Ejerza sus derechos - Artículo 22 - ¡protéjase de la toma de decisiones automatizada!

¿Sabía que el RGPD también protege sus datos personales de ser objeto de una decisión automatizada injusta? Si cree que esto puede ser relevante para una decisión tomada sobre usted (por ejemplo, que un banco le deniegue una hipoteca o que le denieguen la suscripción a un gimnasio), o está interesado en saber más, siga leyendo para saber cómo ejercer su derecho a estar protegido de la toma de decisiones automatizada..

Esta página ha sido traducida por una traducción automática. Puedes siempre cambiar a la versión original en ingles.

Su derecho a estar protegido contra la toma de decisiones automatizada

¿Qué es la toma de decisiones automatizada?

La toma de decisiones automatizada (o ADM) es la toma de decisiones por medios tecnológicos, como un algoritmo o un ordenador. El GDPR prohíbe que las personas sean sometidas a decisiones "basadas únicamente en el tratamiento automatizado". Esto significa que , en determinadas circunstancias, las empresas, autoridades y otras entidades no pueden tomar decisiones sobre las personas utilizando únicamente la tecnología y sin intervención humana

Los datos utilizados en el ADM pueden recopilarse de diferentes maneras: los datos podrían ser proporcionados directamente por las personas, por ejemplo, a través de un cuestionario, observando a las personas, recopilando los datos de localización de una aplicación en su teléfono, o derivando los datos de un perfil ya creado o que se creó sobre usted

Algunos ejemplos de casos en los que usted puede ser objeto de ADM: su banco le deniega un préstamo basándose en un algoritmo de un programa informático, un proveedor de telecomunicaciones no le acepta como cliente porque una agencia de solvencia ha dado un resultado negativo sobre usted, o el operador de una plataforma es sancionado por un algoritmo porque ha rechazado varias solicitudes.

La ADM no debe confundirse con la elaboración de perfiles. La elaboración de perfiles implica el tratamiento de datos personales para evaluar aspectos personales, como las características o patrones de comportamiento de los individuos. A menudo se hace para clasificar a los individuos en determinadas categorías con el fin de analizar o predecir su comportamiento. La elaboración de perfiles no siempre conduce a la ADM, y la ADM no siempre se toma sobre la base de la elaboración de perfiles

Paso 1: Identifique el derecho que desea ejercer

Paso 2: Datos de contacto del controlador

Paso 3: Redactar la solicitud

Paso 4: Respuesta del responsable del tratamiento

Paso 5: ¿Qué pasa si el responsable del tratamiento rechaza mi solicitud?

¿En qué casos se prohíbe el uso de ADM para tomar decisiones sobre mí?

El derecho a ser protegido de la ADM es ligeramente diferente a los otros derechos de los interesados en el GDPR, porque implica una protección que existirá independientemente de que un individuo haga una solicitud al controlador o tome una acción legal. Este derecho prohíbe el uso del ADM.

El uso del ADM está prohibido cuando:

La decisión se basa únicamente en una decisión automatizadaSuelen ser situaciones en las que la decisión se toma sin intervención humana. La intervención humana debe provenir de alguien con autoridad y competencia para cambiar la decisión si es necesario. El responsable del tratamiento no puede intentar evitar la prohibición inventando una intervención humana mínima o muy laxa
La decisión produce efectos legales o efectos significativos similares
- Porefectos jurídicos se entienden los resultados que afectan a los derechos legales o a la situación jurídica de una persona. Esto podría incluir la cancelación de un contrato, la denegación de prestaciones o de determinados derechos, como emprender acciones legales o votar, o la denegación de un cambio de ciudadanía o estado civil
- Efectossignificativos similares: efectos de gravedad comparable a los efectos legales mencionados anteriormente. Esto podría incluir la denegación de una solicitud de crédito en línea, el sometimiento a un proceso de contratación electrónica sin intervención humana, la imposibilidad de acceder a servicios sanitarios o educativos, la denegación de oportunidades de empleo o la discriminación en cualquiera de estos procesos

¿Hay excepciones a esta prohibición?

Sí. Si se utilizan determinadas bases jurídicas para el tratamiento, no se prohíbe la toma de decisiones utilizando únicamente la ADM.

Los responsables del tratamiento sólo pueden utilizar el ADM sin intervención humana cuando :

La decisión es necesaria para ejecutar un contrato;
La decisión esté autorizada en virtud de la legislación nacional o de la UE, por ejemplo en caso de fraude o evasión fiscal;
Usted haya aceptado expresamente someterse a dicha decisión;

El ADM no debe implicar categorías específicas de datos ("datos sensibles"), salvo en determinadas circunstancias y con garantías

Si no está seguro de la base jurídica que se utiliza para el tratamiento de sus datos personales, o de qué datos se tratan para una ADM, puede presentar una solicitud de acceso al responsable del tratamiento. Éste tiene la obligación legal de facilitarle esta información

¿Me otorga el GDPR algún derecho que pueda ejercer en relación con el ADM?

Sí Como resultado de la protección automática del GDPR contra el ADM, usted tiene derecho a recibir cierta información y tiene derecho a varias garantías.

Información. En los casos en los que existe una ADM, usted tiene derecho a conocer la siguiente información

unaexplicación significativa sobre cómo se ha tomado la decisión, como la lógica empleada y los datos utilizados para tomarla
el significado del tratamiento: el responsable del tratamiento tiene que explicar por qué se adoptó la decisión y el razonamiento en el que se basa la conclusión;
las consecuencias previstas para usted como resultado del tratamiento, es decir, lo que el responsable del tratamiento pretende hacer con los resultados de la ADM.

Garantías Si un responsable del tratamiento está tratando sus datos personales para la gestión de datos personales en virtud de una de las excepciones anteriores, está obligado a aplicar determinadas garantías y a concederle algunos derechos:

El derecho a obtener una intervención humana (por ejemplo, que intervenga una persona con poder real para cambiar la decisión);
El derecho a expresar su punto de vista (por ejemplo, una persona debe escuchar los argumentos en contra de la decisión);
El derecho a obtener una explicación (por ejemplo, una persona debe explicar cómo se ha llegado a la decisión);
El derecho a impugnar la decisión (la persona que intervenga debe escuchar tu punto de vista y confirmar la decisión o cambiarla basándose en tus argumentos).

¿Cómo puedo ejercer estos derechos?

Paso 1: Identifique el derecho que quiere ejercer

Si no está seguro de qué derecho ejercer, hacer primero una solicitud de acceso puede darle una mejor idea de lo que el responsable del tratamiento está haciendo con sus datos personales y confirmar si sus datos personales se han utilizado para el ADM. Esto puede ayudarle a decidir qué quiere hacer a continuación. En tal caso, informe al responsable del tratamiento de que está buscando información que confirme la base jurídica del tratamiento y la existencia de ADM, así como la lógica, el significado y las consecuencias de dicho tratamiento
Si cree que ha sido objeto de una ADM a pesar de la prohibición de hacerlo, puede pedir al responsable del tratamiento que deje de utilizar una ADM (siga el paso 2 más abajo) o presentar una reclamación ante una autoridad de protección de datos
Para ejercer su derecho a las salvaguardias cuando se utiliza legalmente el ADM, siga los pasos que se indican a continuación

Paso 2: Datos de contacto del responsable del tratamiento

Su solicitud de limitación del tratamiento de sus datos debe dirigirse al responsable del tratamiento (la organización/entidad/administración/empresa que trata sus datos)

Puede hacerlo por correo electrónico, carta, fax o a través de un formulario, siempre que tenga constancia escrita de la solicitud

La dirección de correo electrónico correspondiente suele encontrarse en la sección "política de privacidad" o "contacto" del sitio web del responsable del tratamiento. Generalmente tendrá un nombre como privacy@company.com o legal@publicauthority.eu. Si es difícil de encontrar, o si no hay una dirección específica a la que pueda enviar su solicitud, es culpa del responsable del tratamiento, no suya; el RGPD exige que los responsables del tratamiento hagan esta información fácilmente accesible. Si no hay una dirección de correo electrónico específica, puede utilizar los datos de contacto generales del responsable del tratamiento.

Paso 3: Redacte su solicitud

Especifique que solicita la confirmación de que sus datos personales se están utilizando para fines de ADM y qué garantías pretende ejercer en relación con la ADM Un ejemplo de frase especificando salvaguardias podría ser la siguiente "de conformidad con mis derechos como interesado en virtud del Reglamento de la UE 2016/679, artículo 22, busco obtener una intervención humana en relación con la decisión/expresar su punto de vista/impugnar la decisión y por qué motivos/obtener una explicación en relación con la decisión." Puede incluir varios o solo uno de estos derechos.
Especifique sunombre u otro identificador utilizado por el responsable del tratamiento(por ejemplo, el nombre de usuario de una cuenta)Para ayudar al responsable del tratamiento a atender su solicitud de manera más eficiente, incluya algunainformación que ayude a identificar su cuenta, como su número de teléfono (si lo dio cuando se inscribió), el nombre de usuario o de la cuenta, o la dirección IP. Esto será especialmente útil si tiene un nombre y un apellido comunes.
Incluya la fechaen el texto si pones tu solicitud en un archivo adjunto al correo electrónico o en una carta. Esto aclara el plazo del responsable del tratamiento para proporcionar la información.

Paso 4: Respuesta del responsable del tratamiento

Una vez que el responsable del tratamiento recibe su solicitud, tiene unmes para responder. Este plazo sólo puede ampliarse una vez por un máximo de dos meses más, en casos de solicitudes complejas o múltiples

El responsable del tratamiento puede pedirle información adicional para confirmar su identidad en caso de duda. Sin embargo, dicha solicitud debe limitarse a la información adicional necesaria para confirmar quién es usted. La información adicional no puede ser desproporcionada, teniendo en cuenta el contexto del tratamiento de sus datos (por ejemplo, una tienda que le pida una copia de su pasaporte para cambiar la dirección de una tarjeta de fidelidad sería desproporcionada)

Por lo general, esta información debe proporcionársele por escrito, pero puede comunicársele por medios electrónicos, como el correo electrónico, o proporcionársele oralmente si lo solicita.

Paso 5: ¿qué ocurre si el responsable del tratamiento rechaza mi solicitud?

Si el responsable del tratamiento

rechaza su solicitud sin una explicación satisfactoria,
intenta cobrarle injustificadamente por su solicitud,
no responde al cabo de un mes o después del plazo ampliado (máximo 3 meses en total)

tiene derecho a presentar una reclamación ante una autoridad de protección de datos (por ejemplo, la APD del lugar donde vive o trabaja), y el responsable del tratamiento debe informarle al respecto

Si necesita ayuda para evaluar los elementos jurídicos de la respuesta de un responsable del tratamiento, puede ponerse en contacto con nosotros eninfo@noyb.eupara discutir los pasos a seguir.

Volver a Ejercer sus derechos

¡Apoyanos!

noyb meta de financiamiento

74.26 %

Hazte miembro

¡Síguenos!

Media Coverage

U.S. tech giant Meta has been hit with a record €1.2 billion fine for not complying with the EU’s privacy rulebook.

Apple hits back at European activist complaints against tracking tool

An Austrian privacy advocacy group drew a strongly critical response from Apple on Monday after it said an online tracking tool used in its devices breached European law.

101 Unternehmen leiten noch immer Daten an die USA weiter

Der Datenschutz-Verein noyb brachte 101 Beschwerden gegen den Datentransfer in die USA ein.

ZDF Magazin Royale vom 10. Dezember 2021

Expertentalk mit Datenschützer und Facebookbezwinger Max Schrems

Irish regulator proposes 36 mln euro Facebook privacy fine - document

The complaint, lodged by Austrian privacy activist Max Schrems, concerned the lawfulness of Facebook's processing of personal data, specifically around its terms of service.