En
su sentencia de hoy en el asunto SCHUFA Holding (Scoring), C-634/21,
EU:C:2023:957, el Tribunal de Justicia aborda la interpretación del artículo 22
del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD). Cabe
recordar que conforme al artículo 22.1 RGPD, todo interesado tiene “derecho a
no ser objeto de una decisión basada únicamente en el tratamiento automatizado
de datos, incluida la elaboración de perfiles, que produzca efectos jurídicos
en él o le afecte significativamente de modo similar”, sin perjuicio de ciertas
excepciones previstas en su apartado 2. Pese a su formulación como un derecho
del interesado, la sentencia pone de relieve que el artículo 22.1 RGPD
establece una prohibición de principio de los tratamientos automatizados
incluidos en su ámbito de aplicación cuya inobservancia no necesita ser
invocada proactivamente por el interesado (apdo. 52 de la sentencia con
remisión a las conclusiones del Abogado General). Esa prohibición, junto
a las restricciones resultantes de las normas concordantes del RGPD, presenta
singular relevancia en relación con el empleo de herramientas de inteligencia
artificial (IA), en la medida en que éstas típicamente facilitan resultados basados
en el tratamiento automatizado de datos sin que medie intervención humana. La
nueva sentencia establece que el concepto de decisión automatizada que afecta
al interesado del artículo 22 RGPD debe interpretarse en sentido amplio. Indicativo
de la relevancia de esta interpretación amplia del alcance del artículo 22 RGPD
en relación con los riesgos asociados a la expansión de herramientas de IA es
que el Tribunal de Justicia destaca que la prohibición y restricciones
específicas que establece esa norma pretenden hacer frente a los riesgos
específicos que las decisiones automatizadas generan en relación con
potenciales efectos discriminatorios en las personas físicas (apdo. 59). En
concreto, esa interpretación amplia se considera imprescindible para evitar
lagunas jurídicas en situaciones en las que están implicados varios actores, como
es habitual, por ejemplo, cuando la herramienta de IA se utiliza por el prestador
de un servicio para generar cierta información o valoración y comunicarla a
quien posteriormente toma la decisión de contratar o no con el interesado. La
nueva sentencia aclara que no solo esa última decisión puede quedar dentro del ámbito de aplicación del artículo 22 RGPD sino también la valoración previa en la que se basa.
Se trata de un
contexto bien conocido en relación con la prestación de servicios de
información comercial o de solvencia que dan lugar a valoraciones sobre
personas. Las valoraciones realizadas por los prestadores de tales servicios pueden
resultar determinantes para que otros tomen ciertas decisiones, como contratar
o no con las personas en cuestión. Ilustrativo de la relevancia del alcance del
artículo 22 RGPD en relación con el empleo de herramientas de IA es que, en los términos del considerando 71 del RGPD, esa disposición es aplicable a “la elaboración
de perfiles consistente en cualquier forma de tratamiento automatizado de los
datos personales que evalúe aspectos personales relativos a una persona física,
en particular para analizar o predecir aspectos relacionados con el rendimiento
en el trabajo, la situación económica, la salud, las preferencias o intereses
personales, la fiabilidad o el comportamiento, la situación o los movimientos
del interesado, en la medida en que produzca efectos jurídicos en él o lo
afecte significativamente de modo similar”.
La
interpretación amplia del Tribunal de Justicia supone que la valoración realizada
por el prestador del servicio -en el litigio principal en el asunto C-634/21,
una agencia de información comercial- con base en la cual la entidad con la que
el interesado pretendía contratar toma la decisión de contratar o no con él quede
afectada por la restricción establecida en los artículos 22.1 y concordantes
del RGPD cuando esta última decisión “dependa de manera determinante” de la
valoración realizada por el prestador de servicio. Por consiguiente, el que
exista una decisión posterior sobre contratar o no con el interesado por parte
de quien se relaciona directamente con éste (por ejemplo, la decisión de una entidad
de crédito de concederle o no la financiación solicitada), no impide que la
valoración previa que el tercero elabora sea considerada una decisión
automatizada que produce efectos jurídicos en el interesado o le afecta significativamente
de modo similar en situaciones en las que la decisión ulterior depende de
manera determinante de esa valoración previa, lo que implica la prohibición de
que ésta se base únicamente en el tratamiento automatizado de datos personales
en los términos del artículo 22 RGPD, salvo que concurra alguna de las excepciones
previstas en su apartado 2 que van unidas, además, a requisitos específicos establecidos en sus apartados 3 y 4.
El Tribunal de
Justicia parte de que, como se desprende de su tenor literal, el artículo 22.1
RGPD resulta de aplicación cuando concurren tres requisitos: a) una decisión;
b) basada únicamente en el tratamiento automatizado; y c) que produce efectos
jurídicos en el interesado o le afecta significativamente de modo similar. “Decisión”
a estos efectos pueden ser actos diversos con potencial para afectar al
interesado de múltiples maneras, entre los que se incluye los relevantes a
efectos del litigio principal, en concreto, el resultado del cálculo de la
solvencia de una persona en forma de un valor de probabilidad de su capacidad satisfacer
un préstamo en el futuro (apdo. 46 de la sentencia). Con respecto al segundo de
los requisitos, la sentencia básicamente se limita a constatar que concurre en
circunstancias como las del litigio principal en las que se genera de manera
automatizada a partir de datos personales de una persona un valor de probabilidad
de su capacidad para hacer frente a futuros compromisos de pago (apdo. 47). Más
importante como aportación es su interpretación del tercer requisito, pues el
Tribunal considera que para que concurra respecto al valor de
probabilidad generado por la agencia de información comercial típicamente basta con que otra entidad a la que se lo comunique (un banco) adopte una decisión que afecta al
interesado (denegación de un préstamo) basándose “de un modo determinante” en ese “valor de probabilidad”
generado de manera automatizada (apdos. 48 a 50).
Para avalar
esa interpretación la sentencia incluye precisiones adicionales sobre el
significado del artículo 22 y las previsiones que el RGPD establece en relación
con las decisiones individuales automatizadas, incluida la elaboración de
perfiles, destacando que su objetivo es proteger a las personas contra los riesgos
específicos para sus derechos y libertades que supone el tratamiento
automatizado de datos personales (apdo. 57). Como excepción a la prohibición
general del artículo 22.1 RGPD, su apdo. 2 solo autoriza la adopción de una decisión basada únicamente en el tratamiento automatizado de datos que produzca efectos jurídicos en el interesado o le afecte significativamente de modo similar cuando concurra alguno de los siguientes supuestos: a) sea necesaria
para la celebración o la ejecución de un contrato con el responsable del
tratamiento; b) esté autorizada por el
Derecho de la Unión o de los Estados miembros; o c) se base en el
consentimiento explícito del interesado.
Además, los especiales riesgos que ese tipo de decisiones automatizadas genera justifican que en esos concretos casos en los que no están prohibidas, su adopción exija el cumplimiento de obligaciones adicionales de información previstas en los arts. 13.2.f), 14.2.g) y 15.1.h) RGPD. En concreto, al regular el derecho de acceso de los interesados, el artículo 15 contempla que, cuando existen decisiones automatizadas en los términos del art. 22 RGPD, el derecho de acceso incluye el derecho de los interesados a obtener del responsable del tratamiento “información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado”. La sentencia destaca la importancia de su interpretación amplia del alcance del artículo 22.1 RGPD para que el interesado pueda hacer valer este derecho frente a la agencia de información comercial que genera la valoración automatizada, habida cuenta de que incluye el acceso a información específica -incluyendo información relativa a los algoritmos utilizados- de la que típicamente no dispone el banco (apdo. 63). Por el contrario, la sentencia no incluye precisiones adicionales acerca de la ponderación entre el derecho de acceso del interesado a esa información y los eventuales derechos de propiedad intelectual o derivados de la legislación sobre secretos empresariales del responsable. Con carácter adicional, la autorización de tales decisiones automatizadas en los supuestos de las letras a) y c) del artículo 22.2 RGPD va unida al establecimiento de un régimen de garantías específico, que requiere que el responsable del tratamiento adopte medidas en relación con el derecho del interesado a obtener intervención humana, a expresar su punto de vista y a impugnar la decisión (apdo. 54 de la sentencia con referencia al art. 22.3 RGPD).
Habida cuenta de las circunstancias relevantes en el litigio principal, en el que se cuestiona si el tratamiento puede estar autorizado conforme a una norma específica sobre «Protección de las transacciones económicas en caso de scoring y de información sobre solvencia» de la legislación alemana, la sentencia sí contiene precisiones adicionales acerca de cómo debe interpretarse la posibilidad de que una decisión individual automatizada esté autorizada por el Derecho de un Estado miembro en virtud del artículo 22.2.b) RGPD.
Por una parte, pone de relieve que, entre las medidas adecuadas de salvaguarda de los derechos e intereses del interesado, que tales normas nacionales deben incluir conforme al tenor literal del artículo 22.2.b), se incluyen “la obligación del responsable del tratamiento de utilizar procedimientos matemáticos o estadísticos adecuados, de aplicar las medidas técnicas y organizativas apropiadas para garantizar que se reduzca al máximo el riesgo de error y se corrijan errores, y de asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado e impedir, entre otras cosas, los efectos discriminatorios en las personas físicas”; así como “el derecho del interesado a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión” (apdo. 66 de la sentencia con remisión al cdo. 71 del RGPD).
Por otra, el Tribunal de Justicia insiste en que cuando se pretende que una decisión automatizada está autorizada con base en la legislación nacional conforme al artículo 22.2.b) RGPD resulta también preciso que el tratamiento de datos personales respete los principios del artículo 5 RGPD, así como que cumpla al menos una de las condiciones para su licitud que establece el artículo 6 RGPD. Con respecto a la base de licitud fundada en la necesidad del tratamiento para la satisfacción de intereses legítimos perseguidos por el responsable o un tercero (art. 6.1.f) RGPD), el Tribunal constata que de acuerdo con el artículo 6.3 RGPD los Estados miembros no están facultados para establecer normas complementarias para su aplicación. En consecuencia, resultará determinante a esos efectos la jurisprudencia del Tribunal de Justicia acerca de la ponderación para establecer si concurre en el caso concreto el presupuesto de que los intereses o los derechos y libertades fundamentales del interesado no prevalecen sobre los intereses legítimos del responsable del tratamiento o de un tercero (apdo. 70 de la sentencia reseñada que se remite expresamente a otra sentencia pronunciada hoy, SCHUFA Holding (Exoneración del pasivo insatisfecho), C‑26/22 y C‑64/22, EU:C:2023:958, en la que se aborda la ponderación de los derechos e intereses en conflicto con respecto a la aplicación del artículo 6.1.f) RGPD en relación con ciertas actividades de las agencias privadas de información comercial).
