Quando perfilagem e decisoes automatizadas se aplicam, e o que fazer depois

Perfilagem e decisoes automatizadas se aplicam quando um workflow SaaS usa dados pessoais para avaliar pessoas, prever comportamento, classificar risco, influenciar tratamento ou tomar decisoes sobre individuos. A resposta pratica e classificar o workflow, entender o impacto, nomear um responsavel e aplicar salvaguardas proporcionais.

No GDPR, perfilagem e tratamento automatizado de dados pessoais para avaliar aspectos pessoais. Decisao automatizada e decisao tomada por meios tecnologicos sem envolvimento humano. O artigo 22 e mais estreito e se concentra em decisoes exclusivamente automatizadas com efeitos juridicos ou similarmente significativos.

Um score, flag, ranking ou recomendacao pode exigir controles mesmo fora do artigo 22. Veja os erros comuns e o guia pratico.

A pergunta de gatilho

O workflow usa dados pessoais para avaliar, pontuar, classificar, prever, recomendar, aprovar, rejeitar, suspender, priorizar, direcionar ou precificar uma pessoa?

Se sim ou talvez, abra uma revisao. Ela pode ser curta para baixo risco. Deve ser mais profunda quando afeta acesso, elegibilidade, enforcement, preco, avaliacao de trabalho, financas, educacao, saude, seguranca ou oportunidades importantes.

Quando geralmente se aplica

Geralmente se aplica quando um sistema avalia uma pessoa ou infere algo sobre ela: risco de fraude, trust score, segmento comportamental, previsao de churn, lead scoring, analytics de trabalho, customer health scores com contatos nomeados, risco de identidade, moderacao, ranking de seguranca, preco personalizado ou output de IA que classifica pessoas.

O sistema nao precisa tomar a decisao final. Se um humano usa o score, ainda pode haver perfilagem.

Quando o artigo 22 pode aplicar

O artigo 22 pode aplicar quando a decisao e exclusivamente automatizada, diz respeito a uma pessoa e produz efeitos juridicos ou similarmente significativos.

O envolvimento humano precisa ser significativo. Quem apenas aceita a saida da maquina sem contexto, tempo, autoridade ou capacidade de mudar o resultado oferece evidencia fraca. Em casos de artigo 22, e preciso rota permitida e salvaguardas como intervencao humana, ponto de vista e contestacao.

O que documentar primeiro

Comece com finalidade, pessoas afetadas, dados de entrada, sistema ou fornecedor, responsavel, saida, usuarios da saida, impacto possivel, base legal, retencao, seguranca e local da evidencia.

Depois classifique: automacao comum, perfilagem com uso humano, apoio automatizado a decisao ou decisao exclusivamente automatizada com impacto significativo.

O que fazer depois

Baixo risco: responsavel, inputs, finalidade, transparencia, retencao e gatilho de revisao. Risco medio: revisao privacy, fornecedor, qualidade de dados, suporte, reclamacoes e monitoramento. Alto impacto: DPIA, revisao legal, testes de vies e precisao, revisao humana forte, override e monitoramento planejado.

Para artigo 22, desenhe intervencao, contestacao, explicacao e registro de decisao antes do lancamento.

FAQ

Quando isso se aplica a SaaS?

Quando um produto, workflow interno ou fornecedor usa dados pessoais para pontuar, classificar, prever, sinalizar, recomendar, aprovar, rejeitar, suspender, priorizar ou direcionar individuos.

O que documentar primeiro?

Responsavel, inputs, output, uso decisorio, impacto provavel, classificacao, revisao humana, transparencia e local da evidencia.

Um revisor humano resolve?

Somente se a revisao for significativa e a pessoa tiver contexto, tempo, autoridade e capacidade de mudar o output.

Fontes

• Uniao Europeia, Regulamento Geral de Protecao de Dados.
• European Data Protection Board, orientacao sobre automated decision-making and profiling.
• Information Commissioner's Office, orientacao sobre automated decision-making and profiling.
• Information Commissioner's Office, Rights related to automated decision making including profiling.