Testimoniales

Sobre el epígrafe V: Derecho de la persona a no ser localizada y perfilada

V - La localización y el perfilado solo podrán hacerse en los casos permitidos por la ley y con las garantías establecidas. El responsable del tratamiento debe informar de forma clara y separada sobre la finalidad de estas prácticas, el derecho de oposición y respetar plenamente la protección de datos.
Localización y perfilado
Material educativo
Partner
Universidad Carlos III de Madrid

Este epígrafe de la Carta refiere a algunos de los usos más habituales que se dan a los datos personales (y no personales): la creación de perfiles, decisiones automatizadas y la geolocalización.  

Los perfiles, de acuerdo con la definición del grupo de trabajo del art. 29 (hoy Comité Europeo de Protección de Datos Personales) es un tipo de tratamiento automatizado que consiste en emplear datos personales para evaluar a las personas (WP251). La evaluación suele ser el resultado de aplicar deducciones estadísticas, que permiten hacer predicciones sobre personas, utilizando datos de distintas fuentes. Se alcanza una conclusión sobre una persona, teniendo en cuenta sus datos personales, que permiten considerarlo incluido en un determinado perfil. Por ejemplo, son frecuentes los perfiles crediticios: a partir del análisis de la cartera de las entidades financieras (características de los clientes y productos) pueden establecerse las características que permiten predecir si una persona va a cumplir o no con sus obligaciones. Si esas reglas se aplican, sin más, para la concesión de un crédito o la contratación de un producto financiero, se ha consolidado una decisión automatizada, basada en un perfil, dado que en su adopción no hay intervención humana directa.  

El art. 22 del Reglamento Europeo de Protección de Datos Personales, (Reglamento 2016/679) establece que “todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”, lo que significa que, en principio, un responsable del tratamiento no puede adoptar una decisión usando en exclusiva un sistema que se alimenta, entre otras fuentes, de datos personales, si la decisión causa un efecto jurídico (como la desestimación de una petición) o un efecto social equiparable (como un señalamiento público, resulte o no atentatorio del derecho al honor).  

Se han empleado los términos “en principio” acompañando la prohibición de decisiones automatizadas en las condiciones descritas toda vez que hay excepciones que levantan la prohibición, en otras palabras, permiten su uso. Por ejemplo, en los controles de ingreso en las fronteras se suelen emplear sistemas de reconocimiento biométrico: la decisión tiene plenos efectos jurídicos (ingreso regular o no en un territorio) y en su adopción no interviene una persona. Pueden utilizarse porque, de una parte, hay normas que habilitan su uso y de otra, los ciudadanos consentimos el uso del pasaporte biométrico. En todo caso, como se expondrá en el apartado correspondiente, cuando se levanta la prohibición de las decisiones automatizadas, se activan varias garantías que incluyen la intervención humana. Siguiendo con el ejemplo: si el sistema no nos reconoce, podemos solicitar la intervención de un guardia que valide nuestra identificación y nos permita el ingreso o la salida.  

A este punto se ha hecho alusión a los perfiles (evaluaciones predictivas de comportamiento), decisiones automatizadas (adoptadas sin intervención humana) y la Carta también refiere a la geolocalización. Este último tipo de tratamiento consiste en conocer la ubicación de la persona para, entre otras cosas, ofrecerle servicios. Las aplicaciones y sistemas que se nutren de datos de geolocalización se usan de forma habitual por las personas: este tipo de datos son los que permiten que las aplicaciones de apoyo a la conducción nos orienten sobre las rutas que se acomoden a nuestras preferencias, conozcamos el tiempo que resta para que llegue un autobús o un tren, determinemos qué restaurantes o tiendas están cerca de nosotros, etc. A otros niveles, los datos de geolocalización se emplean para conocer lo que sucede en el territorio: controlar especies, actividades, etc. El uso de los datos de geolocalización está sujeto a reglas estrictas porque, como se reconoció tempranamente en el WP 185 de 2011, los datos georreferenciados pueden aportar información sensible, como la confesión religiosa, afiliación política, datos de salud, etc.  

Así las cosas, este epígrafe de la Carta se refiere a 3 tipos de tratamientos que son diferentes, pero que pueden tener puntos comunes: los perfiles no solo se usan para tomar decisiones automatizadas, ni toda decisión automatizada está basada en un perfil. Hay perfiles que usan datos de geolocalización y hay otros que no. Comprender el alcance de los derechos implica entonces reconocer los puntos comunes y las diferencias de los sistemas de protección previstos para cada tipo de tratamiento, partiendo de la premisa de que todos estos asuntos están recogidos en la normativa de protección de datos, de tal suerte que las garantías e instrumentos generales, también aplican en estos casos.  

¿Quién puede ejercer este derecho?

Sólo las personas físicas tienen derecho a solicitar la protección de sus datos personales; esto quiere decir que las empresas no pueden ejercitar los derechos recogidos en el Reglamento Europeo de datos personales (Reglamento 2016/679, en adelante, RGPD), ni en la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (en lo sucesivo, LOPDPGDD).  

¿Qué se protege?

Esencialmente el RGPD y la LOPDPGDD protegen el derecho a controlar el uso de los datos que nos identifican, la denominada “libertad informativa”. Tras las reglas de salvaguardia para el perfilado, geolocalización o decisiones automatizadas, subyace el derecho a controlar el uso de la información personal. Las personas tenemos derecho a conocer que nuestros datos se emplean para realizar una evaluación predictiva (perfil), para saber dónde estamos (geolocalización) o para adoptar una decisión, sin intervención humana, que puede generar consecuencias jurídicas o equiparables.  

¿Por qué es importante este derecho?

Todos los derechos vinculados a estas tipologías de tratamiento persiguen que los titulares de los datos personales controlen su uso. Como se explicará a continuación, la transparencia del tratamiento (saber qué se está haciendo, quién lo hace, con qué finalidad y por cuánto tiempo) hace posible que el titular pueda cuestionar su licitud y oponerse al mismo, lo que resulta vital dada la trascendencia de sus consecuencias: evaluar, generar efectos jurídicos o equiparables o conocer la ubicación, que también permite inferir datos sensibles.  

La Carta destaca estas tipologías de tratamiento por considerarlas especialmente riesgosas para el ejercicio de otros derechos: acceder a servicios, desarrollar libremente la personalidad y mantener en reserva información especialmente relevante para las personas, como sus preferencias políticas, sindicales, sexuales, su salud.  

Es importante adquirir conciencia sobre estos hechos, para tomar decisiones informadas cuando se solicite el consentimiento para realizar estos tratamientos. No toda prestación exige el perfilado, ni es necesario mantener activa la geolocalización de forma indefinida para percibir los beneficios asociados al conocimiento de la ubicación. Ante eventos de esta naturaleza resulta indispensable que las personas conozcamos y ejercitemos nuestros derechos.          

¿Cuáles son los límites para el ejercicio del derecho?

Frente a la elaboración de perfiles, geolocalización y decisiones automatizadas, las personas físicas pueden ejercitar la totalidad de derechos que consagran el RGPD y la LOPDPGDD: estar informado, conocer la fuente de legitimación, exigir que sólo se usen los datos estrictamente necesarios para alcanzar el propósito, durante el tiempo indispensable, requerir que los datos sean exactos y estén protegidos, así como el derecho a oponerse al tratamiento, si el interés del responsable no se sobrepone al del titular.  

Dentro de este haz de facultades, el derecho de oposición es el que se halla sujeto a más límites o condiciones:

  • La oposición debe estar justificada en motivos personales, profesionales, económicos, etc. salvo que el perfil sea para mercadotécnica (ofrecer publicidad o el suministro de bienes o servicios), en cuyo caso basta simplemente con manifestar el desacuerdo: no es necesario exponer razones,  
  • Cuando se ejercita la oposición, el responsable, salvo que haya motivos imperiosos, debe suspender el tratamiento o no iniciarlo, para realizar un juicio de ponderación, es decir, contrastar sus propias razones contra las ofrecidas por el titular para saber si puede lícita y legítimamente desarrollar el tratamiento. Al ejecutar la ponderación, según el WP 251, el responsable debe considerar:  
  • La importancia de la elaboración de perfiles para su objetivo particular;    
  • tener en cuenta el efecto de la elaboración de perfiles en los intereses, derechos y libertades del interesado (este debe limitarse al mínimo necesario para lograr el objetivo); y  
  • realizar una ponderación.

 

  • El juicio de ponderación es diferente a la valoración de la existencia de un interés legítimo, como fuente de licitud. Se ha dejado indicado en otros comentarios que el responsable siempre debe contar con una justificación para realizar el tratamiento (RGPD; art. 6). El Reglamento prevé varios tipos de justificaciones y, entre ellas, el interés legítimo: cuando se emplea esta motivación, el responsable debe definir el interés y hacerlo explícito ante el titular del dato. Por el contrario, cuando hay ponderación, no es suficiente la simple definición, debe sopesarse el interés del responsable frente al interés del titular, fundado en sus condiciones personales, profesionales, sociales específicas y concretas, para concluir que uno es prevalente respecto del otro.  
  • El titular no puede oponerse a un tratamiento cuando éste encuentre causa en el cumplimiento de una obligación legal o se desarrolle en el marco del ejercicio de competencias de inspección y sanción. Esta última restricción aparece consagrada en el art. 28.2 de la Ley de Procedimiento Administrativo Común (Ley 39/2015, de 1 de octubre) y opera en el marco de la cesión de datos entre administraciones: cuando una administración solicita los datos de una persona a otra administración, debe informarlo a su titular (salvo que se trate de una actuación reservada, que en el ordenamiento español es una situación excepcional) y éste, si la finalidad de la cesión es desarrollar una investigación o imponer una sanción, no puede oponerse a ese tratamiento. La razón de este límite es la prevalencia del interés general de inspeccionar o sancionar, sobre el derecho a controlar el uso de los datos.  

En suma, el titular de los datos puede ver limitado el ejercicio del derecho a oponerse al tratamiento, si el responsable puede aducir un interés prevalente y, en caso de que éste sea imperioso, el titular tampoco puede exigir la suspensión del tratamiento mientras se realiza el juicio de ponderación.

¿Qué pasa si el derecho no se ejercita regularmente?

Hay dos perspectivas desde las que se puede abordar este tema: si el titular del dato no ejercita su derecho, el sistema jurídico no le ofrece una protección por defecto. Es necesario que el titular sea consciente de la situación y haga uso de los medios de defensa que le otorga el ordenamiento.  

Si el titular ejercita alguna de sus facultades de manera irregular (en el sentido de no ajustada al ordenamiento), la protección del Derecho no se activa: por ejemplo, si se opone a un tratamiento, diferente a la mercadotecnia, sin ofrecer un motivo, no opera la suspensión del tratamiento.  

Ventajas e inconvenientes de la digitalización para el disfrute de los derechos:

✅ Sin digitalización, no pueden adoptarse decisiones automatizadas, ni realizarse la geolocalización. En el caso de los perfiles, lo que posibilita la digitalización es la calidad de la predicción. Supóngase, en el mundo físico, que un tendero conoce nuestras preferencias, a fuerza de habernos suministrado el bien o servicio muchas veces y, como gesto de deferencia, en cuanto nos ve entrar al establecimiento nos cuenta las novedades o beneficios del bien o servicio que solemos comprar. En sentido estricto, ésta es una acción de perfilado: hay una evaluación predictiva, basada en datos sobre nuestros hábitos de consumo. Sin embargo, este acto, cuando se ejecuta a través de técnicas estadísticas o algoritmos más complejos, en los entornos digitales, ha supuesto el recaudo y tratamiento de cantidades ingentes de datos, provenientes de distintas fuentes (el propio titular, datos públicos, datos inferidos) y esto optimiza el resultado, en términos de tiempo y fiabilidad.    

❌ Como sucede tratándose del ejercicio de otros derechos, los entornos digitales, al ser transnacionales, dificultan la eficacia de las acciones de protección. Es cierto que el RGPD ha querido superar este escollo estableciendo que, con independencia de dónde esté ubicado el responsable del tratamiento, si usa datos personales de residentes en la UE debe acatar las normas, pero los límites territoriales de la jurisdicción restringen su operatividad.  

❌ La rapidez con la que se generan los eventos en los entornos digitales y, como se ha indicado en otros comentarios, la prevalencia que el titular de los datos otorga a la comodidad o inmediatez sobre su derecho a controlar el uso y destino de su información personal, dificulta el pleno ejercicio de los derechos frente a la elaboración de perfiles, geolocalización y decisiones automatizadas. Pese a que el RGPD ha sido mucho más exigente que las normas precedentes sobre las condiciones para prestar el consentimiento, lo cierto es que ni los responsables son especialmente cuidadosos con la observancia del deber de transparencia (no explican de forma sencilla y clara los aspectos esenciales del tratamiento), ni los titulares se toman el tiempo para comprender la información y tomar decisiones. El titular quiere conocer, adquirir, relacionarse, de la manera más fácil y expedita y la lectura de las condiciones bajo las cuales se desarrolla el tratamiento, se advierte, desafortunadamente con demasiada frecuencia, más como un trámite engorroso que como un medio eficaz para la protección de los derechos.  

¿Cuál es el papel de los poderes públicos?

Los poderes públicos están obligados a respetar y facilitar el ejercicio del derecho a la protección de datos. Desde la primera vertiente, las Administraciones han de observar la normativa cuando utilicen datos de los ciudadanos y, el propio legislador, cuando establezca una norma que permita un tratamiento, ha de verificar previamente que esta previsión es proporcionada: resulta idónea para alcanzar el objetivo, es necesaria (no hay otro medio menos perturbador de la libertad informativa) y proporcionada (adecuada al fin).

Para facilitar el ejercicio de este derecho, se ha instituido, la Agencia Española de Protección de Datos Personales, una autoridad pública independiente que vela por el respeto de los derechos: conoce de las denuncias de los titulares de los datos y ejercita, si es del caso, la potestad sancionadora; realiza inspecciones para verificar el cumplimiento de la normativa y pone a disposición de los responsables y encargos, guías, recomendaciones y modelos que les facilitan ajustar su comportamiento a las previsiones normativas.    

¿Cómo está regulado el ejercicio del derecho?

La normativa de protección de datos personales está integrada por el RGPD y la LOPDPGDD, así como la normativa específica que garantiza la libertad informativa en las redes y servicios de comunicaciones electrónicas (Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector).  

El ejercicio de los derechos respecto al perfilamiento, geolocalización y decisiones automatizadas, está protegido por un conjunto de exigencias generales (las comunes a todos los tratamientos) y unas específicas. Su contenido resumido se recoge a continuación:

A) Mecanismos generales de protección: principios o reglas que debe seguir el responsable.

  1. Información (RGPD; artículo 5, apartado 1, letra a)

El titular del dato personal debe ser informado por el responsable, de manera sencilla y comprensible, sobre el tipo de tratamiento, su finalidad y la forma cómo se pueden ejercitar sus derechos, lo que incluye revelar su condición de responsable y precaver los medios para que el titular pueda hacer valer sus derechos.  

  1. Limitación de la finalidad y tratamiento ulterior (RGPD, artículo 5, apartado 1, letra b)

B) El responsable del tratamiento debe informar sobre el propósito del mismo y, si pretende hacer un uso posterior al original (tratamiento ulterior), debe garantizar, entre otros aspectos, su compatibilidad: debe tratarse de fines relacionados (p. ej. Si se recogen datos para la contratación de un servicio, los tratamientos posteriores deben guardar relación con las condiciones de ejecución), el contexto en el que se recogieron los datos y las expectativas razonables de utilización (p.ej. si el dato se recoge en un entorno laboral, no puede usarse para el ofrecimiento de servicios. El empleador, siguiendo el ejemplo, no puede promocionar sus bienes o servicios dentro de sus empleados empleando dichos datos, porque ese uso está fuera del contexto de la relación laboral y no es razonable que se emplee de otra forma adicional).

  1. Minimización de datos (RGPD; artículo 5, apartado 1, letra c)

Los datos que se recogen deben ser los estrictamente necesarios para alcanzar la finalidad. Así, por ejemplo, si se recaudan para la adquisición de un bien, no es necesario aportar información diferente a la del medio de pago y dirección de envío. Se consideraría contrario a este principio, solicitar datos sobre el género, nivel de estudios, etc.  

  1. Exactitud (RGPD; artículo 5, apartado 1, letra d)

La fiabilidad de las predicciones, decisiones automatizadas o geolocalización, depende de la exactitud de los datos. El responsable debe adoptar todas las medidas técnicas y organizativas tendentes a garantizar que los datos son representaciones exactas de la realidad y que las reglas que se emplean para extraer información no contienen sesgos (desviaciones en los criterios que se emplean para alcanzar la decisión, similares a los prejuicios que puede tener una persona sobre las demás cuando se posiciona respecto a ella) o se aplican en conjuntos no representativos de datos.

  1. Limitación del plazo (RGPD; artículo 5, apartado 1, letra e)

Los datos sólo deben conservarse y usarse por el plazo indispensable para alcanzar la finalidad del tratamiento.  

  1. Licitud (RGPD; art. 6)

Se ha dejado indicado en otros comentarios, que el responsable debe contar siempre con una justificación para tratar los datos. La normativa, consagra varias fuentes de legitimación, sin establecer alguna jerarquía entre las mismas: no hay una causa más importante que otra; todas son igualmente válidas y están sujetas a diferentes exigencias.  

  • Consentimiento: suele ser la causa más habitual de justificación de los tratamientos. Implica que se ha ofrecido información suficiente al titular del dato sobre el tratamiento y él ha manifestado de forma expresa y libre su conformidad con el mismo. Una de las novedades del RGPD respecto a la normativa anterior consiste en el refuerzo de las exigencias sobre esta fuente de legitimación. Entre otras medidas, se exige el consentimiento expreso: no es suficiente el implícito, el inferido, como el que se presta cuando uno es advertido en una página de que se usan cookies para recoger información y que si se continúa navegando se consiente en dicho tratamiento. El responsable debe obtener, en todos los casos, la manifestación expresa del titular, no basta una acción afirmativa (como continuar navegando) para que se entienda legitimado.
  • Información necesaria para la ejecución de un contrato: las autoridades de protección de datos son muy exigentes respecto a esta causa, requiriendo que el responsable acredite que, en efecto, los datos tratados son indispensables (no solo útiles) para la ejecución del contrato. Sin ellos, el contrato no puede celebrarse válidamente (p.ej. sin la identificación de quien contrata), ni ejecutarse como es debido (p.ej. información sobre el medio de pago).
  • Existencia de una obligación legal: en este caso, el tratamiento encuentra su causa en una previsión normativa. El dato se recoge o trata, por ejemplo, para dar cumplimiento a las normas de blanqueo de capitales, de seguridad social, etc.
  • Necesidad de proteger intereses vitales, del titular o de terceros: se trata de una conclusión que se alcanza tras un juicio de ponderación, de balance entre los derechos del titular y otros derechos. Supóngase, por ejemplo, que un paciente ha perdido el conocimiento y por ende no puede ser informado o consentir. Para tratarlo, el personal sanitario debe poder acceder a su historial médico, con miras a conocer enfermedades preexistentes, alergias, medicación. Es el propio interés en la conservación de la vida o salud del paciente el que se coloca por encima de su derecho a estar informado y consentir sobre el tratamiento. También puede darse ese caso en una situación de emergencia sanitaria: el responsable puede requerir información para generar un perfil que pueda predecir las condiciones de propagación. Esta justificación, por ejemplo, se empleó en las aplicaciones desarrolladas durante la pandemia del COVID19 para rastrear contactos.    
  • Cumplimiento de una misión de interés público o ejercicio de poderes públicos: esta motivación no sólo puede ser aducida por las autoridades, sino también por los particulares cuando ejercitan funciones públicas. Parte de la base de que hay una norma que consagra un objetivo público y prevé, como medio para alcanzarlo, un tratamiento. Es importante distinguir esta causa del cumplimiento de una obligación legal: mientras que la obligación debe ser perentoria (el responsable no puede elegir entre cumplirla o no, sino que simplemente debe acatarla), la misión de interés público o el ejercicio de función pública justifica, más no impone, el tratamiento y exige un juicio de proporcionalidad, del que se prescinde cuando se da cumplimiento a una obligación legal.  
  • Interés legítimo: se trata de una causa que se argumenta también de forma habitual, si bien las autoridades de protección de datos han fijado requisitos estrictos para su utilización (Dictamen 6/2014), dentro de las que cabe destacar la necesidad de analizar si ese interés entra, en general y de forma abstracta, en conflicto con otros. En otras palabras, no basta que el responsable considere que tiene un interés legítimo (respaldado por el ordenamiento) para realizar el tratamiento, sino que debe analizar, previamente, cómo ese interés puede entrar en colisión con los de los demás y resultar prevalente. Se ha dejado indicado en apartados anteriores que la oposición exige un juicio de ponderación, mientras que la definición del interés, como causa de legitimación, solo demanda su delimitación. Se precisa en este punto que la delimitación no consiste simplemente en verificar que existe en el ordenamiento una justificación para que el responsable desarrolle el tratamiento; hay, necesariamente, un segundo paso en la definición, que tiene que ver con un análisis abstracto de cómo ese interés puede ser prevalente frente a otros. La diferencia entre el juicio de ponderación, en el plano de la definición del interés y de la oposición al tratamiento, tiene que con la información: cuando se define la licitud la valoración se realiza en abstracto, mientras que en sede de la oposición, debe acreditarse, frente a intereses y situaciones concretas, la prevalencia del aducido por el responsable, sobre el expuesto por el titular. En el caso de los perfiles, ha de tenerse en cuenta: el nivel de detalle del perfil (si es muy general, como un perfil por género, o muy específico, adolescentes a quienes les gusta el manga, etc.), su exhaustividad (grado de detalle del perfil, que viene dado por el conjunto de atributos que se recogen sobre las personas: entre más se conozca, más exhaustivo se considera), las consecuencias que se pueden derivar de su elaboración (jurídicas o equiparables) y las garantías sobre su exactitud (fiabilidad) y para el ejercicio de resto de derechos del titular.  

Una última consideración a este respecto: la licitud de un tratamiento guarda estrecha relación con la naturaleza de los datos tratados, o de sus titulares. Así, todas las fuentes de legitimación son más exigentes si se trata de datos de menores (RGPD; art. 8) que están especialmente protegidos dada la vulnerabilidad de sus titulares; datos sensibles, que son una categoría especial de datos personales que también gozan de mecanismos más robustos de protección, al estar vinculados con cuestiones muy íntimas de los sujetos (p.ej. genéticos, sanitarios, preferencias sexuales) o con el ejercicio de otros derechos (p.ej. los de carácter político, de asociación, sindicalización, etc.). Sobre el tratamiento de estos datos pesa una prohibición en el art. 9 RGPD, que se excepciona solo en determinadas condiciones, que guardan relación, esencialmente con el contexto del tratamiento (p.ej. los partidos políticos pueden tratar los datos de sus afiliados para el ejercicio de sus derechos, pero no pueden usarlos para otros fines, ni cederlos) y su finalidad (cumplir una obligación legal, proteger el interés vital del titular, de un tercero o, en general, un interés público).  Otros datos sujetos a protección especial son los relativos a infracciones administrativas o condenas penales (RGPD; art. 10) que han de ser tratados solo por determinadas personas, con unas finalidades y por plazos muy concretos, para evitar que este aspecto específico de una persona lastre el desarrollo de su vida de forma desproporcionada.  

B) Mecanismos generales: derechos del titular

Los titulares de los datos, tratándose de tratamiento de geolocalización, perfilado o decisiones automatizadas, pueden ejercitar los siguientes derechos:

  1. Información

El titular tiene derecho a conocer, entre otros aspectos, para qué se usan sus datos de geolocalización, si se van a generar perfiles con sus datos, qué consecuencias se pueden derivar de esos perfilados y si se adoptan, sobre la base de sus datos, decisiones sin intervención humana.  

  1. Acceso

El titular debe poder acceder a los datos de entrada y salida de los perfiles, es decir, debe poder conocer sobre qué datos se basa el perfil y en qué consiste la predicción. Este derecho, junto con el de rectificación, refuerzan el principio de exactitud, toda vez que el propio interesado puede constatar que el dato (de entrada o salida) refleja fielmente su realidad.  

  1. Rectificación y supresión  

Al conocer la existencia del tratamiento y poder acceder a los datos, el titular puede solicitar su rectificación (tanto de los datos de entrada, como de salida) o supresión, en este segundo caso, bien porque revoque el consentimiento, o porque entienda que se ha cumplido la finalidad del tratamiento que contaba con justificación.

  1. Oposición  

El titular del dato puede oponerse al tratamiento, en las condiciones que se han descrito al referir los límites al ejercicio de este derecho. Solo resta añadir que las condiciones para el ejercicio al derecho de oposición deben individualizarse dentro del conjunto de informaciones que se ofrecen a los titulares: destacarse o colocarse de forma tal que el titular advierta, con claridad, que puede ejercer este derecho y los medios puestos a disposición del responsable para hacerlo.  

C) Medidas específicas frente a decisiones automatizadas.  

Las medidas de protección obligatorias refuerzan el derecho a ser informado (RGPD; arts. 13 y 14) obligando al responsable a suministrar información específicamente significativa sobre la lógica aplicada (la manera cómo razona el sistema), así como la importancia y las consecuencias previstas para el interesado y amplían las garantías: derecho a obtener intervención humana y el derecho a impugnar la decisión (previstos en el artículo 22, apartado 3).

Se ha indicado previamente que las decisiones automatizadas, si generan consecuencias jurídicas o equiparables, están prohibidas y que sólo pueden emplearse si se dan ciertas condiciones: (a) se cumple alguna excepción de uso de las previstas en el art. 22 RGPD y que incluye que se consienta en su utilización o haya un interés prevalente; (b) Si está justificado el empleo, el titular puede ejercer el derecho de oposición  en las condiciones y con los límites ya descritos; (c) si el titular no está conforme con la respuesta que ofrece el sistema que, se recuerda, tiene un efecto relevante para el derecho de la protección de datos (en los planos jurídico o social), puede solicitarse la intervención humana o ejercitarse el derecho a recurrir, especialmente interesante tratándose de decisiones adoptadas por particulares, toda vez que cuando la decisión puede calificarse como acto administrativo, por ese solo hecho (no por la condición de que sea automatizado) puede ser controlado por la propia Administración o por los jueces.  

Una última consideración sobre las reglas aplicables a este tratamiento: sólo se entiende que la decisión es automatizada cuando no hay intervención humana, es decir, si el sistema adopta de forma autónoma la decisión. Si, por el contrario, el resultado del sistema solo se usa como un elemento más de juicio, pero la decisión la toma una persona, no se aplican las garantías del art. 22 RGPD. Partiendo de esta premisa, las autoridades de protección han destacado las condiciones de la intervención humana que excluyen la aplicación del art. 22: competente y eficaz. Solo si la persona que toma la decisión tiene formación y está en una posición dentro de la organización que le permita desatender el resultado que arroja el sistema, se entiende que hay una verdadera intervención humana. Por el contrario, si aún estando en condiciones de separarse de lo que dice el sistema, sistemáticamente la persona hace lo que éste le recomienda, tampoco se entiende que hay intervención humana.    

¿Qué medidas se han adoptado para garantizar su ejercicio?

Las autoridades de protección de datos, como ha quedado patente en este comentario, han generado documentos guías que facilitan la comprensión de los derechos y deberes atinentes a estas tipologías de tratamientos, dentro de las cuales puede destacarse:  

El WP 251 sobre perfiles y automatización  

Los dictámenes 5/2005 sobre el uso de los datos de localización con vistas a prestar servicios con valor y 13/2011 sobre los servicios de geolocalización en los dispositivos móviles inteligentes

O la guía sobre el uso de cookies que publicó la AEPD en 2024  

https://www.aepd.es/guias-y-herramientas/guias?page=1

Para saber más puede verse:

Cotino Hueso, L. & Reilly, M. B. (2022). Derechos y garantías ante la inteligencia artificial y las decisiones automatizadas. Thomson Reuters Aranzadi.

Davara Rodríguez, M. Á., & Davara Fernández de Marcos, E. P. (2020). El Reglamento Europeo de Protección de Datos y la LOPDGDD: todo lo que necesitas saber. Wolters Kluwer (Madrid, España).

Kuner, C., Bygrave, L., Docksey, C., & Drechsler, L. (2020). The EU general data protection regulation: a commentary. Update of Selected Articles (May 4, 2021).

Llaneza, P. (2019). Datanomics: Todos los datos personales que das sin darte cuenta y todo lo que las empresas hacen con ellos. Deusto.

Piñar Mañas, J. L. (2016). Reglamento general de protección de datos: hacia un nuevo modelo europeo de privacidad.

Vaquer Caballería, M (dir); Pedraza Córdoba, J (coord.) (2025) Actuación administrativa automatizada: sus claves jurídicas. Tirant lo blanch.  

Autoría:

Juanita Pedraza Córdoba

Universidad Carlos III de Madrid

Derecho Público del Estado

Instituto Pascual Madoz

Observatorio de Derechos Digitales
Logo gobierno de españa