El pasado 5 de febrero, el Tribunal de la Haya pronunció un fallo histórico anulando la recopilación de datos y la elaboración de perfiles de riesgo de los ciudadanos holandeses para detectar fraudes en la seguridad social (SyRI). En su sentencia, el Tribunal se basa en un análisis en virtud del artículo 8.2 CEDH, y no en el RGPD.
En primer lugar, ¿qué es SyRI? Es un instrumento legal que el gobierno holandés utiliza para prevenir y combatir el fraude en el campo de la Seguridad Social y los impuestos. Para lograrlo, recopila datos personales creando perfiles de riesgo de los ciudadanos a través de algoritmos propietarios (opacos).
Según el legislador, los datos se pueden vincular y analizar de forma anónima en un entorno seguro, de modo que se puedan generar informes de riesgos. Todos los ciudadanos de los Países Bajos son, según SyRI, sospechosos.
¿Cómo se activa SyRI? Es activado por el Ministerio a petición de los municipios (alcaldes o concejales), las autoridades fiscales nacionales, el Servicio de Inmigración y de los reguladores.
Esas autoridades forman una sociedad en la que intercambian datos. Con el despliegue de SyRI, los archivos en poder de estos organismos se vinculan para poder identificar fraudes en las áreas mencionadas, y así, aumentar las posibilidades de ser capturados.
Es decir, se intercambian datos personales de los ciudadanos.
¿Cuál es la legislación que legitima el uso de SyRI?
La Ley SUWI, modificada por el Decreto SUWI, denominadas como ‘la legislación SyRI’.
El punto de partida es que los organismos designados que participan en una asociación están obligados a proporcionarse mutuamente la información necesaria. Luego son co-responsables del tratamiento de los datos.
Si hay una empresa conjunta en la que las autoridades participantes quieren usar SyRI, hacen una solicitud al Ministro a tal efecto. En este caso, la información necesaria debe ser proporcionada al Ministro, y ésta pasa a ser el responsable del tratamiento de los datos.
¿Qué datos pueden ser tratados por SyRI? Pues aquí ya empieza la parte más polémica (Artículo 5a.1 párrafo 3 del Decreto SUWI):
1. Datos de trabajo, que son datos con los que se puede determinar el trabajo realizado por una persona;
2. Información sobre medidas y sanciones administrativas, que es información que muestra que una persona física o jurídica ha recibido una multa administrativa o que se ha tomado otra medida administrativa;
3. Datos fiscales, que son datos utilizados para determinar las obligaciones fiscales de una persona física o jurídica;
4. Datos sobre bienes muebles e inmuebles, que son datos con los que una persona física o jurídica puede determinar la posesión y el uso de ciertos bienes;
5. Datos por motivos de exclusión de asistencia o beneficios, que son datos que muestran que una persona no es elegible para recibir beneficios;
6. Datos comerciales, que son datos que pueden usarse para determinar la naturaleza y las actividades de una persona jurídica;
7. Datos de alojamiento, que son datos con los que se puede determinar el lugar de residencia (real) o la ubicación de una persona física o jurídica;
8. Identificar datos, estar con una persona física: nombre, dirección, lugar de residencia, dirección postal, fecha de nacimiento, género y características administrativas y con una persona jurídica: nombre, dirección, dirección postal, forma legal, lugar de negocio y características administrativas;
9. Datos de integración, que son datos que pueden usarse para determinar si se han impuesto obligaciones de integración a una persona;
10. Datos de cumplimiento, que son datos con los que se puede registrar el historial de cumplimiento de las leyes y reglamentos de una persona física o jurídica;
11. Datos educativos, que son datos con los que se puede determinar el apoyo financiero para la financiación de la educación;
12. Datos de pensiones, que son datos con los que se pueden determinar los derechos de pensión;
13. Datos de reintegración, que son solo los datos que pueden usarse para determinar si las obligaciones de reintegración se han impuesto a una persona y si se cumplen;
14. Datos de endeudamiento, que son datos con los que se pueden determinar las deudas de una persona física o jurídica;
15. Datos de beneficios, subsidios y subsidios, que son datos que pueden utilizarse para determinar el apoyo financiero de una persona física o jurídica;
16. Permisos y exenciones, que son datos que pueden usarse para determinar las actividades para las cuales una persona física o jurídica ha solicitado u obtenido permiso;
17. Datos del seguro de salud, que son exclusivamente los datos que se pueden utilizar para determinar si una persona está asegurada en virtud de la Ley de seguro de salud.
17 categorías de datos que, a su vez, contienen aún más información.
El tratamiento de estos datos consta de dos fases: el tratamiento (fase 1) y el análisis (fase 2). En la primera fase, se reúnen los archivos y se pseudonimizan. Entre otras cosas, los nombres personales y de la compañía, los números de seguridad social y las direcciones. Se reemplazan por un código (seudónimo).
Después de esto, el responsable del tratamiento aplica el primer paso en la selección del riesgo a estos datos cifrados: el archivo fuente se verifica automáticamente con el modelo de riesgo con todos los indicadores.
Esto genera posibles resultados. Un resultado potencial indica un mayor riesgo de fraude. Se crea un archivo de clave que indica qué nombre personal o de la empresa, número de seguridad social o dirección pertenece a un seudónimo específico.
Cuando ciertas personas físicas, personas jurídicas o direcciones se clasifican como de mayor riesgo en función del modelo de riesgo, se descifran nuevamente utilizando el archivo de clave.
Luego, son transferidos al Ministro para la segunda fase del análisis de riesgos. Si una persona física o jurídica con un mayor riesgo no es objeto de un informe de riesgos, sus datos se destruirán dentro de las cuatro semanas posteriores a la finalización del análisis.
La información en el registro de informes de riesgos está sujeta a un período de retención de dos años después del registro del informe de riesgos.
¿Quién supervisa todo este proceso? La Autoridad Holandesa de Protección de Datos, velando por el cumplimiento del RGPD, y como un regulador externo de privacidad que supervisa el cumplimiento de la legislación SyRI, entre otras cosas.
Y, ¿dónde está el conflicto? El tribunal debe evaluar si la legislación SyRI cumple con los requisitos del Artículo 8, párrafo 2 del CEDH (Derecho al respeto a la vida privada) para justificar el intercambio mutuo de datos personales.
Concretamente, los siguientes puntos:
1. El intercambio mutuo de datos personales entre organismos administrativos.
2. La provisión de datos personales al Ministerio.
3. El suministro de datos personales al IB (La Fundación para la Información), designado como responsable del tratamiento para vincular archivos en SyRI.
4. El tratamiento de datos personales por parte del IB, incluida la elaboración de perfiles.
5. El suministro de datos personales por parte del IB al Ministro.
6. La realización de informes de riesgos el registro de notificaciones.
7. El hecho de que los sujetos de los datos sólo son informados sobre el tratamiento de sus datos personales en SyRI si son objeto de un informe de riesgos y, luego, solo a petición de los mismos.
8. La regulación de la supervisión del despliegue de SyRI, en particular el hecho de que el Ministro sea la única parte que supervisa el despliegue de SyRI.
El Tribunal estableció que la legislación SyRI no cumple con el requisito establecido en el Artículo 8.2 del CEDH. La intromisión en el ejercicio del Derecho al respeto de la vida privada en una sociedad democrática debe ser necesaria y PROPORCIONAL en relación con el propósito previsto.
EL Tribunal afirmó que la legislación SyRI no cumple con el ‘equilibrio justo’ que debe existir entre el interés social al que sirve la legislación y la violación de la vida privada que la legislación produce.
Como pueden ver en el párrafo anterior, el Tribunal tiene en cuenta los Principios sobre los que se basa el RGPD. Concretamente, los Principios de Transparencia, de Limitación de la Finalidad, y el de Minimización de Datos. Estos dos últimos principios juntos conforman la PROPORCIONALIDAD aplicada en la captación de datos, la FASE MÁS IMPORTANTE en el tratamiento de los datos personales.
Y, es que, si volvemos atrás en este hilo, vemos la cantidad de datos personales que son recopilados y tratados que, totalmente desproporcionado respecto a la finalidad misma del tratamiento.
El Tribunal vuelve a insistir en la importancia del Derecho al respeto a la vida privada, y establece que también protege el derecho a la autonomía personal, al desarrollo personal y al autodesarrollo y el derecho a entablar relaciones con los demás y con el mundo exterior.
Finalmente, en el caso del tratamiento de datos personales, el derecho al respeto a la vida privada también afecta el derecho a la igualdad de trato en casos iguales y el derecho a la protección CONTRA LA DISCRIMINACIÓN, los estereotipos y la estigmatización.
Y, precisamente, estos son los derechos que se violan en el uso indiscriminado de perfiles y de decisiones automatizadas, y por los que se está luchando tanto desde la perspectiva ética. Es por eso que esta sentencia es tan importante, y marca un enorme precedente.
También se discute en la Sentencia qué tipo de tecnología es usada. Esta parte es sumamente interesante, pues el hecho de que el algoritmo sea propietario, juega en contra del Estado, pues el Tribunal considera que no puede probar la precisión de la posición del Estado sobre qué es exactamente SyRI porque no se ha hecho público el modelo de riesgo y los indicadores que conforman o pueden consistir en el modelo de riesgo.
Lo mismo sucede con la legislación SyRI. No muestra cómo funciona el modelo de decisión de SyRI y cuáles son o pueden ser los indicadores que se utilizan en un proyecto de SyRI.
El Tribunal no pretende que se haga una divulgación total del algoritmo, pero sí esperaba una información mucho más sólida sobre los criterios objetivos en los que se desarrolló el modelo y los puntajes y la forma en que se abordaron los riesgos particulares para las personas.
Es más, la legislación SyRI dice explícitamente SyRI se pueda utilizar para análisis predictivos, Deep Learning y Data Mining. Previendo explícitamente la posibilidad de adaptar un modelo de riesgo sobre la base de una EVALUACIÓN (perfil), y también se pueden desarrollar nuevos modelos de riesgo con nuevos indicadores.
Y el Tribunal considera inherente al instrumento SyRI, dados los propósitos para los cuales se procesan los datos personales en SyRI, y las definiciones de los conceptos de modelo de riesgo e indicador de riesgo, que el uso de SyRI utiliza perfiles de riesgo basados en hechos existentes.
Además, la legislación de SyRI no establece ninguna obligación de información de aquellos cuyos datos se tarten en SyRI, ni la obligación de informar a los interesados por separado sobre el hecho de que se ha realizado un informe de riesgos.
Otro factor que no deja de sorprender es cómo el Tribunal aborda el artículo 22 del RGPD, aplicado a las decisiones basadas únicamente en el tratamiento automatizado. El Tribunal presenta su razonamiento directamente en virtud del artículo 8.2 del CEDH.
Y, ¿qué hay de la Evaluación de Impacto relativa a la protección de datos establecida en el artículo 35 RGPD? El Tribunal considera que debió realizarse en virtud del artículo 35.1 RGPD.
El Estado se defendió diciendo que no era necesario hacer la Evaluación de Impacto relativa a la protección de datos acogiéndose a la excepción del artículo 35.10 RGPD.
La única Evaluación de Impacto de Protección de Datos que se realizó fue una con respecto a la ley SyRI que permite la realización de proyectos específicos de SyRI, y se llevó a cabo antes de la adopción del RGPD.
Pero el Tribunal vuelve a dejar de lado las preguntas sobre el cumplimiento del RGPD argumentando directamente sobre la base del Artículo 8 CEDH.
Por lo tanto, el Tribunal considera que la legislación SyRI, en lo que concierne al despliegue de SyRI, es contraria al artículo 8.2 CEDH.
Por lo tanto, esto es un gran avance para luchar contra la discriminación producida por las decisiones automatizadas y por los perfiles. Vemos también que el Tribunal pone como límite a la confección de perfiles que contengan salvaguardas significativamente más sólidas, y en línea con los principios del CEDH del Artículo 8.
El hecho de que el Tribunal no se haya apoyado en la Ley de Protección de Datos, sino en el Convenio Europeo de Derechos Humanos, es a tener muy en cuenta. ¿Puede ser un tirón de orejas al RGPD por dejar desprotegidos a los ciudadanos ante la confección de perfiles? Puede que indirectamente, sí.
La buena noticia es que hay un precedente que puede marcar un antes y un después, y ese precedente está apoyado en el artículo 8.2 CEDH, Derecho al respeto a la vida privada.