Entre las actividades o servicios que prestan las Administraciones Públicas, cada vez es más común la automatización de procesos administrativos, como el reciente caso BOSCO, utilizado por las compañías eléctricas para determinar si una persona cumple o no con los requisitos para ser beneficiario del bono social.
En primer lugar, resulta necesario analizar en qué consiste el bono social y el Sistema BOSCO, partiendo de la información facilitada por el Ministerio para la Transición Ecológica, tanto en su escrito de fecha 19 de abril de 2023, elaborado en contestación al requerimiento de información del Inspector de fecha 14 de marzo de 2023, como en su escrito de alegaciones al acuerdo de inicio de fecha 15 de diciembre de 2023.
Este bono social supone un descuento en el precio de la electricidad suministrada a determinados consumidores vulnerables. El Ministerio para la Transición Ecológica destaca que la obligación de servicio público impuesta por el bono social consta de dos elementos:
- El descuento en el precio de la electricidad suministrada a determinados consumidores vulnerables.
- La aportación financiera destinada a cubrir el coste de dicho descuento.
El bono social se creó en el año 2009. No se trata de una ayuda directa (como el bono térmico), ni de una subvención o una transferencia de bonos. El bono social es un descuento en la factura de la electricidad que se impone a determinadas empresas, denominadas comercializadoras de referencia (en adelante, COR), para que ofrezcan el descuento regulado en la factura, en una cuantía determinada o a una serie de colectivos.
Los colectivos beneficiarios del bono social se han ido modificando a lo largo del tiempo, si bien siempre se han denominado consumidores vulnerables, en un primer momento, el descuento se ofrecía a determinados colectivos sin tener en consideración el nivel de renta.
La aprobación del Real Decreto-ley 7/2016, de 23 de diciembre,, tuvo como consecuencia importantes cambios en el bono social, entre ellos, la modificación de la definición de consumidores vulnerables, ampliándola para incluir a los suministros esenciales (haciendo referencia la vulnerabilidad a la renta). Por tanto, como consecuencia de esta relevante modificación normativa, se incluyó el criterio de la renta en la tramitación del bono social
Este caso BOSCO, analizado en la resolución PS/00324/2023 de la Agencia Española de Protección de Datos (en adelante, AEPD), ha reabierto el debate sobre el alcance del artículo 22 del Reglamento General de Protección de Datos (en adelante, RGPD).¿Dónde empieza y termina la protección del ciudadano frente al tratamiento automatizado de sus datos? ¿Cuándo estamos realmente ante una decisión automatizada? Y, ¿qué protección nos ofrece el artículo 22 del RGPD?
Según este precepto “Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”, es decir, los ciudadanos tienen derecho a no ser evaluados exclusivamente por algoritmos si conlleva consecuencias relevantes o jurídicas sobre los mismo. Sin embargo, en el apartado segundo del artículo 22 RGPD se contienen tres excepciones: existencia de un contrato, habilitación legal o consentimiento explícito e informado del ciudadano. Pues bien, el sistema BOSCO fue diseñado por el Ministerio para la Transición Ecológica, para determinar si un ciudadano cumplía con los requisitos legales para acceder al bono social eléctrico basado en un descuento destinado a consumidores vulnerables, para lo cual, cruzaría automáticamente datos con la Agencia Tributaria y la Seguridad Social. Desde un punto de vista técnico, BOSCO se encargaba de lo siguiente:
- Verificar si los datos aportados como ingresos o situación familiar cumplían las condiciones normativas objetivas para acceder al bono social.
- Validar el cumplimiento de condiciones generales predefinidas o requisitos contenidos en el Real Decreto 897/2017, de 6 de octubre, por el que se regula la figura del consumidor vulnerable, el bono social y otras medidas de protección para los consumidores domésticos de energía eléctrica.
- Comunicar el resultado (“cumple»/»no cumple»/»no se puede calcular») al ciudadano la concesión o denegación del bono.
Desde un punto de vista técnico, este sistema, mediante comprobaciones automáticas con datos de la Agencia Tributaria y la Seguridad Social tomaba decisiones que comunicaba a la compañía eléctrica correspondiente y, esta, a su vez, informaba al ciudadano. Es decir, el Sistema BOSCO actúa de forma automática para emitir un resultado una vez las COR han introducido los datos al sistema.
El funcionamiento técnico del sistema BOSCO funcionaba de la siguiente manera. Las COR introducían en el sistema BOSOCO los datos personales del consumidor solicitante del bono social y, en caso de ser necesario, de los miembros de la unidad de convivencia del solicitante. Tras esto el sistema BOSCO efectuaba cálculos de concesión del bono a partir de los datos que obtenía tras consultar los niveles de renta para miembro de la unidad de convivencia en la Agencia Estatal de Administración Tributaria y, en caso de ser necesario, en la Seguridad Social. Finalmente, el resultado ofrecido por el sistema BOSCO era consultado por las COR y trasladado a aquellos consumidores solicitantes del bono social.
Ante esto la AEPD determinó que la decisión adoptada por el Sistema BOSCO se basaba en un tratamiento automatizado de datos, por ello, previo a analizar la posición de la Agencia, es importante entender cuándo una decisión es automatizada a efectos del RGPD. En este sentido, siguiendo las Directrices WP 251 sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679 deben cumplirse tres requisitos:
- Debe existir una decisión.
- Esta decisión solo puede estar basada en el tratamiento automatizado.
- Concurre alguna de las excepciones del art. 22 RGPD que dan la posibilidad de permitir que la decisión o decisiones tomadas se lleven a cabo.
En el presente caso, la decisión adoptada por el sistema BOSCO afectaba a consumidores vulnerables, o consumidores vulnerables severos, provocando sobre estos, efectos jurídicos según si iban o no a disfrutar del bono. Por ello, la AEPD dispuso que era necesario la aplicación de medidas técnicas y organizativas apropiadas con el fin de garantizar que se reduzca al máximo el riesgo de error.
Junto a esto, la AEPD entendió que “Los datos se introducen (…), automáticamente genera un número de expediente, para que el remitente pueda luego identificar la consulta y recoger la respuesta que se genera de manera automática una vez la aplicación finaliza las comprobaciones automatizadas (…)”. Es decir, según la AEPD la decisión adoptada por el Sistema BOSCO se basaba en un tratamiento automatizado de datos claramente reflejado en el hecho probado vigésimo séptimo sosteniendo que “de conformidad con el artículo 22.1 RGPD, y respecto del tratamiento efectuado por el MTERD a través del Sistema BOSCO, nos encontramos ante decisiones individualizadas basadas únicamente en un tratamiento automatizado y que producen efectos jurídicos en los interesados o les afecta significativamente de modo similar, pero sin que conste la adopción de la medida relativa al derecho del interesado a obtener intervención humana por parte del responsable”, considerando por todo ello que el Ministerio para la Transición energética había vulnerado el artículo 22 RGPD.
Al respecto, resulta interesante traer a colación la falta de intervención humana por parte del responsable que puso de manifiesto la AEPD en esta resolución ante la ausencia de los requisitos contenidos en las Directrices del Grupo de Trabajo del Artículo 29 WP251 en interpretación del art. 22.3 RGPD:
- Intervención humana por parte del responsable del tratamiento.
- La supervisión humana de la decisión ha de ser significativa y no un simple gesto simbólico.
- Ha de llevarse a cabo por una persona autorizada, con competencia para modificar la decisión.
- Dicha revisión implica la necesidad de una evaluación completa de todos los datos pertinentes, incluida cualquier información adicional facilitada por el interesado.
En definitiva, la AEPD determinó que, junto al incumplimiento de la prohibición del artículo 22 RGPD, el Ministerio para la Transición Ecológica infringió también:
- Artículo 35 RGPD al no haber realizado la correspondiente EIPD.
Al respecto, el Ministerio justificó la no realización de una EIPD para los tratamientos de datos afectados por la tramitación del bono social, en que, en un primer momento, tras realizar el análisis de riesgos, el riesgo arrojado fue medio, por lo que no era necesario realizar una EIPD.
Sin embargo, según la AEPD, teniendo en cuenta el elevado número de personas afectadas por el tratamiento realizado para el sistema BOSCO, que a su vez son sujetos en situación su vez son sujetos en situación vulnerable o en riesgo de exclusión social, incluyendo datos de menores de 14 años, datos del estado civil y de afiliación (parentesco, parejas de hecho, acogimiento, etc), así como datos de sus descendientes y personas que estén bajo su guardia y custodia y de las que convivan conformando una unidad familiar, y todo ello a través de acceso y consulta a diferentes registros de bases de datos de diferentes responsables de tratamiento, resulta necesario realizar una EIPD, pues de conformidad con el artículo 35.1 del RGPD “Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.”.
- Falta de transparencia e información al ciudadano (artículo 13 y 14 RGPD).
Trayendo a colación los arts. 13 y 15.1 h) RGPD, el Ministerio para la Transición Ecológica, en calidad de responsable del tratamiento, debió poner a disposición del interesado toda la información relativa a los criterios y funcionamiento del algoritmo del sistema BOSCO. Sin embargo, en la solicitud del bono social, no se indica en ningún momento la existencia de tales decisiones individuales automatizadas.
La información sobre los algoritmos ha sido calificada como secreta en algunas ocasiones por la Administración, lo cual entra en conflicto con el derecho de acceso a la información pública que tiene todo ciudadano y/o interesado, como indica el artículo 13 de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (en adelante, Ley de Transparencia) según el cual «se entiende por información pública los contenidos […] cualquiera que sea su formato o soporte […] elaborados o adquiridos en el ejercicio de sus funciones». Este debate ha sido abordado por el Auto 7878/2024 del TS, planteando un precedente clave sobre si los algoritmos utilizados por la Administración pública deben considerarse información pública sujeta al derecho de acceso.
No obstante, respecto a la resolución de la AEPD aquí abordada, el incumplimiento del art. 13 RGPD se debió a la falta de transparencia e información facilitada al interesado previo a realizar la solicitud del bono.
Los arts. 13 y 14 RGPD enumeran las categorías de la información que deberá facilitarse cuando los datos personales son obtenidos del interesado en el mismo momento en el que tiene lugar la recogida de datos. La AEPD sostiene que, si bien es cierto que no toda automatización equivale a una decisión con efectos jurídicos y significativos sobre el interesado, no puede negarse la protección prevista por la normativa de protección de datos cuando un sistema actúa como único filtro para, en este caso, acceder a un beneficio o derecho social. Por ende, para la AEPD no queda justificada la falta de información y transparencia por parte del Ministerio sobre el Sistema BOSCO que, ni fue aportada previa solicitud de acceso a dicha información ni tampoco aparece reflejada en los apartados de la página web del Ministerio relativos a la protección de datos personales o al bono social de electricidad.
En definitiva, en un entorno donde los algoritmos están ganando un protagonismo, también en la gestión pública como ha puesto de manifiesto el caso BOSCO, es esencial reforzar las garantías de los ciudadanos. Para ello, se debe adoptar una interpretación más precisa del art. 22 RGPD, en donde la transparencia e intervención humana no sean cuestiones opcionales, sino esenciales para un uso responsable y garante de los derechos de los interesados. La eficiencia algorítmica no puede superponerse al derecho de los interesados, por ello y más si cabe, desde la Administración Pública, debe protegerse al ciudadano integrando las exigencias normativas de protección de datos en una sociedad cada vez más digital.
Para conocer más sobre Inteligencia Artificial en el sector público pincha aquí
