El perfil se realiza cuando se evalúan sus aspectos personales para hacer predicciones sobre usted, incluso si no se toma una decisión. Por ejemplo, si una empresa u organización evalúa sus características (como su edad, sexo, altura) o lo clasifica en una categoría, esto significa que está siendo perfilado.
La toma de decisiones basada exclusivamente en medios automatizados ocurre cuando se toman decisiones sobre usted por medios tecnológicos y sin ninguna participación humana. Se pueden tomar incluso sin perfilar.
La ley de protección de datos establece que usted tiene el derecho de no estar sujeto a una decisión basada únicamente en medios automatizados, si la decisión produce efectos legales sobre usted o le afecta significativamente de una manera similar. Una decisión produce efectos legales cuando se ven afectados sus derechos legales (como su derecho de voto). Además, el procesamiento puede afectarlo significativamente si influye en sus circunstancias, comportamiento o elecciones. Por ejemplo, el procesamiento automático puede provocar la denegación de su solicitud de crédito en línea.
La elaboración de perfiles y la toma de decisiones automatizada son una práctica común en una serie de sectores, como la banca y las finanzas, los impuestos y la asistencia sanitaria. Puede ser más eficiente, pero puede ser menos transparente y puede restringir su elección.
Aunque, como regla general, no puede ser sujeto de una decisión basada únicamente en el procesamiento automatizado, este tipo de toma de decisiones puede ser excepcionalmente permitido si el uso de algoritmos está permitido por la ley y se proporcionan las garantías adecuadas.
Las decisiones basadas únicamente en medios automáticos también están permitidas cuando:
- la decisión es necesaria, es decir, no debe haber otra forma de lograr el mismo objetivo para ingresar o realizar un contrato con usted;
- usted ha dado su consentimiento explícito.
En ambos casos, la decisión tomada necesita proteger sus derechos y libertades, implementando salvaguardas adecuadas. La compañía u organización debe, al menos, informarle sobre su derecho a la intervención humana y realizar los trámites procesales necesarios. Además, la empresa u organización debe permitirle expresar su punto de vista y le informa que puede impugnar la decisión.
Las decisiones basadas en algoritmos no pueden hacer uso de categorías especiales de datos, a menos que haya otorgado su consentimiento o el tratamiento esté permitido por la legislación nacional o de la UE (véase más arriba).
Ejemplo
Utiliza un banco en línea para un préstamo. Se le solicita que inserte sus datos y el algoritmo del banco le indica si el banco le otorgará el préstamo o no y le da la tasa de interés sugerida. Debe estar informado de que puede expresar su opinión, impugnar la decisión y exigir que la decisión tomada a través del algoritmo sea revisada por una persona.
Referencias
- Artículos 21 y 22 y considerandos (71) y (72) del RGPD.
- Directrices del Grupo de trabajo del artículo 29 sobre adopción de decisiones individuales automatizadas y elaboración de perfiles a efectos del Reglamento (UE) 2016/679 (WP 251)
