RGPD El artículo 22 trata sobre un concepto llamado 'elaboración de perfiles de datos', esencialmente un método utilizado para perfilar la personalidad de un individuo. únicamente a través del análisis de datos automatizado, que tiene la posibilidad de afectarlos legal o financieramente (por ejemplo, calificación crediticia y solicitudes de hipotecas).
Según el artículo 22, las personas tienen derecho a no ser perfiladas de esa manera, a menos que se acuerde expresamente mediante un contrato entre el sujeto y la organización que realiza la elaboración del perfil.
Toma de decisiones individual automatizada, incluida la elaboración de perfiles
Toma de decisiones individual automatizada, incluida la elaboración de perfiles
En términos generales, el Artículo 22 no es relevante si las decisiones afectan a múltiples interesados o grupos de individuos conectados por ciertas variables (por ejemplo, edad, sexo, ubicación).
En cambio, la ley se centra en los derechos del individuo –es decir, de una persona– a no ser objeto de elaboración de perfiles sin su consentimiento.
A pesar de ser el tema principal, las decisiones son una especie de área gris. La ley no es clara en cuanto a lo que constituye una decisión. Estos pueden variar desde una decisión de una autoridad gubernamental hasta algo más fácilmente reconocible, como una puntuación de crédito o acciones tomadas en una solicitud de hipoteca.
Para hacer las cosas aún más vagas, las decisiones también pueden constituir una actitud u opinión hacia un interesado, en función de sus datos, pero sólo si existe la posibilidad de que se actúe en consecuencia.
Un "efecto jurídico" es una acción vinculante adoptada hacia una persona. Las decisiones son escenarios como una reclamación de prestaciones, una declaración de impuestos o una evaluación de la atención sanitaria.
Si bien es posible que algunos o todos estos no cambien específicamente el estatus legal básico de una persona, aún así pueden tener un efecto profundo en la vida de esa persona, incluyendo:
En esta sección hablamos de los artículos 22 (2) (a), 22 (2) (b), 22 (2) (c) y 22 (4) del RGPD.
Para formar una base legal para el procesamiento de PII, las organizaciones deben documentar sus acciones y:
Las organizaciones también deben considerar cualquier "categoría especial" de PII que se relacione con su organización en su esquema de clasificación de datos (consulte la cláusula 27701 de ISO 7.2.8) (las clasificaciones pueden variar de una región a otra).
Si las organizaciones experimentan algún cambio en sus motivos subyacentes para procesar la PII, esto debe reflejarse inmediatamente en su base legal documentada.
En esta sección hablamos de los artículos 22 (1) y 22 (3) del RGPD.
Las organizaciones deben tener en cuenta las variaciones jurisdiccionales en la toma de decisiones automatizada con respecto a la PII.
Las organizaciones deben respetar el derecho de un individuo a oponerse y solicitar intervención humana en lugar de procedimientos automatizados.
Artículo del RGPD | Cláusula ISO 27701 | Cláusulas de apoyo de ISO 27701 |
---|---|---|
Artículo 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4) del RGPD UE | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
Artículos 22 (1) y 22 (3) del RGPD UE | ISO 27701 7.3.10 | Ninguna |
Al agregar un PIMS a su ISMS en la plataforma ISMS.online, su postura de seguridad permanece todo en un solo lugar y evitará la duplicación cuando los estándares se superpongan.
Con su PIMS accesible instantáneamente para las partes interesadas, nunca ha sido tan fácil monitorear, informar y auditar según ISO 27701 e ISO 27001 con solo hacer clic en un botón.
Descubra cuánto tiempo y dinero ahorrará en su camino hacia una certificación ISO 27701 e ISO 27001 combinada utilizando ISMS.online reservar una demostración.
Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración