Guía del Grupo de Trabajo del artículo 29 sobre decisiones automatizadas y perfilados

 Principales indicaciones de la Guía sobre decisiones automatizadas y perfilados:

1. Concepto de Decisión Automatizada: Es toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.
2. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que   produzca efectos jurídicos en él o le afecte significativamente de modo similar. No obstante, todo lo anterior no se aplicará si la decisión: (i) Está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado o  (ii) se basa en el consentimiento explícito del interesado.
3. Los interesados deberán ser informados en relación con: (i) la lógica aplicada en el perfilado, (ii) las consecuencias de dicha lógica y perfilado y (iii) las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
4. Excepciones a la prohibición de ser objeto de tratamientos basados en decisiones automatizadas: (i) por contrato: a fin de garantizar la no comisión de errores humanos, discriminaciones y/o abuso de poder, (ii) autorizaciones por leyes de Estados Miembros, en relación con la monitorización en aras de prevenir el fraude fiscal y la evasión fiscal y (iii) si el interesado ha dado su consentimiento, el responsable podrá llevar a cabo actividades que impliquen decisiones automatizadas de datos (perfilados).
5. Consentimiento expreso: si el interesado ha dado su consentimiento, el responsable podrá llevar a cabo actividades que impliquen decisiones automatizadas de datos (perfilados).
6. Datos especialmente protegidos: para realizar tratamientos que impliquen decisiones automatizadas de datos especialmente protegidos será necesario el consentimiento expreso del afectado o una base legitimadora como el interés público, siempre adoptando las correspondientes garantías para salvaguardar los derechos y libertades fundamentales de las personas físicas.
7. Decisiones automatizadas en datos de menores: se deberá tener ene cuenta que el Reglamento indica que los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño. Si bien el Reglamento no hace una distinción entre mayores y menores de edad en relación con la ejecución de decisiones automatizadas, sí es cierto que el Grupo de Trabajo del artículo 29 ha considerado que se podrá realizar este tipo de decisiones a menores de edad, sin perjuicio de que el responsable deba respetar los mismos requisitos que para los mayores de edad. Es decir, se deberá basar en un contrato, una autorización de los Estados Miembros o el consentimiento expreso de los menores o de aquél que tenga su patria potestad.
8. PIAs: Dada la importancia del principio de responsabilidad proactiva, se recomienda desde el Grupo de Trabajo realizar evaluaciones de impacto en materia de perfilados. En este sentido el Reglamento señala que será necesaria una evaluación de impacto en caso de evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
9. Medidas de seguridad: se debe incluir la información específica al interesado y el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión tomada después de tal evaluación y a impugnar la decisión. Tal medida no debe afectar a un menor.