Carlos B Fernández. El derecho del interesado a obtener del responsable del tratamiento información significativa sobre la lógica aplicada, en los supuestos de la adopción de decisiones automatizadas, a que se refiere el artículo 15.1, letra g, del RGPD, en relación con el artículo 22 de la misma norma, es una de las cuestiones más debatidas en relación con esta norma.
En especial por la dificultad de la determinación del alcance de esa “información significativa” que se debe facilitar.
De ahí el interés de una reciente sentencia del Tribunal Federal Administrativo de Austria (Bundesverwaltungsgericht - BVwG), de 29 de junio de este año, publicada el pasado 10 de agosto.
Esta sentencia resuelve el caso de un interesado que presentó una reclamación ante la agencia de protección de datos austriaca, contra una agencia de clasificación crediticia, responsable del tratamiento de sus datos. El interesado alegó que se habían vulnerado sus derechos derivados del artículo 15, apartado 1, letra h), del RGPD, ya que el responsable del tratamiento no le había informado suficientemente sobre la lógica y el algoritmo utilizados para el tratamiento de sus datos personales en el contexto de una decisión automatizada sobre la solvencia del interesado.
El responsable del tratamiento respondió que el tratamiento en cuestión no era una "toma de decisiones automatizada" con arreglo al artículo 22 del RGPD (LA LEY 6637/2016), sino únicamente una "elaboración de perfiles ligeros" (leichtes Profiling), con arreglo al artículo 4, apartado 4, del RGPD. Por lo tanto, el responsable del tratamiento alegó que el artículo 15, apartado 1, letra h), del RGPD no era aplicable. Además, el responsable del tratamiento alegó que el algoritmo que regula la elaboración de perfiles no podía divulgarse, ya que formaba parte de los secretos comerciales de la empresa.
La APD austriaca estimó la reclamación y dictó una resolución contra el responsable del tratamiento, ordenándole que facilitara el acceso a la información solicitada por el interesado.
El responsable del tratamiento recurrió la decisión ante el Tribunal Administrativo Federal austriaco, sosteniendo que sí había facilitado información suficiente al interesado.
En su sentencia, el tribunal estimó el recurso del responsable del tratamiento.
En primer lugar, el tribunal señaló que, de conformidad con el artículo 15, apartado 1, letra h), del RGPD, en caso de toma de decisiones automatizada, el responsable del tratamiento debe proporcionar al interesado una explicación sobre la lógica subyacente al tratamiento.
Sin embargo, esta "lógica" no debe entenderse como el algoritmo o la fórmula matemática subyacente a la decisión automatizada.
Más bien, de acuerdo con las recomendaciones sobre decisiones automatizadas en casos individuales del Grupo de Trabajo del artículo 29 (WP251 rev.01), el responsable del tratamiento deberá proporcionar la siguiente información:
a. Las categorías de datos que se han utilizado o se utilizarán en la elaboración de perfiles o en las decisiones automatizadas;
b. por qué se consideran pertinentes dichas categorías para la creación del perfil;
c. cómo se crean los perfiles utilizados en la toma de decisiones automatizada, lo que incluye las estadísticas utilizadas en el análisis;
d. por qué este perfil es relevante para la toma de decisiones automatizada; y
e. cómo se utiliza realmente para tomar una decisión sobre el interesado
En el caso en cuestión, el tribunal consideró que la información facilitada por el responsable del tratamiento era suficiente, ya que el responsable del tratamiento reveló todos los elementos enumerados anteriormente de forma exhaustiva: se indicó claramente los datos utilizados y su función en la ponderación, junto con el significado de los resultados (el perfil) y el carácter estadístico del tratamiento. De este modo, dado que las respectivas explicaciones de las variables y los cálculos aplicados eran comprensibles, el interesado pudo hacerse una idea del tratamiento realizado, tomar conocimiento del mismo y verificar su legalidad (considerando 63 del RGPD).
El tribunal subrayó que una descripción más precisa de cómo se llevó a cabo la ponderación concreta de los parámetros habría equivalido a la divulgación de la fórmula matemática (es decir, el algoritmo) que rige la elaboración de perfiles, un aspecto que no está cubierto por el RGPD.