La sentencia de este jueves del Tribunal de Justicia en
el asunto Dun & Bradstreet Austria, C-203/22,
EU:C:2025:117, complementa en buena medida su sentencia en el SCHUFA Holding
(Scoring), C-634/21, EU:C:2023:957, en relación con el artículo 22 RGPD, que,
prohíbe las decisiones basadas únicamente en el tratamiento automatizado de
datos personales, incluida la elaboración de perfiles, que produzcan efectos
jurídicos en el interesado, sin perjuicio de ciertas excepciones. Entre éstas
se encuentra el que la decisión sea necesaria para la celebración o la
ejecución de un contrato entre el interesado y un responsable del tratamiento;
o que la decisión se basa en el consentimiento explícito del interesado.
Respecto estas situaciones atribuye al interesado, entre otros, el derecho a
expresar su punto de vista sobre la decisión e impugnarla. En la mencionada sentencia
SCHUFA Holding (Scoring) el Tribunal estableció la necesidad de una
interpretación amplia del concepto de “decisión automatizada” a los efectos del
artículo 22 RGPD, para hacer
frente a los riesgos específicos que tales decisiones generan en relación con
potenciales efectos discriminatorios en las personas físicas, en el contexto de
la expansión de herramientas de inteligencia artificial (IA). Además, puso de
relieve la importancia, cuando existen decisiones automatizadas, del derecho de
acceso del interesado a “información significativa sobre la lógica aplicada,
así como la importancia y las consecuencias previstas de dicho tratamiento para
el interesado”, conforme a lo dispuesto en el artículo 15.1.h) RGPD. La nueva
sentencia aporta presiones acerca de cómo debe interpretarse el concepto “información
significativa sobre la lógica aplicada” -que figura también en los arts. 13 y
14 RGPD relativos a la información a facilitar a los interesados en la obtención
de datos-, así como en relación con el tratamiento de las situaciones en las
que el responsable del tratamiento considera que esa información puede incluir
secretos comerciales, objeto de tutela conforme a la Directiva (UE) 2016/943, o
datos de terceros protegidos por el RGPD. En relación con supuestos habituales
de empleo de herramientas de IA en actividades de importancia para la vida de
las personas físicas -como las que están condicionadas por la evaluación previa
de su solvencia-, la sentencia resulta de interés para determinar el alcance de
los derechos de tales personas, así como de ciertas obligaciones inherentes al
empleo por los responsables del tratamiento de datos personales de ese tipo de
herramientas.
El litigio principal
en el asunto Dun & Bradstreet Austria trae causa también de la evaluación
de solvencia del interesado llevada a cabo de forma automática por una empresa
especializada en la realización de evaluaciones crediticias. En concreto, como
consecuencia de esa evaluación una empresa de telefonía denegó “la celebración
o prórroga de un contrato de telefonía móvil que suponía un pago mensual de 10
euros”, con base en que el interesado no presentaba una solvencia económica
suficiente. Ello motivó que el interesado ejercitara su derecho de acceso, de
cara a obtener, entre otras, la información contemplada en el artículo 15.1.h)
RGPD.
Tras constatar la
disparidad entre las acepciones empleadas en las diferentes versiones
lingüísticas del mencionado artículo 15.1.h), el Tribunal establece que la
expresión “información significativa sobre la lógica aplicada” se refiere a “toda
información pertinente relativa al procedimiento y a los principios de
explotación, automatizada, de datos personales con el fin de obtener un
resultado determinado” (apdo. 43 y 50 de la nueva sentencia, en la que se
destaca la utilidad como referencia de las «Directrices sobre decisiones
individuales automatizadas y elaboración de perfiles a los efectos del
Reglamento 2016/679», versión revisada de 6 de febrero de 2018, adoptadas por
el Grupo de Trabajo sobre protección de datos del artículo 29). Recuerda,
además, la sentencia que, conforme a lo dispuesto en el artículo 12.1 RGPD,
toda esa información debe facilitarse al interesado “en forma concisa,
transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”.
Además, destaca que el que en el marco del derecho de acceso el interesado
tenga la posibilidad de cerciorarse de que los datos personales que le
conciernen son exactos y tratados lícitamente, así como de recibir “una
explicación sobre el funcionamiento del mecanismo aplicado en la adopción de
una decisión automatizada de la que ha sido objeto y sobre el resultado al que
ha llevado dicha decisión” resulta clave para que pueda expresar su punto de
vista e impugnar la decisión automatizada, ejercitando el derecho que le
atribuye el artículo 22.3 RGPD (apdos. 57 y 63).
En síntesis, el
Tribunal establece que la expresión “información significativa sobre la lógica
aplicada”, a los efectos del artículo 15.1.h) RGPD, debe entenderse que abarca
“la explicación del procedimiento y de los principios concretamente aplicados
para explotar, de forma automatizada, los datos personales del interesado con
el fin de obtener un resultado determinado, como un perfil de solvencia” (apdo.
58). Como esa explicación debe facilitarse en forma concisa, transparente,
inteligible y de fácil acceso, no puede satisfacerse con la mera comunicación
de una fórmula matemática compleja, como un algoritmo, ni con la descripción de
las etapas de la adopción de una decisión automatizada (apdo. 59). Por el
contrario, esa información debe describir el procedimiento y los principios
concretamente aplicados de tal manera que el interesado pueda comprender qué
datos personales se han utilizado y cómo en la adopción de la decisión automatizada
(apdo. 61). Como ejemplo de información que puede resultar apropiada en relación
con la elaboración de perfiles de solvencia, la sentencia menciona la relativa
a la medida en una variación a nivel de los datos personales tomados en
consideración habría conducido a un resultado diferente (apdo. 62).
Seguidamente, la
sentencia aborda la interacción entre el derecho de acceso del interesado a la
información referida en el artículo 15.1.h) RGPD y la tutela del secreto
comercial cuando la información en cuestión -como puede ser el caso de un algoritmo- cumpla los requisitos previstos en
el artículo 2.1 de la Directiva 2016/943 relativa a la protección de los conocimientos técnicos y la información
empresarial no divulgados (secretos comerciales) contra su obtención,
utilización y revelación ilícitas. El Tribunal destaca la necesidad en tales
situaciones de ponderación -respetuosa con el principio de proporcionalidad- en
cada caso entre el derecho de acceso pleno y completo a los datos personales
del interesado y los derechos de terceros, en particular, en la medida en que
la información en cuestión contenga datos personales de terceros protegidos por
el RGPD o bien un secreto comercial objeto de protección conforme a la Directiva
2016/943 (apdos. 69 a 73).
Lo anterior lleva al Tribunal a considerar incompatible
con el artículo 15.1.h) RGPD una disposición, como la prevista en la legislación
austriaca, que excluye, en principio, el derecho de acceso del interesado,
cuando dicho acceso comprometa un secreto comercial del responsable del
tratamiento o de un tercero (apdo. 75). Con base en su jurisprudencia previa acerca del ejercicio del derecho de acceso, el Tribunal establece que, en tales situaciones, el artículo 15.1.h)
RGPD exige que el responsable del tratamiento comunique la información
supuestamente constitutiva de un secreto comercial “a la autoridad de control
o al órgano jurisdiccional competente”, para que éste lleve a cabo la ponderación
de los derechos e intereses en presencia y determine en el caso concreto el alcance
del derecho de acceso del interesado (apdo. 76).
