Navegaci贸n
RGPD > Art铆culo聽22. Decisiones individuales automatizadas, incluida la elaboraci贸n de perfiles
Descargar PDF

Art铆culo聽22 RGPD. Decisiones individuales automatizadas, incluida la elaboraci贸n de perfiles

Article 22 GDPR. Automated individual decision-making, including profiling

1. Todo interesado tendr谩 derecho a no ser objeto de una decisi贸n basada 煤nicamente en el tratamiento automatizado, incluida la elaboraci贸n de perfiles, que produzca efectos jur铆dicos en 茅l o le afecte significativamente de modo similar.

1. The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.

Comentario de expertos
(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

2. El apartado聽1 no se aplicar谩 si la decisi贸n:

2. Paragraph聽1 shall not apply if the decision:

a) es necesaria para la celebraci贸n o la ejecuci贸n de un contrato entre el interesado y un responsable del tratamiento;

(a)聽is necessary for entering into, or performance of, a contract between the data subject and a data controller;

b) est谩 autorizada por el Derecho de la Uni贸n o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses leg铆timos del interesado,聽o

(b)聽is authorised by Union or Member聽State law to which the controller is subject and which also lays down suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests; or

c) se basa en el consentimiento expl铆cito del interesado.

(c)聽is based on the data subject’s explicit consent.

Textos enlazados

3. En los casos a que se refiere el apartado聽2, letras聽a) y聽c), el responsable del tratamiento adoptar谩 las medidas adecuadas para salvaguardar los derechos y libertades y los intereses leg铆timos del interesado, como m铆nimo el derecho a obtener intervenci贸n humana por parte del responsable, a expresar su punto de vista y a impugnar la decisi贸n.

3. In the cases referred to in points (a) and (c) of paragraph聽2, the data controller shall implement suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests, at least the right to obtain human intervention on the part of the controller, to express his or her point of view and to contest the decision.

4. Las decisiones a que se refiere el apartado聽2 no se basar谩n en las categor铆as especiales de datos personales contempladas en el art铆culo聽9, apartado聽1, salvo que se aplique el art铆culo聽9, apartado聽2, letra聽a) o聽g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses leg铆timos del interesado.

4. Decisions referred to in paragraph 2 shall not be based on special categories of personal data referred to in Article聽9(1), unless point (a) or (g) of Article 9(2) applies and suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests are in place.

Textos enlazados
Comentario de expertos ISO 27701 Considerandos Ley de Directrices y caso Deja un comentario
Comentario de expertos

(EN)

Data Subject Request Letter Sample

Concern: Request to object to automated decision

Dear Madam, Dear Sir,

I am subject to a decision made by your [company | organization | etc.] based solely on [automated processing | profiling | etc.].


para acceder al texto completo

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 22 GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.


para acceder al texto completo

Considerandos

(71) El interesado debe tener derecho a no ser objeto de una decisi贸n, que puede incluir una medida, que eval煤e aspectos personales relativos a 茅l, y que se base 煤nicamente en el tratamiento automatizado y produzca efectos jur铆dicos en 茅l o le afecte significativamente de modo similar, como la denegaci贸n autom谩tica de una solicitud de cr茅dito en l铆nea o los servicios de contrataci贸n en red en los que no medie intervenci贸n humana alguna. Este tipo de tratamiento incluye la elaboraci贸n de perfiles consistente en cualquier forma de tratamiento de los datos personales que eval煤e aspectos personales relativos a una persona f铆sica, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situaci贸n econ贸mica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situaci贸n o los movimientos del interesado, en la medida en que produzca efectos jur铆dicos en 茅l o le afecte significativamente de modo similar. Sin embargo, se deben permitir las decisiones basadas en tal tratamiento, incluida la elaboraci贸n de perfiles, si lo autoriza expresamente el Derecho de la Uni贸n o de los Estados miembros aplicable al responsable del tratamiento, incluso con fines de control y prevenci贸n del fraude y la evasi贸n fiscal, realizada de conformidad con las reglamentaciones, normas y recomendaciones de las instituciones de la Uni贸n o de los 贸rganos de supervisi贸n nacionales y para garantizar la seguridad y la fiabilidad de un servicio prestado por el responsable del tratamiento, o necesario para la conclusi贸n o ejecuci贸n de un contrato entre el interesado y un responsable del tratamiento, o en los casos en los que el interesado haya dado su consentimiento expl铆cito. En cualquier caso, dicho tratamiento debe estar sujeto a las garant铆as apropiadas, entre las que se deben incluir la informaci贸n espec铆fica al interesado y el derecho a obtener intervenci贸n humana, a expresar su punto de vista, a recibir una explicaci贸n de la decisi贸n tomada despu茅s de tal evaluaci贸n y a impugnar la decisi贸n. Tal medida no debe afectar a un menor.

(71) The data subject should have the right not to be subject to a decision, which may include a measure, evaluating personal aspects relating to him or her which is based solely on automated processing and which produces legal effects concerning him or her or similarly significantly affects him or her, such as automatic refusal of an online credit application or e-recruiting practices without any human intervention. Such processing includes 鈥榩rofiling鈥 that consists of any form of automated processing of personal data evaluating the personal aspects relating to a natural person, in particular to analyse or predict aspects concerning the data subject's performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, where it produces legal effects concerning him or her or similarly significantly affects him or her. However, decision-making based on such processing, including profiling, should be allowed where expressly authorised by Union or Member聽State law to which the controller is subject, including for fraud and tax-evasion monitoring and prevention purposes conducted in accordance with the regulations, standards and recommendations of Union institutions or national oversight bodies and to ensure the security and reliability of a service provided by the controller, or necessary for the entering or performance of a contract between the data subject and a controller, or when the data subject has given his or her explicit consent. In any case, such processing should be subject to suitable safeguards, which should include specific information to the data subject and the right to obtain human intervention, to express his or her point of view, to obtain an explanation of the decision reached after such assessment and to challenge the decision. Such measure should not concern a child.

A fin de garantizar un tratamiento leal y transparente respecto del interesado, teniendo en cuenta las circunstancias y contexto espec铆ficos en los que se tratan los datos personales, el responsable del tratamiento debe utilizar procedimientos matem谩ticos o estad铆sticos adecuados para la elaboraci贸n de perfiles, aplicar medidas t茅cnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al m谩ximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado y se impidan, entre otras cosas, efectos discriminatorios en las personas f铆sicas por motivos de raza u origen 茅tnico, opiniones pol铆ticas, religi贸n o creencias, afiliaci贸n sindical, condici贸n gen茅tica o estado de salud u orientaci贸n sexual, o que den lugar a medidas que produzcan tal efecto. Las decisiones automatizadas y la elaboraci贸n de perfiles sobre la base de categor铆as particulares de datos personales 煤nicamente deben permitirse en condiciones espec铆ficas.

In order to ensure fair and transparent processing in respect of the data subject, taking into account the specific circumstances and context in which the personal data are processed, the controller should use appropriate mathematical or statistical procedures for the profiling, implement technical and organisational measures appropriate to ensure, in particular, that factors which result in inaccuracies in personal data are corrected and the risk of errors is minimised, secure personal data in a manner that takes account of the potential risks involved for the interests and rights of the data subject and that prevents, inter alia, discriminatory effects on natural persons on the basis of racial or ethnic origin, political opinion, religion or beliefs, trade union membership, genetic or health status or sexual orientation, or that result in measures having such an effect. Automated decision-making and profiling based on special categories of personal data should be allowed only under specific conditions.

(72) La elaboraci贸n de perfiles est谩 sujeta a las normas del presente Reglamento que rigen el tratamiento de datos personales, como los fundamentos jur铆dicos del tratamiento o los principios de la protecci贸n de datos. El Comit茅 Europeo de Protecci贸n de Datos establecido por el presente Reglamento (en lo sucesivo, el 芦Comit茅禄) debe tener la posibilidad de formular orientaciones en este contexto.

(72) Profiling is subject to the rules of this Regulation governing the processing of personal data, such as the legal grounds for processing or data protection principles. The European Data Protection Board established by this Regulation (the 鈥楤oard鈥) should be able to issue guidance in that context.

Ley de Directrices y caso Deja un comentario
[js-disqus]