Cómo operacionalizar la elaboración de perfiles y las decisiones automatizadas sin frenar el desarrollo

La elaboración de perfiles y las decisiones automatizadas son manejables cuando se tratan como un flujo de producto, no como un informe jurídico tardío. El equipo debe saber qué funciones evalúan a personas, qué resultados influyen en decisiones relevantes, quién revisa el riesgo, qué salvaguardas son necesarias y qué evidencia demuestra que el trabajo se hizo.

En el RGPD, la elaboración de perfiles es el tratamiento automatizado de datos personales para evaluar aspectos personales. El artículo 22 es más estrecho y más sensible: se refiere a decisiones basadas únicamente en tratamiento automatizado, incluida la elaboración de perfiles, que producen efectos jurídicos o afectan significativamente de modo similar. No todo scoring activa el artículo 22, pero muchos scorings siguen necesitando base jurídica, transparencia, minimización, gestión de derechos, seguridad, retención y revisión responsable.

Añade un disparador a discovery, revisión de proveedores, revisión de IA, seguridad, screening de DPIA y readiness de lanzamiento. Pregunta si la función puntúa, clasifica, predice, recomienda, marca, aprueba, rechaza, suspende, prioriza, enruta o fija precios para una persona. Pregunta también si un revisor humano entiende el resultado y puede cambiarlo.

Clasifica antes de elegir controles. La automatización ordinaria puede enrutar un ticket por idioma o enviar un recordatorio sin evaluar a una persona. El profiling o apoyo automatizado a decisiones evalúa personas, por ejemplo con riesgo de fraude, churn, lead scoring, prioridad de soporte, salud de cliente, moderación, alertas de seguridad o trust scores. Las decisiones exclusivamente automatizadas con efectos significativos son la zona de mayor riesgo: rechazo automático, suspensión, terminación, denegación de un servicio importante, precios o elegibilidad relevantes, enforcement de cuenta o decisiones que afectan trabajo, finanzas, educación, vivienda, salud o acceso a servicios esenciales.

Haz visible la clasificación en el ticket, intake o assessment. Incluye qué cambiaría la conclusión. Una regla de soporte de bajo riesgo puede volverse más sensible si después afecta acceso a cuenta, enforcement, evaluación laboral o precios.

Cada flujo necesita un registro mínimo: finalidad, datos de entrada, personas afectadas, responsable interno, sistema o proveedor, salida, quién usa la salida, uso previsto en decisiones, base jurídica, retención, seguridad, derechos, y si hay categorías especiales, niños, empleados o grupos vulnerables. La pregunta más útil es: qué puede pasarle a la persona por este resultado.

Asigna un owner sin convertirlo en cuello de botella. Los casos de bajo riesgo pueden cerrarse con un screening corto y controles estándar. Los riesgos medios pueden requerir cambios de aviso de privacidad, calidad de datos, revisión de proveedor y rutas de soporte. Las decisiones significativas de alto riesgo o exclusivamente automatizadas necesitan revisión legal, posible DPIA, salvaguardas explícitas y aceptación de riesgo cuando proceda.

Diseña salvaguardas antes del lanzamiento: información clara, límites de datos, controles de calidad, pruebas de sesgo y precisión, revisión humana, autoridad de override, vías de impugnación, guiones de soporte, límites de retención, controles de acceso, monitorización y avisos de cambios del proveedor. Si aplica el artículo 22, la persona debe poder obtener intervención humana, expresar su punto de vista e impugnar la decisión.

La transparencia no es solo un párrafo en la política de privacidad. Parte de la explicación pertenece al aviso, pero otra puede pertenecer a textos de producto, mensajes de estado de cuenta, flujos de apelación, respuestas de soporte o documentación para clientes. Si el flujo afecta a usuarios finales de un cliente, separa bien los roles de responsable y encargado.

Revisa proveedores y funciones de IA temprano. Enriquecimiento CRM, fraude, identidad, customer success, publicidad, analytics, copilotos de IA, moderación y seguridad pueden clasificar o puntuar personas. No basta con preguntar si usa IA; pregunta qué hace el sistema con las personas y si influye en decisiones significativas.

Después del lanzamiento, monitoriza falsos positivos, falsos negativos, overrides, quejas, apelaciones, confusión de usuarios, impactos inusuales, cambios de proveedor y nuevos usos. Un score creado para priorizar soporte puede convertirse después en señal de enforcement, ventas o precios. Ese nuevo uso debe reabrir la revisión.

FAQ

¿Cuál es el propósito práctico?

Identificar cuándo un sistema evalúa personas o influye en decisiones importantes, y aplicar controles proporcionales al impacto.

¿Cuándo aplica a equipos SaaS?

Cuando un producto o flujo interno puntúa, clasifica, predice, marca, recomienda, aprueba, rechaza, suspende, prioriza o enruta personas usando datos personales.

¿Qué se documenta primero?

Inventario del flujo, clasificación, owner, uso de decisión, revisión humana, explicación al usuario y ubicación de la evidencia.

Sources

Este artículo se basa en el RGPD, las directrices WP29 confirmadas por el EDPB y la guía del ICO sobre decisiones automatizadas y elaboración de perfiles.