Nueva ley de datos personales: lecciones desde el viejo continente

columna

* Columna publicada originalmente el 30 de octubre en

En Chile nos hemos acostumbrado a quejarnos de la calidad de nuestro proceso legislativo, en especial, cuando la ley en cuestión se ha inspirado en una legislación extranjera. Este reclamo muchas veces es válido, ya que efectivamente en el pasado varios proyectos de ley han sido poco más que un “copy/paste” de legislación extranjera, no solamente afectando la calidad de nuestras leyes, sino que produciendo lo que la literatura ha denominado “trasplantes jurídicos”. Estos trasplantes se caracterizan por no adecuarse al medio local, la cultura jurídica del país al cual son injertados y por pasar por alto las diferencias económicas e institucionales entre el país que inspira la legislación y el país en donde se implementa el injerto.

Sin embargo, me parece que es igual de importante dar cuenta de aquellos casos en donde nuestro proceso legislativo no solo ha adecuado correctamente una legislación extranjera al medio local, sino que ha sido capaz de aprender de los errores e imprecisiones del país de origen, y crear una legislación que mejora el producto respecto del cual se inspira. Este me parece, es el caso de la regulación de la toma de decisiones automatizadas en la nueva ley de datos personales. Dicha regulación se encuentra fuertemente inspirada por el Reglamento general de protección de datos de la Unión Europea (GDPR, por sus siglas en inglés). Esto no es algo malo, tiene todo el sentido del mundo inspirarse en la legislación más sofisticada en la materia a la fecha y la que, además, se ha transformado de facto en un estándar global.

Pero el GDPR no es perfecto. En lo que respecta a la toma de decisiones automatizadas —una materia clave para el futuro de la regulación de la inteligencia artificial— el artículo 22 del GDPR tenía una serie de errores en su técnica legislativa que hacían que, en la práctica, la protección otorgada a los titulares fuese demasiado restrictiva.

En primer lugar, el GDPR establece que los titulares tienen “derecho a no ser objeto” de decisiones automatizadas, a menos que se cumplan ciertas condiciones. El hecho de tratarse de un derecho implica que es una prerrogativa que el titular tendría que invocar activamente.

En otras palabras, toda toma de decisiones automatizadas sería legítima hasta que el titular invocara su derecho a oponerse a dicha actividad. Puesto que esta redacción implicaría poner la carga procesal en el titular en vez de protegerlo por defecto, el Grupo de Trabajo del Artículo 29 interpretó administrativamente que, a pesar de que el artículo del GDPR habla de un derecho, en realidad se trata de una prohibición general.

En segundo lugar, las garantías del artículo 22 solo serían aplicables cuando la decisión se basará “únicamente” en el tratamiento automatizado de los datos del titular. Esto abría la puerta para que la participación nominal o simbólica de un ser humano en el proceso de la toma de decisión hiciera inaplicable el artículo. Nuevamente, el Grupo de Trabajo tuvo que salvar la norma interpretando que para entender que la decisión era tomada “únicamente” basada en el tratamiento automatizado de datos personales, la participación humana no debería ser “significativa”, excluyendo la participación nominal o simbólica para blanquear una decisión automatizada.

Por último, los considerandos del GDPR señalan que los titulares gozan del derecho a una explicación respecto de cómo se tomó una decisión automatizada que les afecte. Sin embargo, el artículo 22 solo entrega al titular el derecho a objetar la decisión, obtener una intervención humana y expresar su punto de vista. Hasta ahora la doctrina discute si el derecho a una explicación es un derecho sustantivo (detallado y respecto a una decisión específica) o solo el derecho a obtener información respecto a cómo funciona, a grandes rasgos, el sistema algorítmico.

En Chile aprendimos de estos errores y fuimos capaces de redactar una norma que supera estas dificultades. Así, el artículo 8 bis del proyecto de ley aprobado, entrega al titular el derecho a “oponerse y a no ser objeto” de decisiones automatizadas, dejando en claro que las personas solo podrán verse afectadas por este tipo de decisiones cuando se cumplan los requisitos legales.

Del mismo modo, nuestra norma eliminó el término “únicamente”, por lo que se evita la posibilidad de que los resguardos del artículo dejen de ser aplicables por la inclusión de una participación humana nominal en el proceso de toma de decisiones automatizadas. Por último, el artículo consagra explícitamente el derecho que tienen los titulares a exigir a los administradores del sistema una explicación respecto de cómo se llegó a la decisión automatizada que los afecta, lo que significa una mejora significativa respecto del nivel de protección al que están sujetos los titulares europeos.

Estas mejoras en la técnica legislativa no son casuales, sino que son el producto de un arduo debate al interior de las comisiones que estudiaron el proyecto en el Congreso, las que sesionaron múltiples veces e invitaron a decenas de expertos en la materia. Del mismo modo, fue clave la participación de distintos actores involucrados, tales como la academia, la industria y la sociedad civil.

Creo que el producto final de la ley de datos personales no fue una victoria avasalladora de las posturas de un actor en desmedro de los otros, sino que un proceso de negociación y compromiso de posiciones en juego que permitió la producción de una regulación que mantuvo un equilibrio entre los intereses de distintos representantes de la sociedad.

Pablo Viollier es coordinador del diplomado en protección de datos personales de la Universidad Central y abogado de DataCompliance.