La elaboración de perfiles se ha definido en el Art. 4 del RGPD como “cualquier forma de tratamiento automatizado de datos personales que implique el uso de datos personales para evaluar aspectos específicos de una persona, en particular para analizar o predecir aspectos relacionados con su rendimiento profesional, su situación financiera, su salud, sus preferencias personales, sus intereses, su fiabilidad, su comportamiento, su ubicación o sus movimientos”.

En principio, la creación de perfiles puede aportar a los usuarios importantes beneficios, ya que podría aumentar la eficiencia del sistema, ahorrar recursos o ayudar a prestar un mejor servicio. Por ejemplo, la elaboración de perfiles por parte de un televisor inteligente podría ayudarnos a encontrar series que se ajusten bien a nuestras preferencias sin tener que dedicar mucho tiempo a buscarlas por nuestra cuenta. Sin embargo, también está claro que podría servir para fines más oscuros y discriminatorios, que implican riesgos significativos para los derechos y las libertades de las personas” y pueden “perpetuar los estereotipos y la segregación social existentes” si no hay salvaguardias adecuadas.

Hay que tener especial cuidado con la elaboración de perfiles cuando los responsables del tratamiento empiezan a mezclar datos. La alineación de diferentes tipos de datos personales puede revelar información sensible sobre las personas. A veces, estos procesos acaban incluso tratando datos personales de categorías especiales de forma inadvertida. Por ejemplo, la mezcla de datos de categorías no especiales, como los datos sobre preferencias, ubicación y conexiones con las redes sociales, puede permitir inferir con un alto grado de éxito la orientación sexual de las personas o sus creencias religiosas. Esto puede ocurrir sin que las personas sean conscientes de ello. No hace falta decir que estas consecuencias deben evitarse cuidadosamente.

Para abordar estas cuestiones, los desarrolladores de IA deben conocer bien el artículo 22 del RGPD. Esta cláusula establece que “los interesados tendrán derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre ellos o les afecte de manera similar.” Sobre esta base, hay que hacer algunas consideraciones importantes.

• En primer lugar, la prohibición de la “toma de decisiones totalmente automatizada” sólo se aplica cuando la decisión basada en dicha tecnología “tiene un efecto legal sobre alguien o le afecta significativamente de forma similar“. Las directrices delComité Europeo de Protección de Datoscitan como ejemplos de esto: el rechazo de un proceso de selección, la denegación de un crédito o un seguro, o la aplicación de precios diferentes a un mismo grupo. No es necesario que afecte a un gran número de personas. En otras situaciones, evaluar si el proceso de toma de decisiones totalmente automatizado crea efectos significativos puede no estar siempre claro para el responsable del tratamiento. En estos casos, se recomienda obtener el asesoramiento del DPD.
• En segundo lugar, hay que tener en cuenta que no hay “decisión basada únicamente en el tratamiento automatizado” si la decisión es revisada por un ser humano que “tiene en cuenta otros factores para tomar la decisión final”. Si un ser humano se limita a ratificar lo que indica una herramienta, esto no contaría como intervención humana propiamente dicha. El elemento humano debe tener poder suficiente para rectificar la recomendación de la herramienta. Algunos factores para evaluar esto podrían ser la cantidad de veces que el humano se desvía de la recomendación automatizada, si la persona tiene autonomía dentro de la organización para tomar la decisión, y qué otros factores son tenidos en cuenta por la persona que no están incluidos en el modelo automatizado.
• Además, el apartado 2 del artículo 22 introduce algunas excepciones a esta prohibición general de elaboración de perfiles o toma de decisiones automatizada. En efecto, las Directrices publicadas por el Grupo de Trabajo del Artículo 29 declaran que la prohibición no se aplica si la elaboración de perfiles o la toma de decisiones automatizadas son necesarias para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento; están autorizadas por el Derecho de la Unión o de los Estados miembros al que está sujeto el responsable del tratamiento y que también establece medidas adecuadas para proteger los derechos y libertades del interesado y sus intereses legítimos (medidas técnicas y organizativas, garantías, etc.); o se basan en el consentimiento explícito del interesado. Es decir, en estas tres circunstancias, se permiten procesos de toma de decisiones totalmente automatizados. Por ejemplo, un servicio consistente en ofrecer contenidos multimedia personalizados basados en sus preferencias declaradas y en sus datos de consumo, requerirá necesariamente la elaboración de perfiles. Si se puede demostrar la “necesidad”, se permitirá la elaboración de perfiles totalmente automatizados.

Cuadro 6: Perfil de los efectos negativos y análisis inferencial Posibles formas de monitorización y elaboración de perfiles que pueden dar lugar a problemas de privacidad y discriminación en los sistemas de IdC: elaboración de perfiles mediante la inferencia de datos, ya sea a partir de los proporcionados principalmente por el sujeto de los datos o de otras fuentes de datos (por ejemplo, el comportamiento de navegación en Internet); perfilado mediante la vinculación de conjuntos de datos de IdC; la elaboración de perfiles que se produce cuando los datos se comparten con terceros que combinan los datos con otros conjuntos de datos (por ejemplo, proveedores de productos, soporte técnico).

Por lo tanto, la elaboración de perfiles o la toma de decisiones automatizada puede ser aceptable si se da alguna de estas circunstancias, siempre que el tratamiento no contravenga la normativa de protección de datos de ninguna otra forma posible. Sin embargo, incluso en estos casos, deben incorporarse medidas adicionales. Los desarrolladores de la IdCdeben tener especial cuidado si tratan con categorías especiales de datos inferidas por los sistemas. El artículo 22, apartado 4, contiene limitaciones en cuanto al uso de categorías especiales de datos para la toma de decisiones o la elaboración de perfiles totalmente automatizados. En este caso, el art. 22 debe aplicarse de acuerdo con el art. 9 del RGPD. En concreto, cuando se trata de categorías especiales de datos, las decisiones totalmente automatizadas sólo se permiten con el consentimiento explícito del interesado (art. 9.1.a)) o por razones de interés público importante, basadas en la legislación vigente (art. 9.1.g)). Por ejemplo, un responsable del tratamiento desea crear perfiles de ciudadanos para inferir las posibilidades de contraer un virus y prevenir una pandemia. Para ello, se deben mezclar diferentes fuentes de datos, incluidos los datos sanitarios. Esto podría considerarse necesario para la protección de un interés público sustancial. Además, es necesario que exista una legislación comunitaria o nacional que permita este tratamiento. Si se cumplen todas estas circunstancias, el art. 9(2)(g) es aplicable y, por tanto, el responsable del tratamiento puede acogerse a la excepción del art. 22(4) que permite la elaboración de perfiles totalmente automatizados.

En cualquier caso, deben cumplirse todas las demás obligaciones y garantías. Por ejemplo, las obligaciones de información, la evaluación de una EIPD, etc. Además, el art. 22(3) contiene garantías adicionales que deben observarse al tomar determinadas decisiones totalmente automatizadas, como el derecho a obtener la intervención humana, a expresar el punto de vista del interesado y a impugnar la decisión. Los interesados deben conocer toda esta información y los correspondientes derechos y acciones que pueden ejercer.

Como ya se ha dicho, el proceso de elaboración de perfiles es “a menudo invisible para el interesado. Funciona creando datos derivados o inferidos sobre las personas. Los individuos tienen diferentes niveles de comprensión y pueden encontrar difícil entender las complejas técnicas que intervienen en los procesos de elaboración de perfiles y de toma de decisiones automatizadas.” ^[1]

Cuadro 7: Inferir datos. Ejemplo “La empresa X ha desarrollado una aplicación que, mediante el análisis de los datos brutos de las señales de electrocardiograma generadas por sensores comerciales comúnmente disponibles para los consumidores, es capaz de detectar patrones de adicción a las drogas. El motor de la aplicación puede extraer características específicas de los datos brutos del ECG que, según los resultados de investigaciones anteriores, están relacionadas con el consumo de drogas. El producto, compatible con la mayoría de los sensores del mercado, podría utilizarse como aplicación independiente o a través de una interfaz web que requiera la carga de los datos. Lo más probable es que el consentimiento explícito sea la base jurídica más adecuada para este tratamiento”. Fuente: Dictamen del Grupo de Trabajo del Artículo 29 de Protección de Datos 8/2014 sobre la sobre la evolución reciente de la Internet de los objetos (16 de septiembre de 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088.

1. Grupo de Trabajo del Artículo 29 (2017) Directrices sobre la toma de decisiones individuales automatizadas y la elaboración de perfiles a efectos del Reglamento 2016/679. Adoptadas el 3 de octubre de 2017 y revisadas y adoptadas por última vez el 6 de febrero de 2018. Comisión Europea, Bruselas, p.9. Disponible en: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053. ↑