Profiling y perfilado en el RGPD

✔ El Profiling/perfilado en el RGPD – Reglamento General de Protección de Datos – , también denominado «elaboración de perfiles» (artículo 4.4 RGPD), se define como toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física. El RGPD señala distintas obligaciones que los Responsables deben tener en cuenta al realizar este tipo de tratamiento. En el presente artículo las citaremos y analizaremos.

Derecho de información

El Profiling/perfilado en el RGPD exige que el responsable informe de este tipo de tratamiento al interesado. En los considerandos de la norma se señala que los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales. Se debe además informar al interesado de la existencia de la elaboración de perfiles y de las consecuencias de dicha elaboración. Si los datos personales se obtienen de los interesados, también se les debe informar de si están obligados a facilitarlos y de las consecuencias en caso de que no lo hicieran. Dicha obligación se encuentra en los artículos 13.1.f y 14.2.g del RGPD.

Derechos de los interesados

El Profiling/perfilado en el RGPD exige al responsable ciertas especificaciones relatabas a los derechos de los interesados. Respecto al Derecho de acceso, los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. Ello incluye el derecho de los interesados a conocer la lógica implícita en todo tratamiento automático de datos personales y, por lo menos cuando se base en la elaboración de perfiles, las consecuencias de dicho tratamiento (15.1.h RGPD).

Por lo que respecta al Derecho de oposición (artículo 21 RGPD), si los datos personales son tratados con fines de mercadotecnia directa, el interesado debe tener derecho a oponerse a dicho tratamiento, inclusive a la elaboración de perfiles en la medida en que esté relacionada con dicha mercadotecnia directa, ya sea con respecto a un tratamiento inicial o ulterior, y ello en cualquier momento y sin coste alguno.

Finalmente, existe un Derecho especifico referido al Profiling/perfilado en el RGPD: El derecho a no ser objeto de decisiones automatizadas, incluida la elaboración de perfiles (artículo 22 RGPD).  El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar, como la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna. Este tipo de tratamiento incluye la elaboración de perfiles consistente en cualquier forma de tratamiento de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar. Sin embargo, se deben permitir las decisiones basadas en tal tratamiento, incluida la elaboración de perfiles, si lo autoriza expresamente la Ley. En cualquier caso, dicho tratamiento debe estar sujeto a las garantías apropiadas, entre las que se deben incluir la información específica al interesado y el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión tomada después de tal evaluación y a impugnar la decisión. Tal medida no debe afectar a un menor.

Evaluación de impacto

El Profiling/perfilado en el RGPD debe tenerse en cuenta al realizar una Evaluación de impacto. La evaluación de impacto relativa a la protección de los datos a que se refiere el artículo 35 RGPD se requerirá en particular, entre otros supuestos, cuando se realice una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar. Así las cosas, el Responsable del tratamiento deberá llevar a cabo, obligatoriamente, una evaluación de datos cuando realice un tratamiento considerado perfilado o profiling.

Conclusiones

Cuando el responsable del tratamiento realice un tratamiento considerado elaboración de perfiles deberá tener en cuenta las obligaciones que expresamente le señala la normativa relativa a la protección de datos. A mayor abundamiento, el Responsable, había cuenta de la gran cantidad de información, incluida información sensible, que puede llegar a tratar de un mismo interesado realizando el profiling, deberá implementar las medidas técnicas y organizativas y medidas de protección de datos desde el diseño y por defecto para protegerla.

▸Estimado lector, ¡¡gracias por su tiempo!!