Las decisiones automatizadas, incluida la elaboración de perfiles, en GDPR


Manuel Castilleja Toscano     20/06/2023



DECISIONES AUTOMATIZADAS, INCLUIDA LA ELABORACIÓN DE PERFILES, QUE PRODUZCAN EFECTOS JURÍDICOS EN EL INTERESADO O LE AFECTE SIGNIFICATIVAMENTE DE MODO SIMILAR

El RGPD aborda las decisiones automatizadas (DA) y la elaboración de perfiles (EP) principalmente en cinco de sus artículos:

  • En el artículo 4.4) se define la elaboración de perfiles como toda forma de tratamiento automatizado de datos personales consistente en utilizarlos para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos su rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos.
    • Esta definición no distingue si las decisiones tomadas en la EP son automatizadas o con la intervención humana.
  • En los artículos 13.2.f) y 14.2.g) se establece que en la información relativa al tratamiento que se debe facilitar al interesado sobre el tratamiento de sus datos personales, si fuese el caso, se debe informar de la existencia de DA, incluida la EP, y al menos en tales casos información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
  • En el artículo 22 se establece que el derecho a no ser objeto de decisiones individuales automatizadas no será aplicable y no habrá que incluirlo en la información, cuando la DA:
    • Sea necesaria para la ejecución de un contrato entre el interesado y el responsable, en este caso el responsable debe garantizar el derecho del interesado a obtener la intervención humana, expresar su punto de vista e impugnar la decisión, se debe incluir este derecho en la información que se facilite al interesado.
    • Esté basada en el consentimiento del interesado, el responsable debe garantizar el derecho del interesado a obtener la intervención humana, expresar su punto de vista e impugnar la decisión, se debe incluir este derecho en la información que se facilite al interesado.
    • Esté autorizada por una ley que establezca medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
    • Estas tres excepciones no se aplicarán sobre las categorías especiales de datos (art. 9.1), salvo que se aplique el artículo 9.2. letras a) o g) y se hayan tomado las medidas adecuadas citadas en el párrafo anterior.
  • En el artículo 35.3.a) se establece que se requerirá una EIPD en particular en caso de evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar


CONCLUSIONES

Excepciones a la prohibición
El artículo 22.1 RGPD, establece una prohibición general de las DA con efectos jurídicos o significativamente similares para el interesado, esto significa que el responsable del tratamiento no debe llevarlas a cabo, salvo que se aplique una de las excepciones descritas en el artículo 22.2 RGPD, esto es cuando:
- Sea necesaria para un contrato entre el interesado y un RT.
- Esté autorizada por una Ley que se aplique al RT y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
- Se base en el consentimiento explícito del interesado.

Datos de categoría especial
Las excepciones anteriores, no se basarán en categorías especiales de datos, salvo que se apliquen medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, y:
- El interesado haya dado su consentimiento explícito para la DA (art. 9.2.a RGPD).
- La DA es necesaria por razones de un interés público esencial, sobre la base de una ley (art. 9.2.g RGPD).

Derechos que el RGPD confiere al interesado
Si la DA, incluida la EP, con efectos jurídicos en el interesado o que le afecte significativamente de modo similar:
- Se basa en el consentimiento explícito del interesado o es necesaria para un contrato entre el mismo y un RT: se debe informar al interesado de su derecho a obtener la intervención humana, expresar punto de vista e impugnar la decisión.
- Está autorizada por una ley que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado: el interesado no tiene derecho a obtener la intervención humana, expresar punto de vista e impugnar la decisión.

Información específica sobre la DA
Conforme los artículos 13.2.f) y/o 14.2.g) y 22 del RGPD, cuando una DA suponga consecuencias jurídicas para el interesado o le afecte significativamente de modo similar, el responsable del tratamiento deberá informarle de:

  • Lógica aplicada
    - Descripción significativa sobre la lógica aplicada para tomar la decisión. No es necesario una compleja explicación de los algoritmos utilizados o la revelación de todo el algoritmo, pero sí una información suficientemente exhaustiva para que el interesado entienda los motivos de la decisión.
  • Consecuencias previstas para el interesado
    - Se debe informar de las consecuencias previstas por la DA para el interesado. Algunos ejemplos expuestos en las directrices sobre DA del Grupo de trabajo del artículo 29, cuando la decisión pueda:
    • Suponer la cancelación de un contrato
    • Suponer el derecho o la denegación de una prestación concedida por la ley, como la prestación por hijos o la ayuda a la vivienda
    • Suponer la denegación de admisión en un país o la denegación de ciudadanía
    • Afectar a las circunstancias financieras de una persona, como su elegibilidad para un crédito
    • Afectar al acceso de una persona a los servicios sanitarios
    • Suponer que denieguen a una persona una oportunidad laboral o que la coloquen en gran desventaja
    • Afectar al acceso de una persona a la educación, por ejemplo, su ingreso en la universidad
    • Provocar diferencias de precios sobre la base de datos o características personales, por ejemplo, precios muy elevados que impidan que una persona acceda a determinados bienes o servicios

Teniendo en cuenta el principio básico de transparencia que sustenta el RGPD, los responsables del tratamiento cuando el tratamiento implique la toma de decisiones basada en la elaboración de perfiles (independientemente de si entran en el ámbito de las disposiciones del artículo 22), debe informarse al usuario el hecho de que el tratamiento tiene fines tanto de elaboración de perfiles como de adopción de una decisión sobre la base del perfil generado.

Evaluación de impacto
- Conforme al art. 35.3.a) RGPD y a la lista de tratamientos obligados a llevar a cabo una EIPD que conforme al art. 35.4 del RGPD publicó la AEPD cuando se cumpla con dos o más criterios de la lista se debe realizar una EIPD, en este caso los dos primeros, es decir perfilado y decisiones automatizadas.
- Además de abordar cualquier otro riesgo relacionado con el tratamiento, una EIPD puede ser especialmente útil para aquellos responsables del tratamiento que no estén seguros de si sus actividades propuestas se ajustan a la definición del artículo 22, apartado 1, y, en caso de que una excepción identificada las permita, de qué medidas de protección deben aplicarse.

Información relacionada
Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del RGPD