Cargando. Por favor, espere

La primera sentencia del Tribunal de Justicia de la Unión Europea sobre decisiones automatizadas y sus implicaciones para la protección de datos y el Reglamento de inteligencia artificial

La primera sentencia del Tribunal de Justicia de la Unión Europea sobre decisiones automatizadas y sus implicaciones para la protección de datos y el Reglamento de inteligencia artificial

Lorenzo Cotino Hueso (1)

Catedrático de Derecho Constitucional de la Universitat de València. Valgrai

Diario LA LEY, Nº 80, Sección Ciberderecho, 17 de Enero de 2024, LA LEY

LA LEY 1301/2024

Normativa comentada
Ir a Norma Carta de Derechos Digitales
Ir a Norma Regl. 2016/679 UE, de 27 Abr. (protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE -Reglamento general de protección de datos-)
Ir a Norma L 40/2015, de 1 Oct. (Régimen Jurídico del Sector Público)
Ir a Norma R Asuntos Económicos 29 Abr. 2021 (publica el Acuerdo del Consejo de Ministros de 27 de abril de 2021, por el que aprueba el Plan de Recuperación, Transformación y Resiliencia)
Comentarios
Resumen

El TJUE, en su sentencia del 7 de diciembre de 2023, examina por primera vez el artículo 22 del RGPD sobre decisiones automatizadas. Aunque no aprovecha plenamente la ocasión, se establece un criterio garantista y expansivo que puede ser relevante especialmente respecto de las decisiones parcialmente automatizadas. Se sostiene que incluso puede tener futuras implicaciones para la consideración de sistemas de alto riesgo en el Reglamento de IA de la UE.

Palabras clave

Decisiones automatizadas, protección de datos, algoritmos, RGPD, inteligencia artificial, Unión Europea

Portada

La sentencia del Tribunal de Justicia de la Unión Europea (TJUE) del 7 de diciembre de 2023 (2) es la primera en abordar centralmente el artículo 22 del Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) relativo a las decisiones automatizadas. Se trata de un precepto que cuenta ya con cierto recorrido (3) , pero sin jurisprudencia del TJUE. Tampoco en España contamos con ninguna sentencia relevante de este precepto (4) , aunque alguna relevante del ámbito comparado (5) . Además, y como se analiza al final de este estudio, el artículo 22 RGPD (LA LEY 6637/2016) tiene un especial potencial de cara al futuro, en razón de los sistemas algorítmicos y de IA (6) . La sentencia (7) ha estado precedida por unas importantes Conclusiones (concurrentes) del Abogado General Priit Pikamäe, presentadas el 16 de marzo de 2023 (8) .

I. El caso y la cuestión que eleva el tribunal alemán

El caso (descrito en los § 9 a 19) involucra a SCHUFA, una empresa que proporciona información de solvencia (scoring) de consumidores basada en procedimientos matemáticos y estadísticos. Se hace una clasificación de una persona según su cierto comportamiento, lo que permite prever un comportamiento similar. El demandante es una persona física cuya solicitud de préstamo fue negada sobre la base de la información proporcionada por SCHUFA. El demandante ejerció su derecho de acceso de protección de datos frente a SCHUFA. Sin embargo, esta entidad le facilitó sólo información genérica, pero se negó a divulgar los distintos datos que tenía del afectado, así como la ponderación de los mismos que había realizado en forma de valores de probabilidad. Alegó para no facilitar más información que no era SCHUFA quien había denegado el crédito, sino sus socios contractuales, a quienes esta entidad había facilitado la información.

El tribunal alemán (§ 20-26) cuestiona al TJUE si la actividad de SCHUFA queda en el ámbito del artículo 22 del RGPD (LA LEY 6637/2016), particularmente por cuanto no es esta entidad la que adopta la «decisión automatizada», sino que sólo genera el valor de probabilidad, que no constituiría una decisión. En consecuencia, no estaría obligado a dar acceso al afectado por la decisión, respecto de la que es un tercero. La legislación alemana sólo regula el «uso» del valor de probabilidad, pero no su generación.

II. La doctrina que establece el TJUE sobre el alcance del artículo 22 RGPD y el margen de actuación nacional

En general el TJUE recuerda que «la finalidad que persigue el artículo 22 del RGPD (LA LEY 6637/2016), que consiste en proteger a las personas contra los riesgos específicos» (§ 57) «en los intereses legítimos y derechos del interesado, habida cuenta, en particular, de los potenciales efectos discriminatorios» (§ 59).

Ya en concreto la sentencia establece lo que es una «decisión individual» sometida al artículo 22 RGPD (LA LEY 6637/2016) (§ 43 y ss.): la generación de un valor de probabilidad por una entidad como SCHUFA constituye una «decisión individual automatizada» según el artículo 22 del RGPD (LA LEY 6637/2016), si este valor influye de manera determinante en la decisión de un tercero (§ 43); se parte de que «decisión» «no se refiere solo a actos que produzcan efectos jurídicos que afecten al interesado de que se trate, sino también a actos que lo afecten significativamente de modo similar» (§ 44). Ello es muy significativo, por cuanto supone vincular las garantías del artículo 22 RGPD (LA LEY 6637/2016) a los hechos o actos que tengan un peso en la decisión que finalmente se adopte. En este caso, «la denegación automática de una solicitud de crédito en línea» (considerando 71 del RGPD) (§ 45). Así pues, se sigue un concepto amplio de «decisión», en la línea del Abogado General en el punto 38 de sus conclusiones, especialmente como elaboración de perfiles (§ 47). El TJUE subraya también que este valor de probabilidad produce «efectos jurídicos», pues la decisión «está basada "de un modo determinante" en dicho valor» (§ 48): «un valor de probabilidad insuficiente dará lugar, en la práctica totalidad de los casos, a que el banco deniegue la concesión del préstamo solicitado.». Así que «afecta al interesado significativamente.» (§ 49)

Se trata de una interpretación garantista para evitar «una laguna en la protección jurídica, si se optara por una interpretación restrictiva de esta disposición según la cual la generación del valor de probabilidad debiera considerarse un mero acto preparatorio» (§ 61). De lo contrario, como advirtió el Abogado General Conclusiones 48),«el interesado no podría invocar […] su derecho de acceso» (§ 63).

La cuestión prejudicial giraba también sobre el margen de regulación nacional sobre el artículo 22, por la posible actuación excesiva del legislador alemán, al someter la generación de valores de probabilidad a requisitos de licitud más estrictos que el RGPD (§ 26) (9) . Cabe recordar que en virtud del artículo 22, el Derecho nacional bien puede autorizar decisiones automatizadas y, para ello, establecer medidas adecuadas; asimismo también el Derecho de un Estado miembro debe legitimar en casos particulares el tratamiento de categorías especiales de datos del artículo 9. A este respecto (§ 65 y ss.), la STJUE recuerda que el legislador nacional «debe establecer medidas adecuadas» en el ámbito del art. 22 RGPD (LA LEY 6637/2016) (§ 65), pero añade que el legislador estatal debe sujetarse no sólo al art. 22, sino que queda especialmente vinculado por los artículos 5 (principios) y 6 (legitimación). Recuerda específicamente (§ 67) que «los Estados miembros no pueden adoptar […] normativas que autoricen la elaboración de perfiles incumpliendo los requisitos establecidos en esos artículos 5 y 6» (§ 68) y que «no están facultados para establecer normas complementarias para la aplicación de estos requisitos», además, «no pueden […] apartarse de las exigencias que resultan de la jurisprudencia» (§ 69). Pese a que para el caso concreto el TJUE «alberga serias dudas» (§ 71) sobre la ley alemana en cuestión, es el juez nacional es quien debe comprobar que la regulación nacional es acorde (§ 72).

Finalmente, se resuelve la cuestión prejudicial afirmando que la generación de un valor de probabilidad por parte de SCHUFA cae bajo el ámbito de aplicación del artículo 22 del RGPD (LA LEY 6637/2016). Así pues, el art. 22 RGPD (LA LEY 6637/2016): «debe interpretarse en el sentido de que» «la generación automatizada, por una agencia de información comercial, de un valor de probabilidad a partir de datos personales relativos a una persona y acerca de la capacidad de esta para hacer frente a compromisos de pago en el futuro constituye una "decisión individual automatizada", en el sentido de la mencionada disposición, cuando de ese valor de probabilidad dependa de manera determinante que un tercero, al que se comunica dicho valor, establezca, ejecute o ponga fin a una relación contractual con esa persona.» «Los artículos 6, apartado 1, y 22 del Reglamento 2016/679 (LA LEY 6637/2016) […] no se oponen a una normativa nacional sobre elaboración de perfiles cuando se trate de una elaboración de perfiles distinta de la prevista en el artículo 22, apartado 1, de este Reglamento. Sin embargo, en este caso la normativa nacional debe respetar los requisitos establecidos en el artículo 6 de dicho Reglamento. En particular, debe fundamentarse en una base jurídica adecuada, extremo que corresponde verificar al órgano jurisdiccional remitente.»

III. Valoración y proyección futura de esta doctrina jurisprudencial: hacia el corrimiento del velo de las decisiones «únicamente» automatizadas

Ciertamente la sentencia puede resultar algo críptica en su lectura especialmente por dos motivos. Primero, por centrarse en la cuestión de si era aplicable el artículo 22 a la empresa, que no era quien adoptaba la decisión automatizada. No parece a primera vista una cuestión muy relevante. Segundo, por cuanto la problemática también se centra en una legislación nacional específica y compleja y el margen de actuación de dicha regulación frente al RGPD. No es fácil captar los problemas que la concreta regulación alemana generaba y, además, el TJUE prefiere dejar la resolución de esta disputa en sede del juez nacional. Puede señalarse también que el TJUE no aprovecha todo lo posible su primera ocasión importante para sentar jurisprudencia respecto del artículo 22. Dicho lo anterior, la sentencia sí que establece doctrina esencialmente sobre el alcance y ámbito de aplicación del artículo 22 RGPD (LA LEY 6637/2016), además de tener diversas proyecciones para el futuro.

Con carácter general, se aprecia una voluntad garantista material. Así, las garantías del artículo 22 RGPD (LA LEY 6637/2016) se proyectan y van más allá del responsable —al menos formal— que toma la decisión respecto del afectado, generando obligaciones a un tercero encargado que ha tratado datos del afectado. Para el TJUE las garantías abarcan actos, hechos o datos que sustentan las decisiones automatizadas, como los perfiles o ponderaciones automatizados que han estado en la base de la decisión finalmente adoptada. Ello a pesar de que formalmente la decisión se adopte por otra entidad o haya pasado por un proceso de aparente decisión humana. Esta cuestión, como he tenido la ocasión de subrayar, ha generado una huida del Derecho (10) .

El criterio general garantista respecto de decisiones automatizadas ya es en sí un precedente y bien podrá proyectarse en muchos otros supuestos en el futuro.

El artículo 22 RGPD (LA LEY 6637/2016) y sus garantías no sólo alcanzan y obligan al responsable formal de la decisión respecto del afectado, sino que genera obligaciones a quien materialmente efectúa para el responsable el tratamiento automatizado, perfilado o ponderación de datos bajo otras posiciones jurídicas, como pueda ser la de encargado por cuenta de quien finalmente toma la decisión.

En particular, la sentencia destaca por su potencial para descubrir la verdadera influencia de los sistemas automatizados en las decisiones finales que se adoptan. Así, la sentencia destaca por cuanto supone —si se me permite— un «corrimiento del velo» de las decisiones «únicamente» automatizadas. Se trata de la necesidad de superar una interpretación restrictiva que limita las garantías del artículo 22 sólo a las decisiones «únicamente» automatizadas y pasar a incluir muchos supuestos de decisiones parcialmente automatizadas, basadas en la decisión automatizada pero con una mayor o menor intervención humana, o supuestos en los que la decisión sólo automatizada se inserta en contextos más amplios. Así, las garantías de este precepto también se darán si los resultados del sistema automatizado, el perfilado o la ponderación automatizada de datos (o con inteligencia artificial) se conectan materialmente con la decisión finalmente adoptada por quien tiene que adoptarla respecto del afectado por dicha decisión. Ello a pesar de que pueda darse una mediación o intervención humana, por ejemplo.

Debe tenerse en cuenta que las decisiones automatizadas, en muchas ocasiones se integran en una cadena o ecosistema de acciones en los que sí que hay intervención humana. No obstante, la existencia de dicha intervención humana no debe excluir automáticamente la aplicación de las particulares garantías que para las decisiones automatizadas confiere el artículo 22.

El tema tiene particular relevancia para el sector público, en el que las decisiones automatizadas más conflictivas son por lo general las que sí que cuentan con alguna intervención humana

Cabe recordar que el tema tiene particular relevancia para el sector público, en el que las decisiones automatizadas más conflictivas son por lo general las que sí que cuentan con alguna intervención humana. Y en este ámbito, además del artículo 22, las escasas garantías del artículo 41.1º LRJSP (LA LEY 15011/2015) se reservan a «cualquier acto o actuación realizada íntegramente a través de medios electrónicos» y que «no haya intervenido de forma directa un empleado público». Hoy por hoy estos requisitos sirven para una huida del Derecho, esto es, para eludir la aplicación de garantías en tanto en cuanto se considera que hay intervención humana en la decisión administrativa que se adopte.

Tal como ha indicado el Grupo del Artículo 29, para que se prescinda de la aplicación de los derechos y garantías previstos en el artículo 22, la intervención humana ha de ser «significativa, en vez de ser únicamente un gesto simbólico» y llevada a cabo por «persona autorizada y competente». Asimismo, el estudio de impacto que debe hacerse ha de registrar el grado de intervención humana (11) . En esta línea, la autoridad de protección de datos de Portugal consideró como completamente automatizado un proceso que incluía intervención humana, dado que la persona encargada de supervisar los resultados del algoritmo no contaba con directrices ni criterios definidos para su interpretación (12) .

Pues bien, pese a que no se explicite en exceso, resulta especialmente interesante la sentencia por cuanto implica poner el foco en el peso efectivo que tiene la valoración, perfil o sistema automatizado en la decisión final que se adopte, aunque formalmente sea humana o se adopte incluso por otro sujeto.

Es reconfortante observar un progresivo reconocimiento normativo de la importancia de las garantías en decisiones parcial o semi-automatizadas. En el caso de España, por ejemplo, la reciente Carta de Derechos Digitales (LA LEY 16317/2021) contempla la necesidad de realizar una evaluación de impacto sobre los derechos digitales cuando se diseñan algoritmos para la toma de decisiones automatizadas o semi-automatizadas (apartado XVIII.7º). De igual forma, normativa más reciente de protección de datos expresamente las incluye. Así, el artículo 20 de la Ley orgánica de protección de datos personales de Ecuador (Registro Oficial Suplemento 459 de 26-may.-2021) extiende el derecho a «una decisión basada única o parcialmente en valoraciones automatizadas.» (13) En Canadá cabe destacar la Directive on Automated Decision-Making que desde su primera versión de 2018 (14) , que define a un sistema de decisiones automatizado (automated decision system) como «Cualquier tecnología que ayude o reemplace el juicio de los tomadores de decisiones humanos» (Apéndice A - Definiciones), por lo que en modo alguno las garantías de esta Directiva se limitan a las decisiones totalmente automatizadas.

IV. La importancia de la cuestión de cara al próximo Reglamento de inteligencia artificial

El artículo 22 RGPD (LA LEY 6637/2016) es una norma del ámbito de la protección de datos, obviamente diferente al futuro régimen de la IA en la UE. No obstante, en muchos casos ambas normas serán aplicables de forma superpuesta (15) . Por un lado, el régimen de protección de datos será generalmente aplicable cuando haya un tratamiento de datos mediante sistemas de IA. Y el particular régimen y garantías del artículo 22 se aplicarán en casos de tratamientos exclusivamente automatizados que generen efectos jurídicos significativos. Por otro lado, en general el futuro Reglamento de inteligencia artificial de la UE (16) (RIA) será aplicable a los sistemas de IA de alto riesgo.

Es relevante destacar cómo se ha integrado, en la evolución del texto del RIA, hasta qué punto la salida o el resultado del sistema de IA son determinantes para la decisión final que adopte el usuario del sistema de IA. Hay que advertir que la cuestión no se limita únicamente a la aplicación de las garantías ofrecidas por un artículo específico, como el artículo 22 del RGPD (LA LEY 6637/2016), sino que también sirve para determinar si un sistema de IA es considerado de alto riesgo y, en consecuencia, si se aplican todas las garantías previstas en el RIA.

En la propuesta inicial de la Comisión en 2021 este criterio no existía, hasta que apareció en una versión de la Presidencia de la República Checa en el segundo semestre de 2022. En la versión final del Consejo de la UE de diciembre de 2022 se afirma en el art. 6.3º que «Los sistemas de IA a que se refiere el anexo III se considerarán de alto riesgo salvo que la información de salida del sistema sea meramente accesoria respecto de la acción o decisión pertinente que deba adoptarse y, por tanto, sea poco probable que dé lugar a un riesgo importante para la salud, la seguridad o los derechos fundamentales.»

En la versión del Parlamento de junio de 2023 se incluye también este criterio general (artículo 7 (17) y Considerandos 36 (18) y 37 (19) ). Adicionalmente, en ciertos casos específicos del Anexo III, se considera de alto riesgo aquellos sistemas utilizados para «influir sustancialmente» en ámbitos específicos como la educación (20) , empleo (21) o seguros (22) .

De esta manera, la cuestión de si un sistema es automatizado o no, que hasta ahora era relevante para reforzar las garantías del RGPD y añadir las del artículo 22, adquiere ahora una nueva dimensión al ser decisiva para la aplicación integral del RIA.

Aunque el TJUE en su sentencia en modo alguno parece tener en perspectiva esta cuestión, también es cierto que de su primera sentencia centrada en el artículo 22 se desprende un criterio garantista y no formalista que bien podría ser considerado en futuras interpretaciones del nuevo RIA.

V. Para concluir

La sentencia del TJUE del 7 de diciembre de 2023 representa un hito significativo en la jurisprudencia sobre decisiones automatizadas y su interacción con la protección de datos, incluso con el futuro Reglamento de Inteligencia Artificial de la UE. Pese a que el TJUE no ha aprovechado del todo su primera oportunidad de establecer jurisprudencia sobre el tema, sin duda adopta un enfoque garantista. Así, expande el alcance del artículo 22 del RGPD (LA LEY 6637/2016) más allá del responsable formal de la decisión, para abarcar a terceros que procesen datos. Asimismo, esta sentencia pone claramente en valor el peso efectivo que tiene la decisión automatizada en la decisión final, incluso si formalmente parece humana o es adoptada por otro sujeto. Este enfoque implica un avance en la protección jurídica frente a los riesgos de la automatización y la IA.

Quien suscribe, leyendo quizá con cierto voluntarismo la sentencia, sostiene que se puede deducir el referido criterio expansivo del artículo 22 del RGPD (LA LEY 6637/2016). Es más, que esta sentencia podrá ser considerada en futuras aplicaciones del Reglamento de Inteligencia Artificial de la UE. Como se ha expuesto, la relevancia del resultado o decisión de un sistema de IA en la decisión final que se adopte por quienes lo usan, ha pasado a ser en el RIA un elemento esencial para determinar si el sistema es de alto riesgo y, con ello, la aplicación misma del futuro Reglamento. La interpretación garantista del TJUE en esta sentencia podrá influir también en la interpretación del RIA.

(1)

cotino@uv.es. OdiseIA. El presente estudio es resultado de investigación de los siguientes proyectos: MICINN Proyecto «Derechos y garantías públicas frente a las decisiones automatizadas y el sesgo y discriminación algorítmicas» 2023-2025 (PID2022-136439OB-I00) financiado por MCIN/AEI/10.13039/501100011033/; «La regulación de la transformación digital …» Generalitat Valenciana «Algoritmic law» (Prometeo/2021/009, 2021-24); «Algorithmic Decisions and the Law: Opening the Black Box» (TED2021-131472A-I00) y «Transición digital de las Administraciones públicas e inteligencia artificial» (TED2021-132191B-I00) del Plan de Recuperación, Transformación y Resiliencia (LA LEY 9394/2021). Estancia Generalitat Valenciana CIAEST/2022/1., Grupo de Investigación en Derecho Público y TIC Universidad Católica de Colombia; MICINN prueba de concepto «Registro público de algoritmos» (Ref: PDC2022-133890-I00) 2022-2023. Cátedra ENIA «Derecho y regulación de la Inteligencia Artificial» U. Valencia-Cuatrecasas, 2023-2027, Convenio de Derechos Digitales-SEDIA Ámbito 5 (2023/C046/00228673), Ámbito 6. (2023/C046/00229475).

Ver Texto
(2)

https://curia.europa.eu/juris/document/document.jsf?text=epígrafedocid=280426epígrafepageIndex=0epígrafedoclang=ESepígrafemode=lstepígrafedir=epígrafeocc=firstepígrafepart=1epígrafecid=10472490

https://eur-lex.europa.eu/legal-content/es/TXT/?uri=CELEX:62021CJ0634

Ver Texto
(3)

En especial hay que tener en cuenta Grupo del Artículo 29, Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679 (LA LEY 6637/2016), 3 de octubre de 2017, versión final 6 de febrero de 2018, Doc WP251rev.01, https://www.aepd.es/documento/wp251rev01-es.pdf

Ver Texto
(4)

No hay ningún caso que aborde la cuestión en los resultados que arroja un buscador sobre decisiones automatizadas y artículo 22 RGPD (LA LEY 6637/2016).

Ver Texto
(5)

Especialmente destacan las sentencias del TC alemán de 2023 y la del Tribunal de la Haya en el caso Syri de 2020, que he analizado en profundidad en «Una regulación legal y de calidad para los análisis automatizados de datos o con inteligencia artificial. Los altos estándares del Tribunal Constitucional alemán y otros tribunales, que no se cumplen ni de lejos en España», en Revista General de Derecho Administrativo, RGDA Iustel, RGDA Iustel, n.o 63, 2023. acceso

Ver Texto
(6)

He analizado en particular este precepto en «Derechos y garantías ante el uso público y privado de inteligencia artificial, robótica y big data», en Bauzá, Marcelo (dir.), El Derecho de las TIC en Iberoamérica, Obra Colectiva de FIADI (Federación Iberoamericana de Asociaciones de Derecho e Informática), La Ley-Thompson-Reuters, Montevideo, 2019, págs. 917-952, acceso en http://links.uv.es/BmO8AU7.

Palma Ortigosa, Adrián (2022): Decisiones automatizadas y protección de datos personales. Especial atención a los sistemas de inteligencia artificial, Dykinson, 2022 y Roig I Batalla, Antoni, Las garantías frente a las decisiones automatizadas del Reglamento general de Protección de Datos (LA LEY 6637/2016) a la gobernanza algorítmica , J.M. Bosch, Barcelona, 2021.

Ver Texto
(7)

Una referencia de la sentencia puede seguirse en Fernández, Carlos B., «TJUE: el "scoring" crediticio está autorizado en determinadas circunstancias, pero la conservación prolongada de información sobre una exoneración del pasivo insatisfecho es contraria al RGPD», Diario La Ley, Ciberderecho, 11/12/2023, https://diariolaley.laleynext.es/dll/2023/12/13/tjue-el-scoring-crediticio-esta-autorizado-en-determinadas-circunstancias-pero-la-conservacion-prolongada-de-informacion-sobre-una-exoneracion-del-pasivo-insatisfecho-es-contraria-al-rgpd

Ver Texto
(8)

https://curia.europa.eu/juris/document/document.jsf?text=epígrafedocid=271343epígrafepageIndex=0epígrafedoclang=ESepígrafemode=lstepígrafedir=epígrafeocc=firstepígrafepart=1epígrafecid=10472490

Ver Texto
(9)

En el caso concreto se trataba del artículo 31 de la Ley Federal de Protección de Datos (Bundesdatenschutzgesetz), de 30 de junio de 2017 (BGBl. I, p. 2097) «Protección de las transacciones económicas en caso de scoring y de información sobre solvencia». https://www.gesetze-im-internet.de/bdsg_2018/

Ver Texto
(10)

La «huida» de las garantías de la protección de datos y en particular del artículo 22 RGPD (LA LEY 6637/2016) lo he analizado con cierta profundidad desde hace años, así en «Hacia la transparencia 4.0: el uso de la inteligencia artificial y big data para la lucha contra el fraude y la corrupción y las (muchas) exigencias constitucionales», en Carles Ramió (coord.), Repensando la administración digital y la innovación pública, Instituto Nacional de Administración Pública (INAP), Madrid, 2021. https://links.uv.es/FUW2pz6 En todo caso, más recientente para el sector público en «Los usos de la IA en el sector público, su variable impacto y categorización jurídica» Revista Canaria de Administración Pública, n.o 1, 2023, pp. 211-242, acceso revista, acceso artículo

Ver Texto
(11)

Grupo del Artículo 29, Directrices sobre decisiones individuales… cit. pág. 23.

Ver Texto
(12)

Comissão Nacional de Proteção de Dados. Deliberação 622/2021. Apartado 55. Resolución disponible en: https://www.cnpd.pt/decisoes/deliberacoes/

Ver Texto
(13)

https://www.telecomunicaciones.gob.ec/wp-content/uploads/2021/06/Ley-Organica-de-Datos-Personales.pdf

Ver Texto
(14)

https://www.tbs-sct.canada.ca/pol/doc-eng.aspx?id=32592 La primera versión es de mayo de 2018, la última de abril de 2023

Ver Texto
(15)

Puede seguirse el régimen superpuesto de ambos regímenes en mi estudio «Reconocimiento facial automatizado y sistemas de identificación biométrica bajo la regulación superpuesta de inteligencia artificial y protección de datos», en Balaguer, Francisco y Cotino, Lorenzo, Derecho público de la inteligencia artificial, F. Jiménez Abad-Marcial Pons , 2023 accesible aquí

Ver Texto
(16)

Propuesta de Reglamento del Parlamento Europeo y del Consejo que se establecen normas armonizadas sobre la inteligencia artificial (Ley de Inteligencia Artificial). En ocasiones se hace mención expresa a la versión de diciembre de 2022 del Consejo de la UE bajo la Presidencia checa. Un seguimiento de los textos de referencia en https://www.europarl.europa.eu/legislative-train/theme-a-europe-fit-for-the-digital-age/file-regulation-on-artificial-intelligence

Ver Texto
(17)

Así en el artículo 7 - apartado 2 - letra e, Enmienda 248 Propuesta de Reglamento: «e) la medida en que las personas que podrían sufrir dicho perjuicio o dichas repercusiones negativas dependan de la información de salida generada con la participación de un sistema de IA, y que dicha información de salida sea meramente accesoria respecto a la decisión o acción pertinente que deba adoptarse, en particular porque, por motivos prácticos o jurídicos, no sea razonablemente posible renunciar a dicha información;».

Ver Texto
(18)

Enmienda 66. «También deben considerarse de alto riesgo los sistemas de IA que se utilizan en el empleo, la gestión de los trabajadores y el acceso al autoempleo, sobre todo para la contratación y la selección de personal, para la toma de decisiones o que influyen sustancialmente en las decisiones relativas a la iniciación»; (la cursiva es original y refleja los cambios por el propio Parlamento).

Ver Texto
(19)

Enmienda 67, «Deben clasificarse como de alto riesgo los sistemas de IA que se utilizan en la educación o la formación profesional, y en especial aquellos que determinan el acceso o influyen sustancialmente en las decisiones sobre admisión o distribuyen a las personas entre distintas instituciones educativas y de formación profesional o aquellos que evalúan a las personas a partir de pruebas realizadas en el marco de su educación o como condición necesaria para acceder a ella o para evaluar el nivel apropiado de educación de una persona e influir sustancialmente en el nivel de educación y formación que las personas recibirán o al que podrán acceder o supervisar».

Ver Texto
(20)

Así, Enmienda 715, Propuesta de Reglamento, Anexo III - párrafo 1 - punto 3 - letra a

a) sistemas de IA destinados a utilizarse para determinar el acceso o para influir sustancialmente en las decisiones relativas a la admisión o la asignación de personas físicas a los centros de educación y formación profesional; Enmienda 717 , Anexo III - párrafo 1 - punto 3 - letra b bis (nueva) «b bis) sistemas de IA destinados a utilizarse con el fin de evaluar el nivel adecuado de educación de una persona y de influir sustancialmente en el nivel de educación o formación profesional que la persona vaya a recibir o al que pueda acceder».

Ver Texto
(21)

Enmienda 720, Anexo III - párrafo 1 - punto 4 - letra b: «b) sistemas de IA destinados a utilizarse para tomar decisiones o influir sustancialmente en ellas que afecten a la iniciación, promoción y resolución de relaciones contractuales de índole laboral, a la asignación de tareas basada en la conducta individual o en rasgos o características personales, o al seguimiento y evaluación del rendimiento y la conducta de las personas en el marco de dichas relaciones».

Ver Texto
(22)

Enmienda 723, Anexo III - párrafo 1 - punto 5 - letra b bis (nueva): «b bis) sistemas de IA destinados a utilizarse para la toma de decisiones, o para influir sustancialmente en esta, sobre la admisibilidad de las personas físicas para acceder a seguros de salud y de vida».

Ver Texto
Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioLA LEY no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar
Scroll