Derecho a no ser objeto de decisiones individuales automatizadas (análisis de perfiles) en el Reglamento General de Protección de Datos (RGPD)
- Estado: Redacción actual VIGENTE
- Orden: Administrativo
- Fecha última revisión: 20/07/2021
El RGPD define, en su artículo 4.4, la elaboración de perfiles como «toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física» y contempla en su artículo 22 la regulación de este derecho.
Por lo que respecta al art. 18 de la LOPDGDD, se limita a remitir directamente a lo regulado en el RGPD, por lo que no aporta ninguna especificación adicional.
Según el apartado cuarto del artículo 4 del RGPD, la elaboración de perfiles es «toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física».
También se regulan en el artículo 22 del mismo texto legal las decisiones individuales automatizadas, incluida la referida elaboración de perfiles, de manera que:
«1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
2. El apartado 1 no se aplicará si la decisión:
a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
c) se basa en el consentimiento explícito del interesado.
3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado».
En base a lo anterior, todo interesado tendrá derecho a no ser objeto de una decisión basada solamente en el tratamiento automatizado, incluso la elaboración de perfiles, que generen consecuencias jurídicas en él o le influyan de igual forma.
El referido derecho es objeto de análisis por el Grupo de Trabajo sobre protección de datos del artículo 29 en las Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679, de fecha 3 de octubre de 2017, exponiendo que:
«Las decisiones automatizadas tienen un ámbito de aplicación distinto y pueden solaparse parcialmente con la elaboración de perfiles o derivarse de esta. Las decisiones basadas únicamente en el tratamiento automatizado representan la capacidad de tomar decisiones por medios tecnológicos sin la participación del ser humano. Las decisiones automatizadas pueden basarse en cualquier tipo de datos, por ejemplo:
• datos ofrecidos directamente por las personas afectadas (como las respuestas a un cuestionario);
• datos observados acerca de las personas (como los datos sobre la ubicación recogidos a través de una aplicación);
• datos derivados o inferidos como, por ejemplo, un perfil ya existente de la persona (por ejemplo, una calificación crediticia).
Las decisiones automatizadas pueden llevarse a cabo con o sin elaboración de perfiles; la elaboración de perfiles puede darse sin realizar decisiones automatizadas. No obstante, ambas no son necesariamente actividades independientes. Algo que empieza como un simple proceso de decisiones automatizadas puede convertirse en un proceso basado en la elaboración de perfiles, dependiendo del uso que se dé a los datos. (...)
Las decisiones que no están basadas únicamente en el tratamiento automatizado pueden incluir también la elaboración de perfiles. Por ejemplo, antes de conceder una hipoteca, un banco puede tener en cuenta la calificación crediticia del prestatario, y pueden producirse otras intervenciones humanas significativas adicionales antes de que se tome ninguna decisión sobre la persona».
Sin embargo, el apartado segundo del artículo 22 del RGPD establece excepciones a lo dispuesto en el apartado primero del mismo, cuando:
a) El tratamiento automatizado es necesario para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento.
b) El tratamiento automatizado está autorizado por el derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
c) El tratamiento automatizado se basa en el consentimiento explícito del interesado.
A TENER EN CUENTA. Las decisiones referidas en el apartado segundo del artículo 22 del RGPD no se basarán en las categorías especiales de datos personales contempladas en el apartado primero del artículo 9 del RGPD (datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física), salvo que se aplique el artículo 9, apartado 2, letra a) o g), del mismo texto legal, y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado. Estos son:
a) El interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 del artículo 9 del RGPD no puede ser levantada por el interesado.
g) El tratamiento es necesario por razones de un interés público esencial, sobre la base del derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
CUESTIONES
1. ¿Qué dispone la LOPDGDD con respecto a la elaboración de perfiles?
En virtud de lo estipulado por el artículo 18 del LOPDGDD, el derecho de oposición, así como los derechos relacionados con las decisiones individuales automatizadas, incluida la realización de perfiles, se ejercerán de acuerdo con lo establecido, respectivamente, en los artículos 21 y 22 del RGPD.
2. ¿Contemplan los deberes de información de los artículos 13, 14 y 15 del RGPD las decisiones automatizadas?
Los deberes de información contemplan las decisiones automatizadas de la siguiente manera:
- Se facilitará al interesado la información sobre «la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado» [artículo 13.2.f) del RGPD].
-Se facilitará al interesado la información sobre «la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado» [artículo 14.2. g) del RGPD].
- El interesado tendrá derecho a obtener información sobre «la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado» [artículo 15.1. h) del RGPD].
No hay versiones para este comentario
- Generalidades
- Procedimiento Administrativo
- Revisión de actos en vía administrativa
- Revisión judicial del acto administrativo: Derecho Procesal Contencioso-Administrativo
- Contratos del Sector Público
- Bienes de las administraciones públicas
- Expropiación forzosa
- Ordenación del territorio, Urbanismo y Vivienda
- Derecho ambiental
- Derecho local
- Derecho de extranjería
- Tráfico, seguridad vial y transportes
- Protección de datos
- Protección de datos para abogados y procuradores
- Protección de datos para comunidades de propietarios
- Protección de datos en redes sociales
- Constitución Española
- Estudio de la responsabilidad de las Administraciones Públicas
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. VIGENTE
Boletín: Boletín Oficial del Estado Número: 294 Fecha de Publicación: 06/12/2018 Fecha de entrada en vigor: 07/12/2018 Órgano Emisor: Jefatura Del Estado
- D.F. 16ª. Entrada en vigor.
- D.F. 15ª. Desarrollo normativo.
- D.F. 14ª. Modificación del texto refundido de la Ley del Estatuto Básico del Empleado Público.
- D.F. 13ª. Modificación del texto refundido de la Ley del Estatuto de los Trabajadores.
- D.F. 12ª. Modificación de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
-
Sentencia Supranacional TJUE, 24-01-2022
Orden: Supranacional Fecha: 24/01/2022 Tribunal: Tribunal De Justicia De La Union Europea
-
Sentencia Supranacional Nº C-40/17, TJUE, 29-07-2019
Orden: Supranacional Fecha: 29/07/2019 Tribunal: Tribunal De Justicia De La Union Europea Num. Sentencia: C-40/17
-
Sentencia Supranacional TJUE, 03-08-2020
Orden: Supranacional Fecha: 03/08/2020 Tribunal: Tribunal De Justicia De La Union Europea
-
Sentencia Administrativo TS, Sala de lo Contencioso, Sec. 6, Rec 23/2008, 08-02-2012
Orden: Administrativo Fecha: 08/02/2012 Tribunal: Tribunal Supremo Ponente: Trillo Alonso, Juan Carlos Num. Recurso: 23/2008
-
Sentencia Administrativo TS, Sala de lo Contencioso, Sec. 6, Rec 25/2008, 08-02-2012
Orden: Administrativo Fecha: 08/02/2012 Tribunal: Tribunal Supremo Ponente: Trillo Alonso, Juan Carlos Num. Recurso: 25/2008
-
Derecho de oposición en la LOPDGDD y en el RGPD
Orden: Administrativo Fecha última revisión: 20/07/2021
En el RGPD (así como la LOPDGDD) se reconoce expresamente el derecho del interesado a oponerse —en cualquier momento— por motivos relacionados con su situación particular, a que los datos personales que le conciernan sean objeto de un tratamien...
-
Categorías especiales de datos en el RGPD y la LOPDGDD
Orden: Administrativo Fecha última revisión: 01/06/2021
Los conocidos como «datos especialmente protegidos» que ya preveía la LOPD encuentran su encaje en el Reglamento comunitario en lo que se han venido a denominar «categorías especiales de datos».¿Cómo deben ser tratados los datos considerados ...
-
Principios generales de la LOPDGDD y del RGPD
Orden: Administrativo Fecha última revisión: 31/05/2021
Los principios y normas relativos a la protección de las personas físicas en lo que respecta al tratamiento de sus datos de carácter personal deben (cualquiera que sea su nacionalidad o residencia) respetar sus libertades y derechos fundamentales ...
-
Derecho a la supresión de los datos y derecho al olvido en la LOPDGDD y en el RGPD
Orden: Administrativo Fecha última revisión: 01/06/2021
El artículo 17 del RGPD regula el derecho a la supresión de los datos personales (anteriormente denominado derecho de cancelación) y el conocido como «derecho al olvido». Además en la nueva LOPDGDD se reconoce en el artículo 15, entre otras me...
-
Derecho de acceso en la LOPDGDD y en el RGPD
Orden: Administrativo Fecha última revisión: 01/06/2021
El RGPD en su artículo 15 contempla la regulación del denominado «derecho de acceso del interesado» y a su vez la nueva LO 3/2018, de 5 de diciembre (LOPD-GDD) lo regula en su artículo 13 recogiendo gran parte de lo estipulado en el considerando...
-
Formulario para el ejercicio del derecho a no ser objeto de decisiones individualizadas (adaptado LOPDGDD y RGPD)
Fecha última revisión: 17/08/2021
EJERCICIO DEL DERECHO A NO SER OBJETO DE DECISIONES INDIVIDUALES AUTOMATIZADASDATOS DEL RESPONSABLE DEL TRATAMIENTONombre / razón social: [NOMBRE_EMPRESA].Dirección de la Oficina (Servicio ante el que se ejercita el derecho de acceso): [DIRECCIÓN]...
-
Modelo de cláusula de consentimiento con transferencia internacional de datos. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE_EMPRESA] - Teléfono de contacto: [NUM_TLF]NIF: [NIF] - Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [CALLE], [NUMERO], [LUGAR], [CIUDAD], [CODIGO_POSTAL], [PROVINCIA]Delegado de Protección de datos: [ESPECIFIQUE ...
-
Formulario para ejercitar el derecho de oposición (adaptado LOPDGDD y RGPD)
Fecha última revisión: 17/08/2021
EJERCICIO DEL DERECHO DE OPOSICIÓNDATOS DEL RESPONSABLE DEL TRATAMIENTONombre / razón social: [NOMBRE_EMPRESA].Dirección de la Oficina (Servicio ante el que se ejercita el derecho de acceso): [DIRECCIÓN].C. Postal: [CODIGO_POSTAL].Localidad: [LOC...
-
Formulario para ejercicio del derecho de oposición con fines de mercadotécnica directa (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
EJERCICIO DEL DERECHO DE OPOSICIÓNDATOS DEL RESPONSABLE DEL TRATAMIENTO.Nombre / razón social: [NOMBRE_EMPRESA]Dirección de la Oficina (Servicio ante el que se ejercita el derecho de acceso): [DIRECCION]C.Postal: [CODIGO_POSTAL]Localidad: [LOCALID...
-
Modelo de cláusula general de protección de datos para tratar datos de salud e historias clínicas. (Adaptado LOPDGDD y RGPD)
Fecha última revisión: 13/02/2019
Responsable: [NOMBRE_EMPRESA] - NIF/CIF: [NUMERO] - Teléfono de contacto: [NUM_TLF]Correo electrónico: [CORREO_ELECTRONICO]Dirección postal: [DIRECCION], [POBLACION], [CODIGO_POSTAL], [PROVINCIA].Delegado de Protección de datos: [ESPECIFIQUE AQUI...
-
Análisis del Reglamento general de protección de datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016).
Fecha última revisión: 12/01/2017
-
Caso práctico: Cuestiones generales sobre la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre al derecho al olvido en internet
Fecha última revisión: 21/05/2014
-
Caso práctico: Conflicto entre publicidad registral y protección de datos personales
Fecha última revisión: 26/01/2022
-
ADAPTACIÓN DE UN CLUB O ASOCIACIÓN DEPORTIVA A LA NORMATIVA DE PROTECCIÓN DE DATOS
Fecha última revisión: 04/07/2019
-
Caso práctico: ¿Deben los padres de los alumnos solicitar el consentimiento expreso para realizar grabaciones o fotografías durante las actividades organizadas por los colegios?
Fecha última revisión: 05/10/2021
PLANTEAMIENTOEl Reglamento UE 2016/679, de 27 de abril de 2016 será aplicable a partir del 25 de mayo de 2018 afectando al conjunto de derechos a través de los cuales la actual Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal ga...
RESUMENCuestiones generales sobre la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre al derecho al olvido en internetANÁLISISDicha sentencia publicada el 13 de mayo de 2014, resolvió reconocer este derecho “al olvido” apli...
PLANTEAMIENTODoña XXX, de profesión abogada, presenta en el Registro Mercantil de su ciudad tres escritos solicitando la expedición de sendas certificaciones relativas a las siguientes sociedades: A (inscripciones 7.ª hasta la última), B (histo...
Debemos partir de la base de que un club o asociación deportiva generalmente dispone de datos de carácter personal, tanto datos de socios, como de deportistas, directivos del club e incluso, si es el caso, de datos de empleados.Además, en funció...
PLANTEAMIENTOLa realización de actividades lúdicas o deportivas organizadas por los centros educativos motiva que en muchas ocasiones los padres y madres de los alumnos realicen grabaciones y fotografías de los menores para «conservar» un gráf...
-
Resolución de 19 de junio de 2018, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación de la registradora de la propiedad de Sevilla n.º 5, por la que deniega la expedición de certificación relativa a nueve fincas registrales.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 04/07/2018
-
Resolución de 28 de abril de 2014, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad de Burgos n.º 4 por la que se deniega la expedición de una certificación registral.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 28/04/2014
-
Resolucion de 11 de septiembre de 2009, de la Direccion General de los Registros y del Notariado, en el recurso interpuesto por don Fernando Vidal Renu, contra la negativa de la registradora de la propiedad de Albaida, a una informacion registral por nota simple acompañada de fotocopia de dos fincas sitas en la demarcacion del Registro.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 11/09/2009
-
Resolución de 1 de agosto de 2018, de la Dirección General de los Registros y del Notariado, por la que se aprueba el modelo de cláusula general voluntaria relativa al tratamiento de datos de carácter personal, de conformidad con lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 01/08/2018
-
Resolución de 11 de diciembre de 2017, de la Dirección General de los Registros y del Notariado, en el recurso interpuesto contra la nota de calificación del registrador de la propiedad accidental de Madrid n.º 5, por la que se deniega la expedición de la certificación.
Órgano: Dirección General De Seguridad Jurídica Y Fe Pública (antes Dirección General De Registros Y Notariado) Fecha: 03/01/2018
-
Reglamento General de Protección de Datos (RGPD)
- Autor: Editorial Colex, S.L.
- Publicación: 01/08/2018
- Desde 6.6€
-
Nuevas tecnologías y responsabilidad civil
- Autores: V.V.A.A.
- Publicación: 15/12/2020
- Desde 33.25€
-
CURSO SOBRE LA RESPONSABILIDAD PENAL DE LAS PERSONAS JURÍDICAS POR BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO
- Desde 36.24€
