Queridos amigos, hoy es sábado, sabadete, así que toca hilo de #privacidad y #eticadelosdatos. ¿Por qué es tan fácil para las empresas realizar perfiles de usuarios, y tan complicado para los usuarios acceder a esa información, incluso cuando es totalmente discriminatoria?

Vivimos en la era del #BigData Analytics, donde la toma de decisiones automatizada, el aprendizaje automático y las técnicas de creación de perfiles son cada vez más capaces de evaluar las vidas de las personas en función de su propia historia datos y predicciones.

Las técnicas automatizadas de toma de decisiones y creación de perfiles pueden ser perjudiciales para las personas porque la legislación actual no proporciona a los usuarios control sobre sus propios datos, y menos sobre las evaluaciones realizadas por los procesos automatizados.

Hay muchos ejemplos de evaluaciones que se realizan en base a procesos automatizados de toma de decisiones en línea. Por ejemplo, Facebook puede predecir tus opiniones políticas citizenme.com/public/wp/face… Tu raza, religión y orientación sexual edition.cnn.com/2018/04/10/hea…

Incluso Facebook puede predecir cuándo vas a morir independent.co.uk/life-style/gad…

Facebook puede predecir comportamientos futuros individuales, permitiendo a terceros dirigirse a estos individuos con anuncios que pueden cambiar sus decisiones por completo. Facebook lo llama "eficiencia de marketing mejorada" gizmodo.com/facebook-repor…

Otro ejemplo es el de la función 'Alexa Hunches' de Amazon y su capacidad para predecir necesidades futuras basadas en el comportamiento del usuario para hacer sugerencias. techcrunch.com/2018/09/20/ama…

y, además, pronostique el estado de salud de un usuario a través del análisis de la voz y la tos, que luego se envían anuncios de productos para el dolor de garganta. telegraph.co.uk/technology/201…

Las compañías de seguros también están recopilando datos de las redes sociales para predecir cuánto podría costarles la atención médica de los usuarios. npr.org/sections/healt…

En una era de procesos automatizados de toma de decisiones, la pregunta central es si un usuario, o sujeto de los datos, tiene control real sobre sus datos personales y si el Reglamento General de Protección de Datos (RGPD) los protege de los riesgos inherentes.

¿Cuál es el marco legal para la toma de decisiones automatizada y la elaboración de perfiles de acuerdo con el RGPD? Pues ahora llega lo interesante.

El WP29 en sus Directrices sobre la toma de decisiones y la elaboración de perfiles individuales automatizados establece que "Las decisiones automatizadas pueden basarse en cualquier tipo de datos" y hace una diferenciación de tres partes:

1. Datos proporcionados directamente por las personas interesadas (como las respuestas a un cuestionario).
2. Datos observados sobre las personas (como los datos de ubicación recopilados a través de una aplicación), y

3. Datos derivados o inferidos, como un perfil de la persona que ya se ha creado (por ejemplo, un puntaje de crédito).

Un pequeño inciso: Acabamos de leer que los datos inferidos, o las inferencias, que pueden ser predicciones y/o perfiles, se incluyen en la categoría de datos personales. Si esto fuera así en la realidad, nos solucionaría muchos problemas, pero ya verán como todo se va torciendo.

¿Qué dice el Tribunal de Justicia de la Unión Europea (TJCE)? Aquí empieza la fiesta

En un interesantísimo y brillante paper de @SandraWachter5 y @b_mittelstadt (que recomiendo leer encarecidamente) nombraron dos casos legales del TJCE donde se refleja la opinión del tribunal sobre si los datos inferidos son o no datos personales researchgate.net/publication/32…

@SandraWachter5 @b_mittelstadt Concretamente, los Casos C-141/12 y C-372/12 el 17 de julio de 2014 y el caso C-434/16 Nowak, 20 de diciembre de 2017.

@SandraWachter5 @b_mittelstadt Los casos C-141/12 y C-372/1221 el 17 de julio de 2014: una persona de un 3º país solicitó una residencia legal en un país europeo y se le fue denegada. Esta persona solicitó acceso a la evaluación del análisis legal para averiguar por qué se denegó su residencia.

@SandraWachter5 @b_mittelstadt El tribunal dijo: 'el análisis legal contenido en un acta ... aunque contenga datos personales, en sí mismo no constituye tales datos'.
Un análisis legal no es información personal, solo los hechos se consideran información personal: Datos de entrada y no evaluaciones.

@SandraWachter5 @b_mittelstadt Lo que el Tribunal dijo fue que el individuo no era competente para decidir si las evaluaciones eran precisas o no, porque éstas, utilizadas para hacer perfiles, no son datos personales, y no se aplicará ninguno de los derechos reconocidos bajo la ley de protección de datos.

@SandraWachter5 @b_mittelstadt El caso C-434/16 Nowak25, el 20 de diciembre de 2017, involucró a un candidato que se había presentado a un examen y suspendió, y quería acceder a los comentarios y evaluaciones del examinador, utilizando el derecho a la rectificación, reconocido en el RGPD.

@SandraWachter5 @b_mittelstadt Este caso es curioso porque determina que las correcciones de los examinadores, son datos personales del examinador, y del examinado. ¿No les parece un dato interesante?

@SandraWachter5 @b_mittelstadt El examinado puede usar este derecho sólo para asegurarse de que su examen se entregó completo, pero no tiene derecho a evaluar si los comentarios del examinador fueron correctos o no. Nuevamente, solo los datos de entrada se consideran datos personales, pero no las evaluaciones.

@SandraWachter5 @b_mittelstadt Que nos vienen a decir estos dos casos, pues lo siguiente: Incluso si son datos personales, no significa que tengamos acceso completo a ellos, y no es posible rectificar ninguna de las evaluaciones.
Esto es lo que pasa con los perfiles que las grandes empresas hacen de nosotros.

@SandraWachter5 @b_mittelstadt ¿Y qué dice el RGPD sobre los derechos que nos concede y los perfiles e inferencias que las grandes empresas hacen de nosotros? La siguiente explicación demuestra que el RGPD, pese a ser restrictiva, no es suficiente.

@SandraWachter5 @b_mittelstadt Los derechos del sujeto de datos a la transparencia se describen en los artículos 13 a 15 del RGPD. El derecho a ser notificado (Artículos 13-14 GDPR) es un deber de las empresas. O lo que es lo mismo, lo que debe estar descrito bien clarito en las políticas de privacidad.

@SandraWachter5 @b_mittelstadt Y, el Derecho de Acceso (Artículo 15 GDPR) que debe ser solicitado por nosotros. Esto es cuando queremos acceder a los datos que las empresas tienen de nosotros y ejercer nuestros derechos. Pero la pregunta es, ¿a qué datos tenemos derecho a acceder? Amigos, esa es LA cuestión.

@SandraWachter5 @b_mittelstadt Voy a intentar formular las preguntas correctas de manera muy sencilla. ¡Ahí voy!

@SandraWachter5 @b_mittelstadt 1. ¿Los artículos 13-14 del RGPD (es decir, la información de las políticas de privacidad y que intento desgranar muchos sábados) realmente nos notifican e informan sobre la toma de decisiones automatizadas y los perfiles que las empresas tienen sobre nosotros?

@SandraWachter5 @b_mittelstadt 2. Y ahora viene una pregunta MUY IMPORTANTE:
si la respuesta a la pregunta anterior es positiva:
¿es una explicación anterior a la confección del perfil?, ¿o también cubre una explicación una vez hecho el perfil?

@SandraWachter5 @b_mittelstadt Una cosa es decir en las políticas de privacidad,
"Hacemos perfiles y si quieres oponerte pues puedes hacer uso del artículo 22 RGPD (que vale de poco, o nada)" esto es una notificación anterior porque te avisan de que los hacen, pero no dicen nada acerca de para qué los usan.

@SandraWachter5 @b_mittelstadt Y otra cosa es, decir que hacen perfiles de usuarios y grupos de usuarios, que los usan para tomar X decisiones.
Esto es una notificación posterior que da al usuario más control. Pero, ¿han leído alguna política de privacidad que contenga esta información? Yo, aún no.

@SandraWachter5 @b_mittelstadt Ahora, vamos a responder a la pregunta de si los artículos 13-14 RGPD se refieren a una notificación ex-ante o ex-post a la confección de perfiles e inferencias.
¿Pueden imaginarse cuál es la respuesta? Creo que sí.

@SandraWachter5 @b_mittelstadt Ambos artículos son casi idénticos, y en ambos se repite la misma frase que es el quid de la cuestión: Notificación acerca de ‘la existencia de ... lógica involucrada ... así como la importancia y las consecuencias previstas' de la toma de decisiones automatizada.

@SandraWachter5 @b_mittelstadt Los artículos 13.2 (f) y 14.2 (g) exigen explícitamente una explicación PREVIA a la confección de los perfiles y a la toma de decisiones, y se aplican en el momento en que se RECOPILAN LOS DATOS para su procesamiento y se refieren solo a los datos de entrada.

@SandraWachter5 @b_mittelstadt Para poder verlo más claro: Una app recopila datos nuestros (01-02), los clasifica y almacena en una base de datos (03). Los artículos del RGPD, y las sentencias del TJCE, dicen que tenemos acceso hasta el punto 03. Y derecho a ser informados de que existen los puntos 04 y 05.

@SandraWachter5 @b_mittelstadt ¿Y qué ocurre con el derecho al acceso a nuestra información (artículo 15 RGPD)? ¿A qué información tenemos acceso para poder ejercer nuestros derechos?

@SandraWachter5 @b_mittelstadt La redacción del art.15.1 h) RGPD es casi exacta a la de los art.13-14. La frase "consecuencias previstas" sugiere que el controlador de datos debe dar una explicación al interesado sobre las consecuencias de la toma de decisiones automatizada antes del procesamiento de los datos

@SandraWachter5 @b_mittelstadt Y con la falta de una fecha límite explícita para apelar, el derecho de acceso se limita a explicaciones de las funcionalidades de los sistemas. Esta es, nuevamente, una explicación ex ante.

@SandraWachter5 @b_mittelstadt La frase "la existencia de una toma de decisiones automatizada, incluida la elaboración de perfiles" se refiere a que se debe notificar que la toma de decisiones automatizada y la elaboración de perfiles, se utilizó para procesar sus datos. Pero no sobre CÓMO se tomó la decisión.

@SandraWachter5 @b_mittelstadt El punto de vista de @SandraWachter5 que yo comparto al 100% es que la pregunta sobre las inferencias no solo está vinculada al RGPD. Es una una combinación de derechos de protección de datos y las leyes sectoriales específicas, así como los riesgos potenciales involucrados.

@SandraWachter5 @b_mittelstadt Sin embargo, la razonabilidad no tiene nada que ver con el resultado de la inferencia en sí. No se trata de si el resultado es razonable, o no. Se trata de tener una JUSTIFICACIÓN EX-ANTE y saber qué inferencias está haciendo la empresa u organización y SU PROPÓSITO al hacerlo.

@SandraWachter5 @b_mittelstadt Se trata de que las aplicaciones, como ejemplo, nos den una justificación ANTES DE QUE COMIENCE EL PROCESAMIENTO DE DATOS sobre lo que la empresa quiere hacer, y en un formato ACCESIBLE A TODOS, y no esas infumables políticas de privacidad. ¿Conocen a alguna que lo haga?

@SandraWachter5 @b_mittelstadt ¿Cuál es la situación actual?
Las apps recopilan nuestros datos, nos informan sesgadamente en políticas de privacidad largas, incomprensibles y escondidas. Los artículos 13-15 RGPD se aplican SÓLO hasta los datos almacenados en las bases de datos. Seguimos...

@SandraWachter5 @b_mittelstadt Una vez que los datos se organizan y almacenan, pasan a ser analizados y procesados. Es el turno a la decisión-automatizada (algoritmo de #MachineLearning). Pero hay barreras infranqueables que no nos permiten acceder, salvo que sea una decisión ética de la empresa, que son...

@SandraWachter5 @b_mittelstadt La nueva Directiva de Secretos Comerciales y los Derechos de Propiedad Intelectual. Toda empresa que realice inferencias y perfiles puede usar estas dos legislaciones para no permitir el acceso de los usuarios a la información que de ellos tienen en forma de perfiles. Lamentable.

@SandraWachter5 @b_mittelstadt En el hilo de hoy he explicado por qué estamos totalmente desprotegidos. Las inferencias y perfiles NO ESTÁN REGULADOS, y necesitamos LEGISLACIÓN URGENTE.Gente va a la cárcel, no se les asegura, no se les contrata, no se les concede un préstamos porque así lo definen sus perfiles

@SandraWachter5 @b_mittelstadt Y lo peor de todo, no es que no puedan acceder a sus perfiles (elaborados con datos del pasado y no contemplan la evolución de las personas), sino que no saben de la existencia de tales perfiles.

@SandraWachter5 @b_mittelstadt Espero haber aportado más luz a este oscuro y confuso mundo de los perfiles e inferencias. Necesitamos estar informados para llegar a formar una fuerte y grande masa crítica y exigir que se protejan nuestros derechos.
Como siempre, gracias por leerme.