Utilización de IA en el marco de una Ciudad Inteligente. Especial referencia a la base de legitimación

María Loza Corera
Lead Advisor Govertis-Telefónica Tech. Abogada y Doctora en Derecho.
Profesora de la Universidad Internacional de La Rioja

Introducción

Una Ciudad Inteligente, tomando la definición adoptada por el Plan Nacional de Ciudades Inteligentes Julio 2015 (que sigue la definición propuesta por el Grupo Técnico de Normalización 178 de AENOR (AEN/CTN 178/SC2/GT1 N 003) es “la visión holística de una ciudad que aplica las TIC para la mejora de la calidad de vida y la accesibilidad de sus habitantes y asegura un desarrollo sostenible económico, social y ambiental en mejora permanente. Una ciudad inteligente permite a los ciudadanos interactuar con ella de forma multidisciplinar y se adapta en tiempo real a sus necesidades, de forma eficiente en calidad y costes, ofreciendo datos abiertos, soluciones y servicios orientados a los ciudadanos como personas, para resolver los efectos del crecimiento de las ciudades, en ámbitos públicos y privados, a través de la integración innovadora de infraestructuras con sistemas de gestión inteligente”.

Queda claro por tanto cómo en una ciudad inteligente confluyen las tecnologías más avanzadas, como la Inteligencia Artificial (IA) y las personas, por lo que deberán respetarse los derechos y libertades de las personas, como no puede ser de otra manera, por parte de todos los actores implicados.

Por otro lado, debemos tener en cuenta la importancia de los datos en el marco de una ciudad inteligente, tanto en su vertiente de ser necesarios para el funcionamiento mismo de las soluciones de IA, como para la generación de recursos que reviertan en la propia ciudad, lo cual hace imprescindible una gobernanza inteligente de los mismos. Así, a través del análisis de datos mediante técnicas de big data o IA, podemos obtener información muy valiosa, tanto para el propio funcionamiento y gestión de los servicios públicos, como para sus usuarios. Incluso a través de soluciones de IA pueden personalizarse[1] o adecuarse los servicios públicos al perfil de los ciudadanos.

En la presente ponencia se analizará específicamente la utilización de soluciones de Inteligencia Artificial por parte de la Administración Pública desde la perspectiva de la normativa de protección de datos y concretamente, la problemática alrededor de su base de legitimación.

Aplicación de la normativa de protección datos

Es claro que la normativa de protección de datos es de aplicación cuando la solución utilice o se alimente de datos personales, pero no debemos perder de vista que también aplicará cuando la solución de IA se utilice para tomar y ejecutar una decisión o sirva de ayuda para la toma de decisiones respecto a personas, aunque no haya utilizado datos personales para su desarrollo e implementación.

Es por ello que, es de vital importancia no pensar en la solución de IA como un tratamiento de datos aislado sino como parte de un tratamiento más amplio, tal y como ha afirmado la Agencia Española de Protección de Datos en Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción.

También debemos tener en cuenta la dimensión colectiva de la privacidad, en el sentido de que la inclusión de un ciudadano en un determinado grupo puede conllevarle una serie de consecuencias, sin que se hayan tratado datos personales en dicho proceso. Hay autores (MANTELERO) que hablan incluso de la “privacidad colectiva” en la era del big data y la analítica avanzada.

Requerimientos en torno a la base de legitimación

Cuando una solución de IA utiliza datos personales, en todas o en alguna de sus etapas, debemos cumplir con los requerimientos establecidos en la normativa de protección de datos, y, en concreto, abordaremos la problemática con relación al requerimiento relativo a la base de legitimación.

Tal y como ha afirmado la AEPD en el documento “Tecnologías y Protección de Datos en las AA.PP.” las AA.PP. que recurran a soluciones de IA deben verificar, en primer lugar, la existencia de una base jurídica, que puede ser diferente para cada una de las etapas del ciclo de vida de la solución en la que se produzca el tratamiento de datos personales.

También puntualiza[2] la AEPD que el interés legítimo como base de legitimación, está vedada para las AA.PP. lo cual “no implica que si un tercero ha desarrollado un sistema de IA utilizando dicha base jurídica el tratamiento construido sobre la IA no pueda ser empleado por las AA.PP. Lo que sí ocurrirá es que no se podrá utilizar dicha base jurídica por parte de las AA.PP. para justificar tratamientos ulteriores. La selección de las bases jurídicas está estrechamente relacionada con la finalidad del tratamiento y la finalidad perseguida en cada una de las fases del ciclo de vida del sistema y, en el caso de las AA.PP., con sus competencias atribuidas”.

Teniendo en cuenta que el consentimiento, no resulta una base de legitimación adecuada dado el desequilibrio existente en la relación Administración-ciudadano, tal y como recuerda el Considerando 43 del RGPD, dentro de las seis bases de legitimación que nos ofrece el artículo 6 del RGPD, en el ámbito de la Administración Pública en la mayoría de los casos serán de aplicación las bases establecidas en las letras c) y e) del párrafo primero:

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

En este punto, y en coherencia con lo establecido en el artículo 6.3 del RGPD, el artículo 8 de la LOPDGDD establece para ambas bases de legitimación, la necesaria existencia de una norma con rango de ley que establezca dicha obligación o bien la competencia dentro de la cual se realiza el tratamiento de datos en cuestión.

En cuanto a los requisitos que ha de reunir esta habilitación normativa, en primer lugar, debe ser una norma con rango de ley, es decir, Leyes Orgánicas, Leyes ordinarias, así como las normas con rango de ley emanadas del Poder ejecutivo, Decretos Leyes y Decretos legislativos. Por tanto, los reglamentos o normas con rango inferior a Ley no podrán servir de base de legitimación. Podría ocurrir que la Ley estableciera un objetivo general y se remitiera a legislación que carezca de dicho rango de ley para concretar las obligaciones, pero en todo caso, el GT29 concreta que la naturaleza y el objeto del tratamiento deberán estar bien definidos y sujetos a una base jurídica adecuada.

En este sentido y en relación al cumplimiento de una obligación legal, el Grupo de Trabajo del Artículo 29, (en adelante, GT29) ya nos concretaba en su Dictamen 06/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE que, además de estar prevista la obligación en una ley, “esta debe cumplir todas las condiciones pertinentes para que la obligación sea válida y vinculante, y debe también acatar la legislación de protección de datos, incluido el requisito de necesidad, proporcionalidad y limitación de la finalidad”.

Además, la obligación debe estar suficientemente clara en lo que respecta al tratamiento de los datos personales que se requiere, es decir, no ha de quedar espacio para la discrecionalidad del Responsable del tratamiento sobre si cumplir o no con dicha obligación o sobre cómo cumplirla.

En segundo lugar, “la finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento” (Artículo 6.3 RGPD).

Por lo que respecta al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos (aunque en relación con el art 7 e) de la Directiva 95/46), el GT29 afirma que, dado su amplio ámbito de aplicación, “requiere una interpretación estricta y una clara identificación, caso por caso, del interés público en juego y de la potestad oficial que justifica el tratamiento”. El GT29 recuerda que el derecho de oposición se ha previsto, además de en relación al interés legítimo (art 6.1f), precisamente a esta base de legitimación. En el mismo sentido se ha pronunciado nuestra AEPD en su Informe 175/2018 al establecer que “si un determinado tratamiento no es “necesario” para el cumplimiento de la misión realizada en interés público o en el ejercicio de los poderes públicos conferidos por el ordenamiento, dicho tratamiento no sólo carecería de base jurídica suficiente legitimadora prevista en el apartado e), sino que, además, infringiría el principio de minimización de datos contenido en el artículo 5.1.c) RGPD, aplicable igualmente a los tratamientos de datos llevados a cabo por la Administración pública”.

Por tanto, si la Ley no precisa las finalidades concretas para las que dicho tratamiento se considera lícito, o el tratamiento no es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos, el tratamiento no podrá realizarse por no acomodarse a ninguna base de legitimación. 

Sentado todo lo anterior, en el ámbito de una ciudad inteligente, son múltiples los supuestos en los que los datos personales de los ciudadanos pueden ser utilizados a través de soluciones de IA, pero, tal y como hemos visto, la legitimación para dichos tratamientos debe partir de una correcta habilitación normativa. El artículo 25 de la Ley de Bases de Régimen Local establece las competencias propias de un Municipio en su párrafo segundo, pero dicho artículo no supone una base legitimadora para cualquier tratamiento de datos que se pueda llevar a cabo en el marco del ejercicio de dichas competencias, máxime cuando en el párrafo tercero se establece una reserva de ley para el desarrollo de dichas competencias municipales.

Además, el ejercicio de una competencia por parte de la administración pública no puede amparar cualquier tratamiento realizado por la Administración, aun en el marco del ejercicio de una competencia municipal, ya que, como hemos visto, la finalidad del tratamiento debe quedar determinada en dicha base jurídica y, además, el tratamiento de datos ha de ser necesario para el cumplimiento de la misión realizada en interés público o en el ejercicio de los poderes públicos conferidos por la Ley.

En este sentido, ¿podemos interpretar que los tratamientos de datos realizados a través de IA o big data son necesarios para el desarrollo de la misión de interés público o el ejercicio de los poderes públicos? La respuesta ha de ser negativa. Por un lado, debe tenerse en cuenta que el concepto de necesidad según se establece en la Sentencia del TJUE Heinz Huber v Bundesrepublik Deutschland C‑524/06, “no puede tener un contenido variable en función de los Estados miembros, sino que se trata de un concepto autónomo del Derecho comunitario (…)”. En este caso para valorar la necesidad del tratamiento se tuvo en cuenta que permitía una aplicación más eficaz de dicha normativa. Por otro lado, el GT29 entiende que, dado el amplio ámbito de aplicación de esta base de legitimación, “requiere una interpretación estricta y una clara identificación, caso por caso, del interés público en juego y de la potestad oficial que justifica el tratamiento”.

En este punto destacar que el Comité Europeo de Protección de Datos en sus Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, en relación a la base de legitimación del artículo 6.1 b) (ejecución de un contrato), se plantea si podría servir para aquellos casos en los que se indique la finalidad de “mejorar el servicio o de crear nuevas funcionalidades dentro de un servicio existente”, a lo que concluye que no puede considerarse, en general, necesario desde el punto de vista objetivo para la ejecución del contrato con el usuario.

Por otro lado, el Considerando 41 establece que “Cuando el presente Reglamento hace referencia a una base jurídica o a una medida legislativa, esto no exige necesariamente un acto legislativo adoptado por un parlamento, sin perjuicio de los requisitos de conformidad del ordenamiento constitucional del Estado miembro de que se trate. Sin embargo, dicha base jurídica o medida legislativa debe ser clara y precisa y su aplicación previsible para sus destinatarios, de conformidad con la jurisprudencia del Tribunal de Justicia de la Unión Europea y del Tribunal Europeo de Derechos Humanos”.

Por tanto, el criterio de la previsibilidad, además de la claridad y concreción, debe ser tenido en cuenta en el ámbito de una ciudad inteligente, lo cual plantea retos dada las infinitas posibilidades de tratamiento que pueden realizarse a través de soluciones de IA.

Derecho a no ser objeto de decisiones automatizadas

Debe tenerse adicionalmente en cuenta que, si se producen decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos en el interesado o le afecten significativamente de modo similar, este tendrá derecho a no ser objeto de las mismas (artículo 22 del RGPD). El GT29 en las Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679 afirma que el artículo 22 establece una prohibición general de las decisiones basadas únicamente en el tratamiento automatizado, en lugar de un derecho de oposición que el interesado pueda invocar, lo cual refuerza la protección de las personas frente a las posibles consecuencias que pueda tener este tipo de tratamiento. Debe recordarse en este punto que el RGPD incluye dentro del contenido del derecho de información, la obligación de informar sobre “la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado” (art 13.2 f).

Como excepción a la prohibición establecida en el artículo 22, se incluyen aquellas decisiones automatizadas autorizadas por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, el cual deberá establecer en contrapartida medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado (art 22.2 b) RGPD).

Por tanto, en lo que respecta a la creación de perfiles para personalización de los servicios públicos, será necesario que así lo prevea la Ley, ya que la base de legitimación no podrá ser el consentimiento del interesado pues no sería un consentimiento libre ni, en la mayoría de los casos, podríamos ampararnos en la ejecución de un contrato entre la Administración y el ciudadano. Además, debe tenerse en cuenta que la creación de perfiles no podrá basarse en categorías especiales de datos personales salvo que el interesado haya prestado su consentimiento explícito (artículo 9.2 a) RGPD), el tratamiento sea necesario por razones de un interés público esencial (artículo 9.2 g) RGPD), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado (artículo 22.4 RGPD).

Las medidas de salvaguarda deberán incluir en todo caso el derecho del interesado a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión, aunque la redacción del párrafo tercero del artículo 22 pueda inducir a confusión al respecto. En este punto es donde cobra toda su importancia las medidas que el responsable debe adoptar para evitar cualquier error o desviación y auditar periódicamente sus algoritmos y los conjuntos de datos utilizados para poder evidenciar proactivamente el cumplimiento de la normativa.

Conclusiones

A la hora de abordar un proyecto de Ciudad Inteligente, es necesario que la Administración Pública responsable del mismo realice un análisis previo, en cumplimiento de la privacidad desde el diseño y por defecto, de los tratamientos de datos personales que proyecta realizar, su necesidad y proporcionalidad y si cuenta con las correspondientes bases de legitimación para llevar a cabo los mismos, como presupuestos previos necesarios para su viabilidad jurídica, todo ello en el contexto de una gobernanza de datos inteligente, en la que deberá involucrarse desde el inicio al Delegado de Protección de Datos.

Además de cumplir con el deber de información respecto a los ciudadanos en el que se especifique, entre otras cuestiones, la base de legitimación aplicable en cada caso, será importante poner en el centro al ciudadano y hacerle partícipe de modo transparente y entendible, de todas las funcionalidades para las que se utilizarán sus datos y qué papel juegan dentro de la ciudad inteligente.  

Además de los requerimientos exigidos por la normativa de protección de datos, debe tenerse muy en cuenta la dimensión colectiva de la privacidad y, por tanto, en la Evaluación de Impacto que se realice en el análisis del uso de IA por la Administración Pública en el contexto de una ciudad inteligente, se deberá analizar también el impacto colectivo que este tipo de soluciones pueda tener en el ciudadano aun cuando no se traten sus datos personales específicamente.

Por último, será imprescindible analizar los aspectos tanto técnicos como éticos de los sistemas de IA, así como los requerimientos establecidos para los sistemas de IA de alto riesgo por la propuesta de Reglamento Europeo en materia de IA.

Lead Advisor en Govertis-Telefónica Tech. Profesora de la Universidad Internacional de La Rioja (UNIR). Doctora en Derecho por la Universidad de Valencia (UV). Diploma en Estudios Avanzados (UNED). Abogada colegiada en el Ilustre Colegio de Abogados de Barcelona (ICAB). Delegada de Protección de Datos certificada (Esquema AEPD). Certified Data Privacy Solutions Engineer (CDPSE) por ISACA. Auditora certificada en Entornos Tecnológicos (AULETEC). Twitter: @Mlozac. Linkedin: https://www.linkedin.com/in/maría-loza/