El próximo 25 de Mayo es la fecha en la que entrará en vigor el nuevo reglamento de protección de datos a nivel europeo (EU General Data Protection Regulation), más conocido como GDPR. Este nuevo reglamento, que afecta a cualquier organización que procese datos personales pertenecientes a un ciudadano europeo, tiene un impacto directo sobre cualquier proyecto de análisis de datos, ya que su objetivo fundamental es el de otorgar mayor seguridad y control a las personas sobre su información personal, ampliando de ese modo sus derechos a decidir como desean que sus datos sean tratados y cómo quieren recibir información de las empresas. Pero en este artículo no pretendemos analizar la legislación ni su impacto dentro de los procesos de las organizaciones, o de nuevos derechos como el de la portabilidad de los datos, sino que nos vamos a ceñir al impacto que pueda tener sobre la aplicación de algoritmos de analítica avanzada sobre este tipo de datos.

General Data Protection Regulation (GDPR)

Superando la discusión de si los datos de una transacción online, son datos pertenecientes al usuario que la genera, o son datos puramente transaccionales que le pertenecen a la empresa proporciona ese servicio online (algo en lo que los expertos no acaban de ponerse muy de acuerdo), es cierto que este nuevo reglamento tiene en cuenta ya, alguna de las técnicas más usuales de analítica avanzada y en su artículo 15, de Derechos de acceso del interesado, especifica claramente en su punto 1-h que el interesado tendrá derecho a recibir información sobre:

“la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.”

Y si revisamos ese Artículo 22 de Decisiones individuales automatizadas, incluida la elaboración de perfiles, especifica:

“1.   Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

  1. El apartado 1 no se aplicará si la decisión:
  2. a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
  3. b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
  4. c) se basa en el consentimiento explícito del interesado.
  5. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
  6. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.”

De entrada, parece una clara barrera a aplicar algoritmos de clasificación de clientes, o técnicas de Deep Learning, y obliga a intervención humana en caso de que esas decisiones puedan suponer algún perjuicio para el interesado, como lo podría ser, por ejemplo, si ha sido aceptado o no para un determinado nivel de riesgo en la obtención de un crédito. Esta necesidad de dar explicaciones sobre la decisión tomada por un algoritmo podría entenderse de dos maneras:

  1. ¿Necesitamos explicar cómo funciona el sistema implementado desde un punto de vista algorítmico-matemático?, o, por el contrario
  2. ¿Necesitamos explicar el caso concreto del interesado y darle explicaciones sobre el por qué ha sido seleccionado o no para obtener un crédito tal y como nos especifica nuestro algoritmo de riesgos?

Desde el punto de vista de legislación aplicada a técnicas de Análisis de Datos, uno de mis referentes es la Doctora Sandra Wachter, que junto a otros dos investigadores del Instituto Turing, han publicado un estudio denominado Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation, que podéis consultar en https://academic.oup.com/idpl/article/7/2/76/3860948 y que pese a lo que podría parecer en un principio, concluye que sería suficiente con explicar al interesado, el funcionamiento del sistema implementado desde un punto de vista funcional, pero no desde un punto de vista racional para su caso concreto ¿Realmente le vale para algo al usuario que se le explique el algoritmo utilizado para decidir si puede disfrutar de una promoción, o ha sido seleccionado para un determinado nivel de crédito? Seguramente no le servirá de nada, pero parece que por el momento, hasta ahí es hasta donde nos obliga la legislación a responder.

Resumiendo, no parece que este nuevo reglamente ponga freno a la posible implementación de algoritmos que utilicen datos personales siempre que:

  1. Informemos al usuario de que sus datos van a ser utilizados para la elaboración de perfiles y el objetivo de los mismos, y teniendo en cuenta de que lo que si exige la legislación es el consentimiento explícito por parte del usuario.
  2. Tengamos documentado como se realizarán dichos perfiles desde un punto de vista técnico, así como las decisiones automatizadas que se tomen como resultado de la aplicación de algoritmos a los datos del interesado

No es tan fiero el león como lo pintan, siempre que tengamos claro que el usuario es el dueño de sus datos y que necesitamos informarle en todo momento de lo que vayamos a hacer con ellos, y obtengamos su consentimiento para realizarlo. Desde mi punto de vista, se trata más de tema ético que legal, pero que está siendo necesario asustar a las organizaciones con grandes sanciones para que tomen conciencia de la realidad.

En SolidQ te ayudamos con la aplicación de GDPR

Si necesitas ayuda con la aplicación de GDPR, aplicada al análisis de datos, ponte en contacto con nosotros, que sabremos como guiarte para implementar tu proyecto legalmente, con la ética necesaria, cumpliendo al mismo tiempo con los objetivos de tu negocio.