RGPD – Unidad II : 1.9 Derechos del interesado – Derecho a Limitar las Decisiones Individuales Automatizadas

1. DERECHOS DEL INTERESADO

EL RGPD regula en el Capítulo III los derechos del interesado en materia de protección de datos los cuales quedan descritos en los art. 15 a 20 y en los considerandos 58 a 71. Como veremos más adelante, el RGPD introduce nuevos derechos a los ya existentes en nuestra normativa de protección de datos (los comúnmente denominados derechos ARCO por el acrónimo de Acceso, Rectificación, Cancelación y Oposición) como son el derecho a la portabilidad del dato y el derecho a la limitación en el tratamiento.

1.9 DERECHO DE OPOSICIÓN

El derecho a las decisiones automatizadas viene regulado en los art. 21 y considerandos 69 a 70 del RGPD.

Artículo 22: Decisiones individuales automatizadas, incluida la elaboración de perfiles

1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
2. El apartado 1 no se aplicará si la decisión:
   1. es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
   2. está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
   3. se basa en el consentimiento explícito del interesado.
3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9 (Tratamiento de categorías especiales de datos personales), apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

1.9.1 Alcance

Se incluyen las elaboraciones de perfiles o profiling y se establece que los interesados tendrán derecho a no ser objeto de dichos tratamientos basados únicamente en tratamientos automatizados que produzcan efectos jurídicos o afecten al interesado de forma similar. El considerando 71 establece como ejemplos:

“la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna”

Así mismo, establece dicho considerando lo que puede llegar a entenderse por elaboración de perfiles:

“…elaboración de perfiles consistente en cualquier forma de tratamiento de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar.”

“….el responsable debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado y se impidan, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o que den lugar a medidas que produzcan tal efecto. Las decisiones automatizadas y la elaboración de perfiles sobre la base de categorías particulares de datos personales únicamente deben permitirse en condiciones específicas.”

Como excepciones se establecen las relaciones contractuales libremente aceptadas y el consentimiento o la previsión del Derecho Nacional o de la UE. Además, se establece que, en el caso de que se haya prestado el consentimiento o exista una relación contractual libremente aceptada, el tratamiento debe estar sujeto a las siguientes garantías adecuadas:

• Incluir información específica al interesado.
• Derecho a obtener intervención humana.
• Derecho a expresar su punto de vista.
• Derecho a recibir una explicación de la decisión tomada después de la evaluación.
• Derecho a impugnar la decisión.

PREGUNTAS FRECUENTES:

Con este nuevo derecho, un interesado además de negarse a usar sus datos para elaborar perfiles ¿a qué otro tipo de cosas puede negarse? Si tengo en mis sistemas algún algoritmo que haga este tipo de tratamientos ¿debo informar a los interesados? ¿Cómo pueden ellos saber que los uso?

Realmente, esta consulta puede resolverse con un ejemplo práctico. Imaginemos que no se concede un crédito porque una decisión automatizada sin intervención humana. Que una máquina tome una decisión automatizada que produzca efectos jurídicos o afecte de modo similar sin el consentimiento del interesado no es posible, y aunque lo obtuviera, dicho interesado tiene derecho a incluir información específica al interesado, derecho a obtener intervención humana, derecho a expresar su punto de vista y derecho a recibir una explicación de la decisión tomada después de la evaluación.

Este derecho ¿se podría entender como el de Limitación de Tratamiento, pero siendo permanente y no temporal como el de limitación?

En principio es un derecho con autonomía propia que se da en las circunstancias que marca el art. 21.

En relación con este derecho y el derecho de supresión, en este último caso ¿el ejercicio de la supresión supone que el interesado me deja tener sus datos en mis sistemas, con la circunstancia de que no puedo usarlos?

El derecho a la supresión no significa que los datos deban ser eliminados, sino que que debe dejarse de tratarlos, y podrían ser mantenidos conforme a los requisitos del artículo 17.3. Aunque se supriman los datos porque dejan de ser útiles para la finalidad en la que fueron recabados o porque ejerciten el derecho de supresión, es posible su conservación para defenderte frente a reclamaciones, ya que de lo contrario quedarías en indefensión frente por ejemplo una demanda del interesado que sabe que ejercitó el derecho de supresión.

Los supuestos del 17.3 serían:

• El ejercicio de las libertades de expresión e información
• El Cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros.
• Tratamiento para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
• Razones de interés público en el ámbito de la salud pública.
• Fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento
• Formulación, ejercicio o defensa de reclamaciones.

En conclusión, mientras que en la oposición estamos ante un tratamiento ilegítimo en apariencia o un tratamiento sobre el cual prevalecen los derechos del interesado, manifestando el mismo su disconformidad (su oposición a dicho tratamiento, valga la redundancia); el derecho de supresión supone dejar de utilizar una serie de datos personales sobre los cuales en su día hubo una base legal y justificada para su tratamiento.

CONCLUSIONES

• Se permite con el consentimiento del interesado o en relaciones contractuales libremente aceptadas, siempre y cuando se garantice incluir información al respecto y se garantice el derecho del interesado a la intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión y a impugnar la misma.