Perfilado; profiling
¿Qué es el perfilado o profiling?
Por perfilado (profiling), o elaboración de un perfil de una persona física, se entiende toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física, conforme a la definición dada en el artículo 4.4) del Reglamento (UE) 2016/679 (en adelante RGPD).
Al respecto, deben tenerse también en consideración las Directrices sobre decisiones individuales automatizadas y perfilado en virtud del Reglamento 2016/679 (Guidelines on Automated individual decisión-making and Profiling for the purposes of Regulation 2016/679), WP 251 rev.01, revisado y adoptado el 6 de febrero de 2018, que fueron adoptadas inicialmente por el Grupo de Trabajo del Artículo 29 y adoptadas como propias por el Comité Europeo de Protección de Datos (CEPD), en el que se integró aquel el 25 de mayo de 2018.
En estas directrices, el CEPD resalta que para estar ante un perfilado deben darse tres notas o requisitos. El primero de ellos, que sea un tratamiento automatizado de datos; el segundo, que se realice o lleve a cabo sobre datos personales, y el último, que el objetivo del perfilado sea evaluar aspectos personales sobre una persona física.
Al analizar esta definición, el CEPD señala que debe prestarse atención al hecho de que la definición de perfilado haga referencia a que se trata de toda forma de tratamiento automatizado lo que, a diferencia de la toma de decisiones individuales automatizadas, no excluye que pueda haber alguna forma de intervención humana. Es decir, el perfilado lo es aunque una persona intervenga en el tratamiento automatizado de los datos personales a efectos de evaluar determinados aspectos personales del interesado cuyos datos personales son objeto de tratamiento. Además, el CEPD explica en sus directrices que el perfilado es un procedimiento que puede involucrar deducciones estadísticas (traducción de: Profiling is a procedure which may involve a series of statistical deductions).
Por lo que se refiere a su finalidad, y atendiendo también a la definición dada por el RGPD, el perfilado puede dirigirse a evaluar determinados aspectos personales de una persona física o hacer predicciones sobre la persona física cuyos datos personales son objeto de tratamiento. Y el CEPD aclara al respecto que el uso del término evaluar sugiere que el perfilado implica alguna forma de evaluación o juicio sobre la persona física, es decir, el interesado cuyos datos personales son objeto de perfilado.
En este sentido, el hecho de que la evaluación o puntuación de la persona, incluida la elaboración de perfiles y la predicción, especialmente de «aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado» (considerandos 71 y 91), es uno de los criterios o factores a considerar para determinar si el tratamiento de datos personales entraña un alto riesgo para los interesados. Así lo indica el CEPD en sus Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento «entraña probablemente un alto riesgo» a efectos del Reglamento (UE) 2016/679, WP 248 rev.01, adoptadas el 4 de octubre de 2017.
¿Con qué principios de protección de datos personales tiene que cumplir el perfilado (profiling)?
El perfilado, como cualquier otro tratamiento de datos personales, tiene que cumplir con los principios exigibles en virtud de la normativa aplicable sobre protección de datos personales, en particular el RGPD. En este sentido, el CEPD en sus directrices sobre el perfilado, ya citadas, ha indicado que tiene que cumplir con los principios de licitud, lealtad y transparencia [art. 5.1 a) del RGPD]; limitación de la finalidad [art. 5.1 b) del RGPD]; minimización de datos [art. 5.1 c) del RGPD]; exactitud [art. 5.1 d) del RGPD] y limitación del plazo de conservación [art. 5.1 e) del RGPD].
En particular, en cuanto a que el tratamiento de los datos personales cumpla con el principio de licitud, lealtad y transparencia cuando se hace un perfilado de la persona física, el CEPD destaca el hecho de que, en ocasiones, puede que dicho tratamiento de datos personales no sea visible para el interesado o, dicho de otra manera, que este no sea consciente de dicho tratamiento.
Esto explica el hecho de que, específicamente, el artículo 13 del RGPD, relativo al principio de información, requiera en el apartado 2, letra f) que el responsable del tratamiento informe sobre la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado. Igualmente, el artículo 14.2.g) del RGPD incluye la misma referencia cuando los datos personales no se hayan obtenido del interesado. En cualquier caso, se trata también de que el tratamiento de los datos personales sea transparente, tal y como prevé el artículo 12 del RGPD.
El principio de limitación de la finalidad implica que los datos personales tengan que tratarse para la finalidad o finalidades con las que se recaban y que únicamente puedan utilizarse con otras finalidades que sean compatibles. Es decir, el perfilado puede dar lugar a que los datos personales se utilicen para otros fines o finalidades que, en su caso, tienen que ser compatibles con aquellas para las que hubieran sido inicialmente obtenidos o recabados.
En virtud del principio de minimización de datos, el responsable del tratamiento que los utilice para hacer un perfilado, tiene que asegurarse de que cumplir también con este principio, ya que en caso contrario podría darse un riesgo de incumplimiento como consecuencia de tratar más datos de los necesarios en atención a la finalidad o finalidades correspondientes.
Además, el responsable del tratamiento tiene que asegurarse también de adoptar e implementar otras medidas técnicas adecuadas para garantizar el derecho fundamental a la protección de datos, tales como la seudonimización de los datos personales o incluso su anonimización. En este sentido, que los datos personales sean seudonimizados implica aplicar una medida técnica de seguridad, sin que los datos personales dejen de serlo ya que por seudonimización se entiende el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable (art. 4.5 del RGPD).
Y el responsable del tratamiento tendrá que adoptar también medidas técnicas y organizativas apropiadas para garantizar los principios de exactitud y limitación del plazo de conservación. Específicamente por lo que se refiere a la exactitud, el CEPD centra la atención en que los responsables del tratamiento tienen que adoptar medidas robustas para verificar y asegurar de manera continua que la reutilización de los datos personales se lleva a cabo con datos personales exactos y actualizados.
Sin perjuicio de los principios aplicables al tratamiento de datos personales, es necesario que se asegure también el cumplimiento de las bases o condiciones de legitimación del tratamiento, así como la atención a las solicitudes de ejercicio de derechos en protección de datos cuando los datos personales se utilizan para la realización de perfiles. Se trata así de garantizar el derecho fundamental a la protección de datos, considerando, en particular, los mayores riesgos derivados de un tratamiento que implicase una evaluación de aspectos personales con el fin de crear o utilizar perfiles personales de los afectados, como indica la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
¿Se puede hacer perfilado (profiling) de niños?
Una cuestión específica que se plantea es la relativa a si es posible hacer perfilado (profiling) de niños. Al respecto, el CEPD parte del hecho de que cuando se tratan datos personales de niños o menores, el RGPD establece obligaciones adicionales y señala, por una parte, que el artículo 22 RGPD, relativo a las decisiones individuales automatizadas, incluida la elaboración de perfiles, no distingue entre adultos y niños o menores de edad, y, por otra parte, que el Considerando 71, en su primer párrafo, se limita a indicar que dicho tratamiento debe estar sujeto a las garantías apropiadas, entre las que se deben incluir la información específica al interesado y el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión tomada después de tal evaluación y a impugnar la decisión. Tal medida no debe afectar a un menor.
Es así que, al no constatar que el RGPD prohíba realizar perfiles de menores, el CEPD, sobre la base del criterio y argumentos del Grupo de Trabajo del Artículo 29 que aprobó inicialmente las directrices, considera que podrían hacerse perfiles de niños o menores, si bien debe tratarse de casos específicos y siempre y cuando se hayan adoptado medidas específicas para proteger los derechos y libertades fundamentales de los niños o menores.
En este sentido, el CEPD menciona que el Considerando 38 del RGPD indica, en lo fundamental, que los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño.
Y si bien podría hacerse un perfilado de niños, en determinadas circunstancias, dado que se trata además de un grupo vulnerable, lo que sí debe evitarse es la realización de perfiles de niños con fines de publicidad o marketing y también de publicidad comportamental (behavioural advertising). En este caso concreto, el CEPD señala, como ejemplo, el hecho de que en el caso de juegos en línea se haga un perfilado que pueda ser utilizado, en su caso, para segmentar a usuarios en función de que pudieran adquirir otros juegos o recibir anuncios personalizados.
Recuerde que…
- • El perfilado consiste en utilizar los datos personales de una persona física para analizar o predecir aspectos relativos su rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos.
- • El responsable del tratamiento tiene que aplicar las medidas técnicas y organizativas apropiadas para que el perfilado cumpla con los principios, obligaciones y derechos previstos en el RGPD.
- • Aunque no hay una prohibición total de realizar un perfilado de niños, no debe llevarse a cabo con fines de publicidad o publicidad comportamental.