El pasado 17 de octubre de 2017 el Grupo de Trabajo del Artículo 29 (WP29, siglas en inglés de Article 29 Data Protection Working Party) publicó dos guías sobre la notificación ante violaciones de la seguridad de datos personales (artículo 33 RGPD) y sobre la toma de decisiones individuales automatizadas y elaboración de perfiles (artículo 22 RGPD), cuyo contenido comentamos a continuación.
Guía sobre la notificación de una violación de la seguridad de los datos personales
Para comenzar, esta guía define lo que es una violación de la seguridad de datos personales en torno a tres posibilidades:
El RGPD establece que el responsable del tratamiento debe notificar la violación de seguridad de datos personales en las 72 horas siguientes a tener constancia de la misma, plazo que, según la guía, comienza a contar desde que el responsable tiene un grado de certeza razonable de la existencia del problema de seguridad.
Ante una probable violación de seguridad de datos personales, la notificación debe hacerla el responsable del tratamiento a la autoridad de control competente. Sin embargo, tan solo debe comunicarlo a los individuos afectados cuando dicha probabilidad sea alta, por tanto, el WP29 subraya que el umbral para notificar a los individuos es superior.
Esta notificación debe incluir, según el RGPD, y si es posible, las categorías y los individuos afectados, ante lo que el WP29 enfatiza que el foco debería estar en la necesidad de proporcionar información sobre el riesgo existente, por lo que lo relevante es informar sobre los factores que determinan el nivel de riesgo más que sobre los números precisos.
Guía sobre decisiones individuales automatizadas y elaboración de perfiles
La guía comienza estableciendo una diferencia entre ambos conceptos. Así, se entienden las decisiones individuales automatizadas como la habilidad de tomar decisiones por medios tecnológicos sin intervención humana. Por su parte, se define la elaboración de perfiles como la recogida de datos sobre un individuo y el análisis de sus características o patrones de comportamiento para categorizarles o realizar predicciones o afirmaciones sobre su capacidad para realizar una tarea, sus intereses o su comportamiento probable.
Según el RGPD, los individuos tienen derecho a no ser objeto de decisiones basadas exclusivamente en un procesamiento automatizado, incluida la elaboración de perfiles, siempre que éstas produzcan (i) efectos legales, es decir, aquellos que tengan un impacto en los derechos del individuo, en su estatus legal o en sus derechos bajo un contrato o (ii) afecten significativamente al individuo de modo similar, entendidos como aquellos otros efectos que sean de suficiente entidad para afectar a las circunstancias, comportamiento o elecciones de los individuos.
Sin embargo, existen excepciones a la prohibición de las decisiones automatizadas. En la que se refiere a que la decisión sea necesaria para la celebración o ejecución de un contrato (22.2.a RGPD), el WP29 determina que la necesidad debe ser entendida de forma estricta, demostrando que el perfil es verdaderamente necesario y teniendo en cuenta que no existe otro método menos intrusivo.
Finalmente, en lo que se refiere a la obligación de proporcionar información sobre la lógica de las decisiones automatizadas que se pretenden tomar, el WP29 enfatiza que el responsable debe encontrar formas sencillas de comunicar la información sobre los criterios en los que se basa la decisión, sin necesariamente realizar una explicación exhaustiva de los algoritmos utilizados.
Inés Cabañas y Alejandro Negro
