La聽Sentencia del Tribunal de Justicia (Sala Primera) de 7 de diciembre de 2023, OQ contra Land Hessen (asunto C-634/21) resulta de especial inter茅s para la protecci贸n de datos en las decisiones apoyadas en la automatizaci贸n. Esta STJUE responde a una Petici贸n de decisi贸n prejudicial planteada por el Verwaltungsgericht Wiesbaden, y resultar谩 influyente en relaci贸n con los retos de la digitalizaci贸n y de la IA.
Los hechos subyacentes giran en torno a la influencia de las decisiones de una agencia de rating聽que elabora perfiles crediticios de consumidores. Concretamente,聽 SCHUFA era una empresa dedicada a facilitar informaci贸n sobre la solvencia (scoring) de los consumidores. Para realizar sus an谩lisis se apoyaba en procedimientos matem谩ticos y estad铆sticos, mediante los que clasificaba a las personas f铆sicas en atenci贸n a su comportamiento pasado e infer铆a la probabilidad de comportamientos futuros similares (generaci贸n de valor de probabilidad) .
Entre los clientes de SCHUFA se encontraban entidades financieras del sector de cr茅dito a consumidores.
En el asunto analizado, una persona f铆sica cuya solicitud de pr茅stamo fue negada por uno de los clientes de SCHUFA (sobre la base del scoring proporcionado por 茅sta) ejerci贸 su derecho de acceso a datos ante esta evaluadora de calidad crediticia. Pero SCHUFA le facilit贸 s贸lo informaci贸n gen茅rica y se neg贸 a divulgar los distintos datos que ten铆a del afectado, as铆 como la ponderaci贸n de estos que hab铆a realizado en forma de valores de probabilidad. La negativa de SCHUFA se apoyaba en que quien hab铆a denegado el cr茅dito eran sus clientes, y no la propia entidad (y al amparo de la legislaci贸n alemana s贸lo se regula el 芦uso禄 del valor de probabilidad, pero no su generaci贸n).
El tribunal alem谩n pregunt贸 si la actividad de SCHUFA deb铆a entenderse sometida al art 22 RGPD,聽 dado que no era ella la que adoptaba la 芦decisi贸n automatizada禄, sino que s贸lo genera el valor de probabilidad. Y esta pregunta se vert铆a para conocer si SCHUFA estaba o no obligada a dar acceso al afectado
En esta sentencia el TJUE record贸 que聽 el art 22 RGPD protege a las personas contra los riesgos espec铆ficos que afecten a sus intereses y derechos leg铆timos, en particular el derecho a no ser discriminados. Establece lo que es una 芦decisi贸n individual禄 sometida al art 22, que debe entenderse en sentido amplio. Y aclara que cuando el valor de probabilidad es generado por una agencia de informaci贸n comercial / crediticia. Y cuando as铆 es comunicado a un banco o entidad que concede cr茅ditos, y desempe帽a un papel determinante en la concesi贸n de un cr茅dito, la generaci贸n propiamente dicha de ese valor de probabilidad聽 es una decisi贸n que produce 芦efectos jur铆dicos禄 en un interesado o que聽 le afecta significativamente de modo similar
-
- Conforme al TJUE las garant铆as del RGPD abarcan actos, hechos o datos que sustentan las decisiones automatizadas, como los perfiles o ponderaciones automatizadas que han estado en la base de la decisi贸n finalmente adoptada. Por ello, a pesar de que formalmente la decisi贸n se adopte por otra entidad o haya pasado por un proceso de aparente decisi贸n humana, si el componente automatizado es determinante, no puede considerarse como excluido de las garant铆as exigidas en el RGPD.
- El concepto de 芦decisi贸n禄 聽no est谩 restringido a聽 los actos que producen efectos jur铆dicos directos en un interesado, sino que abarca tambi茅n hechos que cuya influencia en la decisi贸n que finalmente se adopta es relevante. Un ejemplo de esa influencia es la que se dilucidaba en esta sentencia, es decir, la denegaci贸n de una solicitud de cr茅dito en l铆nea (por estar apoyada en un tratamiento automatizado de datos de solvencia)
- El concepto amplio de 芦decisi贸n禄 incluye la elaboraci贸n de perfiles cuyo valor de probabilidad produce 芦efectos jur铆dicos禄 sobre la decisi贸n final (aqu铆 la concesi贸n o no concesi贸n de un cr茅dito) cuando esa decisi贸n final se base de un modo determinante en ese valor de probabilidad.聽 Lo que es m谩s, la 聽generaci贸n del valor de probabilidad no es 煤nicamente un acto preparatorio; sino que es un acto de tratamiento de datos al que el interesado tiene derecho de acceso.
Por tanto, y teniendo en cuenta que el聽 RGPD establece el derecho de las personas a no ser objeto de una decisi贸n basada 煤nicamente en un tratamiento automatizado, la聽 generaci贸n de un valor de probabilidad聽 o rating (en este caso en relaci贸n con el cr茅dito de las personas f铆sicas) queda comprendido en el 谩mbito de aplicaci贸n del RGPD .聽 Ello implica que est谩 prohibida la adopci贸n de decisiones crediticias apoyadas 煤nicamente en el tratamiento automatizado.聽 La prohibici贸n alcanza a los tratamientos automatizados efectuados por terceros, cuando influyen determinantemente en la decisi贸n final.聽 Aunque, quedan excluidas de la prohibici贸n las decisiones amparadas en alguna de las excepciones previstas en la norma, que se cumplan los requisitos espec铆ficos establecidos en el RGPD.
La cuesti贸n prejudicial giraba tambi茅n sobre el margen de regulaci贸n nacional sobre el art铆culo 22, por la posible actuaci贸n excesiva del legislador alem谩n, al someter la generaci贸n de valor de probabilidad a requisitos de licitud m谩s estrictos que el RGPD. Y es que, conforme al art铆culo 22, el Derecho nacional puede autorizar decisiones automatizadas y, para ello, establecer medidas adecuadas. Y debe legitimar en casos particulares el tratamiento de categor铆as especiales de datos del art铆culo 9.
-
-
- La STJUE recuerda que el legislador nacional 芦debe establecer medidas adecuadas禄 en el 谩mbito del art 22 pero adem谩s queda vinculado por los art铆culos 5 (principios) y 6 (legitimaci贸n).
- En cambio, trat谩ndose de una norma europea de m谩ximos, los Estados no est谩n facultados para establecer normas complementarias ni pueden apartarse de las exigencias que resultan de la jurisprudencia.
- En este caso concreto, es el juez nacional es quien debe comprobar que la regulaci贸n nacional es acorde con las exigencias del Reglamento
-
M谩s:
-
-
- Texto completo de la Sentencia aqu铆
- Otros documentos sobre la sentencia (bd curia)
- Comentario Carlos B Fern谩ndez La Ley
- Comentario en CIGG-USAL
- Comentario en SAVIA
- Comentario A Silveira- EU Law Journal
- Documento del Grupo del Art铆culo 29, Directrices sobre decisiones individuales automatizadas y elaboraci贸n de perfiles a los efectos del聽Reglamento 2016/679, 3 de octubre de 2017, versi贸n final 6 de febrero de 2018, Doc WP251rev.01
- Relaci贸n de varias sentencias en NOYB
-
Investigaci贸n financiada por el proyecto nacional PID2021-127527OB-I00,聽Proyectos de Generaci贸n de Conocimiento 2021,聽Modalidades: Investigaci贸n No Orientada e Investigaci贸n Orientada