Daniel Jove Villares

La Directiva (UE) 2024 del Parlamento Europeo y del Consejo, de 23 de octubre de 2024, relativa a la mejora de las condiciones laborales en el trabajo en plataformas (Directiva de Plataformas) es un ejemplo de la intensa (y para algunos molesta) actividad legislativa que la UE está desplegando en la racionalización jurídica del espacio digital. Si se toma en consideración la amplitud y complejidad técnica de la materia objeto de regulación (la etiqueta “digital” abarca un mundo completo, diverso e inmenso), podemos hacernos una idea de lo titánica que es la tarea que la UE y los Estados miembros están afrontando. Sin embargo, por desafiante que pueda ser, es un deber inexcusable llevarla a cabo, al menos si se quieren salvaguardar los pilares sobre los que se asientan el Estado Constitucional.

Más allá de las dificultades técnicas y del esfuerzo que comporta, lo cierto es que conformar un ordenamiento completo implica asumir la existencia de una profusión de normas que van a incidir en cada ámbito o sector, lo que puede dificultar, en algunos casos, la determinación de la normativa aplicable al caso concreto. En efecto, la regulación de lo virtual parece estar generando un sistema de fuentes propio dentro del derecho derivado europeo, con regulaciones de carácter general, que establecen las condiciones básicas de ejercicio y otras más específicas de carácter sectorial. Tomemos como ejemplo la regulación del derecho a la protección de datos, además del artículo 8 de la CDFUE y del artículo 16 del TFUE en el derecho originario, contamos con el Reglamento General de Protección de Datos como paradigma de normativa general, y luego existe todo un ecosistema en el que se abordan cuestiones como la reutilización de la información personal o la gobernanza de datos. Adicionalmente, de la mano de la Estrategia europea de datos¸ van surgiendo espacios de datos, con su regulación sectorial(v. gr. El espacio europeo de datos sanitarios). A todas ellas debe sumarse, allí donde haya margen para ello, la legislación nacional.Y todos estos niveles regulatorios han de ser considerados, pues en muchos casos se complementan entre ellos, precisando, ampliando o limitando la esfera de lo jurídicamente posible.

El ámbito laboral no es ajeno a esta realidad, prueba de ello es la regulación del trabajo en plataformas digitales[1]. En primer lugar, sobre ellas incide el RGPD, obligando a garantizar unas condiciones de tratamiento de la información personal que aseguren el respeto a “los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales” (art. 1 RGPD). A su vez, el Reglamento (UE) 2019/1150 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea establece las condiciones en las que se opera en este tipo de servicios y, sobre todo, disciplina las relaciones entre los proveedores de servicios de intermediación en línea, los usuarios profesionales y los motores de búsqueda. Entre las cuestiones que aborda está, como no podía ser de otro modo teniendo en cuenta su valor, el acceso y posibilidades de uso de los datos, sean personales o no. Finalmente, la Directiva que aquí se comenta viene a añadir una tercera capa legislativa, con la que pretende satisfacer dos objetivos: “la mejora de las condiciones laborales en el trabajo en plataformas y la protección de los datos personales” (Considerando 67, en la misma línea, art. 1.1).De ellos, me centraré, esencialmente, en el segundo, cuya consecución, por otra parte, también redunda, aunque ni mucho menos agota, la realización del primero, mucho más amplio y que incluye, entre otros elementos, la clarificación de la situación laboral de quienes realizan trabajo en plataformas.

Podría pensarse que, con las disposiciones del RGPD y las del Reglamento 2019/1150, las condiciones básicas en las que se han de tratar los datos personales en plataforma están ya definidas y, en parte, es cierto, pero solo en parte. El RGPD resulta suficiente en lo que se refiere a las condiciones generales en las que se opera con los datos personales de los usuarios, pero, en el caso de las personas que trabajan en plataformas, es preciso establecer previsiones adicionales derivadas de la singular relación que les une a la plataforma, así como, de la necesidad de tener que facilitar ciertos datos para poder operar en ella. La concreción de esos elementos particulares podría haberse dejado al albur de los responsables del tratamiento (las plataformas digitales) o, incluso, en manos de la legislación laboral de cada Estado (ya fuese vía convenio o mediante una norma estatal que precisase los derechos de los trabajadores de este sector). Sin embargo, ninguna de las posibilidades anteriores parecía garantizar unas condiciones mínimas comunes, por lo que la UE, de acuerdo con el principio subsidiariedad, optó por fijarlas en la Directiva de Plataformas. A los motivos anteriores, por sí solos suficientes, debe adicionarse otro, y es que el RGPD no establece un régimen de garantías singularizado para las categorías especiales de datos, lo que obliga a colmar, allí donde sea pertinente, ese vacío a través de las legislaciones sectoriales que se promulguen. Esa función, en este caso, también se colma a través de la Directiva y, “a más tardar el 2 de diciembre de 2026” (art. 29 de la Directiva de Plataformas) a través de las legislaciones nacionales que la traspongan.

Ahora bien, ¿qué amenazas específicas en materia de protección de datos genera el trabajo en plataformas que justifiquen la intervención del legislador? Esencialmente, las generadas por el uso de sistemas automatizados de seguimiento o de toma de decisiones. Los primeros serían aquellos “que se utilicen o sirvan de apoyo para realizar el seguimiento, controlar o evaluar, por medios electrónicos, la realización del trabajo de personas que realizan trabajo en plataformas o las actividades realizadas en el entorno de trabajo, también mediante la recopilación de datos personales” y los segundos se corresponderían con “los sistemas que se utilicen para adoptar o respaldar, por medios electrónicos, decisiones que afecten significativamente a personas que realicen trabajo en plataformas, también a las condiciones laborales de trabajadores de plataformas, en particular decisiones que afecten a su contratación, su acceso a las tareas asignadas y a la organización de estas, sus ingresos, incluida la fijación del precio de tareas individuales asignadas, su seguridad y su salud, su tiempo de trabajo, su acceso a formación, su promoción o equivalente, y a su situación contractual incluida la restricción, suspensión o cancelación de sus cuentas” (art. 2.1. letras h e i de la Directiva de Plataformas).

Al definir los sistemas automatizados como aquellos que, sin intervención humana, deciden o aportan criterios relevantes para resolver una situación dada, se genera un escenario que obliga a plantearse el alcance aplicativo de la Directiva. En efecto, al conceptualizarlos de este modo, se da cobertura a un amplísimo conjunto de situaciones. De una parte, se supera la restrictiva dicción del artículo 22 del RGPD; en él se reconoce el derecho a la intervención humana frente a decisiones que se basen “únicamente en el tratamiento automatizado”. Por lo tanto, el artículo 22 del RGPD sería de aplicación frente a todas aquellas resoluciones definitivas adoptadas en exclusiva mediante sistemas automatizados de seguimiento o de toma de decisiones, pero no opera cuando estos sistemas se utilizan como apoyo o respaldo de una decisión. En esas situaciones, serán de aplicación las garantías incorporadas por la Directiva de Plataformas que, además, al ir más allá, como se verá, de la mera intervención humana, también será de aplicación a los supuestos previstos en el artículo 22 del RGPD.

Por otra parte, la definición dada a los sistemas automatizados cubre una variedad de situaciones distinta a las previstas en el Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial y por el que se modifican los Reglamentos (CE) nº 300/2008, (UE) nº 167/2013, (UE) nº 168/2013, (UE) 2018/858, (UE) 2018/1139 y (UE) 2019/2144 y las Directivas 2014/90/UE, (UE) 2016/797 y (UE) 2020/1828 (Reglamento de Inteligencia Artificial, en adelante, RIA) para los sistemas de IA. Estos exigen (art. 3.1 RIA), además de estar basados en “una máquina” (lo que podría llegar a considerarse equivalente al “por medios electrónicos” utilizado por la Directiva de Plataformas), el que puedan “mostrar capacidad de adaptación tras el despliegue”, ese autoaprendizaje es una condición que la Directiva no exige, lo que permite concluir que su ámbito de aplicación busca abarcar otras tecnologías de decisión automatizada. De este modo, a la hora de saber si estamos ante un supuesto al que sean de aplicación las disposiciones de la Directiva de Plataformas habrá que analizar, de una parte, si emplea una tecnología que permita el tratamiento automatizado de la información personal y, que ese uso tenga como finalidad el seguimiento, control, evaluación o diseño de las condiciones laborales. Ahora bien, ¿se incluyen entre los sistemas automatizados los sistemas de IA?

Aunque se ha tomado la definición de sistema de IA que ofrece el RIA como referencia, lo cierto es que la Directiva de Plataformas no hace referencia, en ningún momento, a la inteligencia artificial o al propio RIA, a pesar de que, por el momento de su tramitación, bien podría hacerlo. Esta omisión invita a pensar que el legislador europeo buscaba cubrir los escenarios no protegidos por el RIA, de manera que, respecto de los sistemas de IA que afectan al ámbito laboral y tengan cometidos equivalentes a los de los sistemas automatizados de la Directiva de Plataformas, se aplicarían, exclusivamente, las exigencias previstas para los sistemas IA de alto riesgo que constan en el RIA (vid. punto 4 del Anexo III RIA). Esta interpretación resulta plenamente coherente, pues todas las previsiones de la Directiva sobre este punto inciden en las condiciones en que se pueden tratar los datos y en los derechos de los trabajadores respecto de los mismos, pero no en la arquitectura de los sistemas automatizados de seguimiento y de toma de decisiones. Por lo tanto, la Directiva de Plataformas será de aplicación al trabajo en Plataformas, siempre y cuando estas no operen con sistemas de IA.

Acotado el ámbito de actuación de la Directiva de Plataformas, corresponde ahora analizar o, al menos, apuntar las innovaciones que ésta realiza en la garantía del derecho a la protección de datos. En primer lugar, recuerda que los sistemas automatizados de seguimiento y toma de decisiones son de alto riesgo y, por tanto, están sujetos a la obligación de realizar la evaluación de impacto del artículo 35.1 RGPD. Esta condición resultaba evidente a la luz del art. 35.3 RGPD, pero no está de más recordarlo. Con todo, la verdadera innovación en este punto está en el modo de proceder con la evaluación, al exigir que se recabe “la opinión de las personas que realizan trabajo en plataformas y de sus representantes” (art. 8.1 Directiva de Plataformas), lo que añade un plus de seguridad, especialmente cuando los resultados de esa evaluación se habrán de transmitir a los representantes de los trabajadores (art. 8.2 Directiva de Plataformas).

Si con la evaluación de impacto se busca hacer que el tratamiento se reconduzca a unos parámetros que lo hagan jurídicamente aceptable, no cabe duda que la limitación de tratamientos posibles que se realiza en el artículo 7 de la Directiva de Plataformas contribuye a mantener ese peligro en unos niveles adecuados. Al descartar que se puedan “recopilar datos personales de la persona que realiza trabajo en plataformas cuando esta no esté ofreciendo ni realizando trabajo en plataformas” y prohibir que se traten datos sobre el “estado emocional o psicológico”, o que estén “relacionado(s) con conversaciones privadas” o que puedan servir para inferir datos pertenecientes a categorías especiales, se están reduciendo sustancialmente las amenazas que el uso de sistemas automatizados pudiera tener para los derechos de las personas que trabajan en plataformas digitales.

Con la evaluación de impacto y la delimitación de las tipologías de tratamientos que se pueden llevar a cabo, se busca diseñar unas condiciones básicas de funcionamiento que sean seguras, al incidir en sus características y en la materia prima a utilizar. Sin embargo, esas medidas precautorias no permiten afirmar que no vayan a producirse vulneraciones. Consecuentemente, resulta muy oportuna la ampliación de las posibilidades de intervención humana en las decisiones y sugerencias realizadas por los sistemas automatizados de seguimiento y toma de decisiones. No solo porque se pueda obtener para cualquier decisión automatizada (y no solo para las definitivas) “una explicación, oral o por escrito, […] sin demora indebida” (art. 11.1 Directiva de Plataformas), sino porque se establece todo un sistema de supervisión y revisión de los sistemas automatizados, obligando a que se “realicen periódicamente y, en cualquier caso, cada dos años, una evaluación de las repercusiones de cada una de las decisiones adoptadas o respaldadas por los sistemas automatizados” (art. 10.1 Directiva de Plataformas). De este modo, la defensa de los derechos no queda solo al albur del ejercicio subjetivo de los trabajadores, sino que habrá de realizarse un control interno por parte de las propias plataformas, que deberán autoevaluarse; función para la que habrán de contar con personas que tengan “la competencia, la formación y la autoridad necesarias” y, por supuesto, para asegurar su independencia, deben estar protegidas frente a represalias (art. 10.2 de la Directiva).

Las medidas anteriores se complementan con la inclusión de deberes de información respecto del uso y características de los sistemas automatizados que se utilicen, teniendo derecho a ser informados de toda una serie de variables (vid. artículo 9 de la Directiva de Plataformas) no solo quienes trabajen en las plataformas (derecho que ya tenían con el RGPD), sino también “los representantes de los trabajadores de plataformas y, si así lo solicitan, a las autoridades nacionales competentes”. De este modo, se diseña un modelo omnicomprensivo de control y fiscalización de las decisiones y resultados arrojados por los sistemas automatizados.

Con la Directiva, el legislador europeo ha realizado una adecuación de la normativa de protección de datos a un sector específico, evaluando los riesgos y amenazas específicas que lo caracterizan y adoptando medidas tendentes a reducir los riesgos e incrementar las garantías. Esta clase de evaluaciones y ajustes son los que la adopción de un modelo proactivo exige. Dada la transversalidad de las tecnologías basadas en datos personales, este tipo de evaluaciones normativas sobre el modo en que se opera con los datos personales y la subsiguiente articulación normativa de garantías específicas no debería quedar en un caso aislado; al contrario, probablemente se extenderá (o así debería ser) a otros sectores. La UE parece consciente de ello, ¿lo son los Estados miembros respecto de aquellos ámbitos de su competencia?

---

[1] Se considera “plataforma digital de trabajo” a “toda persona física o jurídica que preste un servicio en el que se cumplan todos los requisitos siguientes:

1. se presta, al menos en parte, a distancia por medios electrónicos, por ejemplo, por medio de un sitio web o una aplicación para dispositivos móviles,
2. se presta a petición de un destinatario del servicio,
3. implica, como elemento necesario y esencial, la organización del trabajo realizado por personas físicas a cambio de una contraprestación económica, con independencia de que ese trabajo se realice en línea o en un lugar determinado,
4. implica la utilización de sistemas automatizados de seguimiento o de sistemas automatizados de toma de decisiones” (art. 2.1.a) Directiva de Plataformas).