Obtención difusión ética de datos en las Administraciones públicas

Parte-hartze prozesua: 
Manifiesto ético del uso de datos y algoritmos
Arloa: 
Universidad pública / Abogado / DPD
Testua: 

(se adjunta pdf para su mejor lectura)

1. El análisis ético y legal respecto de la obtención de datos no puede limitarse a la fase administrativa o a su efecto respecto a la Administración, sino que debe tenerse en cuenta toda la cadena y recursos involucrados en la obtención de los mismos, y en particular si otros terceros obtienen datos asociados de distinta naturaleza. Se velará muy especialmente porque como resultado de la colaboración de terceros con la obtención de datos por la Administración, éstos no puedan generar perfiles de usuarios, por asociar la información pública a perfiles de los que ya pudieran disponer, por ejemplo.

En efecto, se debe tener mucho cuidado con que en la generación de datos (por ejemplo estadísticas de uso de sus servicios en línea) no se contribuya a generar perfiles de usuario, especialmente por que cuando dichas estadísticas se externalicen, las empresas proveedoras no posean datos que le permitan la identificación del usuario. (p.ej.: el masivo uso de Google Analytics por Administraciones Públicas se hace en el convencimiento de que es cierto lo que aquella empresa dice, que sólo suministra datos anonimizado: y es verdad, la Administración sólo tiene datos anónimos; pero Google conoce en un enorme porcentaje de los casos el usuario que accede, ya que tiene otra mucha información asociada a la cuenta de usuario, dispositivo, navegador o ip desde la que hace la consulta, y la Administración Pública está alimentando esa base de datos pese a no poder ceder los datos de sus usuarios, muy especialmente para la realización de perfiles que luego vayan a ser usados en decisiones automatizadas).

En la práctica actual de muchas Administraciones se produce esa cesión siempre que el administrado desea iniciar un trámite administrativo (uso de analíticas de terceros, tipografías, botonería, formularios[1],...). Ello no es sólo contrario a la ética, es contrario a las obligaciones que el RGPD impone a la Administración Pública. No podemos olvidar que la Administración Pública,m además de estar sometida al Derecho (artículo 9 CE), está llamada a impulsar su aplicación, a remover los obstáculos que impiden su ejercicio (artículo 9.3 CE). El RGPD[2], continuando la línea de la Directiva 95/46/CE “trata de armonizar la protección de los derechos y las libertades fundamentales de las personas físicas en relación con las actividades de tratamiento de datos de carácter personal” (considerando 3); esto es, busca “la protección de los derechos y libertades de las personas físicas” que se puedan poner en peligro con ocasión de cualesquiera tratamientos de datos personales (considerando 9). La protección de datos tiene así (además de su autonomía cmo derecho propio) una importante función tuitiva de otros derechos, y no sólo de la privacidad o intimidad, como ha puesto de relieve el Tribunal de Justicia de la UE en varias ocasiones. Así por ejemplo en su Sentencia de 13-05-2014 (ECLI:EU:C:2014:317), recaída en el asunto C-131/12, caso Google Spain y Google Inc. contra España (AEPD y un particular), señala (apartado 66): “procede recordar que, como se desprende de su artículo 1 y de su considerando 10, la Directiva 95/46 tiene por objeto garantizar un nivel elevado de protección de las libertades y los derechos fundamentales de las personas físicas, sobre todo de su vida privada, en relación con el tratamiento de datos personales (véase, en este sentido, la sentencia IPI, EU:C:2013:715, apartado 28)”; y en el apartado 68: “El Tribunal de Justicia ya ha declarado que las disposiciones de la Directiva 95/46, en la medida en que regulan el tratamiento de datos personales que pueden atentar contra las libertades fundamentales y, en particular, contra el derecho a la intimidad, deben ser interpretadas a la luz de los derechos fundamentales que, según reiterada jurisprudencia, forman parte de los principios generales del Derecho cuyo respeto garantiza el Tribunal de Justicia y que están actualmente recogidos en la Carta (véanse, en particular, las sentencias Connolly/Comisión, C‑274/99 P, ECLI:EU:C:2001:127[3], apartado 37, y Österreichischer Rundfunk y otros, EU:C:2003:294[4], apartado 68)”. Esta línea es la seguida por el TJUE hasta la actualidad, STJUE 14-02-2019 (ECLI:EU:C:2019:122), o de 10-07-2018 (ECLI:EU:C:2018:551).

En términos simples, una Administración no puede ceder datos de particulares a empresas que generan perfiles de usuarios, y que además los utilizan para mercadotécnia y para la toma de decisiones automatizadas, cuando además la autorización para el uso de dichos datos le viene de su posición como autoridad, no consentida por el titular de los datos. De ahí que cuando la Sentencia del Tribunal de Justicia de la Unión Europea, de 29-07-2019[5] señala que incluir botonería de red social (extrapolable entre otros a cualquiera de los elementos antes referidos: analíticas, mapas, tipografía, iframes,…) convierte a quien la incluye en responsable del tratamiento de recogida de datos para esa red social, dando la razón a los que venimos señalando la incorrección de estas prácticas[6] tristemente tan extendidas. La Administración Pública no puede condicionar el derecho de un ciudadano de relacionarse con ella electrónicamente (recogido en el artículo 14 de la Ley 39/2015[7]) a la cesión (ni si quiera aceptada, pero mucho menos si se realiza inadvertidamente) de datos a un tercero para usos distintos de los propios de la Administración. Menos aún si se sabe (porque así lo manifiestan) que realizan perfilado de datos para mercadotecnia y realización de decisiones automatizadas. Desde un punto de vista económico, no puede beneficiar a unas redes sobre otras, y suministrarle la información a unas y no a otras, al menos sin un previo concurso público. Pero, más allá de ello, las Administraciones Públicas están llamadas a respetar y proteger los derechos fundamentales de la persona (principio de legalidad del art. 9 CE) y el libre desarrollo del individuo (artículo 9.3 CE), que en internet supone preservar espacios de libertad no sometidos a la supervisión, a la influencia o manipulación.

2. En la difusión y divulgación de los datos públicos y de los estudios basados en los mismos se evitará usar medios de comunicación que a su vez generen perfiles de sus usuarios, por cuanto eso supone incentivar un consumo poco ético de aquellos, y nunca se usará de forma exclusiva dichos medios, sino de forma conjunta con medios propios o cuanto menos neutrales desde el punto de vista de la generación de perfiles de usuario.

Dicha práctica obliga a los ciudadanos a acudir para consumir los datos que deberían ser de libre acceso a empresas que generan perfiles de usuarios, con lo que se pervierte en el consumo la libre disposición y acceso, que pasa a hacerse a cambio de la cesión de los datos del usuario a un tercero. La difusión de información pública únicamente por redes sociales que generan datos sobre los usuarios es una forma poco ética de divulgar los datos públicos: es necesario cuanto menos establecer canales alternativos con al menos la misma información. Probablemente la mejor solución es que las Administraciones Públicas mantengan sus nodos de redes sociales distribuidas -en el plano legislativo el RGPD está llamado a dar una vuelta de tuerca más, y pasar de la interoperabilidad pasiva: exportación de datos, a la activa: interconexión de sistemas como se obliga a todos los operadores de telecomunicaciones, y portabilidad de perfiles de usuario como si de un número de teléfono se tratara-). Dichas redes distribuidas están cada vez más extendidas, tienen el grado de madurez suficiente, y son fácilmente implantables por cualquier Administración Pública (tanto más por una Administración autonómica, como la Administración Foral de Navarra), nos referimos a redes como Mastodon (ejemplo: https://silba.me) análogo a Twitter en su funcionamiento; Diaspora (https://encanarias.info), de estilo Facebook; PixelFed, tipo Instagram; o PeerTube, alternativa distribuida a Youtube o Vimeo. A efecto de valorar la viabilidad se señala que los enlaces arriba referidos como ejemplos están mantenidos desde hace años por quien suscribe, abogado, desde el compromiso personal con la protección de datos. Es necesario que la Administración Pública siga esos ejemplos.

3.- El uso de IA por la Administración Pública requiere que ésta adquiera de forma permanente la totalidad del código software que la soporta, incluyendo los datos de entrenamiento de la IA y, cuando parte de esto sea hardware, también los conocimientos para reproducir su construcción, salvo en este último caso cuando pueda acreditarse que el hardware no incide en el control ni resultado de los procedimientos de IA.

Las decisiones que afecten a derechos individuales no pueden ser tomadas basándose exclusivamente en procedimientos de IA. En estos casos, adicionalmente, se buscará que la IA no exprese sólo el resultado de su análisis, sino también arroje argumentos que sean comprensibles por humanos sobre dicha ponderación, a los efectos de que el interesado pueda siempre refutar la decisión así asistida por medio de los recursos administrativos que procedan.

4.- La comunidad foral de Navarra se compromete con impulsar el empoderamiento de la ciudadanía respecto de sus datos personales, impulsando servicios distribuidos sobre estándares abiertos, así como la gestión personal y reutilización de los datos por los usuarios en cuanto sea posible, en particular:

- eligiendo servicios en nube que sean o puedan ser auto-alojados, interoperables con otros nodos independientemente del proveedor, mediante estándares abiertos sin extensiones que lo hagan inoperante.
- promoviendo el uso de redes sociales distribuidas, basadas en estándares abiertos, incluidas las acciones referidas en la Disposición Adicional 15ª de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información[8];
- abogando en cuanto le competa por modelos en los que el ciudadano sea dueño de sus datos y pueda moverlos a los dispositivos o proveedores de su elección, autorizando desde su repositorio el acceso a cierto conjunto de sus datos para aplicaciones de terceros (aplicaciones basadas en Solid[9] o modelos similares, en sintonía con lo dispuesto en el apartado 5 del artículo 4 de la Ley 37/2007[10], sobre reutilización de la información del sector público).
- fertando los servicios de red necesarios para garantizar el cumplimiento de estos principios, y en particular los referidos en la Disposición Adicional 16ª de la Ley 56/2007[11].

Todas las Administraciones Públicas han de trabajará para hacer realidad el mandato contenido en la Disposición Adicional 16ª de la Ley 56/2007[11], de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información, como plasmación más general del espíritu de la Disposición Adicional tercera de la Ley 23/2006[12], de 7 de julio (fomento de la difusión de obras digitales): La creación de espacios de utilidad pública y para todos, que contendrán los contenidos digitales o digitalizados de que dispongan las Administraciones Públicas, cuyos derechos de propiedad intelectual le pertenezcan sin restricciones o sean de dominio público, y a los que se podrá acceder de forma telemática sin restricciones tecnológicas, para su uso consistente en el estudio, copia o redistribución, siempre que las obras utilizadas de acuerdo con lo anteriormente señalado citen al autor y se distribuyan en los mismos términos.

La Ley de Medidas de Impulso de la Sociedad de la Información mandataba a todas las Administraciones Públicas a disponer de repositorios en la que debía publicar cuanta información (documentos, software y datos en general) pudiera ser públicamente accesible. La creación de dichos repositorios, en los que la ciudadanía podrá también realizar y publicar sus propias valoraciones sobre los datos allí mismo publicados, es generador de un debate previsiblemente enriquecedor en términos democráticos, al tiempo que ayuda a un mejor y más exacto conocimiento de los términos de propiedad intelectual sobre cada una de dichas obras o fuentes de datos. Su acceso debe ser libre en términos tecnológicos, hoy diríamos interoperable mediante un protocolo abierto, o si se prefiere la Administración debe hacer prevalecer el principio de neutralidad de Internet, en términos del artículo 80 de la LOPDgdd[13] (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales).

Las obligaciones de reutilización (conforme a la Ley 37/2007) requieren previamente de una buena implantación y gestión de estos repositorios.

__NOTAS:__

[1] Ejemplo fuga de datos con formularios en las AA.PP.: https://encanarias.info/posts/63
[2] RGPD: https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32016R067...
[3] STJUE Connolly/Comisión, C‑274/99 P, ECLI:EU:C:2001:127, http://curia.europa.eu/juris/document/document.jsf?text=&docid=46230&pag...
[4] STJUE Österreichischer Rundfunk y otros, EU:C:2003:294, http://curia.europa.eu/juris/document/document.jsf?text=&docid=48330&pag...
[5] Sentencia del Tribunal de Justicia de la Unión Europea, de 29-07-2019, http://curia.europa.eu/juris/document/document.jsf?text=&docid=216555&pa...
[6] Valoración de la Sentencia anteriormente citada, https://encanarias.info/posts/16371
[7] Artículo 14 de la Ley 39/2015, https://www.boe.es/buscar/act.php?id=BOE-A-2015-10565#a14
[8] Disposición Adicional 15ª de la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información, https://www.boe.es/buscar/act.php?id=BOE-A-2007-22440#dadecimoquinta
[9] Solid, propuesta de Tim Berners-Lee, https://solid.mit.edu/
[10] Artículo 4 de la Ley 37/2007(ver apdo. 5), https://www.boe.es/buscar/act.php?id=BOE-A-2007-19814#a4
[11] Disposición Adicional 16ª de la Ley 56/2007, mandato a las AA.PP. para la publicación en abierto, https://www.boe.es/buscar/act.php?id=BOE-A-2007-22440#dadecimoquinta
[12] Ley 23/2006, de reforma de la LPI, véase D.A. tercera, https://www.boe.es/buscar/doc.php?id=BOE-A-2006-12308
[13] Artículo 80 de la LOPDgdd (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales), https://www.boe.es/eli/es/lo/2018/12/05/3/con

Luis Fajardo López
Abogado – Doctor en Derecho
Delegado de Protección de Datos
Twitter: @lfajardo | Mastodon: @lfajardo@silba.me