“Protección de Datos: Aclarando conceptos” Entrada 10 — Datos inferidos: el gran olvidado del RGPD


 

“Protección de Datos: Aclarando conceptos”

Entrada 10 — Datos inferidos: el gran olvidado del RGPD

1. Por qué este concepto necesita aclararse

En la era de la analítica avanzada y la inteligencia artificial, los datos más sensibles y más valiosos no son los que se recogen, sino los que se generan a partir de ellos.

Sin embargo, muchas organizaciones siguen creyendo que:

  • solo son datos personales los que el usuario proporciona,
  • los datos inferidos “no cuentan” porque no se recogen directamente,
  • los modelos de IA generan información “anónima”,
  • y que las obligaciones del RGPD no aplican a inferencias.

Todo esto es incorrecto. El RGPD es claro: los datos inferidos también son datos personales, y pueden ser incluso más sensibles que los originales.

Esta entrada explica qué son, por qué importan y cómo deben gestionarse.

2. Qué son los datos inferidos (y qué no son)

Los datos inferidos son datos personales que no se recogen directamente, sino que se derivan, calculan o predicen a partir de otros datos.

Ejemplos típicos:

  • un perfil de riesgo crediticio,
  • una predicción de comportamiento,
  • una clasificación de salud basada en patrones,
  • una estimación de ingresos,
  • una probabilidad de abandono,
  • una segmentación comercial,
  • una predicción de ideología o religión basada en hábitos.

No son datos proporcionados por el usuario, pero sí son datos personales, porque se refieren a una persona identificada o identificable.

3. Por qué los datos inferidos son especialmente delicados

Los datos inferidos presentan tres riesgos críticos:

1) Pueden ser más sensibles que los datos originales

Ejemplo: A partir de hábitos de compra se puede inferir salud, religión o ideología.

2) Pueden ser incorrectos

Las inferencias pueden ser:

  • erróneas,
  • sesgadas,
  • incompletas,
  • o basadas en correlaciones débiles.

Y aun así, pueden afectar a decisiones reales.

3) Pueden generar efectos jurídicos o significativos

Especialmente en:

  • scoring,
  • selección de personal,
  • seguros,
  • crédito,
  • publicidad segmentada,
  • decisiones automatizadas.

4. Qué obligaciones genera el tratamiento de datos inferidos

El tratamiento de datos inferidos no está exento del RGPD. Implica obligaciones claras:

1) Base jurídica

Debe existir una base jurídica válida para:

  • generar la inferencia,
  • y utilizarla.

No basta con tener base jurídica para los datos originales.

2) Transparencia

La empresa debe informar:

  • que genera inferencias,
  • para qué las usa,
  • y cómo afectan al interesado.

3) Minimización

No se pueden generar inferencias que no sean necesarias para la finalidad.

4) Limitación de la finalidad

No se pueden reutilizar inferencias para fines incompatibles.

5) Derechos del interesado

Incluye:

  • acceso a las inferencias,
  • rectificación (cuando sea posible),
  • oposición,
  • y, en ciertos casos, no ser objeto de decisiones automatizadas.

6) DPIA

Obligatoria cuando las inferencias generan alto riesgo.

5. Señales de que una empresa está gestionando mal los datos inferidos

  • Genera perfiles sin base jurídica clara.
  • No informa de las inferencias en la política de privacidad.
  • Usa inferencias para finalidades no previstas.
  • No permite acceso a los datos inferidos.
  • No evalúa sesgos ni errores.
  • No realiza DPIA en tratamientos de alto riesgo.
  • Considera que las inferencias “no son datos personales”.

6. Cómo gestionar correctamente los datos inferidos (modelo práctico)

Paso 1 — Identificar las inferencias

Mapear qué datos se generan, no solo los que se recogen.

Paso 2 — Justificar la base jurídica

Una para generar, otra para usar.

Paso 3 — Informar con claridad

Explicar qué se infiere, cómo y para qué.

Paso 4 — Evaluar riesgos y sesgos

Especialmente en IA y modelos predictivos.

Paso 5 — Aplicar minimización

No generar inferencias innecesarias.

Paso 6 — Revisar periódicamente

Los modelos cambian, las inferencias también.

7. Cierre del ciclo: lo que hemos aprendido

Con esta entrada cerramos el ciclo Protección de Datos: Aclarando conceptos, en el que hemos abordado:

1.    Bases jurídicas.

2.    Roles (responsable, encargado, corresponsable).

3.    Datos especialmente protegidos.

4.    Análisis de riesgos vs. DPIA.

5.    Minimización y limitación de la finalidad.

6.    Conservación, bloqueo y supresión.

7.    Incidente vs. brecha.

8.    Transferencias internacionales.

9.    Privacy by design & by default.

10.                   Datos inferidos.

Un mapa completo para navegar los conceptos más complejos —y más mal entendidos— del RGPD.

Comentarios

Publicar un comentario