Aplicación del RGPD a los tratamientos que incorporan IA en el entorno laboral

19 minutos 12 marzo, 2024

Mientras se espera a la aprobación del Reglamento europeo de Inteligencia Artificial, los tratamientos de datos de carácter personal que incorporan algoritmos e IA deben cumplir lo dispuesto en el Reglamento europeo de Protección de Datos (Reglamento 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, RGPD). Veamos cuáles son los límites y garantías en los supuestos de utilización de IA aplicado a las relaciones laborales.

Punto de partida: el artículo 22 del RGPD

El artículo 22 RGPD regula las decisiones automatizadas y elaboración de perfiles sin intervención humana. ¿A que se refiere? Podemos decir que su campo de aplicación se dirige a un conjunto de acciones que una máquina o un ordenador realiza sobre los datos de carácter personal (input) para producir un resultado (output).

Si bien no se hace referencia explícita en el precepto a la IA, el procesamiento automatizado de datos podría incluir algoritmos e IA. Conviene recordar que la IA es la disciplina científica que se ocupa de crear programas informáticos que ejecutan operaciones comparables a las que realiza la mente humana, como el aprendizaje o el razonamiento lógico.

En el supuesto del artículo 22 RGPD se refiere a una delegación completa en la máquina, pues ninguna persona ni desarrolla ni supervisa la actividad.

Los riesgos para la persona cuyos datos son procesados de forma automatizada sin intervención humana se refieren a que se podría evaluar determinados aspectos personales referidos a él, de forma que se pueda analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física (artículo 4.4 RGPD).

Para poder aplicar los límites y garantías del artículo 22 RGPD deben concurrir tres requisitos de forma acumulativa:

Debe existir una «decisión»;
Dicha decisión debe estar «basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles»,
Debe producir «efectos jurídicos [que afecten al interesado]» o que lo afecten «significativamente de modo similar».

¿Están legitimadas las empresas para procesar datos de carácter personal de los empleados utilizando IA?

Las decisiones automatizadas y la elaboración de perfiles sin intervención humana solamente están permitidas en los casos siguientes:

la decisión basada en el algoritmo y la IA es necesaria (es decir, no puede existir otra forma de alcanzar el mismo objetivo) para celebrar o ejecutar un contrato con la persona cuyos datos haya tratado a través del algoritmo,
una ley concreta (europea o nacional) permite el uso de algoritmos de IA y ofrece garantías adecuadas para salvaguardar los derechos, las libertades y los intereses legítimos de la persona,
la persona ha consentido explícitamente una decisión basada en el algoritmo e IA.

El criterio de la necesidad forma parte del principio de proporcionalidad y no siempre su justificación es sencilla cuando la empresa ejerce las facultades de dirección y control laboral.

En los supuestos que el algoritmo o la IA se nutra de datos de carácter personal especialmente sensibles, es claro el RGPD al indicar que las decisiones automatizadas solo están permitidas en determinadas condiciones, tales como si la persona ha dado su consentimiento explícito o si el tratamiento es necesario por razones de un interés público esencial sobre la base del Derecho europeo o nacional (artículo 22.4 RGPD). Un ejemplo de prohibición de tratamiento de datos especialmente sensibles sería el procesamiento de datos biométricos de las personas trabajadoras (rostro, voz, huella dactilar, entre otros). Sobre este tema puede consultarse mi libro Biometría y sistemas automatizados de reconocimiento de emociones: implicaciones jurídico-laborales editado en Tirant lo Blanch en 2023.

En España no contamos con una legislación laboral que permita el uso de IA y algoritmos con implicaciones laborales y sin intervención humana. No obstante, algunos convenios colectivos han pactado que la empresa garantizará que los algoritmos y/o sistemas de IA utilizados tengan un grado de supervisión humana, al tiempo que no tengan en consideración datos que puedan dar lugar a la vulneración de derechos fundamentales como pueden ser, entre otros, el sexo o la nacionalidad de las personas trabajadoras (artículo 68 del Convenio Colectivo negociado por la empresa Just Eat y los sindicatos CCOO y UGT de 17.12.2021). Luego, se neutralizan las posibilidades del artículo 22 RGPD al exigir en todo caso la intervención humana.

En los otros dos supuestos (necesidad y consentimiento) se deberá informar a la persona, como mínimo, de lo siguiente:

la lógica aplicada en el proceso de toma de decisiones,
su derecho a obtener intervención humana,
las posibles consecuencias del tratamiento,
y su derecho a impugnar la decisión. Por tanto, deberá establecer los requisitos de procedimiento obligatorios para que la persona pueda expresar su punto de vista e impugnar la decisión (artículos 14.2 g) y 15.1 h) RGPD).

Además, teniendo en cuenta las circunstancias y contexto específicos en los que se tratan los datos personales, el responsable del tratamiento debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado y se impidan, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o que den lugar a medidas que produzcan tal efecto (Considerando 71 RGPD).

La decisión basada en el algoritmo y la IA comprende la generación de un valor de probabilidad

La Sentencia del Tribunal de Justicia de la Unión Europea de 7 de diciembre de 2023 (C‑634/21) es de gran importancia en la medida que interpreta por primera vez que un pronóstico sobre la probabilidad de un comportamiento futuro de una persona (score o calificación), a partir de determinadas características de dicha persona, sobre la base de procedimientos matemáticos y estadísticos constituye una decisión individual automatizada. Esto es así porque de ese valor de probabilidad dependa de manera determinante que un tercero, al que se comunica dicho valor, establezca, ejecute o ponga fin a una relación contractual con esa persona.

La generación de valores de score (scoring) se basa en la hipótesis de que la clasificación de una persona en una categoría de personas con características comparables, que han revelado cierto comportamiento, permite prever un comportamiento similar.

IA aplicada a la selección de personal y otras finalidades laborales

Al no existir una norma específica en el derecho laboral español que permita el uso de IA y algoritmos en las decisiones exclusivamente automatizadas, la empresa que desee emplearlo deberá justificar la necesidad de este tratamiento.

Además, la empresa deberá cumplir la obligación de transparencia a la representación legal de los trabajadores conforme a la Ley Riders española.

Se deberá tener en cuenta si el Convenio Colectivo aplicable ha incorporado alguna garantía adicional. Algunos ejemplos existen en nuestro país: “(…) La empresa velará por que, en la utilización de estos modelos digitales, no se incluyan sesgos por condición de sexo, genero, edad, etc. Todo ello sin perjuicio de lo establecido en el artículo 64.4 d) del ET” (Convenio Colectivo Grupo Axa, BOE nº 304 de 21.12.2023).

Más allá del artículo 22 RGPD: ¿Son legítimos los usos laborales de la IA con intervención humana?

En España algunas empresas del sector del telemarketing están desarrollando programas piloto de control laboral y calidad con apoyo en la IA. Es decir, primero se graban las llamadas entre los clientes y las personas trabajadoras. A continuación, la IA evalúa estas llamadas conforme a los parámetros fijados por la empresa y, finalmente, un trabajador se encarga de verificar si la IA ha cometido errores.

La práctica descrita no encaja en el artículo 22 RGPD, pues se produce intervención humana. No obstante, existen deberes establecidos en el RGPD que las empresas tienen la obligación de cumplir.

Junto con el deber de transparencia en su dimensión individual (artículo 13 RGPD) y colectivo (Ley Riders), una de las obligaciones más importantes es la evaluación de impacto. El articulo 35.1 RGPD establece, con carácter general, la obligación que tienen los responsables de los tratamientos de datos de realizar una evaluación de impacto (EIPD) con carácter previo a la puesta en funcionamiento de tratamientos de datos cuando sea probable que estos por su naturaleza, alcance, contexto o fines entrañen un alto riesgo para los derechos y libertades de las personas físicas, alto riesgo que, según el propio Reglamento, se verá incrementado cuando los tratamientos se realicen utilizando “nuevas tecnologías”.

El empleo de soluciones basadas en IA sitúa a responsables y encargados en un escenario en el que el tratamiento, por sus características y, en particular, por la tecnología elegida, puede conllevar un alto nivel de riesgo. Por lo tanto, debería valorarse si el objeto del tratamiento no puede ser conseguido utilizando otro tipo de solución que alcance la misma funcionalidad, con un margen de rendimiento aceptable y un nivel de riesgo menor. Es decir, la disponibilidad o novedad de una tecnología no justifica, por sí misma, su utilización, sino que debe ser objeto de ponderación, realizando un análisis de si el tratamiento, en la forma en que se plantea, es equilibrado porque se derivan más beneficios y ventajas concretas para el interés general y la sociedad en su conjunto que perjuicios, entendidos estos como los riesgos sobre los derechos y libertades de los sujetos cuyos datos son objeto de tratamiento. En particular, en el caso de tratamientos que hagan uso de soluciones IA para la toma de decisiones o para la ayuda a la toma de dichas decisiones, se recomienda que en la EIPD se valore llevar a cabo un análisis comparativo entre el rendimiento obtenido por un operador humano cualificado frente a los resultados arrojados por modelos capaces de predecir escenarios o tomar acciones de manera automática (AEPD, Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción, Madrid, 2020, p. 44).

En el entorno europeo (en Hungría, concretamente) contamos con un precedente de uso de IA con intervención humana. Se refiere el supuesto a un banco que utilizó un software de procesamiento de señales de voz basado en IA. El período de datos del procesamiento fue de 45 días con respecto a la grabación de sonido que se puede escuchar dentro del software y un año con respecto a las estadísticas y listas de llamadas clasificadas generadas a través de la operación de software. El software analizaba y evaluaba los estados emocionales de los clientes y de los empleados. Utilizando los resultados del análisis, la empresa establecía qué cliente insatisfecho precisaba que se le devolviera la llamada y, en relación con esto, analizaba automáticamente, entre otros aspectos, el estado emocional del interesado que llama, así como del empleado del servicio de atención al cliente, junto con otras características de la conversación. La finalidad de esta tecnología fue gestionar las quejas, controlar la calidad de las llamadas y del trabajo y aumentar la eficiencia de los empleados.

Al respecto la Resolución de la Agencia Húngara de Protección de Datos de 8 febrero 2022 concluye que se trata de un supuesto fuera del campo de aplicación del artículo 22 RGPD y aplica el régimen general de garantías en materia de protección de datos.

A partir de este precedente se obtiene la conclusión que las actividades de análisis de voz realizadas por el banco utilizando IA, en particular la evaluación de las emociones de los interesados, plantean en sí mismos problemas de protección de datos. Cuando se utilizan herramientas para examinar las características psicolingüísticas y los tonos emocionales del habla no es suficiente la existencia formal del consentimiento de la persona. La tecnología de priorización basada sobre el tratamiento del habla supone una invasión de la privacidad y conlleva un riesgo que el interesado no sea capaz de reconocer en el momento de dar el consentimiento y de evaluar la incidencia en sus derechos. La Agencia indica que la tecnología aplicada permite a la entidad financiera obtener datos de los que el cliente ni siquiera es consciente, por lo que el uso de dichas herramientas reduce la posición del interesado de ser sujeto del procedimiento a ser objeto de este.

Además, se plantean incumplimientos en materia de transparencia y principio de proporcionalidad. No se proporcionó información a los afectados en relación con el análisis de voz por parte de IA o el propósito de dicho procesamiento y, por lo tanto, no hubo derecho a oponerse al tratamiento realizado. El banco no consideró adecuadamente los intereses en juego. El procedimiento debería haber sido establecer la adecuación y proporcionalidad para el propósito dado del procesamiento; en cambio, la evaluación de la empresa se basó únicamente en sus propios intereses. En realidad, no consideró la proporcionalidad y la posición del afectado, menospreciando los riesgos significativos para los derechos fundamentales.

Sobre la base de los argumentos expuestos, la Agencia de Protección de Datos concluye que se produjo una vulneración de los artículos del RGPD 5 (1)(a), 6 (1) y 6 (4). Por todo ello, se impuso al banco la multa de 670.000 € y le obligó a suspender el análisis de emociones con fundamento en los artículos 12, 24 y 25 RGPD.