Regulación de las decisiones automatizadas: el Estado como gran ausente

October 12, 2025October 12, 2025 ~ Pablo Viollier ~ Leave a comment

Publicado originalmente el 08 de octubre de 2025 en Idealex.

Una de las principales novedades de la Ley N° 21.719 es la regulación de las decisiones automatizadas. Esta norma, que entra en vigencia el 1 de diciembre de 2026 y que tiene como objetivo reformar nuestra ley de datos personales para elevar el nivel de protección a los titulares y crear una Agencia de Protección de Datos Personales, está explícitamente inspirada por el Reglamento general de protección de datos de la Unión Europea (RGPD).

El artículo 8 bis de la Ley N° 21.719 es una versión modificada del artículo 22 del RGPD y regula aquellas decisiones que son tomadas basándose en el tratamiento automatizado de los datos personales de los titulares, es decir, de forma autónoma o sin participación humana. Con el fin de proteger a las personas ante este tipo de procesamiento automatizado, la legislación establece una serie de requisitos bajo los cuales será lícito tomar decisiones automatizadas respecto de los individuos y entrega a los titulares una batería de derechos particularmente sofisticados. Entre ellos, el derecho a la información y transparencia, a exigir intervención humana, a expresar su punto de vista, a solicitar la revisión de la decisión y el derecho a obtener una explicación respecto de cómo se llegó a una decisión específica.

Todas estas garantías elevan sustancialmente el nivel de transparencia y los criterios de responsabilidad respecto del funcionamiento de sistemas algorítmicos, por lo que la regulación cumplirá un rol crucial en el proceso de transformación digital y modernización del Estado, las empresas y las organizaciones. Especialmente en un contexto en donde cada vez más la evaluación crediticia, la selección de personal, el levantamiento de alertas para detección de fraude, el perfilamiento para fines de marketing y la entrega de beneficios sociales es entregada, con distintos niveles de autonomía, a la decisión de sistemas algorítmicos o basados en tecnología de inteligencia artificial.

Chile no se limitó solo a replicar el contenido del artículo 22 del RGPD, sino que recogió la retroalimentación de los expertos que participaron del proceso legislativo y las lecciones que la jurisprudencia europea y el pronunciamiento de sus distintos organismos de control administrativo han dejado en la materia. Así, la legislación chilena no exige que la decisión se base “únicamente” en el tratamiento automatizado de datos, lo que en Europa fue interpretado como un riesgo de permitir que un nivel de participación humana nominal o simbólica deje a las personas fuera de la aplicación de la regulación.

Adicionalmente, el artículo 8 bis redujo el nivel de afectación que los titulares deben experimentar para estar protegidos por esta figura, solo exigiendo que estos sufran un “impacto significativo”. Por último y más relevante, la ley chilena consagra explícitamente el derecho a una explicación como derecho de los titulares, obligando a los responsables a ser capaces de fundamentar y describir bajo qué criterios, parámetros y mecanismos el sistema arribó a una decisión particular que afectó al individuo.

La gran sorpresa de la Ley N° 21.719 se encuentra en el artículo 21 inciso final. Este artículo establece taxativamente aquellas secciones de la ley que son aplicables a los organismos públicos. ¿El gran ausente? El artículo 8 bis. Es decir, el esfuerzo más importante y sofisticado que nuestra legislación ha emprendido para entregar a los individuos herramientas para proteger sus derechos, exigir transparencia y objetar con conocimiento de causa las decisiones que los sistemas algorítmicos y de inteligencia artificial toman respecto de ellos excluye completamente de su aplicación a todos los organismos de la administración del estado.

Esta decisión de política pública es paradójica, si tenemos en consideración que el Estado es el mayor procesador de datos personales en nuestro país y muchas veces el más negligente. Basta revisar el repositorio creado por el GobLab de la UAI titulado “Algoritmos Públicos” para darse cuenta de que el uso de decisiones automatizadas y de inteligencia artificial que puede afectar significativamente a los individuos no es algo eventual, sino que el Estado ya tiene implementados hoy muchas de estas herramientas.

Permitir a los individuos conocer la forma en los sistemas automatizados toman decisiones que los afectan, objetar dichas decisiones y ejercer sus derechos respecto de empresas y organismos privados, pero no respecto del Estado constituye una discriminación arbitraria que deja a los ciudadanos en una situación inaceptable de indefensión. Subsanar esta situación debería ser una prioridad para la nueva Agencia de Protección de Datos Personales, ya sea proponiendo al Presidente de la República la dictación de una ley corta que incluya a los organismos públicos en la aplicación del artículo 8 bis o a través de una instrucción general similar a las recomendaciones del Consejo para la Transparencia sobre transparencia algorítmica respecto del funcionamiento de los organismos públicos.

El árbol envenenado algorítmico

February 11, 2025 ~ Pablo Viollier ~ Leave a comment

Columna publicada originalmente e 11 de febrero en Actualidad Jurídica

El mundo ha experimentado un renovado interés por la protección de datos personales, el que, a su vez, ha desembocado en distintas legislaciones que han elevado el nivel de protección de la autodeterminación de las personas. Así, se promulgó recientemente la Ley N° 21.719, que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales con el objetivo de poner a Chile a la par con el estándar europeo y permitir que el país enfrente los desafíos que implican la masificación de la toma de decisiones automatizadas y la Inteligencia Artificial (IA).

La nueva legislación exige que cualquier tratamiento o procesamiento de datos personales cuente con una base de licitud y que dicho tratamiento se realice cumpliendo con las condiciones y principios establecidos en la legislación. El incumplimiento a dichos requisitos puede acarrear importantes sanciones para los responsables del tratamiento; sin embargo, en los últimos años una importante pregunta ha estado circulando: ¿qué pasa cuando un algoritmo sofisticado o un modelo de IA es entrenado o desarrollado utilizando datos personales con infracción a las condiciones contenidas en la legislación? ¿Dicho incumplimiento sólo acarrea una sanción o puede contaminar incluso el despliegue futuro del sistema o modelo entrenado?

La primera alternativa sería asumir que la recolección o tratamiento de datos personales sin cumplir con los estándares legales generan una única instancia infractora, la que el responsable podría saldar y cuyo “pecado original” no afectaría el algoritmo o modelo entrenado con dichos datos personales. Esta postura se basa en el hecho que, si bien muchos sistemas utilizan grandes volúmenes de datos -incluyendo datos personales- al momento del entrenamiento o desarrollo del modelo, eso no quiere decir necesariamente que exista un procesamiento de datos personales al momento de su funcionamiento, ya que estos pueden haber sido anonimizados o haber sido utilizados tangencialmente sólo para realizar inferencias estadísticas en la etapa de entrenamiento.

La segunda alternativa es interpretar que se trata de una infracción contínua y que utilizar datos personales ilícitamente para desarrollar y entrenar modelos algorítmicos o de IA constituye una infracción que se proyecta al funcionamiento o despliegue de dicho modelo. En este sentido, el producto final sería una proyección del procesamiento ilícito del cuál no podría desligarse.

Recientemente dos organizaciones han tenido la oportunidad de abordar esta materia. El Comité Europeo de Protección de Datos emitió un dictamen (24/2024) sobre algunos aspectos relacionados con el procesamiento de datos personales en el contexto de modelos de Inteligencia Artificial. En dicho documento el Comité se pone en distintas hipótesis para distinguir si la infracción en la utilización de información usada para el desarrollo del modelo de IA podría eventualmente afectar el sistema de IA una vez ya desplegado; sin embargo, el Comité reconoce la capacidad que las agencias europeas de protección de datos personales tienen para imponer acciones correctivas las que pueden incluir “aplicar multas, imponer una limitación temporal del tratamiento, borrar una parte del conjunto de datos que haya sido tratado ilegalmente o, cuando esto no sea posible, en función de los hechos en cuestión, teniendo en cuenta la proporcionalidad de la medida, ordenar la eliminación de todo el conjunto de datos utilizado para desarrollar el modelo de IA y/o del propio modelo de IA” (el énfasis es mío).

Más recientemente la Comisión de Protección de Información Personal de Corea del Sur tuvo la oportunidad de referirse al asunto, llegando a una resolución tajante. La empresa Kakao Pay utilizó un sistema de cálculo de fondos insuficientes creado por Alipay; sin embargo, esta segunda empresa desarrolló dicho algoritmo utilizando información personal que fue proporcionada y transferida ilegalmente al extranjero. La comisión consideró que la única forma de “resolver fundamentalmente” esta vulneración en el tratamiento de datos personales fue ordenar a Alipay la destrucción del modelo de cálculo de puntuación.

En ambos casos -uno presentado como posibilidad eventual y el otro como jurisprudencia ya asentada- se presenta una especie de teoría del fruto del árbol envenenado algorítmico, en donde la infracción en el procesamiento de la información personal en la etapa de desarrollo o entrenamiento (árbol) del modelo algorítmico o de IA también permea a la etapa de funcionamiento o despliegue del mismo modelo (fruto).

En el caso de Chile, la nueva Ley N° 21.719 entra en vigencia el 1 de diciembre de 2026, por lo que este es un tema respecto del cual la futura Agencia de Protección de Datos Personales se deberá pronunciar. Sin embargo, sí es importante notar que dentro de las facultades legales de dicha agencia sí se encuentran las potestades para ordenar una medida de estas características.

Así, el artículo 35 inciso segundo permite a la Agencia establecer las medidas tendientes a subsanar las causales que dieron motivo a la sanción, mientras que el artículo 38 inciso tercero permite prorrogar indefinidamente la medida de suspensión temporal de procesamiento, por períodos sucesivos de máximo treinta días, hasta que el responsable cumpla con lo ordenado. En ambos casos son facultades amplias que podrían ser utilizadas por la Agencia chilena para hacer carne esta nueva doctrina del árbol envenenado algorítmico.

De momento es conveniente seguir de cerca la jurisprudencia internacional y los pronunciamientos de distintos organismos de otras jurisdicciones respecto de esta materia central para el futuro del desarrollo de modelos de IA.

Compliance en protección de datos personales: ¿voluntario?

November 25, 2024November 25, 2024 ~ Pablo Viollier ~ Leave a comment

* Columna publicada originalmente el 25 de noviembre en Actualidad Jurídica.

Una de las principales innovaciones de la nueva ley de datos personales es la incorporación de mecanismos de cumplimiento legal o compliance, cuyo objetivo es complementar la aplicación de la ley por parte de la Agencia de Datos Personales y promover el cumplimiento de la ley a través de mecanismos colaborativos. Uno de estos mecanismos es la implementación de modelos de prevención de infracciones, conocidos ya en otros ámbitos legales. Pero aquí es donde surge la pregunta, estos programas ¿son obligatorios o voluntarios? En el caso del sector privado, la respuesta es clara: sí. El artículo 49 establece que “[l]os responsables de datos podrán voluntariamente adoptar un modelo de prevención de infracciones consistente en un programa de cumplimiento”. La redundancia entre “podrán” y “voluntariamente” refuerza suficientemente el punto legal.

En el caso del sector público, la respuesta no es la misma, tenemos que hablar de un deber de compliance cuya modalidad de cumplimiento es alternativa. El artículo 44, inciso segundo, dispone que “los órganos públicos deberán someterse a las medidas tendientes a subsanar o prevenir infracciones que indique la Agencia o a los programas de cumplimiento o de prevención de infracciones del artículo 49”. Es decir, en este caso existe obligación de adoptar uno de los dos esquemas de cumplimiento: las medidas ad hoc diseñadas por la Agencia -una vez que esta exista y esté en funcionamiento- o el modelo de prevención del artículo 49, cuyo contenido al menos ya está meridianamente detallado en la ley.

Veamos la situación desde el punto de vista de las decisiones organizacionales y de negocio. Si la organización decide no implementar el modelo de prevención de infracciones, ¿debe igualmente cumplir con la ley? La respuesta es obvia: por supuesto. Es decir, el responsable del tratamiento de datos personales deberá ajustar su documentación, procesos, roles y un largo etcétera para evitar infracciones a los principios, obligaciones y deberes que impone la ley. Tendrá que adecuar su funcionamiento para responder al ejercicio de derechos de los titulares de datos. En otros términos, tendrá que realizar una serie de medidas que igualmente deberán ser implementadas bajo un modelo de compliance. Ante tal escenario, la utilidad del modelo de prevención se visibiliza con claridad. Permite tanto ajustar el cumplimiento a la ley como mitigar los riesgos asociados al funcionamiento de la organización. Si el costo de ese esfuerzo además permitiría, eventualmente, lograr una atenuante en un proceso sancionatorio, entonces el incentivo económico es nítido. Es cierto que ello requiere la certificación del modelo por la Agencia, pero en cualquier caso podría ser un costo marginal ante las exigencias obligatorias de cumplimiento.

En el caso del sector público, el dilema es aún más estrecho. Los órganos de la Administración, al tener que cumplir con una de dos alternativas, la vacancia legal favorecerá el pragmatismo de la opción por el modelo de prevención. En otros términos, un jefe superior del servicio debe optar entre intentar implementar el cumplimiento y esperar las medidas que recomiende la Agencia o adoptar el modelo de prevención del artículo 49, cuyo contenido es conocido y genera menos incertidumbre. Ante tal escenario, la opción por el modelo de compliance cae por su propio peso.

La importancia de implementar estas medidas de prevención al interior del sector público se ve complementada por el esquema sancionatorio de la ley, la cual incluye sanciones al jefe superior de servicio tales como multas del 50% de su remuneración mensual y su suspensión en el cargo de hasta 30 días, así como la remisión a la Contraloría General de la República para la realización de sumarios administrativos y sanciones de acuerdo al Estatuto Administrativo a los funcionarios infractores.

Los dos años de vacancia de la nueva ley representan la única ventana de oportunidad para avanzar en las medidas de cumplimiento indispensables para tener la casa ordenada al momento de su entrada en vigencia, medidas que se deben tomar no sólo en el sector privado sino también en todos los órganos del Estado. Puede sonar a un plazo extenso, pero la experiencia europea enseña que es ajustado. Llegó el momento de arremangarse y ponerse a trabajar.

Nueva ley de datos personales: lecciones desde el viejo continente

November 3, 2024 ~ Pablo Viollier ~ Leave a comment

Publicada originalmente el 30 de octubre de 2024 en Idealex

En Chile nos hemos acostumbrado a quejarnos de la calidad de nuestro proceso legislativo, en especial, cuando la ley en cuestión se ha inspirado en una legislación extranjera. Este reclamo muchas veces es válido, ya que efectivamente en el pasado varios proyectos de ley han sido poco más que un “copy/paste” de legislación extranjera, no solamente afectando la calidad de nuestras leyes, sino que produciendo lo que la literatura ha denominado “trasplantes jurídicos”. Estos trasplantes se caracterizan por no adecuarse al medio local, la cultura jurídica del país al cual son injertados y por pasar por alto las diferencias económicas e institucionales entre el país que inspira la legislación y el país en donde se implementa el injerto.

Sin embargo, me parece que es igual de importante dar cuenta de aquellos casos en donde nuestro proceso legislativo no solo ha adecuado correctamente una legislación extranjera al medio local, sino que ha sido capaz de aprender de los errores e imprecisiones del país de origen, y crear una legislación que mejora el producto respecto del cual se inspira. Este me parece, es el caso de la regulación de la toma de decisiones automatizadas en la nueva ley de datos personales. Dicha regulación se encuentra fuertemente inspirada por el Reglamento general de protección de datos de la Unión Europea (GDPR, por sus siglas en inglés). Esto no es algo malo, tiene todo el sentido del mundo inspirarse en la legislación más sofisticada en la materia a la fecha y la que, además, se ha transformado de facto en un estándar global.

Pero el GDPR no es perfecto. En lo que respecta a la toma de decisiones automatizadas —una materia clave para el futuro de la regulación de la inteligencia artificial— el artículo 22 del GDPR tenía una serie de errores en su técnica legislativa que hacían que, en la práctica, la protección otorgada a los titulares fuese demasiado restrictiva.

En primer lugar, el GDPR establece que los titulares tienen “derecho a no ser objeto” de decisiones automatizadas, a menos que se cumplan ciertas condiciones. El hecho de tratarse de un derecho implica que es una prerrogativa que el titular tendría que invocar activamente.

En otras palabras, toda toma de decisiones automatizadas sería legítima hasta que el titular invocara su derecho a oponerse a dicha actividad. Puesto que esta redacción implicaría poner la carga procesal en el titular en vez de protegerlo por defecto, el Grupo de Trabajo del Artículo 29 interpretó administrativamente que, a pesar de que el artículo del GDPR habla de un derecho, en realidad se trata de una prohibición general.

En segundo lugar, las garantías del artículo 22 solo serían aplicables cuando la decisión se basará “únicamente” en el tratamiento automatizado de los datos del titular. Esto abría la puerta para que la participación nominal o simbólica de un ser humano en el proceso de la toma de decisión hiciera inaplicable el artículo. Nuevamente, el Grupo de Trabajo tuvo que salvar la norma interpretando que para entender que la decisión era tomada “únicamente” basada en el tratamiento automatizado de datos personales, la participación humana no debería ser “significativa”, excluyendo la participación nominal o simbólica para blanquear una decisión automatizada.

Por último, los considerandos del GDPR señalan que los titulares gozan del derecho a una explicación respecto de cómo se tomó una decisión automatizada que les afecte. Sin embargo, el artículo 22 solo entrega al titular el derecho a objetar la decisión, obtener una intervención humana y expresar su punto de vista. Hasta ahora la doctrina discute si el derecho a una explicación es un derecho sustantivo (detallado y respecto a una decisión específica) o solo el derecho a obtener información respecto a cómo funciona, a grandes rasgos, el sistema algorítmico.

En Chile aprendimos de estos errores y fuimos capaces de redactar una norma que supera estas dificultades. Así, el artículo 8 bis del proyecto de ley aprobado, entrega al titular el derecho a “oponerse y a no ser objeto” de decisiones automatizadas, dejando en claro que las personas solo podrán verse afectadas por este tipo de decisiones cuando se cumplan los requisitos legales.

Del mismo modo, nuestra norma eliminó el término “únicamente”, por lo que se evita la posibilidad de que los resguardos del artículo dejen de ser aplicables por la inclusión de una participación humana nominal en el proceso de toma de decisiones automatizadas. Por último, el artículo consagra explícitamente el derecho que tienen los titulares a exigir a los administradores del sistema una explicación respecto de cómo se llegó a la decisión automatizada que los afecta, lo que significa una mejora significativa respecto del nivel de protección al que están sujetos los titulares europeos.

Estas mejoras en la técnica legislativa no son casuales, sino que son el producto de un arduo debate al interior de las comisiones que estudiaron el proyecto en el Congreso, las que sesionaron múltiples veces e invitaron a decenas de expertos en la materia. Del mismo modo, fue clave la participación de distintos actores involucrados, tales como la academia, la industria y la sociedad civil.

Creo que el producto final de la ley de datos personales no fue una victoria avasalladora de las posturas de un actor en desmedro de los otros, sino que un proceso de negociación y compromiso de posiciones en juego que permitió la producción de una regulación que mantuvo un equilibrio entre los intereses de distintos representantes de la sociedad.

Pablo Viollier es coordinador del diplomado en protección de datos personales de la Universidad Central y abogado de DataCompliance.

Nueva ley marco de ciberseguridad

January 24, 2024 ~ Pablo Viollier ~ Leave a comment

Publicada el 22 de enero de 2024 en El Mercurio Legal

El pasado 12 de diciembre, el Senado despachó para su promulgación el proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información. La nueva normativa tiene la novedad de ser de aplicación general; es decir, no aplica solamente a los organismos estatales y a los sectores históricamente regulados, sino que es aplicable a todas las instituciones privadas que sean calificadas como entidades que prestan servicios esenciales o como operadores de importancia vital.

La carga regulatoria que estas entidades tendrán que soportar es sustantiva. La nueva ley les obliga a establecer medidas para prevenir, gestionar y resolver incidentes de ciberseguridad, implementar protocolos y estándares aprobados por la nueva Agencia Nacional de Ciberseguridad (ANCI), mantener un registro de las acciones ejecutadas, reportar a la autoridad (y eventualmente a los afectados) la ocurrencia de un incidente de ciberseguridad, implementar planes de continuidad operacional, responder a las solicitudes de información de la ANCI, designar un delegado de ciberseguridad, entre otras responsabilidades.

Desde el punto de vista del enforcement, hay dos elementos que vale la pena destacar. En primer lugar, una materia que será particularmente desafiante, tanto para el regulador como los regulados, es la aplicación de las obligaciones relativas a la coordinación regulatoria. La versión inicial del proyecto establecía el principio de la especialidad en la sanción, según el cual se preferiría la aplicación de la regulación sectorial por sobre la establecida en esta ley. En otras palabras, una deferencia al regulador sectorial bajo la premisa que estos tienen más cercanía técnica, histórica e institucional con su sector regulado.

Durante la tramitación legislativa, el Ejecutivo propuso una visión de carácter más centralizada, donde sería la ANCI la encargada de producir los protocolos, estándares y aplicar las sanciones de aplicación general, así como de aprobar las normativas sectoriales en materia de ciberseguridad. Como punto medio, se llegó a una fórmula que incorpora la obligación de coordinación regulatoria, lo que implica que cuando la ANCI dicte protocolos, estándares técnicos o instrucciones de carácter general que tengan efectos en un sector regulado, se deberá solicitar un informe al regulador sectorial con el propósito de prevenir posibles conflictos normativos. Del mismo modo, cuando un regulador sectorial emita actos administrativos de carácter general que tengan efectos en los ámbitos de competencia de la ANCI, le deberá solicitar un informe para garantizar la coordinación, cooperación y colaboración entre ambas entidades. En otros términos, la ley fija una regla especial de coordinación regulatoria a la establecida en el art. 37 bis de la Ley de Bases de Procedimientos Administrativos.

En segundo lugar, en cuanto a las sanciones, la futura ley establece que corresponderá a las autoridades sectoriales fiscalizar y sancionar las infracciones a la normativa sobre ciberseguridad que hubiesen dictado y que tengan efectos “al menos equivalentes” a la normativa dictada por la ANCI. En el resto de los casos; es decir, en los casos en donde la normativa sectorial no tiene dicha equivalencia, corresponderá a la ANCI fiscalizar, sancionar y ejecutar las infracciones a la ley.

Es evidente que esto es un aspecto de incertidumbre que requerirá concretización práctica. ¿Cuáles son efectivamente los estándares de equivalencia y cuál será la entidad fiscalizadora a la cual quedarán afectos ciertos sectores regulados, en particular aquellos sectores como el bancario o de telecomunicaciones, que ya cuentan con una importante batería de regulación sectorial en materia de ciberseguridad? Son los desafíos que deberán enfrentarse desde el inicio de su entrada en vigencia.

El hecho de que las infracciones a la nueva ley pueden alcanzar multas cercanas a los 2.600 millones de pesos sin duda significa que precisar estos estándares de coordinación regulatoria deberá ser una de las primeras prioridades de la nueva ANCI y una preocupación prioritaria para los sectores regulados.

Pablo Viollier – Doctorando en Derecho, Universidad Central de Chile.

Pablo Contreras – Director Cátedra Legal Tech U.Central, Universidad Central de Chile.

Carta al director 17/01/2024

January 17, 2024January 18, 2024 ~ Pablo Viollier ~ Leave a comment

Publicada originalmente en La Segunda el 17 de enero de 2024

Sr. Director:

Concordamos plenamente con la opinión expresada por Romina Garrido respecto a la norma que regula las decisiones automatizadas en el proyecto de ley de datos personales. Adicionalmente, hay dos modificaciones incorporadas por la Cámara de Diputados y que nos parece importante que sean confirmadas por la comisión mixta.

La primera aclara que los titulares tienen derecho a no ser objeto de decisiones automatizadas, excepto en los casos que la ley lo permite, porque la redacción anterior daba a entender que los titulares sólo tienen el derecho a oponerse a este tipo de procesamiento automatizado y, por tanto, este sería permitido a menos que el titular activamente se opusiera. En segundo lugar, las enmiendas introducidas explícitamente reconocen el derecho de los titulares a obtener una explicación en el caso que la decisión haya sido tomada por medios automatizados, lo cual es clave para garantizar la transparencia de los algoritmos.

En ambos casos, la redacción propuesta por la Cámara de Diputados se hace cargo de elementos regulados de forma deficiente en el Reglamento Europeo de Protección de Datos Personales -que inspira el proyecto de ley chileno- y que han debido ser aclarado por la jurisprudencia y los distintos órganos de control europeos.

Pablo Viollier – Doctorando en Derecho UCEN

Pablo Contreras – Director Cátedra Legal Tech UCEN

Derecho a la intervención humana

April 20, 2021 ~ Pablo Viollier ~ Leave a comment

Publicado originalmente el 20 de abril de 2021 en La Segunda

Cuando se trata de tomar decisiones, solemos asociar a las personas con vicios relacionados a la arbitrariedad, subjetividad y capricho. Los sistemas automatizados, por otro lado, gozan de un aura de objetividad por basarse en el análisis de datos. Después de todo, los datos no tienen color político, inclinaciones ni agendas propias.

Paradójicamente, la evidencia muestra que los sistemas algorítmicos son susceptibles de reproducir e incluso profundizar los sesgos de sus programadores. Este sesgo puede producirse por la ponderación asignada a cada factor, la elección de cierto tipo de datos por sobre otros o porque los datos mismos son sesgados. Por ejemplo, un análisis de los abogados más exitosos de Santiago mostrará una clara tendencia a favor de hombres, de más de 50 años y que egresaron de ciertos colegios.

Para evitar que estas decisiones devengan en arbitrarias y poco transparentes, la legislación europea estableció el derecho a no ser sujeto a decisiones basadas exclusivamente en un tratamiento automatizado de datos. De esta forma, se permite al afectado solicitar la intervención de un humano, expresar su punto de vista y objetar la decisión.

Así, esta semana una corte holandesa obligó a Uber a reincorporar e indemnizar a seis conductores cuyo despido fue realizado en función de una decisión tomada por medios algorítmicos.

Sin embargo, esta figura ha producido un alto nivel de incertidumbre. Todavía queda pendiente clarificar qué nivel de intervención humana se requiere para que una decisión no se considere tomada por medios “exclusivamente automatizados”. Tampoco existe claridad respecto a qué antecedentes podrá acceder el afectado para poder oponerse a la decisión o, incluso, si esto involucra que se le explique (y con qué detalle) cómo el sistema tomó la decisión en el caso concreto.

El proyecto de ley de datos personales que se tramita en el congreso incluye una norma inspirada fuertemente en la legislación europea. Esto representa una oportunidad para precisar estos cabos sueltos y alcanzar dos objetivos: otorgar certeza jurídica a este tipo de operaciones y alcanzar un equilibrio entre la protección de los titulares y los beneficios que estos sistemas automatizados aportan a la industria y la sociedad en su conjunto.

Política sin políticos

December 31, 2020January 3, 2021 ~ Pablo Viollier ~ Leave a comment

Publicada originalmente en La Segunda el 30 de diciembre de 2020

En los últimos 20 años, han surgido innumerables proyectos para “deshacernos de los políticos’”. La promesa es abandonar estos vestigios del pasado y usar la tecnología como mecanismo para incidir directamente en la toma de decisiones.

Para los proponentes de esta tecnocracia, la idea misma de tener representantes es vista como una vulnerabilidad del sistema. Y así como Montesquieu creía (equivocadamente) que los jueces sólo debían ser autómatas que pronuncian las palabras de la ley, esta utopía lograría -a través de mecanismos procedimentales- que se exprese, de forma directa, la voluntad popular.

A comienzos de los 2000, sonó fuerte la idea de utilizar internet para implementar una democracia líquida, una forma delegativa de participación que mezcla elementos de la democracia directa y representativa. Los ciudadanos podrían votar directamente en la toma de decisiones o delegar su voto en alguien de confianza. Más recientemente, la emergencia de la toma de decisiones automatizada basada en el análisis de datos le ha dado nueva fuerza a esta narrativa, al punto que un científico nacional propuso reemplazar a los políticos por un algoritmo de inteligencia artificial. Sin embargo, estos proyectos han chocado una y otra vez contra una pared.

Uno podría decir que han fracasado porque la tecnología no ha alcanzado cierto nivel necesario. Personalmente, creo que la tecnología está ahí y que el problema es una concepción ingenua de la política. La premisa implícita en la idea que es deseable eliminar a quienes median entre los ciudadanos y el poder político, es que la labor de estos delegados se remite a reproducir la voluntad de sus mandantes. Esta concepción es ingenua, porque las fuerzas políticas no sólo se limitan un ejercicio mecánico de recolección de voluntades, sino que también proponen y disputan -a través del diálogo, la acción colectiva y la construcción de comunidad- distintas concepciones de la sociedad con el objetivo de conducirla políticamente.

Buscar la automatización de una anomia en donde no existe nada entre el ciudadano y el estado no sólo es implausible, sino que fomenta una visión individualista, mezquina y ensimismada de cómo se debe desenvolver nuestra vida en común.

Monopolio de la violencia

October 29, 2020October 29, 2020 ~ Pablo Viollier ~ Leave a comment

Publicada originalmente el 23 de octubre de 2020 en La Segunda

El pacto social se basa en una serie de balances y contrapesos que tienen como principal objetivo poner límites al poder político, evitar su abuso y distribuir su ejercicio de forma transversal en la sociedad.

Es por eso que el monopolio estatal de la violencia constituye uno de los pilares del estado de derecho; para que el uso de la fuerza por parte del poder político sea aceptable, esta debe sujetarse a estrictas restricciones y limitaciones, no sólo para evitar el atropellamiento estatal, sino que para gozar de legitimidad a los ojos de la población. Después de todo, Venezuela nos ha demostrado que no es suficiente realizar elecciones para vivir en democracia.

Los hechos muestran que abusos, montajes y la actitud deliberante de Carabineros han superado todo límite. A un punto tal, que un porcentaje importante de la población ha dejado de considerar legítimo el accionar de la institución, declarándose en abierto desacato. Esto es extremadamente preocupante, porque implica un horadamiento del estado de derecho. Los ciudadanos deberían ver a la policía como los encargados de resguardar su legítimo derecho a manifestarse, no como su principal obstáculo.

La respuesta del mundo político ha sido, por decir poco, superficial y miope. Pretender reducir el escalamiento de la violencia política a un fenómeno meramente delictual no sólo es errado, sino que busca eludir el hecho que nuestra democracia ha sido incapaz de canalizar institucionalmente el sentir de millones de chilenos. Mientras tanto, de lado y lado, se repiten hasta el absurdo emplazamientos para denunciar en abstracto la violencia “venga de donde venga”, como si el mero pronunciamiento de ese mantra solucionara algo.

A estas alturas, creo que el primer paso para recomponer el abismo que se ha producido entre la política institucional y la sociedad, es proponernos contar con una policía civil, profesional, no deliberante y que responda ante el poder democrático. Emprender este camino es esencial para desescalar el conflicto en las calles, pero también es una condición necesaria para recuperar la confianza en la democracia como mecanismo de resolución de los conflictos.

Neutralidad de la red como condición para asegurar internet como derecho humano

October 29, 2020 ~ Pablo Viollier ~ Leave a comment

Publicada originalmente el 28 de octubre de 2020 en Revista Entorno

Internet es un sistema global de dispositivos interconectados, una especie de red de redes. Esta red ha forjado el rumbo de la sociedad del siglo XXI por su increíble potencial para facilitar las comunicaciones, la innovación, el acceso al conocimiento y la actividad económica. Que internet sea el fenómeno global que hoy conocemos se debe, en parte, a que -desde su concepción- su diseño técnico e institucional fue pensado para propender a la materialización de tres principios: (i) descentralización: su infraestructura poco jerarquizada evita la existencia de nodos centrales y, de esta forma, busca impedir que un actor en particular tenga control sobre toda la red, dotándola de mayor resiliencia ante cualquier ataque a la misma, (ii) neutralidad: los protocolos de internet están diseñados para tratar bajo un mismo parámetro a todos los dispositivos que se conecten a la red y todos los paquetes de información que viajen por la misma y (iii) apertura: cualquier dispositivo, sin distinciones, puede conectarse a esta red de redes, en la medida que se comunique a través del protocolo común (TCP/IP).

Como se puede ver, la arquitectura de internet está diseñada para ser abierta, descentralizada y gobernada a través de distintos organismos independientes con roles particulares, de forma tal que ningún gobierno o institución tenga un “botón rojo” o control total sobre su funcionamiento.

Sin embargo, en los últimos años, uno de estos principios rectores de internet se ha visto en peligro. No por un cambio en el diseño o infraestructura de internet, sino por las prácticas comerciales de las empresas proveedoras de servicios de internet (ISPs). La neutralidad de la red busca evitar que proveedores de internet operen como guardianes o censores (gatekeepers) de la red, decidiendo qué contenido puede o no puede viajar por sus redes, o priorizando cierto tráfico por sobre otro. Lo que ha sucedido en los últimos años, es que las ISP han llegado a acuerdos para priorizar cierto tipo de tráfico por sobre otro en base a criterios comerciales. Así, en EEUU Netflix llegó a un acuerdo con la ISP Comcast para que el tráfico de Netflix gozara de prioridad en la red y por tanto viajará más rápido y con menos obstáculos. Esto es problemático porque significa entregarle el poder a las ISP respecto de qué puede estar disponible o no en internet (bloqueando contenido) o qué contenido debe tener prioridad. Imaginemos, por ejemplo, que un ISP decide ralentizar el tráfico de todos los sitios web de organizaciones sindicales del país. La arquitectura de internet está pensada para que los operadores sean neutros y sean los usuarios quienes tomen esa decisión.

Como respuesta a esta amenaza a una internet libre, abierta y democrática, muchos países han decidido consagrar el principio de neutralidad de la red a nivel legal. De hecho, Chile tiene el galardón de ser el primer país en el mundo en haber legislado en la materia, con la publicación de la Ley 20453 el año 2010, la que prohíbe a los ISP bloquear, interferir, discriminar, entorpecer ni restringir el derecho de cualquier usuario de Internet para utilizar, enviar, recibir u ofrecer cualquier contenido, aplicación o servicio legal a través de Internet.

A pesar de esta consagración legal, todavía enfrentamos desafíos en el respeto a la neutralidad de la red. Así, por ejemplo, los llamados planes de redes sociales gratis o zero-rating implican que un operador permite que algún servicio (Facebook, WhatsApp, Twitter, etc.) no consuma datos de navegación del plan del usuario. Esto parece algo positivo, después de todo, algo de internet es mejor que nada de internet ¿cierto? El problema es que la evidencia muestra que los usuarios (especialmente los segmentos más pobres) hacen un uso estratégico de estos planes, cargando una suma nominal a través de prepago, para luego sólo utilizar los servicios que no consumen datos. Por otro lado, la evidencia muestra que este tipo de arreglos comerciales impide mayor competencia de los ISP, encareciendo los planes y evitando el aumento del máximo de navegación de los mismos, finalmente generando un impacto negativo en los usuarios.

Y hay que decirlo con todas sus letras: tener acceso a Facebook, WhatsApp y Twitter no es tener un acceso significativo a internet. Es una versión cerrada, corporativa y limitada de una red que debe servir a las personas para emprender, aprender, comunicarse, hacer trámites de gobierno, postular a puestos de trabajo y, en general, gozar de todo el patrimonio cultural de la humanidad y los beneficios del avance de la ciencia.

El proceso constitucional que ha emprendido Chile representa una excelente oportunidad para consagrar a nivel constitucional este principio que ha permitido a internet nacer, crecer y evolucionar como una red abierta, libre y democrática. Asimismo, en sociedades donde la gran mayoría del flujo de información pasa ineludiblemente por internet, una ciudadanía informada y participativa requiere de garantías –derechos fundamentales- que protejan el uso y acceso equitativo a la infraestructura que hace esto posible. Esto necesariamente debe ir acompañado de otras conversaciones, como consagrar el acceso a internet como derecho humano, prohibir la vigilancia masiva e indiscriminada y consagrar la libertad de expresión en entornos digitales.