En algunos de los artículos sobre protección de datos publicados en el blog, hemos mencionado el tratamiento automatizado de datos personales y es un concepto presente en la definición de «tratamiento» del RGPD, pero ¿a qué nos referimos cuando hablamos de tratamiento automatizado? Lo vamos a explicar en las siguientes líneas.
En este artículo hablamos de:
- ¿Qué es el tratamiento automatizado de datos personales?
- ¿Qué normativa regula el tratamiento automatizado de datos personales?
- Tipos de tratamiento automatizado de datos personales
- El deber de informar en el tratamiento automatizado de datos personales
- Derecho de oposición a la toma decisiones automatizadas y perfilado
¿Qué es el tratamiento automatizado de datos personales?
El tratamiento automatizado de datos personales son las operaciones o acciones que se llevan a cabo sobre datos personales o conjuntos de datos personales empleando medios electrónicos, como puede ser el registro y almacenamiento de esos datos en un ordenador.
En general, cualquier tratamiento de datos que implique el uso de medios electrónicos, incluido pero no limitándose al uso de programas informáticos, se considera que es tratamiento automatizado de datos personales, por lo tanto, siempre que medie un medio electrónico, se considerará tratamiento automatizado de datos personales la «recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción».
Ejemplos de tratamiento automatizado de datos personales
Para ilustrar un poco este concepto, os dejamos algunos ejemplos de tratamiento automatizado de datos personales de una empresa:
- Gestión de nóminas mediante uso de un programa informático o a través de una aplicación bancaria.
- Creación y gestión de una base de datos de clientes.
- Control de la jornada laboral mediante un control de acceso y registro de la hora de entrada y salida.
- Formularios web para solicitar más información en la página web de la empresa.
- La geolocalización de los conductores de una empresa de transportes durante su jornada laboral.
- El envío de correos electrónicos a clientes.
¿Qué normativa regula el tratamiento automatizado de datos personales?
El tratamiento automatizado de datos personales está actualmente regulado en:
- Reglamento General de Protección de Datos (RGPD) europeo
- Ley Orgánica de Protección de Datos de Carácter Personal (LOPDGDD)
Con anterioridad a estas leyes existieron otras propiciadas por la irrupción de la informática y los usos que esta implicaba para el tratamiento de datos personales, como por ejemplo, el Convenio 108 del Consejo de Europa de 1981, o la Ley Orgánica de Tratamiento automatizado de los datos de carácter personal de 1992 o la LOPD de 1999.
Todas estas leyes han quedado derogadas desde la entrada en vigor del RGPD y la LOPDGDD, que contemplan y regulan en su articulado todo lo relacionado con el tratamiento de datos personales, incluidos los tratamientos automatizados, e incluyen derechos y obligaciones que afectan directamente a este tipo de tratamientos.
Tipos de tratamiento automatizado de datos personales
Como ya hemos dicho, cualquier tratamiento de datos personales realizado mediante medios electrónicos es un tratamiento automatizado, pero dentro de estos podemos distinguir dos tipos que en los que claramente se emplean no solo medios electrónicos, sino también programas y herramientas informáticas y que tienen un especial peso y trascendencia en la protección de datos.
Nos referimos concretamente al perfilado (o elaboración de perfiles) y a las decisiones automatizadas, ambos tratamientos basados en el uso de inteligencia artificial para el análisis y evaluación de datos personales.
Elaboración de perfiles
La elaboración de perfiles o perfilado está definido en el artículo 4.4 del RGPD como una forma de tratamiento automatizado mediante la que es posible inferir más información acerca de una persona física, evaluando, analizando o prediciendo aspectos personales.
La elaboración de perfiles siempre es un tratamiento automatizado, pero puede incluir tratamientos con participación humana parcial, se lleva a cabo sobre datos personales y la finalidad del tratamiento es evaluar aspectos personales de los interesados.
Decisiones automatizadas
Las decisiones automatizadas se basan en un tratamiento automatizado en el que no hay intervención humana, empleándose medios tecnológicos para tomar determinadas decisiones en base al análisis y evaluación de datos personales recopilados. Por ejemplo, aunque estaría sometido a otras consideraciones del RGPD (al tratarse de datos de categorías especiales), usar los datos de salud obtenidos de un wearable (como una smartband) para determinar si se aprueba o no un contrato de seguro médico.
Cabe señalar que, aunque la elaboración de perfiles de forma automática se incluye dentro de estas decisiones automatizadas, estas no siempre emplean el perfilado y este puede llevarse a cabo sin realizar decisiones automatizadas.
El deber de informar en el tratamiento automatizado de datos personales
Si bien, el tratamiento automatizado de datos personales está sometido, como hemos dicho, a las mismas obligaciones que cualquier tratamiento de datos personales en lo que respecta a consentimiento expreso y otras bases jurídicas legitimadoras, análisis de riesgos y evaluación de impacto, registro de actividades de tratamiento, medidas de seguridad, notificación de brechas de seguridad, ejercicio de derechos y necesidad de designar un Delegado de Protección de Datos (DPO), hay dos aspectos de la normativa que responsables y encargados del tratamiento deben tener especialmente en cuenta, dado que las decisiones automatizadas y los perfiles pueden afectar a los interesados en sus vidas privadas, en su seguridad física, su posición social y su interacción con otras personas.
Por un lado, el deber de informar, que en el perfilado y las decisiones automatizadas, requiere que se informe a los interesados de:
- Que los datos personales serán usados para la elaboración de perfiles y/o la toma de decisiones automatizadas.
- El derecho a oponerse a la adopción de decisiones individuales automatizadas según el artículo 22 del RGPD (y que profundizaremos en el siguiente punto).
- Información significativa sobre la lógica aplicada (el mecanismo o sistema empleado en el tratamiento automatizado).
- Importancia y consecuencias previstas de ese tratamiento automatizado para el interesado.
Respecto a ese punto sobre la «información significativa sobre la lógica aplicada», es necesario que dicha información sea comprensible para el interesado, es decir, no se trata de suministrar información técnica sobre el algoritmo empleado, puesto que puede resultar confusa, sino información que explique de manera clara cómo funciona el algoritmo en relación al comportamiento del tratamiento.
La AEPD, en su guía sobre el uso de IA en el tratamiento de datos personales, nos da este ejemplo para suministrar esta información:
- Detallar los datos empleados en la toma de decisión y el plazo de uso de los mismos (es decir, cuán antiguos son).
- El peso relativo de cada uno de esos datos en la toma de decisión.
- La calidad de los datos utilizados para el entrenamiento del sistema de IA y el tipo de patrones utilizados.
- Los perfiles elaborados y sus implicaciones.
- Valores de precisión o error según la métrica adecuada para medir la bondad de la inferencia.
- La existencia o no de supervisión humana cualificada.
- Auditorías realizadas sobre el sistema de IA.
- Si el sistema de IA tiene información de terceros identificables, la prohibición de tratar esa información sin legitimación y de las consecuencias de hacerlo.
Derecho de oposición a la toma decisiones automatizadas y perfilado
Por otro lado, el RGPD garantiza a los interesados el derecho de oposición a la toma de decisiones automatizadas y el perfilado en los siguientes casos:
- No hay intervención humana, es decir, se trata de un tratamiento de datos completamente automatizado.
- Esos tratamientos automatizados pueden producir efectos jurídicos.
- O afecte de forma similar y significativa al interesado (como en los casos de seguimiento en diferentes páginas web, dispositivos y servicios electrónicos, alterar la forma en la que se presenta un anuncio o usar el conocimiento sobre vulnerabilidades los interesados).
Así mismo, es importante señalar la importancia del consentimiento expreso del interesado para proceder con estos tratamientos automatizados de datos personales; es fundamental que este consentimiento no quede condicionado de ninguna manera, es decir, que si para disfrutar de un servicio contratado es necesario el perfilado, el responsable debe dar una alternativa equivalente que no lo implique y que la negación a no someterse a dicho perfilado tampoco pueda resultar en un perjuicio para los intereses del afectado.