Sentencia del Tribunal de Justicia en el asunto C-203/22 | Dun & Bradstreet Austria (LA LEY 22468/2025)
Antecedentes
En Austria, un operador de telefonía móvil se negó a celebrar un contrato con una cliente por carecer esta de la solvencia suficiente. El operador se basaba a este respecto en una evaluación crediticia de la cliente que había hecho de forma automatizada Dun & Bradstreet Austria, empresa especializada en la realización de este tipo de evaluaciones. El contrato habría conllevado el pago mensual de un importe de 10 euros.
Mediante resolución definitiva dictada en el contexto del litigio que se siguió, un órgano jurisdiccional austriaco declaró que Dun & Bradstreet había infringido el Reglamento general de protección de datos (RGPD) (LA LEY 6637/2016).
En efecto, estimó que Dun & Bradstreet no había facilitado a la cliente «información significativa sobre la lógica aplicada» a la adopción de la decisión automatizada en cuestión o, que, como mínimo, no había motivado suficientemente la imposibilidad de facilitar dicha información.
El órgano jurisdiccional que conoce de la solicitud de ejecución forzosa de esa resolución judicial, presentada por la cliente, se pregunta qué debe hacer Dun & Bradstreet concretamente a este respecto. Por ello, ha pedido al Tribunal de Justicia que interprete el RGPD y la Directiva relativa a la protección de los secretos comerciales.
Apreciación del Tribunal de Justicia
Según el Tribunal de Justicia, el responsable del tratamiento debe describir el procedimiento y los principios concretamente aplicados de tal manera que el interesado pueda comprender cuáles de sus datos personales se han utilizado y cómo se han utilizado en la adopción de la decisión automatizada.
Para cumplir los requisitos de transparencia e inteligibilidad puede ser adecuado, en particular, informar al interesado de la medida en que una variación de los datos personales tenidos en cuenta habría conducido a un resultado diferente. En cambio, la mera comunicación de un algoritmo no constituye una explicación suficientemente concisa y comprensible.
En el supuesto de que el responsable del tratamiento considere que la información que ha de facilitar incluye datos protegidos de terceros o secretos comerciales, debe comunicar la información supuestamente protegida a la autoridad de control o al órgano jurisdiccional competente. Corresponde a estos ponderar los derechos e intereses en cuestión a efectos de determinar el alcance del derecho de acceso del interesado a la referida información.
A este respecto, el Tribunal de Justicia precisa que el RGPD se opone a la aplicación de una disposición nacional que excluye, en principio, el derecho de acceso del interesado, cuando dicho acceso comprometa un secreto comercial del responsable del tratamiento o de un tercero.