Logo de la Universdad de Valencia Logo Cátedra de Gobierno Abierto, Participación y Open Data (PAGODA) Logo del portal

Retos legales del uso de algoritmos en la selección de sujetos a investigar por la Inspección de Trabajo, Adrián Todolí

  • 11 noviembre de 2020
 

Retos legales del uso de algoritmos en la selección de sujetos a investigar por la Inspección de Trabajo

Adrián Todolí Signes
Profesor Contratado Doctor
Derecho del Trabajo y de la Seguridad Social
Universitat de València

 

Planear adecuadamente una estrategia de inspecciones es clave para detectar el fraude a posteriori, así como para proactivamente prevenir que existan incumplimientos de la norma. Un exitoso programa de inspecciones no tiene como consecuencia solamente los efectos directos en cada acción individual (en términos de conseguir el cumplimiento del inspeccionado, por ejemplo, la recaudación obtenida de esa inspección). Por el contrario, existen otros efectos indirectos, en muchos sentidos más relevantes, para el mantenimiento general del nivel de cumplimiento de las normas.

En efecto, la existencia de un sistema eficiente de control que localice y castigue a los que infringen la norma convencerá al resto de obligados que cumplirla redunda en su beneficio. A su vez, incrementará la percepción de poder ser inspeccionado, algo que, de acuerdo con el modelo estándar de cumplimiento de las normas, conducirá a un incremento del cumplimiento voluntario. Por último, un sistema de Inspección que audite y castigue a los que contravienen la norma, pondrá fin a la competencia desleal entre las empresas, eliminando una posible necesidad de incumplir para poder competir en el mercado en igualdad de condiciones.

Entre las formulas tradicionales para seleccionar los sujetos objeto de una inspección se ha introducido recientemente el uso del big data y los algoritmos. Esta tecnología promete mejorar los “aciertos” a la hora de seleccionar qué empresas se van a investigar por posibles ilícitos o fraudes. El uso de algoritmos, la clasificación de los sujetos mediante perfiles de riesgo de incumplimiento y el tratamiento de datos de forma automatizada con objeto de selección de las empresas a inspeccionar puede plantear múltiples problemas jurídicos. De un lado, las normas de protección de datos y, de otro, las normas antidiscriminación y de protección de la intimidad pueden suponer límites jurídicos al uso de estas técnicas.

 

Aplicación del “big data” para seleccionar personas jurídicas o empresas.

 La necesaria segmentación respecto a la selección de personas jurídicas frente a la selección de personas físicas parte de la propia división realizada por la normativa. En efecto, el RGPD se circunscribe a la protección de datos personales, incluyendo solamente los datos de las personas físicas y excluyendo de su ámbito de aplicación los datos de las personas jurídicas (art. 1 y 2 RGPD).

De esta forma, el tratamiento automatizado de datos de las empresas y su procesamiento a través de técnicas de “big data” no viene protegido por esta normativa. Serán los principios generales, la obligación de la Administración de regirse bajo el principio de legalidad, de igualdad de trato y la prohibición de arbitrariedad los que determinarán las posibilidades de uso de las mismas. Ello lleva a que en el uso del big data para la selección de empresas a investigar, a falta de normativa específica en materia de protección de datos, se aplique los controles clásicos y habituales en la Administración.

 

Protección de datos y autónomos

Una primera cuestión que surge es si la normativa en materia de protección de datos personales se aplica a los autónomos y profesionales en el ejercicio de su profesión. A este respecto surgen dudas dado que, a pesar de que son personas físicas, interactúan como empresarios en el mercado. Esta cuestión ha sido tratada por la doctrina judicial llegando a la conclusión de que se entiende que solamente están excluidos del ámbito de aplicación de la normativa de protección de datos aquellos profesionales que ejercen su actividad bajo la forma de persona jurídica

No obstante, esto puede plantear problemas jurídicos respecto a la protección de los datos usados por la Administración y también en la aplicación del principio de igualdad y no discriminación en la selección de objetivos de la Inspección. Habitualmente, las normas para evitar vulneración de Derechos Fundamentales de los ciudadanos exigen trasparencia de la Administración, la llamada “trasparencia algorítmica”. Sin embargo, como se discute en este trabajo dicha trasparencia podría frustrar los objetivos perseguidos en el uso de la herramienta. En este trabajo se analiza, de un lado, el uso del “big data” en la planificación estratégica de campañas de inspección y, de otro, los retos legales que ello representa, con especial reconocimiento de los principios aplicables y la incipiente doctrina judicial en países de nuestro entorno.

 

Decisiones automatizadas y protección de datos:

Aclarado que la normativa en materia de protección de datos será aplicable tanto a profesionales autónomos como a personas físicas –perceptores de prestaciones sociales- se va ahora a analizar el régimen jurídico aplicable.

El RGPD en su art. 6.1 e) establece que el tratamiento de datos de las personas físicas es lícito si “es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”. Así pues, con el amparo de la Ley 23/2015, de 21 de julio, Ordenadora del Sistema de Inspección de Trabajo y Seguridad Social –concretamente su artículo 18.2 y 18.4- la recogida y tratamiento de estos datos será lícita.

Adicionalmente, aunque la recogida de datos y su tratamiento sea lícito conforme se acaba de ver, el art. 22 del RGPD fija una regla específica para la toma de decisiones basadas únicamente en este tratamiento automatizado o en la elaboración de perfiles. Concretamente, este artículo prohíbe que una decisión final, que tenga efectos jurídicos sobre el sujeto, esté basada únicamente en ese tratamiento automatizado o perfil elaborado por el algoritmo sin intervención humana. Esto puede afectar de lleno a las posibilidades de seleccionar automatizadamente (o mediante perfiles de personas físicas o autónomos) los sujetos a inspeccionar.

No obstante, esta prohibición se aplica solamente si no existe intervención humana significativa en la selección final del sujeto objeto de la inspección. En efecto, el artículo 22 RGPD que aquí se analiza únicamente prohíbe la “decisión basada únicamente en el tratamiento automatizado”. Por esta razón, si existe intervención humana significativa en la toma de decisión, no será de aplicación esta imposibilidad.

En este sentido, en los casos en los que la decisión final queda en manos del inspector, cuya decisión será tomada conforme su experiencia usando únicamente el índice de riesgo de incumplimiento como un factor a tener en cuenta, no parece que nos encontremos en el supuesto prohibido del art. 22 RGPD. De la misma forma, si los planes estratégicos y las campañas son decididas por los responsables de la Inspección, tampoco parece que se estuviera ante el presente supuesto.

En cualquier caso, una vez más, el art. 22 RGPD establece excepciones a su aplicación. El Reglamento permite que se elaboren decisiones totalmente automatizadas, siempre que ello venga autorizado por el Derecho nacional (art. 22.1 b RGPD). Así, el art. 16.3 Ley 23/2015, contempla la posibilidad de que la Inspección reciba datos cedidos por la Agencia Tributaria y la Seguridad Social, incluyendo los datos personales objeto de tratamiento automatizado. Esta parece una habilitación suficiente teniendo en cuenta que la cesión de datos siempre es un ejercicio más intenso que el mero tratamiento, así pues, se podría sostener que, quién puede lo más, puede lo menos (si se permite legalmente la cesión de los datos, se permite su tratamiento automatizado). No obstante, en caso de que se desee poder seleccionar a los sujetos objeto de la inspección sin intervención humana alguna, sería recomendable una actualización de la normativa nacional que expresamente aclarare la posibilidad del tratamiento automatizado y la elaboración de perfiles con este objetivo y estableciera garantías suficientes de transparencia y antidiscriminación.

 

Garantías frente a la toma de decisiones automatizada:

La Comisión Europea, en su Libro Blanco sobre Inteligencia Artificial alerta de una serie de peligros existente en el uso de la IA, entre los que se encuentra la opacidad de algunos de estos sistemas de big data, decisiones algorítmicas discriminatorias contra colectivos protegidos o decisiones erróneas por un mal diseño de los algoritmos. Con objeto de evitar estos perjuicios, la Comisión Europea sostiene la necesidad de establecer garantías a favor de los afectados por un sistema de Inteligencia Artificial.

La regulación propuesta parte de que no todos los sistemas tienen la misma incidencia sobre esos derechos fundamentales, por ello, se plantea un sistema de garantías distinto dependiendo del riesgo que tenga la IA de afectar a esos derechos fundamentales. De esta forma, podría haber hasta cinco niveles basados en el riesgo de que una Inteligencia Artificial afecte o vulnere derechos fundamentales. Esto es, dependiendo de sus potenciales efectos requeriría desde la ausencia de garantías en el caso de los sistemas de IA más inocuos, hasta la prohibición absoluta en el caso de los sistemas de Inteligencia Artificial más peligrosos.

En este sentido, el RGPD señala que, incluso cuando una ley nacional autorice el uso de mecanismos informáticos para tomar decisiones automatizadas, será necesario que esta misma normativa fije controles y salvaguardas de los derechos y libertades de los sujetos afectados. No obstante, conforme al criterio mantenido por la Comisión Europea en su calificación de los tipos de algoritmos según sus consecuencias, parece claro que esas garantías deberán ser proporcionales a los efectos, más o menos intensos, que las decisiones automatizada tenga sobre el sujeto.

 

Discrecionalidad administrativa en la elección de sujetos a investigar y garantías frente a la arbitrariedad o discriminación.

La elección del sujeto a investigar, así como la orientación mediante planes de inspección de la misma, se califican jurídicamente de actos discrecionales. De esta forma, el inspector podrá elegir en base a su experiencia –como se hace tradicionalmente- u otros datos, o informaciones, los sujetos objeto de su trabajo. De la misma forma, la confección de planes estratégicos y operativos desde los mandos jerárquicos de la inspección solamente vienen a elevar esa potestad discrecional a instancias superiores. En este sentido, se admite pacíficamente la inclusión en los mismos de criterios de oportunidad y el establecimiento de prioridades y estrategias para aplicar con la máxima eficiencia recursos limitados de la misma.

Hasta aquí no parece que exista límite legal alguno para el uso del “big data” como soporte para la toma de dichas decisiones. No obstante, no está de más recordar que la discrecionalidad no puede significar arbitrariedad y que la misma tiene límites con objeto de evitar abusos y discriminaciones. Así, de la misma forma que en la elección de los sujetos a inspeccionar no sería lícito realizarla con base exclusivamente a la nacionalidad de la empresa o de la persona física, tampoco el “big data” podría llevarnos a dicha conclusión –ni siquiera de forma indirecta- sin que existan razones objetivas distintas al criterio discriminatorio que lo justifique.

Así pues, se debe partir de que, a priori, no existe diferente régimen jurídico aplicable cuando la decisión es tomada fundamentándose en la experiencia del inspector, en los datos existentes, en criterios de oportunidad o en el big data. Esto es, lo importante no reside en la forma o procedimiento elegido para tomar la decisión, sino en comprobar que el resultado de la misma –la decisión- no sea arbitraria o discriminatoria.

El problema radica en las posibilidades de defensa del sujeto investigado. En efecto, en un caso u otro, el sujeto seleccionado desconocerá las razones por las que ha salido elegido, lo que hará materialmente imposible demostrar en juicio un trato sesgado o discriminatorio de la Inspección. Por esta razón, el art. 20.2 de la Ley 23/2015 establece que es necesario garantizar la efectividad de los principios de igualdad de trato y no discriminación en el ejercicio de la actividad inspectora. Esto es, es la Administración la obligada a asegurarse que las decisiones no se toman en contra del principio de igualdad. A su vez, este artículo garantiza la publicación de las instrucciones de organización de servicios, de los criterios operativos generales y de los criterios técnicos vinculantes.

De esta forma, de un lado, la Administración tiene la obligación de asegurar que el “big data” no esté dando como resultado una elección discriminatoria o sin fundamento suficiente, por otro lado, será necesario garantizar cierto grado de transparencia en los criterios utilizados por el “big data” para tomar sus decisiones y establecer los porcentajes de riesgo de incumplimiento de cada empresa o de los distintos sectores.

Esto es, no parece que sea suficiente indicar que se ha elegido una empresa –o un sector si hablamos de un plan estratégico- porque la herramienta informática indica que tiene mayor riesgo de incumplir. Por el contrario, la Administración tendrá la obligación de asegurar que el resultado final del índice de riesgo de incumplimientos no está basado en criterios prohibidos (nacionalidad de la empresa o persona física, sindicación o no, etc…). La analogía con las herramientas de selección tradicionales hasta el momento es sencilla y es que, conforme al principio de igualdad, la Administración también debe asegurarse de que un inspector no actúe motivado por razones arbitrarias y discriminatorias.

De esta forma, igual que, de acuerdo con la normativa actual, los criterios operativos generales deben ser publicados para garantizar la no arbitrariedad, parece necesario publicar (o, al menos, estar disponibles conforme a las leyes de transparencia) qué tipo de datos, en general, se suministraron a la herramienta informática para tomar la decisión. En la mayoría de casos, esto será suficiente para asegurar que el resultado final dado por el “big data” no estará basado en criterios discriminatorios. 

Por el contrario, no parece que deba incluirse en esa publicidad/transparencia ni el código del algoritmo utilizado para tomar las decisiones, ni tampoco debería ser obligatorio que se publicite el resultado final dado por la herramienta. Esto es, ni las empresas ni las personas físicas tendrán derecho a conocer las probabilidades de incumplir que le asigna la herramienta.

La justificación es triple, de un lado, informar a las empresas de que tienen una baja probabilidad de ser investigadas podría incrementar el propio incumplimiento. De otro lado, publicar el código o las ponderaciones realizadas por la herramienta para tomar la decisión permitiría –a las empresas que pudieran pagar un servicio informático de suficiente nivel- revelar la misma información respecto a las posibilidades concretas de ser inspeccionada. Por último, esa información en manos de las empresas les permitiría modificar su comportamiento para alterar los resultados del algoritmo. Esto es, si la empresa sabe qué variable, en qué proporción y de qué forma, inciden en la probabilidad de ser investigadas, esta podría alterar su comportamiento, no para cumplir, sino para modificar esas variables (lo que se ha llamado “Gaming the algorithm”).

Conclusión

A pesar de la necesidad de asegurar la trasparencia y la falta de arbitrariedad o discriminación no parece posible exigir que se revele toda la información respecto a la herramienta informática ni cómo esta toma sus decisiones con objeto de evitar que las empresas o sujetos infractores puedan usar esa información para seguir incumpliendo la norma. Por otro lado, sí parece exigible que la Administración revele qué tipo de datos son usados por el algoritmo para tomar su decisión con objeto de asegurar que no se está usando información protegida (art. 9 RGPD) o discriminatoria (art. 14 CE). Por último, dada la posibilidad de que el “big data” pueda inferir informaciones discriminatorias basadas en datos no discriminatorios (ej. deducir la raza o nacionalidad basándose en el barrio dónde se vive), con objeto de evitar que esto ocurra, parece necesario que el algoritmo, no publicado, supere algún tipo de auditoria Administrativa interna –o de un tercero- que verifique que el algoritmo por su propia cuenta no está “descubriendo” datos prohibidos o sensibles y usándolos en sus resultados.

 

 

Adrián Todolí
Adrián Todolí

Professor Contractat Doctor
Dret del Treball i de la Seguretat Social
Universitat de València
www.adriantodoli.com