Resposta

A definição de perfis é efetuada quando os seus aspetos pessoais são avaliados para fazer previsões sobre si, mesmo que não seja tomada qualquer decisão. Por exemplo, se uma empresa ou organização avaliar as suas características (como a idade, o sexo ou a altura) ou o classificar numa categoria, isto significa que está a definir o seu perfil.

As decisões individuais exclusivamente automatizadas ocorrem quando são tomadas decisões sobre si por meios tecnológicos e sem envolvimento humano. Estas podem ser efetuadas mesmo sem definição de perfis.

A lei da proteção de dados estipula que uma pessoa tem o direito a não ser sujeita a decisões baseadas exclusivamente em meios automatizados, se a decisão produzir efeitos jurídicos respeitantes à pessoa ou que a afetem significativamente de maneira similar. Uma decisão produz efeitos jurídicos quando os seus direitos jurídicos são afetados (como o direito de voto). Além disso, o tratamento pode afetar significativamente um indivíduo se influenciar as suas circunstâncias, comportamentos ou escolhas. Por exemplo, o tratamento automatizado pode levar à recusa de um pedido de crédito em linha.

A definição de perfis e as decisões automatizadas são prática comum em vários setores, como os setores bancário e financeiro, fiscal e da saúde. Pode ser mais eficiente, mas menos transparente, e pode limitar as suas opções.

Embora, regra geral, as pessoas não devam ser sujeitas a uma decisão baseada exclusivamente em tratamento automatizado, este tipo de decisão pode ser permitido, a título excecional, se a utilização de algoritmos for permitida por lei e forem consagradas as salvaguardas adequadas.

As decisões exclusivamente automatizadas também são permitidas quando:

  • a decisão é necessária, ou seja, não pode existir outra forma de alcançar o mesmo objetivo, para celebrar ou executar um contrato com a pessoa em questão;
  • a pessoa deu o seu consentimento expresso.

Nestes dois casos, a decisão tomada tem de proteger os seus direitos e liberdades através de salvaguardas adequadas. A empresa ou organização deve, pelo menos, informá-lo do seu direito de obter intervenção humana e de tomar as medidas procedimentais necessárias. Além disso, a empresa ou organização deve permitir-lhe manifestar o seu ponto de vista e deve informá-lo de que pode contestar a decisão.

As decisões baseadas em algoritmos não podem utilizar categorias especiais de dados, a menos que a pessoa tenha dado o seu consentimento ou o tratamento seja permitido pelo direito da UE ou pelo direito nacional (ver acima).

Exemplo

Uma pessoa recorre a um banco para obter um empréstimo. É-lhe pedido que insira os seus dados e o algoritmo do banco informa-o sobre se o banco irá ou não conceder o empréstimo, indicando a taxa de juro proposta. A pessoa deve ser informada de que pode manifestar a sua opinião, contestar a decisão e solicitar que a decisão tomada pelo algoritmo seja revista por uma pessoa.

Referências

  • Artigos 21.º e 22.º e considerandos 71 e 72 do RGPD
  • Grupo do Artigo 29.º para a Proteção de Dados, Orientações sobre decisões individuais automatizadas e definição de perfis para efeitos do Regulamento (UE) 2016/679 (WP 251)