El artículo 22 del Reglamento General de Protección de Datos
| Autor | Antoni Roig |
| Cargo del Autor | Profesor Titular de Derecho Constitucional, Universidad Autónoma de Barcelona, Consultor de Derecho Constitucional en la 'Universitat Oberta' de Cataluña (UOC) |
| Páginas | 27-62 |
27
LAS GARANTÍAS FRENTE A LAS DECISIONES AUTOMATIZADAS
CAPÍTULO 1
El artículo 22 del Reglamento
General de Protección de Datos
1.1. Antecedentes, trabajos preparatorios
y textos internacionales
1.1.1. Antecedentes
El antecedente directo del art. 22 RGPD es el art. 15 de la Directiva de Protec-
ción de Datos (en adelante, DPD)14. Este precepto pretendía reducir o eliminar
14 Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a
la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a
la libre circulación de estos datos.
Artículo 15:
Decisiones individuales automatizadas
Sumario:
1.1. Antecedentes, trabajos preparatorios y textos internacionales.
1.1.1. Antecedentes. 1.1.2. Trabajos preparatorios. 1.1.3. Tex-
tos internacionales. 1.2. Perfiles y decisiones automatizadas. 1.3.
Prohibición general. 1.4. Excepciones. 1.4.1. Celebración o ejecu-
ción de un contrato. 1.4.2. Previsión legal. 1.4.3. Consentimiento
explicito. 1.4.3.1. Libre. 1.4.3.2. Especifica. 1.4.3.3. Informada.
1.4.3.4. Inequívoca. 1.5. Garantías generales y especificas. 1.5.1.
Garantías generales. 1.5.1.1. Principios generales de la protección
de datos. 1.5.1.2. Derecho a la información. 1.5.1.3. Derecho de
acceso. 1.5.1.4. Derecho de rectificación, supresión, limitación
del tratamiento y oposición. 1.5.2. Garantías especificas. 1.5.2.1.
Derecho a obtener intervención humana por parte del responsable.
1.5.2.2. Derecho a expresar el punto de vista del usuario. 1.5.2.3.
Derecho a impugnar la decisión. 1.6. Categorías especiales de da-
tos y menores. 1.6.1. Datos sensibles. 1.6.2. Menores.
28
Antoni Roig
LAS GARANTÍAS FRENTE A LAS DECISIONES AUTOMATIZADAS
el potencial impacto negativo de la elaboración automatizada de perfiles y garan-
tizar, así, el control de las personas sobre las decisiones que les afectaban15. La
Comisión temía que los responsables de las decisiones se apoyaran en exceso
en herramientas automatizadas, que ofrecían una aparente objetividad e infa-
libilidad, cuando, en cambio, se sabía que incorporaban muchos errores16. En
definitiva, se buscaba conseguir que el tratamiento de datos aportase beneficios
a los seres humanos.
No era la primera regulación sobre la materia. La Ley Francesa de protec-
ción de datos de 1978, era una de las pocas leyes nacionales que incorporaban
ya una garantía frente a los perfiles y decisiones automatizadas en el momento de
que la dignidad de las personas se viera menoscabada por los dictados de los
sistemas automatizados. Es decir, se buscaba garantizar la capacidad humana
de autodefinirse. Para ello, se establecía una regulación bastante singular pues
contemplaba controles, no para el tratamiento de datos propiamente dicho, sino
para un tipo de toma de decisiones.
El art. 15 de la Directiva 95/46 no contenía literalmente ninguna prohi-
bición a las decisiones individuales automatizadas. Ahora bien, la transposición
1. Los Estados miembros reconocerán a las personas el derecho a no verse sometidas
a una decisión con efectos jurídicos sobre ellas o que les afecte de manera signifi-
cativa, que se base únicamente en un tratamiento automatizado de datos destinado
a evaluar determinados aspectos de su personalidad, como su rendimiento laboral,
crédito, fiabilidad, conducta, etc.
2. Los Estados miembros permitirán, sin perjuicio de lo dispuesto en los demás artículos
de la presente Directiva, que una persona pueda verse sometida a una de las decisio-
nes contempladas en el apartado 1 cuando dicha decisión:
a) se haya adoptado en el marco de la celebración o ejecución de un contrato,
siempre que la petición de celebración o ejecución del contrato presentada
por el interesado se haya satisfecho o que existan medidas apropiadas,
como la posibilidad de defender su punto de vista, para la salvaguardia de
su interés legítimo; o
b) esté autorizada por una ley que establezca medidas que garanticen el inte-
rés legítimo del interesado.
15 Lee Bygrave (2020) «Article 22 Automated individual decision-making, including profiling», en
Christopher Kuner/Lee Bygrave/Christopher Docksey (eds) The EU General Data Protection
Regulation, A Comentary, Oxford University Press, 522-542.
16 El Considerando 71 del RGPD también pone énfasis en la necesidad de minimizar los errores
en los datos, y añade la conveniencia de evitar discriminaciones, sobre todo cuando concierne
a categorías de datos sensibles.
17 «Loi no. 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés», espe-
cialmente secciones 2 y 3.
29
LAS GARANTÍAS FRENTE A LAS DECISIONES AUTOMATIZADAS
CAPÍTULO 1 El artículo 22 del Reglamento General de Protección de Datos
nacional podía acabar prohibiéndolas, siempre que se respetasen las excepcio-
nes expresamente previstas. Se trataba, en realidad, de un mandato al legislador
nacional para que éste contemplase cómo ejercer un derecho en tales supues-
tos18. Es decir, la Directiva definía un derecho del interesado a presentar su punto
de vista. Un importante complemento de este derecho se encontraba en el art.
12, letra a) de la misma Directiva, pues se facultaba a los interesados a conocer
la lógica utilizada en los tratamientos automatizados19. Sin embargo, cuando se
ejercía el derecho de acceso, esta obligación no se interpretaba normalmente
como un auténtico deber de información general20.
En definitiva, el art. 15 DPD tenía un alcance más limitado que el art. 22
RGPD. En efecto, en el art. 15 DPD era imprescindible la presencia de alguna
forma de elaboración de perfiles, orientada a intentar evaluar ciertos aspectos
personales de la persona. Como veremos más adelante, en el art. 22 RGPD, en
cambio, la elaboración de perfiles no es más que una de las posibles modalida-
des de tratamiento de datos, y ni siquiera es imprescindible. Otra notable diferen-
cia, que también tendremos ocasión de ver en detalle más adelante, concierne a
los datos sensibles, no mencionados en el art. 15 DPD y que han merecido una
referencia específica en el art. 22.4 RGPD.
Pese a la redacción del art. 15 DPD como derecho, algunas transposicio-
nes nacionales del mismo lo concibieron como una simple prohibición. El pre-
18 Lee A. Bygrave (2001), «Minding the Machine: Article 15 of the EC Data Protection Directive
and Automated Profiling», Computer Law & Security Report, Vol. 17 n. 1, 17-24.
Derecho de acceso
Los Estados miembros garantizarán a todos los interesados el derecho de obtener del respon-
sable del tratamiento:
a) libremente, sin restricciones y con una periodicidad razonable y sin retrasos ni gastos
excesivos:
— la confirmación de la existencia o inexistencia del tratamiento de datos que
le conciernen, así como información por lo menos de los fines de dichos tra-
tamientos, las categorías de datos a que se refieran y los destinatarios o las
categorías de destinatarios a quienes se comuniquen dichos datos;
— la comunicación, en forma inteligible, de los datos objeto de los tratamientos,
así como toda la información disponible sobre el origen de los datos;
— el conocimiento de la lógica utilizada en los tratamientos automatizados de los
datos referidos al interesado, al menos en los casos de las decisiones automa-
tizadas a que se refiere el apartado 1 del artículo 15;
(…)
20 P.T.J. Wolters (julio 2018) «The Control by and Rights of the Data Subject Under the GDPR»,
Journal of Internet Law, vol. 22, n. 1, 1 y 7-14.
Para continuar leyendo
Solicita tu prueba