Derecho a no ser objeto de decisiones individuales automatizadas (análisis de perfiles) en el Reglamento General de Protección de Datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 18/01/2019

El RGPD define en su artículo 4.4 la elaboración de perfiles como  “toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física”, y contempla en su artículo 22 la regulación de este derecho.

Por lo que respecta al art. 18 de la LOPDGDD, se limita a remitir directamente a lo regulado en el RGPD, por lo que no aporta ninguna especificación adicional.

El Art. 22 establece que todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

El análisis de este derecho, debe ser realizado tomando en consideración el Dictamen del Grupo de Trabajo sobre la toma de decisiones individuales automatizadas y la elaboración de perfiles. Así, en este documento se indica que el artículo 22 del Reglamento debe ser interpretado como una prohibición de la toma de decisiones individualizadas totalmente automáticas, incluida la elaboración de perfiles que tenga efectos jurídicos en el interesado o le afecte significativamente de modo similar. La lectura del Reglamento evidencia que esta norma no facilita una definición de lo que son “efectos jurídicos” o de lo que debe de entenderse por la expresión  “similarmente significativos”. Por ello, nuevamente debemos atender al criterio orientativo del citado Grupo de Trabajo que -de forma ejemplificativa- en el Dictamen ha indicado que “un efecto jurídico” puede ser el resultado de un tratamiento que tiene un impacto en los derechos -como que le impidan entrar en un país, votar en unas elecciones o emprender acciones legales- u obligaciones legales o contractuales.

Pero es que, aun cuando no se vean afectados específicamente los derechos u obligaciones legales, los interesados podrían verse afectados lo suficiente como para precisar el debido amparo que el artículo 22 proporciona.  Así, y como señala el Grupo de Trabajo, en muchos casos, la publicidad dirigida no tiene un efecto significativo en las personas, pero esta pudiera tener un efecto o impacto concreto en un individuo en particular dependiendo de sus características específicas.

 Como todos sabemos, la elaboración de perfiles y la toma de decisiones automatizadas constituye una práctica habitual en la publicidad digital, pues bien el Grupo de Trabajo –a modo ejemplificativo- ha aclarado que, cuando de la toma de decisiones automatizadas resultan unos precios diferentes, podríamos considerar que aquella tiene un efecto significativo si, por ejemplo, los precios prohibitivamente altos excluyen a las personas de ciertos bienes o servicios. Dicho de otra forma, pudiera suceder que de forma genérica un tratamiento de datos pudiera tener poco impacto, pero sí conllevar un efecto significativo en ciertos grupos sociales, o en un individuo. Pues bien, en este caso el tratamiento estará prohibido, de forma que para tratar legalmente los datos se requerirá el consentimiento expreso del interesado.

Recuérdese que el Responsable está obligado a informar sobre la existencia de decisiones automatizadas, incluída la elaboración de perfiles, y facilitar información significativa sobre la lógica aplicada, así como la importancia y consencuencias previstas de dicho tratamiento para el interesado. Esta obligación deberá cumplirse tanto si los datos se han obtenido o no del del propio interesado.


En todo caso, la prohibición de la toma de decisiones automatizada prevista en el artículo 22 del RGPD se excepciona en su apartado segundo cuando:

- la toma de decisiones automática es necesaria para celebración o la ejecución de un contrato. En relación con este supuesto, el Grupo de Trabajo ha señalado que esta “necesidad” debe ser interpretada en sentido estricto, siendo necesario que el responsable pueda demostrar que la elaboración de perfiles es necesaria y que no se pueden adoptar métodos menos intrusivos para la privacidad. En este caso el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.

- esté autorizada por el Derecho de la UE o de un Estado miembro.

- se base en el consentimiento explícito de los interesados. En este sentido debemos entender que el Reglamento se refiere a que el consentimiento se manifieste o se base en una clara acción afirmativa. En este caso tambien el responsable adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión

Dichas excepciones no se basarán en las categorías especiales de datos (que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física), salvo quese hayan tomado las medidas adecuadas para salvaguardar los derechos y libertadas legítimos del interesado y:

- el interesado haya dado su consentimiento explícito al tratamiento de dichos datos (excepto que el Derecho de la UE o de los Estados Miembros establezca lo contrario), o

- el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.

 

   Finalmente, atendiendo al Dictamen del Grupo de Trabajo del Artículo 29 y considerando la literalidad del Reglamento podemos afirmar, que el fin último de este nuevo derecho es restringir la posibilidad de que las empresas elaboren perfiles de usuarios en virtud de los datos personales recabados de forma automática con el objetivo de elaborar predicciones sobre personas.

No hay versiones para este comentario

Elaboración de perfiles
Persona física
Tratamiento automatizado de datos
Datos personales
Tratamiento de datos personales
Interés legitimo
Responsable del tratamiento
Categorías especiales de datos
Datos genéticos
Datos sobre la salud
Datos biométricos
Afiliación sindical
Pertenece al Grupo

Documentos relacionados
Ver más documentos relacionados
  • Categorías especiales de datos en el RGPD y la LOPDGDD

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Los conocidos como “datos especialmente protegidos” que ya preveía la LOPD,  encuentran su encaje en el Reglamento comunitario en lo que se  han venido a denominar  "categorías especiales de datos".Como señala el considerando 51 los datos p...

  • Glosario de definiciones del RGPD

    Orden: Administrativo Fecha última revisión: 18/01/2019

    El RGPD proporciona -en su artículo 4- la definición de los conceptos sobre los que gravita la regulación de la protección de datos de carácter personal.Así, los distintos operadores jurídicos, la ciudadanía, los poderes públicos, tienen a s...

  • Derecho de oposición en la LOPDGDD y en el RGPD

    Orden: Administrativo Fecha última revisión: 18/01/2019

    En el RGPD (así como el la LOPDGDD) se reconoce expresamente el derecho del interesado a oponerse -en cualquier momento- por motivos relacionados con su situación particular, a que los datos personales que le conciernan sean objeto de un tratamient...

  • Consentimiento explícito en materia de protección de datos

    Orden: Administrativo Fecha última revisión: 30/01/2019

    El consentimiento explícito se requiere en determinadas situaciones en las que existe un grave riesgo en relación con la protección de los datos y en las que se considera adecuado que exista un elevado nivel de control sobre los datos personales.E...

  • Tratamiento de datos con fines de videovigilancia

    Orden: Administrativo Fecha última revisión: 12/02/2019

    En el caso de la videovigilancia, la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del RGPD.El tratamiento con fines de videovigilancia se encuentra regulado en la LOPD...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados