Décisions automatisées : comment le RGPD est-il mis en œuvre ?

Decisiones automatizadas: ¿cómo se implementa el RGPD?

Vigilancia Legal No. 47 – Mayo de 2022

Decisiones automatizadas: ¿cómo se implementa el RGPD? El 17 de mayo, el Future of Privacy Forum publicó un extenso informe sobre la cuestión de las decisiones automatizadas.

Este informe analiza más de 70 documentos que arrojan luz sobre cómo los juzgados y tribunales, las autoridades de protección de datos europeas y del Reino Unido, así como varias directrices y recomendaciones emitidas por los reguladores sobre este tema, aplican el artículo 22 del RGPD.

Si bien las decisiones automatizadas ya estaban reguladas en la Directiva europea 95/46/CE, el principio ha adquirido una nueva dimensión desde la entrada en vigor del RGPD.

Es por tanto aplicable en contextos más variados y frecuentes como los de la inteligencia artificial, y las APD disponen ahora de medios para hacer cumplir la ley.

Este tipo de decisión se encuentra principalmente en los siguientes ámbitos:

  • Control de acceso y asistencia en centros educativos mediante tecnologías de reconocimiento facial
  • Monitoreo en línea en universidades y calificación automatizada de estudiantes
  • Filtrado automático de solicitudes de empleo
  • Gestión algorítmica de trabajadores de plataformas
  • Distribución de beneficios sociales y detección del fraude fiscal
  • Evaluación de crédito automatizada
  • Decisiones de moderación de contenidos en redes sociales

Recordemos brevemente el principio: El artículo 22 del RGPD otorga a las personas el derecho a no estar sujetas a una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre él o le afecte significativamente de modo similar.

A este respecto, cabe señalar que el Comité Europeo de Protección de Datos ha aclarado que los responsables del tratamiento de datos no pueden evitar la aplicación del artículo 22 haciendo que un humano simplemente estampe las decisiones tomadas por la máquina, sin tener la autoridad o competencia real para modificar el resultado.

Por otra parte, si el proceso automatizado en cuestión sólo proporciona datos para una decisión que en última instancia será adoptada por un ser humano, el procesamiento subyacente no cae dentro del ámbito de aplicación del artículo 22.

De conformidad con el artículo 22(2), las decisiones automatizadas siguen siendo posibles cuando sean necesarias para la ejecución de un contrato, estén previstas por la ley o se basen en el consentimiento explícito del individuo.

En tales casos, el responsable del tratamiento deberá, no obstante, establecer medidas adecuadas para salvaguardar los derechos y libertades del interesado y sus intereses legítimos, así como su derecho a obtener al menos intervención humana por parte del responsable del tratamiento, a expresar su punto de vista y a impugnar la decisión.

Esta estricta limitación de las decisiones automatizadas debe leerse en el contexto más amplio del RGPD, y en particular sus requisitos relativos a la legitimidad de cualquier tratamiento, la existencia de una base jurídica y las normas relativas a los denominados datos sensibles, incluidos los datos biométricos.

Los documentos analizados muestran que las autoridades de control y los tribunales aplican estrictamente estos principios.

Insisten en particular en los siguientes elementos:

  • La obligación de transparencia respecto de los parámetros que dan lugar a una decisión automatizada;
  • La aplicación del principio de lealtad, para evitar la discriminación;
  • Las estrictas condiciones para obtener el consentimiento del interesado.

Además, para decidir si una decisión es exclusivamente automatizada, se tendrá en cuenta todo el contexto del proceso de toma de decisiones: estructura organizativa del directivo, líneas jerárquicas, concienciación de los empleados.

Para evaluar el impacto de la decisión sobre el individuo, las autoridades examinan en particular si los datos de entrada de una decisión automatizada incluyen inferencias sobre el comportamiento de los individuos y si la decisión afecta al comportamiento y las elecciones de los individuos afectados.

En Francia, una de las decisiones de referencia es la de la CNIL en el Archivo Clearview, en relación con el reconocimiento facial: la Comisión ordenó a Clearview AI que dejara de recopilar imágenes faciales de personas en Francia a través de Internet para alimentar la base de datos que entrena su software de reconocimiento facial y que eliminara las imágenes recopiladas anteriormente, en un plazo de dos meses.

Italia y el Reino Unido han adoptado decisiones similares respecto a la misma empresa.

Una sentencia dictada en febrero de 2020 por el Tribunal Administrativo de Marsella anuló la decisión de la región de Provenza-Alpes-Costa Azul de realizar dos Pilotos de reconocimiento facial en las entradas de las escuelas de Niza y Marsella.

Mientras el caso estaba pendiente, la CNIL expresó su preocupación por la implementación de un sistema de este tipo, dado el público objetivo (niños) y la sensibilidad de los datos biométricos involucrados.

La decisión del Tribunal de anular los pilotos se tomó sobre la base de que el consentimiento obtenido de los estudiantes de secundaria no se dio de manera libre, específica, informada e inequívoca, y que las escuelas tenían a su disposición medios menos intrusivos para controlar el acceso de sus estudiantes a sus instalaciones (por ejemplo, controles de credenciales/tarjetas de identificación, combinados con videovigilancia).

Añadamos que en la mayoría de los casos, el responsable del tratamiento no podrá evitar una análisis de impacto, tal como lo prevé el artículo 35 del RGPD, cuando la decisión se refiere a la elaboración de perfiles con efectos significativos sobre el individuo: por ejemplo, en Italia, la reciente decisión de la Autoridad de Protección de Datos (APD) relativa a la empresa Deliveroo: la empresa debería haber llevado a cabo un análisis de impacto sobre su algoritmo, el tratamiento utilizando tecnologías innovadoras, siendo a gran escala (tanto en términos de número de ciclistas – 8.000 – como de los tipos de datos utilizados), concerniendo a personas vulnerables (trabajadores de la “gig economy” pagados por tarea) e implicando una evaluación o calificación de estas últimas.

Y también

Francia:

La CNIL publica su informe de actividad del año 2021: Entre sus actividades destacamos la renovación de su política de apoyo, el aumento de la movilización en materia de ciberseguridad y el fortalecimiento de la acción represiva.

También publica una serie de criterios para evaluar la legalidad de las cookies de muro.s (paredes trazadoras).

Proporciona información que permite verificar la legalidad de la "muros de pago", que exigen que el usuario de Internet que rechace las cookies proporcione una suma de dinero para acceder al sitio.

El editor que desee implementar un muro de pago debe poder justificar la razonabilidad de la compensación monetaria ofrecida y demostrar que su muro de cookies está limitado a los fines que permiten una remuneración justa por el servicio ofrecido.

El gobierno francés implementará un sistema que permitirá a los ciudadanos autenticarse en línea escaneando su documento de identidad con su teléfono inteligente.

El Diario Oficial ha publicado, de hecho, el decreto n.º 2022-676, de 26 de abril de 2022, que autoriza la creación de una aplicación de identificación electrónica denominada “Servicio de Garantía de Identidad Digital”.

Esta aplicación se vinculará al nuevo DNI equipado con chip y permitirá almacenar sus datos en el teléfono móvil.

Europa:

El 12 de mayo, el Comité Europeo de Protección de Datos adoptó dos directrices, una sobre métodos de cálculo de multas de conformidad con el RGPD y otra sobre reconocimiento facial.

El Comité aboga por que las herramientas de reconocimiento facial solo se utilicen en estricto cumplimiento de la Directiva europea sobre policía y justicia.

Allá Comisión Europea publicó el 11 de mayo su propuesta de reglamento destinado a prevenir y combatir el material de abuso sexual infantil (MASI).

Las implicaciones para empresas como WhatsApp e Instagram, que están obligadas a monitorear y eliminar comunicaciones privadas o transferirlas a las fuerzas del orden, preocupan a la sociedad civil.

La Comisión Europea publica preguntas y respuestas sobre las nuevas cláusulas contractuales tipo para las transferencias internacionales de datos

La “Ley de Datos” de la Comisión Europea también ha provocado una reacción del Comité Europeo de Protección de Datos y del Supervisor Europeo de Protección de Datos (SEPD). :En una opinión conjunta se muestran preocupados por el alcance del reglamento.

Aunque se centra principalmente en datos transmitidos por objetos conectados, también afecta a datos personales sensibles.

Las autoridades piden límites claros al uso de datos para marketing directo o publicidad, monitoreo de empleados, primas de seguros e informes crediticios.

La autoridad española de protección de datos ha multado a Google LLC con 10 millones de euros. por haber cedido ilícitamente datos personales a un tercero y por haber impedido el ejercicio del derecho de supresión.

Google también está siendo demandado en el Reino Unido por uso ilegal de datos médicos de 1,6 millones de personas: DeepMind, el sistema de inteligencia artificial de la compañía, habría recibido estos datos en 2015 del Royal Free NHS Trust de Londres para probar una aplicación móvil.

Google – todavía, ha decidido finalmente, tras ser condenado por la CNIL y sus homólogos europeos, facilitar el rechazo de todas las cookies en su motor de búsqueda y en YouTube. La opción «Personalizar» se sustituirá por dos botones «Aceptar todo» y «Rechazar todo» del mismo formato, acompañados de un tercero «Más opciones».

Según la Autoridad Belga de Protección de Datos, Enviar un correo electrónico con la lista de destinatarios en CC, en lugar de CCO, no se considera una violación de seguridad, siempre que solo se vea afectado un pequeño grupo de personas (16 personas).

La autoridad danesa está considerando imponer una multa de 100.000 coronas danesas a una agencia del Ministerio de Justicia por la pérdida de una unidad USB sin cifrar y por no informar de la violación de seguridad a la autoridad de protección de datos.

El Tribunal de Apelación de Irlanda considera que los datos recogidos por un sistema de videovigilancia con el fin de prevenir infracciones no pueden utilizarse para vigilar a los empleados e iniciar procedimientos disciplinarios contra ellos, siendo esta finalidad incompatible con la primera.

La Autoridad Noruega de Protección de Datos pretende imponer una multa de 486.700 euros a la administración laboral por difundir online los CV de 1.800.000 personas sin base legal.

Internacional :

El Supervisor Europeo de Protección de Datos expresó su preocupación en un dictamen de 18 de mayo sobre la participación de la Unión Europea en la Convención de las Naciones Unidas sobre la Ciberdelincuencia.

Destaca el riesgo de debilitamiento de los derechos fundamentales, debido al gran número de países con sistemas jurídicos diferentes que están involucrados.

La Autoridad de Protección de Datos de Hong Kong publicó sus directrices sobre el uso de cláusulas contractuales para transferencias internacionales de datos el 12 de mayo.

Autoridad de Protección de Datos de Singapur publica una guía sobre anonimización de datos

Twitter llega a un acuerdo con el Departamento de Justicia de EE. UU. y la Comisión Federal de Comercio por 150 millones de dólares y se compromete a implementar un programa de cumplimiento respecto de las violaciones de confidencialidad de los datos no públicos de sus suscriptores.

Un informe del Consejo Irlandés para las Libertades Civiles afirma que Pujas en tiempo real, que permite enviar publicidad dirigida, está detrás de la mayor filtración de datos jamás registrada en el mundo.

Según las cifras, la industria, que vale más de 110.000 millones de euros, rastrea y comparte la actividad en línea y las ubicaciones reales de las personas 178.000 millones de veces al año en Estados Unidos y Europa.

En Europa, RTB expone datos de personas 376 veces al día Además, Google envía 19,6 millones de emisiones sobre el comportamiento en línea de los internautas alemanes cada minuto que están conectados.

Anne Christine Lacoste

Socia de Olivier Weber Avocat, Anne Christine Lacoste es abogada especializada en derecho de datos, fue responsable de Relaciones Internacionales en el Supervisor Europeo de Protección de Datos y trabajó en la implementación del RGPD en la Unión Europea.

Descubra Viqtor®
es_ESES
fr_FRFR en_USEN de_DE_formalDE elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL es_ESES