El nuevo Reglamento adecua el continuo desarrollo tecnológico actual a la práctica de los tratamientos de protección de datos e introduce ciertas novedades, entre las que se encuentra la regulación del profiling o elaboración de perfiles, una práctica cada vez más común entre los e-commerce y las empresas de marketing.
En este post te contamos todo lo que necesitas saber sobre la nueva regulación del profiling:
¿Qué es el profiling?
El profiling consiste en categorizar a una persona en función de sus características propias a partir del tratamiento automatizado de sus datos personales. La elaboración de perfiles permite que los individuos sean categorizados sobre la base de algunas características observables a partir de las cuales deducir otras que no lo son. Se evalúan determinados aspectos personales para realizar análisis o predicciones sobre cuestiones muy variadas (rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos).
¿Por qué es necesario regular el profiling?
El avance de las nuevas tecnologías permite que muchos de los procesos de análisis de datos ocurran sin que las personas tengan conocimiento de ello. En muchos casos no son conscientes de que se están tomando decisiones que les afectan, basadas de forma exclusiva en el tratamiento automatizado de los datos personales. Con la nueva regulación se busca proteger a los interesados de las consecuencias negativas que puedan derivarse del profiling si no se lleva a cabo con unas mínimas garantías.
¿El profiling es legal?
¡Buenas noticias! El profiling está permitido por la normativa europea. Hoy en día, la elaboración de perfiles se utiliza de forma habitual en el marco de las acciones de marketing. El profiling resulta muy práctico, por ejemplo, para identificar el perfil de los consumidores o definir el target de nuestro negocio o campaña publicitaria.
Para cumplir con la normativa es necesario informar al interesado de la existencia de la elaboración de perfiles al igual que de sus consecuencias.
Cuando se realiza profiling, el Reglamento recuerda que, si bien es legal, el interesado tiene derecho a oponerse a que sus datos se utilicen para la elaboración de un perfil alegando algún motivo relativo a su situación particular. Asimismo, cuando el profiling se realiza con fines de mercadotecnia directa, el interesado puede oponerse, sin necesidad de alegar motivo alguno, a que sus datos sean tratados con esos fines concretos.
Este derecho de oposición debe mencionarse de forma explícita y ser presentado claramente y al margen de cualquier otra información, a más tardar en el momento de la primera comunicación con el interesado.
Por tanto, respetando los derechos de información y oposición del interesado, la elaboración de perfiles es una práctica admitida por la nueva legislación.
¿Qué límites establece el Reglamento al profiling y cuáles son las excepciones?
Como se ha puntualizado, el Reglamento no prohíbe la elaboración de perfiles, pero sí establece ciertos límites para un caso concreto.
El Reglamento reconoce el derecho de las personas a no verse sometidas a una decisión con efectos jurídicos sobre ellas o que les afecten de significativamente de modo similar, cuando la decisión se base únicamente en el tratamiento automatizado de sus datos personales.
El término “que les afecte significativamente” puede resultar ambiguo, por lo que, a título ejemplificativo, el Reglamento nos indica dos situaciones que afectan especialmente al individuo: la denegación automática de una solicitud de crédito en línea y los servicios de contratación en red en los que no media intervención humana alguna.
El profiling que se realice para tomar decisiones que tengan efectos jurídicos en los usuarios o que les afecten significativamente de un modo similar, no estaría permitido salvo en los siguientes casos:
- Cuando la decisión resulte necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento.
- Cuando la decisión esté autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
- Cuando la decisión se base en el consentimiento explícito del interesado.
- En estos casos, el responsable de tratamiento tiene que adoptar las medidas adecuadas para proteger los derechos y libertades y los intereses legítimos del interesado. Como mínimo el interesado debe tener derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
Además, en el momento de obtener los datos personales, se debe informar al interesado de que sus datos van a servir para elaborar un perfil sobre el que basar este tipo de decisiones automatizadas, así como proporcionarle información significativa sobre la lógica aplicada, y sobre la importancia y consecuencias previstas de dicho tratamiento.
¿Qué ocurre con los datos especialmente sensibles?
Hay casos en los que para la elaboración del perfil de una persona se utilizan datos sensibles (relativos al origen étnico o racial, opiniones políticas, convicciones religiosas, salud, genética, orientación sexual…). Dado que esta información pertenece a una esfera más íntima del individuo, es necesario que el interesado otorgue su consentimiento de forma explícita para el tratamiento de esta categoría especial de datos personales concretos con uno o más de los fines especificados.
¿Qué otras medidas deben tenerse en cuenta?
En principio, podemos utilizar profiling sin más restricciones que las ya señaladas, teniendo muy en cuenta informar al interesado.
No obstante, a modo de prevención, el Reglamento establece que cuando se toman decisiones que producen efectos jurídicos en el interesado o le afectan significativamente, basándose en el profiling, será necesario realizar una evaluación de impacto de forma previa al tratamiento de datos.
Si tras la realización de dicho análisis o evaluación se concluye que existe tal riesgo, a continuación, debe plantearse una Consulta Previa a la Agencia Española de Protección de Datos.
Si quieres conocer más información sobre el profiling, te recomendamos contactar con Letslaw, despacho de abogados especializado en derecho digital y protección de datos.