Contratación pública, protección de datos e IA: un nuevo desafío

El empleo de la inteligencia artificial (IA) en la contratación pública se ha convertido en una realidad operativa que tiene un gran impacto en el Derecho Administrativo. Desde la adquisición a través del correspondiente instrumento jurídico hasta su implementación como sistemas automatizados de evaluación de ofertas o el uso de algoritmos de predicción de riesgos en la ejecución contractual, estos sistemas deben ser herramientas que conjuguen la elevación de los estándares de calidad, eficacia y transparencia pública en contratación con la protección de los derechos fundamentales y la prevención de la corrupción.

Esta idea, sin embargo, presenta ciertas dificultades fácticas que se pretenden analizar en este artículo: el conocimiento de la normativa aplicable, el cumplimiento de los principios de contratación, la preparación de un entorno de gobernanza y política IA previo a su empleo y el preservar, a la vez, las garantías de los derechos fundamentales generan un panorama cotidiano que, hoy en día, presenta cierto grado de mejora.

¿Se imaginan que, hipotéticamente, una administración pública adquiera unos vehículos con un sistema nuevo de propulsión para prestar un servicio a la ciudadanía y no tenga un lugar donde repostarlos, se compruebe que es contaminante y que no cumple con los estándares de normalización (marcado CE, UNE, ISO, etc.) y, además, que ninguna persona posea ni la autorización, ni los conocimientos para conducirlos? Si esto nos parece una barbaridad ¿por qué se están produciendo situaciones similares con las herramientas IA? Un caso de uso o proyecto IA en la Administración debería ir precedido, en primer lugar, de un estudio sólido sobre la contratación de la herramienta, certificar que lo que se adquiere cumple con la normativa aplicable y, además, que resulta adecuado para los fines pretendidos. Digitalizar la Administración sí, pero con garantías legales y sin dejar de lado los aspectos éticos: no perjudicar ni dejar a nadie atrás.

La Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, (LCSP), posee como elementos principales la transparencia y la eficiencia pública. Aunque el legislador no previó explícitamente la contratación de IA, la norma sí nos ofrece los elementos básicos para la integración de estas herramientas, aunque no exentos de algunos problemas para aplicar el Reglamento (UE) 2024/1689, de Inteligencia Artificial (RIA).

(Imagen: E&J)

Antes de que estos sistemas puedan operar en los procedimientos administrativos, deben ser adquiridos. La fase de licitación pues, se convierte en el elemento esencial para saber si la tecnología será una aliada de garantías o un riesgo para las personas o la legalidad. La incorporación de estos agentes debe ser estudiada y auditada desde la primera decisión de su empleo. El órgano contratante debe definir claramente unas prescripciones técnicas que cumplan con los principios de contratación, la trasparencia, la posibilidad de explicación y robustez de la herramienta. Por ello, los pliegos de prescripciones técnicas (PPT), deben incluir requisitos de IA by design. Los contratistas deben aportar información sobre cómo han sido entrenados sus modelos, qué conjuntos y tipos de datos se han empleado para ello y qué medidas de mitigación de sesgos se han aplicado.

Para conseguir cumplir con la trasparencia necesaria, también se deben tener en cuenta cuestiones sobre propiedad intelectual, acceso a documentación técnica exhaustiva (código), seguridad del sistema y el mantenimiento de la herramienta. En caso contrario, el sistema puede ser impugnado por terceros o personas interesadas y la Administración quedaría en manos del proveedor del servicio para su implementación, mantenimiento y conservación.

Además, si la herramienta IA va a tratar datos de carácter personal, debemos acudir a la interrelación del RIA, la LCPS Y el RGPD o normativa de protección de datos que resultase aplicable. Un punto clave en este punto sería acudir al contenido del artículo 122.2 LCSP, relativo a los Pliegos de Cláusulas Administrativas Particulares (PCAP), que exige que se incluyan en éstas, entre otras cuestiones, los criterios de solvencia y adjudicación del contrato, si se va a trasferir la propiedad industrial o intelectual y expresamente la obligación del futuro contratista de respetar la normativa vigente en materia de protección de datos.

Este último deber, exige que si el contrato requiere el tratamiento por el contratista de datos personales por cuenta del responsable del tratamiento, adicionalmente en el pliego se hará constar la siguiente información: finalidad para la cual se cederán dichos datos, las obligaciones del futuro contratista de someterse en todo caso a la normativa nacional y de la Unión Europea en materia de protección de datos, antes de la formalización del contrato presentar una declaración en la que ponga de manifiesto dónde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los mismos, así como comunicar cualquier cambio que se produzca en su ubicación durante la vida del contrato y de indicar en su oferta, si tienen previsto subcontratar los servidores o los servicios asociados a los mismos, el nombre o el perfil empresarial, definido por referencia a las condiciones de solvencia profesional o técnica, de los subcontratistas a los que se vaya a encomendar su realización. Es decir, acreditar su cadena de suministros. Todas estas cuestiones son calificadas como esenciales, por lo que su no cumplimiento derivaría en aplicar el artículo 211.1 y obliga legalmente a resolver el contrato.

(Imagen: E&J)

Por otro lado, el artículo 133 LCSP sobre confidencialidad adquiere una dimensión crítica al enfrentar los posibles secretos comerciales con las obligaciones del responsable de despliegue IA y los responsables de tratamiento con respecto a la información, la trasparencia y los derechos de las personas. Esta cuestión hace muy difícil conjugar este tipo de secretos con la obligación de justificar y motivar cada una de sus decisiones por parte de la Administración. Lo que exige un proceso cauteloso de documentación efectiva e intercambio de información clasificada en su caso.

Finalmente, su Disposición Adicional Vigesimoquinta sobre protección de datos, además de reiterar la exigencia de cumplimiento de la normativa sobre la materia, para el caso de que la contratación implique el acceso del contratista a datos de carácter personal de cuyo tratamiento sea responsable la entidad contratante, dispone que aquel tendrá en todo caso la consideración de encargado del tratamiento. Esto exige que los contratos incorporen un anexo que recoja los elementos mínimos para un acuerdo o encargo de tratamiento entre responsable y encargado.

Analizado lo anterior, podemos señalar que los requisitos IA y de protección de datos deben ser incorporados por diseño y por defecto. En la posición de asesores o supervisiones en esta materia debemos preguntarnos: ¿Qué ocurre si un algoritmo sesgado filtra datos personales en la fase piloto? ¿Tenemos claro que es una brecha de datos y cómo actuar? ¿Se ha realizado una Evaluación de Impacto de Derechos Fundamentales por los implementadores del sistema? ¿el proveedor aporta la documentación necesaria? La respuesta a estas preguntas, como vemos, no está sólo en la tecnología, sino en la solidez de los pliegos, en los procesos de tratamiento de datos en los procesos de contratación pública y en no dejar de lado los aspectos éticos.

¿Esto quiere decir que no se deben adquirir e implementar estos sistemas? Muy al contrario, el espíritu del desarrollo electrónico de la Administración es que será tecnológica y empleando IA, o no será. Si bien, una vez adquiridas las herramientas, la Administración debe transitar hacia espacios que la hagan más eficiente, pero sin dejar de lado ser más responsable de las decisiones que se adopten tanto en la forma como en el fondo, aunque estas cuestiones serán objeto de otro artículo posterior dada su amplitud.

(Imagen: E&J)

Para finalizar, no se puede dejar de mencionar un aspecto importante que se revela como otra herramienta de gestión fundamental: el compliance. En este campo de juego, resulta necesario implementar programas de cumplimiento proactivos donde las administraciones integren estas normas basándose en estándares de cumplimiento normativizados, estableciendo marcos de control más exhaustivos de la contratación que mitiguen los riesgos legales y reputacionales por el uso de IA.

Esta heterogeneidad normativa aun estableciendo una complicación en su aplicación, constituye una oportunidad única para transformar la contratación pública en un modelo de innovación garantista y responsable. Si se consigue que los algoritmos sean tan transparentes como los pliegos, que incluyan previsiones de los datos personales y que sean tan adecuados y justos como la ley, habremos convertido este requisito tecnológico en un pilar de la “democracia digital”. La recomendación está sobre el tapete: es hora de contratar estas herramientas con la mirada puesta en el futuro, pero con las bases asentadas en los derechos fundamentales presentes.