La toma de decisiones automatizadas y elaboración de perfiles bajo el RGPD

Automated decision making and profiling under the GDPR

La toma de decisiones y la elaboración de perfiles son procesos estrechamente vinculados con los sistemas de inteligencia artificial, pues los mismos son los que sirven de apoyo para su consecución. En este sentido, el uso de estos sistemas para la toma de decisiones y elaboración de perfiles cuando implican el tratamiento de datos personales muchas veces plantea muchas dudas en cuanto a cómo aplicar la normativa de protección de datos. En este artículo recordaremos cuáles son los principios, obligaciones y especificidades que aplican a estos tratamientos.

Distinción entre sistema de IA y tratamiento de datos personales

En primer lugar, es preciso tener en cuenta que un sistema de inteligencia artificial (“Sistema de IA”) no es “en sí” un tratamiento de datos personales, tal como dice la Agencia Española de Protección de Datos (“AEPD”)1: “un sistema de Inteligencia Artificial (IA) en sí mismo es solo un medio para el tratamiento de datos personales y no un fin último”.

Además, un Sistema de IA, tampoco implica una toma de decisiones automatizada siempre, ya que los resultados obtenidos a través del uso de este tipo de Sistemas IA pueden supervisarse por una persona, que sea quien tome la decisión final. En consecuencia, las decisiones automatizadas no son inherentes a la naturaleza de un Sistema de IA. Por ejemplo, un Sistema de IA puede tener como objetivo ordenar o categorizar datos personales o generar informes estadísticos. Ambos objetivos sólo apoyarían la toma de decisiones humanas y serían una operación de tratamiento dentro de una actividad más amplia, como puede ser la selección de personal o la mejora de los servicios de la entidad.

Las decisiones automatizadas y su relación con la elaboración de perfiles

El Grupo de Trabajo del art. 29 (previo al actual Comité Europeo de Protección de Datos) (“GT29”) estableció2 que una decisión automatizada supone la capacidad de tomar decisiones con el uso de medios tecnológicos, y estas pueden llevarse a cabo con o sin elaboración de perfiles.

Para que se dé una elaboración de perfiles o profiling, deben concurrir tres elementos, de conformidad con la definición del RGPD: (i) que el tratamiento sea realizado, al menos en parte, de forma automatizada; (ii) que implique el tratamiento de datos personales; y (iii) que su objetivo sea evaluar aspectos personales sobre una persona física, para predecir o deducir su comportamiento, situación, rendimiento, u otras características.

Teniendo en cuenta lo anterior, podremos encontrar tratamientos de datos con utilización de Sistemas de IA que impliquen la toma de decisiones automatizadas sin elaboración de perfil, la toma de decisiones automatizada que sí impliquen la realización de perfilado, la realización de un perfilado sin una toma de decisiones automatizada y, por último la toma de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que producen efectos jurídicos en el interesado o le afectan significativamente de modo similar.

Como vemos, la elaboración de perfiles o la toma de decisiones automatizadas es una opción dentro del uso de Sistemas de IA, que pueden darse de forma conjunta o separada. Además, ninguna de ellas constituye una finalidad de tratamiento en sí misma, sino que se realizan en conexión con una finalidad concreta más amplia. Por ejemplo, la elaboración de perfiles y, en su caso, toma de decisiones, servirá para el envío de publicidad personalizada, para la aparición de resultados personalizados en el sitio web, para la evaluación crediticia en el contexto de una solicitud de préstamo o para la concesión de una ayuda.

Casos específicos de toma de decisiones automatizada y elaboración de perfiles

A continuación, veremos algunos casos de toma de decisiones automatizada y/o elaboración de perfiles que tendrían características o regulación particulares y que merece la pena tratar de forma específica.

a) La elaboración de perfiles con fines comerciales

La elaboración de perfiles con fines comerciales es una práctica comúnmente realizada por las empresas para optimizar sus esfuerzos en materia de marketing y publicidad, asegurando que sus campañas sean más efectivas y generen mayores tasas de conversión.

En relación con esto, las bases de legitimación que permitirían su realización serían, básicamente, el consentimiento o el interés legítimo, último caso que reconoce el propio RGPD en su Considerando 47: “el tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo.”

No obstante, hay que tener en cuenta que, dependiendo del medio utilizado para realizar la publicidad, puede no ser posible el uso del interés legítimo. Esto ocurriría, por ejemplo:

  • Cuando la publicidad esté sujeta al régimen de la Ley de Servicios de la Información (“LSSI”) y se requiera el consentimiento, lo que ocurriría, en primer lugar, en el caso de envío de comunicaciones por medios electrónicos a personas que no tengan una relación contractual previa con la empresa o, por otro lado, en el caso de publicidad comportamental basada en técnicas de seguimiento como las cookies.
  • Si, en el perfilado, se utilizan datos de categoría especial recogidos en el art. 9.1. RGPD, es probable que se requiera el consentimiento explícito de acuerdo con el art. 9.2. RGPD, ya que no será aplicable ninguna de las demás excepciones.
  • Cuando el perfilado represente una intrusión importante en la privacidad de la persona, o sea complejo, pues en dicho supuesto, se considera que los intereses y derechos del interesado prevalecen sobre el interés del responsable del tratamiento.

En el caso de aplicarse el interés legítimo, el artículo 21 RGPD establece la obligación de ofrecer al interesado un derecho de oposición en todo momento, “incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.“.

b) El régimen de protección específico del artículo 22 RGPD

El RGPD establece un régimen de protección reforzado en el art. 22 RGPD para un tipo específico de decisiones automatizadas, las cuales implicarían un riesgo para las personas, al poder derivar en discriminación, efectos jurídicos adversos u otros impactos significativos para las personas afectadas. No obstante, no todas las decisiones automatizadas, incluyendo la elaboración de perfiles, entran directamente dentro del ámbito de aplicación de este artículo, sino que estas deberán cumplir las siguientes características:

  • Que la decisión está “basada únicamente en el tratamiento automatizado”, lo que quiere decir que el resultado se ha generado exclusivamente a través de los algoritmos del Sistema de IA, sin que haya sido revisado o modificado por una persona antes de su aplicación.
  • Que dicha decisión “produzca efectos jurídicos en él o le afecte significativamente de modo similar”.

Sólo cuando se den estas dos condiciones de forma acumulativa, aplicará el artículo 22 RGPD y, por ello, dicho tratamiento, de forma general no podrá realizarse, salvo que apliquen las excepciones previstas en el mismo (que sea necesaria para la celebración o la ejecución de un contrato, esté autorizada por ley o se base en el consentimiento explícito del interesado) y, de poderse realizar, deberán observarse las salvaguardas establecidas para proteger los derechos y libertades de los interesados (intervención humana, a expresar su punto de vista y a impugnar la decisión, así como refuerzo del deber de información).

En relación con el primer requisito (que esté basada únicamente en tratamiento automatizado), se debe valorar caso por caso, pero, de cualquier forma, la intervención humana no puede ser meramente accesoria para descartar la aplicación del art. 22 RGPD, por ejemplo, limitándose a una mera revisión superficial o a la aceptación directa de la decisión tomada por IA. Este último supuesto es el que se analiza en la sentencia del Tribunal de Justicia de la Unión Europea de 7 diciembre 2023, en el asunto C-634/21, “SCHUFA”, la cual estableció que también se considerará una decisión automatizada cuando un valor de probabilidad generado automáticamente por un Sistema de IA sea transmitido por el responsable del tratamiento a otro responsable del tratamiento, y este último utilice dicho valor de manera determinante para tomar una decisión sobre la persona afectada (teniendo la decisión una afectación significativa en el sentido del art. 22 RGPD) .

Transparencia y cumplimiento de las obligaciones del RGPD

Tal como establece el GT29 en sus directrices3, es importante destacar que: “Cuando un tratamiento implique la toma de decisiones basada en la elaboración de perfiles (independientemente de si entran en el ámbito de las disposiciones del artículo 22 RGPD o no), debe informarse al interesado sobre el hecho de que el tratamiento tiene fines tanto de a) elaboración de perfiles como de b) adopción de una decisión sobre la base del perfil generado.” Por ello, será importante que la redacción de las cláusulas informativas o políticas de privacidad sean claras y comprensibles para el interesado en relación con la elaboración de su perfil y la toma de decisiones realizada en base a este.

En relación con el cumplimiento de las demás obligaciones, será necesario verificar qué requerimientos y obligaciones deben cumplirse (por ejemplo, valorar la necesidad de realizar una evaluación de impacto). En este sentido, la Agencia Española de Protección de Datos ha publicado muchos recursos sobre inteligencia artificial para ayudar a las empresas, como la “Guía de Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial” de fecha Febrero 2020.

 

___________________________________________________

1 Publicación de 10 de abril de 2023

2 Directrices sobre decisiones individuales automatizadas y elaboración de perfiles de fecha febrero de 2018

3 Directrices sobre decisiones individuales automatizadas y elaboración de perfiles de fecha febrero de 2018

 

 

Artículo escrito por:

Elena SánchezElena Sánchez

Abogada especialista en privacidad, propiedad intelectual y contratación tecnológica

elena.sanchez@metricson.com

 

 

Sobre Metricson

Con oficinas en Barcelona, Madrid, Valencia y Sevilla y una importante presencia internacional, Metricson es una firma pionera en servicios legales para empresas innovadoras y tecnológicas y especialista en propiedad intelectual. Desde su nacimiento en 2009, ha asesorado a más de 1.400 clientes de 15 países distintos, incluyendo startups, inversores, grandes corporaciones, universidades, instituciones y gobiernos.

Si quieres contactar con nosotros, no dudes en escribirnos a contacto@metricson.com. ¡Estamos deseando hablar contigo!

Habla con nosotros

958 558 442

Oficinas

Tuset, 19 - 2º, 3ª
08006 Barcelona
931 594 620

Javier Ferrero 10,
28002 Madrid

Paseo de Ruzafa 11, 6º, 12ª
46002 Valencia
960 500 761

Av. de la República Argentina, 25
41011 Sevilla

    Responsable: Metricson S.L.P.U.
    · Finalidad: Resolver tu petición o duda.
    · Legitimación:  Interés legítimo en responder cualquier cuestión planteada por ti.
    · Destinatarios: Prestadores de servicios tecnológicos, como encargados del tratamiento, que seguirán siempre nuestras instrucciones.
    · Derechos: Puedes acceder, rectificar, suprimir o solicitar la portabilidad de tus datos personales, así como oponerte o limitar el tratamiento de los mismos dirigiéndote a privacy@metricson.com.