La Agencia Italiana de Protección de Datos (“GPDP”, por su sigla en italiano), dio a conocer la sanción administrativa de 2.6 millones de euros impuesta a Foodinho – una de las plataformas digitales de delivery que forma parte del Grupo Glovo – , fundándose en una serie de infracciones a la Regulación General de Protección de Datos de la Unión Europea (GDPR) relacionadas con el tratamiento de los datos personales de sus repartidores.
Del mismo modo, la Agencia identificó incumplimientos de obligaciones asociadas a la aplicación de los principios generales del GDPR, a la información que la compañía debió haber entregado a los repartidores, a los períodos de almacenamiento de los datos, a las medidas de seguridad que debió haber adoptado, y a actividades de tratamiento automatizado, incluyendo perfilamiento.
Particularmente sobre este último-el tratamiento automatizado de datos-, la agencia sostiene la infracción del artículo 22 del GDPR en que la compañía no habría informado adecuadamente a sus repartidores del uso de un algoritmo para calificarlos, así como tampoco habría incluido en su implementación medidas para resguardar los derechos y libertades y legítimos intereses de los repartidores como titulares de datos personales, asegurando como mínimo su derecho de obtener intervención humana en la toma de decisión, expresar su punto de vista e impugnar dicha decisión.
Por otro lado, la Agencia ordenó a Foodinho verificar la exactitud y relevancia de los datos utilizados para alimentar el referido algoritmo (e.g. registros de llamadas, chats y correos electrónicos). Esto, indica en su comunicado, podría haber motivado errores o distorsiones conducentes a, por ejemplo, limitar el número de entregas asignadas a cada repartidor.
Dado que la regulación del uso de algoritmos y sistemas de inteligencia artificial avanza rápidamente en la Unión Europea, cabe preguntarse: ¿podría ocurrir lo mismo en Chile?
Además de la consagración a nivel constitucional del derecho a la privacidad y a la protección de datos, es preciso señalar que la Ley N° 19.628, sobre protección de la vida privada, establece una serie de derechos de los titulares de datos–los denominados derechos “ARCO”, de acceso, rectificación, cancelación y oposición–y obligaciones del responsable de su tratamiento.
A modo de ejemplo, esta ley dispone que el responsable debe modificar los datos erróneos, inexactos, equívocos o incompletos deben ser modificados y otorga los derechos de acceso, y que debe bloquearlos en caso que su exactitud no pueda ser establecida o cuya vigencia sea dudosa. Sin embargo, aun cuando este marco legal vigente podría llevarnos a una conclusión similar, no sería con igual sofisticación a la de la norma europea.
Finalmente, y sin perjuicio de todo lo anterior, debemos señalar que el proyecto de ley que Regula la protección y el tratamiento de los datos personales y que crea la Agencia de Protección de Datos Personales (boletines 11.144-07 y 11.092-07, refundidos), actualmente en primer trámite constitucional, contempla una norma similar al artículo 22 del GDPR antes citado.
Para obtener más información puede contactar a nuestro grupo IP, Tech & Data:
Rodrigo Albagli | Socio | ralbagli@az.local
Eugenio Gormáz | Socio | egormáz@az.local
Natalia González | Asociada | ngonzalez@az.local
