El derecho de impugnación de decisiones automatizadas y perfiles ¿un nuevo derecho tras el RGPD?

Como ya vimos en el artículo ¿Cómo tratar datos personales en caso de decisiones automatizadas y elaboración de perfiles?, el Reglamento de protección de datos personales (RGPD) regula entre los derechos de los interesados, el derecho de oposición en sus artículos 21 y 22.

Pero ¿qué significa este derecho y qué alcance tiene?

El derecho de oposición, es un derecho con un gran impacto en la práctica, ya que hace referencia al derecho de cada individuo a oponerse al tratamiento de sus datos personales en determinadas circunstancias, y, en particular en:

  • la elaboración de perfiles y
  • las decisiones individuales atutomatizadas

Las decisiones automatizadas pueden llevarse a cabo con o sin elaboración de perfiles, y viceversa, la elaboración de perfiles, puede darse sin realizar decisiones automatizadas, pero frecuentemente van unidas.

Un ejemplo de elaboración de perfiles sería un agente de datos o programa informático que, captando información sobre personas físicas de diversas fuentes, ya sean públicas o privadas, las diferencia atendiendo a diferentes criterios, asignándoles diferentes grupos o segmentos (gustos, preferencias en toma de decisiones, tipo de educación..)

Un ejemplo de decisión automatizada sería la imposición de multas por exceso de velocidad en base a radares de velocidad. En este caso, no se estaría produciendo una elaboración de perfiles.

Como estas dos operaciones acarrean ciertos riesgos para los interesados, el legislador europeo ha querido poner especial énfasis en ellas y en las garantías y medidas de seguridad necesarias para reducir sus posibles consecuencias adversas.

A pesar de las muchas ventajas que presentan la elaboración de perfiles y las decisiones automatizadas en mercadotecnia, pueden plantear ciertos riesgos para los ciudadanos que pueden desconocer la existencia del tratamiento o las consecuencias del mismo.

Con el fin de garantizar un tratamiento leal y transparente de los datos personales por parte del responsable, el propio RGPD hace referencia a posibles medidas de seguridad a implementar en este tipo de tratamientos en el considerando 71:

  • utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles,
  • aplicar medidas técnicas y organizativas apropiadas para garantizar que se corrigen factores que pueden introducir inexactitudes en los datos personales y se reduce al máximo el riesgo de error,
  • asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado y se impidan, efectos discriminatorios en las personas físicas.

Además, el hecho de realizar este tipo de actividades es un factor casi decisivo a la hora de decidir si el responsable de los datos personales debe realizar o no una evaluación de impacto, lo que de por sí, supondría una garantía adicional para el interesado, ya que obligaría al responsable del tratamiento de datos a analizar el mismo desde una perspectiva garantista de los derechos de los interesados.

Debemos recordar que los principios del artículo 5 del RGPD inspiran la legislación en esta materia y se aplican a todo tipo de tratamientos de datos personales, por lo que también son de aplicación en la elaboración de perfiles y decisiones automatizadas. 

En particular, en este tipo de tratamientos, adquiere especial relevancia el principio de transparencia y lealtad, ya que en muchas ocasiones estos procesos suelen ser invisibles para los interesados. El responsable del tratamiento debe facilitar a los interesados información específica, transparente y clara a los interesados sobre el tratamiento de sus datos personales, explicándoles incluso la lógica aplicada en la toma de decisiones o las consecuencias previstas de dicho tratamiento.

El derecho de oposición se puede ejercitar:

– frente al responsable del tratamiento que crea un perfil o

– al responsable del tratamiento que crea una decisión automatizada acerca de un interesado (con o sin intervención humana)

en caso de que éstos no sean la misma persona.

Recuerda, cuando los datos no se obtengan directamente del interesado, debes informar a la persona cuyos datos personales trates, de la existencia del tratamiento (véase artículo 14 del RGPD)

Más información:

Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679 – WP251 – Grupo de Trabajo del Artículo 29

¿Cómo tratar datos personales en caso de decisiones automatizadas y elaboración de perfiles?

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

WordPress.com.

Subir ↑

A %d blogueros les gusta esto: