¿Listo para aplicar las disposiciones del Reglamento general de protección de datos, el llamado GDPR, en la elaboración de perfiles?

El Reglamento general de protección de datos de la UE (GDPR) entrará en vigor en mayo de 2018. Este reglamento afectará a la evaluación automática de los clientes y dicta normas para la toma de decisiones de crédito automáticas. ¿Qué implicaciones tiene para usted y para sus clientes?

El nuevo reglamento incorpora una serie de requisitos operativos para las firmas que manejan datos personales y será de aplicación para todas las organizaciones y empresas a partir de mayo de 2018. El reglamento contempla la forma en que las personas, por ejemplo, clientes o solicitantes de empleo, pueden ser evaluados automáticamente mediante el tratamiento de datos (conocido también con el nombre de elaboración de perfiles).

 

¿En qué consiste la elaboración de perfiles?
Por lo general, la elaboración de perfiles pretende predecir el comportamiento futuro de un individuo basándose, por ejemplo, en las acciones que ha realizado en el pasado. En el GDPR, la elaboración de perfiles se define como cualquier tratamiento automatizado de los datos personales que se realiza para evaluar aspectos personales cuando este proceso tiene efectos legales para un individuo. Por ejemplo, la evaluación puede hacer referencia al rendimiento de un empleado en su puesto de trabajo, su situación económica, intereses y preferencias personales, su integridad o su conducta futura.

En el GDPR, la elaboración de perfiles se define como cualquier tratamiento automatizado de los datos personales que se realiza para evaluar aspectos personales cuando este proceso tiene efectos legales para un individuo.

En su caso, es importante remarcar que el GDPR sigue sin prohibir la elaboración de perfiles de personas sin su consentimiento.

Sin embargo, hay algunas excepciones.
El reglamento solo se refiere a la elaboración de perfiles cuando el tratamiento de datos se ha llevado a cabo de forma totalmente automatizada. Por lo tanto, si en la evaluación se han dado pasos manuales, ya no se considera una elaboración de perfiles tal y como se describe en el reglamento. Además, cualquier tratamiento de datos en los que dichos datos no puedan ser identificados como pertenecientes a un individuo tampoco se considera elaboración de perfiles.

En la definición de este concepto, el hecho de que una decisión con consecuencias legales para el individuo, o de cualquier otro tipo, deba tomarse en función de la evaluación también es una parte esencial. El reglamento no especifica qué decisiones serían concretamente. Desde el punto de vista práctico, el GDPR regulará la elaboración de perfiles, como mínimo, en lo referente a los modelos de decisión automatizada para créditos al consumo que se utilizan para evaluar la calificación de solvencia de un solicitante y su comportamiento de pago futuro, así como en lo relativo a la decisión de conceder o denegar el crédito.

Es importante subrayar que los derechos de las personas están protegidos
La elaboración de perfiles y el tratamiento de datos personales solo puede realizarse bajo el debido cumplimiento de los requisitos incluidos en el artículo 6 del GDPR. En la práctica, entre las razones habituales para llevar a cabo el tratamiento de datos figura el consentimiento de una persona o su participación en algún contrato. 

El GDPR contempla extensamente los derechos del individuo en el tratamiento automatizado de los datos personales.

1) Las personas tienen derecho a ser informadas del uso de sus datos en la elaboración de perfiles. El GDPR obliga a las empresas en sus artículos 13 y 14 a declarar su intención de elaborar perfiles y a presentar la información pertinente sobre la lógica, el significado y la consecuencia de dicha elaboración de perfiles. Las personas tienen derecho a recibir toda esta información conforme a lo estipulado en el artículo 15 sobre el derecho de acceso del interesado. Los clientes deben tener clara la lógica y el significado de la elaboración de perfiles, algo que puede hacerse mediante el uso de ejemplos.

2) El tratamiento de datos personales y, por consiguiente, la elaboración de perfiles pueden ser objeto de oposición (artículo 21) cuando el tratamiento de datos se realice para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos (punto (e) del artículo 6(1)) o para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero (punto (f) del artículo 6(1)). Por lo tanto, el derecho de oposición a la elaboración de perfiles no se aplica en aquellas situaciones en las que se usa para celebrar un contrato con el interesado, como sucede con las decisiones de crédito.

3) Las personas tienen derecho a no ser objeto de (artículo 22) una decisión basada únicamente en el tratamiento automatizado, que produzca efectos jurídicos en ellas o las afecte significativamente de modo similar. Nuevamente, este derecho no se aplicará si la elaboración de perfiles y la toma de decisión subsiguiente son necesarios para celebrar o ejecutar un contrato entre el interesado y una empresa, o si se han realizado con el consentimiento de la persona. Este requisito no excluye la elaboración de perfiles destinados a la toma de decisiones de crédito.

En cualquier caso, el otorgante del crédito siempre debe salvaguardar los derechos de la persona. El requisito mínimo exigible por parte del solicitante del crédito es que su solicitud sea tratada por una persona y no por un sistema automatizado. Un tratamiento de la solicitud posterior a este no implica que los resultados vayan a ser distintos automáticamente.

Tome nota de las directrices del Grupo de trabajo del artículo 29
El Grupo de trabajo del artículo 29 es un órgano consultivo compuesto por los representantes de las autoridades nacionales de supervisión de los Estados miembros de la UE cuya misión es formular y publicar las directrices relacionadas con el Reglamento general de protección de datos. Desempeñan un papel muy importante a la hora de interpretar el GDPR. Hasta la fecha se han publicado tres directrices; en concreto las relacionadas con la portabilidad de los datos, los responsables de la protección de datos (los RPD) y la autoridad de supervisión principal.

Los artículos del GDPR no especifican lo que podría considerarse realmente una decisión con efectos jurídicos, o similares, en una persona. De ahí la importancia de prestar una atención especial a las directrices que publique el Grupo de trabajo del artículo 29 en el futuro.

Las empresas deberían revisar sus procesos e identificar aquellas circunstancias que podrían dar lugar a la elaboración de perfiles conforme a lo descrito en el reglamento; a saber, en la evaluación de aspectos personales y en la toma de decisiones que afectan de manera significativa a la persona. A partir de mayo de 2018, será preciso garantizar que el interesado sujeto a un perfil tenga la posibilidad de expresar su opinión, impugnar la decisión y, llegado el caso, exigir el tratamiento manual de su caso. Por otra parte, también habrá que asegurar el cumplimiento de la obligación de informar sobre la elaboración de perfiles conforme al GDPR.

Lea aquí nuestros diez consejos para anticiparse a la llegada del GDPR