La información ha tenido un rol clave como herramienta en la toma de cualquier tipo de decisiones. Mediante ella es posible no solamente entender nuestro ambiente, sino que tomar decisiones que tengan efectos sobre el mismo. En este sentido, los datos pueden ser útiles como medios para la toma de decisiones, tanto en la esfera privada como pública. 

Bajo tales circunstancias, el hombre ha creado varios procedimientos y técnicas para otorgar una mayor efectividad al uso de la información. Una de estas técnicas es lo que se conoce como el data profiling o la elaboración de perfiles, que a grandes rasgos consiste en la técnica de procesamiento de datos, sean personales o no, cuyo objeto es producir información deduciendo o infiriendo correlaciones de datos que están bajo la forma de perfiles y que posteriormente pueden ser usados como base para la toma de decisiones.

Aún cuando el profiling puede ser tremendamente ventajoso en una amplia variedad de sectores, como el de la seguridad, investigaciones criminales, financiero, salud, trabajo y marketing, tampoco se puede dejar de lado la idea de que esta técnica supone grandes riesgos no solamente respecto de la seguridad de los datos de los sujetos, sino que también para sus derechos en general. Algunos de estos riesgos, son: discriminación, “desindividualización”, asimetrías de información y la afección de la autonomía moral de las personas. Un claro ejemplo de lo anterior viene dado por el hecho de que mucha gente podría adaptar sus conductas si es que ellos saben o sospechan que sus actividades e información están siendo tratadas mediante la técnica de elaboración de perfiles. Lo anterior podría dar lugar a un terrible mundo en donde los indiviuos que sospechan ser monitoreados no lean o averigüen en Internet sobre enfermedades, política o temas sensibles.

A diferencia de varios países, entre ellos los europeos, Chile no cuenta con una regulación de este tipo de prácticas (sin embargo, existe un proyecto de ley, que entre otros temas, busca regularlas). En Europa su regulación se encuentra en una etapa relativamente avanzada ahora que el nuevo Reglamento de Protección de Datos Personales ha pulido variados aspectos de la elaboración de perfiles.

La elaboración de perfiles y la toma de decisiones individuales automatizadas antes del Reglamento General de Protección de Datos Personales.

Para comenzar, debe tenerse presente que en la Directiva de Protección de Datos Personales (en adelante, DPD), en su artículo 2° no define el término profiling (elaboración de perfiles), ni tampoco lo que debe entenderse por decisiones individuales automatizadas (DIAs), lo que en términos prácticos se traduce en posibles riesgos de incurrir en problemas conceptuales e interpretativos en cuanto a qué debe y qué no ser considerado como una DIAs o una actividad de profiling.

Como sea, el artículo 15(1) hace cierta referencia a las DIAs, estableciendo el derecho de las personas “a no verse sometidas a una decisión con efectos jurídicos sobre ellas o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta, etc.”. Del texto de la parte final de dicho precepto legal, puede concluirse que el artículo 15(1) de cierto modo trata el tema del data profiling, pero solamente en relación a un aspecto específico del mismo: el proceso de ‘profile application’ (aplicación, uso del perfil o toma de decisión en base a un perfil). Como sea, ninguna referencia se hace respecto al proceso de  ‘profile creation’ (creación de perfiles). Además, el artículo 15(1) no tiene la forma de una prohibición directa sobre una toma de decisión en particular (mediante el uso de un perfil generado con el objeto de tomar una decisión sobre una persona), sino que, por el contrario, la DPD simplemente deja abierta la posibilidad a los Estados Miembros para conferir a las personas el derecho a evitar ser sujetos de decisiones puramente automatizadas en general. De este modo, la DPD no regula la “creación” o “elaboración” de perfiles, sino que su “aplicación”, que debe ser entendida como la habilidad de tomar decisiones basada en perfiles generados, pero sin intervención de un agente humano. En este sentido, el profiling y las DIAs son procesos distintos, en donde la diferencia se encuentra en el hecho de que la toma de decisiones automatizadas es un proceso tendiente a lograr una decisión basada en un perfil que ya se encuentra actualmente creado.

El derecho a no verse sometido a DIAs, sin embargo, tiene ciertas excepciones, las que tienen lugar cuando una decisión (i) se haya adoptado en el marco de la celebración o ejecución de un contrato, siempre que la petición de celebración o ejecución del contrato presentada por el interesado se haya satisfecho o que existan medidas apropiadas, como la posibilidad de defender su punto de vista , para la salvaguardia de su interés legítimo; o (ii) esté autorizada por una ley que establezca medidas que garanticen el interés legítimo del interesado.

Si tuviésemos que criticar la regulación del profiling en la DPD, necesariamente deberíamos recalcar que ella solamente hace referencia al proceso de aplicación del perfil (mediante una DIA) y no a la creación de perfiles. También es cuestionable la efectividad del artículo 15, que se ve afectada por el hecho de que su aplicación es contigente respecto a un amplio número de condiciones que deben ser satisfechas cumulativamente. Finalmente, podemos decir que la letra de tales condiciones a cumplirse es extremadamente ambigua. Por ejemplo, ¿qué debe considerarse como “decisión”, “efectos legales”, “afectar de manera significativa”? Del mismo modo, ¿cuándo una decisión estará “basada únicamente en un tratamiento automatizado de datos”? ¿a qué se refiere el legislador Europeo con “ciertos aspectos personales”?

A diferencia de la DPD, el Reglamento General de Protección de Datos Personales (RGPD), en su artículo 4° (“Definiciones”), conceptualiza lo que es el profiling. Dicho precepto prescribe que profiling o elaboración de perfiles es “toda forma de tratamiento automatizado de datos personales consistente en utilizar dichos datos para evaluar determinados aspectos personales propios de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias o intereses personales, fiabilidad o comportamiento, ubicación o movimientos de dicha persona física”.

A diferencia de la escueta regulación de la DPD relativa al tema, el RGPD cuenta con una serie de menciones que establecen reglas claras en torno a la elaboración de perfiles. A modo de ejemplo, el Reglamento establece de manera expresa deberes de información, sea que los datos hayan o no sido obtenidos del interesado. En el primer caso, el artículo 13(1)(f), establece que el responsable del tratamiento, en el momento en que éstos se obtengan, le facilitará al interesado información sobre “la existencia de decisiones automatizas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4 y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado”; en cuanto a la segunda hipótesis, el artículo 14(2)(f), prescribe que el responsable del tratamiento de la información deberá entregar información sobre “la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4 y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado”. 

Sin perjuicio del derecho a la información relativo a las actividades de profiling, el RGDP también ha innovado respecto a otros derechos. Por ejemplo, el artículo 15(1)(h), sobre el “Derecho de acceso del interesado”, extiende la regla del artículo 12 DPD (“Derecho de Acceso”), específicamente la establecida en la letra (a) párrafo 3 (“derecho a obtener del responsable del tratamiento conocimiento de la lógica utilizada en los tratamientos automatizados de los datos referidos al interesado, al menos en los casos de las decisiones automatizadas a que se refiere el apartado 1 del artículo 15”), concediendo el derecho de acceso a la información y de obtener información relativa a la existencia de toma de decisiones automatizadas, incluyendo la elaboración de perfiles, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado. La terminología “significativa” usada en el RGPD pareciera no ser al azar, ya que ello significaría que la información que debe ser proporcionada debe ser sustancial, idónea y relevante. 

En cuanto a la regulación específica de las DIAs y el profiling, el artículo 22(1) (“Decisiones individuales automatizadas, incluida la elaboración de perfiles”), establece: “Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”. Como vemos, el RGPD ha incluido de manera expresa la elaboración de perfiles, cuestión que no ocurría en su símil en la DPD. 

En cuanto a las excepciones al derecho establecido en el artículo 22(1), el artículo 22(2), establece tres hipótesis, a saber, cuando la decisión: a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento; b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o c) se basa en el consentimiento explícito del interesado. 

Sin perjuicio de lo anterior, el RGPD ha establecido un balance respecto de los derechos del interesado cuando se está frente a las hipótesis a) y c). En estos casos “el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión”. 

El RGPD también ha mejorado los términos de su artículo homólogo (15(2)(b)) en la DPD, en el sentido de que una DIA puede tomarse no solamente si es autorizada por una ley del Estado Miembro en específico, sino que también por el Derecho de la Unión. Del mismo modo, el RGPD también mejora esta excepción de la DPD, estableciendo que la ley no solamente deberá establecer medidas adecuadas para salvaguardar los intereses legítimos del interesado, sino que también sus “derechos” y “libertades”.

Otro paso significativo ha sido que el RGPD, en relación con el proceso de toma de decisiones, prohíbe que cualquier decisión que se tome justificándose en las anteriores excepciones se base en categorías especiales de datos personales contempladas en el artículo 9. Estas categorías especiales no son otras más que los denominados datos sensibles (aquellos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física).

En cuanto a la criticada ambigüedad de la DPD, el RGPD también ha dado un paso adelante, contando con varios canales que permitirán una mejor interpretación de sus reglas, entre ellos, la creación del Comité Europeo de Protección de Datos (que entre sus muchas funciones, tendrá la de emitir directrices, recomendaciones y buenas prácticas a fin de promover la aplicación coherente del Reglamento; artículo 70(e)) y el detallado preámbulo del Reglamento, que contienes cientos de considerandos que sirven para entender el sentido y alcance de cada uno de los preceptos del mismo.

Y en Chile, ¿qué?

En una sociedad tan globalizada como la nuestra, en donde las grandes empresas no dudan en aprovechar los vacíos legales y exigen cierta información personal cuando accedemos a servicios o compramos productos, se hace necesario contar con una regulación que cuente con este tipo de figuras.

En la actualidad, Chile sigue manteniendo vigente una ley anticuada, desactualizada y que, en relación a las nuevas tecnologías y técnicas de procesamiento de datos, guarda absoluto silencio.

Como sea, actualmente en nuestro país se han propuesto una serie de reformas legales substanciales a la Ley N° 19.628 que regula el tratamiento de datos personales. El proyecto de ley incluye en su artículo 8° bis una norma que recoge la normativa europea sobre la toma de decisiones basadas en el profiling, estableciendo un derecho especial de oposición que operaría en ciertas hipótesis. Sin perjuicio de aquello, el proyecto no reconoce una prohibición absoluta del profiling (como ocurre en Europa), sino que solamente consagra un derecho de oposición a posibles “decisiones personales automatizadas” (el que también está reconocido en la Unión Europea).

En ciertos seminarios de protección de datos personales he escuchado a varios panelistas indicando que no es necesario que nuestro país siga la senda del RGPD, bastando con crear una ley que simplemente se contente con los estándares mínimos de la OCDE. Difiero absolutamente: debemos optar por reglas de vanguardia.

A diferencia de otros sectores, el que explota los datos de las personas está íntimamente ligado con la tecnología, lo cual significa que es altamente cambiante y dinámico. Del mismo modo, tal sector está ligado a mercados que para un ciudadano común y corriente son bastante sensibles, como por ejemplo el de los seguros y el de la salud.

Claramente lo que se juega no son simplemente datos.