El Tribunal de Justicia de la Unión Europea (TJUE) dictaminó, en el marco de una decisión prejudicial, que los consumidores que se someten a una evaluación crediticia automatizada obligatoria, para evaluar su solvencia, tienen derecho a conocer los fundamentos del resultado. De este modo, podrán comprender la decisión para así tener la posibilidad de impugnarla en sede judicial.
El caso se refiere a un operador de telefonía móvil austriaco que denegó la celebración de un contrato a una cliente por considerar que carecía de solvencia suficiente, basándose en una evaluación crediticia automatizada realizada por una entidad externa.
El tribunal resolvió que dicha empresa había infringido el Reglamento General de Protección de Datos (RGPD), al no proporcionar información a la consumidora sobre la decisión automatizada ni justificar suficientemente su imposibilidad de hacerlo.
Ante la solicitud de ejecución de dicha resolución, el tribunal austriaco competente planteó al TJUE la cuestión de cómo debía la empresa infractora cumplir con sus obligaciones en virtud del RGPD. En particular, se requirió determinar el alcance del derecho de acceso del interesado y su posible limitación por la protección de secretos comerciales, a la luz de la Directiva (UE) 2016/943.
Noticia Relacionada
En su análisis de fondo, el Tribunal observa que, “(…) el responsable del tratamiento debe describir el procedimiento y los principios concretamente aplicados de tal manera que el interesado pueda comprender cuáles de sus datos personales se han utilizado y cómo se han usado en la adopción de la decisión automatizada, en atención al Derecho de la Unión”.
Agrega que, “(…) para cumplir los requisitos de transparencia e inteligibilidad puede ser adecuado, en particular, informar al interesado de la medida en que una variación de los datos personales tenidos en cuenta habría conducido a un resultado diferente. En cambio, la mera comunicación de un algoritmo no constituye una explicación suficientemente concisa y comprensible.
El Tribunal concluye que, “(…) en el supuesto de que el responsable del tratamiento considere que la información que ha de facilitar incluye datos protegidos de terceros o secretos comerciales, debe comunicar la información supuestamente protegida a la autoridad de control o al órgano jurisdiccional competente. Corresponde a estos ponderar los derechos e intereses en cuestión a efectos de determinar el alcance del derecho de acceso del interesado a la referida información. A este respecto, se precisa que el RGPD se opone a la aplicación de una disposición nacional que excluye, en principio, el derecho de acceso del interesado, cuando dicho acceso comprometa un secreto comercial del responsable del tratamiento o de un tercero”.
Vea sentencia Tribunal de Justicia de la Unión Europea C-203/22.