jueves, 7 de diciembre de 2023

La interpretación amplia del concepto de “decisión automatizada” del artículo 22 RGPD y sus implicaciones en el uso de herramientas de inteligencia artificial

 

       En su sentencia de hoy en el asunto SCHUFA Holding (Scoring), C-634/21, EU:C:2023:957, el Tribunal de Justicia aborda la interpretación del artículo 22 del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD). Cabe recordar que conforme al artículo 22.1 RGPD, todo interesado tiene “derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado de datos, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”, sin perjuicio de ciertas excepciones previstas en su apartado 2. Pese a su formulación como un derecho del interesado, la sentencia pone de relieve que el artículo 22.1 RGPD establece una prohibición de principio de los tratamientos automatizados incluidos en su ámbito de aplicación cuya inobservancia no necesita ser invocada proactivamente por el interesado (apdo. 52 de la sentencia con remisión a las conclusiones del Abogado General). Esa prohibición, junto a las restricciones resultantes de las normas concordantes del RGPD, presenta singular relevancia en relación con el empleo de herramientas de inteligencia artificial (IA), en la medida en que éstas típicamente facilitan resultados basados en el tratamiento automatizado de datos sin que medie intervención humana. La nueva sentencia establece que el concepto de decisión automatizada que afecta al interesado del artículo 22 RGPD debe interpretarse en sentido amplio. Indicativo de la relevancia de esta interpretación amplia del alcance del artículo 22 RGPD en relación con los riesgos asociados a la expansión de herramientas de IA es que el Tribunal de Justicia destaca que la prohibición y restricciones específicas que establece esa norma pretenden hacer frente a los riesgos específicos que las decisiones automatizadas generan en relación con potenciales efectos discriminatorios en las personas físicas (apdo. 59). En concreto, esa interpretación amplia se considera imprescindible para evitar lagunas jurídicas en situaciones en las que están implicados varios actores, como es habitual, por ejemplo, cuando la herramienta de IA se utiliza por el prestador de un servicio para generar cierta información o valoración y comunicarla a quien posteriormente toma la decisión de contratar o no con el interesado. La nueva sentencia aclara que no solo esa última decisión puede quedar dentro del ámbito de aplicación del artículo 22 RGPD sino también la valoración previa en la que se basa.


        Se trata de un contexto bien conocido en relación con la prestación de servicios de información comercial o de solvencia que dan lugar a valoraciones sobre personas. Las valoraciones realizadas por los prestadores de tales servicios pueden resultar determinantes para que otros tomen ciertas decisiones, como contratar o no con las personas en cuestión. Ilustrativo de la relevancia del alcance del artículo 22 RGPD en relación con el empleo de herramientas de IA es que, en los términos del considerando 71 del RGPD,  esa disposición es aplicable a “la elaboración de perfiles consistente en cualquier forma de tratamiento automatizado de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o lo afecte significativamente de modo similar”.

La interpretación amplia del Tribunal de Justicia supone que la valoración realizada por el prestador del servicio -en el litigio principal en el asunto C-634/21, una agencia de información comercial- con base en la cual la entidad con la que el interesado pretendía contratar toma la decisión de contratar o no con él quede afectada por la restricción establecida en los artículos 22.1 y concordantes del RGPD cuando esta última decisión “dependa de manera determinante” de la valoración realizada por el prestador de servicio. Por consiguiente, el que exista una decisión posterior sobre contratar o no con el interesado por parte de quien se relaciona directamente con éste (por ejemplo, la decisión de una entidad de crédito de concederle o no la financiación solicitada), no impide que la valoración previa que el tercero elabora sea considerada una decisión automatizada que produce efectos jurídicos en el interesado o le afecta significativamente de modo similar en situaciones en las que la decisión ulterior depende de manera determinante de esa valoración previa, lo que implica la prohibición de que ésta se base únicamente en el tratamiento automatizado de datos personales en los términos del artículo 22 RGPD, salvo que concurra alguna de las excepciones previstas en su apartado 2 que van unidas, además, a requisitos específicos establecidos en sus apartados 3 y 4.

El Tribunal de Justicia parte de que, como se desprende de su tenor literal, el artículo 22.1 RGPD resulta de aplicación cuando concurren tres requisitos: a) una decisión; b) basada únicamente en el tratamiento automatizado; y c) que produce efectos jurídicos en el interesado o le afecta significativamente de modo similar. “Decisión” a estos efectos pueden ser actos diversos con potencial para afectar al interesado de múltiples maneras, entre los que se incluye los relevantes a efectos del litigio principal, en concreto, el resultado del cálculo de la solvencia de una persona en forma de un valor de probabilidad de su capacidad satisfacer un préstamo en el futuro (apdo. 46 de la sentencia). Con respecto al segundo de los requisitos, la sentencia básicamente se limita a constatar que concurre en circunstancias como las del litigio principal en las que se genera de manera automatizada a partir de datos personales de una persona un valor de probabilidad de su capacidad para hacer frente a futuros compromisos de pago (apdo. 47). Más importante como aportación es su interpretación del tercer requisito, pues el Tribunal considera que para que concurra respecto al valor de probabilidad generado por la agencia de información comercial típicamente basta con que otra entidad a la que se lo comunique (un banco) adopte una decisión que afecta al interesado (denegación de un préstamo) basándose “de un modo determinante” en ese “valor de probabilidad” generado de manera automatizada (apdos. 48 a 50).

Para avalar esa interpretación la sentencia incluye precisiones adicionales sobre el significado del artículo 22 y las previsiones que el RGPD establece en relación con las decisiones individuales automatizadas, incluida la elaboración de perfiles, destacando que su objetivo es proteger a las personas contra los riesgos específicos para sus derechos y libertades que supone el tratamiento automatizado de datos personales (apdo. 57). Como excepción a la prohibición general del artículo 22.1 RGPD, su apdo. 2 solo autoriza la adopción de una decisión basada únicamente en el tratamiento automatizado de datos que produzca efectos jurídicos en el interesado o le afecte significativamente de modo similar cuando concurra alguno de los siguientes supuestos: a) sea necesaria para la celebración o la ejecución de un contrato con el responsable del tratamiento;  b) esté autorizada por el Derecho de la Unión o de los Estados miembros; o c) se base en el consentimiento explícito del interesado.

Además, los especiales riesgos que ese tipo de decisiones automatizadas genera justifican que en esos concretos casos en los que no están prohibidas, su adopción exija el cumplimiento de obligaciones adicionales de información previstas en los arts. 13.2.f), 14.2.g) y 15.1.h) RGPD. En concreto, al regular el derecho de acceso de los interesados, el artículo 15 contempla que, cuando existen decisiones automatizadas en los términos del art. 22 RGPD, el derecho de acceso incluye el derecho de los interesados a obtener del responsable del tratamiento “información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado”. La sentencia destaca la importancia de su interpretación amplia del alcance del artículo 22.1 RGPD para que el interesado pueda hacer valer este derecho frente a la agencia de información comercial que genera la valoración automatizada, habida cuenta de que incluye el acceso a información específica -incluyendo información relativa a los algoritmos utilizados- de la que típicamente no dispone el banco (apdo. 63). Por el contrario, la sentencia no incluye precisiones adicionales acerca de la ponderación entre el derecho de acceso del interesado a esa información y los eventuales derechos de propiedad intelectual o derivados de la legislación sobre secretos empresariales del responsable. Con carácter adicional, la autorización de tales decisiones automatizadas en los supuestos de las letras a) y c) del artículo 22.2 RGPD va unida al establecimiento de un régimen de garantías específico, que requiere que el responsable del tratamiento adopte medidas en relación con el derecho del interesado a obtener intervención humana, a expresar su punto de vista y a impugnar la decisión (apdo. 54 de la sentencia con referencia al art. 22.3 RGPD).

Habida cuenta de las circunstancias relevantes en el litigio principal, en el que se cuestiona si el tratamiento puede estar autorizado conforme a una norma específica sobre «Protección de las transacciones económicas en caso de scoring y de información sobre solvencia» de la legislación alemana, la sentencia sí contiene precisiones adicionales acerca de cómo debe interpretarse la posibilidad de que una decisión individual automatizada esté autorizada por el Derecho de un Estado miembro en virtud del artículo 22.2.b) RGPD. 

Por una parte, pone de relieve que, entre las medidas adecuadas de salvaguarda de los derechos e intereses del interesado, que tales normas nacionales deben incluir conforme al tenor literal del artículo 22.2.b), se incluyen “la obligación del responsable del tratamiento de utilizar procedimientos matemáticos o estadísticos adecuados, de aplicar las medidas técnicas y organizativas apropiadas para garantizar que se reduzca al máximo el riesgo de error y se corrijan errores, y de asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado e impedir, entre otras cosas, los efectos discriminatorios en las personas físicas”; así como “el derecho del interesado a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión” (apdo. 66 de la sentencia con remisión al cdo. 71 del RGPD). 

Por otra, el Tribunal de Justicia insiste en que cuando se pretende que una decisión automatizada está autorizada con base en la legislación nacional conforme al artículo 22.2.b) RGPD resulta también preciso que el tratamiento de datos personales respete los principios del artículo 5 RGPD, así como que cumpla al menos una de las condiciones para su licitud que establece el artículo 6 RGPD. Con respecto a la base de licitud fundada en la necesidad del tratamiento para la satisfacción de intereses legítimos perseguidos por el responsable o un tercero (art. 6.1.f) RGPD), el Tribunal constata que de acuerdo con el artículo 6.3 RGPD los Estados miembros no están facultados para establecer normas complementarias para su aplicación. En consecuencia, resultará determinante a esos efectos la jurisprudencia del Tribunal de Justicia acerca de la ponderación para establecer si concurre en el caso concreto el presupuesto de que los intereses o los derechos y libertades fundamentales del interesado no prevalecen sobre los intereses legítimos del responsable del tratamiento o de un tercero (apdo. 70 de la sentencia reseñada que se remite expresamente a otra sentencia pronunciada hoy, SCHUFA Holding (Exoneración del pasivo insatisfecho), C26/22 y C64/22, EU:C:2023:958, en la que se aborda la ponderación de los derechos e intereses en conflicto con respecto a la aplicación del artículo 6.1.f) RGPD en relación con ciertas actividades de las agencias privadas de información comercial).