GDPR 16. L'elaboració de perfils

12/09/2016 | Josep Aragonés Salvat



Què és una elaboració de perfils?


A l'article 4 del Reglament es defineix l'elaboració de perfils com la confecció de decisions individuals basades en un tractament automatitzat de dades destinat a avaluar aspectes personals o analitzar o predir:
  • Rendiment professional.
  • Situació econòmica.
  • Salut.
  • Preferències o interessos personals.
  • Fiabilitat o comportament.
  • Ubicació o moviments.
 

Referències sobre l'elaboració de perfils al Reglament


En tot el Reglament no hi ha una directriu explícita sobre l'elaboració de perfils. Es va tractant el tema a mesura que es disposen els articles basats principalment en la informació que es facilita a l'interessat, el dret a oposar-se al tractament i a l'aplicació de mesures de seguretat.

Al GDPR es pot trobar referències a l'elaboració de perfils a:
 
  • Definicions (article 4, apartat 4)
  • Informació que s'ha de facilitar quan les dades personals s'obtinguin de l'interessat (article 13, apartat 2, lletra f)
  • Informació que s'ha de facilitar quan les dades personals no s'hagin obtingut de l'interessat (article 14, apartat 2, lletra g)
  • Dret d'accés de l'interessat (article 15, apartat 1, lletra h)
  • Dret d'oposició (article 21)
  • Decisions individuals automatitzades, inclosa l'elaboració de perfils (article 22)
  • Avaluació d'impacte relativa a la protecció de dades (article 35, apartat 3, lletra a)
  • Considerants 24, 38, 60, 63, 70, 71, 75 i 91
 

Quan es poden realitzar elaboracions de perfils?


Només es podrà realitzar una elaboració de perfils si s'apliquen mesures adequades per a la protecció dels drets, llibertats i interessos legítims dels interessats.

Un interessat només podrà ser objecte d'una elaboració de perfils basada únicament en un tractament automatitzat, quan:
  • Estigui informat que la decisió que pugui ser presa a conseqüència de la mateixa pugui produir-li efectes jurídics que l'afectin significativament.
  • L'interessat pugui exercir el dret a obtenir la intervenció humana per part del Responsable del tractament, a expressar el seu punt de vista i a impugnar la decisió, si el tractament ha estat autoritzat mitjançant:
    • El consentiment explícit de l'interessat.
    • Un contracte entre l'interessat i el Responsable del tractament.
  • El tractament estigui autoritzat per la legislació vigent.

Està prohibida l'elaboració de perfils quan el tractament es basi en categories especials de dades, excepte si:
  • L'interessat ha donat el consentiment per a fins específics permesos per la legislació vigent.
  • El tractament es realitza per a fins d'interès públic o sota la supervisió de poders públics, fonamentats en la legislació vigent.
 

Informació a facilitar a l'interessat


La política d'informació destinada a l'interessat haurà de garantir un tractament lleial i transparent amb el mateix i quan hi hagi decisions automatitzades basades en una elaboració de perfils, s'haurà de facilitar informació significativa sobre:
 
  • La lògica aplicada per al tractament de les dades.
  • La importància i conseqüències previstes per a l'interessat.
 

Mesures de seguretat a aplicar en un tractament automatitzat d'elaboració de perfils


El Responsable del tractament haurà de realitzar, abans del tractament, una avaluació de l'impacte de les operacions de tractament quan aquest tractament es basi en una avaluació sistemàtica i exhaustiva d'aspectes personals basat en un tractament automatitzat, com l'elaboració de perfils, i sobre la base dels quals prenguin decisions que produeixin efectes jurídics per als interessats.


 

Què diu el GDPR?


Considerant 24
El tractament de dades personals dels interessats que resideixen a la Unió per un responsable o encarregat no establert a la Unió ha de ser també objecte del present Reglament quan estigui relacionat amb l'observació del comportament d'aquests interessats en la mesura que aquest comportament tingui lloc a la Unió. Per determinar si es pot considerar que una activitat de tractament controla el comportament dels interessats, s'ha d'avaluar si les persones físiques són objecte d'un seguiment a internet, inclusivament el potencial ús posterior de tècniques de tractament de dades personals que consisteixin en l'elaboració de un perfil d'una persona física per tal, en particular, d'adoptar decisions sobre ell o d'analitzar o predir les seves preferències personals, comportaments i actituds.


Considerant 38
Els nens mereixen una protecció específica de les seves dades personals, ja que poden ser menys conscients dels riscos, conseqüències, garanties i drets concernents al tractament de dades personals. Aquesta protecció específica s'ha d'aplicar en particular, a la utilització de dades personals de nens amb fins de màrqueting o elaboració de perfils de personalitat o d'usuari, i a l'obtenció de dades personals relatives a nens quan s'utilitzin serveis oferts directament a un nen. El consentiment del titular de la pàtria potestat o tutela no ha de ser necessari en el context dels serveis preventius o d'assessorament oferts directament als nens.


Considerant 60
Els principis de tractament lleial i transparent exigeixen que s'informi a l'interessat de l'existència de l'operació de tractament i els seus fins. El responsable del tractament ha de facilitar a l'interessat tota la informació complementària sigui necessària per garantir un tractament lleial i transparent, tenint en compte les circumstàncies i del context específics en què es tractin les dades personals. S'ha de més informar l'interessat de l'existència de l'elaboració de perfils i de les conseqüències d'aquesta elaboració. Si les dades personals s'obtenen dels interessats, també se'ls ha d'informar de si estan obligats a facilitar-los i de les conseqüències en cas que no ho fessin. Aquesta informació pot transmetre en combinació amb unes icones normalitzats que ofereixin, de manera fàcilment visible, intel·ligible i clarament llegible, una adequada visió de conjunt del tractament previst. Les icones que es presenten en format electrònic han de ser llegibles mecànicament.


Considerant 63
Els interessats han de tenir dret a accedir a les dades personals recollides que li concerneixen i a exercir aquest dret amb facilitat i a intervals raonables, per tal de conèixer i verificar la licitud del tractament. Això inclou el dret dels interessats a accedir a dades relatives a la salut, per exemple les dades de les seves històries clíniques que continguin informació com diagnòstics, resultats d'exàmens, avaluacions de facultatius i qualssevol tractaments o intervencions practicades. Tot interessat ha, per tant, tenir el dret a conèixer i a que se li comuniquin, en particular, els fins per als quals es tracten les dades personals, el seu termini de tractament, els seus destinataris, la lògica implícita en tot tractament automàtic de dades personals i, almenys quan es basi en l'elaboració de perfils, les conseqüències d'aquest tractament. Si és possible, el responsable del tractament ha d'estar facultat per facilitar accés remot a un sistema segur que ofereixi a l'interessat un accés directe a les seves dades personals. Aquest dret no ha d'afectar negativament els drets i llibertats de tercers, inclosos els secrets comercials o la propietat intel·lectual i, en particular, els drets de propietat intel·lectual que protegeixen programes informàtics. No obstant això, aquestes consideracions no han de tenir com a resultat la negativa a prestar tota la informació a l'interessat. Si tracta una gran quantitat d'informació relativa a l'interessat, el responsable del tractament ha d'estar facultat per sol·licitar que, abans de facilitar la informació, l'interessat especifiqui la informació o activitats de tractament a què es refereix la sol·licitud.


Considerant 70
Si les dades personals són tractades amb fins de màrqueting directe, l'interessat ha de tenir dret a oposar-se a aquest tractament, inclusivament a l'elaboració de perfils en la mesura que estigui relacionada amb aquest màrqueting directe, ja sigui respecte a un tractament inicial o ulterior, i això en qualsevol moment i sense cap cost. Aquest dret s'ha de comunicar explícitament a l'interessat i presentar-se clarament i al marge de qualsevol altra informació.


Considerant 71
L'interessat ha de tenir dret a no ser objecte d'una decisió, que pot incloure una mesura, que avaluï aspectes personals relatives a ell, i que es basi únicament en el tractament automatitzat i produeixi efectes jurídics en ell o li afecti significativament de manera similar, com la denegació automàtica d'una sol·licitud de crèdit en línia o els serveis de contractació en xarxa en què no hi hagi intervenció humana alguna. Aquest tipus de tractament inclou l'elaboració de perfils consistent en qualsevol forma de tractament de les dades personals que avaluï aspectes personals relatius a una persona física, en particular per analitzar o predir aspectes relacionats amb el rendiment a la feina, la situació econòmica, la salut , les preferències o interessos personals, la fiabilitat o el comportament, la situació o els moviments de l'interessat, en la mesura que produeixi efectes jurídics en ell o li afecti significativament de manera similar. No obstant això, s'han de permetre les decisions basades en tal tractament, inclosa l'elaboració de perfils, si ho autoritza expressament el Dret de la Unió o dels Estats membres aplicable al responsable del tractament, fins i tot amb fins de control i prevenció del frau i la evasió fiscal, realitzada de conformitat amb les reglamentacions, normes i recomanacions de les institucions de la Unió o dels òrgans de supervisió nacionals i per garantir la seguretat i la fiabilitat d'un servei prestat pel responsable del tractament, o necessari per a la conclusió o execució d'un contracte entre l'interessat i un responsable del tractament, o en els casos en què l'interessat hagi donat el seu consentiment explícit. En qualsevol cas, aquest tractament ha d'estar subjecte a les garanties apropiades, entre les que s'han d'incloure la informació específica a l'interessat i el dret a obtenir intervenció humana, a expressar el seu punt de vista, a rebre una explicació de la decisió presa després de tal avaluació i a impugnar la decisió. Tal mesura no ha d'afectar a un menor.
Per tal de garantir un tractament lleial i transparent respecte de l'interessat, tenint en compte les circumstàncies i context específics en què es tracten les dades personals, el responsable del tractament ha d'utilitzar procediments matemàtics o estadístics adequats per a l'elaboració de perfils, aplicar mesures tècniques i organitzatives apropiades per garantir, en particular, que es corregeixen els factors que introdueixen inexactituds en les dades personals i es redueix al màxim el risc d'error, assegurar les dades personals de manera que es tinguin en compte els possibles riscos per als interessos i drets l'interessat i es impedeixin, entre altres coses, efectes discriminatoris en les persones físiques per motius de raça o origen ètnic, opinions polítiques, religió o creences, afiliació sindical, condició genètica o estat de salut o orientació sexual, o que donin lloc a mesures que produeixin aquest efecte. Les decisions automatitzades i l'elaboració de perfils sobre la base de categories particulars de dades personals únicament s'han de permetre en condicions específiques.


Considerant 75
Els riscos per als drets i llibertats de les persones físiques, de gravetat i probabilitat variables, poden deure's al tractament de dades que poguessin provocar danys i perjudicis físics, materials o immaterials, en particular en els casos en què el tractament pugui donar lloc a problemes de discriminació, usurpació d'identitat o frau, pèrdues financeres, dany per a la reputació, pèrdua de confidencialitat de dades subjectes al secret professional, reversió no autoritzada de la seudonimización o qualsevol altre perjudici econòmic o social significatiu; en els casos en què es privi els interessats dels seus drets i llibertats o se'ls impedeixi exercir el control sobre les seves dades personals; en els casos en què les dades personals tractades revelin l'origen ètnic o racial, les opinions polítiques, la religió o creences filosòfiques, la militància en sindicats i el tractament de dades genètiques, dades relatives a la salut o dades sobre la vida sexual, o les condemnes i infraccions penals o mesures de seguretat connexes; en els casos en què s'avaluïn aspectes personals, en particular l'anàlisi o la predicció d'aspectes referits al rendiment a la feina, situació econòmica, salut, preferències o interessos personals, fiabilitat o comportament, situació o moviments, amb la finalitat de crear o utilitzar perfils personals; en els casos en què es tractin dades personals de persones vulnerables, en particular nens; o en els casos en què el tractament impliqui una gran quantitat de dades personals i afecti a un gran nombre d'interessats.


Considerant 91
... L'avaluació d'impacte relativa a la protecció de dades ha de realitzar-se també en els casos en què es tracten dades personals per adoptar decisions relatives a persones físiques concretes arran d'una avaluació sistemàtica i exhaustiva d'aspectes personals propis de persones físiques, basada en l'elaboració de perfils d'aquestes dades o arran del tractament de categories especials de dades personals, dades biomètriques o dades sobre condemnes i infraccions penals o mesures de seguretat connexes ...

 
 

Seguiment del curs Expert en el GDPR


Tema anterior: 15. Transferències internacionals de dades     Tema següent: 17. El Delegat de Protecció de dades (DPO)



Informació relacionada