¿Qué debemos entender por decisiones automatizadas?

Las decisiones automatizadas son aquéllas que se realizan a través de medios tecnológicos sin necesidad de intervención del ser humano.

Los datos pueden provenir de multitud de fuentes diversas, pero lo que caracteriza esta operación es la no participación humana en ninguna de las fases de la toma de decisiones.

Para poder hablar de decisiones automatizadas son necesarios tres requisitos:

• deben tratarse datos personales
• deben procesarse de forma automatizada
• debe existir una decisión en base a esos datos sin que intervenga ningún ser humano

Las decisiones automatizadas pueden llevarse a cabo con o sin elaboración de perfiles, y la elaboración de perfiles, puede darse sin realizar decisiones automatizadas, pero frecuentemente van unidas.

Algunos sectores en los que se realizan decisiones automatizadas y elaboración de perfiles son, además del sector bancario y financiero, la publicidad, la asistencia sanitaria y los seguros.

Ejemplo

Usted utiliza un banco por internet para un préstamo.

Se le pide que introduzca sus datos y el algoritmo del banco le dice si el banco le concederá el préstamo, o no, y le sugiere un tipo de interés.

Se le debe informar de que puede expresar su opinión, impugnar la decisión y solicitar la contribución de una persona en el proceso para revisar la decisión tomada mediante el algoritmo.

¿Cuándo se produce una elaboración de perfiles?

El Artículo 4 del RGPD define la elaboración de perfiles como toda forma de tratamiento automatizado consistente en 

“utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física”.

Las personas físicas pueden ser asociadas a identificadores en línea,  facilitados por sus dispositivos o aplicaciones, como direcciones de los protocolos de internet, identificador de sesión en forma de «cookies»,  o identificación por radiofrecuencia.

Esto puede dejar huellas que, al ser combinadas con identificadores únicos y otros datos recibidos por los servidores, pueden ser utilizadas para elaborar perfiles de las personas físicas e identificarlas.

Aplicaciones comerciales

La elaboración de perfiles y decisiones automatizadas tienen muchas aplicaciones comerciales,  ya que ofrecen mayor eficiencia y un ahorro de recursos, pero pueden plantear riesgos importantes para los derechos y libertades de las personas si no se adoptan garantías adecuadas.

Se permiten este tipo de procesos,  siempre y cuando,  se cumplan con los requisitos exigidos para todo tipo de tratamiento de datos personales: ser un tratamiento lícito,  transparente y leal.

• Los principios de tratamiento leal y transparente exigen que se informe al interesado, de forma simple y clara, de la existencia del tratamiento y sus fines.
• El responsable debe facilitar al interesado toda información sobre la existencia de la elaboración de perfiles y sus posibles consecuencias.

Riesgo para las personas

Es evidente que nos encontramos en la era de los datos masivos y de la analítica big data.

El big data se basa en la idea principal de que, analizando cantidades masivas de datos, podemos comprender cosas antes desconocidas, y descubrir patrones de datos, que se encontraban ocultos en la información.

En este contexto, pocos dudan hoy de los grandes beneficios que puede aportar a la sociedad, pero sin embargo, también debe hacer frente a determinados desafíos.

Pero hoy vamos a centrarnos en el riesgo que puede tener,  para las personas, la toma de decisiones automatizadas sin intervención humana.

Por ejemplo, en el sector bancario:  

• Numerosas empresas utilizan desde hace años la analítica de datos, pues permite conocer a los prestatarios mejor que nunca y predecir si devolverán sus préstamos de forma más certera que si únicamente se estudia su historial crediticio.
• Este sistema depende de algoritmos que analizan datos de forma compleja y automatizada.
• Ciertamente, la evolución de la ciencia de datos, nos hace cuestionarnos cuándo hace falta la intervención de una persona que supervise las conclusiones obtenidas de forma automatizada, antes de que se transformen en decisiones que afecten a las personas. 

Por lo tanto,

¿qué papel debe tener un humano para que se considere que la decisión no es únicamente automatizada?

¿A partir de qué grado se considera que una decisión ha afectado significativamente a un individuo?

•  La elaboración de perfiles consiste en categorizar a individuos en función de sus características (tales como género, edad, hábitos y comportamientos).
• Los individuos son frecuentemente divididos en perfiles por las compañías aseguradoras, para calcular su riesgo y sus precios (así por ejemplo, un fumador tendrá un riesgo más alto de tener problemas de salud que un no fumador), así como por empresas de marketing para determinar qué productos ofrecer a cada persona.
• La categorización puede ser una herramienta muy útil, pero también entraña riesgos de cometer errores, al conectar a una persona con determinadas características o comportamientos que no le representan.
• Por su parte, también hay riesgo de que los perfiles basados en características como raza, etnia o religión creen estereotipos poco precisos que causen discriminación.
• Por último, este derecho a no ser objeto de decisiones automatizadas, solamente puede ejercitarse cuando las personas son conscientes de que las decisiones que les afectan se toman únicamente de manera automatizada.

El problema es el desconocimiento

Así es, los procesos analíticos de «big data» muchas veces ocurren sin conocimiento de los sujetos, o de modo poco transparente.

De este modo, el problema vendría del hecho de que los individuos, en muchas ocasiones, no son conscientes de que se están tomando decisiones que les afectan, con base en esos procesos automatizados.

Por ello, este derecho podría quedar en la práctica en papel mojado. Así por ejemplo, recuperando nuestro ejemplo anterior,

¿cómo puede saber una persona si la decisión de denegarle un préstamo ha estado afectada por el hecho de que un algoritmo haya concedido una gran importancia al hecho de que su domicilio se corresponde con un código postal en el que hay un mayor riesgo de impago?

Otros ejemplos

¿Pueden incluir mis datos de cliente en una lista de morosos?

La inscripción en el fichero de impagados sólo podrá efectuarse cuando concurran los siguientes requisitos:

• Existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada.
• Requerimiento previo de pago.
• No podrán incluirse datos sobre los que exista un principio de prueba documental que contradiga alguno de los requisitos anteriores.
• Se efectuará una notificación al interesado por cada deuda concreta.
• No podrán incluirse datos con más de seis años de antigüedad.

Derechos

El titular de los datos puede ejercitar el derecho a cancelarlos o rectificarlos solicitándolo directamente a la entidad. Si en el plazo de 10 días no recibe contestación o ésta no es satisfactoria, puede reclamar ante la Agencia Española de Protección de Datos acreditando la presentación de la solicitud.

Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la normativa sobre protección de datos y, en particular, cuando tales datos resulten inexactos o incompletos.

Las infracciones que puedan cometerse en la gestión de esos registros se sancionan por la AEPD.

¿Es legal recibir publicidad por teléfono, por correo electrónico o en el móvil?

En este caso, debemos distinguir dos supuestos:

• Las llamadas o mensajes automáticos, es decir, en los que no existe la intervención física de una persona, requieren consentimiento previo por parte del abonado para que se realicen.
• Las llamadas en las que interviene una persona son legales, a menos que el abonado haya manifestado su deseo expreso de no recibirlas.

Derechos

El titular de los datos puede ejercitar su derecho a cancelarlos o rectificarlos, solicitándolo directamente a la entidad financiera o de crédito.

Si en el plazo de 10 días no recibe contestación o ésta no es satisfactoria, puede reclamar ante la AEPD acreditando la presentación de la solicitud.

En cuanto a los correos electrónicos, existe una práctica muy extendida denominada ‘Spam’ que comprende todo tipo de comunicación no solicitada realizada por vía electrónica .

La LSSI solamente autoriza el envío de comunicaciones comerciales con el consentimiento previo del receptor o si ha habido un contrato previo entre la empresa y el cliente.

Cesión de datos

¿Es legal que la empresa de crédito ceda datos personales de sus clientes a otras empresas para que estas reclamen y gestionen el cobro por cuenta de aquella?

SI, con determinados requisitos.

Las empresas de gestión de recobros se consideran “encargadas del tratamiento” por lo que será necesario que entre la empresa titular del crédito (aquella con la que el particular contrató y a la que realmente le debe alguna cantidad), y la de recobro,  exista un contrato,  cuyo objeto esté constituido, o comprenda, la realización de un servicio de gestión de recuperaciones de deuda, en los asuntos que le sean atribuidos.

Pero que quede claro: Para que la empresa de crédito pueda estar facultada para comunicar los datos a una empresa de recobro, primero debe asegurarse de que cuenta con el consentimiento del afectado para el tratamiento de sus datos personales.