Decisiones automatizadas, incluida la elaboración de perfiles, en el RGPD


Manuel Castilleja Toscano     20/06/2023



DECISIONES INDIVIDUALES AUTOMATIZADAS, INCLUIDA LA ELABORACIÓN DE PERFILES, QUE PRODUZCAN EFECTOS JURÍDICOS EN EL INTERESADO O LE AFECTE SIGNIFICATIVAMENTE DE MODO SIMILAR

El RGPD aborda las decisiones automatizadas y la elaboración de perfiles principalmente en cinco de sus artículos:

  • En el artículo 4.4) se define la elaboración de perfiles como toda forma de tratamiento automatizado de datos personales consistente en utilizarlos para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos su rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos.
  • En los artículos 13.2.f) y 14.2.g) se establece que cuando el tratamiento implique la toma de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos en el interesado o le afecten significativamente de modo similar, se debe informar de la existencia de las mismas, y al menos en tales casos información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
  • En el artículo 22 se establece que el derecho del interesado a no ser objeto de decisiones individuales basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos en él o le afecte significativamente de modo similar, no será aplicable, cuando la decisión automatizada:
    • Sea necesaria para la celebración o ejecución de un contrato entre el interesado y un responsable del tratamiento, en este caso el responsable debe adoptar las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión..
    • Esté basada en el consentimiento explícito del interesado, en este caso el responsable debe adoptar las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
    • Esté autorizada por una ley que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

Estas tres excepciones no se aplicarán sobre las categorías especiales de datos (art. 9.1), salvo que se aplique el artículo 9.2. letras a) o g) y se hayan tomado las medidas adecuadas citadas en el párrafo anterior.

  • En el artículo 35.3.a) se establece que se requerirá una EIPD en particular en caso de evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar


CONCLUSIONES

Aplicación del artículo 22 y excepciones a la prohibición

Para que sea de aplicación el artículo 22, además de existir una decisión que se aplique al individuo y le produzca efectos jurídicos, la decisión debe basarse “únicamente” en el tratamiento automatizado, es decir que no haya intervención humana en todo el proceso de decisión. Si existe intervención humana, el artículo 22 no se aplicaría, siempre que dicha intervención sea significativa. El responsable no puede argumentar la no aplicación del artículo 22, simplemente poniendo a una persona a “visar” decisiones; la persona debe tener la autoridad y competencia para cambiar la decisión y debe revisar todos los datos pertinentes. Si la intervención humana es solo un gesto simbólico sin influencia real, la decisión se sigue considerando basada únicamente en el tratamiento automatizado.

El artículo 22.1 RGPD, establece una prohibición general de las decisiones individuales basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, con efectos jurídicos o significativamente similares para el interesado, esto significa que el responsable del tratamiento no debe llevarlas a cabo, salvo que se aplique alguna de las excepciones descritas en el artículo 22.2 RGPD, esto es cuando:

  • Sea necesaria para un contrato entre el interesado y un responsable del tratamiento.
  • Esté autorizada por una Ley que se aplique al responsable y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
  • Se base en el consentimiento explícito del interesado.

Datos de categoría especial
Las excepciones anteriores, no se basarán en categorías especiales de datos, salvo que se apliquen medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, y:

  • El interesado haya dado su consentimiento explícito para la decisión basada únicamente en el tratamiento automatizado (art. 9.2.a RGPD).
  • La decisión basada únicamente en el tratamiento automatizado sea necesaria por razones de un interés público esencial, sobre la base de una ley (art. 9.2.g RGPD).

Derechos que el RGPD confiere al interesado
Si la decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, con efectos jurídicos en el interesado o que le afecte significativamente de modo similar:

  • Se basa en su consentimiento explícito o es necesaria para un contrato entre el mismo y un responsable: se debe informar al interesado de su derecho a obtener la intervención humana, expresar punto de vista e impugnar la decisión.
  • Está autorizada por una ley que se aplique al responsable del tratamiento, que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado: el interesado no tiene derecho a obtener la intervención humana, expresar punto de vista e impugnar la decisión.

Información específica sobre la decisión basada únicamente en el tratamiento automatizado
Conforme los artículos 13.2.f) y/o 14.2.g) y 22 del RGPD, cuando una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, suponga consecuencias jurídicas para el interesado o le afecte significativamente de modo similar, el responsable del tratamiento deberá informarle de:

  • Lógica aplicada
    Descripción significativa sobre la lógica aplicada para tomar la decisión. No es necesario una compleja explicación de los algoritmos utilizados o la revelación de todo el algoritmo, pero sí una información suficientemente exhaustiva para que el interesado entienda los motivos de la decisión.
  • Consecuencias previstas para el interesado
    Se debe informar de las consecuencias previstas por la decisión basada únicamente en el tratamiento automatizado para el interesado. Algunos ejemplos expuestos en las directrices sobre decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles del Grupo de trabajo del artículo 29:
    • Suponer la cancelación de un contrato
    • Suponer el derecho o la denegación de una prestación concedida por la ley, como la prestación por hijos o la ayuda a la vivienda
    • Suponer la denegación de admisión en un país o la denegación de ciudadanía
    • Afectar a las circunstancias financieras de una persona, como su elegibilidad para un crédito
    • Afectar al acceso de una persona a los servicios sanitarios
    • Suponer que denieguen a una persona una oportunidad laboral o que la coloquen en gran desventaja
    • Afectar al acceso de una persona a la educación, por ejemplo, su ingreso en la universidad
    • Provocar diferencias de precios sobre la base de datos o características personales, por ejemplo, precios muy elevados que impidan que una persona acceda a determinados bienes o servicios

Teniendo en cuenta el principio básico de transparencia que sustenta el RGPD, los responsables del tratamiento cuando el tratamiento implique una decisión automatizada, incluida la elaboración de perfiles, independientemente de si entran en el ámbito de las disposiciones del artículo 22, debe informarse al usuario el hecho de que el tratamiento tiene fines tanto de elaboración de perfiles como de adopción de una decisión sobre la base del perfil generado.

Evaluación de impacto

Conforme al art. 35.3.a) RGPD y a la lista de tratamientos obligados a llevar a cabo una EIPD que conforme al art. 35.4 del RGPD publicó la AEPD cuando se cumpla con dos o más criterios de la lista se debe realizar una EIPD, en este caso los dos primeros, es decir perfilado y decisiones automatizadas. Además de abordar cualquier otro riesgo relacionado con el tratamiento, una EIPD puede ser especialmente útil para aquellos responsables del tratamiento que no estén seguros de si sus actividades propuestas se ajustan a la definición del artículo 22, apartado 1, y, en caso de que una excepción identificada las permita, de qué medidas de protección deben aplicarse.

Para que sea obligatorio realizar una EIPD, no es necesario que la decisión sea “únicamente” automatizada, este artículo, se refiere a evaluaciones y decisiones que se basan en un tratamiento automatizado, pero omite la palabra “únicamente”. Esto significa que este artículo se aplicará también en caso de toma de decisiones que no estén totalmente automatizadas (es decir, donde hay intervención humana), siempre que impliquen una evaluación sistemática y exhaustiva y produzcan efectos jurídicos o significativos.

Información relacionada
Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del RGPD