La Sentencia del Tribunal de Justicia (Sala Primera) de 7 de diciembre de 2023, OQ contra Land Hessen (asunto C-634/21) resulta de especial interés para la protección de datos en las decisiones apoyadas en la automatización. Esta STJUE responde a una Petición de decisión prejudicial planteada por el Verwaltungsgericht Wiesbaden, y resultará influyente en relación con los retos de la digitalización y de la IA.

Los hechos subyacentes giran en torno a la influencia de las decisiones de una agencia de rating que elabora perfiles crediticios de consumidores. Concretamente,  SCHUFA era una empresa dedicada a facilitar información sobre la solvencia (scoring) de los consumidores. Para realizar sus análisis se apoyaba en procedimientos matemáticos y estadísticos, mediante los que clasificaba a las personas físicas en atención a su comportamiento pasado e infería la probabilidad de comportamientos futuros similares (generación de valor de probabilidad) .

Entre los clientes de SCHUFA se encontraban entidades financieras del sector de crédito a consumidores.

En el asunto analizado, una persona física cuya solicitud de préstamo fue negada por uno de los clientes de SCHUFA (sobre la base del scoring proporcionado por ésta) ejerció su derecho de acceso a datos ante esta evaluadora de calidad crediticia. Pero SCHUFA le facilitó sólo información genérica y se negó a divulgar los distintos datos que tenía del afectado, así como la ponderación de estos que había realizado en forma de valores de probabilidad. La negativa de SCHUFA se apoyaba en que quien había denegado el crédito eran sus clientes, y no la propia entidad (y al amparo de la legislación alemana sólo se regula el «uso» del valor de probabilidad, pero no su generación).

El tribunal alemán preguntó si la actividad de SCHUFA debía entenderse sometida al art 22 RGPD,  dado que no era ella la que adoptaba la «decisión automatizada», sino que sólo genera el valor de probabilidad. Y esta pregunta se vertía para conocer si SCHUFA estaba o no obligada a dar acceso al afectado

Rosetón Sur. Pulchra Leonina

En esta sentencia el TJUE recordó que  el art 22 RGPD protege a las personas contra los riesgos específicos que afecten a sus intereses y derechos legítimos, en particular el derecho a no ser discriminados. Establece lo que es una «decisión individual» sometida al art 22, que debe entenderse en sentido amplio. Y aclara que cuando el valor de probabilidad es generado por una agencia de información comercial / crediticia. Y cuando así es comunicado a un banco o entidad que concede créditos, y desempeña un papel determinante en la concesión de un crédito, la generación propiamente dicha de ese valor de probabilidad  es una decisión que produce «efectos jurídicos» en un interesado o que  le afecta significativamente de modo similar

• • Conforme al TJUE las garantías del RGPD abarcan actos, hechos o datos que sustentan las decisiones automatizadas, como los perfiles o ponderaciones automatizadas que han estado en la base de la decisión finalmente adoptada. Por ello, a pesar de que formalmente la decisión se adopte por otra entidad o haya pasado por un proceso de aparente decisión humana, si el componente automatizado es determinante, no puede considerarse como excluido de las garantías exigidas en el RGPD.
  • El concepto de «decisión»  no está restringido a  los actos que producen efectos jurídicos directos en un interesado, sino que abarca también hechos que cuya influencia en la decisión que finalmente se adopta es relevante. Un ejemplo de esa influencia es la que se dilucidaba en esta sentencia, es decir, la denegación de una solicitud de crédito en línea (por estar apoyada en un tratamiento automatizado de datos de solvencia)
  • El concepto amplio de «decisión» incluye la elaboración de perfiles cuyo valor de probabilidad produce «efectos jurídicos» sobre la decisión final (aquí la concesión o no concesión de un crédito) cuando esa decisión final se base de un modo determinante en ese valor de probabilidad.  Lo que es más, la  generación del valor de probabilidad no es únicamente un acto preparatorio; sino que es un acto de tratamiento de datos al que el interesado tiene derecho de acceso.

Por tanto, y teniendo en cuenta que el  RGPD establece el derecho de las personas a no ser objeto de una decisión basada únicamente en un tratamiento automatizado, la  generación de un valor de probabilidad  o rating (en este caso en relación con el crédito de las personas físicas) queda comprendido en el ámbito de aplicación del RGPD .  Ello implica que está prohibida la adopción de decisiones crediticias apoyadas únicamente en el tratamiento automatizado.  La prohibición alcanza a los tratamientos automatizados efectuados por terceros, cuando influyen determinantemente en la decisión final.  Aunque, quedan excluidas de la prohibición las decisiones amparadas en alguna de las excepciones previstas en la norma, que se cumplan los requisitos específicos establecidos en el RGPD.

La cuestión prejudicial giraba también sobre el margen de regulación nacional sobre el artículo 22, por la posible actuación excesiva del legislador alemán, al someter la generación de valor de probabilidad a requisitos de licitud más estrictos que el RGPD. Y es que, conforme al artículo 22, el Derecho nacional puede autorizar decisiones automatizadas y, para ello, establecer medidas adecuadas. Y debe legitimar en casos particulares el tratamiento de categorías especiales de datos del artículo 9.

Gótico

• • • La STJUE recuerda que el legislador nacional «debe establecer medidas adecuadas» en el ámbito del art 22 pero además queda vinculado por los artículos 5 (principios) y 6 (legitimación).
    • En cambio, tratándose de una norma europea de máximos, los Estados no están facultados para establecer normas complementarias ni pueden apartarse de las exigencias que resultan de la jurisprudencia.
    • En este caso concreto, es el juez nacional es quien debe comprobar que la regulación nacional es acorde con las exigencias del Reglamento

Más:

• • • Texto completo de la Sentencia aquí
    • Otros documentos sobre la sentencia (bd curia)
    • Comentario Carlos B Fernández La Ley
    • Comentario en CIGG-USAL
    • Comentario en SAVIA
    • Comentario A Silveira- EU Law Journal
    • Documento del Grupo del Artículo 29, Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679, 3 de octubre de 2017, versión final 6 de febrero de 2018, Doc WP251rev.01
    • Relación de varias sentencias en NOYB

Investigación financiada por el proyecto nacional PID2021-127527OB-I00, Proyectos de Generación de Conocimiento 2021, Modalidades: Investigación No Orientada e Investigación Orientada