El 7 de diciembre de 2023 del Tribunal de Justicia de la Unión Europea (“TJUE”), se pronunció sobre la interpretación del artículo 22 del Reglamento General de Protección de Datos (RGPD) en el marco de las decisiones basadas en los resultados de las agencias de scoring[1].
Caso Schufa
En Alemania, una entidad de crédito deniega un préstamo a un solicitante basado en el resultado del scoring elaborado por la agencia comercial de scoring, Schufa. El Tribunal alemán plantea una cuestión prejudicial ante el TJUE y solicita que se pronuncie sobre la interpretación del artículo 22 RGPD y si el resultado del scoring puede tener la consideración de “decisión” en los términos del artículo 22 RGPD y por tanto, ser una conducta contraria a la normativa.
Credit scoring
Las entidades de credit scoring, como la del caso analizado (Schufa), proporcionan información sobre la solvencia de terceros (principalmente consumidores). Para ello, se establece un pronóstico sobre la probabilidad de un comportamiento futuro de una persona (score o calificación), como el reembolso de un préstamo, a partir de determinadas características de dicha persona, sobre la base de procedimientos matemáticos y estadísticos.
La generación automatizada de valores de puntuación crediticia (o credit scoring) permiten a partir de modelos matemáticos y estadísticos, clasificar solicitudes para decidir la concesión o no de una determinada operación de riesgo (generalmente, un crédito) o a la fijación de sus condiciones.
Las decisiones automatizadas (artículo 22.1 del RGPD)
El artículo 22.1 del RGPD establece que “todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”. Esta disposición busca proteger a los interesados frente a los riesgos que les puedan generar decisiones basadas en meros automatismos.
Por tanto, con carácter general, una decisión basada en información generada basada en datos de forma automatizada está prohibida. El artículo 22 RPGD autoriza las decisiones automatizadas en determinados supuestos excepcionales. En tales casos, el responsable del tratamiento adopte las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
Decisiones automatizadas y credit scoring
En el caso objeto de análisis, el TJUE se pronuncia sobre si la generación automatizada, por una agencia de información comercial relativa a su solvencia constituye una “decisión individual automatizada”, en el sentido del artículo 22 del RGPD. Tras analizarlo, el TJUE concluye que esta información comercial tendrá la consideración de “decisión individual automatizada”, cuando del valor de probabilidad dependa de manera determinante que un tercero al que se comunica dicho valor (la entidad de crédito en el caso analizado), establezca, ejecute o ponga fin a una relación contractual con esa persona.
El Tribunal sostiene que la cuestión determinante para considerar el scoring como una “decisión individual automatizada” es el rol decisivo que tiene en la decisión final. Según el Tribunal, el factor clave es que el scoring predetermina la decisión final de la entidad de crédito, ya que dicha entidad basa su decisión, principalmente, en el scoring.
En el marco de su análisis, el TJUE interpreta el concepto “decisión” en sentido amplio. Entiende que el término “decisión” puede incluir diversos actos con potencial para afectar al interesado de múltiples maneras, y es lo suficientemente amplio para englobar el resultado del cálculo de la solvencia de una persona en forma de un valor de probabilidad relativo a su capacidad para hacer frente a sus compromisos de pago en el futuro.
La interpretación realizada por el TJUE tiene varias implicaciones para las agencias que prestan servicios de credit scoring:
- Las decisiones no pueden basarse en los resultados del scoring, salvo que sea aplicable una de las excepciones del artículo 22.2 RGPD.
- El Derecho nacional que autorice la adopción de una decisión individual automatizada debe establecer medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
- El responsable del tratamiento tiene la obligación de utilizar procedimientos matemáticos o estadísticos adecuados, aplicar medidas técnicas y organizativas apropiadas para garantizar que se reduzca al máximo el riesgo de error y se corrijan errores.
Conclusiones
- El TJUE interpreta el concepto de “decisión” referido en el artículo 22.1 del RGPD en términos amplios.
- Queda incluido en el concepto de “decisión” el resultado del cálculo de la solvencia de una persona en forma de un valor de probabilidad relativo a su capacidad para hacer frente a sus compromisos de pago en el futuro, y por tanto, estaría prohibido salvo que se esté ante uno de los supuestos excepcionales.
[1] Cuestión prejudicial planteada por el Tribunal de lo Contencioso Administrativo de Weisbaden, Alemania, en el asunto C-634/21.
