Decisiones individuales automatizadas y elaboración de perfiles

Artículo 22 del Reglamento General de Protección de Datos (RGPD)

«1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

2. El apartado 1 no se aplicará si la decisión:

a. Es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;

b. Está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado,

c. Se basa en el consentimiento explícito del interesado.

3.En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnarla decisión.

4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado. En estos términos se expresa el RGPD en su artículo 22 cuando aborda la regulación de las decisiones automatizadas y la elaboración de perfiles. La regla general es que este tipo de tratamiento no está autorizado ni no concurren las excepciones de su apartado número 2.»

Concepto

Lo primero que tenemos que hacer al estudiar esta materia es saber qué son las decisiones individuales automatizadas y que es la elaboración de perfiles.

En el RGPD se abordan eses potenciales problemas y establece la normativa de aplicación y en esta publicación analizaremos someramente dicha regulación.El Reglamento define la elaboración de perfiles en su artículo 4.4 estableciendo que es toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad,comportamiento, ubicación o movimientos de dicha persona física.

Por otro lado, las decisiones automatizadas pueden llevarse a cabo con o sin elaboración de perfiles. Las decisiones basadas en el tratamiento automatizado representan la posibilidad de tomar decisiones sin que intervenga el ser humano, como por ejemplo conceder o denegar un préstamo, conceder o denegar una subvención o ayuda pública, admitir o no a un estudiante en un determinado curso o formación.

Regulación en el RGPD: Principios de protección de datos

Al igual que a cualquier otro tratamiento de datos personales, en la elaboración de perfiles y en las decisiones automatizadas se tienen que respetar los principios que determinan las líneas esenciales para que todo tratamiento de datos personales se considere ajustado a la normativa; por tanto, se tienen que respetar las disposiciones del artículo 5 del RGPD. En el artículo 5 del RGPD se dice que los datos personales serán:

Tratados de manera lícita, leal y transparente

Recogidos con fines determinados, explícitos y legítimos, y no serántratados ulteriormente de manera incompatible con dichos fines

Adecuados, pertinentes y limitados a lo necesario

Exactos y actualizados

Conservados el tiempo estrictamente necesario

Tratados de manera que se garantice una seguridad adecuada (integridad y confidencialidad)

Si trasladamos esos principios a los tratamientos objeto de análisis es necesario que:

La elaboración de perfiles no se haga sin el conocimiento del interesado y cuando se le solicite su consentimiento el interesado tiene que comprender todos los tratamientos a los que se van a someter sus datos personales, por tanto, la información se le tiene que proporcionar de manera que alcance dicho conocimiento, evitando usar un lenguaje ininteligible para un profano en la materia.

La elaboración de perfiles tiene que ser leal y transparente evitando caer en sesgos discriminatorios.

Si los datos se van a emplear en otros tratamientos afines pero distintos del originario para el que se obtuvo el consentimiento, cuando éste fue recabado tuvo que informar al interesado de esta circunstancia con toda la información necesaria.

Artículo 22 RGPD (Análisis)

De manera específica el RGPD dedica a esta materia el artículo 22 con cuyotexto iniciamos el presente escrito. Este artículo cuenta con 4 apartados queanalizaremos someramente.

El apartado número 1 dice que todo ciudadano tiene derecho a no ser objeto de una decisión automatizada basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afectase significativamente de modo similar

….basada únicamente en el tratamiento automatizado…

Es necesario que intervenga un ser humano, el responsable debe garantizar que cualquier supervisión de la decisión sea llevaba a cabo por un ser humano con capacidad para decidir y modificar la decisión….que produzca efectos jurídicos en él o le afectase significativamente de modo similar…

El RGPD cuando hace referencia a un “efecto jurídico” está introduciendo un concepto jurídicamente indeterminado que nos obliga a realizar una interpretación para saber a qué se está refiriendo exactamente. Así, el GT29 en sus Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679 dice que: “…un efecto jurídico puede ser algo que afecte al estatuto jurídico de una persona o a sus derechos en virtud de un contrato». Entre los ejemplos de este tipo de efecto se encuentran las decisiones automatizadas sobre una persona que puedan provocar:

la cancelación de un contrato;

el derecho o la denegación de una prestación concedida por la ley, como la prestación por hijos o la ayuda a la vivienda;

la denegación de admisión en un país o la denegación de ciudadanía ”En el apartado número 2 del artículo 22 se establecen las excepciones aesta regla general de prohibición de este tipo de tratamiento. Las excepciones se basan en:

es necesario para la ejecución de un contrato

está autorizado por el derecho de la UE o del Estado miembro (en nuestro caso LOPDGDD)

se ha obtenido el consentimiento explícito del interesado.

Aunque se mencione en tercer lugar con carácter general la base jurídica empleada para la mayoría de los tratamientos de datos de carácter personales el consentimiento del interesado. Los responsables que quieran utilizar el consentimiento como base al tratamiento deben de proporcionar al interesado la información necesaria para que el consentimiento sea informado.

El considerando 60 establece que facilitar información acerca de la elaboración de perfiles forma parte de las obligaciones de transparencia del responsable del tratamiento según el artículo 5, apartado 1, letra a).A esta base de legitimación del tratamiento, el consentimiento, se le aplican las limitaciones del artículo 9 del RGPD y de la LOPDGDD, ya que en determinadas circunstancias el consentimiento por sí sólo no es suficiente para la legalidad del tratamiento.

La base de legitimación de es necesario para la ejecución de un contrato, es sin duda, en esta materia la que mayores problemas puede plantear. Pensemos en el caso de que una entidad financiera incluye este tratamiento en sus condiciones generales para poder ser cliente suyo; sin duda, el resultado de ese tratamiento nos afectará jurídicamente (concesióno no de un préstamo…).

Conclusión

En la actualidad vivimos rodeados de tecnología que constantemente están analizando datos y evaluando situaciones cuyas conclusiones pueden afectarnos a la hora de contratar o renovar un servicio, como por ejemplo al determinar si se nos concede un préstamo hipotecario o no o si para renovar nuestra póliza de seguros tendremos que pagar una cuota superior. La elaboración de perfiles y las decisiones automatizadas pueden plantear riesgos en importantes para los derechos y libertades, pueden ser opacos y se pueden estar realizando sin que el sujeto objeto sea consciente de ello, debemos, por tanto, conocer la normativa que regula esta actividad para evitar abusos.

José Sendín

Abogado

SISTEMIUS

duda, el resultado de ese tratamiento nos afectará jurídicamente (concesióno no de un préstamo…). ConclusiónEn la actualidad vivimos rodeados de tecnología que constantemente estánanalizando datos y evaluando situaciones cuyas conclusiones puedenafectarnos a la hora de contratar o renovar un servicio, como por ejemplo aldeterminar si se nos concede un préstamo hipotecario o no o si pararenovar nuestra póliza de seguros tendremos que pagar una cuota superior.La elaboración de perfiles y las decisiones automatizadas pueden plantearriesgos en importantes para los derechos y libertades, pueden ser opacos yse pueden estar realizando sin que el sujeto objeto sea consciente de ello,debemos, por tanto, conocer la normativa que regula esta actividad paraevitar abusos.

Por otro lado, las decisiones automatizadas pueden llevarse a cabo con o sinelaboración de perfiles. Las decisiones basadas en el tratamientoautomatizado representan la posibilidad de tomar decisiones sin queintervenga el ser humano, como por ejemplo conceder o denegar unpréstamo, conceder o denegar una subvención o ayuda pública, admitir o noa un estudiante en un determinado curso o formación.Regulación en el RGPDPrincipios de protección de datosAl igual que a cualquier otro tratamiento de datos personales, en laelaboración de perfiles y en las decisiones automatizadas se tienen querespetar los principios que determinan las líneas esenciales para que todotratamiento de datos personales se considere ajustado a la normativa; portanto, se tienen que respetar las disposiciones del artículo 5 del RGPD.En el artículo 5 del RGPD se dice que los datos personales serán:Tratados de manera lícita, leal y transparenteRecogidos con fines determinados, explícitos y legítimos, y no serántratados ulteriormente de manera incompatible con dichos finesAdecuados, pertinentes y limitados a lo necesarioExactos y actualizadosConservados el tiempo estrictamente necesarioTratados de manera que se garantice una seguridad adecuada(integridad y confidencialidad)Si trasladamos esos principios a los tratamientos objeto de análisis esnecesario que:La elaboración de perfiles no se haga sin el conocimiento delinteresado y cuando se le solicite su consentimiento el interesadotiene que comprender todos los tratamientos a los que se van asometer sus datos personales, por tanto, la información se le tieneque proporcionar de manera que alcance dicho conocimiento,evitando usar un lenguaje ininteligible para un profano en la materia.La elaboración de perfiles tiene que ser leal y transparente evitandocaer en sesgos discriminatorios.Si los datos se van a emplear en otros tratamientos afines perodistintos del originario para el que se obtuvo el consentimiento,cuando éste fue recabado tuvo que informar al interesado de estacircunstancia con toda la información necesaria.Artículo 22 RGPDDe manera específica el RGPD dedica a esta materia el artículo 22 con cuyotexto iniciamos el presente escrito. Este artículo cuenta con 4 apartados queanalizaremos someramente.El apartado número 1 dice que todo ciudadano tiene derecho a no serobjeto de una decisión automatizada basada únicamente en el tratamientoautomatizado, incluida la elaboración de perfiles, que produzca efectosjurídicos en él o le afectase significativamente de modo similar….basada únicamente en el tratamiento automatizado…Es necesario que intervenga un ser humano, el responsable debe garantizarque cualquier supervisión de la decisión sea llevaba a cabo por un serhumano con capacidad para decidir y modificar la decisión….que produzca efectos jurídicos en él o le afectase significativamente demodo similar…El RGPD cuando hace referencia a un “efecto jurídico” está introduciendo unconcepto jurídicamente indeterminado que nos obliga a realizar unainterpretación para saber a qué se está refiriendo exactamente. Así, el GT29en sus Directrices sobre decisiones individuales automatizadas yelaboración de perfiles a los efectos del Reglamento 2016/679 diceque:“…un efecto jurídico puede ser algo que afecte al estatuto jurídico de unapersona o a sus derechos en virtud de un contrato. Entre los ejemplos deeste tipo de efecto se encuentran las decisiones automatizadas sobre unapersona que puedan provocar:la cancelación de un contrato;el derecho o la denegación de una prestación concedida por la ley,como la prestación por hijos o la ayuda a la vivienda;la denegación de admisión en un país o la denegación de ciudadanía”En el apartado número 2 del artículo 22 se establecen las excepciones aesta regla general de prohibición de este tipo de tratamiento. Lasexcepciones se basan en:es necesario para la ejecución de un contratoestá autorizado por el derecho de la UE o del Estado miembro (ennuestro caso LOPDGDD)se ha obtenido el consentimiento explícito del interesado.Aunque se mencione en tercer lugar con carácter general la base jurídicaempleada para la mayoría de los tratamientos de datos de carácter personales el consentimiento del interesado. Los responsables que quieran utilizar elconsentimiento como base al tratamiento deben de proporcionar alinteresado la información necesaria para que el consentimiento seainformado.El considerando 60 establece que facilitar información acerca de laelaboración de perfiles forma parte de las obligaciones de transparencia delresponsable del tratamiento según el artículo 5, apartado 1, letra a).A esta base de legitimación del tratamiento, el consentimiento, se le aplicanlas limitaciones del artículo 9 del RGPD y de la LOPDGDD, ya que endeterminadas circunstancias el consentimiento por sí sólo no es suficientepara la legalidad del tratamiento.La base de legitimación de es necesario para la ejecución de uncontrato, es sin duda, en esta materia la que mayores problemas puedeplantear. Pensemos en el caso de que una entidad financiera incluye estetratamiento en sus condiciones generales para poder ser cliente suyo; sinduda, el resultado de ese tratamiento nos afectará jurídicamente (concesióno no de un préstamo…). ConclusiónEn la actualidad vivimos rodeados de tecnología que constantemente estánanalizando datos y evaluando situaciones cuyas conclusiones puedenafectarnos a la hora de contratar o renovar un servicio, como por ejemplo aldeterminar si se nos concede un préstamo hipotecario o no o si pararenovar nuestra póliza de seguros tendremos que pagar una cuota superior.La elaboración de perfiles y las decisiones automatizadas pueden plantearriesgos en importantes para los derechos y libertades, pueden ser opacos yse pueden estar realizando sin que el sujeto objeto sea consciente de ello,debemos, por tanto, conocer la normativa que regula esta actividad paraevitar abusos.

Publicaciones relacionadas

¿Puede acceder cualquier profesional sanitario a los datos de salud de mi historia clínica?

La AEPD continúa recibiendo reclamaciones por accesos indebidos de profesionales sanitarios a las historias clínicas de los pacientes sin legitimación alguna. Los profesionales sanitarios desconocen las consecuencias jurídicas graves que ...
Leer más

Adaptación a la normativa de protección de datos: el reto de las empresas en 2021

La Covid 19 ha demostrado la vulnerabilidad que tiene la población global para defenderse frente a amenazas invisibles. Y, esa capacidad de defensa tan mermada guarda mucha relación, precisamente, con ...
Leer más

Uso de software de manera ilegal

¿Si alguien usa mi software de manera ilegal puedo utilizar los datos que acreditan ese uso fraudulento? En caso de que no pueda ¿bastaría que incluya esto en mi página ...
Leer más

Deja un comentario

PROTECCIÓN DE DATOS: De conformidad con las normativas de protección de datos, le facilitamos la siguiente información del tratamiento: Responsable: FORMAS, SISTEMAS Y SOLUCIONES S.L. Fines del tratamiento: publicar comentarios en las publicaciones. Derechos que le asisten: acceso, rectificación, portabilidad, supresión, limitación y oposición. Más información del tratamiento en la Política de privacidad.

Suscríbete a nuestro boletín informativo


PROTECCIÓN DE DATOS: De conformidad con las normativas de protección de datos, le facilitamos la siguiente información del tratamiento: Responsable: FORMAS, SISTEMAS Y SOLUCIONES S.L. Fines del tratamiento: mantener una relación comercial y responder a los mensajes recibidos. Derechos que le asisten: acceso, rectificación, portabilidad, supresión, limitación y oposición. Más información del tratamiento en la Política de privacidad.

Atendemos consultas en el ámbito jurídico-tecnológico

Ofrecemos asistencia telefónica y a través de Skype.

info@sistemius.com

654 585 144

Skype

PROTECCIÓN DE DATOS: De conformidad con las normativas de protección de datos, le facilitamos la siguiente información del tratamiento: Responsable: FORMAS, SISTEMAS Y SOLUCIONES S.L. Fines del tratamiento: mantener una relación comercial y responder a los mensajes recibidos. Derechos que le asisten: acceso, rectificación, portabilidad, supresión, limitación y oposición. Más información del tratamiento en la Política de privacidad.

Sistemius en Santiago

Plaza Camilo Díaz Baliño, 17, Bajo 15704 Santiago de Compostela (A Coruña)

Sistemius en Vigo

Plaza América 2, Piso 2, Oficina A1 36211 Vigo (Pontevedra)

Sistemius en Madrid

Paseo de la Castellana, 194, 28046 Madrid

Inicio

Quienes somos

Empleo

Blog

Aviso legal

Privacidad

Cookies

Registro de marca y propiedad intelectual

Compliance officer

Protección de datos

Comercio electrónico

Gestión e intermediación mercantil

Firma electrónica y seguridad informática

© 2024 SISTEMIUS. TODOS LOS DERECHOS RESERVADOS.

+34 654 585 144

info@sistemius.com

Plaza Camilo Díaz Baliño, 17, Bajo.
15704 Santiago de Compostela A Coruña

¡Hola! ¿Puedo ayudarte?