La Sentencia de 16 de febrero de 2023 (1 BvR 1547/19, 1 BvR 2634/20) de la primera cámara del Tribunal Constitucional Federal (TCF)[i] resuelve los recursos de inconstitucionalidad presentados en 2019 y declara la nulidad de dos leyes prácticamente idénticas de los estados de Hesse y Hamburgo. Estas leyes permiten utilizar bases de datos policiales en una plataforma para el “análisis” de datos (Hesse, plataforma “hessenDATA”) o una “evaluación” de datos (Hamburgo) por la policía. Todo ello, para combatir determinados delitos o evitar amenazas y daños relevantes y de interés público. Resulta esencial, como punto de partida, subrayar el plus y la intensidad que implica el análisis o interpretación automatizada de los datos: “el análisis o evaluación de datos automatizados tiene potencialmente su propio peso” (párr. 54), esto es, el conocimiento que se puede obtener. Se trata de una restricción cualificada, que va más allá de que los datos personales se utilicen para otra finalidad que para la que se recabaron.

En general, el TCF admite el “propósito legítimo de aumentar la eficacia de la prevención de actos delictivos graves en el contexto de la evolución de las tecnologías de la información mediante la obtención de indicios de delitos graves inminentes que, de otro modo, pasarían desapercibidos en la base de datos de la policía. […] Las autoridades policiales se enfrentan a un volumen de datos en constante crecimiento y cada vez más heterogéneo en términos de su calidad y formato [y el conocimiento] difícilmente podría obtenerse manualmente, especialmente bajo presión de tiempo” (párr. 52). La sentencia, como premisa, distingue la restricción que ya supone la utilización de datos para otros fines; así, en principio, “el uso posterior dentro del propósito original solo puede ser considerado por la misma autoridad dentro del alcance de la misma tarea y para la protección de los mismos intereses legales que para la recopilación de datos” (párr. 57). Se requiere una finalidad “suficientemente específica” (párr. 62), y “cada nuevo uso de los datos debe estar justificado por un peligro urgente o suficientemente específico en el caso individual” (párr. 64).

Hay que tomar nota de los diversos criterios para determinar la mayor o menor intensidad de la injerencia (párrs. 76 y ss.). Así, se distinguen elementos respecto del rastreo y análisis de datos: la mayor o menor duración del rastreo, si incluyen datos de rastreo espaciales o geográficos, si derivan perfilados de la personalidad, si se obtiene información que sirva como punto de partida para otras medidas no relacionadas con lo que motivó la intervención inicial, si hay tecnología de reconocimiento automatizado, si hay riesgos específicos de discriminación (párr. 78). También se distinguen las variantes según la “naturaleza y alcance de los datos” (párrs. 78 y ss.): la cantidad de datos, los diversos tipos de datos utilizados conjuntamente, la relevancia inherente de los datos, el origen de los mismos o si hay datos de redes sociales. Se recuerda que hay que ser más estrictos respecto del análisis de datos obtenidos a través de la vigilancia de domicilios particulares o registros remotos de sistemas informáticos (párr. 81). Asimismo, el TCF diferencia los impactos y restricciones según los métodos que se empleen. Así, puede tratarse de “software para completar la imagen de una persona si se incluyen datos y suposiciones calculadas algorítmicamente” y la intromisión será “mucho mayor […] si se incluyen datos y suposiciones calculadas algorítmicamente sobre las relaciones y conexiones del entorno de los afectados” (párr. 69). “La aplicación automatizada puede cambiar decisivamente la forma en que trabaja la policía y cómo puede obtener información y, por lo tanto, también puede aumentar significativamente el peso del menoscabo individual” (párr. 70). En cuanto a los “métodos de análisis o evaluación” (párrs. 90 y ss.), se llama la atención en que los tipos de búsquedas que permite la plataforma o sistema son relevantes. Así, “cuantos menos requisitos de búsqueda de datos exija el legislador, más peligro”. “La intervención se intensifica en particular si, en el sentido de ‘vigilancia predictiva’, las máquinas hacen afirmaciones peligrosas sobre personas” (párr. 98). La “inteligencia artificial (IA), puede tener un peso particular en la intervención”, supone un “valor añadido” por cuanto los “patrones se desarrollan automáticamente. […] Los sistemas algorítmicos complejos podrían separarse cada vez más de la programación humana original en el curso del proceso de aprendizaje automático”. Y en esta síntesis de variables impactos en los derechos fundamentales, se tiene en cuenta la procedencia del “software de actores privados u otros estados” (párr. 100).

Y, como consecuencia, a partir de las variables intervenciones en los derechos, los requisitos constitucionales para el legislador son también variables (párrs. 103 y ss.). Sentadas las anteriores posibilidades de impactos y restricciones de derechos, el TCF nos brinda casi un manual para el legislador, del que, sin duda, habrá que tomar buena nota en España. Así, primero cabe seguir cómo regular con garantías los presupuestos de uso de sistemas automatizados de análisis de datos. Son diversas las técnicas regulatorias que menciona el TCF: “El legislador […] puede […] vincularlo a las infracciones penales correspondientes, cuya prevención se pretende” (párr. 106). No obstante, respecto de los indicios “[l]os enunciados empíricos generales por sí solos no son suficientes […], los hechos deben permitir concluir que el evento es al menos de un tipo específico y previsible en el tiempo, y por otro lado que estarán involucradas ciertas personas cuya identidad se conoce al menos lo suficiente para la medida de vigilancia” (párr. 106).

El TCF (párrs. 152 y ss.) es especialmente riguroso al determinar estrictamente los motivos o presupuestos bajo los que se pueden realizar estos tratamientos automatizados: “El fin de prevenir los delitos penales […] es desproporcionadamente amplio” (párr. 153). Tampoco es suficiente garantía que la ley afirme “que debe existir un ‘caso individual’ justificado” (párr. 155), ni que se hable de perseguir “un delito ya cometido o al menos a la sospecha fácticamente probada de un delito ya cometido” (párr. 159). Pese a que señala que este tipo de regulación es un buen camino, sería necesario que “se examinara también más de cerca si los datos individuales incluidos en el análisis son adecuados para contribuir a la prevención del delito en serie que puede ser inminente” (párr. 162). Ni siquiera admite como suficiente presupuesto para el análisis de datos, que en el caso de Hesse esté “previsto un examen caso por caso de la idoneidad de los datos disponibles” (párr. 163).

El TCF da cierta luz al legislador respecto de los presupuestos de uso de la plataforma. Así, señala que se admitiría si “el poder fuera más limitado en términos del tipo y alcance de los datos y métodos de procesamiento permitidos y la intensidad potencial de la interferencia se redujera hasta tal punto que un umbral de interferencia más bajo sería constitucionalmente suficiente, […] el concepto actual de la práctica de Hesse podría ser el punto de partida para un diseño constitucionalmente compatible de los requisitos de intervención […]. Tal concepto tendría entonces que ser regulado más detalladamente cumpliendo con los requisitos de la reserva estatutaria, la claridad de las normas y el requisito de certeza” (párr. 165). La utilización de sistemas de análisis de datos en supuestos individuales y específicos sí que pueda ser suficiente: “La autorización presupone que una medida debe ser necesaria en un caso individual […] si la medida en sí misma no invade profundamente la esfera privada” (párr. 166).

Se censura que las leyes de Hamburgo y Hesse permiten un uso prolongado y no específico del sistema (párr. 167), además de que se permite el uso con la finalidad de adquirir conocimientos para futuras investigaciones y procedimientos de investigación, sin un peligro concreto o particular.

El TCF también detalla en su manual de regulación los mínimos que la ley debe regular a la hora de concretar las técnicas y tratamientos automatizados posibles y los límites que tienen los reglamentos o las autoridades. Y como punto de partida, el TCF permite la colaboración normativa y la remisión legal a las autoridades (párrs. 110 y ss.) para que lleven a cabo la configuración concreta del sistema automatizado por orden de la administración de la autoridad o de un empleado comisionado por ella con una consulta previa al delegado de protección de datos. Ahora bien, la ley sí que debe regular de modo suficiente “para limitar el tipo y el alcance de los datos y para limitar los métodos de procesamiento de datos” (párr. 110). Solo a partir de la regulación legal, se permite que “las autoridades administrativas que especifiquen con mayor precisión las determinaciones abstractas […] documenten y publiquen de manera comprensible las determinaciones de precisión y uniformidad que especifiquen más las determinaciones abstractas y generales” (párr. 113). Así:

–  “la propia ley deberá regular qué bases de datos se pueden incluir y en qué medida se pueden automatizar” (párr. 116);

–  “limitar el uso automatizado al que solo tienen acceso los empleados policiales debidamente cualificados” (párr. 117);

–  “los datos obtenidos de la vigilancia domiciliaria o de búsquedas en línea se utilicen en un análisis o evaluación de datos que sirva para evitar que se cometan delitos” (párr. 118);

–   el “uso posterior debe limitarse […] a partir de enfoques de investigación concretos […] de importancia comparable” (párr. 118); y

–  “la información procedente de la recopilación intensiva [debe] separarse […] para impedir el acceso en caso necesario y no debe identificarse posteriormente” (párr. 118).

Y llama poderosamente la atención que el TCF impone la prohibición de sistemas de autoaprendizaje: “El uso de sistemas de autoaprendizaje debe estar expresamente excluido en la ley. Además, el propio poder legislativo debe adoptar disposiciones básicas para limitar el grado de automatización […], habría que establecer en la propia ley una restricción a las opciones de comparación […], deben excluirse en particular las declaraciones de peligrosidad de las máquinas sobre personas en el sentido de ‘vigilancia predictiva’, o el análisis o evaluación de los datos solo debe basarse en la detección de personas peligrosas o en peligro de desaparición desde el principio […], el peso de la intervención solo se reduce si la propia legislatura así lo especifica” (párr. 121). Se trata de una cuestión que quizá requeriría una mayor fundamentación para saber si en el futuro y en el ámbito y cobertura del futuro reglamento de IA sería posible este tipo de tratamientos con IA, siempre con las garantías oportunas.

Además, la ley debe contener garantías técnicas suficientes. Aparte de los mínimos que debe contener la ley, y de esta llamativa prohibición de la IA, el TCF señala sin excesivo detalle, por considerar que no es objeto del procedimiento, que la ley “también debe regular […] precauciones técnicas y organizativas apropiadas” (párr. 118). Así:

–  “en cualquier caso, el principio de proporcionalidad se traduce en exigencias de transparencia, tutela jurídica individual y control de supervisión” (párr. 103);

–  deben haber delegados de protección de datos independientes con un concepto de control;

–  es necesario que “se proporcionen razones formuladas de forma independiente sobre por qué ciertas bases de datos se analizan por medios automatizados para prevenir ciertos delitos penales”; y

–  se han de incluir “precauciones para evitar errores”, incluso “regulaciones legales sobre el estado de seguimiento del desarrollo del software utilizado”.

Pues bien, a partir de todo este elenco de exigencias para el legislador, de modo indefectible sobreviene la declaración de inconstitucionalidad (párrs. 123 y ss.), pues son numerosas las carencias que se detectan. Hay un “tratamiento automatizado de cantidades ilimitadas de datos, mediante métodos que tampoco son determinados por la ley”; personas no sospechosas como testigos pueden quedar sometidas a medidas policiales prácticamente sin restricciones, el “legislador no ha restringido qué métodos de análisis y evaluación están permitidos” (párr. 146). La ley permite “formas más complejas de comparación de datos […], se permiten la ‘minería de datos’ […] hasta el uso de sistemas de autoaprendizaje […], también se permiten búsquedas abiertas”. A partir de “anomalías estadísticas” que permite la ley “se pueden extraer conclusiones adicionales”. Y las normas legales “tampoco excluyen nada con respecto a los resultados de búsqueda que se pueden lograr”. Incluso “se podría generar nueva información relacionada con la personalidad” (párr. 147).

Recientemente publiqué el estudio “Sistemas de inteligencia artificial con reconocimiento facial y datos biométricos. Mejor regular bien que prohibir mal”. Estudio que, muy en breve, se presentará en una versión más extensa y detallada. El propio título clamaba por la necesidad de una buena regulación legal que no nos prive de la posibilidad del uso de estas tecnologías, y que pueda hacerse con todas las garantías exigibles. Llamé especialmente la atención en que el legislador no está cumpliendo sus obligaciones. Baste apuntar que, en el ámbito criminal y policial, la Ley Orgánica 7/2021, de 26 de mayo, no ha aportado prácticamente nada. No contamos con una ley habilitante y que regule las garantías respecto de un sistema de identificación biométrico concreto, ni para el sector público ni para el sector privado. Lo mismo señalé con motivo de la histórica sentencia de 5 de febrero de 2020 del Tribunal de Distrito de la Haya (C/09/550982/HA ZA 18-388), que declaró contrario al artículo 8 del CEDH el Systeem Risicoindicatie (SyRI). Subrayé que la regulación neerlandesa que se declaraba contraria a diversos derechos fundamentales era amplia y contaba con muchas garantías y que, a pesar de ello, se había considerado nula. Es decir, se declaraba allí inconstitucional una normativa con garantías que no se alcanzan ni de lejos en España respecto de los tratamientos masivos de datos que se llevan a cabo por la AEAT, la TGSS, la CNMC o la ITSS, entre otras. Nuestro TC (STC 76/2019, de 22 de mayo, en especial FJ 8.º) es muy riguroso con la calidad de la ley sobre tratamientos de datos con cierto impacto. A todo lo anterior hemos de añadir que la AEPD no deja de señalar la falta de cobertura legal y garantías de los diversos tratamientos automatizados biométricos, por última vez el 20 de enero de 2023. Y los informes y recomendaciones desde la UE (SEPD, CEPD, Parlamento UE, FRA, etc.) y el Consejo de Europa en la materia son igualmente estrictos.

Y, posiblemente, el TCF ha sido el más exigente y riguroso de todos. La sentencia que se ha sintetizado eleva, y mucho, los estándares y las exigencias al legislador para permitir el tratamiento automatizado masivo de datos, incluso prohíbe técnicas de sistemas autónomos e IA. De nuevo, en España se brinda una muy buena ocasión para regular mejor y tomar, al menos, como modelo las lecciones que claramente se pueden extraer de esta sentencia.

Lorenzo Cotino Hueso
Catedrático de Derecho Constitucional de la Universidad de Valencia. ValgrAI, OdiseIA, Red DAIA

---

[i] Resulta de interés también el comunicado de prensa núm. 18/2023 de 16 de febrero de 2023, en inglés y alemán. Las referencias en español a la misma se basan en traducción automatizada.