¿Realmente entendemos cómo influyen los algoritmos en sistemas automatizados que utilizan inteligencia artificial (IA)?

¿Realmente entendemos cómo influyen los algoritmos en sistemas automatizados que utilizan inteligencia artificial (IA)?

La creciente utilización de sistemas de IA en la toma de decisiones plantea importantes retos para la efectividad del derecho a la información y el principio de transparencia. En este artículo se reflexiona sobre los límites de la transparencia algorítmica y analiza hasta qué punto la información proporcionada permite realmente comprender y cuestionar las decisiones automatizadas que afectan a las personas.

1. Decisiones automatizadas cada vez más presentes en situaciones cotidianas

Cuando se solicita un préstamo o al realizar una inscripción a una vacante para un puesto de trabajo, cada vez es más frecuente que parte importante de la decisión final esté respaldada por un sistema automatizado basado en IA.

Si se recibe o se solicita información sobre cómo se utilizan los datos personales en el marco de dichas actividades, las respuestas suelen ser del tipo: “se han utilizado modelos algorítmicos”, “se han tenido en cuenta múltiples variables” o “la decisión se ha adoptado mediante procesos automatizados conformes a la normativa vigente”.

Pero ¿sirve realmente esa información para entender cómo y por qué se ha tomado la decisión automatizada concreta?

Esta pregunta presenta un gran desafío.

2. La transparencia como eje principal del RGPD

El Reglamento General de Protección de Datos (RGPD) sitúa la transparencia en el centro de todo. No se trata de algo meramente accesorio, sino de un principio clave para que la ciudadanía tenga el control real sobre sus datos personales. Por eso, los artículos 12 al 14 del RGPD exigen que la información facilitada sea concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.

Cuando se trata de decisiones automatizadas, el RGPD va un paso más allá. Debe aportarse información sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado. Esto va de la mano con el objetivo final del derecho a la información. Es decir, que las personas sepan qué sucede con sus datos personales para tomar acciones si lo consideran necesario. 

Sin entender, se pierde el control. Y sin control, los derechos dejan de tener sentido. 

3. ¿Qué significa “información significativa”?

En el caso de que el interesado esté sometido a decisiones automatizadas o en la elaboración de perfiles a los que hace referencia el artículo 22 del RGPD, un aspecto importante que se establece en el artículo 13.2.f) del RGPD es que éste ha de “disponer de información significativa sobre la lógica aplicada” y “la importancia y las consecuencias previstas”.

Sin embargo, no existe un derecho general a conocer los algoritmos ni el código fuente de los sistemas utilizados.

Aquí, vale la pena recordar que el RGPD ha previsto un equilibrio entre transparencia y los intereses legítimos del responsable del tratamiento. En concreto, el considerando 63 reconoce que el derecho de acceso no debe afectar negativamente a derechos de terceros, como los secretos comerciales o la propiedad intelectual que protegen los programas informáticos. Pero esta salvaguarda no puede usarse como excusa para no facilitar información o para evitar darla.

La información solo puede considerarse significativa cuando permite entender qué datos influyen en la decisión, con qué finalidad se utilizan y de qué manera ese tratamiento puede afectar en la práctica.

Las explicaciones que se limitan a mencionar “sistemas automáticos” o “modelos predictivos”, no cumplen bien esa función. La complejidad técnica no debería ser una excusa para dejar vacío de contenido un derecho tan conectado al control de los datos personales.

Para ilustrar qué puede considerarse información significativa, la propia Guía de la AEPD sobre Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial, propone ejemplos útiles, tales como indicar las variables principales utilizadas por el sistema, explicar cómo influyen esas variables en las decisiones relevantes o describir qué criterios específicos utiliza el algoritmo para producir un resultado. 

4. Transparencia no significa explicabilidad

Es muy habitual que las nociones de transparencia y explicabilidad se confundan. Por ello, desde la óptica de protección de datos personales, es fundamental diferenciarlas.

La transparencia se refiere a la obligación de informar sobre la existencia de tratamientos automatizados, las finalidades, las categorías de datos objeto de tratamiento o la base legítima. La explicabilidad, en cambio, es la capacidad de hacer entender cómo funciona un sistema y cómo éste influye en una decisión concreta.

Esta distinción adquiere gran importancia en sistemas de aprendizaje automático, donde a menudo, incluso los proveedores de los sistemas de IA tienen dificultades para explicar por qué el sistema dio un determinado resultado. En estos casos, se puede cumplir con el deber de informar, pero la persona afectada puede no llegar a comprender realmente qué ha ocurrido. Ahí, la transparencia pierde valor.

5. El riesgo de una transparencia meramente formal

En la práctica, muchas de las políticas de transparencia relacionadas con sistemas de IA se redactan con un lenguaje excesivamente técnico, que complican la comprensión de los usuarios. 

Esto trae varios problemas evidentes:

• La información suele ser muy general.
• El lenguaje, muchas veces, es difícil de entender para una persona media.
• La transparencia se ve más como una forma de cumplir la norma que como una herramienta para ayudar a entender.

En este sentido, el deber de informar deja de ser un medio para garantizar el control efectivo y se convierte en un simple trámite.

6.  Explicabilidad, contexto y protección real

No toda explicación tiene que ser técnica o muy detallada para ser de utilidad. Desde la perspectiva del RGPD, la explicabilidad debe ser útil para las personas, considerando el contexto y las consecuencias del proceso.

No es lo mismo explicar un sistema que recomienda contenidos que uno que decide si se obtendrá un préstamo o un empleo. Cuanta más importancia tenga la decisión, más hay que esforzarse en dar explicaciones claras y otras garantías, como la intervención humana o vías claras para reclamar el resultado. 

Esto obliga a dejar de lado los enfoques estandarizados. La transparencia debe adaptarse al tipo de sistema, a los riesgos asociados y al grado de importancia de la decisión para la persona.

7. Transparencia y gobernanza de algoritmos: el encaje con el Reglamento de IA

La transparencia deja de ser un mero trámite para integrarse en la gobernanza algorítmica. No se trata solo de informar cuando el sistema ya funciona, sino de incluir la explicabilidad desde su diseño, evaluación y supervisión.

En este punto el Reglamento de IA refuerza una idea que ya estaba en el RGPD. En concreto,  la protección de las personas ante decisiones automatizadas no puede depender solo de informar formalmente. El Reglamento de IA trae una visión más amplia, basada en la gestión de riesgos, la documentación y la supervisión de ciertos sistemas, especialmente aquellos considerados de alto riesgo.

Ambos marcos normativos ofrecen la oportunidad de replantear el papel de la transparencia.

8. Una última reflexión 

La transparencia sigue siendo clave en la protección de datos personales, pero el uso creciente de la IA muestra sus límites si se ve solo como algo formal.

Informar no siempre es sinónimo de explicar, y explicar no siempre garantiza la comprensión efectiva. El verdadero reto es lograr una transparencia que sea de verdad útil para las personas.

Teniendo en cuenta que las decisiones automatizadas afectan cada vez más a nuestra vida, cabe preguntarnos: ¿estamos usando la transparencia como una herramienta real de protección o solo como un requisito más que la normativa vigente obliga a cumplir?  

(*) La estructura de las ideas principales de este texto ha contado con apoyo de herramientas de IA.