Análisis de datos sobre servicios en línea según el RGPD: base jurídica del procesamiento

Según el Reglamento general de protección de datos de la UE, las organizaciones deben tener bases legales para procesar datos personales, incluidas las bases legales limitadas establecidas en el artículo 6.

Es muy común encontrarse con avisos de privacidad que indican que se están tratando datos personales con fines analíticos. En tales casos, suele indicarse una base jurídica única. Pero, ¿se puede considerar el análisis de datos para el procesamiento con una sola finalidad, que según el RGPD se encuentra en una base jurídica única?

Analítica: ¿De qué estamos hablando?

El análisis de datos se utiliza para respaldar el análisis sistemático, como el análisis, la transformación y el modelado de datos para extraer información útil, extraer conclusiones y patrones, y respaldar la toma de decisiones.

El análisis de datos se puede dividir en dos capas: la capa de datos sin procesar, que consta de eventos y acciones del usuario, y la capa de metadatos, información generada y analizada a partir de datos sin procesar que se transforma en conocimientos significativos mediante técnicas o herramientas.

La capa de datos sin procesar representa información detallada y detallada recopilada durante las interacciones del usuario con aplicaciones y sistemas, mientras que la capa de metadatos analíticos representa conocimientos y resultados de alto nivel derivados del análisis de dichos datos sin procesar.

El comportamiento del usuario se refiere a las diversas acciones y comportamientos de las personas al interactuar con una aplicación, como la autenticación del usuario, hacer clic en botones, escribir, ingresar datos, navegar, descargar, cargar, compartir y dar me gusta.

Los eventos de usuario son eventos específicos que se monitorean o registran durante la interacción de un usuario con un sistema o aplicación y no requieren acciones de autenticación. Los eventos pueden ser vistas de páginas o marcos, errores del sistema o eventos transaccionales.

Para la capa de metadatos, los eventos comunes en las aplicaciones de comercio electrónico incluyen, por ejemplo, la tasa de abandono del carrito de compras, la tasa de conversión y el valor promedio del pedido, es decir, el monto promedio gastado por un cliente en una sola transacción.

Vale la pena señalar que algunos sitios web recopilan análisis a través de cookies, que luego activan la aplicación de la Directiva de Privacidad de la UE.

Objetivos del proceso para el análisis de datos.

La definición del propósito del proceso de análisis de datos debe centrarse en el propósito de la recopilación de datos y su uso previsto. Esto se debe a que los mismos datos de usuario pueden utilizarse para muchos análisis y, por tanto, recopilarse para diferentes fines. Por lo tanto, no todas las finalidades del tratamiento de datos pueden tener la misma base jurídica y pueden requerir diferentes prácticas de privacidad para garantizar la legalidad, tales como:

  • Monitoreo de disponibilidad y seguridad de las aplicaciones, como analizar las vulnerabilidades de las aplicaciones, depurar y solucionar problemas, detectar anomalías, garantizar el monitoreo de la seguridad y garantizar el rendimiento de las aplicaciones.
  • Mejorar el servicio, incluso revelando patrones, tendencias, interacciones e ideas de los usuarios para mejorar las funciones actuales y futuras, así como evaluar la participación de los usuarios y crear personas.
  • Utilizar modelos financieros indirectos, donde los datos se comparten con terceros.
  • Integrar las necesidades de inteligencia de negocios, como apoyar la toma de decisiones estratégicas y definir y monitorear indicadores clave de desempeño.
  • Usar la personalización del servicio, donde la aplicación en sí incluye un panel de análisis, o cuando eventos y acciones de usuario específicos activan eventos específicos de la aplicación, como recomendaciones de artículos de conocimiento.

Esta lista no esta completa. Es probable que el análisis de datos encuentre otros usos potenciales interesantes.

Procesamiento anónimo del análisis de datos.

Algunas organizaciones pueden tener la opción de procesar datos anónimos con fines analíticos. Los datos anónimos no son identificables ni identificables y, por lo tanto, no son datos personales y están fuera del alcance de la protección de la privacidad, como se establece en la Declaración 26 del RGPD.

Seguridad de la aplicación, disponibilidad y personalización del servicio.

El seguimiento de la seguridad de la aplicación, la disponibilidad y la personalización del servicio pueden considerarse parte de la prestación del servicio y, por tanto, pueden depender de la ejecución del contrato (artículo 6, apartado 1, letra b) del RGPD) como la base legal. base del proceso. Por lo general, lo mejor para el usuario es mantener los datos seguros y protegidos al contratar un servicio, y el registro es una característica común de la mayoría de los marcos de seguridad. Cuando el valor del servicio está inherentemente vinculado a análisis en la aplicación o personalización de contenido, dicho procesamiento también se considera parte del servicio.

En tales casos, el consentimiento no es una base legal disponible porque los usuarios generalmente no pueden retirar libremente el consentimiento mientras continúan usando el servicio. Las directrices del Consejo Europeo de Protección de Datos sobre el consentimiento establecen: «En general, el consentimiento sólo puede ser una base jurídica adecuada si al interesado se le ofrece el control y se le ofrece una opción real para aceptar o rechazar los términos ofrecidos o rechazarlos sin prejuicios. «.

Por el contrario, cuando los análisis en la aplicación o las características personales son opcionales o no esenciales para la prestación del servicio, el consentimiento o el interés legítimo pueden servir como base legal.

Desarrollo de servicios

Las Directrices del CEPD enfatizan que el artículo 6(1)(b) generalmente no será una base legal apropiada para procesar datos personales para mejorar el servicio. En palabras del CEPD, «si bien la posibilidad de mejoras y cambios en un servicio se incluye regularmente en los términos del contrato, dicho proceso generalmente no se considera objetivamente necesario para la ejecución del contrato con el usuario».

Esto también se incluye en la decisión vinculante del CEPD sobre la disputa presentada por la Comisión Irlandesa de Protección de Datos con respecto a WhatsApp Irlanda, en la que el CEPD dictaminó que la plataforma se basaba injustamente en el contrato como base legal para procesar datos personales con fines de mejora del servicio. .

En cambio, el interés legítimo o el consentimiento parecen una base jurídica más apropiada en este caso.

Modelo de financiación indirecta

Hay situaciones en las que una empresa de software tiene un acuerdo con un tercero para crear o mantener una aplicación para que pueda compartir datos valiosos. En tales casos, se recomienda considerar si el tercero no es responsable del tratamiento, y como tal queda reflejado en la política de privacidad.

El consentimiento o el interés legítimo pueden ser una base jurídica disponible. Por ejemplo, cuando se espera una relación con un tercero, puede surgir un interés legítimo cuando el usuario ordena a la empresa que revele intencionalmente información personal a un tercero.

Decepción

Si bien parece fácil confiar en el análisis de datos como finalidad general del tratamiento, esto no refleja el espíritu del RGPD ni el principio de limitación de la finalidad, como lo confirman la jurisprudencia y las directivas del CEPD.

El análisis de datos no siempre debe verse como un paraguas para muchas actividades de manejo de datos personales. Pueden existir y aplicarse diferentes bases legales para cada propósito de procesamiento.

Las organizaciones deben considerar cuidadosamente su contexto específico y determinar qué base legal sería la más apropiada. Los muchos usos posibles de los datos analíticos hacen que resulte tentador utilizar dichos puntos de datos de forma creativa. Si bien algunos fines de procesamiento permiten flexibilidad, no son intercambiables para el mismo propósito.

Puede interesarte

La nueva guía GDPR para startups · Data Ethics Think Tank

Un nuevo libro sobre cómo lograr un cumplimiento eficaz del RGPD para las empresas emergentes …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *