Sat. Aug 13th, 2022
    en flag
    nl flag
    et flag
    fi flag
    fr flag
    de flag
    he flag
    ja flag
    lv flag
    pl flag
    pt flag
    es flag
    uk flag

    Nota del editor: De vez en cuando, ComplexDiscovery destaca anuncios disponibles públicamente o de compra privada, actualizaciones de contenido e investigaciones de proveedores de descubrimiento cibernético, de datos y legal, organizaciones de investigación y miembros de la comunidad de ComplexDiscovery. Si bien ComplexDiscovery resalta regularmente esta información, no asume ninguna responsabilidad por las afirmaciones de contenido.

    Para enviar recomendaciones para su consideración e inclusión en los anuncios de investigación, productos o servicios centrados en el descubrimiento legal, cibernético y de datos de ComplexDiscovery, póngase en contacto con nosotros hoy mismo.

    Nota de antecedentes: El 17 de mayo de 2022, el Future of Privacy Forum publicó un informe completo que analiza la jurisprudencia en virtud del Reglamento General de Protección de Datos (GDPR) aplicado a casos reales que involucran la toma de decisiones automatizada (ADM). El informe se basa en una amplia investigación que abarca más de 70 sentencias judiciales, decisiones de las autoridades de protección de datos (DPA), directrices específicas y otros documentos de política emitidos por los reguladores. Según el anuncio de este nuevo informe, el GDPR tiene una disposición particular aplicable a las decisiones basadas únicamente en el procesamiento automatizado de datos personales, incluida la elaboración de perfiles, que produce efectos legales en relación con una persona o afecta de manera similar a esa persona: Artículo 22. Esta disposición consagra uno de los «derechos del interesado», en particular el derecho a no estar sujeto a decisiones de esa naturaleza (es decir, «ADM calificativa»), que ha sido interpretado por las APD como una prohibición más que una prerrogativa que las personas pueden ejercer. Sin embargo, el informe afirma que las protecciones del GDPR para las personas contra las formas de toma de decisiones automatizadas (ADM) y la elaboración de perfiles van mucho más allá del artículo 22. Dados los posibles desafíos de privacidad de ADM, este informe puede ser beneficioso para los profesionales de la ciberseguridad, el gobierno de la información y el descubrimiento legal que buscan comprender mejor los posibles desafíos de privacidad y las consideraciones de jurisprudencia actuales relacionadas con ADM.

    Informe de investigación del Foro Future of Privacy

    Toma de decisiones automatizada bajo el GDPR: casos prácticos de tribunales y autoridades de protección de datos

    Por Sebastião Barros Vale y Gabriela Zanfir-Fortuna

    Extracto de informe: antecedentes y descripción general

    El Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE) establece uno de sus fundamentos fundamentales en el considerando 4, que establece que «el procesamiento de datos personales debe diseñarse para servir a la humanidad». Esto se refiere a cualquier procesamiento de datos personales, desde su recopilación hasta sus diversos usos, tan simple como llevar un registro de las compras de uno en su tienda de comestibles favorita y tan complejo como usar datos personales para la toma de decisiones automatizada, como la preselección de candidatos para un trabajo mediante el uso de algoritmos , o que los datos personales resulten de un procesamiento complejo, como crear un perfil del cliente de una tienda de comestibles sobre la base de su historial de compras. El mismo fundamento subyacente del RGPD se aplica si los datos personales se procesan de alguna manera como parte de una aplicación de Inteligencia Artificial (IA) o Aprendizaje Automático (ML), ya sea como entrada o salida de dicho procesamiento.

    Si bien todas las disposiciones del GDPR se aplican a un procesamiento tan complejo de datos personales, desde la obligación del controlador de tener un fundamento legal para el procesamiento, hasta la obligación de garantizar que el procesamiento se realiza de manera justa y transparente, hasta obligaciones más técnicas, como garantizar una adecuada nivel de seguridad de los datos y garantizar que la protección de los datos personales se incorpore al diseño de una operación de procesamiento, una disposición particular del GDPR se aplica específicamente a las decisiones «basadas únicamente en el procesamiento automatizado [de datos personales — n.], incluida la elaboración de perfiles, que produce efectos legales » concerniente a una persona «o afecte de manera similar» a esa persona: Artículo 22.

    Esta disposición consagra uno de los «derechos del interesado», en particular «el derecho a no estar sujeto a una decisión basada únicamente en el procesamiento automatizado» que tiene un efecto legal o similar significativo en el individuo. En este informe, toda toma de decisiones automatizada (ADM) que cumpla con estos criterios, tal como se definen en el artículo 22 del RGPD, se denomina «ADM calificada».

    Incluso si aparentemente se introdujo en el GDPR para responder a la era actual de algoritmos, IA y sistemas de aprendizaje automático, esta disposición ha existido de hecho en virtud de la antigua Directiva de protección de datos de la UE adoptada en 1995, y tiene sus raíces en una disposición similar de la primera ley francesa de protección de datos adoptada a finales de la década de 1970. Sin embargo, apenas se ha aplicado en virtud de la ley anterior. Los casos comenzaron a repuntar después de que el RGPD entrara en vigor en 2018, teniendo en cuenta también que la toma de decisiones automatizada se está volviendo omnipresente en la vida diaria, y ahora parece que las personas están cada vez más interesadas en que se aplique su derecho en virtud del artículo 22.

    Este informe describe cómo los tribunales nacionales y las Autoridades de Protección de Datos (APD) de la UE/Espacio Económico Europeo (EEE) y el Reino Unido han interpretado y aplicado las disposiciones pertinentes del RGPD sobre ADM hasta el momento, así como las tendencias notables y los valores atípicos a este respecto. Para compilar el informe, hemos analizado las decisiones judiciales y administrativas y las directrices regulatorias disponibles públicamente en las jurisdicciones de la UE/EEE y en el Reino Unido, que era miembro de la UE hasta diciembre de 2020 y cuyas normas sobre ADM siguen siendo una implementación del GDPR en el momento de redactar este informe. Para complementar los hechos de los casos discutidos, también hemos analizado comunicados de prensa, informes anuales e historias de los medios de comunicación. Esta investigación se limita a los documentos publicados hasta abril de 2022 y se basa en más de 70 casos —19 sentencias judiciales y más de 50 decisiones de ejecución, opiniones individuales u orientaciones generales emitidas por las APD— de 18 Estados miembros del EEE, el Reino Unido y el Supervisor Europeo de Protección de Datos (SEPD). Los principales casos y documentos utilizados como referencia se enumeran en el anexo I. El informe contiene principalmente resúmenes de casos, así como directrices pertinentes, y los casos explorados en detalle están numerados de forma coherente para que todas las notas sobre un caso particular puedan identificarse fácilmente en todo el documento (por ejemplo, caso 3 se mencionará varias veces, en diferentes secciones).

    Los casos que identificamos a menudo provienen de situaciones de la vida diaria en las que ADM desempeña un papel cada vez más importante. Por ejemplo, un grupo de casos se refiere a estudiantes e instituciones educativas. Estos casos varían desde el uso de tecnologías de reconocimiento facial en vivo para gestionar el acceso en las instalaciones escolares y el registro de la asistencia, hasta la supervisión en línea y, además, la calificación totalmente automatizada basada en el perfil individual de un estudiante, pero también en el perfil de su distrito escolar, como sustituto de la alta exámenes de graduación escolar durante la pandemia de COVID-19.

    Otro grupo importante de casos tiene en su núcleo la situación de los trabajadores por encargo y la forma en que se distribuyen los turnos, los trabajos, los ingresos y las sanciones a través de sus respectivas plataformas. Un número significativo de casos impugna la calificación crediticia automatizada. La forma en que los gobiernos distribuyen los beneficios sociales, como el desempleo, y gestionan la elusión fiscal y el posible fraude está cada vez más sujeta a más casos: impugnaciones individuales o investigaciones de oficio. También encontramos casos en los que el ADM subyacente fue desafiado en situaciones como la emisión de licencias de armas, la extracción de fuentes disponibles públicamente para construir un producto de FR o la elaboración de perfiles de clientes potenciales por parte de un banco.

    Nuestro análisis mostrará que el GDPR en su conjunto es relevante para los casos de ADM y se ha aplicado eficazmente para proteger los derechos de las personas en tales casos, incluso en aquellas situaciones en las que la ADM en cuestión no cumple con el alto umbral establecido por el artículo 22 del RGPD, y el derecho a no estar sujeto únicamente a la toma de decisiones automatizada no es aplicable. Por ejemplo, sin siquiera analizar si el Artículo 22 se aplica en esos casos, los tribunales y las DPA han descubierto que el despliegue de aplicaciones FR activas para gestionar el acceso a las instalaciones escolares y controlar la asistencia era ilegal según otras disposiciones del GDPR porque no tenía un motivo legal para el procesamiento. y no respetaba los requisitos de necesidad y proporcionalidad, protegiendo así los derechos de los estudiantes en Francia y Suecia (véanse los casos 30 y 31).

    Una lectura comparativa de los casos relevantes también mostrará cómo se consideran en la práctica los complejos requisitos de transparencia, que se traducen efectivamente en el derecho de las personas a recibir una explicación de alto nivel sobre los parámetros que llevaron a una decisión individual automatizada sobre ellos o sobre cómo elaboración de perfiles que se les aplica.

    Los principios de legalidad y equidad se aplican por separado en los casos relacionados con ADM, y el principio de equidad gana impulso en la aplicación. Por ejemplo, en uno de los casos más recientes consagrados en el Informe, la DPA holandesa encontró que el sistema algorítmico utilizado por el gobierno para detectar automáticamente el fraude en las solicitudes de prestaciones sociales violaba el principio de equidad, ya que el procesamiento se consideraba «discriminatorio» por haber tenido en cuenta tener en cuenta la doble nacionalidad de las personas que solicitan prestaciones de cuidado de niños.

    Otro punto importante que surgió de nuestra investigación es que cuando los encargados de hacer cumplir la ley evalúan el umbral de aplicabilidad del artículo 22 («únicamente» automatizado y «efecto legal o similar significativo» de ADM en las personas), los criterios utilizados son cada vez más sofisticados a medida que crece el cuerpo de la jurisprudencia. Por ejemplo, los tribunales y los DPA están analizando todo el entorno organizacional donde se lleva a cabo un ADM, desde la estructura de la organización, hasta las líneas de presentación de informes y la capacitación efectiva del personal, con el fin de decidir si una decisión fue «únicamente» automatizada o tuvo una participación humana significativa. Del mismo modo, al evaluar el segundo criterio para la aplicabilidad del artículo 22, los encargados de hacer cumplir la ley observan si los datos de entrada para una decisión automatizada incluyen inferencias sobre el comportamiento de las personas y si la decisión afecta la conducta y las elecciones de las personas a las que se dirige, entre otras cosas, criterios en capas.

    Por último, debemos destacar que en prácticamente todos los casos en los que se determinó que un proceso de ADM era ilegal, las APD fueron más allá de imponer multas administrativas al ordenar también medidas específicas de alcance variable: órdenes de detener prácticas, órdenes de eliminar los datos personales recopilados ilegalmente, órdenes de prohibir seguir recopilando datos personales.

    Todas las secciones del informe van acompañadas de resúmenes de casos y breves análisis que señalan los puntos en común y los valores atípicos. El informe explora inicialmente el contexto y los elementos clave del artículo 22 y otras disposiciones pertinentes del RGPD que se han aplicado en los casos de ADM, todos ellos reflejados en ejemplos concretos (sección 1). A continuación, se profundiza en cómo se ha interpretado y aplicado en la práctica el doble umbral exigido por el artículo 22 del RGPD (sección 2). Por último, la sección 3 expone cómo los tribunales y las APD han aplicado el artículo 22 en áreas sectoriales, a saber, en materia de empleo, reconocimiento facial en vivo y calificación crediticia. La Conclusión expondrá algunas de las tendencias de interpretación legal y aplicación identificadas que surgen de nuestra investigación y destacará las áreas restantes de inseguridad jurídica que pueden ser aclaradas en el futuro por los reguladores o el TJUE (Sección 4).

    Lea el anuncio original.

    Informe completo - Toma de decisiones automatizada en virtud del RGPD: casos prácticos de los tribunales y las autoridades de protección de datos (PDF) - Pase el ratón para desplazarse

    Informe FPF-ADM - mayo de 2022

    Lea el informe original.

    *Compartido con permiso bajo licencia Creative Commons, Attribution 4.0 International.

    Lectura adicional

    ¿Aceptando las diferencias? Interacción de la ciencia forense digital en el descubrimiento electrónico

    ¿Definir Cyber Discovery? Una definición y un marco

    Fuente: ComplexDiscovery

    ¿Ventosas en los ingresos? KLDiscovery Inc. anuncia los resultados financieros del segundo trimestre de 2022

    According to Christopher Weiler, CEO of KLDiscovery Inc, “The second quarter...

    ¿Más allá de ingresos DISCO anuncia los resultados financieros del segundo trimestre de 2022

    According to Kiwi Camara, Co-Founder and CEO of DISCO, “We are...

    ¿Vivir con Leeds? Exterro completa la recapitalización por más de $1 mil millones

    According to the press release, with the support of a group...

    TCDI completa la adquisición de la práctica de eDiscovery de Aon

    According to TCDI Founder and CEO Bill Johnson, “We chose Aon’s...

    ¿En movimiento? Cinética del mercado de eDiscovery para 2022: cinco áreas de interés

    Recently ComplexDiscovery was provided an opportunity to share with the eDiscovery...

    ¿Confiar en el proceso? Datos de costos, gastos y tareas de procesamiento de eDiscovery 2021

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    ¿El resumen del año? Puntos de datos de costos, gastos y tareas de revisión de eDiscovery 2021

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Una mirada 2021 a la colección de eDiscovery: puntos de datos de tareas, gastos y costos

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Cinco excelentes lecturas sobre descubrimiento cibernético, de datos y legal para julio de 2022

    From lurking business undercurrents to captivating deepfake developments, the July 2022...

    Cinco excelentes lecturas sobre descubrimiento cibernético, de datos y legal para junio de 2022

    From eDiscovery ecosystem players and pricing to data breach investigations and...

    Cinco excelentes lecturas sobre descubrimiento cibernético, de datos y legal para mayo de 2022

    From eDiscovery pricing and buyers to cyberattacks and incident response, the...

    Cinco excelentes lecturas sobre el descubrimiento cibernético, de datos y legal para abril de 2022

    From cyber attack statistics and frameworks to eDiscovery investments and providers,...