Noticias

Jun 04, 2023

Derechos relacionados con la toma de decisiones automatizada, incluida la elaboración de perfiles

Buscar artículo

Buscar artículo

Para cumplir con el RGPD del Reino Unido...

☐ Tenemos una base legal para realizar perfiles y/o toma de decisiones automatizada y documentarlo en nuestra política de protección de datos.

☐ Enviamos a las personas un enlace a nuestra declaración de privacidad cuando hemos obtenido sus datos personales indirectamente.

☐ Explicamos cómo las personas pueden acceder a los detalles de la información que usamos para crear su perfil.

☐ Les decimos a las personas que nos proporcionan sus datos personales cómo pueden oponerse a la elaboración de perfiles, incluida la elaboración de perfiles con fines de marketing.

☐ Tenemos procedimientos para que los clientes accedan a la entrada de datos personales en los perfiles para que puedan revisar y editar cualquier problema de precisión.

☐ Disponemos de comprobaciones adicionales para nuestros sistemas de creación de perfiles/toma de decisiones automatizada para proteger a los grupos vulnerables (incluidos los niños).

☐ Solo recopilamos la cantidad mínima de datos necesarios y tenemos una política de retención clara para los perfiles que creamos.

Como modelo de buenas prácticas...

☐ Llevamos a cabo una DPIA para considerar y abordar los riesgos antes de comenzar cualquier nueva toma de decisiones o creación de perfiles automatizados.

☐ Informamos a nuestros clientes sobre la elaboración de perfiles y la toma de decisiones automatizada que realizamos, qué información utilizamos para crear los perfiles y de dónde obtenemos esta información.

☐ Utilizamos datos anonimizados en nuestras actividades de elaboración de perfiles.

Para cumplir con el RGPD del Reino Unido...

☐ Llevamos a cabo una DPIA para identificar los riesgos para las personas, mostrar cómo los vamos a tratar y qué medidas tenemos implementadas para cumplir con los requisitos del RGPD del Reino Unido.

☐ Llevamos a cabo el procesamiento según el Artículo 22(1) con fines contractuales y podemos demostrar por qué es necesario.

O

☐ Llevamos a cabo el procesamiento según el artículo 22(1) porque tenemos registrado el consentimiento explícito de la persona. Podemos mostrar cuándo y cómo obtuvimos el consentimiento. Les decimos a las personas cómo pueden retirar el consentimiento y tenemos una forma sencilla de hacerlo.

O

☐ Llevamos a cabo el procesamiento según el Artículo 22(1) porque estamos autorizados o obligados a hacerlo. Esta es la forma más adecuada para lograr nuestros objetivos.

☐ No utilizamos datos de categorías especiales en nuestros sistemas automatizados de toma de decisiones a menos que tengamos una base legal para hacerlo y podamos demostrar cuál es esa base. Eliminamos cualquier dato de categoría especial creado accidentalmente.

☐ Le explicamos que utilizamos procesos automatizados de toma de decisiones, incluida la elaboración de perfiles. Explicamos qué información usamos, por qué la usamos y cuáles pueden ser los efectos.

☐ Tenemos una forma sencilla para que las personas nos pidan que reconsideremos una decisión automatizada.

☐ Hemos identificado personal en nuestra organización que está autorizado para realizar revisiones y cambiar decisiones.

☐ Comprobamos periódicamente la precisión y el sesgo de nuestros sistemas y retroalimentamos cualquier cambio en el proceso de diseño.

Como modelo de buenas prácticas...

☐ Utilizamos imágenes para explicar qué información recopilamos/utilizamos y por qué es relevante para el proceso.

☐ Nos hemos adherido a [estándar] un conjunto de principios éticos para generar confianza con nuestros clientes. Está disponible en nuestro sitio web y en papel.

La toma de decisiones individual automatizada es una decisión tomada por medios automatizados sin ninguna participación humana.

Ejemplos de esto incluyen:

La toma de decisiones individual automatizada no tiene por qué implicar la creación de perfiles, aunque a menudo lo hará.

El RGPD del Reino Unido dice que la elaboración de perfiles es:

“Cualquier forma de tratamiento automatizado de datos personales consistente en el uso de datos personales para evaluar determinados aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relativos al rendimiento laboral, la situación económica, la salud, las preferencias personales de esa persona física, intereses, confiabilidad, comportamiento, ubicación o movimientos”.

[Artículo 4(4)]

Las organizaciones obtienen información personal sobre individuos de una variedad de fuentes diferentes. Las búsquedas en Internet, los hábitos de compra, el estilo de vida y los datos de comportamiento recopilados de teléfonos móviles, redes sociales, sistemas de videovigilancia e Internet de las cosas son ejemplos de los tipos de datos que las organizaciones pueden recopilar.

Se analiza la información para clasificar a las personas en diferentes grupos o sectores, utilizando algoritmos y aprendizaje automático. Este análisis identifica vínculos entre diferentes comportamientos y características para crear perfiles para individuos. Hay más información sobre algoritmos y aprendizaje automático en nuestro documento sobre big data, inteligencia artificial, aprendizaje automático y protección de datos.

Basándose en los rasgos de otras personas que parecen similares, las organizaciones utilizan la elaboración de perfiles para:

Esto puede ser muy útil para organizaciones e individuos en muchos sectores, incluidos el cuidado de la salud, la educación, los servicios financieros y el marketing.

La elaboración de perfiles y la toma de decisiones individuales automatizadas pueden conducir a decisiones más rápidas y consistentes. Pero si se usan de manera irresponsable, existen riesgos significativos para las personas. Las disposiciones del RGPD del Reino Unido están diseñadas para abordar estos riesgos.

El RGPD del Reino Unido le impide tomar decisiones únicamente automatizadas, incluidas aquellas basadas en la elaboración de perfiles, que tengan un efecto legal o similar en las personas.

“El interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.”

[Artículo 22(1)]

Para que algo esté únicamente automatizado, no debe haber participación humana en el proceso de toma de decisiones.

La restricción solo cubre la toma de decisiones individuales automatizadas que producen efectos legales o similares significativos. Estos tipos de efectos no están definidos en el RGPD del Reino Unido, pero la decisión debe tener un impacto grave en una persona para estar sujeta a esta disposición.

Un efecto legal es algo que afecta los derechos legales de alguien. Los efectos significativos similares son más difíciles de definir, pero incluirían, por ejemplo, el rechazo automático de una solicitud de crédito en línea y las prácticas de contratación electrónica sin intervención humana.

Se restringe la toma de decisiones individuales únicamente automatizadas -incluida la elaboración de perfiles- con efectos jurídicos o de similar trascendencia, si bien esta restricción puede levantarse en determinadas circunstancias.

Puedesolollevar a cabo únicamente la toma de decisiones automatizada con efectos legales o de similar importancia si la decisión es:

Si está utilizando datos personales de categoría especial, puedesolollevar a cabo el tratamiento descrito en el artículo 22, apartado 1, si:

Debido a que este tipo de procesamiento se considera de alto riesgo, el RGPD del Reino Unido requiere que realice una Evaluación de impacto de protección de datos (DPIA) para demostrar que ha identificado y evaluado cuáles son esos riesgos y cómo los abordará.

Además de restringir las circunstancias en las que puede llevar a cabo una toma de decisiones individual únicamente automatizada (como se describe en el artículo 22 (1)), el RGPD del Reino Unido también:

Estas disposiciones están diseñadas para aumentar la comprensión de las personas sobre cómo podría estar utilizando sus datos personales.

Usted debe:

El artículo 22 se aplica a la toma de decisiones individuales únicamente automatizadas, incluida la elaboración de perfiles, con efectos jurídicos o de importancia similar.

Si su procesamiento no coincide con esta definición, puede continuar realizando la elaboración de perfiles y la toma de decisiones automatizada.

Pero aún debe cumplir con los principios del RGPD del Reino Unido.

Debe identificar y registrar su base legal para el procesamiento.

Debe contar con procesos para que las personas puedan ejercer sus derechos.

Las personas tienen derecho a oponerse a la elaboración de perfiles en determinadas circunstancias. Debe traer los detalles de este derecho específicamente a su atención.

Enlace externo

En más detalle: orientación de ICO

Con más detalle – Consejo Europeo de Protección de Datos

El Consejo Europeo de Protección de Datos (EDPB), que ha reemplazado al Grupo de Trabajo del Artículo 29 (WP29), incluye representantes de las autoridades de protección de datos de cada estado miembro de la UE. Adopta directrices para cumplir con los requisitos de la versión UE del RGPD.

WP29 ha adoptado directrices sobre elaboración de perfiles y toma de decisiones individuales automatizadas, que han sido aprobadas por el EDPB.

Otras pautas relevantes publicadas por WP29 y respaldadas por el EDPB incluyen:

Directrices del WP29 sobre la evaluación del impacto de la protección de datos

Lectura adicional: guía de ICO

El Accountability Framework analiza las expectativas del ICO en relación con los derechos relacionados con la toma de decisiones automatizada, incluida la elaboración de perfiles.