Las decisiones automatizadas, incluida la elaboración de perfiles, en GDPR


Manuel Castilleja Toscano     20/06/2023


DECISIONES AUTOMATIZADAS, INCLUIDA LA ELABORACIÓN DE PERFILES, QUE PRODUZCAN EFECTOS JURÍDICOS EN EL INTERESADO O LE AFECTE SIGNIFICATIVAMENTE DE MODO SIMILAR

El GDPR aborda las decisiones automatizadas (DA) y la elaboración de perfiles (EP) principalmente en cinco de sus artículos:

  • En el artículo 4.4) se define la elaboración de perfiles como toda forma de tratamiento automatizado de datos personales consistente en utilizarlos para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos su rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos.
    • Esta definición no distingue si las decisiones tomadas en la EP son automatizadas o con la intervención humana.
  • En los artículos 13.2.f) y 14.2.g) se establece que en la información relativa al tratamiento que se debe facilitar al interesado sobre el tratamiento de sus datos personales, si fuese el caso, se debe informar de la existencia de DA, incluida la EP, con información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado; todo ello siempre y cuando las DA produzcan efectos jurídicos en él o le afecte significativamente de modo similar.
  • En el artículo 22 se establece que el derecho a no ser objeto de decisiones individuales automatizadas no será aplicable y no habrá que incluirlo en la información, cuando la DA:
    • Sea necesaria para la ejecución de un contrato entre el interesado y el responsable, en este caso el responsable debe garantizar el derecho del interesado a obtener la intervención humana, expresar su punto de vista e impugnar la decisión, se debe incluir este derecho en la información que se facilite al interesado.
    • Esté basada en el consentimiento del interesado, el responsable debe garantizar el derecho del interesado a obtener la intervención humana, expresar su punto de vista e impugnar la decisión, se debe incluir este derecho en la información que se facilite al interesado.
    • Esté autorizada por una ley que establezca medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
    • Estas tres excepciones no se aplicarán sobre las categorías especiales de datos (art. 9.1), salvo que se aplique el artículo 9.2. letras a) o g) y se hayan tomado las medidas adecuadas citadas en el párrafo anterior.
  • En el artículo 35.3.a) se establece que se requerirá una EIPD en particular en caso de evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar


CONCLUSIONES

Legitimación para llevar a cabo una DA con efectos jurídicos en el interesado
Solo se podrá realizar una DA cuando:
- Sea necesaria para un contrato entre el interesado y un RT.
- Esté autorizada por una Ley que se aplique al RT y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
- Se base en el consentimiento explícito del interesado.

Datos de categoría especial
Los casos en que se permite llevar a cabo una DA (consentimiento, relación contractual o autorización legal), no se aplican sobre categorías especiales de datos, salvo que se apliquen medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, y:
- El interesado haya dado su consentimiento explícito para la DA (art. 9.2.a GDPR).
- La DA es necesaria por razones de un interés público esencial, sobre la base de una ley (art. 9.2.g GDPR).

Derechos que el GDPR confiere al interesado
Va a depender de la base jurídica que legitime la DA, de modo que si es:
- El consentimiento (art. 6.1.a GDPR) o la relación contractual (art. 6.1.b GDPR). Se debe informar al interesado de su derecho a obtener la intervención humana, expresar punto de vista e impugnar la decisión.
- La autorización legal (art. 6.1.c GDPR). El interesado no tiene derecho a obtener la intervención humana, expresar punto de vista e impugnar la decisión.

Información específica sobre la DA con efectos jurídicos en el interesado
Conforme los artículos 13.2.f) y/o 14.2.g) y 22 del GDPR, cuando una DA suponga consecuencias jurídicas para el interesado o le afecte significativamente de modo similar, el responsable del tratamiento deberá informarle de:

  • Lógica aplicada
    - Descripción significativa sobre la lógica aplicada para tomar la decisión. No es necesario una compleja explicación de los algoritmos utilizados o la revelación de todo el algoritmo, pero sí una información suficientemente exhaustiva para que el interesado entienda los motivos de la decisión.
  • Consecuencias previstas para el interesado
    - Se debe informar de las consecuencias previstas por la DA para el interesado. Algunos ejemplos expuestos en las directrices sobre DA del Grupo de trabajo del artículo 29:
    • Puede suponer la cancelación de un contrato
    • Puede suponer el derecho o la denegación de una prestación concedida por la ley, como la prestación por hijos o la ayuda a la vivienda
    • Puede suponer la denegación de admisión en un país o la denegación de ciudadanía
    • Puede afectar a las circunstancias financieras de una persona, como su elegibilidad para un crédito
    • Puede afectar al acceso de una persona a los servicios sanitarios
    • Puede suponer que denieguen a una persona una oportunidad laboral o que la coloquen en gran desventaja
    • Puede afectar al acceso de una persona a la educación, por ejemplo, su ingreso en la universidad
    • Puede provocar diferencias de precios sobre la base de datos o características personales, por ejemplo, precios muy elevados que impidan que una persona acceda a determinados bienes o servicios

Evaluación de impacto
- Conforme al art. 35.3.a) GDPR y a la lista de tratamientos obligados a llevar a cabo una EIPD que conforme al art. 35.4 del GDPR publicó la AEPD cuando se cumpla con dos o más criterios de la lista se debe realizar una EIPD, en este caso los dos primeros, es decir perfilado y decisiones automatizadas.
- Además de abordar cualquier otro riesgo relacionado con el tratamiento, una EIPD puede ser especialmente útil para aquellos responsables del tratamiento que no estén seguros de si sus actividades propuestas se ajustan a la definición del artículo 22, apartado 1, y, en caso de que una excepción identificada las permita, de qué medidas de protección deben aplicarse.

Información relacionada
Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del GDPR