Una cuestión muy debatida es la naturaleza del artículo 22 del RGPD. El Grupo de Trabajo del Artículo 29, por un lado, interpreta esta disposición como una prohibición general y justifica en su mayor parte su lectura basándose en el considerando 71, que deja claro que el tratamiento en virtud del artículo 22 del RGPD no está permitido de forma general.^[2] Por otro lado, Bygrave y otros autores sostienen que esta interpretación es contraria a la propia redacción del artículo 22 del RGPD, así como a su ubicación en la estructura del Reglamento (a saber, el capítulo III sobre los derechos de los interesados) y a su especial consideración en los artículos 13. 2(f), 14.2(g), 15.1(h), y 35.3(a).^[3] Mientras que la interpretación del artículo 22 del RGPD como una prohibición exige que el responsable del tratamiento la aplique con independencia de la acción del interesado a tal efecto, su interpretación como un derecho implica su ejercicio siguiendo los requisitos antes mencionados consagrados en el artículo 12 del RGPD que también se mencionarán a continuación.

La toma de decisiones automatizada es la capacidad de tomar decisiones por medios tecnológicos sin participación humana. Las decisiones automatizadas pueden basarse en cualquier tipo de datos, por ejemplo, datos proporcionados directamente por las personas afectadas (como las respuestas a un cuestionario); datos observados sobre las personas (como los datos de localización recogidos a través de una aplicación); datos derivados o inferidos, como un perfil de la persona ya creado (por ejemplo, una puntuación de crédito)^[4].

La elaboración de perfiles es cualquier forma de tratamiento automatizado de datos personales que consiste en el uso de datos personales para evaluar determinados aspectos personales relativos a una persona física, en particular, para analizar o predecir aspectos relativos al rendimiento laboral, la situación económica, la salud, las preferencias personales, los intereses, la fiabilidad, el comportamiento, la ubicación o los movimientos de dicha persona física (véase el artículo 4 del RGPD).

Aunque el RGPD no define los efectos “jurídicos” y “similares” derivados de la toma de decisiones automatizada, el Grupo de Trabajo del Artículo 29 aclara que un efecto jurídico requiere que la decisión, basada únicamente en el tratamiento automatizado, afecte a los derechos legales de alguien, como la libertad de asociarse con otros, votar en unas elecciones o emprender una acción legal. Un efecto jurídico también puede ser algo que afecte a la situación jurídica de una persona o a sus derechos en virtud de un contrato^[5]. Ejemplos de efectos jurídicos son la rescisión de un contrato, la denegación de una prestación social concedida por la ley, la denegación de la ciudadanía o del permiso de residencia. En cuanto a los efectos similares, el Grupo de Trabajo del Artículo 29 los considera como la consecuencia de decisiones que deben tener el potencial de afectar significativamente a las circunstancias, comportamientos o elecciones del individuo en cuestión: tener un impacto prolongado o permanente en el sujeto de los datos o; llevar a la exclusión o discriminación del individuo^[6]. Esto es evidente en una práctica de contratación electrónica que favorece a los hombres blancos frente a las mujeres o a las personas pertenecientes a grupos minoritarios o vulnerables.

De conformidad con el artículo 22.4 del RGPD, cuando se trate de categorías especiales de datos personales, puede producirse una toma de decisiones automatizada, a condición de que el interesado haya dado su consentimiento explícito o cuando sea necesaria por razones de interés público importante previstas en la legislación de la UE o de los Estados miembros de la UE. En este contexto, el responsable del tratamiento debe tomar todas las medidas adecuadas para salvaguardar los derechos y libertades del interesado.

Como ya se ha mencionado, el artículo 12 del RGPD establece la obligación del responsable del tratamiento de informar al interesado sobre la existencia de la toma de decisiones automatizada. Además, la información no debe limitarse al hecho de que se produce dicha toma de decisiones, sino que también debe explicar la lógica implicada y las posibles consecuencias para el interesado^[7].

El artículo 22.2 del RGPD establece tres excepciones a la prohibición de la toma de decisiones automatizada, a saber

• La decisión es necesaria para celebrar o ejecutar un contrato entre el interesado y un responsable del tratamiento;
• La decisión está autorizada por la legislación de la UE o de los Estados miembros a la que está sujeto el responsable del tratamiento;
• La decisión se basa en el consentimiento explícito del interesado.

En los casos en que se aplique una de estas excepciones, el responsable del tratamiento de los datos aplicará salvaguardias específicas distintas de las previstas con carácter general en el artículo 12 del RGPD. Sobre la base del artículo 22.3 del RGPD, en los casos de excepciones por contrato y consentimiento, el interesado seguirá teniendo derecho a exigir una revisión humana de la decisión totalmente automatizada, además de las salvaguardias generales que el responsable del tratamiento debe aplicar para proteger sus derechos y libertades fundamentales, así como sus intereses legítimos. Además, para garantizar un tratamiento de datos justo y transparente, el considerando 71 exige que el responsable del tratamiento utilice procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplique medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrijan los factores que dan lugar a inexactitudes en los datos personales y se reduzca al mínimo el riesgo de errores, asegurar los datos personales de manera que se tengan en cuenta los riesgos potenciales para los intereses y derechos del interesado y evitar, entre otras cosas, los efectos discriminatorios para las personas físicas por razón de su origen racial o étnico, sus opiniones políticas, su religión o sus convicciones, su pertenencia a un sindicato, su situación genética o sanitaria o su orientación sexual, o el tratamiento que dé lugar a medidas que produzcan tales efectos. A estos efectos, la aplicación del principio de protección de datos desde el diseño y por defecto es de suma importancia. Además, el considerando 91 aclara que debe realizarse una evaluación de impacto sobre la protección de datos en el contexto de los procesos de toma de decisiones automatizadas, siempre que el tratamiento de datos dé lugar a decisiones relativas a personas físicas concretas tras cualquier evaluación sistemática y amplia de aspectos personales relativos a personas físicas basada en la elaboración de perfiles de esos datos o tras el tratamiento de categorías especiales de datos personales, datos biométricos o datos sobre condenas e infracciones penales o medidas de seguridad conexas. La disposición continúa diciendo que [una] evaluación de impacto sobre la protección de datos es igualmente necesaria para el control de zonas de acceso público a gran escala, especialmente cuando se utilicen dispositivos ópticos-electrónicos o para cualquier otra operación en la que la autoridad de control competente considere que el tratamiento puede suponer un alto riesgo para los derechos y libertades de los interesados, en particular porque impiden a los interesados ejercer un derecho o utilizar un servicio o un contrato, o porque se llevan a cabo sistemáticamente a gran escala.

Lista de comprobación para responder a una solicitud de no ser sometido a una decisión automatizada Cómo cumplir con todas las obligaciones del RGPD: ☐ ¿Entra la toma de decisiones automatizada en alguna de las excepciones previstas en los artículos 22.2 y 22.4? En caso afirmativo, puede proceder al tratamiento de los datos; ☐ Informar al interesado de la existencia de la toma de decisiones automatizada, incluyendo también una explicación de la lógica implicada y de las posibles consecuencias para el interesado.

 

1. L. A. Bygrave, “Article 22. Automated individual decision-making, including profiling, en C. Kuner, L. A. Bygrave & C. Docksey The EU General Data Protection Regulation (GDPR) A Commentary, Oxford: Oxford University Press, 2020, p. 526 ↑
2. Grupo de Trabajo de Protección de Datos del Artículo 29, “Directrices sobre la toma de decisiones individuales automatizadas y la elaboración de perfiles a efectos del Reglamento 2016/679”, 2018, WP251rev.01, pp. 19-20 ↑
3. L. A. Bygrave, op. cit., pp. 531-532 ↑
4. Grupo de Trabajo de Protección de Datos del Artículo 29, “Directrices sobre la toma de decisiones individuales automatizadas y la elaboración de perfiles a efectos del Reglamento 2016/679”, op. cit., p. 8 ↑
5. Grupo de Trabajo de Protección de Datos del Artículo 29, “Directrices sobre la toma de decisiones y la elaboración de perfiles individuales automatizados a efectos del Reglamento nº 2016/679”, op. cit., p. 21 ↑
6. Ibid. ↑
7. Agencia de Derechos Fundamentales (ed.), op. cit., p. 234 ↑