🎙⏯ RGPD, IA y ciberseguridad: próximos seminarios web y repeticiones 🎙⏯ RGPD, IA y ciberseguridad: próximos seminarios web y repeticiones 🎙⏯ RGPD, IA y ciberseguridad: próximos seminarios web y repeticiones 🎙⏯ RGPD, IA y ciberseguridad: próximos seminarios web y repeticiones
Llámanos al +(33)4 28 70 91 81
Acceso

Comprenda todo sobre la elaboración de perfiles

Bienvenida Seminario web Comprenda todo sobre la elaboración de perfiles

Nuestros artículos siguen nuestros episodios d’1 minuto para entenderlo todo. Se trata de vídeos cortos durante los cuales nuestros abogados expertos en protección de datos personales le ofrecen definiciones sencillas de conceptos clave del Reglamento General de Protección de Datos de Carácter Personal (RGPD) y le dan ejemplos concretos. Síguenos en LinkedIn ¡para que no te pierdas ninguna noticia!  

Hoy abordamos el concepto de elaboración de perfiles. Ponte cómodo, ¡te lo explicaremos todo en 5 minutos!  

 ¿Qué es la elaboración de perfiles?  

Artículo 4 apartado 4 del RGPD da la siguiente definición de elaboración de perfiles:  

 Cualquier forma de tratamiento automatizado de datos personales consistente en utilizar dichos datos personales para evaluar determinados aspectos personales relacionados con una persona física, en particular para analizar o predecir elementos relativos al rendimiento laboral, la situación económica, la salud, las preferencias personales, los intereses, la fiabilidad, el comportamiento, la ubicación o los movimientos de esta persona física. "  

En otras palabras, la elaboración de perfiles es un tratamiento que consiste en utilizar datos para evaluar determinados aspectos personales relacionados con una persona física. El propósito de este procesamiento es analizar o predecir comportamientos o hábitos como las preferencias de una persona. La elaboración de perfiles se utiliza en muchos sectores, como el marketing y la comunicación, pero también en la medicina, la educación, la banca, etc Las directrices del G29 (2018) En relación con la toma de decisiones automatizada y la elaboración de perfiles, tres criterios permiten determinar si el tratamiento está comprendido en la elaboración de perfiles:  

  • El procesamiento está automatizado  
  • Se trata de datos personales,  
  • Su objetivo es evaluar los aspectos personales de una persona física.  

Este procesamiento puede representar una ventaja real para el responsable del tratamiento, ya que puede hacer predicciones, clasificar a las personas en grupos o categorías y deducir cierta información sobre ellas. Sin embargo, puede crear riesgos importantes para los derechos y libertades de las personas afectadas. Si los datos en los que se basa la elaboración del perfil son erróneos, por ejemplo, este tratamiento puede dar lugar a una predicción inexacta y dar lugar potencialmente a una negativa a facilitar el acceso a un servicio, a una discriminación buena o injustificada.  

 ¿Qué derechos tienen las personas afectadas por la elaboración de perfiles?  

Derecho a ser informado  

Según El principio de legalidad, lealtad y transparencia establecido por el RGPD, la persona deberá ser informada por el responsable del tratamiento de la existencia y funcionamiento del perfil implementado. Esta información debe entregarse de manera concisa, transparente, comprensible y de fácil acceso. En el caso de que los datos se hayan obtenido directamente del individuo, la información deberá ser comunicada en el momento de la recogida de los datos personales. Si los datos se obtuvieron de forma indirecta, el responsable del tratamiento dispone de un plazo razonable no superior a un mes para informar a la persona; este plazo está previsto artículo 14 párrafo 3.  

Derecho de acceso  

La persona puede hacer ejercicio su derecho de acceso a los datos utilizados para la elaboración de perfiles. El ejercicio de este derecho permite, por una parte, obtener los datos utilizados por el responsable del tratamiento para realizar la elaboración de perfiles; y por otra parte acceder a información sobre el perfil creado y las categorías en las que ha sido clasificada la persona.  

Por otra parte, el ejercicio del derecho de acceso no debe vulnerar los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual. Es decir, el ejercicio del derecho de acceso no justifica un obstáculo a los derechos de autor que proteja el software permitiendo la elaboración de perfiles.  

Derecho de rectificación, supresión y restricción del tratamiento  

Como se explicó anteriormente, la elaboración de perfiles basados en datos incorrectos puede representar un alto riesgo para los derechos y libertades de los interesados. Para limitar este riesgo, es esencial permitir a los interesados corregir, completar o eliminar los datos personales utilizados para la elaboración de perfiles. Por tanto, la persona puede ejercer su derecho de rectificación y el suyo derecho de supresión datos que le preocupan. Las personas pueden cuestionar tanto la exactitud de los datos que han proporcionado como la de los datos obtenidos mediante la elaboración de perfiles (por ejemplo, la calificación final de la persona o el perfil inferido).  

Finalmente, las personas pueden solicitar la restricción del procesamiento, en cualquier etapa del proceso de elaboración de perfiles.  

Derecho a objetar  

Según Artículo 21, apartado 1, del RGPD, el interesado puede hacer ejercicio su derecho a objetar tratamiento, incluido el tratamiento de elaboración de perfiles, por motivos relacionados con su situación particular.  

Artículo 21, apartado 2, del RGPD plantea un derecho absoluto de oposición siempre que el tratamiento de que se trate tenga por objeto la prospección comercial, incluida la elaboración de perfiles. Aparte de esta excepción, el derecho de oposición podrá limitarse siempre que el responsable del tratamiento demuestre razones legítimas imperiosas que prevalezcan sobre los derechos y libertades de los interesados. Según Las directrices del G29, este puede ser el caso si se realiza la elaboración de perfiles "beneficioso para la sociedad en su conjunto, no sólo para los intereses comerciales del controlador, como la elaboración de perfiles para predecir la propagación de enfermedades contagiosas" (Directrices para la toma de decisiones automatizada y la elaboración de perfiles, página 20).  

 ¿Qué es la toma de decisiones totalmente automatizada?  

La toma de decisiones totalmente automatizada se realiza sin intervención humana. En este caso, la toma de decisiones se basa únicamente en medios tecnológicos. Este es el caso, por ejemplo, cuando se impone una multa al conductor de un automóvil en caso de que una cámara de velocidad fija haya detectado exceso de velocidad. Este proceso está totalmente automatizado: el radar detecta la infracción y la multa se envía automáticamente al conductor sin que intervenga ningún agente.  

Las disposiciones de Artículo 22 del RGPD supervisar la toma de decisiones individuales automatizada. En principio, está prohibida la toma de decisiones totalmente automatizada si tiene un efecto jurídico o afecta significativamente de manera similar (artículo 22, apartado 1). Una decisión que tenga efectos jurídicos o similares puede dar lugar, por ejemplo, a la rescisión de un contrato o a la denegación de una prestación social.  

Pero este principio contiene excepciones (artículo 22, párrafo 2), ya que la decisión es:  

  •  "Necesidad para la celebración o ejecución de un contrato;  
  •  Autorizado por el Derecho de la Unión Europea o el Derecho del Estado miembro al que está sujeto el responsable del tratamiento y que también prevé medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado; O  
  •   Basado en consentimiento explícito del interesado. "    

Por último, el artículo 22, apartado 3, del RGPD establece que, cuando se apliquen estas excepciones, el responsable del tratamiento de datos deberá aplicar garantías adecuadas. Estas medidas tienen como objetivo proteger los derechos y libertades de los interesados a pesar de una toma de decisiones totalmente automatizada. Esta disposición establece que el responsable del tratamiento de datos deberá permitir al menos a la persona obtener intervención humana, expresar su punto de vista e impugnar la decisión en cuestión.  

 ¿Qué derechos tiene el interesado en una toma de decisiones totalmente automatizada?  

Como se explicó anteriormente, la persona tiene derecho a solicitar intervención humana en la toma de decisiones automatizada. Por otra parte, la persona tiene derecho a ser informada y a acceder a los datos que le conciernen. El responsable del tratamiento de datos deberá:  

  • Informar a la persona de la existencia de una toma de decisiones totalmente automatizada,  
  • Explicar de forma sencilla y comprensible cómo funciona el proceso (su razón de existencia y los criterios en los que se basa),  
  • Informar a la persona sobre la importancia y las consecuencias del tratamiento, en particular cómo la toma de decisiones automatizada podría afectar al interesado.  

 ¿Cuáles son los puntos en común/diferencias entre “elaboración de perfiles” y “toma de decisiones totalmente automatizada”?  

Se trata de dos nociones relacionadas pero muy distintas. Una decisión totalmente automatizada se toma mediante un algoritmo, sin intervención humana. Puede tomarse sobre la base de perfiles o no. En el ejemplo citado anteriormente de radares fijos, se trata de una toma de decisiones automatizada que carece de fundamento y no resulta del procesamiento de perfiles.  

Sin embargo, a menudo se toman decisiones totalmente automatizadas basadas en la elaboración de perfiles; y la elaboración de perfiles con frecuencia conduce a tomar una decisión sobre la persona.    

 ¿Es necesario un análisis de impacto para el procesamiento de perfiles y la toma de decisiones automatizada?  

Artículo 35, apartado 3, del RGPD establece específicamente que uno análisis de impacto es necesario cuando el tratamiento se refiere la evaluación sistemática y profunda de los aspectos personales relativos a las personas físicas, que se basa en un tratamiento automatizado, incluida la elaboración de perfiles, y sobre cuya base se adoptan decisiones que producen efectos jurídicos respecto de una persona física o que la afectan de manera significativa de manera similar.  

 ¿Cómo realizar un análisis de impacto con Data Comply One (anteriormente Mission RGPD)?  

La plataforma Data Comply One (anteriormente Mission RGPD) tiene desde un módulo PIA (Evaluación de impacto sobre la privacidad o análisis de impacto en francés). Se le guía para realizar cada paso de su análisis de impacto de forma automatizada. Data Comply One (anteriormente Mission RGPD) sugiere un análisis del riesgo que representa el procesamiento de datos. A continuación, establezca su plan de acción para mejorar sus procesos, asigne acciones al personal operativo interesado y supervise el progreso de las acciones.  

¡Con Data Comply One (anteriormente Mission RGPD), realizar un análisis de impacto y cumplir con el RGPD es más sencillo!  

Solicita una demo

 

Otros artículos
sobre el mismo tema