizar y publicar sus propias valoraciones sobre los datos allí mismo publicados, es generador de un debate previsiblemente enriquecedor en términos democráticos, al tiempo que ayuda a un mejor y más exacto conocimiento de los términos de propiedad intelectual sobre cada una de dichas obras o fuentes de datos. Su acceso debe ser libre en términos tecnológicos, hoy diríamos interoperable mediante un protocolo abierto, o si se prefiere la Administración debe hacer prevalecer el principio de neutralidad de Internet, en términos del artículo 80 de la LOPDgdd[13] (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales). Las obligaciones de reutilización (conforme a la Ley 37/2007) requieren previamente de una buena implantación y gestión de estos repositorios. __NOTAS:__ [1] Ejemplo fuga de datos con formularios en las AA.PP.: https://encanarias.info/posts/63 [2] RGPD: https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32016R0679&from=ES#d1e40-1-1 [3] STJUE Connolly/Comisión, C‑274/99 P, ECLI:EU:C:2001:127, http://curia.europa.eu/juris/document/document.jsf?text=&docid=46230&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=3428806 [4] STJUE Österreichischer Rundfunk y otros, EU:C:2003:294, http://curia.europa.eu/juris/document/document.jsf?text=&docid=48330&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=3440325 [5] Sentencia del Tribunal de Justicia de la Unión Europea, de 29-07-2019, http://curia.europa.eu/juris/document/document.jsf?text=&docid=216555&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=30442 [6] Valoración de la Sentencia anteriormente citada, https://encanarias.info/posts/16371 [7] Artículo 14 de la Ley 39/2015, https://www.boe.es/buscar/act.php?id=BOE-A-2015-10565#a14 [8] Disposición Adicional 15ª de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información, https://www.boe.es/buscar/act.php?id=BOE-A-2007-22440#dadecimoquinta [9] Solid, propuesta de Tim Berners-Lee, https://solid.mit.edu/ [10] Artículo 4 de la Ley 37/2007(ver apdo. 5), https://www.boe.es/buscar/act.php?id=BOE-A-2007-19814#a4 [11] Disposición Adicional 16ª de la Ley 56/2007, mandato a las AA.PP. para la publicación en abierto, https://www.boe.es/buscar/act.php?id=BOE-A-2007-22440#dadecimoquinta [12] Ley 23/2006, de reforma de la LPI, véase D.A. tercera, https://www.boe.es/buscar/doc.php?id=BOE-A-2006-12308 [13] Artículo 80 de la LOPDgdd (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales), https://www.boe.es/eli/es/lo/2018/12/05/3/con Luis Fajardo López Abogado – Doctor en Derecho Delegado de Protección de Datos Twitter: @lfajardo | Mastodon: @lfajardo@silba.me

La Ley Foral 5/2018, de 17 de Mayo, de Transparencia, Acceso a la información pública y buen gobierno, a la que se referencia en el borrador, afecta también a los ayuntamientos. Los ayuntamientos que tenemos previstos proyectos para el análisis de datos , también necesitamos unos principios y un marco ético dentro del cual movernos. Entendemos además, que proyectos de esta trascendencia y que forman parte de un campo nuevo, deben contar con un marco común para todas las entidades y administraciones públicas. Por tanto, solicito que se planteen métodos y sistemas de adhesión a este manifiesto, para que las entidades locales también nos obliguemos a unos principios éticos en la gestión de los datos.

En primer lugar me gustaría felicitarles por este proyecto, que resulta apremiante y que desde mi punto de vista necesitará una revisión continua dada la velocidad a la que nos movemos en este campo. Pienso que el documento necesita comenzar con una definición precisa de qué se entiende por inteligencia artificial. Así como es muy fácil dar una definición precisa, por ejemplo de sostenibilidad, sin embargo el término de Inteligencia Artificial no tiene una definición unívoca. Nace en una reunión celebrada en 1956 en Estados Unidos. Para la preparación de la reunión, J. McCarthy, M. Minsky, N. Rochester y C. E. Shannon redactaron una propuesta en la que aparece por primera vez el término «inteligencia artificial», en el que se define el problema de la inteligencia artificial como aquel de construir una máquina que se comporte de manera que si el mismo comportamiento lo realizara un ser humano, este sería llamado inteligente. Pienso que el documento no se refiere exclusivamente a esto cuando habla de inteligencia artificial. En mi opinión hay procedimientos (algoritmos más o menos sofisticados) que no calificaría de inteligencia artificial y que sin embargo vulneran los derechos humanos. Mi sugerencia es que se revise el documento para no dejar fuera este tipo de actuaciones y quizá definir bien qué se entiende en el documento por IA Una definición más débil que la anterior, pero que yo creo que se ajusta más a lo que entendemos hoy día por IA es "la simulación de procesos de inteligencia humana por parte de máquinas, especialmente sistemas informáticos". Más débil aún es definiría como sistemas capaces de resolver problemas muy bien definidos y acotados, que por otra parte es la que ha revolucionado este mundo. Más fuerte es la que la define como la que permitiría resolver cualquier tarea intelectual resoluble por un ser humano. Espero que sirva de algo esta consideración.