Derecho a no ser objeto de decisiones individuales automatizadas (análisis de perfiles) en el Reglamento General de Protección de Datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 20/07/2021

El RGPD define, en su artículo 4.4, la elaboración de perfiles como «toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física» y contempla en su artículo 22 la regulación de este derecho.

Por lo que respecta al art. 18 de la LOPDGDD, se limita a remitir directamente a lo regulado en el RGPD, por lo que no aporta ninguna especificación adicional.

¿En qué consiste la elaboración de perfiles como forma de tratamiento automatizado de datos personales?

Según el apartado cuarto del artículo 4 del RGPD, la elaboración de perfiles es «toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física».

También se regulan en el artículo 22 del mismo texto legal las decisiones individuales automatizadas, incluida la referida elaboración de perfiles, de manera que:

«1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

2. El apartado 1 no se aplicará si la decisión:

a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;

b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o

c) se basa en el consentimiento explícito del interesado.

3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.

4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado».

En base a lo anterior, todo interesado tendrá derecho a no ser objeto de una decisión basada solamente en el tratamiento automatizado, incluso la elaboración de perfiles, que generen consecuencias jurídicas en él o le influyan de igual forma.

El referido derecho es objeto de análisis por el Grupo de Trabajo sobre protección de datos del artículo 29 en las Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679, de fecha 3 de octubre de 2017, exponiendo que:

«Las decisiones automatizadas tienen un ámbito de aplicación distinto y pueden solaparse parcialmente con la elaboración de perfiles o derivarse de esta. Las decisiones basadas únicamente en el tratamiento automatizado representan la capacidad de tomar decisiones por medios tecnológicos sin la participación del ser humano. Las decisiones automatizadas pueden basarse en cualquier tipo de datos, por ejemplo:

• datos ofrecidos directamente por las personas afectadas (como las respuestas a un cuestionario);
• datos observados acerca de las personas (como los datos sobre la ubicación recogidos a través de una aplicación);
• datos derivados o inferidos como, por ejemplo, un perfil ya existente de la persona (por ejemplo, una calificación crediticia).

Las decisiones automatizadas pueden llevarse a cabo con o sin elaboración de perfiles; la elaboración de perfiles puede darse sin realizar decisiones automatizadas. No obstante, ambas no son necesariamente actividades independientes. Algo que empieza como un simple proceso de decisiones automatizadas puede convertirse en un proceso basado en la elaboración de perfiles, dependiendo del uso que se dé a los datos. (...)

Las decisiones que no están basadas únicamente en el tratamiento automatizado pueden incluir también la elaboración de perfiles. Por ejemplo, antes de conceder una hipoteca, un banco puede tener en cuenta la calificación crediticia del prestatario, y pueden producirse otras intervenciones humanas significativas adicionales antes de que se tome ninguna decisión sobre la persona».

Sin embargo, el apartado segundo del artículo 22 del RGPD establece excepciones a lo dispuesto en el apartado primero del mismo, cuando:

a) El tratamiento automatizado es necesario para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento.

b) El tratamiento automatizado está autorizado por el derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

c) El tratamiento automatizado se basa en el consentimiento explícito del interesado.

A TENER EN CUENTA. Las decisiones referidas en el apartado segundo del artículo 22 del RGPD no se basarán en las categorías especiales de datos personales contempladas en el apartado primero del artículo 9 del RGPD (datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física), salvo que se aplique el artículo 9, apartado 2, letra a) o g),  del mismo texto legal, y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado. Estos son:

a) El interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 del artículo 9 del RGPD no puede ser levantada por el interesado.

g) El tratamiento es necesario por razones de un interés público esencial, sobre la base del derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

CUESTIONES

1. ¿Qué dispone la LOPDGDD con respecto a la elaboración de perfiles?

En virtud de lo estipulado por el artículo 18 del LOPDGDD, el derecho de oposición, así como los derechos relacionados con las decisiones individuales automatizadas, incluida la realización de perfiles, se ejercerán de acuerdo con lo establecido, respectivamente, en los artículos 21 y 22 del RGPD.

2. ¿Contemplan los deberes de información de los artículos 13, 14 y 15 del RGPD las decisiones automatizadas?

Los deberes de información contemplan las decisiones automatizadas de la siguiente manera:

- Se facilitará al interesado la información sobre «la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado» [artículo 13.2.f) del RGPD].

-Se facilitará al interesado la información sobre «la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado» [artículo 14.2. g) del RGPD].

- El interesado tendrá derecho a obtener información sobre «la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado»  [artículo 15.1. h) del RGPD].

 

 

 

 

No hay versiones para este comentario

Elaboración de perfiles
Persona física
Responsable del tratamiento
Interés legitimo
Tratamiento automatizado de datos
Datos personales
Protección de datos
Hipoteca
Prestatario
Categorías especiales de datos
Afiliación sindical
Interés publico
Derechos fundamentales
Documentos relacionados
Ver más documentos relacionados
  • Derecho de oposición en la LOPDGDD y en el RGPD

    Orden: Administrativo Fecha última revisión: 20/07/2021

    En el RGPD (así como la LOPDGDD) se reconoce expresamente el derecho del interesado a oponerse —en cualquier momento— por motivos relacionados con su situación particular, a que los datos personales que le conciernan sean objeto de un tratamien...

  • Categorías especiales de datos en el RGPD y la LOPDGDD

    Orden: Administrativo Fecha última revisión: 01/06/2021

    Los conocidos como «datos especialmente protegidos» que ya preveía la LOPD encuentran su encaje en el Reglamento comunitario en lo que se han venido a denominar «categorías especiales de datos».¿Cómo deben ser tratados los datos considerados ...

  • Principios generales de la LOPDGDD y del RGPD

    Orden: Administrativo Fecha última revisión: 31/05/2021

    Los principios y normas relativos a la protección de las personas físicas en lo que respecta al tratamiento de sus datos de carácter personal deben (cualquiera que sea su nacionalidad o residencia) respetar sus libertades y derechos fundamentales ...

  • Derecho a la supresión de los datos y derecho al olvido en la LOPDGDD y en el RGPD

    Orden: Administrativo Fecha última revisión: 01/06/2021

    El artículo 17 del RGPD regula el derecho a la supresión de los datos personales (anteriormente denominado derecho de cancelación) y el conocido como «derecho al olvido». Además en la nueva LOPDGDD se reconoce en el artículo 15, entre otras me...

  • Derecho de acceso en la LOPDGDD y en el RGPD

    Orden: Administrativo Fecha última revisión: 01/06/2021

    El RGPD en su artículo 15 contempla la regulación del denominado «derecho de acceso del interesado» y a su vez la nueva LO 3/2018, de 5 de diciembre (LOPD-GDD) lo regula en su artículo 13 recogiendo gran parte de lo estipulado en el considerando...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros y cursos relacionados