La sentencia del Tribunal de Justicia de la Unión Europea (TJUE) del 7 de diciembre de 2023 (2) es la primera en abordar centralmente el artículo 22 del Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) relativo a las decisiones automatizadas. Se trata de un precepto que cuenta ya con cierto recorrido (3) , pero sin jurisprudencia del TJUE. Tampoco en España contamos con ninguna sentencia relevante de este precepto (4) , aunque alguna relevante del ámbito comparado (5) . Además, y como se analiza al final de este estudio, el artículo 22 RGPD (LA LEY 6637/2016) tiene un especial potencial de cara al futuro, en razón de los sistemas algorítmicos y de IA (6) . La sentencia (7) ha estado precedida por unas importantes Conclusiones (concurrentes) del Abogado General Priit Pikamäe, presentadas el 16 de marzo de 2023 (8) .
I. El caso y la cuestión que eleva el tribunal alemán
El caso (descrito en los § 9 a 19) involucra a SCHUFA, una empresa que proporciona información de solvencia (scoring) de consumidores basada en procedimientos matemáticos y estadísticos. Se hace una clasificación de una persona según su cierto comportamiento, lo que permite prever un comportamiento similar. El demandante es una persona física cuya solicitud de préstamo fue negada sobre la base de la información proporcionada por SCHUFA. El demandante ejerció su derecho de acceso de protección de datos frente a SCHUFA. Sin embargo, esta entidad le facilitó sólo información genérica, pero se negó a divulgar los distintos datos que tenía del afectado, así como la ponderación de los mismos que había realizado en forma de valores de probabilidad. Alegó para no facilitar más información que no era SCHUFA quien había denegado el crédito, sino sus socios contractuales, a quienes esta entidad había facilitado la información.
El tribunal alemán (§ 20-26) cuestiona al TJUE si la actividad de SCHUFA queda en el ámbito del artículo 22 del RGPD (LA LEY 6637/2016), particularmente por cuanto no es esta entidad la que adopta la «decisión automatizada», sino que sólo genera el valor de probabilidad, que no constituiría una decisión. En consecuencia, no estaría obligado a dar acceso al afectado por la decisión, respecto de la que es un tercero. La legislación alemana sólo regula el «uso» del valor de probabilidad, pero no su generación.
II. La doctrina que establece el TJUE sobre el alcance del artículo 22 RGPD y el margen de actuación nacional
En general el TJUE recuerda que «la finalidad que persigue el artículo 22 del RGPD (LA LEY 6637/2016), que consiste en proteger a las personas contra los riesgos específicos» (§ 57) «en los intereses legítimos y derechos del interesado, habida cuenta, en particular, de los potenciales efectos discriminatorios» (§ 59).
Ya en concreto la sentencia establece lo que es una «decisión individual» sometida al artículo 22 RGPD (LA LEY 6637/2016) (§ 43 y ss.): la generación de un valor de probabilidad por una entidad como SCHUFA constituye una «decisión individual automatizada» según el artículo 22 del RGPD (LA LEY 6637/2016), si este valor influye de manera determinante en la decisión de un tercero (§ 43); se parte de que «decisión» «no se refiere solo a actos que produzcan efectos jurídicos que afecten al interesado de que se trate, sino también a actos que lo afecten significativamente de modo similar» (§ 44). Ello es muy significativo, por cuanto supone vincular las garantías del artículo 22 RGPD (LA LEY 6637/2016) a los hechos o actos que tengan un peso en la decisión que finalmente se adopte. En este caso, «la denegación automática de una solicitud de crédito en línea» (considerando 71 del RGPD) (§ 45). Así pues, se sigue un concepto amplio de «decisión», en la línea del Abogado General en el punto 38 de sus conclusiones, especialmente como elaboración de perfiles (§ 47). El TJUE subraya también que este valor de probabilidad produce «efectos jurídicos», pues la decisión «está basada "de un modo determinante" en dicho valor» (§ 48): «un valor de probabilidad insuficiente dará lugar, en la práctica totalidad de los casos, a que el banco deniegue la concesión del préstamo solicitado.». Así que «afecta al interesado significativamente.» (§ 49)
Se trata de una interpretación garantista para evitar «una laguna en la protección jurídica, si se optara por una interpretación restrictiva de esta disposición según la cual la generación del valor de probabilidad debiera considerarse un mero acto preparatorio» (§ 61). De lo contrario, como advirtió el Abogado General Conclusiones 48),«el interesado no podría invocar […] su derecho de acceso» (§ 63).
La cuestión prejudicial giraba también sobre el margen de regulación nacional sobre el artículo 22, por la posible actuación excesiva del legislador alemán, al someter la generación de valores de probabilidad a requisitos de licitud más estrictos que el RGPD (§ 26) (9) . Cabe recordar que en virtud del artículo 22, el Derecho nacional bien puede autorizar decisiones automatizadas y, para ello, establecer medidas adecuadas; asimismo también el Derecho de un Estado miembro debe legitimar en casos particulares el tratamiento de categorías especiales de datos del artículo 9. A este respecto (§ 65 y ss.), la STJUE recuerda que el legislador nacional «debe establecer medidas adecuadas» en el ámbito del art. 22 RGPD (LA LEY 6637/2016) (§ 65), pero añade que el legislador estatal debe sujetarse no sólo al art. 22, sino que queda especialmente vinculado por los artículos 5 (principios) y 6 (legitimación). Recuerda específicamente (§ 67) que «los Estados miembros no pueden adoptar […] normativas que autoricen la elaboración de perfiles incumpliendo los requisitos establecidos en esos artículos 5 y 6» (§ 68) y que «no están facultados para establecer normas complementarias para la aplicación de estos requisitos», además, «no pueden […] apartarse de las exigencias que resultan de la jurisprudencia» (§ 69). Pese a que para el caso concreto el TJUE «alberga serias dudas» (§ 71) sobre la ley alemana en cuestión, es el juez nacional es quien debe comprobar que la regulación nacional es acorde (§ 72).
Finalmente, se resuelve la cuestión prejudicial afirmando que la generación de un valor de probabilidad por parte de SCHUFA cae bajo el ámbito de aplicación del artículo 22 del RGPD (LA LEY 6637/2016). Así pues, el art. 22 RGPD (LA LEY 6637/2016): «debe interpretarse en el sentido de que» «la generación automatizada, por una agencia de información comercial, de un valor de probabilidad a partir de datos personales relativos a una persona y acerca de la capacidad de esta para hacer frente a compromisos de pago en el futuro constituye una "decisión individual automatizada", en el sentido de la mencionada disposición, cuando de ese valor de probabilidad dependa de manera determinante que un tercero, al que se comunica dicho valor, establezca, ejecute o ponga fin a una relación contractual con esa persona.» «Los artículos 6, apartado 1, y 22 del Reglamento 2016/679 (LA LEY 6637/2016) […] no se oponen a una normativa nacional sobre elaboración de perfiles cuando se trate de una elaboración de perfiles distinta de la prevista en el artículo 22, apartado 1, de este Reglamento. Sin embargo, en este caso la normativa nacional debe respetar los requisitos establecidos en el artículo 6 de dicho Reglamento. En particular, debe fundamentarse en una base jurídica adecuada, extremo que corresponde verificar al órgano jurisdiccional remitente.»
III. Valoración y proyección futura de esta doctrina jurisprudencial: hacia el corrimiento del velo de las decisiones «únicamente» automatizadas
Ciertamente la sentencia puede resultar algo críptica en su lectura especialmente por dos motivos. Primero, por centrarse en la cuestión de si era aplicable el artículo 22 a la empresa, que no era quien adoptaba la decisión automatizada. No parece a primera vista una cuestión muy relevante. Segundo, por cuanto la problemática también se centra en una legislación nacional específica y compleja y el margen de actuación de dicha regulación frente al RGPD. No es fácil captar los problemas que la concreta regulación alemana generaba y, además, el TJUE prefiere dejar la resolución de esta disputa en sede del juez nacional. Puede señalarse también que el TJUE no aprovecha todo lo posible su primera ocasión importante para sentar jurisprudencia respecto del artículo 22. Dicho lo anterior, la sentencia sí que establece doctrina esencialmente sobre el alcance y ámbito de aplicación del artículo 22 RGPD (LA LEY 6637/2016), además de tener diversas proyecciones para el futuro.
Con carácter general, se aprecia una voluntad garantista material. Así, las garantías del artículo 22 RGPD (LA LEY 6637/2016) se proyectan y van más allá del responsable —al menos formal— que toma la decisión respecto del afectado, generando obligaciones a un tercero encargado que ha tratado datos del afectado. Para el TJUE las garantías abarcan actos, hechos o datos que sustentan las decisiones automatizadas, como los perfiles o ponderaciones automatizados que han estado en la base de la decisión finalmente adoptada. Ello a pesar de que formalmente la decisión se adopte por otra entidad o haya pasado por un proceso de aparente decisión humana. Esta cuestión, como he tenido la ocasión de subrayar, ha generado una huida del Derecho (10) .
El criterio general garantista respecto de decisiones automatizadas ya es en sí un precedente y bien podrá proyectarse en muchos otros supuestos en el futuro.
El artículo 22 RGPD (LA LEY 6637/2016) y sus garantías no sólo alcanzan y obligan al responsable formal de la decisión respecto del afectado, sino que genera obligaciones a quien materialmente efectúa para el responsable el tratamiento automatizado, perfilado o ponderación de datos bajo otras posiciones jurídicas, como pueda ser la de encargado por cuenta de quien finalmente toma la decisión.
En particular, la sentencia destaca por su potencial para descubrir la verdadera influencia de los sistemas automatizados en las decisiones finales que se adoptan. Así, la sentencia destaca por cuanto supone —si se me permite— un «corrimiento del velo» de las decisiones «únicamente» automatizadas. Se trata de la necesidad de superar una interpretación restrictiva que limita las garantías del artículo 22 sólo a las decisiones «únicamente» automatizadas y pasar a incluir muchos supuestos de decisiones parcialmente automatizadas, basadas en la decisión automatizada pero con una mayor o menor intervención humana, o supuestos en los que la decisión sólo automatizada se inserta en contextos más amplios. Así, las garantías de este precepto también se darán si los resultados del sistema automatizado, el perfilado o la ponderación automatizada de datos (o con inteligencia artificial) se conectan materialmente con la decisión finalmente adoptada por quien tiene que adoptarla respecto del afectado por dicha decisión. Ello a pesar de que pueda darse una mediación o intervención humana, por ejemplo.
Debe tenerse en cuenta que las decisiones automatizadas, en muchas ocasiones se integran en una cadena o ecosistema de acciones en los que sí que hay intervención humana. No obstante, la existencia de dicha intervención humana no debe excluir automáticamente la aplicación de las particulares garantías que para las decisiones automatizadas confiere el artículo 22.
El tema tiene particular relevancia para el sector público, en el que las decisiones automatizadas más conflictivas son por lo general las que sí que cuentan con alguna intervención humana
Cabe recordar que el tema tiene particular relevancia para el sector público, en el que las decisiones automatizadas más conflictivas son por lo general las que sí que cuentan con alguna intervención humana. Y en este ámbito, además del artículo 22, las escasas garantías del artículo 41.1º LRJSP (LA LEY 15011/2015) se reservan a «cualquier acto o actuación realizada íntegramente a través de medios electrónicos» y que «no haya intervenido de forma directa un empleado público». Hoy por hoy estos requisitos sirven para una huida del Derecho, esto es, para eludir la aplicación de garantías en tanto en cuanto se considera que hay intervención humana en la decisión administrativa que se adopte.
Tal como ha indicado el Grupo del Artículo 29, para que se prescinda de la aplicación de los derechos y garantías previstos en el artículo 22, la intervención humana ha de ser «significativa, en vez de ser únicamente un gesto simbólico» y llevada a cabo por «persona autorizada y competente». Asimismo, el estudio de impacto que debe hacerse ha de registrar el grado de intervención humana (11) . En esta línea, la autoridad de protección de datos de Portugal consideró como completamente automatizado un proceso que incluía intervención humana, dado que la persona encargada de supervisar los resultados del algoritmo no contaba con directrices ni criterios definidos para su interpretación (12) .
Pues bien, pese a que no se explicite en exceso, resulta especialmente interesante la sentencia por cuanto implica poner el foco en el peso efectivo que tiene la valoración, perfil o sistema automatizado en la decisión final que se adopte, aunque formalmente sea humana o se adopte incluso por otro sujeto.
Es reconfortante observar un progresivo reconocimiento normativo de la importancia de las garantías en decisiones parcial o semi-automatizadas. En el caso de España, por ejemplo, la reciente Carta de Derechos Digitales (LA LEY 16317/2021) contempla la necesidad de realizar una evaluación de impacto sobre los derechos digitales cuando se diseñan algoritmos para la toma de decisiones automatizadas o semi-automatizadas (apartado XVIII.7º). De igual forma, normativa más reciente de protección de datos expresamente las incluye. Así, el artículo 20 de la Ley orgánica de protección de datos personales de Ecuador (Registro Oficial Suplemento 459 de 26-may.-2021) extiende el derecho a «una decisión basada única o parcialmente en valoraciones automatizadas.» (13) En Canadá cabe destacar la Directive on Automated Decision-Making que desde su primera versión de 2018 (14) , que define a un sistema de decisiones automatizado (automated decision system) como «Cualquier tecnología que ayude o reemplace el juicio de los tomadores de decisiones humanos» (Apéndice A - Definiciones), por lo que en modo alguno las garantías de esta Directiva se limitan a las decisiones totalmente automatizadas.
IV. La importancia de la cuestión de cara al próximo Reglamento de inteligencia artificial
El artículo 22 RGPD (LA LEY 6637/2016) es una norma del ámbito de la protección de datos, obviamente diferente al futuro régimen de la IA en la UE. No obstante, en muchos casos ambas normas serán aplicables de forma superpuesta (15) . Por un lado, el régimen de protección de datos será generalmente aplicable cuando haya un tratamiento de datos mediante sistemas de IA. Y el particular régimen y garantías del artículo 22 se aplicarán en casos de tratamientos exclusivamente automatizados que generen efectos jurídicos significativos. Por otro lado, en general el futuro Reglamento de inteligencia artificial de la UE (16) (RIA) será aplicable a los sistemas de IA de alto riesgo.
Es relevante destacar cómo se ha integrado, en la evolución del texto del RIA, hasta qué punto la salida o el resultado del sistema de IA son determinantes para la decisión final que adopte el usuario del sistema de IA. Hay que advertir que la cuestión no se limita únicamente a la aplicación de las garantías ofrecidas por un artículo específico, como el artículo 22 del RGPD (LA LEY 6637/2016), sino que también sirve para determinar si un sistema de IA es considerado de alto riesgo y, en consecuencia, si se aplican todas las garantías previstas en el RIA.
En la propuesta inicial de la Comisión en 2021 este criterio no existía, hasta que apareció en una versión de la Presidencia de la República Checa en el segundo semestre de 2022. En la versión final del Consejo de la UE de diciembre de 2022 se afirma en el art. 6.3º que «Los sistemas de IA a que se refiere el anexo III se considerarán de alto riesgo salvo que la información de salida del sistema sea meramente accesoria respecto de la acción o decisión pertinente que deba adoptarse y, por tanto, sea poco probable que dé lugar a un riesgo importante para la salud, la seguridad o los derechos fundamentales.»
En la versión del Parlamento de junio de 2023 se incluye también este criterio general (artículo 7 (17) y Considerandos 36 (18) y 37 (19) ). Adicionalmente, en ciertos casos específicos del Anexo III, se considera de alto riesgo aquellos sistemas utilizados para «influir sustancialmente» en ámbitos específicos como la educación (20) , empleo (21) o seguros (22) .
De esta manera, la cuestión de si un sistema es automatizado o no, que hasta ahora era relevante para reforzar las garantías del RGPD y añadir las del artículo 22, adquiere ahora una nueva dimensión al ser decisiva para la aplicación integral del RIA.
Aunque el TJUE en su sentencia en modo alguno parece tener en perspectiva esta cuestión, también es cierto que de su primera sentencia centrada en el artículo 22 se desprende un criterio garantista y no formalista que bien podría ser considerado en futuras interpretaciones del nuevo RIA.
V. Para concluir
La sentencia del TJUE del 7 de diciembre de 2023 representa un hito significativo en la jurisprudencia sobre decisiones automatizadas y su interacción con la protección de datos, incluso con el futuro Reglamento de Inteligencia Artificial de la UE. Pese a que el TJUE no ha aprovechado del todo su primera oportunidad de establecer jurisprudencia sobre el tema, sin duda adopta un enfoque garantista. Así, expande el alcance del artículo 22 del RGPD (LA LEY 6637/2016) más allá del responsable formal de la decisión, para abarcar a terceros que procesen datos. Asimismo, esta sentencia pone claramente en valor el peso efectivo que tiene la decisión automatizada en la decisión final, incluso si formalmente parece humana o es adoptada por otro sujeto. Este enfoque implica un avance en la protección jurídica frente a los riesgos de la automatización y la IA.
Quien suscribe, leyendo quizá con cierto voluntarismo la sentencia, sostiene que se puede deducir el referido criterio expansivo del artículo 22 del RGPD (LA LEY 6637/2016). Es más, que esta sentencia podrá ser considerada en futuras aplicaciones del Reglamento de Inteligencia Artificial de la UE. Como se ha expuesto, la relevancia del resultado o decisión de un sistema de IA en la decisión final que se adopte por quienes lo usan, ha pasado a ser en el RIA un elemento esencial para determinar si el sistema es de alto riesgo y, con ello, la aplicación misma del futuro Reglamento. La interpretación garantista del TJUE en esta sentencia podrá influir también en la interpretación del RIA.