El desarrollo de las nuevas tecnologías y la recopilación masiva de datos y su posterior análisis, han hecho posible la elaboración de perfiles, también llamado perfilado (o profiling en inglés). En este artículo explicaremos en qué consiste esta técnica, si es legal y qué dice el RGPD al respecto.
En este artículo hablamos de:
¿Qué es la elaboración de perfiles o profiling?
La elaboración de perfiles o profiling es la recopilación de datos personales con el objetivo de evaluar determinados aspectos relacionados con una persona física y así poder predecir el comportamiento de dicha persona, permitiendo la toma de ciertas decisiones respecto a ella.
El RGPD define la elaboración de perfiles como el tratamiento automatizado de datos de carácter personal con la finalidad de evaluar, estudiar, analizar o hacer predicciones sobre las personas.
Por ejemplo, cuando esta técnica se emplea en el marketing digital, se puede usar para segmentar al público objetivo y diseñar campañas publicitarias más personalizadas y diferenciadas en función de los intereses de cada grupo.
La elaboración de perfiles es habitual en el sector financiero, de la salud o el marketing y busca dotar de valor a los datos recopilados por las empresas.
¿Es legal la creación de perfiles?
Sí, en España el RGPD y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales permiten la elaboración de perfiles, siempre y cuando este tratamiento cumpla con los requisitos exigidos por ambas normativas.
Aparte de estas dos normas, cuando los perfiles se van a emplear para el envío de comunicaciones comerciales a través de medios electrónicos (como por ejemplo, el email), también es necesario contemplar la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE), puesto que exige el consentimiento de los interesados o una base jurídica que legitime dichas comunicaciones (como una relación contractual).
En cuanto a qué nos dice la AEPD sobre el perfilado, esta nos remite a las directrices publicadas por el Grupo de Trabajo del Artículo 29 (actual Comité Europeo de Protección de Datos o CEPD) y que son las mismas que recoge el Reglamento 2016/679, Reglamento General de Protección de Datos (RGPD) de la UE.
¿Qué dice el RGPD sobre la elaboración de perfiles?
El RGPD define la elaboración de perfiles o profiling como:
«[…] toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física».
Por lo tanto, y atendiendo a dicha definición, para considerar un tratamiento de datos como un perfilado, deben reunirse estos tres requisitos:
- Constituye una forma de tratamiento automatizado, lo que incluye la toma de decisiones automatizada, con independencia de que se produzca o no intervención humana.
- Se realiza con datos personales.
- Tiene como objetivo evaluar determinados aspectos de una persona física, para con ello predecir su comportamiento y tomar decisiones basándonos en ello.
Así mismo, como tratamiento de datos personales, la elaboración de perfiles también deben cumplir con los principios de:
- Licitud, lealtad y transparencia
- Limitación de la finalidad
- Minimización de datos
- Exactitud de los datos
- Limitación del plazo de conservación
Además, el responsable del tratamiento deberá adoptar las medidas técnicas y organizativas apropiadas para garantizar la protección de datos personales.
Requisitos que debe cumplir la elaboración de perfiles según el RGPD
Como decíamos, para que la elaboración de perfiles se considere un tratamiento de datos legítimo y de acuerdo a la normativa, es necesario que este cumpla una serie de requisitos:
Base jurídica del tratamiento
Para poder elaborar perfiles, debe existir una base jurídica que legitime dicho tratamiento de acuerdo al artículo 6 del RGPD. Así, en la elaboración de perfiles se consideran bases de legitimación el consentimiento expreso por parte de los titulares de los datos, así como el interés legítimo de la empresa (o cualquier otra entidad) para realizar dichos perfiles.
Informar a los interesados sobre la elaboración de perfiles
La empresa o entidad que vaya a hacer el perfilado, tiene la obligación de informar sobre dicho perfilado a los interesados; esta información se ofrecerá en dos capas; una primera capa informativa en la que debe aparecer la identidad del responsable del tratamiento, la finalidad del tratamiento, la vía para ejercer los derechos de acceso, supresión, limitación y oposición a ser objeto de decisiones individuales automatizadas (que son aquellas que emplean de manera más habitual los perfiles).
La segunda capa informativa debe ofrecer información más detallada y completa sobre las consecuencias de la elaboración de perfiles. Esta información debe ser clara y comprensible, puesto que los titulares de los datos deben ser plenamente conscientes de cómo y para qué se emplean sus datos y el impacto que el perfilado puede tener para sus derechos y libertades.
Respetar el derecho de oposición al perfilado
Si una empresa o entidad utiliza el interés legítimo como base legitimadora de la elaboración de perfiles, en el mismo momento en que recoge los datos, debe no solo informar al titular de los datos sobre dicha finalidad, sino ofrecer la posibilidad de oponerse a que sus datos sean utilizados para el perfilado.
Exactitud de los perfiles, consentimiento y plazo de conservación
Los datos empleados para la elaboración de perfiles deben atender, como vimos, al principio de exactitud de los datos, es decir, que los perfiles se realizan con datos actualizados y exactos. Además, se debe contar con el consentimiento expreso de los titulares de los datos para este tipo de tratamiento, de manera que no podrán usarse con otra finalidad, y conservarse durante el plazo de tiempo necesario para cumplir con dicha finalidad.
Realizar una evaluación de impacto
Dado el mayor riesgo que supone el tratamiento de datos personales para la elaboración de perfiles, en tanto en cuanto pueden derivarse efectos jurídicos y otros impactos sobre los derechos y libertades de los interesados, el RGPD y la LOPDGDD obligan a realizar una evaluación de impacto antes de iniciar cualquier tipo de perfilado.
¿Se pueden elaborar perfiles de niños?
El RGPD no distingue entre la elaboración de perfiles de adultos o niños o menores de edad, por lo que podría entenderse que pueden hacerse. Y el CEPD entiende que se pueden hacer perfiles de menores de edad en casos muy específicos, siempre que se hayan adoptado medidas específicas y adecuadas para proteger los derechos y libertades de los menores.
Sin embargo, el RGPD sí considera que los menores de edad merecen una protección específica de sus datos (puesto que es un grupo vulnerable), por lo que no deben hacerse perfiles de menores de edad con fines publicitarios o de marketing, así como destinados a crear publicidad comportamental o dirigida específicamente a ellos.
La elaboración de perfiles es una herramienta que puede resultar muy útil no solo a las empresas, sino también a entidades públicas, puesto que da valor a los datos recopilados y analizados, permitiendo predecir ciertos comportamientos de las personas. Sin embargo, elaborar estos perfiles debe atender siempre a las exigencias de la normativa de protección de datos que hemos visto en este artículo y no utilizarse con otras finalidades distintas para las que fueron creados en un principio, salvo que se cuenta con el consentimiento de los interesados o exista una base jurídica que lo legitime.