Este año fui invitado, por primera vez, a la reunión de expertos de la Red Iberoamericana de Protección de Datos que se llevó a efecto en la ciudad de Montevideo, el 22 y 23 de noviembre de 2017.
Lo que transcribo es, palabra por palabra, mi intervención sobre la creación de perfiles y las decisiones automatizadas respecto de los mismos. Son 3 páginas, así que ármese de valor o abandone, pero la verdad es que, modestia aparte, fue una de las intervencionas más comentadas del evento.
Si rebuscan en su memoria, tal vez encuentren el mito del gigante Argos Panoptes, quien tenía mil ojos, algunos de los cuales mantenía abiertos aún cuando estaba dormido.
Los trabajos que le encomendaban tenían que ver con ese talento; el último de ellos se lo asignó la diosa Hera: vigilar a la ninfa Io, amante de Zeus transformada en una ternera blanca, de forma que nadie se le acercara y que jamás escapara de su control.
Esos mil ojos y ese rol de Panoptes inspiraron a Jeremy Bentham en el siglo XVIII para proponer la creación del panóptico, una cárcel circular en cuyo centro hay un guardia que vigila a los presidiarios, pero su real poder es que ellos nunca saben en qué momento los están mirando y cuándo no, condicionando de esta forma su comportamiento al pesar sobre ellos la invisible omnisciencia de los vigilantes.
Más tarde Michel Foucault volvió sobre esta idea teorizando sobre si el diseño propuesto por Bentham era en realidad un poder que se ejercía sobre toda la sociedad, plasmando sus postulados en el célebre libro “Vigilar y Castigar”.
Pero ésta no es la única idea que ha evolucionado con el tiempo.
Así, la construcción de perfiles de personas durante mucho tiempo se entendió como el diseño y ordenación de determinadas características y cualidades para luego llegar a determinar qué personas se encuadraban o encasillaban bajo qué perfiles.
Pocos perfiles, muchas personas.
Pero el desarrollo de las tecnologías de la vigilancia también ha cambiado la idea de lo que son los perfiles.
Si somos sinceros debemos admitir que los perfiles hoy en día en realidad son personas naturales, y esas personas han sido categorizada en función de sus características, las cuales son conocidas gracias al tratamiento automatizado de sus datos personales que posibilitan determinar cuestiones específicas como su rendimiento profesional, situación económica, salud, preferencias sexuales, ubicación, intereses y un larguísimo etcétera.
Entonces, hay tantos perfiles como personas.
Tampoco levantemos la ilusión de que en el caso del equipamiento informático compartido, existe la posibilidad de que quienes vigilan no sepan bien de quién se trata la información que reciben cuando, en realidad, incluso tienen la capacidad de identificar personas por la forma y cadencia con que escriben.
Pero volvamos a nuestro gigante Panoptes o más bien a las tecnologías que permitieron, primero, vigilar a las personas en forma directa, y que luego posibilitaron llevar un registro acabado de lo que las personas hacían, lo que amplió su visión: puede ver no sólo lo que las personas hacen actualmente, sino también lo que hicieron el pasado.
Y claro, si sumamos a lo anterior las posibilidades que brinda el procesamiento en línea de los datos personales a través del big data, Panoptes también puede ver el futuro del comportamiento de las personas.
Y no de las personas en general, sino que de cada persona concreta inserta en la Sociedad Red.
Es oportuno recordarles aquí, porque tiene consecuencias, que la Sociedad de la Información ya no existe, pues fue incapaz de cumplir sus promesas: las “tecnologías para la libertad” que propugnaba, que expandiría las libertades públicas, ensancharían los derechos de las personas y derribarían los prejuicios y las limitaciones al conocimiento, soportaron un duro via crucis que las alteró en su esencia.
Y en la disyuntiva de morir, optó por transformarse, emergiendo en su lugar la Sociedad Red, esto es, todo un modelo social diferente a lo previsto que se levanta (y solo es posible) sobre una infraestructura de redes de comunicaciones electrónicas abiertas a las personas las que, a su vez, ejercen su ciudadanía y conforman sus redes humanas a través de plataformas sociales de base informática, interdependientes e interrelacionadas, que modifican la forma en que tradicionalmente nos relacionamos con nuestro entorno.
Ahora lo hacemos a través de flujos de datos personales, que emitimos y recibimos constantemente; por eso, si no eres capaz de recibir y emitir datos a través de las redes de comunicaciones electrónicas, no eres parte de la sociedad: eres un paria social que no tendrá acceso a la información y las oportunidades que el resto sí.
Y en esa intermediación de datos, en el medio de ellos, vigilando el pasado, presente y futuro de cada persona está, con sus mil ojos, nuestro viejo conocido: Argos Panoptes.
No creo equivocarme al afirmar que, dentro de un sistema democrático, nunca nadie reunió tanto poder sobre los demás, pues ya no sólo vigila, sino que toma decisiones, y como los procesos de análisis de datos ocurren sin que las personas tengan conocimiento de ello, tampoco son conscientes de que en su vida diaria se están tomando decisiones que las afectan, derivadas de la observación y del detallado volumen de datos que contiene su perfil.
Y las decisiones que toma Argos Panoptes, según se ha venido demostrando, son cada día más automatizadas, superando las salvaguardias positivizadas en diversos instrumentos internacionales y leyes locales que afirman que es lesivo para la dignidad humana que una máquina tome decisiones o juzgue las personas.
Ejemplos clásicos de lo que ya está ocurriendo son los sistemas de evaluación de créditos, sobre todo en Norteamérica, en que las decisiones de las máquinas son finales y absolutas, aun cuando puedas explicar o justificar razonablemente la circunstancia que las máquinas señalan como fundamento para dejarte fuera del sistema crediticio.
Por supuesto que, como ya dijimos, existen salvaguardias legales tanto para la vigilancia masiva automatizada, que en el fondo es de lo que estamos hablando, como también contra las decisiones automatizadas respecto de las personas, pero sabemos que ambas cosas igualmente ocurren en el día a día; sin embargo nunca he sido partidario del realismo cínico que postula que “dado que no hay nada que hacer, no hagamos nada”.
Lo que sabemos con certeza es que Panoptes está presente no solo en las empresas transnacionales de servicios de Internet, sino también en nuestros propios Estados nacionales, particularmente en las compañías de seguros (ámbito privado) y en las policías (ámbito público).
Ambos entes comparten un objetivo en común: la eliminación de todo riesgo, y eso garantiza su presencia en los lobbies de los parlamentos nacionales ya sea abogando por la seguridad de las transacciones y el progreso de la economía digital, como también pontificando sobre la seguridad del Estado y la protección de la infraestructura crítica.
Pero dejando lo anterior de lado considero en este momento más relevante una relativa despreocupación de la normativa emergente, como es el Reglamento General de Protección de Datos de la Unión Europea, sobre el tema del perfilamiento y el uso del mismo con las tecnologías de big data.
Tal vez mi apreciación sea injusta, pues lo del Reglamento no es realmente una despreocupación. De hecho, tanto en las disposiciones normativas como los Considerandos el Reglamento vuelve una y otra vez sobre los alcances de las tecnologías que permiten anticipar el futuro en base a los perfiles de las personas.
El problema es que, conociendo el poderío de Argos Panoptes, el Reglamento se reduce a establecer límites para el caso concreto, lo que se traduce en que la vigilancia masiva automatizada no es ilícita en la medida que se obtenga el consentimiento de los titulares de datos.
Y las tecnologías de la información tienen muchos mecanismos para obtener dicho consentimiento, partiendo por aquellas pantallas llenas de disposiciones contractuales que no leemos, pero respecto de las cuales no tenemos objeción en presionar el botón “Aceptar”.
El problema de fondo es que nuestro sistema jurídico en realidad no tiene relación con el Derecho Romano, como se nos ha dicho tantas veces, sino que con el sistema jurídico y económico de la revolución francesa, creado para cubrir los requerimientos de la triunfante burguesía y donde el “consentimiento” todo lo puede, aun cuando al persona sea incapaz de comprender los alcances de lo que ha aceptado; la normativa de protección de datos se ve constreñida a ese mismo marco.
Tratando de buscar un ejemplo para explicar esto recordé el llamado Puente de los Suicidas (oficialmente, puente Villena) que se encuentra en la ciudad de Lima, el cual es conocido por ese nombre por obvias razones.
Pues bien: las autoridades de Lima lo cubrieron para que la gente no se precipitara al vacío, pero en materia de protección de datos nos limitamos a exigirles que hayan expresado su consentimiento antes de lanzarse.
Ahora, no veo que a corto o mediano plazo esté en el ideario de nadie cambiar esto, por lo que debemos idear otras medidas para conjurar esta realidad.
También es digno de mención, en lo que se refiere a Reglamento de la Unión Europea y sobre todo por su influencia sobre las demás legislaciones, es que éste autoriza a Argos Panoptes a adoptar decisiones automatizadas sobre las personas en base a la predicción de experiencias, comportamientos y actividades, pero solo en la medida que no les afecten significativamente.
¿Qué significa “afectar significativamente”?. No es del todo claro, pero entiendo que todavía es un espacio abierto a la discusión. Tampoco ignoro que el Reglamento contempla resguardos como los informes de evaluación de impacto, e incluso consulta previa a las autoridades de protección de datos, como también un régimen especial de protección de menores de edad.
Pero hay un aspecto en el cual forzosamente los hombres de Derecho vamos a tener que meternos, como son los algoritmos de los sistemas decisiones automatizadas, esto es el conjunto de secuencias e instrucciones que van asociados a las reglas que se aplican en las decisiones automatizadas pues, muchas veces en ellas, en forma invisible o casi inocente, van instrucciones incompatibles con un ordenamiento jurídico respetuoso de los derechos fundamentales de las personas.
Se los explico con el más cruel de los ejemplos que se ha presentado en los últimos meses en Chile: en el año 2015 una niña de 13 años, llamada Daniela Vargas, tiene problemas con su corazón y requiere de un trasplante; hay corazones disponibles pero a ella se le niegan: se le envía a morir a su hogar y eso acontece.
Dos años después, cuando se le piden las explicaciones a la Red de Salud UC sobre los fundamentos en que basaron la decisión, ellos dicen que aplicaron las reglas de negocio que usan siempre y una de ellas es que si quien va a recibir el órgano se encuentra en una “precaria situación social, familiar y personal” (es pobre), se le descarta como candidata por las bajas expectativas de sobrevida.
Es decir, por aplicación del “algoritmo” la pobreza es un factor que te saca del listado de posibles beneficiarios de la donación de órganos.
Sabemos que Argos Panoptes es el nuevo dios supremo del panteón de la Sociedad Red, pero eso no quita que sea nuestro deber el revisar minuciosamente las reglas automatizadas que pretende aplicar y oponernos terminantemente aquellas que directa o indirectamente lesionen los derechos fundamentales.
En consecuencia, no solo es necesario establecer barreras para equilibrar esta asimetría de poder, sino también empezar a considerar seriamente que el consentimiento, por muy informado que sea, no basta en una era en que la gente, enajenada de su realidad y embobada con las tecnologías, es capaz de cambiar sus derechos y libertades por una vida extra en Candy Crush.