Blog

Hubertus Heil - Ministro Federal de Trabajo de Alemania

El antecedente alemán

El Ministro de Trabajo Hubertus Heil (SPD) quiere reconocer el derecho a trabajar desde casa después de la crisis del coronavirus. Los sindicatos y las empresas le apoyan, pero la respuesta obedece a una demanda más general.

El porcentaje de trabajadores que realizan su trabajo desde casa ha aumentado en Alemania del 12 al 25% del total de asalariados durante la pandemia. Heil declaró al periódico «Bild am Sonntag»

Estamos trabajando en una nueva ley para el derecho a «la oficina en casa» [nombre popular del teletrabajo en Alemania], que presentaremos en otoño. Todo aquel cuyo lugar de trabajo lo permita, debería poder trabajar si lo desea en remoto. La idea es que los trabajadores puedan mudar su puesto de trabajo a casa, bien de forma permanente, bien uno o dos días a la semana. Con la pandemia, estamos dándonos cuenta de la cantidad de trabajo que actualmente puede ser realizado en remoto.

Con «reglas justas» Heil quiere evitar que «el trabajo se meta demasiado en la esfera privada». También debe haber una hora de cierre en la oficina en casa – «y esta hora no puede ser las 10 de la noche». El trabajo a domicilio debería ser una opción voluntaria para los empleados. «Queremos hacer posible más tele-trabajo, pero no forzarlo», dijo Heil.

El partido social-demócrata (SPD) que integra la coalición liderada por la canciller Angela Merkel, ya había defendido en diciembre de 2019 –mucho antes de que la pandemia obligara al confinamiento en Alemania y en gran parte del mundo– el establecimiento del derecho a trabajar desde casa.

El vicecanciller y ministro federal de finanzas, Olaf Scholz, también elogió en público las ventajas del tele-trabajo. «Las últimas semanas han demostrado lo mucho que se puede hacer trabajando desde casa»; «Es un verdadero logro, del que no debemos quedarnos atrás», añadió el Ministro de Hacienda al periódico «Bild am Sonntag».

La iniciativa tiene el apoyo de los sindicatos, entre otras organizaciones. El miembro de la junta de Ver.di (Vereinte Dienstleistungsgewerkschaft – en español, Sindicato Unido de Servicios), Christoph Schmitz, declaró que desde el sindicato:

«Exigimos el derecho a una oficina en casa» y añadió que deben seguir cumpliéndose ciertas condiciones, «por un lado, las cuestiones operativas y la voluntad de los clientes han de tener un papel central, y por otro, la salud y la seguridad en el trabajo deben garantizarse de forma integral, lo que abarca desde los equipos de trabajo ergonómicos hasta el registro del tiempo de trabajo».

¿Por qué la medida genera consenso social CDU-SPD, empresariado-sindicatos?

La medida podría afectar a un 20% de la fuerza de trabajo alemana. La experiencia de lo que en Alemania llaman la «oficina en casa» ha sido muy positiva durante el confinamiento… tanto para empresarios como para trabajadores. Y algo muy similar ha ocurrido en Francia.

Las empresas han visto la oportunidad de reducir gastos fijos en oficinas y servicios ligados. En no pocos casos especulan incluso con la posibilidad de vender plantas o edificios, sin perder capacidad de crecimiento. Porque el hecho es que tener un cierto porcentaje de la plantilla en remoto permite tener una fuerza de trabajo más flexible y capaz de crecer según las necesidades de la demanda.

Por otro lado, en países como Alemania hace mucho que las metodologías online de gestión de proyectos y organización de equipos ya estaban muy implantadas dentro de las oficinas más allá de los sectores originales (finanzas, software, etc.). Esto ha convertido el paso al teletrabajo en una ganancia real de productividad que los trabajadores han percibido sin embargo como una ganancia en su capacidad de conciliación laboral-familiar… y un ahorro en tiempos y gastos de transporte.

¿Qué significa regular el teletrabajo como un derecho?

El teletrabajo es un espacio social propio en el que se solapan los derechos laborales y los digitales.

Es muy significativa la experiencia durante la pandemia en Portutal. Este país instauró la modalidad de teletrabajo en todas las actividades susceptibles de ser trasladadas a los domicilios de los empleados. Sin embargo, las medidas de control establecidas por las empresas hicieron necesaria la intervención de la Comisión Nacional de Protección de Datos. La Comisión estableció los límites al empleador, y, entre otros, asentaba la imposibilidad de obligar al trabajador a mantener la cámara permanentemente activa, la prohibición de grabar videoconferencias, así como de someter a control remoto su actividad mediante softwares específicos (TimeDoctor, Hubstaff, Timing, ManicTime, TimeCamp, Toggl o Harvest).

El problema portugués no puede interpretarse como un conflicto por el control de los trabajadores en el tiempo de trabajo, sino como el producto de una desincronización cultural. La pandemia impuso el teletrabajo en entornos empresariales que no habían implantado todavía la revolución digital en lo que toca a los servicios empresariales. A diferencia de Alemania, en buena parte del aparato administrativo de las empresas portuguesas las metodologías de trabajo por metas y objetivos se consideran todavía exclusivas de los servicios avanzados y la digitalización de la gestión de equipos -presenciales o no- no es todavía hegemónica en el paisaje organizacional.

El teletrabajo supone ganancias de productividad cuando se organiza con metodologías modernas de gestión de equipos en torno a tiempos, metas y objetivos. El mercado hace ya mucho que ofrece decenas de soluciones con diversos enfoques de planificación y gestión de proyectos online (BaseCamp, Asana, etc.). Este tipo de organización del trabajo ha demostrado aumentar de manera efectiva la productividad de los servicios avanzados sin necesidad de cronometraje.

La forma de dar el salto de una situación similar a la de Portugal a una como la de Alemania, e incrementar con ello la productividad de los servicios dentro de las empresas, es impulsar mediante regulación la concepción del teletrabajo que es hegemónica en EEUU, Gran Bretaña, Alemania o los países escandinavos.

California Consumer Privacy Act 2018

La Ley de Privacidad del Consumidor de California (CCPA por sus siglas en inglés) es una ley estatal destinada a mejorar los derechos de privacidad y la protección del consumidor para los residentes en California, Estados Unidos.

Su impulsor, Alastair Mactaggart, es un magnate inmobiliario, Fundador de la asociación «Californians for Consumer Privacy» y Presidente de su Junta; La asociación ha sido la entidad impulsora del referéndum de la Ley de Privacidad del Consumidor de California (CCPA).

Mactaggart y la Ley de Privacidad del Consumidor de California (CCPA)

Presentada a referendum en 2016, obtuvo el respaldo de 690 mil ciudadanos, siendo el mínimo para iniciar un procedimiento legislativo de 500 mil. La Ley de Privacidad fue aprobada en 2018 por la Legislatura del Estado de California y por el gobernador de California, Jerry Brown. El CCPA otorga a casi 40 millones de personas en California los derechos de privacidad de datos más sólidos del país y ha entrado en vigor en enero de 2020.

Los californianos ahora tienen derecho a saber qué datos se recopilan sobre ellos, a prohibir la venta de sus datos a terceros, a demandar a las empresas que recopilan sus datos y sufren una violación de seguridad, y a eliminar los datos recopilados sobre ellos. El CCPA también prohibirá la discriminación contra los consumidores que opten por no participar en la recopilación de datos.

  • Saber si una empresa recolecta tus datos.
  • Conocer qué datos han sido recopilados sobre ti en los últimos 12 meses.
  • Expresar tu rechazo a la recolección de datos.
  • Prohibir que los datos recopilados sean cedidos o vendidos a terceros.

Para ello, toda página web o aplicación debe contar con un «botón» que de forma clara permita al usuario ejercer estos derechos.

Se trata de un éxito sin precedentes, que abre la puerta a una legislación a nivel federal sobre los derechos de privacidad en Internet, pero también ha provocado la respuesta inmediata de la industria tecnológica de Silicon Valley. A través de diferentes cauces ya ha presentado una serie de enmiendas a la CCPA de cara a diluir su efecto real en el tratamiento y gestión de datos de los usuarios.

Google además advierte del daño a las pequeñas empresas y emprendedores que acarreará la implementación de la CCPA, alega que se trata de matizar el lenguaje de la ley para permitir la subsistencia de los actuales modelos de negocio basados en los datos de sus usuarios. Por ejemplo, el texto de la ley limita y lista actividades específicas en las que se permite la cesión de los dados tratados, entre ellos «auditoría y seguridad» y propone que sea sustituido por «negocios cuyos propósitos incluyan» abriendo la puerta a mantener el actual status quo.

Por ello, Mactaggart ha anunciado que se encuentra trabajando en la elaboración de un nuevo texto base para conseguir ampliar las garantías de la CCPA. La CCPA, señala, se centra en la venta de datos personales, pero no aborda directamente el uso de esos datos por la fuente que los recogió originalmente. Su nueva propuesta busca proteger la «información personal confidencial». Los datos que estarían cubiertos por esa definición incluyen información de geolocalización, números de Seguro Social, números de pasaporte y datos sobre raza, religión, afiliación sindical, y orientación sexual, entre otras categorías». Propone además la creación de una nueva agencia de protección de datos independiente, inspirada en el organismo regulador de la Unión Europea.

Derechos recogidos en la CCPA

La Ley de Privacidad del Consumidor de California (CCPA), promulgada en 2018, crea nuevos derechos de los consumidores relacionados con el acceso, la eliminación, y la cesión de información personal, que se recaba por las empresas.

Es decir, la CCPA recoge el derecho de los consumidores a saber qué información recopilan las empresas sobre ellos, para qué propósito y con quién la comparten. Los usuarios podrán solicitar a las empresas la eliminación de sus datos personales, y manifestar su deseo de no permitir su venta o divulgación a terceros.

Por su parte, las empresas deberán mostrar en un lugar visible de su página web o aplicación un enlace con el texto «Do Not Sell My Personal Information», para que los consumidores puedan ejercer estos derechos.

La CCPA se aplica sobre las empresas que, con independencia de su domicilio social, traten con datos de residentes en el estado de California y cumplan los siguientes requisitos:

  • Contar con un beneficio anual bruto superior a 25 millones de dólares;
  • Tratar con información de un mínimo de 50.000 usuarios, dispositivos u hogares, o;
  • Obtener como mínimo el 50 por ciento de sus ganancias de la venta de información personal.

Toda actividad comercial que se incluya en las condiciones establecidas por la CCPA deberá cumplir con una serie de obligaciones para aumentar la transparencia en el tratamiento que hacen de los datos, entre los que se encuentran:

  • Informar a los consumidores si tienen intención de vender sus datos. Además, tienen prohibida la venta de datos de menores de 16 años a menos que se autorice.
  • Incluir una política de privacidad en la web donde se especifique la información recogida y el propósito.
  • Proporcionar mecanismos para que los consumidores puedan solicitar información acerca de sus datos y responder a las solicitudes sin coste.
  • No discriminar a aquellos consumidores que deciden eliminar sus datos, impedir su venta o ejercer algún otro derecho. No obstante, las empresas sí pueden ofrecer incentivos financieros a los consumidores por el tratamiento de sus datos.

Información personal

La información personal bajo la CCPA incluye:

  1. Identificadores directos (tales como el nombre real, alias, dirección postal, números de la seguridad social);
  2. Identificadores únicos (cookies, dirección de IP y nombres de usuario);
  3. Datos biométricos (como el rostro y las grabaciones de voz);
  4. Datos de geolocalización (tales como el historial de localización);
  5. Actividad internauta (historial de navegación, búsquedas realizadas, interacción de datos con una web o una aplicación);
  6. Información sensible (datos sobre salud, características personales, comportamiento, religión, convicciones políticas, preferencias sexuales, empleo o datos educativos, historial médico o información financiera).

La información personal también incluye datos que por deducción pueda desembocar en la identificación de un individuo o una unidad familiar, además de datos que pueda ser de cualquier modo re-identificable. Esto significa que datos que por sí mismos no son información personal pueden serlo bajo la CCPA si pueden ser usados -por deducción o combinación con otros datos- para identificar un individuo o una unidad familiar.

Incumplimiento y sanciones

El incumplimiento de la CCPA puede desembocar en multas para las empresas de 7.500$ por infracción y 750$ por usuario afectado en concepto de daños y perjuicios civiles.

El poder para hacer cumplir la CCPA recae en la oficina del Fiscal general de California, quien, hasta julio de 2020 tiene que especificar la regulación de dicha aplicación. Sin embargo, el periodo provisional entre enero y julio de 2020 no se convierte en un periodo de gracia y las empresas están sujetas a demandas civiles por la recogida y venta de datos desde el 1 de enero de 2020.

Enmiendas a la CCPA

El Procurador General de California ha preparado el siguiente título y resumen del propósito y los puntos de la medida propuesta: Modifica las leyes de privacidad del consumidor. Estatuto de la iniciativa. Permite a los consumidores:

  1. Evitar que las empresas compartan información personal;
  2. Corregir la información personal inexacta;
  3. Limitar el uso de «información personal sensible» por parte de las empresas, como por ejemplo geolocalización; raza; etnia; religión; datos genéticos; afiliación sindical; comunicaciones privadas; y cierta orientación sexual, salud e información biométrica.

Además,

  • Cambia los criterios para los cuales los negocios deben cumplir con estas leyes.
  • Prohíbe la retención de información personal por parte de las empresas durante más tiempo del razonablemente necesario.
  • Triplica las penas máximas para las violaciones relativas a consumidores menores de 16 años.
  • Establece la Agencia de Protección de la Privacidad de California para hacer cumplir y implementar las leyes de privacidad del consumidor, e imponer multas administrativas.
  • Requiere la adopción de reglamentos sustantivos.

En cuanto a la estimación del impacto fiscal en los gobiernos estatales y locales, la fiscalía apunta a:

  • Aumento de los costos estatales anuales de aproximadamente $10 millones de dólares para una nueva agencia estatal que supervise el cumplimiento y la aplicación de la privacidad del consumidor leyes.
  • El aumento de los costos estatales, que potencialmente alcanzarían los millones de dólares anuales, por el aumento de la carga de trabajo administrativo y de los tribunales estatales, que se compensaría en parte o en su totalidad con ingresos por multas.
  • Imposibilidad de establecer el impacto en los ingresos tributarios estatales y locales causados por los efectos económicos resultantes de los nuevos requisitos de las empresas para proteger la información de los consumidores.

Palacio sede del Consejo de Estado - Italia

Recientemente el Consejo de Estado (Consiglio di Stato), el principal órgano judicial-administrativo y consultivo italiano, emitió una interesante decisión relativa a la posibilidad y la legalidad de que la administración pública se base en procedimientos y decisiones basados en algoritmos.

En el caso en cuestión, la controversia se refería al resultado de un procedimiento de contratación extraordinaria de maestros de escuela, llevado a cabo por el Ministerio de Educación italiano: en el contexto de ese procedimiento, se asignaron geográficamente diferentes lugares de trabajo a los maestros contratados.

Este procedimiento -basado únicamente en un algoritmo que, en opinión de los profesores, no funcionaba correctamente- organizaba los traslados sin tener debidamente en cuenta las preferencias expresadas por los profesores, incluso en presencia de plazas disponibles en las zonas geográficas preferidas. En esencia, el mecanismo de movilidad extraordinaria resultó perjudicial para los profesores que fueron trasladados a provincias alejadas de la de su residencia o de la elegida con prioridad en el momento de su solicitud de empleo.

Aunque consideró ilegítimo el algoritmo utilizado en el caso concreto, el Consejo no excluyó en absoluto la posibilidad de que la administración pública adoptara algoritmos: más bien señaló que la administración pública podrá explotar el importante potencial de la llamada «revolución digital», utilizando también algoritmos, pero sólo en determinadas condiciones. Según el Consejo, la utilización de algoritmos informáticos para la adopción de decisiones que afectan a la esfera pública y privada debe evaluarse siempre en términos de eficacia y neutralidad: esto significa que la utilidad de los algoritmos para la gestión del interés público puede ser particularmente útil en lo que respecta a procedimientos, como el que nos ocupa, que son seriados o normalizados, que implican la tramitación de grandes cantidades de solicitudes, y que se caracterizan por el acopio de determinados elementos objetivamente demostrables y por la ausencia de toda apreciación discrecional.

En opinión del Consejo de Estado italiano, la plena admisibilidad de esos instrumentos podría responder a los criterios de eficiencia y eficacia en función de los costos de la acción administrativa, que, de conformidad con el principio constitucional de buena ejecución de la acción administrativa (artículo 97 de la Constitución italiana), exigen que la administración alcance sus objetivos con el menor gasto de recursos y mediante la racionalización y aceleración del procedimiento público.

El uso del algoritmo debe estar correctamente enmarcado en términos de medidas organizativas, medios procesales y de investigación, sujeto a los requisitos, comprobaciones y controles típicos de cualquier procedimiento administrativo, asegurando que la elección autorizada se lleve a cabo sobre la base de la ley que atribuye el poder y los propósitos a la autoridad pública. El Consejo destacó tres principios interesantes, relativos a los algoritmos potencialmente adoptados por la administración pública.

  • En primer lugar, el «principio de conocimiento», en virtud del cual toda persona tiene derecho a conocer la existencia de los procesos automatizados de adopción de decisiones que le conciernen y a recibir información significativa sobre su lógica. Esta norma constituye una aplicación específica directa del arte. 41 de la Carta de Derechos Fundamentales de la Unión Europea, en el que se establece que cuando la Administración Pública se proponga adoptar una decisión que pueda tener efectos adversos para una persona, tiene la obligación de «motivar su decisión» y la persona interesada tiene derecho a ser oída y a tener acceso a sus archivos y documentos. El Consejo subrayó que el derecho a saber debe ir acompañado de mecanismos capaces de descifrar la lógica del algoritmo. En esta perspectiva, el principio de la conocibilidad se completa con el principio de la comprensibilidad, es decir, la posibilidad de recibir información significativa sobre la lógica en cuestión, así como sobre el significado y las consecuencias previstas de ese tratamiento para el interesado. Sin embargo, al leer la decisión, parece que el Consejo de Estado no consideró esencial y obligatoria la divulgación completa y exhaustiva del código algorítmico.
  • En segundo lugar, el Consejo identificó el «principio de no exclusividad» de la decisión algorítmica, que se deriva del Artículo 22 Reg. UE 2016/679 (GDPR). Una persona tendrá derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos que le conciernan o que le afecten de forma similar y significativa, teniendo derecho a obtener, al menos, una intervención humana por parte del responsable del tratamiento (la administración pública, el Ministerio de Educación en el caso concreto), a expresar su punto de vista y a impugnar la decisión.

Primera sentencia Europea contra el uso de algoritmos

El tribunal distrito de La Haya ha dictado sentencia en contra de un sistema algorítmico utilizado por el Gobierno de los los Países Bajos para evaluar el riesgo de fraude a la seguridad social o a hacienda.

El tribunal encuentra que el algoritmo:

  • No cumple con el «equilibrio justo» que debe existir entre el interés social al que sirve la normativa cuestionada y la violación de la vida privada
  • Tiene un efecto significativo en la vida privada de la persona a la que se refiere.
  • Considera que el gobierno holandés no ha hecho público el tipo de algoritmos utilizados en el modelo de riesgo, ni proporcionado información sobre el método de análisis de riesgos utilizado.
  • No prevé ninguna obligación de información a las personas cuyos datos se tratan.
  • Tampoco prevé ninguna obligación de informar a los interesados individualmente, cuando proceda, del hecho de que se su evaluación de riesgo ha sido positiva.

Como consecuencia, el tribunal concluye que:

  • Es imposible verificar cómo está diseñado el árbol de decisión que utiliza el algoritmo y en qué pasos consiste.
  • Circunstancia que dificulta que una persona afectada por el mismo pueda defenderse contra el hecho de que se haya realizado un informe de riesgos con respecto a él o ella.

Comentarios a la sentencia del Diario La Ley

El tribunal distrito de La Haya declara que el sistema establecido por el gobierno holandés para valorar el nivel de riesgo de defraudación de los ciudadanos, no cumple las exigencias de proporcionalidad, carece de transparencia y vulnera las previsiones sobre respeto a la vida privada que reconoce el artículo 8 del Convenio Europeo de Derechos Humanos.

El tribunal distrito de La Haya (Rechtbank Den Haag), ha dictado una sentencia, de fecha 5 de febrero de 2020, por la que establece que un sistema algorítmico utilizado por el Gobierno de los Países Bajos para evaluar el riesgo de fraude a la seguridad social o a hacienda, no cumple las exigencias de proporcionalidad y transparencia necesarias y vulnera las previsiones sobre respeto a la vida privada que reconoce el artículo 8 del Convenio Europeo de Derechos Humanos, por lo que es contrario a la ley.

Se trata de la primera sentencia conocida en Europa por la se declara ilegal un algoritmo sobre evaluación de características personales de los ciudadanos. Su difusión ha coincidido, además, con el anuncio de la Comisión de que en breves fechas va a presentar una propuesta de regulación de la IA en la Unión, y con una recientísima decisión del Parlamento Europeo por la que solicita a la Comisión que apruebe una normativa sobre los procesos automatizados de toma de decisiones, a fin de garantizar la protección de los consumidores y la libre circulación de bienes y servicios. Y, a nivel nacional, con el anuncio de la publicación por la AEPD de la Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial.

Los Hechos

Según la sentencia, cuyo texto está disponible en neerlandés, el denominado Sistema de Indicación de Riesgos (Systeem Risico Indicatie, SyRI, nada que ver con el asistente de voz de Apple) es un instrumento legal que el gobierno neerlandés utiliza para prevenir y combatir el fraude en el campo de la seguridad social y los esquemas relacionados con los ingresos, las contribuciones fiscales y de la seguridad social y las leyes laborales.

El sistema se basa en la asignación del nivel de riesgo de que una determinada persona cometa fraude a los ingresos públicos, en función de una serie de parámetros analizados y relacionados entre sí.

Esta medida, instaurada a solicitud de determinadas agencias y organismos públicos, a la vista del elevado volumen de fraude detectado en el país, se basa en la denominada Ley de Organización de Implementación y Estructura de Ingresos (Wet structuur uitvoeringsorganisatie en inkomen, SUWI), cuyo artículo 65.2 permite la elaboración de informes de riesgos para evaluar el riesgo de que una persona física o jurídica haga un uso ilegal de fondos gubernamentales en el campo de la seguridad social y los esquemas relacionados con los ingresos públicos.

De acuerdo con el Reglamento de desarrollo de la Ley, el sistema utiliza un algoritmo que procesa datos como nombre, dirección, lugar de residencia, dirección postal, fecha de nacimiento, género y características administrativas de las personas; sobre su trabajo; sobre medidas y sanciones administrativas aplicadas a la misma; sus datos fiscales, incluida información sobre bienes muebles e inmuebles; datos sobre motivos de exclusión de asistencia o beneficios; datos comerciales; datos de integración, que son datos que pueden usarse para determinar si se han impuesto obligaciones de integración a una persona; historial de cumplimiento de las leyes y reglamentos; datos sobre becas recibidas; sobre pensiones; sobre la obligación de reintegro de prestaciones públicas; sobre endeudamiento; sobre beneficios, ayudas y subsidios recibidos; sobre permisos y exenciones recibidos para la realización de actividades y datos del seguro de salud, entendidos exclusivamente como aquellos que se pueden usar para determinar si una persona está asegurada en virtud de la Ley de seguro de salud.

El procesamiento de estos datos se realiza en dos fases. En la primera se recogen y pseudonimizan, reemplazando el nombre personal, los números de seguridad social y las direcciones por un código (seudónimo). A continuación se comparan los datos con el modelo de riesgos y se identifican los posibles factores de riesgo. Si una persona, física o jurídica, o una dirección, es clasificada como de riesgo elevado, sus datos se descifran nuevamente utilizando el archivo de clave y transferidos a una segunda fase del análisis de riesgos por una unidad de análisis específica. En la segunda fase, los datos descifrados son analizados por esta unidad de análisis, que asigna un nivel de riesgo definitivo.

La decisión del tribunal

Esa normativa fue impugnada por diversas organizaciones de defensa de los derechos humanos y civiles holandesas y según la sentencia del tribunal local de La Haya, la legislación que sustenta la aplicación de este algoritmo, no cumple con el requisito establecido en el Artículo 8, párrafo 2 del CEDH, de que la interferencia con el ejercicio del derecho al respeto de la vida privada resulte necesaria en una sociedad democrática. Es decir, que sea necesaria y proporcional en relación para el propósito previsto.

En particular, estima que esta legislación no cumple con el «equilibrio justo» (fair balance, en el original) que de acuerdo con el CEDH debe existir entre el interés social al que sirve la normativa cuestionada y la violación de la vida privada que supone, para poder estimar suficientemente justificada esta intromisión.

En su evaluación, el tribunal ha tenido en cuenta los principios fundamentales en los que se basa la protección de datos en virtud del Derecho de la Unión (la CEDH y el RGPD), en particular en los principios de transparencia, de limitación del tratamiento de minimización de datos, y concluye que la normativa que regula el uso de SyRI es insuficientemente clara y verificable, por lo que la declara contraria a la ley.

Efectos del informe de riesgos sobre la vida privada de las personas

En opinión del tribunal, aunque el informe de riesgos generado por el algoritmo no tiene en sí mismo una consecuencia legal directa, civil, administrativa o penal, sí que tiene un efecto significativo en la vida privada de la persona a la que se refiere.

El tribunal también deriva esa conclusión de las directrices del Grupo de Trabajo del artículo 29 del de Protección de Datos de 4 de diciembre de 2008, según las cuales debe entenderse que el procesamiento de datos afecta significativamente a una persona cuando sus efectos sean lo suficientemente grandes o importantes como para afectar significativamente al comportamiento o a las decisiones de las personas involucradas; tener un efecto a largo plazo o duradero en la persona interesada; o en el caso más extremo, conducir a su exclusión o discriminación.

Una finalidad legítima, perseguida por unos medios desproporcionados

El tribunal estima que el volumen del fraude al sistema de la seguridad social en los Países Bajos justifica la aplicación de mecanismos de control y supervisión que limiten o eliminen sus efectos. En concreto, el desarrollo de nuevas tecnologías proporciona al gobierno, entre otras cosas, opciones digitales para vincular archivos y analizar datos con la ayuda de algoritmos y, por lo tanto, ejercer una supervisión más efectiva.

Pero, añade, en este desarrollo, el derecho a la protección de datos es cada vez más importante, en parte debido a la propia velocidad de ese desarrollo, ya que la recopilación y el análisis de datos con la ayuda de estas nuevas tecnologías puede afectar profundamente a la vida privada de aquellos con quienes se relacionan esos datos.

Falta de transparencia del algoritmo

El principio de transparencia es el principio rector de la protección de datos que subyace y está consagrado en la CEDH y en el RGPD (arts. 5.1 a) y 12).

El tribunal considera que el gobierno holandés no ha hecho público el tipo de algoritmos utilizados en el modelo de riesgo, ni proporcionado información sobre el método de análisis de riesgos utilizado, con la excusa de evitar que los ciudadanos pudiesen ajustar su comportamiento en consecuencia.

Además, aprecia que la normativa reguladora del algoritmo no prevé ninguna obligación de información a las personas cuyos datos se tratan, de modo que no cabe esperar razonablemente que esas personas sepan que sus datos se utilizan o se han utilizado para esa finalidad. Adicionalmente, esta normativa tampoco prevé ninguna obligación de informar a los interesados individualmente, cuando proceda, del hecho de que se su evaluación de riesgo ha sido positiva.

Relevancia de la falta de transparencia

Como resultado de lo anterior, concluye el tribunal, es imposible verificar cómo está diseñado el árbol de decisión que utiliza el algoritmo y en qué pasos consiste. Una circunstancia que dificulta que una persona afectada por el mismo pueda defenderse contra el hecho de que se haya realizado un informe de riesgos con respecto a él o ella.

La casa Azul - Presidencia de Corea

Antecedentes

En 2007, cuando se entendió que el ciberacoso se estaba convirtiendo en un problema, la Asamblea Nacional de Corea del Sur aprobó una ley que ordenaba que las identidades reales de las personas en Internet se validaran a través de sus números de registro en la seguridad social. Todo internauta pasaba a partir de ese momento a estar identificado con su nombre y apellidos reales facilitando la actuación ante agresiones digitales. La razón fundamental detrás de la ley fue que el anonimato online ofrecía una falta de transparencia y de responsabilidad, haciendo más sencillo perseverar en conductas de abuso y persecución. El ciberacosose entendía y se elevaba a problema nacional.

La ley contra el acoso online y el fin del anonimato en Internet fue aprobada. Sin embargo, tuvo escaso impacto en el comportamiento de las personas en Internet y dio pie a un lamentable suceso. El reglamento incluía que compañías de telecomunicaciones y sitios web almacenaran los datos de identificación de los usuarios; un material muy jugoso que pronto atrajo la atención de profesionales con oscuras intenciones. Los datos del 70% de los ciudadanos de Corea fueron extraídos durante una serie de ataques cibernéticos. Finalmente, en 2012, el Tribunal Constitucional declaró inconstitucionales las secciones de la ley que obligaban a facilitar datos de identidad a terceros para acceder a Internet.

Conmoción

En octubre de 2019, una de las estrellas más famosas del K-Pop, Sulli, se suicidó, trayendo de nuevo el problema del ciberbulling a la luz pública. Sulli sufría persecuciones online desde hacía años, hecho que había denunciado públicamente. Además Sulli conducía un programa en la televisión coreana orientado al público juvenil y dedicado a educar y concienciar sobre los daños producidos por el acoso cibernético.

En 2018 Sulli había solicitado a su agencia que iniciara acciones legales para intentar poner fin a las agresiones digitales que venía sufriendo. Aunque la agencia anunció que tomaría medidas, poco después declaró que no podía ejecutar el proceso ya que la dirección IP de los usuarios identificados como agresores estaba registrada en un país extranjero. Al conocerse la muerte de Sulli, el sitio web de la oficina del presidente surcoreano, Moon Jae-in, se inundó de peticiones solicitando recuperar el registro de identidad real obligatorio para comentar y publicar contenidos en sitios web.

La nueva ley

La nueva iniciativa legal, encabezada por el Nuevo Partido Alternativo, una escisión del Partido Demócrata de Corea, se centra en reducir los comentarios maliciosos que se publican en Internet. La formación política considera la muerte de Sulli un «asesinato social» y se ha mostrado inflexible en la necesidad de terminar con el anonimato en Internet.

… la muerte de Sulli es nada menos que un asesinato social. La prensa compitió en el marketing de clickbait utilizando la vida cotidiana de una
persona. Es más, los sitios web permiten y alientan la cultura de la agresión como espectáculo. Innumerables ciberdelincuentes, bajo el discurso de la libertad de prensa, pisotearon la dignidad humana de Sulli. Ahora es el momento de establecer un solución social a una cultura inhumana en Internet, haciendo valer la posición internacional de Corea como una superpotencia de Internet.

Los debates previos en torno a la Ley de Sulli han supuesto la recuperación del mandato del «nombre real», algo que resulta paradójico tras haber sido declarada anticonstitucional hace unos años. El debate de fondo refleja el delicado equilibrio entre la libertad de expresión y la garantía de los derechos de los ciudadanos en el espacio digital. Los defensores del fin del anonimato y de la ubicuidad de las plataformas digitales argumentan que la libertad de expresión es un valor vital en la
sociedad democrática, pero insultar y dañar la dignidad de otra persona está más allá de ese límite. Lee Dong-gwi, reputado profesor de psicología en la Universidad de Yonsei en Seúl defiende que,

debe haber sanciones mucho más duras para quienes violen esa ley.

Primeras encuestas revelan que el 70% de la población de Corea del Sur apoya la creación de una nueva legislación. Su votación en la asamblea legislativa está prevista para los primeros días de diciembre. El pasado 24 de noviembre, otra estrella del K-Pop, Goo Hara, apareció muerta en su domicilio. la investigación policial indica que se trata de un nuevo caso de suicidio con ciberacoso previo.

Derechos de Ciudadanía Digital