Luarea de decizii automatizate in ceea ce priveste GDPR

Raspuns: Articolul 22 alineatul (1) din Regulamentul (UE) 679/2016 se refera la decizii bazate exclusiv pe prelucrarea automata . Aceasta inseamna ca nu exista implicare umana in procesul decizional. Un proces automatizat produce ceea ce reprezinta in realitate o recomandare privind o persoana vizata. Daca o fiinta umana analizeaza si ia in considerare si alti factori in luarea deciziei finale, aceasta decizie nu ar fi bazata exclusiv pe prelucrarea automatizata . Operatorul de date cu caracter personal nu poate evita dispozitiile articolului 22 prin implicarea umana.

De exemplu, daca cineva aplica in mod obisnuit profiluri generate automat persoanelor fizice fara o influenta reala asupra rezultatului, aceasta ar fi totusi o decizie bazata exclusiv pe procesarea automatizata. Pentru a se califica drept implicare umana, operatorul de date cu caracter personal trebuie sa se asigure ca orice interventie in luarea deciziei este semnificativa, si nu reprezinta doar un gest simbolic.

Ar trebui sa fie efectuata de catre cineva care are autoritatea si competenta de a schimba decizia. Ca parte a analizei, ar trebui sa se ia in considerare toate datele relevante. Operatorul de date cu caracter personal cu ocazia efectuarii evaluarii de impact asupra protectiei datelor cu caracter personal (DPIA) ar trebui sa identifice si sa inregistreze gradul oricarei implicari umane in procesul de luare a deciziilor si in ce etapa are loc acest lucru.

O conditie necesara a fi indeplinita pentru a fi in prezenta unei decizii bazata exclusiv pe prelucrarea automata este producerea de consecinte juridice pentru persoana vizata, spre exemplu: anularea unui contract; dreptul la sau refuzul acordarii unei prestatii sociale speciale acordate prin lege, cum ar fi beneficiile pentru copii sau pentru locuinta; refuzul acordarii cetateniei etc.

De asemenea, este necesar ca decizia bazata exclusiv pe prelucrarea automata sa afecteze in mod semnificativ persoana vizata. Adica decizia trebuie sa fie susceptibila sa: afecteaze in mod semnificativ circumstantele, comportamentul sau alegerile persoanelor in cauza; aiba un impact prelungit sau permanent asupra persoanei vizate; in cea mai mare masura, sa conduca la excluderea sau discriminarea persoanelor vizate. Urmatoarele decizii ar putea intra in aceasta categorie: deciziile care afecteaza situatia financiara a cuiva, cum ar fi eligibilitatea acestora la obtinerea unui credit; deciziile care afecteaza accesul cuiva la serviciile de sanatate.

Deciziile bazate exclusiv pe prelucrarea automata pot implica sau nu profilarea, dar acestea pot fi si activitati separate. De exemplu: impunerea amenzilor de viteza doar pe baza dovezilor din aparatele radar este un proces decizional automat care nu implica neaparat profilarea.

Cu toate acestea, aceasta ar deveni o decizie bazata pe profilare, daca obiceiurile de conducere ale persoanei au fost monitorizate in timp si, de exemplu, cuantumul amenzii impuse este rezultatul unei evaluari care implica alti factori, cum ar fi daca depasirea vitezei este o fapta repetata sau daca soferul a avut alte incalcari recente de trafic.

Deciziile care nu au la baza exclusiv prelucrarea automata pot de asemenea contine profilari. De exemplu: inainte de instituirea unei ipoteci, o banca poate lua in considerare bonitatea imprumutatului, cu o interventie umana suplimentara semnificativa inainte de a lua o decizie in acest sens. Exemplu (decizii bazate pe profilare): o persoana decide daca sa aprobe acordarea imprumutului pe baza unei proiectari produse prin mijloace pur automatizate. Exemplu (decizii bazate exclusiv pe prelucrarea automata, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizata sau o afecteaza in mod similar intr-o masura semnificativa): un algoritm decide daca imprumutul este aprobat si decizia este transmisa in mod automat persoanei vizate, fara efectuarea unei evaluari umane prealabile si semnificative.