El Grupo de Trabajo del Artículo 29, que reúne a las autoridades de protección de datos de todos los Estados miembros, ha aprobado un Dictamen en el que analiza los aspectos a tener en cuenta en la elaboración de perfiles, a la luz del Reglamento General de Protección de Datos. Se pueden enviar comentarios al texto hasta el 28 de noviembre.

El RGPD introduce, en su artículo 22 nuevas obligaciones respecto a la elaboración de perfiles y la toma de decisiones automatizadas, una práctica que se lleva a cabo en la publicidad digital. Si bien el GT29 reconoce los beneficios que aportan estas actividades, también señala que pueden surgir riesgos significativos para los derechos y libertades de las personas. El Dictamen aporta una serie de aclaraciones sobre algunos asuntos:

Tipos de elaboración de perfiles y tratamiento automatizado. El GT29 indica que hay tres formas en que los perfiles se pueden utilizar en la práctica:
elaboración de perfiles en general (definido en el Artículo 4.4 del RGPD;
toma de decisiones basadas en la elaboración de perfiles; y
toma de decisiones automatizada, incluida la elaboración de perfiles de acuerdo con el Artículo 22 RGDP. Las decisiones automatizadas se pueden tomar con o sin la elaboración de un perfil. Solo cuando la elaboración de perfiles se basa únicamente en el tratamiento automatizado se aplica el artículo 22 RGPD, y en todos los demás casos de elaboración de perfiles se aplicarán las normas generales del RGPD.

Prohibición de tratamientos y decisiones automáticas que impacten al individuo de manera suficientemente significativa. El GT29 interpreta el artículo 22 de la RGPD como una prohibición de la toma de decisiones individualizadas totalmente automáticas, incluida la elaboración de perfiles que tenga efectos jurídicos en el interesado o le afecte significativamente de modo similar. Es decir, una decisión que se basa únicamente en el tratamiento automatizado sin participación humana en el proceso de decisión.

Sin embargo, los elementos clave son las nociones de “efectos jurídicos” o “similarmente significativos“, que el RGPD no define. El GT29 establece que “un efecto jurídico sugiere una actividad de tratamiento que tiene un impacto en los derechos, como la libertad de asociarse con otros, votar en una elección o emprender acciones legales”. Un efecto jurídico también puede ser algo que afecte a sus derechos en un contrato. Y aun cuando no se vean afectados específicamente los derechos u obligaciones legales (legales o contractuales), los interesados aún podrían verse afectados lo suficiente como para requerir la protección bajo esta disposición. Según el GT29, en muchos casos, la publicidad dirigida no tiene un efecto significativo en las personas. Pero el GT29 considera que es esta pueda tener un efecto significativo en un individuo dependiendo de sus características específicas, y teniendo en cuenta los siguientes elementos:
– la intrusión del proceso de elaboración de perfiles;
– las expectativas de las personas involucradas;
– la forma en que se entrega el anuncio; o
– las vulnerabilidades específicas de los interesados.
En la práctica, esto puede interpretarse de manera que si el tratamiento de datos relacionado con las actividades de publicidad online tiene un efecto significativo en un individuo, este tratamiento estará prohibido y, para tratar legalmente los datos, se requierá el consentimiento expreso del interesado. El tratamiento que podría tener poco impacto en los individuos en general puede, de hecho, tener un efecto significativo en ciertos grupos de la sociedad, como grupos minoritarios o vulnerables. Además, el GT29 aclara que la toma de decisiones automatizada que resulte en precios diferentes también podría tener un efecto significativo si, por ejemplo, los precios prohibitivamente altos excluyen a las personas de ciertos bienes o servicios.

Excepciones a la prohibición. Para la toma de decisiones automatizada del artículo 22 del RGPD, se aplican tres excepciones: (i) cuando la toma de decisiones automática es necesaria para celebrar o ejecutar un contrato; (ii) cuando los interesados han dado su consentimiento expreso; y (iii) cuando la legislación de la Unión o del Estado miembro proporciona una base legal.

Aquí, el GT29 reitera su opinión, ya publicada en su Dictamen sobre interés legítimo (WP217), de que la “necesidad” debe interpretarse en sentido estricto. Según el GT29, el responsable debe ser capaz de demostrar que la elaboración de perfiles es necesaria y que no se pueden adoptar métodos menos intrusivos para la privacidad. Este requisito de necesidad aparentemente constituye un gran obstáculo para el responsable.

Derechos. El GT29 establece que los responsables deben ser especialmente conscientes de sus obligaciones de transparencia ya que el proceso de elaboración de perfiles es a menudo invisible para los interesados.
Disposiciones generales sobre elaboración de perfiles y toma de decisiones automática. El GT29 proporciona una visión general de las disposiciones aplicadas tanto a la elaboración de perfiles como a la toma automatizada de decisiones. Para ayudar al cumplimiento, el GT29 establece que los responsables deben considerar las siguientes áreas clave:
– Transparencia del proceso de elaboración de perfiles. El proceso de elaboración de perfiles implica la creación de “nuevos” datos personales derivados o deducidos sobre los sujetos de datos, que ellos mismos no han proporcionado directamente.
-Compatibilidad del tratamiento adicional con el la finalidad original para el que se recopilaron los datos.
– Minimización de datos y capacidad de explicar y justificar la necesidad de recopilar y mantener los datos personales. Los responsables deben considerar exactitud en todas las etapas de la elaboración de perfiles, específicamente cuando recojan y analicen datos, creen un perfil para un individuo o apliquen un perfil para tomar decisiones que le afectan.
– Limitación de almacenamiento, porque el almacenamiento de información a largo plazo puede entrar en conflicto con la proporcionalidad.
El Dictamen contiene una serie de anexos con recomendaciones sobre buenas prácticas y puede ser comentado hasta el 28 de noviembre.

Dictamen sobre la toma de decisiones individuales automatizadas y la elaboración de perfiles (WP 251) del GT 29

Caso de Éxito de Seedtag con addconversion en Google DV360

Desafíos de la nueva era de datos, privacidad y entorno cookieless: la perspectiva del publisher.

Jornada de Sostenibilidad 2024