¿Cómo tratar datos personales en caso de decisiones automatizadas y elaboración de perfiles?

Hay numerosos conceptos que giran en torno a la combinación de datos personales y la toma de decisiones: monitorización de la conducta, decisiones automatizadas, análisis del comportamiento o elaboración de perfiles. El nuevo Reglamento en materia de protección de datos (RGPD) aborda en concreto las decisiones automatizadas y la elaboración de perfiles y confirma, que están sujetos a sus normas, fundamentos jurídicos y principios.
¿Qué debemos entender por decisiones automatizadas?

Las decisiones automatizadas son aquéllas que se realizan a través de medios tecnológicos sin necesidad de intervención del ser humano.

Los datos pueden provenir de multitud de fuentes diversas, pero lo que caracteriza esta operación es la no participación humana en ninguna de las fases de la toma de decisiones.

Para poder hablar de decisiones automatizadas son necesarios tres requisitos:

  1. deben tratarse datos personales
  2. deben procesarse de forma automatizada
  3. debe existir una decisión en base a esos datos sin que intervenga ningún ser humano

Las decisiones automatizadas pueden llevarse a cabo con o sin elaboración de perfiles, y la elaboración de perfiles, puede darse sin realizar decisiones automatizadas, pero frecuentemente van unidas.

Ejemplo de una decisión automatizada sería la concesión de un préstamo bancario sin ninguna evaluación previa y significativa por parte de un ser humano.

Algunos sectores en los que se realizan decisiones automatizadas y elaboración de perfiles son el sector bancario y financiero, publicidad o asistencia sanitaria y seguros.

¿Cuándo se produce una elaboración de perfiles?

El Artículo 4 del RGPD define la elaboración de perfiles como toda forma de tratamiento automatizado consistente en “utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física”.

Al analizar esta definición, deducimos que deben estar presentes tres elementos:

  1. deben tratarse datos personales
  2. deben procesarse de forma automatizada
  3. la finalidad del tratamiento debe ser evaluar aspectos individuales de una persona física

Las personas físicas pueden ser asociadas a identificadores en línea facilitados por sus dispositivos o aplicaciones como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» o identificación por radiofrecuencia. Esto puede dejar huellas que, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.

La elaboración de perfiles y decisiones automatizadas tienen muchas aplicaciones comerciales ya que ofrecen mayor eficiencia y un ahorro de recursos, pero pueden plantear riesgos importantes para los derechos y libertades de las personas si no se adoptan garantías adecuadas.

El nuevo Reglamento permite este tipo de procesos siempre y cuando se cumplan con los requisitos exigidos para todo tipo de tratamiento de datos personales: ser un tratamiento lícito (fundado en alguna de las bases jurídicas de tratamiento recogidas en el Artículo 6) transparente y leal.

Los principios de tratamiento leal y transparente exigen que se informe al interesado, de forma simple y clara, de la existencia del tratamiento y sus fines. El responsable debe facilitar al interesado toda información sobre la existencia de la elaboración de perfiles y sus posibles consecuencias.

Pero, el nuevo RGPD pone especial atención sobre un tipo específico de tratamiento, que combina las dos anteriores: las decisiones basadas únicamente en un tratamiento automatizado que produzca efectos jurídicos o afecte significativamente al interesado.

elaboracion perfiles

Sobre este tipo de tratamientos, el nuevo Reglamento impone una prohibición general reforzando la idea de que sea el interesado quien tenga control sobre sus datos personales.

Excepcionalmente se permite en tres supuestos:

  • cuando se autoriza explícitamente por parte del interesado
  • lo permite el Derecho de la Unión o de los Estados miembros
  • sea necesario para la conclusión de un contrato.

Especial mención merece el derecho a impugnar este tipo decisiones, basadas exclusivamente en un tratamiento automatizado y con gran impacto en la vida de los interesados, reconocido en el Artículo 22 del RGPD, que analizaremos en un artículo aparte.

Más información:

Agencia Española de Protección de Datos (AEPD): Código de buenas prácticas en protección de datos para proyectos Big Data

Directrices sobre decisiones individuales automatizadas y elaboración de perfiles en el sentido del Reglamento (UE) 2016/679 – Grupo de trabajo del artículo 29 adoptadas el 3 de octubre de 2017 revisadas por el Comité europeo de protección de datos.

¿Son compatibles el Big data y la protección de datos personales?

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: