Hola amigos, hoy no es sábado, sabadete, pero toca hilo de #privacidad y #eticadelosdatos. El pasado 5 de febrero el Tribunal de la Haya dictó una Sentencia histórica anulando la elaboración de perfiles, por el sector público, para el fraude de la Seguridad Social en Holanda.
El pasado 5 de febrero, el Tribunal de la Haya pronunció un este fallo histórico basando su análisis en virtud del artículo 8.2 CEDH, y no en el RGPD. Aquí la sentencia: uitspraken.rechtspraak.nl/inziendocument…
¿Qué es SyRI? Es un instrumento legal que el gobierno holandés utiliza para prevenir y combatir el fraude en la Seguridad Social y los impuestos. Para lograrlo, recopila datos personales creando perfiles de riesgo de los ciudadanos a través de algoritmos propietarios (opacos).
Según el legislador, los datos se pueden vincular y analizar de forma anónima en un entorno seguro, de modo que se puedan generar informes de riesgos.
TODOS los ciudadanos de los Países Bajos son, según SyRI, SOSPECHOSOS.
TODOS los ciudadanos de los Países Bajos son, según SyRI, SOSPECHOSOS.
¿Cómo se activa SyRI? Es activado por el Ministerio a petición de los municipios (alcaldes o concejales), las autoridades fiscales nacionales, el Servicio de Inmigración y de los reguladores.
Esas autoridades forman una sociedad. Con el despliegue de SyRI, los archivos en poder de estos organismos se vinculan para poder identificar fraudes en las áreas mencionadas, y aumentar las posibilidades de ser capturados.
Intercambian datos personales de los ciudadanos.
Intercambian datos personales de los ciudadanos.
¿Cuál es la legislación que legitima el uso de SyRI?
La Ley SUWI, modificada por el Decreto SUWI, denominadas como 'la legislación SyRI'.
La Ley SUWI, modificada por el Decreto SUWI, denominadas como 'la legislación SyRI'.
El punto de partida es que los organismos designados que participan en una asociación están OBLIGADOS a proporcionarse mutuamente la información necesaria. Luego son co-responsables del tratamiento de los datos.
Si hay una empresa conjunta en la que las autoridades participantes quieren usar SyRI, hacen una solicitud al Ministro a tal efecto. En este caso, la información necesaria debe ser proporcionada al Ministro, y ésta pasa a ser el responsable del tratamiento de los datos.
¿Qué datos pueden ser tratados por SyRI? Pues aquí ya empieza la parte más polémica:
1. Datos de trabajo. Determinan el trabajo realizado por una persona.
2. Información sobre medidas y sanciones administrativas.
3. Datos fiscales de una persona física o jurídica.
1. Datos de trabajo. Determinan el trabajo realizado por una persona.
2. Información sobre medidas y sanciones administrativas.
3. Datos fiscales de una persona física o jurídica.
4. Datos sobre bienes muebles e inmuebles de persona física o jurídica.
5. Datos por motivos de exclusión de asistencia o beneficios, que son datos que muestran que una persona no es elegible para recibir beneficios.
6. Datos comerciales, las actividades de una persona jurídica.
5. Datos por motivos de exclusión de asistencia o beneficios, que son datos que muestran que una persona no es elegible para recibir beneficios.
6. Datos comerciales, las actividades de una persona jurídica.
7. Datos de alojamiento, lugar de residencia (real) o la UBICACIÓN de una persona física o jurídica.
8. Nombre, dirección, lugar de residencia, dirección postal, fecha de nacimiento, género y características administrativas.
9. Datos de obligación de integración de una persona.
8. Nombre, dirección, lugar de residencia, dirección postal, fecha de nacimiento, género y características administrativas.
9. Datos de obligación de integración de una persona.
10. Datos del historial de cumplimiento de las leyes y reglamentos de una persona física o jurídica.
11. Datos educativos. Apoyo financiero para la financiación de la educación.
12. Datos de derechos de pensión.
13. Datos de obligación de reintegración, y su cumplimiento.
11. Datos educativos. Apoyo financiero para la financiación de la educación.
12. Datos de derechos de pensión.
13. Datos de obligación de reintegración, y su cumplimiento.
14. Datos de endeudamiento de una persona física o jurídica.
15. Datos de apoyo financiero de una persona física o jurídica.
16. Permisos y exenciones.
17. Datos para determinar si una persona está asegurada en virtud de la Ley de seguro de salud.
15. Datos de apoyo financiero de una persona física o jurídica.
16. Permisos y exenciones.
17. Datos para determinar si una persona está asegurada en virtud de la Ley de seguro de salud.
17 categorías de datos que, a su vez, contienen aún más información.
El tratamiento de estos datos consta de dos fases: el tratamiento y el análisis. En el tratamiento, se reúnen los archivos y se seudonimizan. Entre otras cosas, los nombres personales y de la compañía, los números de seguridad social y las direcciones.
Después de esto, el responsable del tratamiento aplica el primer paso en la selección del riesgo a estos datos cifrados: el archivo fuente se verifica automáticamente con el modelo de riesgo con todos los indicadores.
Esto genera posibles resultados. Un resultado potencial indica un mayor riesgo de fraude. Se crea un archivo de clave que indica qué nombre personal o de la empresa, número de seguridad social o dirección pertenece a un seudónimo específico.
Cuando ciertas personas físicas, personas jurídicas o direcciones se clasifican como de mayor riesgo en función del modelo de riesgo, se descifran nuevamente utilizando el archivo de clave.
Luego, son transferidos al Ministro para la segunda fase del análisis de riesgos. Si una persona física o jurídica con un mayor riesgo no es objeto de un informe de riesgos, sus datos se destruirán dentro de las cuatro semanas posteriores a la finalización del análisis.
La información en el registro de informes de riesgos está sujeta a un período de retención de dos años después del registro del informe de riesgos.
¿Quién supervisa todo este proceso? La Autoridad Holandesa de Protección de Datos, velando por el cumplimiento del RGPD, y como un regulador externo de privacidad que supervisa el cumplimiento de la legislación SyRI, entre otras cosas.
Y, ¿dónde está el conflicto? El Tribunal debe evaluar si la legislación SyRI cumple con los requisitos del Artículo 8, párrafo 2 del CEDH (Derecho al respeto a la vida privada) para justificar el intercambio mutuo de datos personales.
El Tribunal estableció que la legislación SyRI no cumple con el requisito establecido en el Artículo 8.2 del CEDH. La intromisión en el ejercicio del Derecho al respeto de la vida privada en una sociedad democrática debe ser necesaria y PROPORCIONAL en relación con el propósito. 
EL Tribunal afirmó que la legislación SyRI no cumple con el 'equilibrio justo' que debe existir entre el interés social al que sirve la legislación y la violación de la vida privada que la legislación SyRI produce.
El Tribunal tiene en cuenta los Principios de Transparencia, de Limitación de la Finalidad, y el de Minimización de Datos del RGPD. Estos dos últimos principios juntos conforman la PROPORCIONALIDAD aplicada en la captación de los datos personales.
Y, es que, si volvemos atrás en este hilo, vemos la cantidad de datos personales que son recopilados y tratados (17 categorías de datos personales). Totalmente desproporcionado respecto a la finalidad misma del tratamiento.
El Tribunal vuelve a insistir en la importancia del Derecho al respeto a la vida privada, y establece que también protege el derecho a la autonomía personal, al desarrollo personal y al autodesarrollo y el derecho a entablar relaciones con los demás y con el mundo exterior.
Finalmente, en el caso del tratamiento de datos personales, el derecho al respeto a la vida privada también afecta el derecho a la igualdad de trato en casos iguales y el derecho a la protección CONTRA LA DISCRIMINACIÓN, los estereotipos y la estigmatización.
Y, precisamente, estos son los derechos que se violan en el uso indiscriminado de perfiles y de decisiones automatizadas, y por los que se está luchando tanto desde la perspectiva ética.
Es por eso que esta sentencia es tan importante, y marca un precedente.
Es por eso que esta sentencia es tan importante, y marca un precedente.
También se discute en la Sentencia qué tipo de tecnología es usada. El hecho de que el algoritmo sea propietario, juega en contra del Estado.
El Tribunal considera que NO PUEDE PROBAR LA PRECISIÓN de la posición del Estado sobre qué es exactamente SyRI porque no se ha hecho público el modelo de riesgo y los indicadores que conforman o pueden consistir en el modelo de riesgo. Y tiene toda la lógica.
El Tribunal no pretende que se haga una divulgación total del algoritmo, pero sí esperaba una información mucho más sólida sobre LOS CRITERIOS OBJETIVOS en los que se desarrolló el modelo y los puntajes y la forma en que se abordaron los riesgos particulares para las personas.
La legislación SyRI dice explícitamente que se puede utilizar para análisis predictivos, Deep Learning y Data Mining. Previendo explícitamente la posibilidad de adaptar un modelo de riesgo sobre la base de una EVALUACIÓN, y desarrollar modelos de riesgo con nuevos indicadores.
Y el Tribunal considera inherente a SyRI, dados los propósitos para los cuales se procesan los datos personales en SyRI, y las definiciones de los conceptos de modelo de riesgo e indicador de riesgo, que SyRI UTILIZA PERFILES DE RIESGO basados en hechos existentes.
Además, la legislación de SyRI no establece ninguna obligación de información de aquellos cuyos datos se tarten en SyRI, ni la obligación de informar a los interesados por separado sobre el hecho de que se ha realizado un informe de riesgos. OPACIDAD ABSOLUTA.
Otro factor que no deja de sorprender es cómo el Tribunal aborda el artículo 22 del RGPD, aplicado a las decisiones basadas únicamente en el tratamiento automatizado. El Tribunal presenta su razonamiento directamente en virtud del artículo 8.2 del CEDH.
Y, ¿qué hay de la Evaluación de Impacto relativa a la protección de datos establecida en el artículo 35 RGPD? El Tribunal considera que debió realizarse en virtud del artículo 35.1 RGPD.
El Estado se defendió diciendo que no era necesario hacer la Evaluación de Impacto relativa a la protección de datos acogiéndose a la excepción del artículo 35.10 RGPD.
La única Evaluación de Impacto de Protección de Datos que se realizó fue una con respecto a la ley SyRI que permite la realización de proyectos específicos de SyRI, y se llevó a cabo antes de la adopción del RGPD.
Pero el Tribunal vuelve a dejar de lado el cumplimiento del RGPD argumentando directamente sobre la base del Artículo 8 CEDH.
Por lo tanto, el Tribunal considera que la legislación SyRI, en lo que concierne al despliegue de SyRI, es contraria al artículo 8.2 CEDH.
Por lo tanto, el Tribunal considera que la legislación SyRI, en lo que concierne al despliegue de SyRI, es contraria al artículo 8.2 CEDH.
Por lo tanto, esto es un gran avance para luchar contra la discriminación algorítmica.
Vemos también que el Tribunal pone como límite a la confección de perfiles que contengan salvaguardas significativamente más sólidas, y en línea con los principios del CEDH del Artículo 8.
Vemos también que el Tribunal pone como límite a la confección de perfiles que contengan salvaguardas significativamente más sólidas, y en línea con los principios del CEDH del Artículo 8.
El hecho de que el Tribunal no se haya apoyado en el RGPD, sino en el Convenio Europeo de Derechos Humanos, es a tener muy en cuenta. ¿Puede ser un tirón de orejas al RGPD por dejar desprotegidos a los ciudadanos ante la confección de perfiles? Puede que indirectamente, sí.
La buena noticia es que hay un precedente que puede marcar un antes y un después, y ese precedente está apoyado en el artículo 8.2 CEDH, Derecho al respeto a la vida privada.
Como siempre, gracias por leerme.
