Decisiones automatizadas bajo la lupa del TJUE

El pasado 27 de febrero el Tribunal de Justicia de la Unión Europea (“TJUE”) dictó una relevante sentencia en el caso C-203/22, en la que abordó la interpretación de los derechos de acceso a datos personales en el contexto de decisiones automatizadas y elaboración de perfiles (la “Sentencia”).

La Sentencia se basa en la interpretación del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, “RGPD”) y de la Directiva (UE) 2016/943 sobre Secretos Comerciales, y establece criterios importantes sobre cómo deben manejarse los datos personales en procesos automatizados.

El TJUE ya había tratado sobre las decisiones automatizadas de evaluación crediticia en la sentencia del asunto Schufa, que hemos abordado en otras entradas del blog: (i) tratamiento de datos para scoring financiero: a la espera de que el TJUE se pronuncie; y (ii) el veredicto del TJUE sobre el credit scoring). De hecho, ambos casos están en cierto modo relacionados, pues, en diciembre de 2022, el Presidente del TJUE suspendió el curso del procedimiento que aquí analizamos hasta que se dictara sentencia que resolviera el asunto Schufa. Una vez publicada dicha resolución, el Presidente del TJUE la remitió al tribunal nacional correspondiente en este caso, con el objetivo de verificar si las cuestiones planteadas quedaban resueltas con ella. Dado que los tribunales austríacos respondieron negativamente, se reanudó el procedimiento, que culminó con la publicación de la Sentencia.

Antecedentes del caso

La Sentencia del TJUE tiene su origen en una solicitud de decisión prejudicial planteada por los tribunales austríacos. El caso se originó cuando un operador de telefonía móvil denegó a una clienta la celebración o prórroga de un contrato de telefonía móvil debido a una evaluación crediticia automatizada realizada por una agencia de información crediticia, Dun & Bradstreet Austria GmbH (“D&B”), que indicaba que la clienta carecía de solvencia financiera suficiente. Dicha clienta solicitó a la autoridad austríaca de protección de datos que ordenara a D&B que le proporcionara información significativa sobre la lógica aplicada en la decisión automatizada basada en sus datos personales.

La autoridad austríaca de protección de datos ordenó a D&B que comunicara dicha información. Sin embargo, D&B recurrió esta decisión ante el Tribunal Federal de lo Contencioso-Administrativo de Austria, alegando que la información solicitada estaba protegida por secreto comercial. El tribunal falló en contra de D&B e indicó que la empresa había infringido el artículo 15.1.h) del RGPD al no proporcionar información suficiente sobre la lógica aplicada en la decisión automatizada. Este artículo obliga a los responsables del tratamiento de datos a facilitar acceso a la información, entre otras cosas, sobre “la existencia de decisiones automatizadas […] y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado”.

La cuestión prejudicial surge en el contexto de la ejecución de la resolución del Tribunal Federal. En una primera instancia ejecutiva, la administración municipal de Viena consideró que D&B había cumplido suficientemente con su obligación de información, a pesar de que no había aportado información adicional alguna tras la adopción de la resolución. La interesada recurrió esta decisión judicial ante la instancia superior ejecutiva, que planteó diversas cuestiones prejudiciales que se resuelven en la presente Sentencia.

La Sentencia del TJUE

El tribunal austríaco plantea dos cuestiones fundamentales:

1. ¿Qué información concreta debe compartir el interesado cuando el tratamiento de datos conlleva la toma de decisiones automatizadas conforme al artículo 15.1.h) del RGPD?; y
2. ¿Qué ocurre cuando dicha información está protegida por un secreto comercial o contiene datos personales de terceros?

En cuanto a la primera cuestión, el TJUE comienza comparando las diversas versiones lingüísticas del RGPD y observa cómo, en distintos idiomas, el RGPD subraya características diferentes de la información que se debe compartir: la utilidad (“informations utiles”, en francés), la pertinencia (“informa?ii pertinente”, en rumano) o la importancia (“istotne informacje”, en polaco, o “información significativa”, en español). El tribunal entiende esta diversidad como una complementariedad, de modo que todos estos aspectos han de tenerse en cuenta a la hora de determinar la información exacta que el responsable del tratamiento debe facilitar al interesado.

Sobre esta base, el TJUE señala que la finalidad fundamental del derecho recogido en el artículo 15.1.h) del RGPD no es otra que la de poder ejercer adecuadamente el derecho de cuestionamiento e impugnación de la decisión automatizada en cuestión, con base en el artículo 22.3 del propio RGPD. Para ello, “el interesado tiene derecho a una explicación sobre el funcionamiento del mecanismo aplicado en la adopción de una decisión automatizada de la que ha sido objeto”, así como “sobre el resultado al que ha llevado dicha decisión”.

Adicionalmente, el tribunal considera que no basta con “la mera comunicación de una fórmula matemática, como un algoritmo, ni la descripción detallada de todas las etapas de la adopción de una decisión automatizada”. Lo que se pretende es facilitar al interesado la información de modo que le resulte concisa e inteligible. Por lo tanto, se exige un esfuerzo por parte del responsable del tratamiento para condensar toda la información significativa referente a la lógica subyacente a la decisión automatizada adoptada de un modo sencillo y comprensible para poder oponerse a dicha decisión:

“El procedimiento y los principios concretamente aplicados de tal manera que el interesado pueda comprender cuáles de sus datos personales se han utilizado y cómo se han utilizado en la adopción de la decisión automatizada en cuestión, sin que la complejidad de las operaciones que deban realizarse para la adopción de una decisión automatizada pueda exonerar al responsable del tratamiento de su deber de explicación” (ap. 61), ello mediante información “concisa, transparente, inteligible y de fácil acceso” (ap. 65).

En cuanto a la segunda cuestión que se plantea, el TJUE recuerda que el derecho fundamental a la protección de los datos personales no es absoluto, sino que puede ceder frente a otros derechos fundamentales de acuerdo con el principio de proporcionalidad. En consecuencia, el derecho de acceso del artículo 15.1.h) del RGPD no puede afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual. Sin embargo, estas consideraciones no deben dar lugar a la negativa a proporcionar toda la información al interesado.

A este respecto, el tribunal considera que el órgano jurisdiccional competente o la autoridad de control deben realizar un ejercicio de ponderación para determinar el alcance del derecho de acceso del interesado. El TJUE concluye que, si el responsable del tratamiento estima que la información incluye datos de terceros protegidos por el RGPD o secretos comerciales, debe comunicarla a la autoridad de control o al órgano jurisdiccional competente para que puedan equilibrar los derechos e intereses en juego y definir el alcance del derecho de acceso del interesado.

En este nuevo contexto, es fundamental que las organizaciones adopten un enfoque sistemático para evaluar la toma de decisiones automatizadas. Más allá de identificar si el proceso es enteramente automático o si existen intervenciones humanas significativas, es importante comprender y documentar la lógica que sustenta cada decisión, así como el origen y la naturaleza de los datos personales utilizados. Este análisis puede requerir también una evaluación cuidadosa del impacto que tales decisiones pueden tener sobre los afectados, especialmente en aquellos casos en que se puedan derivar consecuencias legales o de gran trascendencia. Adoptar esta práctica no solo mejora la transparencia, sino que también refuerza la confianza en el cumplimiento normativo y en la gestión responsable de las tecnologías de automatización.