Mal Uso de IA para Perfilado: Manual de Supervivencia Legal
El Espejismo de la Inteligencia Artificial: ¿Qué estamos perfilando realmente?
Vivimos en una era fascinante. Hemos construido herramientas que nos observan, aprenden de nosotros y toman decisiones sobre nuestras vidas. Las llamamos ‘Inteligencia Artificial’, un nombre con aires de ciencia ficción que nos distrae de su naturaleza real: son, en esencia, sistemas matemáticos increíblemente rápidos que procesan cantidades masivas de información. No piensan, calculan. No entienden, correlacionan. Y en esa simple distinción reside el origen de todo el quilombo legal que generan.
El ‘perfilado de usuarios’ no es más que la versión digital y anabolizada del viejo chusmerío de barrio. Se recolecta información sobre vos: qué comprás, dónde vas, qué te gusta, con quién hablás. Luego, un algoritmo busca patrones y te mete en una cajita: ‘potencial comprador de autos caros’, ‘riesgo crediticio alto’, ‘interesado en dietas milagrosas’. Esta etiqueta, este perfil, se usa para tomar decisiones automatizadas que te afectan directamente. Desde el precio que te muestran por un pasaje de avión hasta si te aprueban o no una hipoteca.
Lo curioso es nuestra voluntaria participación en este espectáculo. Cedemos nuestros datos con la alegría de quien recibe un caramelo, a cambio de ‘experiencias personalizadas’. Y aquí es donde entra en escena nuestra querida Ley de Protección de Datos Personales, la N° 25.326. Sancionada en el año 2000, cuando la IA era algo que veíamos en las películas, esta ley establece principios que hoy son más relevantes que nunca. Define qué es un dato personal (toda información referida a personas físicas determinadas o determinables) y, más importante, qué es un dato sensible: aquellos que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual. ¿Adivinen qué tipo de datos son oro en polvo para los perfilados más invasivos? Exacto.
El problema no es la tecnología en sí. El problema es la ingenua creencia de que un resultado generado por una computadora es inherentemente objetivo y neutral. No lo es. Un algoritmo es tan bueno, o tan sesgado, como los datos con los que se lo entrena y las reglas que le impone su programador. Si alimentás a un sistema con datos históricos que reflejan prejuicios sociales, el sistema aprenderá a ser prejuicioso, pero con una eficiencia aterradora.
La Ley 25.326: Ese viejo conocido que todos ignoran
Es conmovedor ver cómo se debate sobre la ética de la IA como si fuera un territorio inexplorado, mientras tenemos una ley que, si se aplicara con rigor, resolvería el 90% de los problemas. La Ley 25.326 se sostiene sobre pilares que parecen escritos por un filósofo con sentido común, algo que escasea bastante.
El primer principio es el del consentimiento. Artículo 5: ‘El tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado’. ‘Libre’, ‘expreso’ e ‘informado’. No es el ‘Acepto’ que tildás sin leer en un texto de 80 páginas. Significa que tenés que saber para qué se van a usar tus datos, quién los va a usar y por cuánto tiempo. Si te piden datos para una cosa y los usan para perfilarte para otra, ese consentimiento es nulo.
Luego está el principio de finalidad (Artículo 4). Los datos deben ser recogidos con un fin determinado, explícito y legítimo. No se pueden usar después para cualquier otra cosa que se le ocurra a la empresa. ¿Juntaste datos para facturar un servicio? Perfecto, no podés usarlos para construir un perfil psicológico y venderlo al mejor postor. Parece obvio, pero en la práctica es una ficción.
Y mi favorito, el principio de calidad del dato (Artículo 4). Los datos deben ser ‘ciertos, adecuados, pertinentes y no excesivos’. Esto es un misil directo a la línea de flotación de muchos sistemas de perfilado que operan con correlaciones espurias y datos desactualizados, tomando decisiones que pueden arruinarte el día basándose en información que es, sencillamente, basura estadística.
Nuestra ley, a diferencia del GDPR europeo, no habla explícitamente de ‘decisiones automatizadas’. Sin embargo, de la interpretación de estos principios y del derecho de acceso (Artículo 14) se desprende que cualquier persona tiene derecho a saber qué información tuya tienen, de dónde la sacaron y para qué la usan. Y si esa información es la base de una decisión automática que te perjudica, tenés todo el derecho del mundo a impugnarla.
Consejos para el Acusado: ‘Yo no fui, fue el algoritmo’
Ahora, pongámonos del otro lado del mostrador. Sos una empresa, un desarrollador, y creaste un sistema de IA para, digamos, ‘optimizar procesos’. De repente, te cae una intimación porque tu algoritmo le denegó un préstamo a alguien basándose en su código postal. Qué sorpresa.
El primer impulso, muy humano, es esconderse detrás de la máquina. ‘Es un sistema complejo’, ‘la decisión la tomó el algoritmo’, ‘es una caja negra’. Lamento informarte que, para la ley, esa excusa tiene la misma validez que ‘el perro se comió mi tarea’. La responsabilidad por el tratamiento de datos es indelegable. El responsable de la base de datos sos vos, la empresa. El algoritmo es tu herramienta, como lo es el martillo para el carpintero. Si el martillo falla y le pega a un cliente, el responsable es el carpintero.
Entonces, ¿qué hacer para no terminar en un juicio? Primero, un poco de humildad. Asumir que la tecnología no es mágica y puede fallar. Segundo, prevención. Antes de implementar cualquier sistema de perfilado, hacé lo que se conoce como una Evaluación de Impacto en la Protección de Datos. Preguntate: ¿qué datos necesito? ¿Realmente necesito todos? ¿Para qué los voy a usar? ¿Qué es lo peor que podría pasar si el sistema se equivoca? ¿Cómo puedo explicarle a una persona, en lenguaje claro, por qué se tomó una decisión sobre ella?
La transparencia no es una opción, es una obligación. Tus ‘Términos y Condiciones’ deben ser claros. El consentimiento debe ser granular. Y tus modelos deben ser, en la medida de lo posible, auditables. Si no podés explicar cómo funciona tu sistema, entonces no deberías estar usándolo para decidir sobre la vida de la gente. Es así de simple. Pensar que se puede innovar ignorando los derechos fundamentales es, además de ilegal, una pésima estrategia de negocios a largo plazo.
Guía de Supervivencia para el Perfilado: Cómo defenderse del fantasma en la máquina
Muy bien, ahora hablemos de lo que importa: vos. La persona cuyos datos alimentan a esta bestia digital. Sentís que un sistema te trató injustamente. Te subieron el precio de un servicio sin motivo aparente, te rechazaron una solicitud, te bombardearon con publicidad que te hizo sentir incómodamente expuesto. No estás indefenso.
La Constitución Nacional te da una herramienta poderosa: la acción de Hábeas Data. Es tu derecho a tomar conocimiento de los datos referidos a tu persona que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes. Y en caso de falsedad o discriminación, a exigir la supresión, rectificación, confidencialidad o actualización de aquellos. En criollo: tenés derecho a preguntar ‘che, ¿qué información tenés sobre mí?’, ‘¿de dónde la sacaste?’ y ‘borrá esto que está mal o que no quiero que tengas’.
Este derecho se materializa a través de los llamados derechos ARCO, que nuestra ley recoge:
- Acceso (Artículo 14): Podés exigir que el responsable de la base de datos te informe qué datos tuyos tiene. Tienen 10 días corridos para contestarte, gratis.
- Rectificación, Actualización o Supresión (Artículo 16): Si los datos son incorrectos, incompletos o están desactualizados, podés exigir que los corrijan o los eliminen. Tienen 5 días hábiles para hacerlo.
¿Y si no te dan bolilla? Primero, intimás por carta documento. Si la negativa persiste, podés hacer una denuncia ante la Agencia de Acceso a la Información Pública (AAIP), que es la autoridad de aplicación de la ley. Y en paralelo, o como última instancia, iniciar la acción judicial de Hábeas Data. Es tu derecho fundamental a controlar tu propia información.
No hay que ser un genio de la informática para defenderse. Hay que ser consciente de que nuestra identidad digital nos pertenece. Cada ‘like’, cada búsqueda, cada foto subida, es un pedazo de esa identidad. Cederla sin pensar tiene un costo. Un costo que a veces no es monetario, sino de oportunidades, de reputación, de ser reducido a una caricatura estadística por un sistema que, en el fondo, no sabe absolutamente nada sobre quién sos.
La comodidad del mundo digital es seductora, pero el precio no puede ser la renuncia a nuestros derechos. La ley es clara. La responsabilidad es humana. Y la decisión de exigir que se respete nuestra dignidad, incluso frente a un algoritmo, es enteramente nuestra.
