Carlos B Fernández. El Tribunal de Justicia de la Unión Europea (TJUE) ha dictado una sentencia según la cual, el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) se opone a dos prácticas de tratamiento de datos por parte de agencias de información comercial sobre solvencia de las personas: la clasificación o scoring crediticio y la conservación prolongada de información relativa a una exoneración del pasivo ensatisfecho.
En sus sentencia de 7 de diciembre de 2023, dictada en en el asunto C-634/21 (Schufa Holding - Scoring) y en los asuntos acumulados C-26/22 y C-64/22 (Schufa Holding), declara que mientras que el «scoring» crediticio solo está autorizado en determinadas circunstancias, la conservación prolongada de información relativa a la concesión de una exoneración del pasivo insatisfecho, es contraria al RGPD.
El litigio tuvo su origen cuando varios ciudadanos vieron desestimadas las solicitudes de préstamo que habían formulado a diversas instituciones financieras, con base a la información sobre clasificación o scroring crediticio elaborado por Schufa, una sociedad de Derecho privado alemán que proporciona a sus socios contractuales información sobre la solvencia de terceros, en particular de consumidores, denegó por tercera vez a la demandante.
Para elaborar esos informes, la empresa establece un pronóstico sobre la probabilidad de un comportamiento futuro de una persona (score o calificación), como el reembolso de un préstamo, a partir de determinadas características de dicha persona, sobre la base de procedimientos matemáticos y estadísticos.
Esa generación de valores de score (scoring) se basa en la hipótesis de que la clasificación de una persona en una categoría de personas con características comparables, que han revelado cierto comportamiento, permite prever un comportamiento similar. Es decir, se trata de un método estadístico matemático que permite establecer un pronóstico sobre la probabilidad de un comportamiento futuro, como el reembolso de un préstamo.
Por su parte, la información relativa a la concesión de una exoneración del pasivo insatisfecho se conserva en el registro público de insolvencia alemán durante seis meses, mientras que el código de conducta de las agencias de información comercial alemanas establece un período de conservación de tres años en sus propias bases de datos.
Como consecuencia de esa denegación de préstamo, los actores impugnaron ante el Tribunal de lo Contencioso-Administrativo de Wiesbaden (Alemania) tano la práctica del «scoring» como la de conservación de información relativa a la concesión de una exoneración del pasivo insatisfecho tomada de registros públicos.
El mencionado Tribunal de lo Contencioso-Administrativo solicita al Tribunal de Justicia que aclare cuál es el alcance de la protección de datos personales que estipula el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016).
El scoring crediticio como tratamiento automatizado ex art. 22 del RGPD (LA LEY 6637/2016)
Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 22, apartado 1, del RGPD debe interpretarse en el sentido de que constituye una «decisión individual automatizada», con arreglo a dicha disposición, la generación automatizada, por una agencia de información comercial, de un valor de probabilidad a partir de datos personales relativos a una persona y acerca de la capacidad de esta para hacer frente a sus compromisos de pago en el futuro, cuando depende de manera determinante de ese valor de probabilidad que un tercero al que le es comunicado establezca, ejecute o ponga fin a una relación contractual con esa persona.
Para responder a esta cuestión prejudicial, el TJUE señala que, a tenor del artículo 22, apartado 1, del RGPD, todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o lo afecte significativamente de modo similar.
Por lo tanto, la aplicabilidad de esta disposición está sujeta a tres requisitos acumulativos, a saber, en primer término, debe existir una «decisión»; en segundo término, dicha decisión debe estar «basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles», y, en tercer término, debe producir «efectos jurídicos [que afecten al interesado]» o que lo afecten «significativamente de modo similar».
Por lo que respecta, en primer término, al requisito relativo a la existencia de una decisión, procede señalar que el concepto de «decisión», en el sentido del artículo 22, apartado 1, del RGPD, no se define en dicho Reglamento. Sin embargo, del propio tenor de esta disposición se desprende que tal concepto no se refiere solo a actos que produzcan efectos jurídicos que afecten al interesado de que se trate, sino también a actos que lo afecten significativamente de modo similar.
Es decir, como señaló el Abogado General en sus conclusiones, el concepto de «decisión» en el sentido del artículo 22, apartado 1, del RGPD, puede incluir diversos actos con potencial para afectar al interesado de múltiples maneras, ya que es lo suficientemente amplio para englobar el resultado del cálculo de la solvencia de una persona en forma de un valor de probabilidad relativo a su capacidad para hacer frente a sus compromisos de pago en el futuro.
Por lo que respecta, en segundo término, al requisito de que la decisión, en el sentido de dicho artículo 22, apartado 1, debe estar «basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles», no se discute que una actividad como la que realiza Schufa responde a la definición de «elaboración de perfiles» que figura en el artículo 4, punto 4, del RGPD y, por tanto, que en el presente asunto se cumple este requisito, habida cuenta de que el tenor de la primera cuestión prejudicial se refiere expresamente a la generación automatizada de un valor de probabilidad a partir de datos personales relativos a una persona y acerca de su capacidad para satisfacer un préstamo en el futuro.
Y, por lo que respecta, en tercer término, al requisito de que la decisión debe producir «efectos jurídicos» en el interesado o «[afectarlo] significativamente de modo similar», del propio tenor de la primera cuestión prejudicial se desprende que la acción del tercero al que se transmite el valor de probabilidad está basada «de un modo determinante» en dicho valor. Así pues, según las apreciaciones de hecho del órgano jurisdiccional remitente, en el caso de que un consumidor solicite un préstamo a un banco, un valor de probabilidad insuficiente dará lugar, en la práctica totalidad de los casos, a que el banco deniegue la concesión del préstamo solicitado.
En estas circunstancias, se debe considerar que el tercer requisito al que está supeditada la aplicación del artículo 22, apartado 1, del RGPD también se cumple, puesto que un valor de probabilidad como el controvertido en el litigio principal, cuanto menos, afecta al interesado significativamente.
De ello se desprende que, en circunstancias como las del litigio principal, en las que el valor de probabilidad generado por una agencia de información comercial y comunicado a un banco desempeña un papel determinante en la concesión de un crédito, la generación de dicho valor propiamente dicha debe calificarse como decisión que produce «efectos jurídicos» en un interesado o que «[lo afecta] significativamente de modo similar», en el sentido del artículo 22, apartado 1, del RGPD.
A este respecto, subraya el Tribunal, hay que destacar que, tal como ha señalado el Abogado General en sus conclusiones, el artículo 22, apartado 1, del RGPD consagra un «derecho» del interesado a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles. Dicha disposición establece una prohibición de principio cuya inobservancia no necesita ser invocada proactivamente por el interesado.
Así pues, en el supuesto de que el Derecho de un Estado miembro autorice, de conformidad con el artículo 22, apartado 2, letra b), del RGPD, la adopción de una decisión basada únicamente en un tratamiento automatizado, dicho tratamiento debe cumplir no solo los requisitos establecidos en esta última disposición y en el artículo 22, apartado 4, de dicho Reglamento, sino también los requisitos establecidos en los artículos 5 y 6 del mismo Reglamento.
Por lo tanto, los Estados miembros no pueden adoptar, en virtud del artículo 22, apartado 2, letra b), del RGPD, normativas que autoricen la elaboración de perfiles incumpliendo los requisitos establecidos en esos artículos 5 y 6, tal como han sido interpretados por la jurisprudencia del Tribunal de Justicia.
A la luz de todas las consideraciones anteriores, procede responder a la primera cuestión prejudicial que el artículo 22, apartado 1, del RGPD debe interpretarse en el sentido de que la generación automatizada, por una agencia de información comercial, de un valor de probabilidad a partir de datos personales relativos a una persona y acerca de la capacidad de esta para hacer frente a compromisos de pago en el futuro constituye una «decisión individual automatizada», en el sentido de la mencionada disposición, cuando de ese valor de probabilidad dependa de manera determinante que un tercero, al que se comunica dicho valor, establezca, ejecute o ponga fin a una relación contractual con esa persona.
Sobre la clasificación de solvencia
En lo que se refiere al «scoring», el Tribunal de Justicia declara que debe considerarse que este es una «decisión individual automatizada», en principio prohibida por el RGPD, siempre que los clientes de Schufa, como los bancos, le atribuyan un papel determinante en la concesión de créditos.
Dado que, según el Tribunal de lo Contencioso-Administrativo de Wiesbaden, esto es lo que ocurre en este caso, el TJUE declara que corresponde a dicho tribunal evaluar si la Ley federal de protección de datos alemana contempla, de conformidad con el RGPD, una excepción válida a esta prohibición. Si así fuera, el mencionado tribunal tendrá que comprobar si se cumplen los requisitos generales para el tratamiento de datos establecidos en el RGPD.
Información sobre la exoneración del pasivo insatisfecho
En cuanto a la información relativa a la concesión de una exoneración del pasivo insatisfecho, el Tribunal de Justicia considera contrario al RGPD que las agencias privadas conserven dichos datos durante más tiempo que el registro público de insolvencia.
En efecto, la exoneración del pasivo insatisfecho tiene por objeto permitir al beneficiario volver a participar en la vida económica y, por lo tanto, reviste una importancia vital para esa persona. Ahora bien, esta información siempre constituye un factor negativo a la hora de evaluar la solvencia de la persona de que se trate.
En caso de autos, el Tribunal europeo considera que el legislador alemán ha establecido un plazo de conservación de datos de seis meses. Por lo tanto, una vez transcurridos, los derechos y los intereses del interesado prevalecen sobre los intereses del público a disponer de esa información. Puesto que la conservación de datos es ilícita, como sucede cuando han transcurrido más de seis meses, el interesado tiene derecho a que se supriman los mencionados datos y la agencia está obligada a suprimirlos sin dilación.
En lo tocante a la conservación paralela de dicha información por Schufa durante seis meses, corresponde al Tribunal de lo Contencioso-Administrativo ponderar los intereses en juego con el fin de apreciar su licitud. Si dicho Tribunal debiera concluir que es lícita la conservación paralela durante seis meses, el interesado seguirá teniendo derecho a oponerse al tratamiento de sus datos y a que se supriman, a menos que Schufa acredite que existen motivos legítimos imperiosos.
Por último, el Tribunal de Justicia subraya que los órganos jurisdiccionales nacionales deben poder ejercer un control pleno sobre cualquier decisión jurídicamente vinculante de una autoridad de control.