Nederlands Juristen Comité voor de Mensenrechten et al. v. Los Países Bajos, ECLI:NL:RBDHA:2020:1878
El Tribunal de Distrito de La Haya sostuvo que una enmienda a la Ley sobre la estructura de organización de ejecución del trabajo y los ingresos que autorizaba el uso del Sistema de Indicación de Riesgos (SyRi) violaba el Convenio Europeo de Derechos Humanos. Las disposiciones del Convenio Europeo de Derechos Humanos sobre la privacidad, esbozadas en los párrafos 1 y 2 del artículo 8, exigían que el tribunal equilibrara los intereses del Gobierno de los Países Bajos con la invasión de la privacidad de las personas derivada del uso del SyRi, y el tribunal consideró que los intereses del Gobierno no eran lo suficientemente importantes como para justificar la violación del derecho a la privacidad personal. El tribunal ordenó al gobierno que cesara de usar el SyRi.
Siete partidos, una organización de derechos humanos, una organización de derechos civiles, una organización de derechos de privacidad, una organización que trabaja en pro de los derechos de privacidad de los clientes de los psicoterapeutas, un consejo nacional de clientes participantes en la formulación de políticas gubernamentales establecido por ley, y dos personas presentaron una demanda contra el Estado de los Países Bajos en marzo de 2018, en la que impugnaban la legalidad del uso del Sistema de Indicación de Riesgos (SyRi), un instrumento jurídico de datos gubernamentales utilizado para evaluar el riesgo de que las personas que reciben prestaciones sociales del Estado se hayan comportado de manera fraudulenta. (Un sindicato se sumó a la demanda como parte interviniente de los demandantes en septiembre de 2018). Los demandantes alegaron que SyRi violaba las disposiciones del Convenio Europeo de Derechos Humanos (CEDH) y que la Administración de Impuestos y Aduanas de los Países Bajos violaba sus obligaciones de confidencialidad. Solicitaron un decreto que prohibiera al Gobierno el uso futuro del SyRi. Además, los demandantes pidieron que se ordenara al Estado que divulgara los modelos e indicadores de riesgo utilizados por el SyRi, que destruyera todos los datos personales recopilados para los proyectos del SyRi y que pagara las costas del proceso.
La Ley sobre la estructura de organización de ejecución del trabajo y los ingresos (Ley SUWI), enmendada el 4 de enero de 2014 y aplicada en virtud del Decreto SUWI, autorizó la aplicación del instrumento de datos SyRi. El sistema de datos del SyRi producía informes de riesgo para las oficinas gubernamentales, en los que se indicaba si merecía la pena investigar a un individuo por comportamiento fraudulento en la recepción de prestaciones sociales. En la práctica, el SyRi se aplicaba mediante proyectos de vecindad, en los que una "alianza colaborativa" de agencias gubernamentales identificaba una zona geográfica en la que realizar los análisis del SyRi, y luego colaboraba proporcionando datos al modelo de riesgo del SyRi. Los modelos de riesgo se diseñaron mediante la compilación de una serie de indicadores de riesgo que se comparaban con los datos de cualquier oficina gubernamental participante en la alianza colaborativa. Según la legislación, los datos del informe de riesgos podían almacenarse hasta dos años después de un proyecto de vecindad del SyRi.
El Decreto SUWI contenía una extensa lista de categorías de información que podían procesarse en el SyRi, entre las que se incluían: género, historial de empleo, impuestos, propiedad de bienes, educación, seguro médico, permisos del gobierno, prestaciones de asistencia social, carga de la deuda, pensión y sanciones administrativas. Las oficinas podrían proponer proyectos del SyRi y presentarlos ante el Ministro de Asuntos Sociales y Empleo para que autorizara el proyecto. El ministro podía optar por procesar los datos si la solicitud cumplía las condiciones del Decreto SUWI y si la solicitud indicaba que existía una capacidad sistémica para vincular los registros de datos para el resultado analítico propuesto.
Los demandantes impugnaron la legislación sobre el SyRi (las disposiciones de la Ley SUWI y el Decreto SUWI que contienen las disposiciones sobre el SyRi) en virtud del párrafo 1 del artículo 8 del CEDH, que establece la privacidad como un derecho humano fundamental en "la vida familiar, el hogar y la correspondencia", y en virtud del párrafo 2 del artículo 8, que establece que la injerencia en el derecho a la intimidad sólo se permite "de conformidad con la ley y cuando sea necesario en una sociedad democrática en interés de la seguridad nacional, la seguridad pública o el bienestar económico del país, para la prevención de desórdenes o delitos, para la protección de la salud o la moral, o para la protección de los derechos y libertades de los demás". El artículo 8 establece una prueba de equilibrio para establecer el estatuto jurídico de la legislación del SyRi. El tribunal debía sopesar los intereses públicos del Estado en la legislación del SyRi contra la invasión de la privacidad personal que pudiera resultar de los informes de riesgo del SyRi.
Además, la Unión Europea protege los derechos de privacidad mediante el Reglamento General de Protección de Datos (GDPR). Los principios del GDPR incluyen: transparencia, limitación de los fines, minimización de los datos, exactitud, integridad y confidencialidad, y responsabilidad. En 2018, el GDPR entró en vigor en todos los Estados miembros de la Unión Europea.
En la decisión, el Tribunal abordó la relación entre el CEDH y el GDPR identificando que, si bien el CEDH establece normas amplias en relación con la privacidad y los derechos humanos, el GDPR establece un lenguaje jurídico específico en relación con los derechos de los ciudadanos en la protección de los datos personales. Los derechos del CEDH están incorporados en la Carta de la Unión Europea, que rige el GDPR. Al observar este marco, el Tribunal optó por utilizar los principios identificados en el GDPR para analizar e interpretar la legislación del SyRi en virtud del artículo 8 del CEDH.
El Tribunal sostuvo que la legislación sobre el SyRi constituía una violación del Convenio Europeo de Derechos Humanos porque no cumplía la prueba de equilibrio presentada en el párrafo 2 del artículo 8 y porque el Estado no demostró que la legislación y la promulgación del sistema SyRi fueran transparentes y verificables.
En cuanto a la prueba de equilibrio, el tribunal llegó a la conclusión de que un informe de riesgo tiene un efecto jurídico importante en la persona cuya información figura en el informe, independientemente de que esa fuera o no la intención de la legislación. Aunque un informe de riesgo no puede utilizarse aisladamente para sancionar a una persona, el mismo puede dar lugar a una investigación o utilizarse en decisiones jurídicas que tengan repercusiones significativas en la vida de la persona. El Tribunal determinó que no existían protecciones suficientes para crear un derecho justificado de injerencia en la vida privada de un individuo. Por estas razones, el Tribunal consideró que la interferencia con el derecho a la privacidad personal era demasiado grande para aceptar el interés declarado del Gobierno.
El tribunal también analizó la legislación del SyRi y determinó que no era transparente ni verificable. Encontró que el SyRi tenía el potencial de ser utilizado como un sistema de "aprendizaje profundo" porque permitía a las oficinas que lo utilizaban ajustar los modelos de riesgo a lo largo del proceso. Además, el tribunal determinó que existía la posibilidad de que el sistema se dedicara a la elaboración de perfiles de datos de las personas, lo cual está prohibido en virtud del GDPR. Las operaciones de vinculación de archivos utilizadas por el SyRi se ajustaban a la definición de elaboración de perfiles de datos en el marco del GDPR. Los interesados no eran notificados individualmente cuando sus datos se introducían en el sistema SyRi. Los modelos de riesgo utilizados y los datos recopilados fueron mantenidos en secreto por el gobierno. Conforme a los principios del GDPR, estas prácticas llevaron al Tribunal a la conclusión de que la legislación violaba el CEDH.
Como remedio, el Tribunal anuló la legislación de SyRi, lo que significa que el Gobierno no puede seguir utilizando el sistema de datos del SyRi. Sin embargo, el Tribunal desestimó la demanda de confidencialidad de los datos entablada por la Administración de Impuestos y Aduanas, declarando que los demandantes no habían sustentado su afirmación. El Tribunal también se negó a ordenar al Gobierno que divulgara los modelos de riesgo del SyRi que se habían utilizado en proyectos específicos del SyRi, y el Tribunal no ordenó la destrucción de los datos que ya se habían recopilado mediante los proyectos del SyRi. El 23 de abril de 2020, los Países Bajos anunciaron que no tenían previsto apelar la sentencia dictada en el caso.
Ante el auge de la inteligencia artificial ("IA"), los países de todo el mundo están empezando a implementar sistemas que utilizan la tecnología para identificar tanto las conductas individuales como los patrones sistémicos en las prestaciones sociales y otras ayudas públicas. La decisión del presente caso sienta un precedente de que, en virtud del CEDH y la legislación de la Unión Europea, esos sistemas pueden ser impugnados, en particular cuando los perjuicios para los beneficiarios individuales de los programas de bienestar social superan considerablemente los beneficios para el país en su conjunto. Además, este caso presagia que cuando los cálculos sistémicos utilizados para identificar el comportamiento fraudulento de los beneficiarios de la asistencia social no son transparentes o no están disponibles, los Estados pueden tener dificultades para defender sus tecnologías.
Agradecemos especialmente las aportaciones del miembro de la Red-DESC: Program on Human Rights and the Global Economy (PHRGE) at Northeastern University.
