En cualquier portal de noticias puede leerse que “La cantidad de información que se genera en internet es abrumadora”. En los últimos diez años, su incremento ha sido exponencial. Según el estudio Big Data en números 2014, presentado por la Online Business School, durante los últimos diez años se creado más información que en toda la historia de la humanidad. Es la revolución del Big Data, que genera grandes volúmenes de datos a diario”[2]. Se considera que esta tendencia es irreversible y la generación de datos e información se seguirá acrecentando de modo imparable.
Los “datos”, por sí solos, carecen de utilidad. Para procesar la información y dotar los “datos” de “valor”, era necesario un gran equipo con una enorme capacidad. Esta ingeniería, si bien inicialmente era exclusiva de grandes corporaciones, es cada día más accesible para la comunidad en general.
Ambas cuestiones, nos llevan a indagar el estado actual de la cuestión, cómo las empresas tratan los datos, los efectos, las consecuencias y cómo se abordó el tema en otras latitudes.
El aprovechamiento de los “datos”
El aprovechamiento de los datos (y su valoración) se hace a través de procedimientos que se identifican como “machine learning”. Por ejemplo, uno de estos procesos se denomina “Deep learning”. El deep learning es un tipo de machine learning que entrena a una computadora para que realice tareas como las hacemos los seres humanos, como el reconocimiento del habla, la identificación de imágenes o hacer predicciones. En lugar de organizar datos para que se ejecuten a través de ecuaciones predefinidas, el deep learning configura parámetros básicos acerca de los datos y entrena a la computadora para que aprenda por cuenta propia reconociendo patrones mediante el uso de muchas capas de procesamiento[3].
Actualmente, las empresas, independientemente del sector comercial al que correspondan, utilizan “datos” e intentan aplicarlos para mejorar su performance, ya sea para optimizar el funcionamiento interno, como en sus relaciones externas (captar mayor clientela, predecir dónde va el mercado, etc.). Naturalmente, dentro de todo el arco empresario, las que toman especial protagonismo son aquellas empresas que utilizan estas herramientas tecnológicas como para desarrollar su objeto primario. Pero en rigor, hoy por hoy, la regla es que, de un modo u otro, las distintas empresas que obtienen datos intentan maximizar los mismos.
Existen sociedades que aplican estas tecnologías (que identifican con IA) en el funcionamiento de sus órganos de administración [4], e incluso se vienen asomando las denominadas “Entidades Autónomas de Descentralizadas” o DAO (por sus siglas en inglés)[5].
Pero al mismo tiempo, también existen empresas que utilizan toda esta información para desarrollar el “microtargeting”. El “microtargeting” utiliza perfiles “psicométricos”. Dice Byung Chul Han [6] : “La psicometría, también conocida como <psicografía> es un procedimiento basado en datos para obtener un perfil de personalidad. Los perfiles psicométricos permiten predecir el comportamiento de una persona mejor de lo que podría hacerlo un amigo o compañero. Con suficientes datos, es posible incluso generar una información más allá de lo que creeos saber de nosotros mismos (…)”.
Siguiendo esta línea, según Eli Pariser, “La nueva generación de filtros de internet se fija en lo que aparece que a usted le gusta -cómo ha sido de activo en la red o qué cosas o personas le gustan- y saca las conclusiones pertinentes. Las máquinas pronosticadoras crean y y refinan continuamente una teoría sobre su personalidad y predicen lo siguiente que usted querrá hacer. Juntas, estas máquinas crean un universo de información para cada uno de nosotros -lo que llamo “filtro burbuja”- y cambian fundamentalmente el modo en que accedemos a las ideas y a la información”. Cuanto más tiempo paso en internet, más se llena mi filtro burbuja de información que me gusta, que refuerza mis creencias. Sólo me muestran aquellas visiones del mundo que están conformes con la mía. El filtro corta el paso a otras informaciones, De ese modo, el filtro burbuja me enreda en un <bucle del ego> permanente.”[7]
Entonces, si bien la cuestión gira en torno al tratamiento automatizado de datos (IA), el gran problema reside en la utilización abusiva o el mal uso de la información lo que quizás, en nuestro país está acentuado debido a la inexistencia de normas y prácticas que regulan estas cuestiones.
Ello nos lleva a compartir las siguientes reflexiones:
Los “datos” en tanto materia prima. “La propia identidad deviene en una mercancía”
La Inteligencia Artificial[8], el Big Data[9], el Machine Learning funcionan gracias al procesamiento de “datos”. Se tiene dicho que “Los datos se han convertido en un factor de producción fundamental de cualquier proceso económico actual, indistintamente si es desde el sector privado, o el Estado. Así, la generación masiva de datos, y la capacidad de procesarlos para construir valor, resulta clave para incrementar la eficacia y eficiencia en la toma de decisiones”.
“Un dato por sí solo no tiene valor, y muchos datos acumulados sin procesar, tampoco. Pero su tratamiento y análisis científico los convierten en conocimiento útil, original y rentable. El surgimiento del Big Data y de la aplicación del machine learning permitió dar el salto a este nuevo nivel.”
“Los datos son la materia prima que alimenta los algoritmos de machine learning e inteligencia artificial, ya que nos permite tomar decisiones en función de análisis de comportamiento histórico y poder así predecir comportamientos futuros.”[10]
Dentro del “universo” de los “datos”, queremos hacer especial referencia a los “datos” relacionados de modo directo con las “personas humanas”, cómo se tratan los mismos y cómo, a nuestro entender, deben organizarse las empresas de cara a la manipulación de dicha información.
Fuente de Datos ¿Cómo se obtienen los datos?
Los datos provienen de todo tipo de fuentes: visita a cualquier sitio web a cualquier efecto; uso de GPS; todo tipo de consulta u operación que se haga por sistema; comentarios en redes sociales; foto multas; compras con tarjetas; correo electrónico; las aplicaciones cuentapasos; los geolocalizadores; etc.
La mayoría de las personas que utiliza algún tipo de tecnología o servicio online deja “datos”. Como dice Byung Chul Han [11] “El smartphone es un dispositivo de registro psicométrico que alimentamos con datos día tras día, incluso cada hora. Puede utilizarse para calcular con precisión la personalidad de su usuario.”
Nos preguntamos si las personas en general ¿saben que cualquier movimiento por más irrelevante que parezca produce una “dato” que otro aprovecha? ¿saben qué se hace con sus datos?
En principio la respuesta negativa se impone, aunque no puede negarse que existe un “saber popular”[12], o una simple noción -superflua- sobre el particular pero que no llega a ser “consentimiento”.
Suele ocurrir que cuando se visita un sitio web (al menos la primera vez) surge un formulario virtual que contiene “Términos y Condiciones” donde se explica “qué pasa” con la información que uno deja volcada en el sitio. Leer estos textos, tiene una duración promedio de dieciseis (16) minutos. En los hechos, las personas no leen nada y “clickean” “ACEPTAR” y pasan a lo que sigue. La empresa que recopila los datos, obviamente sabe que el “usuario” no estuvo 16 minutos frente al “cartel” y tardó unos pocos segundos o minutos en “avanzar”, lo que nos genera una duda razonable sobre el verdadero “consentimiento” del “usuario” sobre el destino de los datos que deja volcados.
Lo cierto es que la empresa, una vez que se hace de los “datos”, los utiliza.
Luego, una vez procesada toda la información, ese material se emplea con múltiples y distintos fines. No sólo para mejorar la performance de respuesta de las empresas, sino también que se comercializan y/o comparten con otras entidades.
¿Prestar consentimiento para que la “empresa” usufructúe los datos, implica perder la propiedad sobre los mismos?
Sin ánimo de indagar sobre la naturaleza jurídica del “dato”, podemos arriesgarnos en aceptar que es un desprendimiento de la personalidad de los seres humanos, y como tal, podría considerarse que siempre es propiedad de la persona y cualquier consentimiento prestado para su utilización es libremente revocable tal como lo indica el art. 55 CCCN[13].
Del mismo modo que tenemos la firme convicción de ello, tenemos la certeza de que nadie saber con precisión “dónde fueron a parar sus datos”.
¿Existen modos de prever, medir e incluso retrotraer el “viaje” de los datos?
Sí. El “data management” tiene dicha finalidad.
Data Management y Data Protection: La necesidad de su incorporación
Las disciplinas que permiten organizar y sacar provecho de los datos, forman parte del Data Management o Gestión de Datos, y se puede pensar en ellas como una serie de prácticas que permiten el desarrollo y ejecución de arquitecturas, políticas y procedimientos que cubren las necesidades del ciclo de vida completo de los datos de una empresa.
Los datos ganan valor comercial cuando se aprovechan, y para ello, no sólo deben ser datos veraces, sino que deben estar disponibles, por lo que generalmente se almacenan en alguna una plataforma nube (Cloud Computing) y no en una bóveda impenetrable.
Por ello, toda empresa, sea una PYME o una multinacional, debe arbitrar los medios para gestionar adecuadamente dichos datos.
Si bien no existe ninguna normativa doméstica sobre el particular, y dentro de los “organigramas” de las sociedades que manipulan datos no resulta frecuente la mención de un sector o departamento de “data compliance”, consideramos que resulta una figura necesaria y su incorporación no obedece sólo a una buena práctica, sino que también guarda estricta relación con las diligencias que deben adoptar los administradores societarios.
En otras latitudes, incorporar un “DPO” (siglas por “data protection officer” o “delegado de protección de datos”, que no es otra cosa que un “data compliance”) como órgano societario y/o como asistente permanente de los mismos, es una obligación cuyo incumplimiento genera distinto tipo de sanciones.
En esta línea, en la Unión Europea, debido a los distintos conflictos derivados del manejo irresponsable de datos, se sancionó el Reglamento General de Protección de Datos (RGPD, aunque es más conocido como GDPR, por sus siglas en inglés). El RGPD –vigente desde el 2018– es un amplio conjunto de reglas centradas en la protección de la privacidad personal y el intercambio de datos entre fronteras.
Según el RGPD, existe la obligación de designar un Delegado de Protección de Datos (DPO), entre otros casos[14]: n.- cuando las actividades principales del responsable o el encargado del tratamiento consisten en operaciones de tratamiento que requieren el seguimiento regular y sistemático de los interesados a gran escala; n.- cuando las actividades principales del responsable o el encargado del tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos penales; n.- cuando se trate de las siguientes entidades: a) Los colegios profesionales y sus consejos generales; b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas; c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala; d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio; e) Las entidades dedicadas a la ordenación, supervisión y solvencia de entidades de crédito; f) Los establecimientos financieros de crédito; g) Las entidades aseguradoras y reaseguradoras; h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores; i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural; j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo; k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos; l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes; m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas; n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego; ñ) Las empresas de seguridad privada; o) Las federaciones deportivas cuando traten datos de menores de edad; etc.
Según surge de distintos medios informativos, la Agencia Española de Protección de Datos (AEPD) ha multado con 50.000 euros a la pyme Conseguridad, una empresa dedicada a ofrecer servicios de seguridad privada. El motivo de la sanción es no tener designada la figura del Delegado de Protección de Datos[15].
Por otro lado, ha multado a otra compañía GlovoApp, dedicada a los envíos a domicilio a través de riders, de 25.000 euros ratificada por el organismo encargado del buen tratamiento de los datos de los españoles[16].
Esta simple mención pretende poner de relieve la jerarquía del tema.
Destacamos que de ningún modo se sugiere encastrar a la fuerza en nuestro sistema una figura propia de otro sistema (amén del éxito de la misma), sino tan sólo aprovechar las experiencias para casos similares.
Como fuere, entendemos necesaria la incorporación de una figura acorde.
Corolario
Del mismo modo que en otras áreas se entiende necesaria la existencia de un Programa de Compliance (por ej., Ley 27.401 de Responsabilidad Penal de las Personas Jurídicas), consideramos imprescindible que las sociedades que se valgan de “datos”, cuenten con un sector o departamento de “Data Compliance”.
Como antes dijimos, su incorporación no obedece sólo a una buena práctica, sino que también guarda estricta relación con las diligencias que deben adoptar los administradores societarios.
Hoy por hoy, cobra especial relevancia el deber de prevención del daño, y por ello, los administradores societarios pueden y deben adoptar las medidas razonables para evitar y/o disminuir que se produzca un daño o su magnitud, tal como sería la adopción de un DPO.
(*) Informe de Sebastián Farina. Master en Derecho Empresario de la Facultad de Derecho de la Universidad Austral de Buenos Aires / Maestría en Derecho Privado de la Facultad de Derecho de la UNR.
Notas:
[1] Basado en la ponencia presentada en el XV Congreso Argentino de Derecho Societario y XI Iberoamericano de Derecho Societario y de la Empresa que tuvo lugar en la ciudad de Córdoba en fecha 26, 27, 28 y 29 de Octubre de 2022 bajo el título EL MANEJO DE DATOS: LA NECESARIA INCORPORACIÓN DE DATA MANAGEMENT, DATA COMPLIANCE Y DATA PROTECTION, y publicado en el TOMO II p. 75
[3] https://www.sas.com/es_ar/insights/analytics/deep-learning.html . Surge de la nota que “El deep learning es una de las bases de la inteligencia artificial (AI) y el interés actual en el deep learning se debe en parte al auge que tiene ahora la inteligencia artificial. Las técnicas de deep learning han mejorado la capacidad de clasificar, reconocer, detectar y describir – en una palabra, entender. Por ejemplo, el deep learning se utiliza para clasificar imágenes, reconocer el habla, detectar objetos y describir contenido. Sistemas como Siri y Cortana son potenciados, en parte, por el aprendizaje a fondo”.
[4] Ya en las anteriores Jornadas, esto es, el XIV Congreso Argentino de Derecho Societario, Javier Lorente se refirió sobre el particular en su ponencia intitulada “Divagaciones sobre la utilización de Inteligencia Artificial (IA) y Machine Learning por y en los Órganos de administración de sociedades. IAs como directores de sociedades ¿Realidad o truco publicitario?” Ponencia publicada en el Tomo III, p. 1989; y otra ponencia intitulada “Primerísimas aproximaciones a la actuación de IAs en los órganos de administración de sociedades. Ventajas de las IAs como directores de sociedades”., en la página 1909 del T. III.
[5] Como explicó Eduardo Segovia Mattos en una ponencia intitulada “Naturaleza jurídica de las entidades autónomas descentralizadas y la responsabilidad de sus miembros”, presentada en las Jornadas Preparatorias habidas en la Facultad de Derecho de la UNNE, Corrientes, en fecha 02.08.2022 y “Las DAO, enfoque jurídico desde el Derecho Argentino”. “Una DAO es comparable con una sociedad. Para ser socio de una Sociedad, se debe ser propietario de una acción y las reglas de funcionamiento de la sociedad, se rigen por un estatuto. Bien, para ser miembro de una DAO se debe tener un “token de gobernanza” y se interactúa con la organización (y se toman decisiones) de acuerdo con las reglas de gobernanza establecidas en un contrato inteligente, es decir, de acuerdo al código del programa computacional. Las sociedades se registran en un registro público estatal. Las DAO se registran, o mejor dicho, el programa esta desplegado en la blockchain y por lo tanto, las reglas de gobernanza, están registradas, de forma descentralizada, en un registro que es Público y , como se dijo, inmutable (salvo que el mismo programa lo permita y bajo las condiciones establecidas). Las sociedades tienen órganos de gobierno y administración. Pues bien, en una DAO se puede eliminar por ejemplo la figura del directorio y la gerencia: no es necesario desde que los “socios” pueden tomar decisiones en línea y de forma inmediata sin necesidad de “asambleas” formales, gracias a la inmediatez de la tecnología, y segundo, porque el funcionamiento de la DAO es justamente autónomo. Es la ejecución de un programa computacional, que dadas las condiciones programadas, funciona sin necesidad de interacción humana [eso diferencia a una DAO de una DO]”. Y más adelante dijo: “(…) la ley DAO que entró en vigencia el 1 de Julio de 2021, en el estado de Wyoming en los Estados Unidos. La misma decidió encarar la realidad de las DAO, legislando un nuevo tipo de Limited Liabilities Companies, las famosas LLC, denominado DAO LLC. En resumidas cuentas, el estado de Wyoming permite que una DAO, se registre ante el estado, adoptando la forma de una LLC, tan solo designando un agente registrador, declarando que todo o parte de su estatuto se rige por un smart contract y adicionando a su razón social la palabra DAO. Así obtienen la inscripción como persona jurídica y por tanto la limitación de la responsabilidad, pero a la vez, reconociendo que las reglas de gobernanza de esa DAO, existen como contratos inteligentes desplegados en una Blockchain”.
[6] Byung Chul Han en “Infocracia”, Editorial Taurus p. 14.
[7] Citada por Byung Chul Han en “Infocracia”, Editorial Taurus p. 21.
[8] Ver https://nexusintegra.io/es/big-data-vs-inteligencia-artificial/ En la misma se explica que “La Inteligencia Artificial consiste en una combinación de algoritmos planteados con el propósito de crear máquinas que imiten las funciones de los seres humanos (como aprender, razonar y tomar decisiones).
La Inteligencia Artificial necesita datos para construir su inteligencia, tanto de forma inicial como de forma posterior y continua. Cuanto más grande sea la cantidad de datos a la que puedan acceder los sistemas de Inteligencia Artificial, más podrán aprender las máquinas y, por tanto, más precisos y eficientes serán sus resultados.
Conforme la IA se vuelve más inteligente, se requiere menos intervención humana a la hora de e controlar los procesos y supervisar las máquinas. La Inteligencia Artificial vive en una continua fase de aprendizaje en la que se alimenta de los datos continuamente.
De la misma manera que el Big Data es necesario para la Inteligencia Artificial, lo mismo pasa al contrario. Cantidades tan ingentes de datos no tendrían el valor que tienen sin los modelos de Inteligencia Artificial, capaces de desbloquear el potencial de estos almacenes de datos y transformarlos en inteligencia”.
[9] El Big Data se refiere al almacenamiento y procesamiento de cantidades masivas de datos estructurados, semiestructurados y no estructurados con gran potencial para ser extraídos y organizados de forma que proporcionen información valiosa para las organizaciones y empresas. Así surge de https://nexusintegra.io/es/big-data-vs-inteligencia-artificial/
[10] Ver https://www.upbe.ai/blog/inteligencia-artificial-datos/
[11] Byung Chul Han en “Infocracia”, Editorial Taurus p. 14.
[12] Las personas tienden a creer que los “celulares” las escuchan porque de modo “inesperado” le llegan publicidades sobre productos o servicios que de un modo u otro buscaron, ellos o sus compañeros. Si bien puede ser que los dispositivos hagan cosas adicionales y que nadie las solicita, la explicación más simple a dicho fenómeno es la “utilización de los datos” -microtargeting-.
[13] ARTICULO 55.- Disposición de derechos personalísimos. El consentimiento para la disposición de los derechos personalísimos es admitido si no es contrario a la ley, la moral o las buenas costumbres. Este consentimiento no se presume, es de interpretación restrictiva, y libremente revocable.
[14] Puede consultarse https://www.protecciondatos.org/dpd-dpo/
[15] https://www.protecciondatos.org/no-disponer-de-dpo-sanciones/
[16] https://www.protecciondatos.org/no-disponer-de-dpo-sanciones/