Parece que los tiempos de agobio por la entrada en vigor de la nueva Directiva de protección de datos personales han pasado a mejor vida y ya poco se habla de este tema, imagino que hasta que las noticias relacionadas con posibles sanciones comiencen a aparecer. Sin embargo, en estos tiempos en los que los proyectos de Machine Learning comienzan a ser una realidad cada vez más palpable, es necesario tener claras cuales son las obligaciones que GDPR introduce, concretamente, en el ámbito de la automatización de decisiones. Y no son pocas.

Dentro del texto de la Ley, existen varias referencias a la toma de decisiones automáticas, utilizando patrones o técnicas de Machine Learning, pero con un lenguaje poco claro que deja la puerta abierta a la interpretación de lo que realmente es necesario informar o no. Fundamentalmente, con la aparición de GDPR no queda claro si existe un “derecho a la explicación” o no para los usuarios. Está claro que hay que informar sobre si están utilizando técnicas de Machine Learning para realizar, por ejemplo, perfilados de usuarios; o tomas de decisiones de forma automática, como por ejemplo, si otorgar un préstamo o no de forma automática con los datos proporcionados; pero los expertos no se ponen de acuerdo sobre si existe el derecho a que un usuario solicite información detallada acerca del por qué, siguiendo con el ejemplo anterior, se le deniega ese préstamo.

Así que nada mejor que analizar un poco el texto de la ley para tener claro qué es lo que debemos de implementar.

Para empezar, entre los artículos 13 y 15 se define el derecho del sujeto a comprender cómo se están utilizando sus datos. Estos artículos definen claramente que, si se van a tomar decisiones de forma automática basándose en los datos proporcionados, el sujeto tiene el derecho a acceder a “información significativa sobre la lógica involucrada, así como la importancia y las consecuencias previstas de dicho procesamiento para el interesado.” Parece claro que al repetirse esta frase en varios apartados y con la misma redacción, el legislador quiere dejar constancia de la importancia de este punto, por lo que estamos obligados a proporcionar al usuario dicha información.

Pero para tener una mejor idea de que quiere decir eso de “información significativa” y de la “importancia de las consecuencias” debemos de acudir a los artículos 21 y 22 que nos dan algo de perspectiva. El resumen de ambos artículos aplicado a la toma de decisiones automática, hace especial hincapié en que el usuario debe de tener información suficiente como para poder “excluirse” de ese proceso automático y a que dicho proceso sea realizado de una forma no automática.

Sin embargo, el “problema” real lo encontramos en los “Recitals” de la ley; es decir, aquellos apartados no vinculantes en los que el legislador quiere aclarar sus puntos de vista y dar mayor detalle sobre los puntos reflejados en los artículos. Y es aquí, en el Recital 71, donde nos encontramos con la siguiente redacción: “debe estar sujeta a las salvaguardias adecuadas, que deben incluir información específica al interesado y el derecho a obtener la intervención humana, para expresar su punto de vista, para obtener una explicación de la decisión alcanzada después de dicha evaluación y para desafiar la decisión.” Si llevamos esto a nuestro punto de vista en un proceso de toma decisión automática que utilice Algoritmos de Machine Learninig, ¿qué significa? Pues, desde mi modesto punto de vista, significa que, en los artículos de la ley, que son los que realmente nos obligan, debemos de explicarle al usuario la lógica del proceso y darle la posibilidad de “salirse” de ese proceso, mientras que el Recital, habría que explicar el por qué el algoritmo ha tomado una determinada decisión para un caso en concreto, lo que supone todo un reto. Recordemos que esto, al menos por el momento, no es obligatorio, puesto que no se exige ese nivel de transparencia en la ley.

Desde este punto de vista, deberíamos de preparar una información de base que ayude a cumplir con la legislación. Esta información debería de contener:

  • Información técnica: algoritmo utilizado, lógica de ese algoritmo de donde provienen los datos y cuantas características se están utilizando
  • Información de despliegue: ¿cuándo, cómo y para qué se utiliza?
  • Educar al sujeto: documentar los puntos anteriores para darle al sujeto la posibilidad de excluirse del proceso automático

Pero la pregunta del millón sería… ¿Dónde queda, en este sentido, el derecho a la protección de la Propiedad Intelectual que podría tener la empresa que ha desarrollado ese proceso? Los tribunales decidirán, pero por el momento, es conveniente que al menos se proporcione la información básica enumerada anteriormente.

Antonio Soto

Corporate CEO at SolidQ
I am professionally focused on Microsoft Data Platform and Security. I am a MCT since 1999, focused on Windows and SQL Server Technologies.

My area of expertise is Security and High Availability. Being a great SQL Server evangelist, I convince many that it is the best choice for their projects. He is the author the “SQL Server 2005 for Oracle DBA” course.

I love to teach and work with students to solve their particular problems and i have worked in various industries, includingTelecommunication and Insurance.
Antonio Soto