Toma automatizada de decisiones y RGPD

Toma automatizada de decisiones y RGPD

En el blog de hoy vamos a hablar sobre toma automatizada de decisiones y RGPD

El uso de la Inteligencia Artificial se está cada vez más consolidando en diferentes aspectos del día a día de la sociedad y de nuestras vidas. Si bien ofrece numerosas aplicaciones muy interesantes como los coches automáticos y el reconocimiento facial, también puede utilizarse como una herramienta para la toma automatizada de decisiones. ¿Supone esto un obstáculo en los derechos de los interesados? ¿Cuáles son las posibles consecuencias y la normativa que regula su legitimidad?

En nuestro último vlog damos respuesta a algunas de las preguntas más comunes que se plantean en relación a Inteligencia Artificial, toma automatizada de decisiones y el RGPD. Pulsa aquí para verlo.

En profundidad: toma automatizada de decisiones y RGPD, incluida la elaboración de perfiles

La autoridad de control de Reino Unido, ICO define la toma automatizada de decisiones, como el “proceso de tomar una decisión por medios automáticos sin intervención humana”

Conforme a la ICO, estas decisiones pueden estar basadas en datos fácticos y también en perfiles digitales o datos inferidos. Algunos ejemplos de esto incluyen:

una decisión online para conceder un crédito; y
un test de aptitud usado para fines de contratación que usa criterio y algoritmos pre-programados.

El artículo 4 (4) del RGPD define la elaboración de perfiles como toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.”

La ICO proporciona los siguientes ejemplos sobre elaboración de perfiles:

recoger y analizar datos personales en gran escala mediante el uso de algoritmos, IA o machine-learning;
identificar asociaciones para construir relaciones entre los diferentes comportamientos y atributos;
crear perfiles que se aplican a los sujetos; o
predecir el comportamiento de los individuos a través del perfilado.

Si bien la toma automatizada de decisiones y la elaboración de perfiles tiene grandes beneficios tanto para empresas como para individuos, también conllevan riesgos para los derechos y libertades de las personas. Una decision falsa o injusta puede conducir a efectos adversos para los interesados, desde discriminación hasta intromisión indebida en sus vidas privadas.

El artículo 22 del RGPD – mencionado en nuestro vlog – trata de abordar estos y otros riesgos mediante el establecimiento de parámetros estrictos que establecen que “todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

¿Necesitas asesoramiento para la adaptación al RGPD y a la LOPDGDD? Aphaia ofrece servicios de consultoría de adaptación al RGPD, incluidas Evaluaciones de Impacto y servicio de Delegado de Protección de Datos.

Derecho de oposición del RGPD

Multa de 200.000 € por no cumplir con el derecho de oposición del RGPD

La empresa Hellenic Telecommunications ha sido multada con 200.000 € por no eliminar direcciones de email de la base de datos de marketing conforme al RGPD

¿Alguna vez has has solicitado borrarte de una lista de emails y aun así has continuado recibiendo publicidad? Desde mi experiencia, me aventuro a decir que esto ocurre muy a menudo. Mientras que borrar un simple email de una lista puede sonar sencillo y sin importancia, las consecuencias de no hacerlo son realmente graves, porque se trata de una infracción directa del derecho de oposición recogido en el RGPD.

De hecho, este es el motivo por el que Hellenic Telecommunications Organization (el operador histórico de telecomunicaciones de Grecia – OTE) fue multado con 200.000 € por la autoridad de control griega. De esta forma, se concluyó que la compañía no había implementado de manera adecuada la protección de datos por diseño que concibe el RGPD.

Conforme al Comité Europeo de Protección de Datos (EDPB) la autoridad de control griega habría recibido numerosas quejas de usuarios que recibían publicidad de OTE sin ser capaces de eliminar su suscripción de dicha lista. El artículo del Comité explica que en el curso de las investigaciones, se descubrió que desde 2013 y debido a un fallo técnico, no se eliminaba de la lista a los interesados que pulsaban el link de darse de baja de la misma. OTE, por tanto, no contaba con las medidas organizativas apropiadas (por ejemplo, un procedimiento por el cual detectar dicho error). Desde entonces, OTE ha eliminado aproximadamente a 8000 personas de tales listas.

Marketing directo y RGPD

Bajo el derecho de oposición del RGPD, los artículos 21.2 y 21.3 establecen que:

Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia

Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.

Protección de datos por diseño y normas de la Directiva ePrivacy

El artículo 25 (2) del RGPD prevé que “El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas. Esto implica que tampoco el departamento de marketing pueda acceder y usar de manera automática los datos de contacto.

Las empresas que se basen en las normas de oposición (opt-out) de la Directiva ePrivacy deben tener cuidado. El Dr. Bostjan Makarovic, socio gerente de Aphaia,explica que “La mayoría de las jurisdicciones europeas requieren que exista una compra previa antes de que se pueda confiar en las normas de opt-out para el envío de publicidad” y añade que “En tales casos, además, cualquier email de marketing debe estar relacionado únicamente con bienes o servicios similares a los que ofrece la empresa como tal, y facilitar una forma sencilla de oposición tanto al momento de recoger los datos como después en cada uno de los correos enviados”.

¿Tiene tu empresa una base de datos de marketing? ¿Respeta la Protección de Datos por diseño? Desde Aphaia podemos ayudarte con nuestras Evaluaciones de Impacto y nuestro servicio de Delegado de Protección de Datos. Contacta con nosotros.

Apple cesión de datos

Apple a examen por prácticas irregulares de cesión de datos

Se acusa a Apple de llevar a cabo prácticas irregulares de cesión de datos.

A principios de este mes, Apple se situó en el punto de mira por una práctica concreta de cesión de datos que consistía en el envío de las direcciones IP de los usuarios del navegador Safari tanto a Google como a una empresa de tecnología establecida en China, Tencent.


Apple ha defendido esta práctica al destacar que se t
rata de una función de seguridad denominada ‘Safari Fraudulent Website Warningcuyo objetivo es detectar webs que pueden ser consideradas maliciosas. En una entrevista con iMore, Apple afirmó queCuando la función está habilitada, Safari contrasta la URL de la página web con listas de otras páginas ya detectadas como maliciosas, y cuando se alerta de una coincidencia, se emite un mensaje de aviso al usuario. Para poder hacer esto, Safari recibe una lista de páginas web conocidas como maliciosas por Google y lo mismo por parte de Tencent cuando se trata de dispositivos cuyo código de región está establecido en China continental. La URL de la página que visitas no se comparte con el navegador y además se trata de una función que se puede deshabilitar”. 

Debe destacarse que la función ‘Safari Fraudulent Website Warning’ de Apple aparece habilitada por defecto, de modo que los usuarios tendrían que indagar por su cuenta en el menú de configuración y desactivarla. Si bien, hacerlo podría conducir a que la navegación fuese menos segura.

¿Hay consecuencias potenciales en relación al RGPD y la CCPA?

Las IP revelan información de localización y pueden utilizarse para realizar perfiles de los usuarios. Las IP se consideran identificadores online en el sentido del Considerando 30 del RGPD, y son, por tanto, dato personal y deben cumplir con la normativa de protección de datos.

El requisito de consentimiento activo para las cookies que recientemente ha emitido el TJUE, del cual hablamos en uno de nuestros últimos blogs podría también afectar al modo en que Appleestablece la configuración de los permisos.

Además, es posible que Apple también se vea afectado por la Ley de Privacidad de California (CCPA), que introduce derechos en relación a la cesión y venta de datos y comenzará a aplicarse el 1 de enero de 2020.

Esta práctica estaba explicada en la política de privacidad, en la sección ‘Sobre Safari & Privacidad’ y era accesible a cualquiera que abriese la configuración. Sin embargo, debe destacarse que, aunque la política de privacidad debe contener todos los tratamientos de datos realizados por el responsable conforme a los artículos 13 y 14 del RGPD, esto no los convierte en legítimos de forma automática, pues para eso se precisa una base legal para el tratamiento, como contrato, consentimiento o interés legítimo, entre otros.

¿Compartes datos con terceros? Aphaia ofrece servicios de adaptación tanto al RGPD como a la CCA, incluyendo evaluaciones de impacto y subcontratación del delegado de protección de datos.

Reference: iMore

Google el derecho al olvido

Google marca un hito en privacidad al vencer la batalla legal sobre el derecho al olvido

El Tribunal de Justicia de la Unión Europea ha dictaminado que Google no tiene que aplicar de manera global el derecho al olvido garantizado por el RGPD.

El TJUE se ha pronunciado este pasado martes 24 de septiembre sobre un caso que sentará jurisprudencia: los operadores de los motores de búsqueda no tienen la obligación de eliminar en todos los países los enlaces involucrados en un ejercicio del derecho al olvido. Esto significa que empresas como Google sólo tendrán que eliminar, como respuesta a un ejercicio del derecho al olvido, los enlaces que correspondan a resultados de búsqueda en Europa y no en ningún otro sitio.

 

El fallo tiene su origen en un caso iniciado en 2015 entre la autoridad de control de Francia, el CNIL y Google Inc., en el cual el CNIL emitió una notificación a Google donde requería la eliminación de los enlaces de búsqueda en todos los dominios y nombres de sus motores y extensiones. Sin embargo, Google Inc. se negó y únicamente eliminó los resultados que estaban disponibles en los Estados Miembro. En consecuencia, el 10 de marzo de 2016 el CNIL impuso una multa de 100.000€ a Google Inc., quien, solicitó su anulación con el argumento de que el derecho al olvido no implica necesariamente que todos los enlaces deban ser eliminados sin limitación geográfica alguna.

El pasado martes el Tribunal emitió una sentencia a favor de Google Inc. y concluyó que:

Actualmente no hay ninguna obligación bajo la normativa de la UE que imponga a un motor de búsqueda eliminar todas las versiones del mismo los resultados vinculados a un ejercicio del derecho al olvido, aun con un previo requerimiento de una autoridad de control o judicial de un Estado Miembro”.

Sin embargo, la normativa europea sí que impone la obligación de eliminar los enlaces de todas las versiones del motor de búsqueda que se correspondan con los Estados Miembro, y también a implantar todas las medidas necesarias para asegurar la protección efectiva de los derechos fundamentales de los interesados. Por lo tanto, la eliminación de los resultados deberá ir acompañada, donde corresponda, de todas las medidas procedentes para prevenir de manera efectiva o, al menos, disuadir a cualquier usuario de internet de realizar una búsqueda desde un Estado Miembro con la intención de acceder a los enlaces eliminados en su zona geográfica mediante las listas de resultados que se muestran de fuera de la UE”.

El derecho al olvido del RGPD

El artículo 17 del RGPD recoge el derecho de los interesados a solicitar la eliminación de sus datos. Sin embargo, este derecho no es absoluto y se aplica sólo en determinadas circunstancias.

Conforme a la autoridad de control de Reino Unido, la ICO, los interesados tienen derecho al olvido en los siguientes casos:

Los datos personales ya no se tratan con la finalidad para la que fueron inicialmente recogidos.
El tratamiento tiene como base legal el consentimiento y el interesado retira su consentimiento.
El tratamiento tiene como base legal el interés legítimo y el interesado se opone al tratamiento de sus datos, cuando el interés legítimo no prevalece.
El tratamiento se realiza con finalidades de marketing y el interesado se opone a ello.
Se ha realizado un tratamiento ilegítimo de los datos (por ejemplo, en relación al primer caso arriba expuesto).
Es necesario para cumplir con una obligación legal.
El tratamiento se ha realizado para ofrecer servicios de la sociedad de la información a menores.

Bostjan Makarovic, doctor en Derecho y socio gerente de Aphaia, explica que: “Al igual que otros derechos que garantiza el RGPD, no podemos esperar que el derecho al olvido se aplique de manera global sin limitaciones. Este último fallo del TJUE clarifica los límites extraterritoriales del RGPD”.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación del Delegado de Protección de Datos.