La elaboración de perfiles en el RGPD

Sin duda alguna, una de las mejores formas de personalizar la oferta de nuestros productos o servicios, es la segmentar a nuestros clientes por intereses o tipologías de los mismos. Esto pasa por la elaboración de perfiles de clientes que nos permitirían clasificar a nuestros clientes individuales en una u otra categoría.

En relación con esta elaboración de perfiles, el RGPD en su artículo 4.4, describe esta técnica como:

«elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;

Si bien en todo el articulado del RGPD, no hay una directriz explícita sobre la elaboración de perfiles, es cierto que durante el mismo se va tratando el tema a medida que se presentan los artículos, relacionados principalmente en: la información que se facilita al interesado, el derecho a oponerse al tratamiento y a la aplicación de medidas de seguridad.

En que momento se pueden realizar perfiles

La elaboración de perfiles, en base a lo previsto por el RGPD, solo será valida si se aplican una serie de medidas de seguridad adecuadas para la protección de los derechos, libertades e intereses legítimos de los interesados.

Por tanto, un interesado solo podrá ser objeto de una elaboración de perfiles basada únicamente en un tratamiento automatizado, cuando se cumplan estas premisas:

  1. Esté informado de que la decisión que pueda ser tomada a consecuencia de la misma pueda producirle efectos jurídicos que le afecten de forma significativa.
  2. El interesado pueda ejercer el derecho a obtener la intervención humana por parte del Responsable del Tratamiento, a expresar su punto de vista y a impugnar la decisión, si el tratamiento ha sido autorizado mediante:
  • El consentimiento explícito del interesado.
  • Un contrato entre el interesado y el Responsable del tratamiento.
  • El tratamiento esté autorizado por la legislación vigente.

Igualmente, queda prohibida la elaboración de perfiles cuando el tratamiento se base en categorías especiales de datos, excepto si el interesado ha dado su consentimiento para fines específicos permitidos por la legislación vigente y el tratamiento se realiza para fines de interés público o bajo la supervisión de poderes públicos, fundamentados en la legislación vigente.

Información al interesado

La política de información destinada al interesado deberá garantizar un tratamiento leal y transparente con el mismo. Cuando existan decisiones automatizadas basadas en una elaboración de perfiles, se deberá facilitar información significativa sobre la lógica aplicada (algoritmos) para el tratamiento de los datos y la importancia y consecuencias previstas para el interesado.

Medidas de seguridad a aplicar

El Responsable del Tratamiento deberá realizar, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento cuando se determine que dicho tratamiento se basa en una evaluación sistemática y exhaustiva de aspectos personales basado en un tratamiento automatizado, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para los interesados.

Como vemos, una herramienta tan interesante como la elaboración de perfiles y tipologías, plantea de cara al Responsable del Tratamiento, una serie de obligaciones para garantizar que el usuario mantiene todas los derechos sobre sus datos, a pesar de que las conclusiones que se puedan extraer de este tipo de tratamiento, sean totalmente automatizadas.

Créditos de la imagen: Photo by Marc_Smith on Foter.com

guest
0 Comentarios
Inline Feedbacks
View all comments