Los datos personales, la securitización y la inteligencia artificial: ¿hacia dónde vamos?
“En un contexto donde los límites de la inteligencia artificial aún no han sido completamente definidos ni delineados, encontrar un equilibrio proporcional entre los bienes constitucionalmente protegidos se presenta como un desafío considerable”.
Por: Edward Cayotopa Luna[1]
Introducción
En este artículo, exploramos dos sentencias recientes y relevantes relacionadas con datos personales e inteligencia artificial. Se observa una tendencia ascendente hacia una mayor confianza en la inteligencia artificial, a pesar de los riesgos asociados con la securitización y la vulneración de la privacidad, especialmente cuando se trata del almacenamiento de datos para fines de prevención del delito, típicamente manejados por la policía.
En un contexto donde los límites de la inteligencia artificial aún no han sido completamente definidos ni delineados, encontrar un equilibrio proporcional entre los bienes constitucionalmente protegidos se presenta como un desafío considerable. Este desafío se agrava especialmente, a nuestro juicio, en sociedades donde la transparencia y la protección de datos personales no están arraigadas culturalmente, lo que complica aún más el proceso de establecer directrices (locales – originales) claras y efectivas para la regulación y el uso ético de la inteligencia artificial.
Análisis y comentarios a la sentencia del caso Glukhin v. Rusia, emitida por el Tribunal Europeo de Derechos Humanos, y a la Sentencia 1 BvR 1547/19 del Tribunal Constitucional Federal Alemán.
Este caso tiene como hechos el año 2019, un año clave para Putín en Rusia, ya sea por lo impopular que supuso algunas políticas de su gobierno, el desgaste de su imagen, así como al estancamiento de la economía Rusa. El 12 de agosto de aquel año, el activista político Kotov, reconocido además en diferentes plataformas sociales, fue arrestado y acusado bajo el código penal ruso por infringir las reglas sobre “eventos públicos”. Once días después de acontecido esta situación, el ciudadano ruso llamado Nikolay Sergeyevich Glukhin, a modo de protesta, viajó en el metro con un recorte de cartón idéntico a Kotov junto a la frase: “You must be f**king kidding me. I’m Konstantin Kotov. I’m facing up to five years [in prison] under [Article] 212.1 for peaceful protests.”[2]
Al día siguiente, la unidad anti extremista de la policía rusa reportó haber encontrado en internet una foto de la persona que llevaba el cartón. Así, con el uso de una captura de pantalla de dicha fotografía circulante en plataforma Telegram y la tecnología de reconocimiento facial CCTV de las cámaras instaladas en las estaciones de metro, la policía identificó a Glukhin y lo acusó de “violar el procedimiento establecido para la realización de eventos públicos” según el código ruso de infracciones administrativas.
La policía sostuvo que la pancarta y recorte de cartón constituían un “objeto de desmontaje”, lo que implicaba que, a pesar de tratarse de una manifestación solitaria e individual, Glukhin estaba obligado a notificar previamente a las autoridades sobre su intención de llevar a cabo dicha manifestación, de acuerdo con la ley de eventos públicos n° FZ-54 del 19 de junio de 2004.
El caso escaló al Tribunal de Estrasburgo después que se agotaran los recursos internos de acceso a la justicia internos en Rusia, dado que el Tribunal de Moscú rechazó su recurso de apelación, argumentando que Glukhin no había notificado a las autoridades sobre la realización de su manifestación, y considerando irrelevante la naturaleza pacífica de la misma.
En su petición ante el Tribunal Europeo de Derechos Humanos (TEDH), Glukhin alegó que se habían vulnerado sus derechos según lo establecido en el artículo 10 y el artículo 8 del Convenio Europeo de Derechos Humanos, los cuales garantizan el derecho a la libertad de expresión y el derecho a la privacidad, respectivamente.
En este apartado no nos concentraremos en el análisis del Tribunal Europeo de Derechos Humanos sobre la vulneración del artículo 10 del Convenio Europeo de Derechos Humanos. A efectos del presente artículo, nos limitamos a evaluar lo que señala el Tribunal de Estrasburgo sobre el uso de la tecnología CCTV de reconocimiento facial y la protección de datos personales.
En relación a este último tema, es preciso destacar que el TEDH no descarta de forma categórica y automática el uso de la tecnología de reconocimiento facial para la prevención del delito (véase párrafos 84-85). Asimismo, el TEDH no realiza un análisis exhaustivo de la calidad sustancial de las leyes domésticas rusas, pedido explícitamente por la defensa de Glukhin; su consideración se limita a la habilitación que otorga la legislación nacional para que la policía acceda al registro de datos personales obtenidos mediante cámaras equipadas con tecnología de reconocimiento facial (véase párrafos 82-83). Con el fin de examinar con mayor detenimiento lo expuesto, resultar relevante reproducir el párrafo 85 de dicha sentencia, el cual consideramos de suma importancia.
“The Court finds it to be beyond dispute that the fight against crime, and in particular against organized crime and terrorism, which is one of the challenges faced by today’s European societies, depends to a great extent on the use of modern scientific techniques of investigation and identification. However, while it recognises the importance of such techniques in the detection and investigation of crime, the Court must delimit the scope of its examination. The question is not whether the processing of biometric personal data by facial recognition technology may in general be regarded as justified under the Convention. The only issue to be considered by the Court is whether the processing of the applicant’s personal data was justified under Article 8 § 2 of the Convention in the present case (compare S. and Marper, cited above, §§ 105-06)”[3]. [subrayado y énfasis nuestro]
Como es posible advertir, si solo nos quedáramos con el párrafo 85, podríamos sostener que la tecnología de reconocimiento facial, en el ámbito europeo, se justifica para prevención de los delitos de crimen organizado y terrorismo. Sin embargo, es cierto que el TEDH matiza el enunciado del párrafo 85 en el párrafo 86.
Y es que en el párrafo 86, aunque mantiene su importancia, precisa que dicha tecnología de reconocimiento facial es «especialmente intrusiva» (particularly intrusive) y por ello requiere un alto nivel de justificación (a high level of justification) para considerarlas necesarias dentro de una sociedad democrática (“necessary in a democratic society”).
Por último, es importante hacer mención al párrafo 87, ya que en este se precisa la frase “necessary in a democratic society”. Según el TEDH, la evaluación de esta expresión, en el contexto de investigaciones delictivas y el tratamiento de datos personales, está estrechamente ligadas a la naturaleza y gravedad de los delitos bajo investigación. En otras palabras, el uso de tecnología de reconocimiento facial no podría considerarse necesaria para la protección de datos personales si los delitos en cuestión son de menor gravedad o naturaleza.
A modo de resumen de lo aquí advertido, entonces para el TEDH, el uso de tecnología de reconocimiento facial, que involucra para ello el empleo de inteligencia artificial y el tratamiento de datos personales, con el fin de prevenir delitos graves, se considera legítimo. Asimismo, es importante destacar que, aunque estas medidas sean intrusivas respecto al derecho de protección de datos personales, se consideran necesarias siempre y cuando se demuestre un alto nivel de justificación, teniendo en cuenta la gravedad o naturaleza del delito en cuestión.
b) Sentencia 1 BvR 1547/19
Por su parte, la sentencia en comentario aborda las peticiones de inconstitucionalidad (Die Verfassungsbeschwerden) de las leyes de los estados de Hesse y Hamburgo que versan sobre las facultades otorgadas a la policía para realizar análisis de datos de manera automatizada.
Cabe precisar que la policía, sobre todo del estado de Hesse, había adquirido el programa “Gotham” de la empresa de software Palantir en 2017, y lo implementó bajo el nombre de “hessenDATA”. Este software emplea inteligencia artificial para la automatización y procesamiento de datos personales a la hora de evaluar delitos. Sin embargo, es relevante destacar que el Tribunal Constitucional Federal Alemán (TCFA) optó por no examinar el impacto del uso de inteligencia artificial en los datos personales, tal como fue solicitado explícitamente por los demandados.
El párrafo 48 de la sentencia en cuestión reviste suma importancia, ya que declara inadmisible este extremo de la demanda. Los argumentos que sustentan el rechazo de llevar a cabo este análisis se basan en la imprecisión de los demandantes en detallar la concreta vulneración de sus derechos fundamentales, así como en la ausencia general de garantías para los demandantes en la legislación estatal de protección de datos y en las de la policía.
Tomando este ejemplo, las críticas de la profesora Verónica Rojas[4] respecto a la falta de una clasificación de riesgos específica y a la ausencia de directrices éticas para la inteligencia artificial (IA) (2024), como lo dispone la Ley 31814 del Perú, la cual promueve el uso de la inteligencia artificial en el país, son justificadas. Agregaré además que en ningún momento se ha considerado que la IA “se basa en datos personales y se utiliza para el tratamiento de datos personales”,[5] por lo tanto, si se va a regular la IA, se debe incluir un marco normativo de protección de datos personales, tal como lo establece el Reglamento General de Protección de Datos de la Unión Europea, tanto en la etapa de entrenamiento como en la fase de desarrollo.
Ahora bien, la sentencia en comentario si bien no evalúa los alcances de la IA y los datos personales, sí es pertinente en tanto y en cuanto centra su análisis en la protección del derecho a la autodeterminación informativa a la hora de utilizar este tipo de programas para prevenir delitos En términos generales, observamos que al igual que el Tribunal Europeo de Derechos Humanos (TEDH), el Tribunal Constitucional Federal de Alemania (TCFA) permite el uso de datos automatizados, siempre y cuando esté dirigido a prevenir la comisión de delitos graves. No obstante, el TCFA opta por establecer claramente la tipicidad de los tipos delitos sujetos a evaluación y postula al principio de proporcionalidad como el método apropiado para determinar cuándo estamos frente a un peligro concreto e identificable en la prevención del delito.
Asimismo, a modo de obiter dicta, en su párrafo 100, el TCFA presenta algunas reflexiones pertinentes sobre la inteligencia artificial y el procesamiento de datos que merecen ser destacados. El TCFA subraya los riesgos asociados al uso de algoritmos complejos para la automatización del análisis de datos en la identificación de perfiles criminológicos. En primer lugar, destaca que estos sistemas algorítmicos complejos pueden desviarse de la programación humana original y empezar a elaborar nuevos perfiles, lo que dificulta que un agente de policía pueda supervisar el proceso de aprendizaje de la máquina y los resultados obtenidos. En segundo término, se refiere principalmente a la procedencia de los software de inteligencia artificial, los cuales suelen ser de origen privado y extranjero; el TCFA considera que esto conlleva el riesgo de manipulación o acceso a los datos de manera no detectada. Por último, se hace referencia a la posible aparición y aplicación de la discriminación algorítmica por parte del aprendizaje automático.
Conclusiones
Hemos examinado de manera general dos sentencias recientes que abordan la interacción entre la inteligencia artificial y la protección de datos personales. Aunque existe el riesgo de “securitización”, es decir, una perspectiva que prioriza la seguridad como requisito para la realización de aspectos socioeconómicos y como condición previa para el ejercicio de otros derechos,[6] resulta evidente que dos de los tribunales más destacados en la defensa de los derechos humanos han considerado legítimo el uso de inteligencia artificial en la prevención de delitos graves.
Es cierto que esta reflexión luego es matizada en ambos casos, pero el estado de desconocimiento de los alcances de la inteligencia artificial actuales y futuros no hacen sino afirmar que “las respuestas regulatorias adecuadas pueden ser particularmente obstaculizadas por una desconexión entre los actores políticos y los investigadores de IA en cuanto a cómo entienden la IA”.[7]
Bibliografía
BVerfG, Urteil des Ersten Senats vom 16. Febrero 2023. Recuperado de https://www.bverfg.de/e/rs20230216_1bvr154719.html
Cayotopa, Edward. La consolidación de securitización y el retroceso democrático. Eloy Espinosa-Saldaña (Ed.). En Desafíos del Bicentenario. Lima: Editorial Grijley, 2024.
European Court of Human Rigths. Case of Glukhin v. Russia, Application N° 11519/20. Recuperado de https://hudoc.echr.coe.int/eng?i=001-225655
König, Pascal D. et al. Genannt. DiMatteo, Larry A., Cristina Poncibò y Michel Cannarsa (eds.) “Essence of AI What Is AI?” En The Cambridge Handbook of Artificial Intelligence: Global Perspectives on Law and Ethics, pp. 18-34. Cambridge Law Handbooks. Cambridge: Cambridge University Press, 2022.
Lee, Kai-Fu. Superpotencias de la Inteligencia Artificial. Mercedes Vaquero (traductora). 4ta edición. Barcelona: Editorial Planeta, 2021
Nieva Fenoll, Jordi. Inteligencia artificial y proceso judicial. Madrid: Marcial Pons, 2018.
Rojas, Verónica. Breves comentarios acerca de la Ley de promoción de uso de inteligencia artificial en el Perú – Ley 31814. Eloy Espinosa-Saldaña (Ed.). En Desafíos del Bicentenario. Lima: Editorial Grijley, 2024.
Sahuquillo, María. “Putín, entre el desgaste y la adicción al poder”. El País (07 de enero de 2019). Recuperado de: https://elpais.com/internacional/2019/01/02/actualidad/1546446011_092191.html
Spiecker, Indra y Döhmann, Genannt. DiMatteo, Larry A., Cristina Poncibò y Michel Cannarsa (eds.) “AI and Data Protection.” En The Cambridge Handbook of Artificial Intelligence: Global Perspectives on Law and Ethics, pp. 132-145. Cambridge Law Handbooks. Cambridge: Cambridge University Press, 2022.
[1] Magíster en Justicia Constitucional y Derechos Humanos por la Universidad de Bologna (Italia) y especialista en Derecho Constitucional por la misma Casa de Estudios. Especialista en Técnicas de interpretación y motivación de las decisiones judiciales por la Universidad de Génova (Italia)-Girona (España). Abogado por la Pontificia Universidad Católica del Perú (PUCP). Profesor adjunto en Derecho Administrativo en la PUCP y ex profesor adjunto de Derecho Constitucional, Sistemas de Justicia y Argumentación Jurídicas en la misma Casa de Estudios. Ex docente del Posgrado de la Universidad Continental en Derecho Administrativo. Ex abogado-asesor del Tribunal Constitucional del Perú. Autor del libro titulado ¿Cómo mejorar la labor del Tribunal Constitucional peruano? publicado por Grijley Editores.
El autor agradece a Judith Nünemann por sus comentarios y correcciones en el idioma alemán para llevar a cabo el presente artículo.
[2] Traducción propia.- “Debes estar j***damente bromeando. Soy Konstantin Kotov. Estoy enfrentando hasta cinco años [en prisión] bajo el [Artículo] 212.1 por protestas pacíficas”. Cfr. THE FACTS, parágrafo 7 del caso Glukhin v. Rusia.
[3] Traducción propia.- El Tribunal reconoce que la lucha contra el crimen, especialmente contra el crimen organizado y el terrorismo, constituye uno de los desafíos fundamentales de las sociedades europeas contemporáneas, y que en gran medida depende del empleo de modernas técnicas científicas de investigación e identificación. No obstante, aunque se valora la importancia de estas técnicas en la detección y persecución del delito, el Tribunal debe precisar el alcance de su análisis. La cuestión no reside en si el uso de la tecnología de reconocimiento facial para procesar datos biométricos puede en general justificarse por el Convenio. El único asunto en consideración para la Corte, en el presente caso, es si el procesamiento de los datos personales del demandante fue justificado conforme al Artículo 8§2 del Convenio.
[4] Rojas, Verónica. Breves comentarios acerca de la Ley de promoción de uso de inteligencia artificial en el Perú – Ley 31814. Eloy Espinosa-Saldaña (Ed.). En Desafíos del Bicentenario. Lima: Editorial Grijley, 2024.
[5] Spiecker, Indra y Döhmann, Genannt. DiMatteo, Larry A., Cristina Poncibò y Michel Cannarsa (eds.) “AI and Data Protection.” En The Cambridge Handbook of Artificial Intelligence: Global Perspectives on Law and Ethics, pp. 132-145. Cambridge Law Handbooks. Cambridge: Cambridge University Press, 2022, p. 133
[6] Cayotopa, Edward. La consolidación de securitización y el retroceso democrático. Eloy Espinosa-Saldaña (Ed.). En Desafíos del Bicentenario. Lima: Editorial Grijley, 2024.
[7] König, Pascal D. et al. Genannt. DiMatteo, Larry A., Cristina Poncibò y Michel Cannarsa (eds.) “Essence of AI What Is AI?” En The Cambridge Handbook of Artificial Intelligence: Global Perspectives on Law and Ethics, pp. 18-34. Cambridge Law Handbooks. Cambridge: Cambridge University Press, 2022, p. 18.
Para citar: Edward Cayotopa Luna, “Los datos personales, la securitización y la inteligencia artificial: ¿hacia dónde vamos?” en Blog Revista Derecho del Estado, 24 de julio de 2024. Disponible en: https://blogrevistaderechoestado.uexternado.edu.co/2024/07/24/los-datos-personales-la-securitizacion-y-la-inteligencia-artificial-hacia-donde-vamos/