Cuando aplica el perfilado y las decisiones automatizadas, y que hacer despues

El perfilado y las decisiones automatizadas aplican cuando un flujo SaaS usa datos personales para evaluar personas, predecir conducta, clasificar riesgo, influir en el trato o tomar decisiones sobre individuos. La respuesta practica no es frenar cualquier idea de producto. Es clasificar el flujo, entender el impacto, asignar un owner y aplicar salvaguardas proporcionales.

Segun el GDPR, el perfilado es tratamiento automatizado de datos personales para evaluar aspectos personales. La decision automatizada es una decision tomada por medios tecnologicos sin intervencion humana. El articulo 22 es mas estrecho: importa especialmente cuando una decision exclusivamente automatizada produce efectos juridicos o similarmente significativos.

Un score, flag, ranking o recomendacion puede requerir controles aunque no aplique el articulo 22. Para errores comunes, lee errores de perfilado y decisiones automatizadas. Para el proceso operativo, consulta la guia practica.

La pregunta disparadora

El flujo usa datos personales para evaluar, puntuar, ordenar, predecir, clasificar, recomendar, aprobar, rechazar, suspender, priorizar, enrutar o fijar precio para una persona?

Si la respuesta es si o tal vez, abre una revision de perfilado. Puede ser breve para bajo riesgo. Debe ser mas profunda cuando afecta acceso, elegibilidad, enforcement, precios, evaluacion laboral, finanzas, educacion, salud, seguridad u oportunidades importantes.

Cuando suele aplicar

Suele aplicar cuando el sistema evalua a una persona o infiere algo sobre ella. Ejemplos: scoring de fraude, trust scores, segmentos de comportamiento, prediccion de churn, lead scoring, analitica laboral, customer health scores con contactos identificados, riesgo de identidad, moderacion, ranking de seguridad, precios personalizados y salidas de IA que clasifican personas.

El sistema no necesita tomar la decision final. Si un humano usa el score como insumo, puede seguir habiendo perfilado.

Cuando puede aplicar el articulo 22

El articulo 22 puede aplicar cuando la decision se basa solo en tratamiento automatizado, se refiere a una persona y produce efectos juridicos o similarmente significativos.

La intervencion humana debe ser significativa. Una persona que solo acepta la salida de la maquina sin contexto, tiempo, autoridad o capacidad de cambiar el resultado es evidencia debil. Si aplica el articulo 22, el equipo necesita una via permitida y salvaguardas como intervencion humana, posibilidad de expresar el punto de vista y contestar la decision.

Que documentar primero

Empieza con un registro operativo breve: finalidad, personas afectadas, datos usados, sistema o proveedor, owner, salida, quien usa la salida, posible impacto, base legal, retencion, seguridad y ubicacion de evidencia.

Despues clasifica el flujo: automatizacion ordinaria, perfilado con uso humano, apoyo automatizado a decisiones o decision exclusivamente automatizada con impacto significativo. El impacto es lo central: un score para abrir una cola de revision no es igual a un score que suspende una cuenta.

Que hacer despues

En bajo riesgo, define owner, inputs, finalidad, transparencia, retencion y disparador de revision. En riesgo medio, suma revision privacy, proveedor, calidad de datos, rutas de soporte, quejas y monitoreo. En alto impacto, considera DPIA, revision legal, pruebas de sesgo y exactitud, revision humana fuerte, override y monitoreo planificado.

En casos de articulo 22, disena antes del lanzamiento la intervencion, contestacion, explicacion y registro de decision.

FAQ

Cuando aplica a equipos SaaS?

Cuando un producto, flujo interno o proveedor usa datos personales para puntuar, clasificar, predecir, marcar, recomendar, aprobar, rechazar, suspender, priorizar o enrutar individuos.

Que se debe documentar primero?

Owner, datos de entrada, salida, uso decisional, impacto probable, clasificacion, revision humana, transparencia y ubicacion de evidencia.

Un revisor humano elimina el riesgo?

Solo si la revision es significativa y la persona tiene contexto, tiempo, autoridad y capacidad de cambiar la salida automatizada.

Fuentes

• Union Europea, Reglamento General de Proteccion de Datos.
• Comite Europeo de Proteccion de Datos, guia sobre decisiones automatizadas y perfilado.
• Information Commissioner's Office, guia sobre automated decision-making and profiling.
• Information Commissioner's Office, Rights related to automated decision making including profiling.