El algoritmo decidió no contratarte: ¿es eso legal?

 Foto Ref

Traducción del post de Peter Fleischer 20120920

Yo empleo un montón de tiempo en pensar sobre privacidad y algoritmos.

El periódico The Wall Street Journal sacó una historia muy interesante: “Conoce al Nuevo Jefe: Big Data”, sobre cómo los algoritmos se están usando para tomar decisiones sobre personal, como contratación y promoción. El artículo señalaba que tales algoritmos podrían plantear problemas legales a la luz de la legislación estadounidense antidiscriminatoria, si a propósito o inadvertidamente filtrasen para descartar ciertas categorías protegidas de empleados, como por ejemplo mayores de una cierta edad. Pero el artículo no entra en un tema legal aún más básico, al menos en Europa.

En Europa la “decisiones individuales automatizadas” son una infracción de la leyes de privacidad europeas. El Artículo 15 de la Directiva Europea sobre tratamiento de datos personales garantiza: el derecho de las personas  “...a no verse sometidas a una decisión con efectos jurídicos sobre ellas o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta, etc”.

Bueno, eso lo expresa con toda la claridad con que puede hacerlo una ley. En nuestra era del Big Data todos sabemos que los algoritmos se están refinando y usando más y más ampliamente para tomar decisiones sobre contratación y promoción, y muchos otros temas. Pero cuando estas decisiones estén basadas únicamente en algoritmos, estarán infringiendo la legislación europea de privacidad. Punto. La única manera en que tales algoritmos se pueden emplear de manera legal sería suplementarlos con otras medidas para salvaguardar los intereses legítimos de la persona a la que se está evaluando; por ejemplo, permitiéndole expresar su punto de vista.

Yo soy un gran creyente de que los algoritmos nos pueden ayudar a todos nosotros (gobiernos, empresas, particulares) a tomar mejores decisiones. Pero cuando un programa informático está tomando por sí mismo decisiones clave sobre a quién contratar o despedir, o sobre si ampliar o no el crédito a alguien, es justo requerir salvaguardias adicionales. Las leyes de privacidad en Europa las requieren. Yo soy agnóstico sobre si los algoritmos son más o menos justos que los humanos al tomar muchas de tales decisiones. En todo caso, las empresas que usen tales algoritmos tienen que considerar cómo hacer que se ajusten a la legislación de privacidad europea. Cuando los algoritmos se usen para suplementar otras herramientas de evaluación, deberían considerarse legales. Cuando los algoritmos se usen para tomar esas decisiones por ellos mismos, existe un riesgo serio de que fueran considerados ilegales. Úsense con cuidado.

o0o

algoritmo. (Quizá del lat. tardío *algobarismus, y este abrev. del ár. clás. 'cálculo mediante cifras arábigas').

1.  m. Conjunto ordenado y finito de operaciones que permite hallar la solución de un problema.

Es hora de una “Agencia Líder” para Europa

  

Traducción del post de Peter Fleischer 20120816
       

¿Quién está al mando en Europa? Este es un acertijo usual para los que trabajamos en el campo de la privacidad en Europa. Cuando estuve en Berlín en una conferencia sobre privacidad (foto adjunta), todo el mundo hablaba sobre eso.

Las agencias de protección de datos juegan un papel vital para el cumplimiento de las leyes de privacidad. Así pues, es natural preguntarse cuál agencia tendrá jurisdicción para hacer cumplir las leyes de privacidad. Durante muchos años he abogado por la idea de una “Agencia Líder” en Europa. Tiene mucho sentido que una de las agencias europeas asuma el papel de líder entre todas las de Europa. Alentaría la homogeneidad a lo largo de Europa, proporcionaría una relación regulatoria más profunda, ahorraría impuestos a los contribuyentes, pues las numerosas agencias no estarían cada cual reinventando la rueda normativa. Esto es exactamente lo que la Comisión Europea está proponiendo en su re-redacción de las leyes para Europa.

Tomemos el ejemplo de Facebook, cuyas actividades europeas tienen su sede social en Irlanda. Normalmente, la agencia de protección de datos irlandesa sería, por tanto, la agencia líder respecto a Facebook en representación de Europa. Y de hecho así ha actuado, llevando a cabo una auditoría a nivel de toda la compañía sobre las prácticas de privacidad de Facebook.

La clave para hacer que todo esto funcione está clara: el concepto de “Agencia Líder” no puede funcionar a menos que otras agencias se remitan a su agencia hermana. Por eso esta historia me llamó la atención: La Agencia de Protección de Datos alemana reabre sus investigaciones sobre el software de reconocimiento facial de Facebook. A pesar de que la irlandesa está actualmente investigando la misma cosa; y a pesar de que la alemana había expresado anteriormente que iban a remitirse a la auditoría irlandesa antes de actuar.

El mundo normativo alemán es un microcosmos del mundo normativo europeo. Cada uno de los “Land” en Alemania tiene su propia agencia de protección de datos. En teoría, cada una de ellas es completamente independiente, y es libre de investigar o regular separadamente, o además de, o incluso de modo diferente, a cualquiera de sus agencias hermanas alemanas. Pero en la práctica, las agencias alemanas han desarrollado una costumbre (no basada en la ley sino en la deferencia y el respeto mutuo), de remitirse a la “Agencia Líder Alemana”. En el ejemplo de Facebook, la agencia de Hamburgo está liderando en representación de sus agencias hermanas alemanas, porque el establecimiento de Facebook Alemania está situado en Hamburgo. De ahí que Hamburgo, en vez de, digamos, Múnich, esté investigando a Facebook.

Así que la cuestión es simple: las agencias alemanas han desarrollado el concepto de “Agencia Líder” entre ellas mismas. Pero ¿están dispuestas a respetar el mismo concepto, y mostrar la misma deferencia regulatoria necesaria a un nivel europeo? Por ejemplo, ¿respecto a la agencia irlandesa?

Si la propuesta de la Comisión Europea llega a convertirse en ley, entonces el concepto de “agencia líder” quedará consolidada legalmente. Yo a menudo critico otros aspectos de la propuesta de la Comisión, pero en lo de la “agencia líder” aplaudo sus esfuerzos. El tema es polémico, y la agencia francesa, la CNIL, por poner un ejemplo, está muy empeñada en atacar públicamente el concepto de “agencia líder” precisamente porque ellos no quieren remitirse a una agencia líder que no sea francesa.

Mientras tanto, no es fácil saber quién está al mando. Yo soy de los que creen que la efectividad normativa es más efectiva cuando está absolutamente claro quién está al mando.

o0o

Arcoiris en Ravello: ¿Tecnocracia o Democracia?

El Consejero Global de Privacidad de Google, con su visión planetaria de la protección de datos, pone el dedo en la llaga del devenir político europeo.

Traducción libre del post de Peter Fleischer 20120815

 Al igual que a la élite europea desde hace siglos, a mí me encanta el verano en Ravello. La civilización ha florecido en estas cautivadoras colinas desde hace milenios. La democracia ha imperado aquí durante sólo breves interludios. Por cierto, que la moderna Italia ha desistido de tener un Primer Ministro elegido, y en su lugar a designado como líder a un (respetado) tecnócrata. El "déficit democrático" en Europa está bien documentado. Cuando las cosas se ponen duras en Europa, bueno, ¿volvemos la espalda a la democracia? Virtualmente toda la legislación de nivel europeo está redactada por los tecnócratas inelectos de la Comisión Europea basados en Bruselas. (Tengo un profundo respeto por la inteligencia y profesionalidad del equipo humano de la Comisión, así que mis comentarios son institucionales, más que individuales). Lo que es cierto para prácticamente toda la legislación europea es también cierto para la protección de datos. La actual propuesta europea de revisar la Protección de Datos Europea es una gesta tecnocrática.

La Comisión ha escogido el enfoque de un Reglamento (ley directamente aplicable) en vez del enfoque de una Directiva (la ley anterior era una Directiva, lo que deja margen para que los parlamentos nacionales realicen adaptaciones). Hay pros y contras en el enfoque del Reglamento. La mayor ventaja es que dará lugar a leyes de privacidad uniformes, plenamente armonizadas a lo largo y ancho de Europa. Por eso a las empresas les encanta: es más fácil cumplir con un único juego de reglas, en vez de con docenas de reglas (ligeramente distintas). La mayor desventaja es que un reglamento no deja margen para que los parlamentos nacionales introduzcan sus propias opciones democráticas y legitimidad a las leyes de privacidad en Europa.

La Privacidad es el producto de la cultura y de la historia, y naturalmente, las actitudes hacia la privacidad varían ampliamente en toda Europa, dada la enorme diferencia cultural y las experiencias históricas. Incluso países vecinos, como Alemania y Dinamarca, tienen muy distintas visiones de la privacidad, dadas sus diferentes historias y culturas. Dada la historia de Alemania, esperamos que los alemanes sean particularmente sensibles a los temas de privacidad. Pero ¿deben los puntos de vista alemanes sobre la privacidad, basados en la traumática historia alemana, o los puntos de vista franceses sobre el Estado-dirigismo, basados en siglos de un Estado centralizado todopoderoso, dictar las leyes de privacidad en un país como Gran Bretaña que ha sido una democracia parlamentaria estable desde hace siglos? La mitad de los Estados Miembros de la Unión Europea son democracias de primera generación. ¿Vale una talla para todos?

Las decisiones más duras en las leyes de privacidad son profundamente políticas. Por ejemplo, ¿qué coste estamos dispuestos a imponerle a las empresas para mejorar el cumplimiento de la privacidad? Esto es una clara negociación política: ¿Cuánta burocracia, como las evaluaciones de impacto de privacidad, los nombramientos obligatorios de Delegados de Protección de Datos, etc., son suficiente antes de que los costes se hagan demasiado gravosos para las empresas europeas, en particular las PYMEs? ¿Donde trazas la línea entre la libertad de expresión y el “derecho al olvido”? ¿Dónde la línea entre la privacidad de los ciudadanos y la inspección gubernamental? ¿Cuánta flexibilidad tienen que incluir las leyes para reflejar las diferencias culturales y regulatorias entre los países de Europa? ¿Es un Reglamento el instrumento adecuado en interés de la armonización, o es democrática la flexibilidad de una Directiva? ¿Cómo de altas deben fijarse las multas por errores de cumplimiento en el manejo de datos (lo bastante altas para castigar/disuadir, pero no tan altas que congelen la innovación europea y la asunción de riesgos)? Todos estos temas son profundamente políticos. Tengo mis ideas, y la inelecta Comisión tiene sus ideas, y las inelectas agencias de protección de datos tienen sus ideas, pero... ¿qué es lo que piensan los políticos europeos elegidos?

Ha habido muy poco debate político en Europa sobre cómo hay que actualizar las leyes de privacidad para el mundo moderno. Los tecnócratas de la Comisión Europea ya han tenido su turno de voz, y naturalmente están recelosos de ver que su cuidadoso paquete de compromisos de privacidad se reabran en un enfollonado debate democrático en el Parlamento Europeo, o en cualquier otra parte. La democracia vaya si es enfollonada, pero como dice el dicho: más vale lo bueno conocido que lo malo por conocer.

La “Privacidad” es un tema democrático y profundamente político. Es demasiado precioso para dejarle a los tecnócratas todas las difíciles decisiones sobre privacidad. La Privacidad necesita y merece un debate democrático y político. Quizás todo esto sea parte de un mucho más grande déficit democrático en Europa. Estamos en una senda de “resolver” la crisis del Euro mediante transferir todavía más poder desde los líderes nacionales elegidos a los inelectos tecnócratas de Bruselas. Sin embargo, confío que veamos un vibrante debate en el Parlamento Europeo sobre protección de datos. Las leyes de privacidad precisan de legitimación democrática. En todo caso, eso es lo que nosotros, la élite europea, estamos debatiendo, entre tragos de Campari, sobre la costa de Amalfi.

o0o