Jun 04, 2023
Direitos relacionados à tomada de decisão automatizada, incluindo criação de perfil
Pesquisar artigo
Pesquisar artigo
Para cumprir o GDPR do Reino Unido...
☐ Temos uma base legal para realizar perfis e/ou tomada de decisão automatizada e documentar isso em nossa política de proteção de dados.
☐ Enviamos aos indivíduos um link para nossa declaração de privacidade quando obtivemos seus dados pessoais indiretamente.
☐ Explicamos como as pessoas podem acessar detalhes das informações que usamos para criar seu perfil.
☐ Informamos às pessoas que nos fornecem seus dados pessoais como elas podem se opor à criação de perfis, incluindo a criação de perfis para fins de marketing.
☐ Temos procedimentos para que os clientes acessem a entrada de dados pessoais nos perfis para que possam revisar e editar quaisquer problemas de precisão.
☐ Temos verificações adicionais em vigor para nossos sistemas de criação de perfil/tomada de decisão automatizada para proteger quaisquer grupos vulneráveis (incluindo crianças).
☐ Coletamos apenas a quantidade mínima de dados necessários e temos uma política de retenção clara para os perfis que criamos.
Como modelo de boas práticas...
☐ Realizamos um DPIA para considerar e abordar os riscos antes de iniciarmos qualquer nova tomada de decisão automatizada ou criação de perfil.
☐ Informamos os nossos clientes sobre a criação de perfis e a tomada de decisão automatizada que realizamos, que informação utilizamos para criar os perfis e de onde obtemos essa informação.
☐ Usamos dados anônimos em nossas atividades de criação de perfil.
Para cumprir o GDPR do Reino Unido...
☐ Realizamos um DPIA para identificar os riscos para os indivíduos, mostrar como vamos lidar com eles e quais medidas temos em vigor para atender aos requisitos do GDPR do Reino Unido.
☐ Efectuamos o tratamento ao abrigo do artigo 22.º, n.º 1, para fins contratuais e podemos demonstrar a sua necessidade.
OU
☐ Realizamos o processamento de acordo com o Artigo 22(1) porque temos o consentimento explícito do indivíduo registrado. Podemos mostrar quando e como obtivemos o consentimento. Dizemos aos indivíduos como eles podem retirar o consentimento e temos uma maneira simples de fazer isso.
OU
☐ Efectuamos o tratamento ao abrigo do artigo 22.º, n.º 1, porque somos autorizados ou obrigados a fazê-lo. Esta é a forma mais adequada para atingir os nossos objectivos.
☐ Não usamos dados de categoria especial em nossos sistemas automatizados de tomada de decisão, a menos que tenhamos uma base legal para fazê-lo e possamos demonstrar qual é essa base. Excluímos quaisquer dados de categoria especial criados acidentalmente.
☐ Explicamos que usamos processos automatizados de tomada de decisão, incluindo a criação de perfis. Explicamos quais informações usamos, por que as usamos e quais podem ser os efeitos.
☐ Temos uma maneira simples de as pessoas nos pedirem para reconsiderar uma decisão automatizada.
☐ Identificamos funcionários em nossa organização que estão autorizados a realizar revisões e mudar decisões.
☐ Verificamos regularmente a precisão e o viés de nossos sistemas e inserimos quaisquer alterações no processo de design.
Como modelo de boas práticas...
☐ Usamos recursos visuais para explicar quais informações coletamos/usamos e por que isso é relevante para o processo.
☐ Aderimos a [padrão] um conjunto de princípios éticos para construir a confiança de nossos clientes. Isso está disponível em nosso site e em papel.
A tomada de decisão individual automatizada é uma decisão tomada por meios automatizados sem qualquer envolvimento humano.
Exemplos disso incluem:
A tomada de decisão individual automatizada não precisa envolver a criação de perfis, embora muitas vezes o faça.
O GDPR do Reino Unido diz que o perfil é:
"Qualquer forma de tratamento automatizado de dados pessoais que consista na utilização de dados pessoais para avaliar certos aspectos pessoais relativos a uma pessoa singular, em particular para analisar ou prever aspectos relativos ao desempenho dessa pessoa singular no trabalho, situação económica, saúde, preferências pessoais, interesses, confiabilidade, comportamento, localização ou movimentos."
[Artigo 4(4)]
As organizações obtêm informações pessoais sobre indivíduos de várias fontes diferentes. Pesquisas na Internet, hábitos de compra, dados de estilo de vida e comportamento coletados de telefones celulares, redes sociais, sistemas de vigilância por vídeo e Internet das Coisas são exemplos dos tipos de dados que as organizações podem coletar.