Decisión administrativa automatizada RGPD: Art. 22 y 35a

Decisión administrativa automatizada y RGPD: límites del art. 22, art. 35a VwVfG y Reglamento IA

Una decisión administrativa automatizada RGPD es todo acto de una autoridad pública basado únicamente en tratamiento automatizado con efectos jurídicos sobre el interesado. El artículo 22 RGPD y el art. 35a VwVfG alemán exigen base legal expresa, información significativa sobre la lógica aplicada y supervisión humana efectiva. Sin estas tres garantías, el acto es impugnable y la administración incurre en responsabilidad patrimonial.

Decisión administrativa automatizada RGPD es la categoría jurídica que designa todo acto emitido por una administración pública cuya parte decisoria proviene, en su totalidad o de forma determinante, de un sistema algorítmico sin intervención humana sustantiva. El artículo 22 del Reglamento (UE) 2016/679 la somete a reserva legal, derecho a obtener intervención humana, derecho a expresar el punto de vista y derecho a impugnar la decisión. En el ordenamiento alemán, el art. 35a VwVfG, introducido en 2017, admite el acto administrativo plenamente automatizado solo cuando una ley lo autoriza expresamente y no existe margen discrecional. Dr. Raphael Nagel (LL.M.) analiza esta figura en MASCHINENRECHT, Derecho de las máquinas, como el punto frontera entre Estado de derecho y gobernanza algorítmica.

¿Qué exigen el artículo 22 RGPD y el art. 35a VwVfG a la decisión administrativa automatizada?

El artículo 22 RGPD reconoce al interesado el derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos, salvo autorización legal, consentimiento explícito o necesidad contractual. El art. 35a VwVfG alemán, vigente desde 2017, admite el acto administrativo totalmente automatizado solo cuando una ley lo autoriza expresamente y no existe margen discrecional.

La jurisprudencia del Tribunal de Justicia de la Unión Europea reforzó esta garantía en la sentencia SCHUFA Holding, asunto C-634/21, de 7 de diciembre de 2023. El TJUE consideró que la generación automatizada de un valor de probabilidad sobre la solvencia constituye por sí misma una decisión a efectos del artículo 22, incluso cuando un tercero la utiliza después. Para la administración, la consecuencia es inmediata: el simple cálculo de un score determinante equivale, jurídicamente, a decidir.

El Reglamento (UE) 2024/1689, el Reglamento IA, completa el marco clasificando como sistemas de alto riesgo los utilizados por autoridades públicas para evaluar la elegibilidad a prestaciones y servicios esenciales, según el Anexo III. Las administraciones que desplieguen estos sistemas deben garantizar supervisión humana efectiva, gestión documentada del riesgo y registros detallados. Dr. Raphael Nagel (LL.M.) subraya en MASCHINENRECHT que esta arquitectura ex ante no sustituye al artículo 22 RGPD, sino que lo densifica con obligaciones concretas exigibles a partir del 2 de agosto de 2026.

Toeslagenaffaire: cómo la Belastingdienst destruyó el derecho a una decisión individual

El escándalo Toeslagenaffaire demuestra qué ocurre cuando un Estado europeo ignora las garantías del artículo 22 RGPD. Entre 2013 y 2021, la Agencia Tributaria neerlandesa, la Belastingdienst, clasificó automáticamente a decenas de miles de familias, muchas con doble nacionalidad o con origen migratorio, como defraudadoras del subsidio de cuidado infantil, sin revisión humana sustantiva ni explicación individualizada.

El sistema utilizaba indicadores proxy, entre ellos la nacionalidad y determinados patrones de ingresos, para asignar puntuaciones de riesgo. Las familias señaladas recibieron requerimientos plurianuales de devolución, con frecuencia superiores a 30.000 euros, sin posibilidad real de contradicción. El informe parlamentario de diciembre de 2020 titulado Ongekend onrecht, Injusticia sin precedentes, documentó la ruptura sistemática del principio de contradicción y el colapso de la tutela administrativa efectiva.

En enero de 2021, el gabinete de Mark Rutte presentó su dimisión. La Autoriteit Persoonsgegevens, la Autoridad Neerlandesa de Protección de Datos, impuso en diciembre de 2021 una sanción de 2,75 millones de euros a la Belastingdienst por tratamiento discriminatorio. El Estado neerlandés se comprometió a compensar a las víctimas con miles de millones de euros. La lectura jurídica, como expone Dr. Raphael Nagel (LL.M.) en MASCHINENRECHT, es inequívoca: cuando la decisión administrativa automatizada carece de supervisión humana real, no es solo defectuosa, es contraria al Estado de derecho y a la reserva del artículo 22 RGPD.

Robodebt: el acto administrativo sin autor en Australia

El programa Robodebt replica la misma patología en el hemisferio sur. Entre julio de 2016 y noviembre de 2019, el Departamento de Servicios Humanos australiano emitió aproximadamente 470.000 requerimientos automáticos de devolución de prestaciones sociales, mediante un algoritmo de comparación de ingresos, el llamado income averaging, sin verificación humana individual del caso concreto.

La Royal Commission presidida por la ex presidenta del Tribunal Supremo de Queensland, Catherine Holmes, publicó su informe final el 7 de julio de 2023. Concluyó que el esquema fue ilegal desde su concepción. El informe documentó avisos internos ignorados durante años, inversión indebida de la carga de la prueba hacia el beneficiario y ausencia total de intervención humana significativa. El Gobierno australiano aprobó devoluciones superiores a 750 millones de dólares australianos y un acuerdo civil colectivo con un valor total cercano a 1.800 millones.

Robodebt ilustra tres quiebras jurídicas que el artículo 22 RGPD pretende evitar en Europa. Primero, la inversión indebida de la carga de la prueba: era el ciudadano quien debía demostrar que no debía la deuda. Segundo, la ausencia de motivación individualizada en cada acto. Tercero, la delegación a un sistema sin base legal expresa que autorizase la plena automatización, requisito equivalente al que el art. 35a VwVfG alemán exige desde 2017. MASCHINENRECHT, obra de Dr. Raphael Nagel (LL.M.), analiza este caso como paradigma de la irresponsabilidad organizada.

Supervisión humana efectiva frente al human in the loop decorativo

La supervisión humana exigida por el artículo 22.3 RGPD y por el artículo 14 del Reglamento IA no se satisface con un funcionario que valida clics. Requiere cinco condiciones: tiempo suficiente para examinar, información sobre la lógica del sistema, competencia técnica del revisor, respaldo institucional para apartarse del output y poder real de corrección. Sin estas cinco condiciones, la supervisión es ornamental.

El sesgo de automatización, descrito en la literatura aeronáutica desde los años noventa, se reproduce hoy en radiología, banca y administración. Estudios sobre oficiales de cumplimiento bancario muestran que quienes trabajan con modelos algorítmicos solicitan excepciones con menor frecuencia, incluso cuando albergan dudas fundadas. La razón es estructural: apartarse del sistema y equivocarse tiene consecuencias personales directas, seguirlo ciegamente no tiene ninguna.

Para el derecho administrativo español, alemán y neerlandés esto implica un estándar reforzado de motivación. La Agencia Española de Protección de Datos y la Autoriteit Persoonsgegevens neerlandesa han subrayado que la fórmula genérica decisión conforme al modelo de riesgo no cumple el artículo 22 RGPD. Tactical Management, bajo la dirección de Dr. Raphael Nagel (LL.M.), sostiene que el derecho a una explicación significativa exige comunicar los factores relevantes, la ponderación aplicada y la vía de impugnación. La Directiva (UE) 2024/2853 sobre responsabilidad por productos defectuosos añade una presunción de defectuosidad cuando el demandado no proporciona esta documentación técnica.

Obligaciones prácticas para administraciones bajo Reglamento IA y Directiva 2024/2853

Toda administración pública que utilice sistemas de alto riesgo incluidos en el Anexo III del Reglamento IA debe cumplir obligaciones concretas antes del 2 de agosto de 2026. Incluyen evaluación de impacto sobre derechos fundamentales, registro en la base de datos europea, supervisión humana documentada, validación del modelo sobre la población destinataria y garantía de explicabilidad individual para cada acto emitido.

La Directiva (UE) 2024/2853, que sustituye al régimen de 1985, incluye expresamente el software y los sistemas de IA dentro del concepto de producto. Introduce presunciones de defectuosidad y causalidad cuando el demandado incumple obligaciones de información o cuando el producto es técnicamente complejo. Para la administración contratante, esto significa que la selección de proveedores sin auditoría reforzada traslada riesgos patrimoniales directamente al presupuesto público y, en última instancia, al contribuyente.

El Bundesverfassungsgericht alemán, en su doctrina consolidada sobre la Wesentlichkeitstheorie, exige que las decisiones esenciales sobre derechos fundamentales las adopte el legislador. Delegar estos criterios en sistemas algorítmicos sin cobertura legal expresa es inconstitucional. Las administraciones prudentes, como recomienda MASCHINENRECHT, deben documentar tres elementos antes de cada despliegue: base legal específica que habilite la plena automatización, validación contextual del modelo sobre el colectivo afectado, y protocolo de revisión humana activado automáticamente ante perfiles de baja confianza o impacto elevado.

La decisión administrativa automatizada RGPD no es un problema técnico menor, es el punto donde se decide si el Estado de derecho sobrevive a la infraestructura algorítmica. Toeslagenaffaire destruyó carreras políticas y provocó la dimisión del gabinete Rutte III en enero de 2021. Robodebt costó al erario australiano acuerdos cercanos a 1.800 millones de dólares australianos tras el informe de la Royal Commission de julio de 2023. Ambos casos tienen un denominador común: se omitió la garantía de intervención humana que el artículo 22 RGPD codifica con precisión desde 2016. Europa dispone ahora de un marco denso, RGPD más Reglamento (UE) 2024/1689 más Directiva (UE) 2024/2853, pero el marco no opera solo. Exige arquitectura organizativa, documentación forense y contratación pública exigente con los proveedores. Las administraciones que entiendan esto antes del 2 de agosto de 2026 protegerán simultáneamente a sus ciudadanos y a sus presupuestos. Las que sigan firmando actos generados por modelos opacos reproducirán La Haya en otras jurisdicciones. Dr. Raphael Nagel (LL.M.) desarrolla en MASCHINENRECHT la tesis de que la imputación precisa, no la tecnología, es la verdadera constitución de la economía de la IA. Tactical Management asesora a administraciones e inversores sobre cómo convertir el cumplimiento del artículo 22 RGPD en ventaja estructural.

Claritáte in iudicio · Firmitáte in executione

Para análisis semanales sobre capital, liderazgo y geopolítica: seguir al Dr. Raphael Nagel (LL.M.) en LinkedIn →

Para análisis semanales sobre capital, liderazgo y geopolítica: seguir al Dr. Raphael Nagel (LL.M.) en LinkedIn →