Tratamiento de datos para scoring financiero: a la espera de que el TJUE se pronuncie

2021-12-21T08:06:00
Unión Europea

¿Constituye la creación automatizada de un valor de puntuación de crédito una decisión automatizada en el sentido del artículo 22 RGPD?

Tratamiento de datos para scoring financiero: a la espera de que el TJUE se pronuncie
21 de diciembre de 2021

El pasado 10 de diciembre de 2021, el tribunal alemán de Wiesbaden planteó una cuestión prejudicial ante el Tribunal de Justicia de la Unión Europea (“TJUE”) sobre la interpretación del artículo 22, apartado 1, del Reglamento General de Protección de Datos (“RGPD”).

El objetivo de la pregunta consistía en dilucidar si la creación automatizada de un valor de puntuación de crédito (credit scoring) constituye una decisión automatizada en el sentido del mencionado artículo 22 RGPD, que establece: “todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”, y, en caso afirmativo, si el precepto 31 de la Ley Federal de Protección de Datos (en sus siglas en inglés, BDSG) es compatible con dicho artículo 22 del RGPD.

En el presente caso, el responsable del tratamiento es una agencia de crédito privada alemana cuyo modelo de negocio se basa en proporcionar a sus socios comerciales información sobre la solvencia de terceros, entre los que se encuentran consumidores.

Esta mercantil recopila los denominados valores de puntuación, consistentes en el resultado de un procedimiento matemático-estadístico basado en características individuales. Esto es, se coloca en el mismo grupo a aquel conjunto de personas cuyas características y comportamientos sean considerados similares, partiendo de la premisa de que es factible predecir un comportamiento similar para las personas enmarcadas en este mismo grupo.

En último lugar, los socios comerciales de esta compañía utilizan dicha puntuación crediticia a la hora de decidir si conceden o no un préstamo a una persona.

Esta disputa se originó a raíz de la denegación de un crédito a un interesado por una empresa tercera que había utilizado la puntuación crediticia en su toma de decisiones. Ante estos hechos, el interesado requirió cierta información sobre los datos almacenados por el responsable, además de ejercer su derecho de supresión respecto a lo que consideraba entradas incorrectas.

Si bien el responsable del tratamiento proporcionó al interesado información sobre su puntuación crediticia y también le informó en términos generales de cómo funcionaba el cálculo de su puntuación, no le proveyó de información sobre qué datos personales se incluían en el cálculo ni tampoco cómo estos se ponderaban. La compañía alegó que no estaba obligada a revelar los métodos de cálculo, debido a que se trataba de un secreto empresarial de la empresa.

La agencia de crédito reseñó su papel de mero intermediario de los datos personales e información a las empresas terceras, que eran, en última instancia, las encargadas de tomar las decisiones sobre la concesión o no de los créditos.

En este contexto, el interesado decidió presentar una reclamación ante la Agencia Alemana de Protección de Datos (“AAPD”), solicitando que se atendiera su solicitud de acceso y supresión. La AAPD se negó a emprender nuevas acciones contra la agencia de crédito, justificando que se cumplían los requisitos establecidos en el artículo 31 BDSG, en lo relativo a la determinación de la solvencia y la puntuación crediticia. Finalmente, el interesado considero que se estaban vulnerando sus derechos y acabó recurriendo esta decisión ante los tribunales.

Sentado lo anterior, cabe destacar que la resolución de esta cuestión es gran relevancia, dado que a pesar de la existencia de unas directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del RGPD elaboradas por el Grupo de Trabajo sobre Protección de Datos del artículo 29 existe muchas incertidumbre sobre la interpretación y aplicación práctica del artículo 22 RGPD.

A todo esto, el considerando 71 de RGPD prevé como ejemplo típico de afectación significativamente similar: “la denegación automática de una solicitud de crédito en línea” y, a mayor abundamiento, las citadas directrices utilizan como ejemplo ilustrativo de afectación significativa “las decisiones que afecten a las circunstancias financieras de una persona, como su elegibilidad para un crédito”. Por lo que conviene encontrar una solución que combine adecuadamente con el espíritu del RGPD.

Asimismo, cabe recordar que el TJUE tiene en su tejado el difícil desafío jurídico de esclarecer si la puntuación crediticia en el contexto de este supuesto se puede considerar una decisión automatizada. Igualmente, en el caso de una negativa a esta cuestión, el TJUE deberá también resolver cuál será la normativa aplicable a este tipo de elaboración de perfiles crediticios, con base en el artículo 6 RGPD, dado que la normativa nacional del artículo 31 BDSG quedaría inaplicable por no tratarse de una decisión automatizada en el sentido del artículo 22 RGPD.

Seguiremos muy de cerca las novedades en esta materia, ya que los futuros pronunciamientos del Abogado General y del propio TJUE servirán para arrojar luz sobre la interpretación y aplicación práctica del artículo 22 RGPD.


21 de diciembre de 2021