Cómo demostrar el cumplimiento del artículo 22 del RGPD

Software de cumplimiento de RGPD

Reserve una demostración

negocios,equipo,reunión,foto,profesional,inversionista,trabajando,nuevo,inicio,arriba

RGPD El artículo 22 trata sobre un concepto llamado 'elaboración de perfiles de datos', esencialmente un método utilizado para perfilar la personalidad de un individuo. únicamente a través del análisis de datos automatizado, que tiene la posibilidad de afectarlos legal o financieramente (por ejemplo, calificación crediticia y solicitudes de hipotecas).

Según el artículo 22, las personas tienen derecho a no ser perfiladas de esa manera, a menos que se acuerde expresamente mediante un contrato entre el sujeto y la organización que realiza la elaboración del perfil.

RGPD Artículo 22 Texto Legal

Versión del RGPD de la UE

Toma de decisiones individual automatizada, incluida la elaboración de perfiles

  1. El interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o que le afecte significativamente de forma similar.

  2. El apartado 1 no se aplicará si la decisión:

    • es necesario para celebrar o ejecutar un contrato entre el interesado y un responsable del tratamiento;

    • está autorizado por la legislación de la Unión o de los Estados miembros a la que está sujeto el responsable del tratamiento y que también establece medidas adecuadas para salvaguardar los derechos, libertades e intereses legítimos del interesado; o

    • se basa en el consentimiento explícito del interesado.

  3. En los casos a que se refieren las letras a) y c) del apartado 2, el responsable del tratamiento aplicará medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, al menos el derecho a obtener la intervención humana por parte del responsable del tratamiento, expresar su punto de vista y impugnar la decisión.

  4. Las decisiones a que se refiere el apartado 2 no se basarán en categorías especiales de datos personales a que se refiere el artículo 9, apartado 1, a menos que se apliquen las letras a) o g) del artículo 9, apartado 2, y se adopten medidas adecuadas para salvaguardar los derechos del interesado. y existen libertades e intereses legítimos.

Versión del RGPD del Reino Unido

Toma de decisiones individual automatizada, incluida la elaboración de perfiles

  1. El interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o que le afecte significativamente de forma similar.

  2. El apartado 1 no se aplicará si la decisión:

    • es necesario para celebrar o ejecutar un contrato entre el interesado y un responsable del tratamiento;

    • sea ​​requerido o autorizado por la legislación nacional, que también establece medidas adecuadas para salvaguardar los derechos, libertades e intereses legítimos del interesado; o

    • se basa en el consentimiento explícito del interesado.

  3. En los casos a que se refieren las letras a) y c) del apartado 2, el responsable del tratamiento aplicará medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, al menos el derecho a obtener la intervención humana por parte del responsable del tratamiento, expresar su punto de vista y impugnar la decisión.

    • 3A. El artículo 14 de la Ley de 2018, y las regulaciones bajo ese artículo, establecen disposiciones para salvaguardar los derechos, libertades e intereses legítimos de los interesados ​​en los casos que entran dentro del punto (b) del párrafo 2 (pero no dentro del punto (a) o (c). de ese párrafo).

  4. 4. Las decisiones a que se refiere el apartado 2 no se basarán en categorías especiales de datos personales a que se refiere el artículo 9, apartado 1, a menos que se apliquen las letras a) o g) del artículo 9, apartado 2, y se adopten medidas adecuadas para salvaguardar los datos. los derechos y libertades del sujeto y sus intereses legítimos están vigentes.
Saltar al tema
Simple. Seguro. Sostenible.

Vea nuestra plataforma en acción con una sesión práctica personalizada según sus necesidades y objetivos.

Reserva tu demostración
img

Comentario técnico

Lo que hacemos

En términos generales, el Artículo 22 no es relevante si las decisiones afectan a múltiples interesados ​​o grupos de individuos conectados por ciertas variables (por ejemplo, edad, sexo, ubicación).

En cambio, la ley se centra en los derechos del individuo –es decir, de una persona– a no ser objeto de elaboración de perfiles sin su consentimiento.

¿Qué es una 'decisión'?

A pesar de ser el tema principal, las decisiones son una especie de área gris. La ley no es clara en cuanto a lo que constituye una decisión. Estos pueden variar desde una decisión de una autoridad gubernamental hasta algo más fácilmente reconocible, como una puntuación de crédito o acciones tomadas en una solicitud de hipoteca.

Para hacer las cosas aún más vagas, las decisiones también pueden constituir una actitud u opinión hacia un interesado, en función de sus datos, pero sólo si existe la posibilidad de que se actúe en consecuencia.

Efectos Legales

Un "efecto jurídico" es una acción vinculante adoptada hacia una persona. Las decisiones son escenarios como una reclamación de prestaciones, una declaración de impuestos o una evaluación de la atención sanitaria.

Si bien es posible que algunos o todos estos no cambien específicamente el estatus legal básico de una persona, aún así pueden tener un efecto profundo en la vida de esa persona, incluyendo:

  • cambiar las circunstancias de una persona o las opciones disponibles para ella;

  • tiene un efecto prolongado en una persona a lo largo de su vida;

  • (en determinadas circunstancias) que conduce a discriminación o acciones injustas hacia alguien.

ISO 27701 Cláusula 7.2.2 y Artículo 22 del RGPD UE

En esta sección hablamos de los artículos 22 (2) (a), 22 (2) (b), 22 (2) (c) y 22 (4) del RGPD.

Identificar una base legal

Para formar una base legal para el procesamiento de PII, las organizaciones deben documentar sus acciones y:

  1. buscar consentimiento;

  2. redactar un contrato o contactos;

  3. cumplir con cualquier otra obligación legal;

  4. proteger los 'intereses vitales' de los individuos y grupos sobre los que poseen datos;

  5. garantizar que operan dentro del interés público y que es un interés legítimo.

Las organizaciones también deben considerar cualquier "categoría especial" de PII que se relacione con su organización en su esquema de clasificación de datos (consulte la cláusula 27701 de ISO 7.2.8) (las clasificaciones pueden variar de una región a otra).

Si las organizaciones experimentan algún cambio en sus motivos subyacentes para procesar la PII, esto debe reflejarse inmediatamente en su base legal documentada.

Respaldo de cláusulas ISO 27701

  • ISO 27701 7.2.8

ISO 27701 Cláusula 7.3.10 y Artículo 22 del RGPD UE

En esta sección hablamos de los artículos 22 (1) y 22 (3) del RGPD.

Toma de decisiones automatizada

Las organizaciones deben tener en cuenta las variaciones jurisdiccionales en la toma de decisiones automatizada con respecto a la PII.

Las organizaciones deben respetar el derecho de un individuo a oponerse y solicitar intervención humana en lugar de procedimientos automatizados.

Índice de artículos vinculados del RGPD de la UE y cláusulas ISO 27701

Artículo del RGPDCláusula ISO 27701Cláusulas de apoyo de ISO 27701
Artículo 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4) del RGPD UEISO 27701 7.2.2ISO 27701 7.2.8
Artículos 22 (1) y 22 (3) del RGPD UEISO 27701 7.3.10Ninguna

Cómo ayuda ISMS.online

Al agregar un PIMS a su ISMS en la plataforma ISMS.online, su postura de seguridad permanece todo en un solo lugar y evitará la duplicación cuando los estándares se superpongan.

Con su PIMS accesible instantáneamente para las partes interesadas, nunca ha sido tan fácil monitorear, informar y auditar según ISO 27701 e ISO 27001 con solo hacer clic en un botón.

Descubra cuánto tiempo y dinero ahorrará en su camino hacia una certificación ISO 27701 e ISO 27001 combinada utilizando ISMS.online reservar una demostración.

Descubre nuestra plataforma

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Somos rentables y rápidos

Descubra cómo eso aumentará su ROI
Obtenga su cotización

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más