Cand se aplica profilarea si deciziile automatizate si ce urmeaza

Profilarea si deciziile automatizate se aplica atunci cand un workflow SaaS foloseste date personale pentru a evalua persoane, prezice comportament, clasifica risc, influenta tratamentul sau lua decizii despre indivizi. Raspunsul practic este clasificarea workflowului, intelegerea impactului, numirea unui responsabil si aplicarea unor garantii proportionale.

In GDPR, profilarea este prelucrarea automatizata a datelor personale pentru evaluarea unor aspecte personale. Decizia automatizata este o decizie luata tehnologic fara implicare umana. Articolul 22 este mai restrans si priveste mai ales decizii exclusiv automatizate cu efecte juridice sau similar semnificative.

Un scor, flag, ranking sau recomandare poate necesita controale chiar fara articolul 22. Vezi greselile comune si ghidul practic.

Intrebarea trigger

Workflowul foloseste date personale pentru a evalua, puncta, clasifica, prezice, recomanda, aproba, respinge, suspenda, prioritiza, directiona sau stabili preturi pentru o persoana?

Daca da sau poate, deschide un review. Poate fi scurt pentru risc mic. Trebuie sa fie mai profund cand afecteaza acces, eligibilitate, enforcement, pret, evaluare profesionala, finante, educatie, sanatate, siguranta sau oportunitati importante.

Cand se aplica de obicei

Se aplica atunci cand un sistem evalueaza o persoana sau deduce ceva despre ea: scor fraud, trust score, segmentare comportamentala, predictie churn, lead scoring, workplace analytics, customer health scores cu contacte numite, risc de identitate, moderare, security ranking, pret personalizat sau output AI care clasifica persoane.

Sistemul nu trebuie sa ia decizia finala. Daca un om foloseste scorul, profilarea poate exista in continuare.

Cand poate aplica articolul 22

Articolul 22 poate aplica atunci cand decizia este exclusiv automatizata, priveste o persoana si produce efecte juridice sau similar semnificative.

Implicarea umana trebuie sa fie semnificativa. Cine doar accepta outputul masinii fara context, timp, autoritate sau capacitatea de schimbare ofera dovada slaba. Pentru articolul 22 sunt necesare o cale permisa si garantii precum interventie umana, exprimarea punctului de vedere si contestare.

Ce documentezi prima data

Incepe cu scopul, persoanele vizate, inputurile de date, sistemul sau furnizorul, responsabilul, outputul, cine foloseste outputul, impactul posibil, temeiul legal, retentia, securitatea si locul dovezilor.

Apoi clasifica: automatizare obisnuita, profilare cu utilizare umana, suport automatizat pentru decizie sau decizie exclusiv automatizata cu impact semnificativ.

Ce urmeaza

Risc mic: responsabil, inputuri, scop, transparenta, retentie si trigger de review. Risc mediu: review privacy, furnizor, calitatea datelor, suport, plangeri si monitorizare. Impact ridicat: DPIA, review juridic, teste de bias si acuratete, review uman puternic, override si monitorizare planificata.

Pentru articolul 22, proiecteaza interventia, contestarea, explicatia si registrul deciziei inainte de lansare.

FAQ

Cand se aplica pentru SaaS?

Cand un produs, workflow intern sau furnizor foloseste date personale pentru a puncta, clasifica, prezice, marca, recomanda, aproba, respinge, suspenda, prioritiza sau directiona indivizi.

Ce documentezi prima data?

Responsabilul, inputurile, outputul, folosirea decizionala, impactul probabil, clasificarea, reviewul uman, transparenta si locul dovezilor.

Un reviewer uman rezolva?

Doar daca reviewul este semnificativ si persoana are context, timp, autoritate si capacitatea de a schimba outputul.

Surse

• Uniunea Europeana, Regulamentul general privind protectia datelor.
• European Data Protection Board, ghid privind automated decision-making and profiling.
• Information Commissioner's Office, ghid privind automated decision-making and profiling.
• Information Commissioner's Office, Rights related to automated decision making including profiling.