- No se trata de hacer leer - http://www.lapaginadefinitiva.com/aboix -

Los algoritmos son reglamentos

Sobre la naturaleza jurídica de los algoritmos empleados por la Administración para la toma de decisiones

I. Introducción

La relación del Derecho público y en concreto del Derecho administrativo con las llamadas “nuevas tecnologías” de la información y de la comunicación no es ya tan nueva sino que lleva muchos años desarrollándose, por lo que es posible en estos momentos contar ya con sólidos indicios de cuáles son los problemas y riesgos no sólo presentes sino también futuros, así como los retos que plantea el necesario ajuste de aquél a éstas [1]. Este ajuste, en tanto que jurídico, no opera en el vacío sino que lo hace con base en un mandato constitucional que, con independencia de los desarrollos a los que ha dado lugar con posterioridad, algunos de gran virtuosismo -incluso hemos extraído un nuevo derecho fundamental de ese precepto, como es de todos conocido, en forma de “derecho a la autodeterminación informativa” del art. 18.4 CE-, obliga a respetar una regla bastante sencilla que, la compartamos o no, es a día de hoy el Derecho vigente: le directriz constitucional que encontramos en ese precepto constitucional impone limitar los desarrollos de estas tecnologías siempre que se necesario para garantizar el pleno ejercicio de derechos por parte de los ciudadanos. Por otro lado, a nadie debería escapársele que con esta formulación de manera implícita, y a mi juicio muy acertadamente, el texto constituyente concibe la evolución tecnológica como potencialmente muy peligrosa para los derechos de los ciudadanos y pone el acento sobre la necesidad de garantías jurídicas (algo esencial en estas materias que, desgraciadamente, no siempre tiene en cuenta nuestro legislador a la hora de reformar el procedimiento administrativo [2]). De alguna manera, como ya se ha recordado (Cotino, 2019), esto impone una suerte de traslación del principio de precaución en clave tecnológica.

La razón por la que señalo estos dos factores a efectos de enmarcar este comentario, por muy obvios que puedan parecer y por ello de innecesaria expresión, es porque, sorprendentemente, ni el legislador ni la Administración pública española parecen particularmente concernidos por ellos. El tratamiento que la ley 30/1992, de 26 de noviembre, del Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (LRJAP) da desde sus orígenes a esta cuestión es llamativamente pobre, por no decir prácticamente inexistente. Algo que, paradójicamente, como desarrollaré más adelante, tenía efectos positivos a mi juicio, en la medida en que, aunque sea cierto que se le puede reprochar a su texto original carecer de la “perspectiva dinámica” (Julián Valero, 2015), también lo es que las “pretensiones de amplitud en la regulación” de un precepto como el primigenio art. 45 LRJAP combinadas con reglas procedimentales expresadas con independencia del canal de comunicación empleado permitían aceptar ciertas soluciones con un grado de flexibilidad que quizás la práctica legislativa posterior, más ceñida a la regulación en concreto del fenómeno, ha debilitado. Adicionalmente, y de manera meramente principial, el mencionado precepto sí establece ciertas cautelas y recuerda la necesidad de preservar el contenido material de ls garantías sea cual sea el desarrollo tecnológico.

Una idea desaparecida de la actual Ley 39/2015, de Procedimiento Administrativo Común (LPAC) y a la que hemos de volver. La Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAE), por su parte, sí supuso un intento serio de, al menos, hacer frente al mandato constitucional de tratar de encauzar y limitar el uso de la informática de modo que no suponga mermas en la capacidad efectiva de los ciudadanos de hacer valer sus derechos. Sin embargo, ni su desarrollo fue demasiado satisfactorio ni la manera en que se ha procedido a integrar su contenido en la regulación común del procedimiento administrativo en la actualmente vigente LPAC son demasiado exigentes. Las críticas por las insuficiencias de esta integración han sido generalizadas entre quienes han analizado la cuestión (véase Baño León, 2015; Santamaría Pastor, 2015; o, por ejemplo, la entrada que dediqué a esta cuestión en este mismo blog [3]).

A partir de estas ideas básicas de traslado de las garantías tradicionales en sentido material al nuevo contexto tecnológico y de su importancia capital a la hora de desplegar el empleo de medios tecnológicos por parte de las Administraciones Públicas vamos a tratar de justificar la necesidad de traducir algunas de las reglas tradicionales, de la forma más prudente posible, al empleo por parte de las Administraciones Públicas de algoritmos, utilización que a día de hoy cuenta con un marco jurídico más bien parco y peligrosamente generoso.

II. El código fuente es código jurídico y como tal hay que tratarlo

En una de las primeras obras que trataron de forma moderna y global la enorme significación jurídica de los cambios que las nuevas tecnologías nos iban a deparar, la primera edición de Code (Lessig, 1999) [4], se avanza desde sus primeras páginas una reflexión que el tiempo no ha hecho sino confirmar: estamos ya de lleno en una sociedad en la que, cada vez más, el verdadero alcance de los derechos de los ciudadanos va a depender en mayor medida de los códigos de programación a partir de los cuales se articula el funcionamiento de todo tipo de aplicaciones informáticas que de los mismísimos códigos jurídicos tradicionales que tanto veneramos los juristas. La afirmación puede parecer exagerada –o quizás exagerada… de momento- pero apunta en una dirección interesante: la programación de las tareas, por definición automatizadas, de mayor o menor complejidad, son un elemento consustancial al aprovechamiento de las tecnologías actualmente disponibles que, además, está llamado a ir a más en el futuro. De hecho, no sólo a ir a más sino a ser, y conviene tenerlo bien presente, la parte cuantitativamente más relevante de la acción administrativa del futuro. Un futuro que, ha de tenerse bien presente, está ya aquí en materia de automatización y programación de actividades supuestamente complejas y no sólo en actividades privadas sino en muchas donde hay bien una supervisión pública intensa o un directo protagonismo “prestacional” por parte de la propia Administración –conducción de coches automatizada, drones que operan a partir de programación, trenes sin conductor, armas modernas que deciden cuándo activarse a partir de una programación previsamente determinada…-

Est dinámica será tanto más importante cuanta más inteligencia artificial haya implicada –y cada vez habrá más-. Así, probablemente, el estudio de las categorías clásicas es particularmente útil para mostrarnos su inutilidad hasta que no asumamos que hemos de, sencillamente, asumir que la inteligencia artificial es inteligencia a casi todos los efectos jurídicos y tratarla, en este caso sí, de un modo acorde a como tratamos a la inteligencia, digamos, “tradicional”. Las reflexiones en materia de inteligencia artificial y su evolución futura son numerosísimas en la actualidad. Valga la actualizada síntesis, con mucha información y planteando los retos de futuro, sobre los retos regulatorios de futuro que aparecen en las conclusiones de Asilomar (Tegmark, 2017) o las cautelas que recientemente han desarrollado en forma de principios de regulación las instituciones europeas.

Por la razón expuesta es por lo que es particularmente relevante, a su vez, asumir de una vez con todas las consecuencias que, como enunciábamos inicialmente, el código fuente es código jurídico. Lo es, de hecho, a todos los efectos. Lo es porque ese código delimita el efectivo marco de actuación de los particulares, marca los límites a sus derechos y genera una producción con efectos jurídicos que fácilmente podemos llamar “actividad administrativa” de forma automatizada a partir de esos parámetros previamente configurados, no tengo la más mínima duda de que estamos ante algo muy parecido a normas reglamentarias. Y lo es también porque es el reglamento que preordena los márgenes de la actuación de la inteligencia artificial que, más o menos modesta según los casos, ejecuta sus instrucciones, de un modo conceptualmente parangonable, de forma estricta además, a la actuación que nuestro Derecho presupone a una inteligencia humana convencional cuando ha de ejecutar una actuación adminitrativa normativamente enmarcada. Porque, como se ha dicho, el código fuente es, en efecto, código jurídico y como tal actúa. A efectos de la forma en que algoritmos, programación y código predeterminan deciciones puede constarse que toda programación no es sino una reglamentación (Harari, 2015; Tegmark, 2017) simplemente mucho más predeterminada y fiable.

Desde este punto de vista podríamos considerar que, sin duda, todo algoritmo usado por la Administración para adoptar decisiones no es sino un reglamento. O que todo algoritmo de apoyo opera como la parte reglada de un proceso de toma de decisiones. Que su «naturaleza jurídica», si así se quiere explicar, es la de un reglamento tradicional sin necesidad de añadir mucho más… y provocando la consecuencia jurídica de que hubiera que trasladar in toto la regulación tradicional que hemos ido decantando durante todos estos años respecto de las normas reglamentarias y su funcionamiento y encuadramiento en Derecho.

Ello no obstante, esta discusión sobre la naturaleza jurídica puede obviarse sin problemas en la práctica. A fin de cuentas, no es sino una cuestión conceptual y, si se quiere, dogmática, con pocas repercusiones prácticas… siempre y cuando se quede sólo en eso. Mucho más significativa, en cambio, y cuestión de la que en ningún caso se puede prescindir, es su derivada práctica y, en concreto, la ineludible necesidad de trasladar, como habría exigido el art. 45 LRJAP, todas aquellas garantías respecto de este tipo de “código” para proteger la posición y derechos de los ciudadanos de manera que queden en idéntica posición que cuando son afectados por actuaciones administrativas ordinarias.

III. La traducción de algunas garantías tradicionales a la regulación de la actividad automatizada y realizada por medio de algoritmos/programas… y sus problemas

Si analizamos con un mínimo de exigencia cuáles habrían de ser esas garantías, resulta que son estrictamente equivalentes a las que, más o menos, hemos ido decantando arduamente durante décadas como absolutamente necesarias en un Estado de Derecho para cualquier norma reglamentaria. Lo cual no es llamativo, pues, como se ha dicho, plantean materialmente los mismos problemas. Yendo un poco más allá en este punto, un régimen mínimo de garantías:

IV. Efectos adicionales de la actividad algorítimica que refuerzan la necesidad de garantías

A corto plazo, es patente la necesidad de mayor control sobre el uso meramente accesorio y de apoyo (transparencia, qué, cuándo, cómo, por qué, en qué casos, con qué incidencia), por ejemplo en tareas de inspección, pero no ha de perderse de vista que, además, su carácter de actuación de apoyo es crecientemente una ficción. Además, esta pretensión es coherente con la reciente exigencia incrementada en el encuadre jurídico de la legalidad de estas actuaciones.

En general hay una gran potencia, y beneficios, en el empleo de algoritmos a la hora de permitir una mayor capacidad de disección y de control sobre las decisiones y situaciones en entornos predecibles (y la actuación administrativa y las decisiones judiciales, por ejemplo, lo son). No tiene sentido no aprovecharla (a este respecto la decisión polémica adoptada en Francia y la decisión 2019-778 DC du 21 mars 2019 del Conseil Constitutionnel [6]francés que ha declarado inconstitucional la restricción sobre la publicidad y posibilidad de reutilización de identidad de jueces en sus decisiones y votos particulares (art. 33 código de justicia). Simplemente, ha de ponerse esta capacidad de disección y control a jugar en favor de la previsibilidad y el control ciudadano.

Previsibilidad y transparencia absolutas que, además, serán si cabe más necesarias para hacer frente a algunos cambios estructurales que las decisiones automatizadas o algorítmicas provocarán inevitablemente sobre los entornos de actuación informal, no reglada o incluso sobre las consecuencias de la acción no-legal, alegal o ilegal. A modo de síntesis rápida, piénsese en estos ejemplos:

Todas estas preguntas han de ser contestadas, una vez más, ex ante, y por ello requieren de transparencia y garantías propias de la elaboración de un reglamento.

V. A modo de conclusión (provisional)

Por todas estas razones, el actual régimen legal que contempla que estas programaciones han de ser aprobadas formalmente por la entidad pública que vaya a utilizarla “por ejemplo, a través de un acto administrativo, no siendo imprescindible una norma reglamentaria-, especialmente en aquellos supuestos en que su funcionamiento pueda afectar a los derechos y libertades de los ciudadanos” (Valero, 2015) es francamente insuficiente. Insistiendo en la necesidad de reconstruir las categorías y no pretender que haya de ser necesariamente posible una coincidencia exacta o una reconducción absoluta a conceptos surgidos para designar, sencillamente, otras realidades, podría decirse que no sólo es que sí deberían ser aprobados por medio de normas reglamentarias sino que debieran serlo como normas reglamentarias porque en la práctica y a efectos materiales es lo que son… o, al menos, debieran ser aprobadas con un sistema que garantice todos los mecanismos de participación, publicidad, control e impugnabilidad procesal propios de las normas reglamentarias, en la medida en que el código fuente plantea exactamente las mismas necesidades de control que el código jurídico, pues de aquél van a depender, exactamente en la misma medida que en el pasado dependían de éste, los derechos de los ciudadanos en sus relaciones con los poderes públicos y su efectividad. Ésta es una reflexión que, por lo demás, no está tan alejada, entiendo, del espíritu que late en trabajos como el de Valero (2015) que venimos citando cuando reclama con toda la razón “un derecho por parte de los ciudadanos a obtener toda aquella información que permita la identificación de los medios y aplicaciones utilizadas, del órgano bajo cuyo control permanezca el funcionamiento de la aplicación o el sistema de información; debiendo incluir, asimismo, en su objeto no sólo el conocimiento del resultado de la aplicación o sistema informático que le afecte específicamente a su círculo de intereses sino, además y sobre todo, el origen de los datos empleados y la naturaleza y el alcance del tratamiento realizado, es decir, cómo el funcionamiento de aquéllos puede dar lugar a un determinado resultado”.

La posición defendida, por lo demás, tiene muchas más implicaciones y somos perfectamente conscientes de ello. Por un lado, qué duda cabe, prácticas y sobre la dificultad evidente de una adaptación completa y exigente a la misma. Por otro, en cuantos a algunas repercusiones jurídicas adicionales. Porque si la actividad referida es jurídica y responsabilidad de las Administraciones públicas en toda su extensión, ello ha de suponer que lo será a todos los efectos. Pero no me parece una conclusión ni mucho menos descabellada y, es más, se trata de la única orientación que permite afrontar los problemas futuros a que nos vamos a enfrentar de modo satisfactorio –pensemos en la responsabilidad administrativa y la acción automatizada de drones militares y cuáles serían los centros de imputación jurídica de admitir unas tesis u otras y comprenderemos con facilidad lo inaceptable de un análisis que partiera de otro punmto de partida-. La asunción de lo cual, sin duda, complicará enormemente las cosas a muchos niveles y obligará a readaptar de modo mucho más profundo que lo realizado hasta la fecha nuestro Derecho público, pero generará efectos muy positivos a la hora de redefinir correctamente ciertas garantías jurídicas ahora puestas en cuestión por la imparable conversión tecnológica de nuestras Administraciones públicas y las capacidades que la misma le confiere.

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

Para quien quiera profundizar más en este tema desde una perspectiva completamente académica y dogmática, podéis consultar este artículo que he publicado recientemente en la Revista de Derecho Público. Teoría y Método:

A. Boix Palop (2020): Los algoritmos son reglamentos: La necesidad de extender las garantías propias de las normas reglamentarias a los programas empleados por la administración para la adopción de decisiones [7], en Revista de Derecho Público. Teoría y Método, nº 1, 2020, pp. 223-269.

Además, tenéis también a vuestra disposición una versión conferencia de estas ideas, desarrollada en el Seminari de la Facultat de Dret de València:

1 Comment (Open | Close)

1 Comment To "Los algoritmos son reglamentos"

#1 Comment By Iban Ugarte On 25 mayo 2020 @ 9:20 am

Muy interesante, gracias por el artículo.