El escepticismo de Gemma Galdon ante las futuras regulaciones tecnológicas, que pueden caer en los mismos errores del RGPD: "4 años después seguimos en el inmovilismo"

El Reglamento General de Protección de Datos (RGPD) ya lleva cuatro años en vigor. Han pasado seis, en realidad, desde que se publicó. Y aunque tanto el número de sanciones como su cuantía a aquellas compañías que lo vulneren han ido creciendo en los últimos meses, todavía queda un largo camino por recorrer.

Max Schrems, presidente de la plataforma NOYB, None Of Your Business (en español, "no es tu asunto"), conoce bien su articulado. No en balde, ha logrado tumbar hasta dos acuerdos entre EEUU y la Unión Europea para garantizar las transferencias de datos al otro lado del Atlántico. El último se derribó en julio de 2021 y ha puesto en jaque a compañías como Google o Meta (antes Facebook).

Precisamente NOYB compartía un comunicado hace unos días en el que lamentaba que el RGPD no había "cambiado una cultura de incumplimientos". "Estos últimos cuatro años han demostrado que una ley por sí sola no puede cambiar modelos de negocio que abusan de los datos personales".

La española Gemma Galdon es la fundadora de Eticas, el nombre al que responden tanto una auditora especializada en ética algorítmica, y una fundación que se dedica a investigar precisamente los desafíos y amenazas que algunos modelos de inteligencia artificial presentan, sobre todo a colectivos que pueden verse todavía más vulnerabilizados por decisiones automáticas injustas.

Galdon comparte parte de lo que denuncia NOYB, aunque sí cree que una ley "puede cambiar dinámicas muy importantes". En declaraciones a Business Insider España, la especialista española considera que lo que tiene ocurrir es que esa ley "tiene que cumplirse".

Uno de los padres del RGPD advierte que el coronavirus ya ha dejado obsoletas las leyes sobre protección de datos en Europa

"A pesar de algunas multas millonarias, en comparación con las dinámicas que se observan, la cantidad de actores que son multados es muy baja. Para producir un cambio sistémico no solo necesitamos leyes, también un cambio de conciencia, un cambio político, un cambio en las dinámicas y en la sensibilización por parte de todo el mercado", continúa.

Con todo, Galdon apunta que una ley en sí misma "tendría que ser capaz de conseguir mucho más de lo que se ha conseguido". "Si no lo ha conseguido es porque ha tenido y todavía tiene un grave problema de implantación, que si no abordamos, corremos el grave riesgo de que nuevas leyes vinculadas a los datos tengan el mismo problema".

En ese sentido, Gemma Galdon hace alusiones al futuro Reglamento de la Inteligencia Artificial, cuyo borrador ya presentó la Comisión Europea en abril del año pasado y podría ser aprobado en los próximos meses. Este reglamento plantea que ningún modelo de IA está exento de riesgos. Sin embargo, el mayor riesgo del texto podría ser que tampoco se cumpla.

Varios expertos ya explicaron a Business Insider España que las futuras regulaciones que se cocinan en Europa para la industria tecnológica (como el Reglamento de Servicios Digitales o el Reglamento de Mercados Digitales) podrían incurrir precisamente en los mismos problemas que sufre el RGPD, que no termina de llegar a donde debería llegar.

Para Galdon, el RGPD se puede haber convertido en "papel mojado" porque no se termina de cumplir. "En el último año ha habido una mejora evidente en ese esfuerzo de cumplimiento. Pero es que las leyes no hay que esforzarse por cumplirlas. No basta con dar pasitos. Pero hay que cumplirlas". "Es inaceptable que 4 años después de la entrada en vigor haya tanto incumplimiento".

Cómo hemos llegado hasta aquí

En España, se aprobó la famosa ley rider hace más de un año. En su articulado se incluía la necesidad de que los representantes de los trabajadores pudiesen conocer cómo los algoritmos de uso laboral podían estar discriminando a los empleados en caso de que se aplicase uno para repartir vacaciones o para medir el rendimiento.

Sin embargo, varios meses después de que eso se convirtiese en norma, poco ha sucedido. Galdon cree que se ha fallado a la hora de definir qué es la transparencia. "Si transparencia es abrir el código del algoritmo, tenemos colisión de derechos con temas de propiedad industrial. Igual habría que desarrollar mecanismos de transparencia que permiten ser transparentes sin vulnerabilizar eso".

El Gobierno aprueba la ley de 'riders' que reconoce a los repartidores como asalariados y obliga a las empresas a informar sobre sus algoritmos: "España se pone a la vanguardia internacional"

"Nadie conoce la fórmula de Coca Cola pero hemos podido constatar que es apta para el consumo humano. No necesitamos saber el secreto del algoritmo para auditarlo y ver que no es perjudicial para la población y no actúa de forma discriminatoria o injusta", destaca. Por eso, Gemma Galdon cree que esa falta de definición de transparencia ha llevado a mucho "inmovilismo".

"Pero la industria también podría haber dado un paso y haber puesto sobre la mesa qué transparencia quiere tener". 

Esos mecanismos se están desarrollando desde Eticas. Algunas posibilidades son auditorías o "prospectos algorítmicos", "para asegurar que se hace una transparencia efectiva que no pasa por compartir el código pero sí los datos claves sobre cómo funciona el sistema" con el que los sindicatos u otros afectados podrían intervenir y reclamar garantías en esos procesos.

El problema, en realidad, es que el debate sobre la privacidad no termina de llegar a la clase política. "Ni en España ni en ningún otro país, me atrevería a decir", opina Galdon. "Es la clase que demuestra menor información y conocimiento sobre temas tecnológicos. Hay muy pocos políticos que no hacen el ridículo cuando hablan de tecnología. Hablan más de ciencia ficción que de posibilidades".

"El problema es evidente. Si vemos que cada vez hay más derechos que se ven mermados en entornos de datos y los parlamentos no se dan cuenta de la necesidad de proteger y crear mecanismos de subsanación de derechos en estos espacios, será más complicado rescatar a personas de esos malos procesos algorítmicos".

El director del Supervisor Europeo de Protección de Datos confía en que 2022 será un año clave para mejorar el RGPD y lograr "una aplicación más efectiva en el mundo digital"

Con todo, la fundadora y responsable de Eticas Consulting y Eticas Foundation señala que a nivel de conciencia ciudadana estamos mejor que hace 2 años. Pero ante el horizonte regulatorio —futuros reglamentos europeos para la industria tecnológica— surgen dudas. "No sé si la solución es crear más legislación y no abordar los problemas de su implementación".

"Lo importante no es la cantidad de las leyes, sino que se cumplan. No sé si con esa hiperactividad legal vamos a solventar el problema real". Muchas de las futuras leyes tendrán un impacto brutal en el mercado de los datos, pero "ese impacto brutal" ya "se esperaba del RGPD" y lo que hay en realidad es "un inmovilismo por parte de la industria y de las Administraciones Públicas".

Al menos, ahora hay más conciencia ciudadana

En Eticas llevan semanas recopilando "historias de bad data": malos casos de uso de datos personales, o decisiones automáticas injustas. La mayoría son historias que envuelven a la industria de las telecomunicaciones, y a cómo las grandes operadoras hacen y deshacen con los datos de sus propios clientes.

Pero Gemma y su equipo también se están encontrando con historias sorprendentes. "Hay algunas cosas muy bestias. A una persona 'la casaron' con su padre, con lo cual tenía un problema importantísimo con lo que constaba en documentos oficiales". "Muchos casos revelan que los datos con los que se alimentan los algoritmos son datos con muchísimos problemas".

"No podemos confiar en los datos cuando son datos mal recogidos, mal cruzados, mal conservados y a veces caducados", enfatiza.

"Silicon Valley está matando la innovación": por qué hay que empezar a auditar los algoritmos a las tecnológicas para evitar distopías, según una experta

En cuestión de semanas han recopilado más de un centenar de estas historias, lo que para Galdon refleja que "el nivel de conciencia a nivel poblacional sobre lo que pasa con los datos ha aumentado de forma brutal", aunque esta concienciación todavía no haya llegado a las Cortes.

También que muchos de estos problemas con los datos se producen en la Administración Pública, con lo que "parece evidente" que hace falta "un trabajo de formación, tanto sobre el marco legal de los datos como por las implicaciones que estos tienen, tanto en el sector privado como en el sector público, para que los derechos de los ciudadanos se respeten".

De hecho, Eticas trabaja ahora en un informe sobre cómo es el derecho al acceso a los propios datos de los usuarios y de los ciudadanos. "Estamos viendo precisamente como a las Administraciones Públicas les cuesta entender que los datos no son suyos, sino del ciudadano", avanza.