guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Derechos sobre decisiones individuale...

Derechos sobre decisiones individuales automatizadas

El derecho del interesado sobre decisiones individuales automatizadas, incluida la elaboración de perfiles, tiene por objeto evitar que el mismo sea objeto de este tipo de decisiones cuando las mismas tienen efectos jurídicos o le afecten significativamente de manera similar. No obstante, se trata de un derecho sujeto a excepciones y limitaciones a las que hay que atender caso por caso.

Protección de datos

¿Qué es el derecho sobre decisiones individuales automatizadas, incluida la elaboración de perfiles?

Este derecho, según lo previsto en el apartado 1 del artículo 22 del Reglamento (UE) 2016/679, de 27 de abril de 2016 (en adelante, RGPD) implica que la persona física cuyos datos personales son objeto de tratamiento, es decir, el interesado, puede requerir al responsable del tratamiento no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre él o le afecte significativamente de modo similar. No se trata de un nuevo derecho, ya que, en el ámbito europeo, se encontraba en el artículo 15 de la Directiva 95/46/CE y, en el ámbito nacional, en el artículo 13 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, bajo el título de impugnación de valoraciones.

Se trata de una prohibición prevista en el RGPD relativa a que el responsable del tratamiento no pueda adoptar una decisión basada únicamente en el tratamiento automatizado. Es decir, se aplicaría incluso cuando el interesado no ejerce su derecho. No obstante, tanto la prohibición como el derecho del interesado tienen excepciones, previstas en el RGPD, que requieren de determinadas garantías. Se trata, por tanto, de dar un mayor control al interesado sobre el tratamiento de sus datos personales.

El Considerando 71 del RGPD explica que El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar y, como ejemplo, apunta la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna.

Y el citado Considerando hace también referencia a que este tipo de tratamiento incluye la elaboración de perfiles consistente en cualquier forma de tratamiento de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

El hecho de que haya un tratamiento de datos de personales que implique elaborar un perfil implica que tenga que prestarse atención al concepto de elaboración de perfiles que, conforme al artículo 4.4) del RGPD, se entiende toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.

¿Qué se entiende por "basadas únicamente en el tratamiento automatizado" y por efectos jurídicos o que le afecte significativamente de modo similar?

En relación con que las decisiones individuales estén basadas únicamente en el tratamiento automatizado de datos personales, incluida la elaboración de perfiles, debe entenderse que son tratamientos de datos sin intervención humana en el proceso de toma de decisiones. Y, por intervención humana, se entiende una participación relevante, es decir, que tenga una influencia real en la decisión que se toma. Al respecto, el GT29 indicó que la intervención humana significa que la persona que intervenga deba tener la autoridad y capacidad para poder cambiar o modificar una decisión.

Y en cuanto a que tenga efectos jurídicos para el interesado o le afecte significativamente de modo similar, el GT29 indicó al respecto que, si bien son conceptos que no están definidos en el RGPD, está claro que se trata de que el tratamiento de los datos personales, en los términos previstos en el artículo 22 del RGPD, puedan tener serias consecuencias para el interesado. A modo de ejemplo, el GT29 indicó que puede tratarse de casos que afecten a los derechos de las personas, ya sea a la libertad de asociación con otros, votar en unas elecciones, así como, en su caso, la cancelación de un contrato o la denegación de una solicitud de ciudadanía.

Por último, que la decisión individual basada únicamente en un tratamiento automatizado afecte al interesado significativamente de modo similar a tener efectos jurídicos, significa, según explicó el GT29, que, aunque no tenga estos efectos tenga consecuencias relevantes para el interesado. Al respecto, el Considerando 71 del RGPD cita los ejemplos relativos a la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna.

¿En qué casos no aplicaría el derecho sobre decisiones individuales automatizadas?

Tanto la norma general de prohibición como el derecho del interesado sobre decisiones individuales basadas únicamente en un tratamiento automatizado, como indica el apartado 2 del artículo 22 del RGPD, no son aplicables cuando la decisión:

• Es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento

• Está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o

• Se basa en el consentimiento explícito del interesado.

Tanto en el primer como en el último caso, es decir, la decisión es necesaria para celebrar o cumplir un contrato entre el interesado y el responsable del tratamiento como cuando se basa en el consentimiento explícito del interesado, el RGPD prevé que el responsable del tratamiento tendrá que adoptar las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión. Es decir, se requieren garantías adicionales para que, en estos dos casos, pueda llevarse a cabo una decisión individual basada únicamente en un tratamiento automatizado.

Además, el apartado 4 del artículo 22 del RGPD impone una importante restricción a la excepción relativa a los casos en los que el responsable del tratamiento sí podrá llevar a cabo una decisión basada únicamente en un tratamiento automatizado. En virtud de esta excepción, las decisiones individuales basadas únicamente en un tratamiento automatizado no se basarán en las categorías especiales de datos del apartado 1 del artículo 9 del RGPD, es decir, los datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

No obstante, esta prohibición cuenta, a su vez, con una excepción que requiere que se cumplan los dos requisitos relativos a que:

  • 1. Sea aplicable alguna de estas dos circunstancias:
    • a. El interesado ha dado su consentimiento explícito, salvo que el Derecho, europeo o nacional, indique esto no es posible para el tratamiento de las categorías especiales de datos mencionadas (artículo 9 RGPD, apartado 1, letra a), o
    • b. El tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado (artículo 9 RGPD, apartado 2, letra g).
  • 2. El responsable del tratamiento haya tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

Por medidas adecuadas para salvaguardar los derechos y libertades e intereses legítimos del interesado se entiende, según explica el Considerando 71 del RGPD, las relativas, al menos, a la información específica al interesado y el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión tomada después de tal evaluación y a impugnar la decisión.

¿Cuáles son los requisitos generales del procedimiento a aplicar?

La gestión de las solicitudes de ejercicio de derecho sobre decisiones individuales automatizadas, incluida la elaboración de perfiles, implica que el responsable del tratamiento tenga que considerar las cuestiones que se indican a continuación.

La solicitud de oposición podrá presentarse por el propio interesado o a través de un representante legal o voluntario y, en el caso de menores de catorce años, podrá ejercerse por quienes tengan su patria potestad. En cuanto a la identificación de la persona física que solicita el ejercicio del derecho correspondiente, si bien el responsable del tratamiento no está obligado a obtener o tratar información adicional para identificar al interesado (artículo 11.1 del RGPD), el interesado podrá facilitar información adicional que permita su identificación (art. 11.2 del RGPD), sin que el responsable se pueda negar a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar que no puede identificar al interesado.

El ejercicio de los derechos de los interesados es gratuito, salvo que las solicitudes del interesado sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, teniendo que demostrar el responsable del tratamiento estos extremos. Y en estos casos el responsable del tratamiento podrá aplicar un canon razonable en virtud de los costes administrativos soportados o bien negarse a dar curso a la solicitud.

El responsable del tratamiento tiene obligación de dar respuesta a toda solicitud sobre el ejercicio de derechos en el plazo máximo de un mes desde su recepción, salvo que, dada la complejidad o el número de solicitudes, no pueda atenderse, en cuyo caso se podrá prorrogar hasta dos meses. En dicho caso, el responsable, en el plazo de un mes desde que reciba la solicitud, y sin dilación indebida, tendrá que informar al interesado de dicha circunstancia e indicar las razones de la dilación. Y corresponde al responsable del tratamiento probar que ha cumplido con la respuesta a la solicitud del interesado.

Si no se da curso a la solicitud del interesado, el responsable tendrá que informar sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales (artículo 12.4 del RGPD).

Las comunicaciones con el interesado sobre las solicitudes de ejercicio de derechos tienen que hacerse en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño (artículo 12.1 del RGPD). Y si la solicitud se presenta por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo (artículo 12.3 del RGPD).

¿Cuál sería la sanción aplicable por incumplir con los derechos sobre decisiones individuales automatizadas, incluida la elaboración de perfiles?

Incumplir con los derechos sobre decisiones individuales automatizadas, incluida la elaboración de perfiles podría suponer la comisión de una infracción (art. 83.5.b del RGPD) que podría ser sancionada, cuando se trate de empresas, con multa administrativa de veinte millones de euros (20.000.000 €) o una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Sin perjuicio de lo anterior, es necesario recordar que las autoridades de protección de datos tienen también poderes correctivos que, en relación con los derechos, como los derechos sobre decisiones individuales automatizadas, incluida la elaboración de perfiles, implican que puedan ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado (artículo 58.2.c del RGPD).

En el caso de las Administraciones Públicas, en España, este incumplimiento podría dar lugar a una resolución de la autoridad de protección de datos que declare la infracción, salvo por lo que se refiere a los tribunales en el ejercicio de su función judicial.

Recuerde que...

  • El interesado puede instar al responsable a que no se tomen cuando tengan efectos jurídicos en él o le afecten significativamente de modo similar.
  • En determinados casos sí será posible llevar a cabo este tipo de decisiones, siempre que se cumplan en su caso con garantías para el interesado y salvo que, a su vez, aplique alguna excepción a esta posibilidad.
  • El puede conllevar la imposición de una multa administrativa.
Subir