LLAMANOS
¿Cómo funciona y como debe explicarse una evaluación crediticia automatizada?
La pregunta encuentra respuesta en una decisión asumida por el Tribunal de Justicia de la Unión Europea, llamada por un tribunal de un país miembro, acerca del derecho de acceso por parte de un cliente, en el caso de que se le rechaze un préstamo por un puntaje crediticio negativo, logrado a través de un algoritmo.
El Tribunal de Justicia de la Unión europea ha dictado el derecho del interesado a conocer el procedimiento y los principios de una decisión automatizada de evaluación crediticia, según el Reglamento General de Protección de datos (RGPD).
Marco jurídico
La evaluación crediticia automatizada -también llamado scoring crediticio alternativo– se ha convertido en un mecanismo muy común dentro del sector financiero y comercial, y se utiliza para inspeccionar fuentes de datos adicionales y otros elementos, con el propósito de evaluar a los solicitantes cuyo historial crediticio es insuficiente o no calificable según los modelos convencionales actuales.
Los modelos tradicionales, pese a seguir siendo útiles parar las entidades financieras y bancarias, no abarcan a millones de consumidores con datos crediticios insuficientes (por ejemplo: personas jóvenes, adultos, inmigrantes o personas que pagan al contado).
El Reglamento General de Protección de Datos (RGPD) impone ciertas obligaciones a los responsables del tratamiento de datos, respaldadas por la reciente interpretación del Tribunal de Justicia de la Unión Europea (TJUE), que ha aclarado el alcance del derecho de acceso a la información en este contexto, estableciendo límites entre la transparencia y la protección de secretos comerciales.
¿Qué derecho tiene el interesado respecto a su evaluación crediticia?
El R.G.P.D. N. 2016/679 (constituido por 173 párrafos llamados “considerando”, a los cuales siguen 99 artículos) establece, en particular, los siguentes criterios que hay que seguir a la hora de evaluar datos crediticios, y en específico:
Considerando 4: El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto[,] sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.
Considerando 11: La protección efectiva de los datos personales en la Unión [Europea] exige que se refuercen y especifiquen los derechos de los interesados y las obligaciones de quienes tratan y determinan el tratamiento de los datos de carácter personal, y que en los Estados miembros se reconozcan poderes equivalentes para supervisar y garantizar el cumplimiento de las normas relativas a la protección de los datos de carácter personal y las infracciones se castiguen con sanciones equivalentes.
Artículo 15, rubricado “Derecho de acceso del interesado”: El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Artículo 22: Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
2. El apartado 1 no se aplicará si la decisión:
a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
c) se basa en el consentimiento explícito del interesado.
Por efectos de los principios finados en el referido Reglamento, el interesado tiene derecho a no ser objeto de una decisión procesada únicamente a través de un tratamiento automatizado que produzca efectos jurídicos sobre ellos. En el caso de la evaluación crediticia, el interesado tiene derecho a recibir información significativa sobre la lógica aplicada a la hora de asumir la decisión, lo que incluye la metodología utilizada y los datos personales analizados.
¿Qué estableció el Tribunal de Justicia en el caso de Dun & Bradstreet Austria?
El TJUE resolvió que la endidad financiera Dun & Bradstreet Austria había incumplido el RGPD al no proporcionar a una cliente una información clara y comprensible acerca de la evaluación crediticia automatizada, que resultó negativa en el contexto de un contrato de telefonía móvil.
El órgano jurisdiccional remitente considera que se plantea la cuestión de si el artículo 15, apartado 1, letra h), del RGPD garantiza que el interesado pueda verificar la exactitud de la información comunicada por el responsable del tratamiento. Este derecho de acceso es necesario para permitir al interesado ejercer, en su caso, su derecho de rectificación, su derecho de supresión («derecho al olvido») y su derecho a la limitación del tratamiento, reconocidos, respectivamente, en los artículos 16, 17 y 18 del RGPD, su derecho de oposición al tratamiento de sus datos personales, contemplado en el artículo 21 del RGPD, así como su derecho a recurrir y su derecho a indemnización, previstos respectivamente en los artículos 79 y 82 del RGPD.
Además, el juez nacional se cuestiona si la persona tiene derecho a que se proporcionen los datos pertinentes, aunque choquen con los derechos de un tercero, o si están protegidos por un secreto comercial o propiedad intelectual.
El tribunal señaló que la empresa debía explicar el procedimiento y principios aplicados, de manera que el interesado pudiera comprender qué datos se usaron y cómo estos influyeron en la decisión final (Sentencia de 7 de diciembre de 2023, C-634/21).
¿Es suficiente con revelar el algoritmo utilizado?
La respuesta es no. El TJUE enfatizó que la simple comunicación del algoritmo no cumple con los requisitos de transparencia. La información proporcionada debe ser comprensible y permitir al interesado evaluar de manera efectiva si la decisión fue justificada. Esto podría incluir explicaciones sobre cómo cambios en los datos personales podrían alterar la evaluación crediticia.
¿Qué ocurre si la información contiene secretos comerciales?
El tribunal estableció que si el responsable del tratamiento considera que la información solicitada incluye secretos comerciales o datos protegidos de terceros, debe someter estos elementos a la autoridad de control o al órgano jurisdiccional competente para su evaluación. No obstante, el RGPD se opone a cualquier legislación nacional que limite automáticamente el acceso del interesado por motivos de secreto comercial.
¿Cuál es el alcance de la decisión del Tribunal de Justicia?
En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Primera) declara:
1) El artículo 15, apartado 1, letra h), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),
debe interpretarse en el sentido de que,
en caso de que se adopte una decisión automatizada, incluida la elaboración de perfiles, en el sentido del artículo 22, apartado 1, de dicho Reglamento, el interesado puede exigir al responsable del tratamiento, como «información significativa sobre la lógica aplicada», que este le explique, mediante información pertinente y en forma concisa, transparente, inteligible y de fácil acceso, el procedimiento y los principios aplicados concretamente para explotar, de forma automatizada, los datos personales relativos al interesado con el fin de obtener un resultado determinado, como un perfil de solvencia.
2) El artículo 15, apartado 1, letra h), del Reglamento 2016/679
debe interpretarse en el sentido de que,
en el supuesto de que el responsable del tratamiento considere que la información que ha de facilitarse al interesado con arreglo a esa disposición incluye datos de terceros protegidos por dicho Reglamento o secretos comerciales, en el sentido del artículo 2, punto 1, de la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas, ese responsable debe comunicar tal información supuestamente protegida a la autoridad de control o al órgano jurisdiccional competente, a los que corresponde ponderar los derechos e intereses en cuestión a efectos de determinar el alcance del derecho de acceso del interesado previsto en el artículo 15 del citado Reglamento.
Cabe subrayar como las decisiones del TJUE en materia prejudicial no vinculan tan solo al tribunal remitente, sino también a los demás tribunales nacionales que decidan cuestiones similares. En este caso, los tribunales nacionales deben resolver el litigio conforme a la interpretación proporcionada por el TJUE (SENTENCIA DEL TRIBUNAL DE JUSTICIA, Sala Primera, 27 de febrero de 2025, asunto C-203/22).
Abogado italiano que habla español – Francesco Noto