Las plataformas digitales utilizan algoritmos para adoptar decisiones cada vez más relevantes: desde mostrar contenido o fijar precios hasta bloquear cuentas o conceder crédito.
Cuando estas decisiones se adoptan de forma automatizada y producen efectos jurídicos o impactos significativos sobre las personas, entra en juego el artículo 22 del Reglamento (UE) 2016/679, Reglamento General de Protección de Datos (RGPD).
Este precepto introduce límites importantes al perfilado automatizado y reconoce derechos específicos para los usuarios.
Comprender cuándo se aplica —y cómo cumplirlo— es esencial para cualquier empresa que utilice sistemas algorítmicos en su negocio digital.
Qué es el perfilado automatizado según el RGPD
El RGPD define el perfilado como cualquier forma de tratamiento automatizado de datos personales destinada a evaluar determinados aspectos personales de una persona física.
En particular, puede utilizarse para analizar o predecir cuestiones relacionadas con:
- el comportamiento online,
- las preferencias o intereses de consumo,
- la solvencia económica,
- el rendimiento laboral,
- los hábitos de navegación.
En el contexto de plataformas digitales, esto suele implicar algoritmos que analizan grandes volúmenes de datos para clasificar, segmentar o evaluar a los usuarios.
Algunos ejemplos habituales en empresas digitales
Muchas organizaciones ya utilizan este tipo de sistemas en su operativa diaria. Por ejemplo:
- entidades financieras o fintech que emplean algoritmos para decidir automáticamente si conceden un crédito o determinar el límite de una tarjeta;
- plataformas de marketplace que suspenden cuentas de vendedores cuando detectan patrones de fraude mediante sistemas automáticos;
- empresas de comercio electrónico que aplican precios dinámicos personalizados según el perfil del usuario;
- plataformas de trabajo digital o reparto que asignan pedidos, calculan reputaciones o limitan el acceso al sistema mediante sistemas automatizados.
La cuestión jurídica relevante surge cuando el algoritmo no se limita a analizar datos, sino que toma decisiones que afectan directamente al usuario.
En ese momento puede aplicarse el artículo 22 del RGPD, que regula las decisiones individuales automatizadas.
¿Qué el limita las decisiones tomadas solo por algoritmos?
El artículo 22 del RGPD establece que toda persona tiene derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos personales —incluido el perfilado— cuando dicha decisión produzca efectos jurídicos o le afecte significativamente de modo similar.
La finalidad de esta norma es evitar que decisiones relevantes para las personas sean adoptadas exclusivamente por sistemas algorítmicos sin supervisión humana.
La Agencia Española de Protección de Datos (AEPD) y el Comité Europeo de Protección de Datos (EDPB) han señalado que la aplicación de este precepto debe analizarse caso por caso, atendiendo al impacto real que la decisión automatizada produce sobre el interesado.
Qué decide el algoritmo y qué derechos tiene el usuario
Una forma útil de analizar el artículo 22 consiste en identificar qué tipo de decisión adopta el algoritmo y cuál es su impacto sobre la persona.
Cuando se activa el artículo 22 RGPD, el usuario tiene derecho a:
- solicitar intervención humana en la decisión,
- expresar su punto de vista respecto al resultado obtenido,
- impugnar la decisión automatizada.
Esto obliga a las empresas a diseñar mecanismos reales de revisión humana, que permitan analizar la decisión adoptada por el sistema automatizado y, en su caso, modificarla.
Algunos ejemplos ilustrativos serían:
| Decisión algorítmica | Posible efecto |
| Determinar el precio individual de un servicio | Impacto económico relevante |
| Clasificar a un trabajador en plataformas digitales | Impacto laboral o profesional |
| Denegar automáticamente un crédito | Efecto jurídico directo |
| Bloquear una cuenta de marketplace | Impacto significativo en la actividad económica |
Transparencia algorítmica: una exigencia creciente
El RGPD no obliga a revelar el algoritmo completo utilizado por una empresa.
Sin embargo, sí exige proporcionar información significativa sobre la lógica aplicada en el proceso de decisión automatizada.
Esto implica que las organizaciones deben poder explicar, al menos:
- qué datos personales se utilizan para el perfilado,
- con qué finalidad se analizan,
- qué factores influyen de forma relevante en la decisión,
- qué consecuencias puede tener para el usuario.
En la práctica, muchas organizaciones están adoptando modelos de transparencia algorítmica y explicabilidad de sistemas automatizados.
Este enfoque responde no solo a las exigencias del RGPD, sino también a la evolución del marco regulatorio europeo en materia de inteligencia artificial.
El impacto del AI Act en los sistemas de perfilado
El Reglamento Europeo de Inteligencia Artificial (AI Act) introduce una nueva capa regulatoria para los sistemas algorítmicos utilizados por empresas y plataformas digitales.
A diferencia del RGPD —que se centra en la protección de datos personales— el AI Act regula el diseño, desarrollo y uso de sistemas de inteligencia artificial, estableciendo obligaciones específicas en función del nivel de riesgo.
Muchos sistemas de perfilado utilizados por empresas digitales pueden quedar clasificados como sistemas de alto riesgo, especialmente cuando afectan a ámbitos como:
- scoring crediticio y acceso a financiación,
- gestión de trabajadores en plataformas digitales,
- acceso a servicios esenciales o a oportunidades económicas.
En estos casos, el AI Act exige a las organizaciones adoptar medidas como:
- sistemas de gestión de riesgos del sistema de IA,
- documentación técnica detallada,
- mecanismos de supervisión humana efectiva,
- registro y trazabilidad de las decisiones automatizadas,
- procedimientos de evaluación de conformidad antes de la puesta en el mercado.
Desde una perspectiva de cumplimiento normativo, esto significa que muchas empresas deberán gestionar simultáneamente dos marcos regulatorios complementarios:
- el RGPD, en relación con el tratamiento de datos personales;
- el AI Act, en relación con el diseño y gobernanza del sistema de inteligencia artificial.
Preguntas frecuentes sobre decisiones automatizadas y RGPD
Sí, pero solo en determinadas circunstancias.
El artículo 22 RGPD permite decisiones basadas exclusivamente en tratamiento automatizado cuando:
son necesarias para la ejecución de un contrato entre la empresa y el usuario;
están autorizadas por una norma con rango legal;
el interesado ha otorgado consentimiento explícito.
En cualquier caso, la empresa debe aplicar garantías adecuadas para proteger los derechos y libertades del interesado, especialmente cuando la decisión tiene efectos relevantes.
Sí. Cuando una decisión entra dentro del ámbito del artículo 22 RGPD, el interesado puede solicitar:
intervención humana en el proceso de decisión,
explicar suposición o aportar información adicional,
impugnar el resultado obtenido por el sistema automatizado.
Si el sistema automatizado solo formula una recomendación y la decisión final la adopta una persona con capacidad real de análisis y revisión, en principio no se consideraría una decisión basada exclusivamente en tratamiento automatizado.
No obstante, las autoridades de protección de datos han señalado que esta intervención humana debe ser significativa y no meramente formal.
El RGPD no obliga a revelar el código fuente ni los detalles técnicos completos del sistema.
Sin embargo, sí exige proporcionar información significativa sobre la lógica aplicada, de forma que el usuario pueda comprender:
qué factores influyen en la decisión,
cómo se utilizan sus datos,
qué consecuencias puede tener el proceso automatizado.
El uso de algoritmos en plataformas digitales seguirá creciendo en los próximos años. Sin embargo, tanto el RGPD como el AI Act dejan claro que la automatización no elimina la responsabilidad jurídica de la empresa.
Cuando el perfilado afecta de forma relevante a los usuarios, las organizaciones deben garantizar:
transparencia en el uso de datos personales,
supervisión humana efectiva de las decisiones automatizadas,
mecanismos de revisión e impugnación accesibles,
adecuada documentación del funcionamiento del sistema.
Las empresas que integren estos principios desde el diseño —siguiendo los enfoques de privacy by design, accountability y gobernanza de la IA— no solo reducen riesgos regulatorios, sino que también refuerzan la confianza de clientes, usuarios y reguladores en el uso responsable de la inteligencia artificial.
RRYP Global, abogados de empresas internacionales y tecnológicas en España.
