Contact Us

¿Qué debemos tener en cuenta acerca las decisiones automatizadas y la Inteligencia Artificial como ciudadanos?

También aplicable a los riesgos que se derivan de CHATGPT.

Qué debemos conocer al respecto y cómo nos debemos proteger como personas físicas titulares de nuestros datos personales.

Algunas empresas y sectores públicos y privados elaboran perfiles personales en base a datos personales para crear estadísticas que les permitan tomar decisiones de una forma automática y lograr sus objetivos comerciales o de escalabilidad de forma casi automática alimentándose de bases de datos pública, privadas o de redes, internet es un caldo de cultivo ideal…en definitiva encasillan a las personas.

 

¿Qué significa que se creen perfiles?

 

El Art. 4.4 RGPD describe que cualquier tipo de procesamiento automático de datos personales consistente en el uso de datos personales para evaluar ciertos aspectos relativos a la naturaleza de la persona.

 

“Art 4.4 elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;”

 

Identifica a la persona física según su comportamiento, su vida profesional o trabajo, hábitos de gestión económica, salud, preferencias personales, intereses, habilidades, comportamientos, residencia, etc… Con esta información se elaboran perfiles que servirán para alimentar bases de datos, a veces con datos personales o datos pseudonomizados (significa que son datos que no se les asigna una titularidad, pero si responde a un comportamiento o a un perfil concreto) para elaborar campañas comerciales con un fin común. Vender más o vender al público objetivo por entender las preferencias del target/perfil del potencial cliente.

O premiar aquellos perfiles que encajen con un comportamiento.

Elementos que componen la “realización de perfiles” de datos personales.

  1. Tiene que ser una forma automática de procesar datos
  2. Debe ser en base a datos personales
  3. El objetivo de perfilar es, evaluar aspectos de la persona física.

Con este proceso se incluirá realizar estadísticas, realizar predicciones sobre el comportamiento de personas. En definitiva, es utilizar datos personales de personas físicas o de grupos de personas para evaluar sus patrones de comportamiento y características para encajarlas en un parámetro y hacer predicciones sobre su comportamiento. Podría ser las predicciones de pago de sus deudas, los intereses acerca de bienes o servicios, o comportamientos ante ciertos estímulos.

 

Un ejemplo;

 

Un bróker de datos capta datos personales de personas físicas de fuentes públicas y privadas y elabora perfiles y después nutrir su base de datos o elaborar perfiles de comportamiento.

Con estos perfiles, algunos organismos toman decisiones acerca de la adecuación de esas personas para ciertos “beneficios” o “bonus” o ventajas a la hora de acceder a un servicio o bien de primera necesidad.

En este caso ya se está perfilando un realizando un “decisión automatizada”

Y aquí entra el Art. 22 (1) del RGPD.

 

¿Qué sucede con las “decisiones automáticas”?

  • Las “decisiones automatizadas” pueden solaparse con la “creación de perfiles”.
    • Datos obtenidos de personas físicas
    • Datos obtenidos a través de observación (App que identifican el domicilio)
    • Datos que se realizan a través de perfiles ya creados (perfil de riesgo para tarjetas de crédito).

 

¿Qué Artículos del Reglamento General de Protección de Datos entran en Juego?

 

Art. 4, 5, 6, 7, 13, 14, 15, 16, 21 y 22

 

En Art. 5(1) “Principios relativos al tratamiento

“Art. 5(1) a

1. Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»

 

  1. b) recogidos con fines determinados, explícitos y legítimos,

 

  1. c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»).
d) exactos 
  1. e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales
  2. f) tratados de tal manera que se garantice una seguridad adecuada”

El proceso de elaboración de perfiles es en muchas ocasiones poco transparente para el titular de los datos, por ejemplo las aseguradoras a la hora de elabora un perfil. En este sentida debemos tener en cuenta el Art. 12.1 donde se dice que se deberá ofrecer al titular de los datos suficiente transparencia, legibilidad, acceso acerca del procesamiento de datos de los titulares.

Una aseguradora puede ofrecer precios basándose en datos de un colectivo donde te incluya y no corresponda con tu comportamiento.

El responsable de los datos debe informar al titular de los datos si existe un proceso de “decisión automatizada” y la lógica que se aplica.

Art. 22 RGPD. “Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.”

Para no alargar demasiado este artículo, nos centraremos en Art. 22 para destacar la necesidad de evitar decisiones automatizadas basadas en elaboración de perfiles, cuando estas decisiones perjudican a ciertos colectivos.

 

Pues existe una prohibición de crear automatizar 100% decisiones automatizadas, incluyendo elaboración de perfiles que tenga efectos legales significativos,

Debe haber medidas para salvaguardar el derecho sujeto de los datos, sus derechos y libertades.

 

Cualquier procesamiento que implique Alto Riesgo de procesamiento automático requiere que el responsable de datos lleva a cabo un (DPIA) “Data Protection Impact ssessment.“

 

Efectos legales de las “Decisiones Automatizadas”

 

Las decisiones automatizadas y la elaboración de perfiles pueden tener serias repercusiones para los titulares de los datos.

 

Efectos, Si la elaboración de perfiles afecta de forma directa los derechos y las libertades, como el derecho de asociación, el derecho de votos, o que ello suponga que la persona se vea perjudicada en,

 

– La cancelación o modificación de las condiciones de un contrato o suscripción

– Se le denegar un beneficio social garantizado por ley.

– Se le deniega la residencia en un país.

 

Digamos que el titular de los datos puede verse perjudicado por la denegación de un préstamo, o la negación de seguir con un proceso de contratación de trabajo, sin haber tenido la intervención humana. Y esta dinámica a largo plazo puede derivar en la discriminación de ciertos perfiles.

 

Especial atención debería recaer sobre decisiones tomadas acerca de las siguientes categorías.

  • Decisiones que afecten a sus circunstancias financieras, elegibilidad de un proceso financiero.
  • Decisiones que afecten el acceso a sanidad
  • Decisiones que afecten oportunidades de empleo por dejar a la persona en clara desventaja.
  • Decisiones que afecten la admisión de personas en Universidades.

 

Derechos del sujeto interesado

 

“Artículo 22. Decisiones individuales automatizadas, incluida la elaboración de perfiles

  1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
  2. El apartado 1 no se aplicará si la decisión:
  3. a)    es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
  4. b)    está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
  5. c)    se basa en el consentimiento explícito del interesado.
  6. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
  7. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.”

Silvia Calls