Última revisión
datos
400 - ¿En qué consiste y cuál es la finalidad de la elaboración de perfiles como forma de tratamiento automatizado de datos personales?
Relacionados:
Vademecum: datos
Fecha última revisión: 25/09/2024
El Reglamento General de Protección de Datos establece que la elaboración de perfiles es toda forma de tratamiento automatizado de datos personales para evaluar determinados aspectos personales de una persona y, que el interesado tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluso en la elaboración de perfiles, que generen consecuencias jurídicas en él o le influyan significativamente.
Existen excepciones a esta regla cuando el tratamiento automatizado es necesario para la celebración o ejecución de un contrato, etc.
Según el apartado cuarto del artículo 4 del RGPD, la elaboración de perfiles es «toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física».
También se regulan en el artículo 22 del mismo texto legal las decisiones individuales automatizadas, incluida la referida elaboración de perfiles, de manera que:
«1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
2. El apartado 1 no se aplicará si la decisión:
a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
c) se basa en el consentimiento explícito del interesado.
3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado».
En base a lo anterior, todo interesado tendrá derecho a no ser objeto de una decisión basada solamente en el tratamiento automatizado, incluso la elaboración de perfiles, que generen consecuencias jurídicas en él o le influyan de igual forma.
El referido derecho es objeto de análisis por el Grupo de Trabajo sobre protección de datos del artículo 29 en las Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679, de fecha 3 de octubre de 2017, exponiendo que:
«Las decisiones automatizadas tienen un ámbito de aplicación distinto y pueden solaparse parcialmente con la elaboración de perfiles o derivarse de esta. Las decisiones basadas únicamente en el tratamiento automatizado representan la capacidad de tomar decisiones por medios tecnológicos sin la participación del ser humano. Las decisiones automatizadas pueden basarse en cualquier tipo de datos, por ejemplo:
• datos ofrecidos directamente por las personas afectadas (como las respuestas a un cuestionario);
• datos observados acerca de las personas (como los datos sobre la ubicación recogidos a través de una aplicación);
• datos derivados o inferidos como, por ejemplo, un perfil ya existente de la persona (por ejemplo, una calificación crediticia).
Las decisiones automatizadas pueden llevarse a cabo con o sin elaboración de perfiles; la elaboración de perfiles puede darse sin realizar decisiones automatizadas. No obstante, ambas no son necesariamente actividades independientes. Algo que empieza como un simple proceso de decisiones automatizadas puede convertirse en un proceso basado en la elaboración de perfiles, dependiendo del uso que se dé a los datos. (...)
Las decisiones que no están basadas únicamente en el tratamiento automatizado pueden incluir también la elaboración de perfiles. Por ejemplo, antes de conceder una hipoteca, un banco puede tener en cuenta la calificación crediticia del prestatario, y pueden producirse otras intervenciones humanas significativas adicionales antes de que se tome ninguna decisión sobre la persona».
Sin embargo, el apartado segundo del artículo 22 del RGPD establece excepciones a lo dispuesto en el apartado primero del mismo, cuando:
a) El tratamiento automatizado es necesario para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento.
b) El tratamiento automatizado está autorizado por el derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
c) El tratamiento automatizado se basa en el consentimiento explícito del interesado.
A TENER EN CUENTA. Las decisiones referidas en el apartado segundo del artículo 22 del RGPD no se basarán en las categorías especiales de datos personales contempladas en el apartado primero del artículo 9 del RGPD (datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física), salvo que se aplique el artículo 9, apartado 2, letra a) o g), del mismo texto legal, y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado. Estos son:
a) El interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 del artículo 9 del RGPD no puede ser levantada por el interesado.
g) El tratamiento es necesario por razones de un interés público esencial, sobre la base del derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
CUESTIONES
1. ¿Qué dispone la LOPDGDD con respecto a la elaboración de perfiles?
En virtud de lo estipulado por el artículo 18 del LOPDGDD, el derecho de oposición, así como los derechos relacionados con las decisiones individuales automatizadas, incluida la realización de perfiles, se ejercerán de acuerdo con lo establecido, respectivamente, en los artículos 21 y 22 del RGPD.
2. ¿Contemplan los deberes de información de los artículos 13, 14 y 15 del RGPD las decisiones automatizadas?
Los deberes de información contemplan las decisiones automatizadas de la siguiente manera:
- Se facilitará al interesado, en el momento en que se obtenga los datos personales, la información sobre «la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado» [artículo 13.2.f) del RGPD].
-Se facilitará al interesado la información sobre «la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado» [artículo 14.2. g) del RGPD].
- El interesado tendrá derecho a obtener información sobre «la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado» [artículo 15.1. h) del RGPD].