Checklist de elaboracion de perfiles y decisiones automatizadas para fundadores y compliance

La elaboracion de perfiles y las decisiones automatizadas estan listas para una checklist cuando el equipo puede mostrar que sistemas evaluan personas, que salidas influyen en decisiones, quien revisa, que salvaguardas existen y donde vive la evidencia. No es solo una herramienta legal: sirve para producto, proveedores, IA, due diligence de clientes y auditorias.

En el RGPD, la elaboracion de perfiles es tratamiento automatizado de datos personales para evaluar aspectos personales. El articulo 22 es mas estrecho y trata decisiones basadas unicamente en tratamiento automatizado que producen efectos juridicos o similares significativos.

Checklist

1. Inventaria todos los flujos que puntuan, clasifican, predicen, marcan, recomiendan, aprueban, rechazan, suspenden, enrutan, priorizan o fijan precios para una persona. Incluye producto, dashboards, soporte, CRM, fraude, identidad, seguridad, moderacion, customer success e IA.

2. Documenta sistema, owner, finalidad, personas afectadas, datos usados, salida, quien usa la salida y donde aparece la decision. Enlaza tickets, arquitectura, documentos de proveedor, descripciones de modelo, reglas y playbooks de soporte.

3. Clasifica el flujo: automatizacion ordinaria, elaboracion de perfiles, apoyo automatizado a decisiones o decision significativa exclusivamente automatizada. Registra la razon y que cambiaria la clasificacion, como reutilizacion para enforcement, pricing, elegibilidad, acceso o empleo.

4. Confirma base juridica y alcance. Revisa si hay categorias especiales, ninos, empleados, grupos vulnerables, biometricos, ubicacion, finanzas, salud o monitorizacion a gran escala.

5. Si puede aplicar el articulo 22, confirma si existe necesidad contractual, autorizacion legal o consentimiento explicito, y si las salvaguardas estan disponibles. Si no, el flujo no deberia lanzarse asi.

6. Aclara roles de responsable y encargado. Un proveedor SaaS puede ser encargado para scoring configurado por cliente y responsable para abuso, telemetria, analytics o riesgo de cuenta propios.

7. Asigna un owner accountable. Define quien aprueba el lanzamiento, quien puede bloquear, quien ejecuta mitigaciones y quien revisa cuando el flujo cambia.

8. Disena transparencia temprano. Decide que va en aviso de privacidad, textos de producto, mensajes de estado, apelaciones, documentacion cliente y scripts de soporte.

9. Prepara rutas de derechos y contestacion. Las personas pueden pedir datos usados, corregir errores, oponerse, solicitar acceso o impugnar resultados automatizados. En articulo 22 deben poder obtener intervencion humana, expresar su punto de vista e impugnar.

10. Prueba entradas, salidas y equidad. Revisa calidad de datos, falsos positivos, falsos negativos, overrides, quejas, drift, umbrales e impactos inusuales.

11. Revisa proveedores e IA. Pregunta que datos se usan, que salidas se producen, si el proveedor entrena modelos, como comunica cambios y como gestiona derechos.

12. Conserva evidencia conectada: trigger, clasificacion, base juridica, datos, owner, ruta de revision, salvaguardas, transparencia, derechos, proveedor, pruebas, aprobacion, monitorizacion y refresh.

FAQ

Que deben entender los equipos?

Si el flujo evalua personas, si influye en decisiones relevantes, que controles aplican y que evidencia prueba la revision.

Por que importa en la practica?

Afecta diseno de producto, proveedores, confianza de clientes, derechos, auditorias y capacidad de explicar decisiones.

Cual es el mayor error?

Tratar la elaboracion de perfiles como una interpretacion legal unica en vez de un flujo repetible con owners, triggers, salvaguardas, evidencia y revisiones.

Sources

Este articulo se basa en el RGPD, las directrices WP29 confirmadas por el EDPB y la guia del ICO sobre decisiones automatizadas y elaboracion de perfiles.