ARTÍCULO 22 DEL RGPD
Decisiones automatizadas con o sin elaboración de perfiles
Las decisiones automatizadas con o sin elaboración de perfiles son decisiones basadas únicamente en alguna forma de toma de decisiones automatizada. Por ejemplo, a través de algoritmos, sin la participación del juicio de una persona física.
Derechos relacionados con decisiones automatizadas con o sin elaboración de perfiles
Las decisiones automatizadas pueden afectar significativamente a los interesados o tener consecuencias jurídicas para ellos. Por lo tanto, los interesados tienen derecho a no ser objeto de decisiones automatizadas en virtud del RGPD.
El artículo 22 del RGPD regula los derechos del interesado en relación con las decisiones automatizadas y la elaboración de perfiles. Este es uno de los ocho derechos fundamentales que los interesados tienen en virtud del RGPD. En este artículo, explicamos el significado de «decisión automatizada» y «elaboración de perfiles» con arreglo al RGPD.
El significado de las decisiones automatizadas con o sin elaboración de perfiles
Una decisión automatizada es cuando una empresa toma una decisión sobre algo, por ejemplo, mediante un algoritmo, sin contacto personal.
Ejemplos de decisiones automatizadas con o sin elaboración de perfiles
Rechazo de una solicitud de préstamo de crédito
Un particular solicita un préstamo de crédito de un banco en Internet y recibe un rechazo de la solicitud. Por lo tanto, el Banco ha decidido rechazar la solicitud de préstamo automáticamente, a través de sus algoritmos. Esto significa que ha habido un análisis automático de la información proporcionada por la persona en su solicitud. El Banco realizó el análisis a través de un algoritmo, sin la participación de un empleado físico del banco.
Rechazo de una solicitud de empleo
Un interesado solicita un trabajo en línea a través de una herramienta de contratación electrónica y recibe una decisión negativa automática. La empresa de reclutamiento realizó la evaluación del CV presentado del candidato a través de un algoritmo, sin la participación de un reclutador físico.
Actores que frecuentemente hacen uso de decisiones automatizadas
Algunos actores privados y públicos pueden tomar decisiones utilizando algoritmos en relación con el tratamiento de datos personales. Esto es común, por ejemplo, en hospitales, marketing, bancos y oficinas de impuestos. Es una forma efectiva para que estos actores tomen decisiones, pero tales decisiones pueden afectar al interesado legalmente o de otra manera.
Por lo tanto, es importante que las empresas que toman decisiones automatizadas, con o sin elaboración de perfiles, sean transparentes al respecto. El interesado tiene derecho a recibir información sobre decisiones automatizadas, ya sea que incluyan o no la elaboración de perfiles.
Una empresa no basa necesariamente su toma de decisiones automatizada únicamente en la información proporcionada por el interesado. También es posible hacerlo a través de la información obtenida por las propias observaciones de la empresa. Por ejemplo, si una empresa que opera una aplicación móvil recopila y toma decisiones basadas en los datos de ubicación de los usuarios.
Los interesados pueden exigir que no se les someta a una toma de decisiones puramente automática. Sin embargo, esto no siempre significa que el interesado tenga este derecho.
Ejemplos de cuándo pueden permitirse decisiones automatizadas
Una empresa puede tomar decisiones automatizadas en los siguientes casos:
Contrato
Si es necesario llevar a cabo la decisión automatizada para la celebración o ejecución de un contrato en el que el interesado sea parte.
Consentimiento
Cuando el responsable del tratamiento haya obtenido del interesado el consentimiento explícito, voluntario y activo para la toma de decisiones automatizada.
Legalmente permitido
Si la legislación específica permite expresamente decisiones automatizadas. Puede ser una ley nacional o de conformidad con el Derecho de la Unión Europea.
Acciones tras la adopción de una decisión automatizada
Cuando una empresa toma una decisión por medios automatizados, como mediante el uso de algoritmos, la empresa debe informar que la decisión automatizada.
Además, el interesado tiene derecho a:
Hacer que la decisión automatizada sea revisada por un ser humano; y
Impugnar la decisión automatizada.
El significado de la elaboración de perfiles en virtud del RGPD
En algunos casos, una empresa puede tomar una decisión por medios automatizados utilizando la elaboración de perfiles. La elaboración de perfiles es el tratamiento automático de datos personales con el fin de evaluar las características personales del interesado.
El artículo 4, apartado 4, del RGPD regula la definición de la elaboración de perfiles. En resumen, esto significa que el responsable del tratamiento utilizará los datos personales para evaluar determinadas características personales del interesado. Por ejemplo, una empresa puede utilizar la elaboración de perfiles en relación con decisiones automatizadas para analizar o predecir el rendimiento laboral. O para analizar o predecir otros parámetros. Tales como, intereses, salud, preferencias personales, comportamiento o confiabilidad.
Cuando una empresa realiza la elaboración de perfiles, se están tratando los datos personales del interesado. Por lo tanto, el interesado tiene derecho a recibir información sobre el procesamiento.
Si una empresa toma una decisión automatizada utilizando la elaboración de perfiles, se aplican los mismos derechos que para las decisiones automatizadas tomadas sin elaboración de perfiles.
Directrices sobre la toma de decisiones y la elaboración de perfiles individuales automatizados
Si desea profundizar en las normas para la toma de decisiones automatizada y la elaboración de perfiles con arreglo al RGPD, puede visitar el sitio web de la Comisión Europea. A partir de ahí, puede descargar su documento con directrices sobre la toma de decisiones y la elaboración de perfiles individuales automatizados.
DERECHOS DE OTROS SUJETOS DE DATOS CON ARREGLO AL RGPD
Derecho a ser informado
El derecho a la información significa que la empresa informará a los interesados sobre el tratamiento de sus datos personales. Por ejemplo, el propósito del procesamiento y la base legal en la que se basa el procesamiento. Además, información sobre cuánto tiempo se procesarán los datos personales y sus otros derechos en virtud del GDPR. Además, en algunos casos, los interesados deben ser informados en caso de violación de datos personales. También tienen derecho a saber qué datos personales procesa la empresa durante el procesamiento.