Tras meses (de hecho, años) de espera, el pasado 7 de diciembre de 2023 el Tribunal de Justicia de la Unión Europea (TJUE) se pronunció finalmente acerca de la cuestión prejudicial que en 2021 le había planteado el tribunal de Wiesbaden, Alemania, sobre la interpretación de los artículos 6 y 22.1 del Reglamento General de Protección de Datos (RGPD) en relación con la generación automatizada de valores de puntuación crediticia (o credit scoring) por una agencia de información sobre la solvencia de terceros (en particular, consumidores). Sobre la remisión de esta cuestión prejudicial os habíamos hablado en anteriores entradas de este blog.
En particular, el tribunal alemán había preguntado al TJUE acerca de si la obtención de una puntuación crediticia constituye una decisión automatizada en el sentido del citado artículo 22 del RGPD y sobre los efectos que se derivarían de una respuesta afirmativa a la pregunta anterior. Además de responder a esta cuestión, de forma implícita la Sentencia del TJUE también aclara otros aspectos relevantes sobre el funcionamiento de este tipo de productos y servicios financieros, lo que sin duda será importante para el mercado en el que se integran.
Productos de evaluación crediticia o credit scoring
Para un correcto entendimiento la sentencia conviene recordar en primer lugar en qué consisten los productos de evaluación crediticia o credit scoring.
En concreto, estos permiten –con base en modelos matemáticos-estadísticos y en función de un conjunto de muestras de información– la calificación de solicitudes para la toma de decisiones relativas a la concesión o no de una determinada operación de riesgo (generalmente, un crédito) o a la fijación de sus condiciones. Ello, en particular, en atención al riesgo de crédito o la probabilidad de impago de los intereses o del principal. Como sabemos, en efecto, es habitual que las solicitudes de préstamo o crédito (o, en términos generales, la solicitud de servicios con pago aplazado) se acompañen de un scoring crediticio para la toma de las decisiones correspondientes.
Las propias entidades de información y análisis de riesgo (por ejemplo, la agencia SCHUFA a la que se refiere la Sentencia del TJUE o, en el caso del mercado español, Equifax o Experian) se encargan de analizar el riesgo de un prestatario, combinando factores objetivos y subjetivos a partir de la información de la disponen sobre el prestatario y/o de la información que sus socios comerciales (por ejemplo, entidades bancarias) le trasladan sobre el mismo. Por su parte, los socios comerciales que solicitaron una puntuación o valor de probabilidad determinado, decidirán, con base en dicho valor, sobre la ejecución (o modo de ejecución) de una relación contractual con el citado prestatario.
Decisiones automatizadas y RPGD
Sentado lo anterior, también conviene recordar qué es lo que establece el artículo 22.1 del RGPD cuya aplicabilidad analiza el TJUE.
En concreto, el citado artículo determina que “todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”. Su finalidad radica, por tanto, en la protección de los interesados frente a los riesgos que pueden derivarse para los mismos de decisiones basadas en meros automatismos.
Por tanto, en virtud de la disposición transcrita, una decisión de este tipo está prohibida salvo que concurran alguna de las excepciones que a continuación establece su segundo apartado, a saber, (a) que la decisión resulte necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento; (b) que esté autorizada por el Derecho de la Unión o del Estado Miembro aplicable; o (c) que se base en el consentimiento explícito del interesado. Asimismo, en los supuestos (a) y (c) anteriores, el RGPD exige la adopción de medidas adecuadas para con los interesados, como, inter alia, su derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista o a impugnar la decisión correspondiente.
Con el contexto anterior, a continuación se explicará cuál ha sido la posición del TJUE –dejando no obstante de lado la cuestión de la licitud de la normativa nacional alemana a la que la cuestión prejudicial también hace referencia– y se detallarán algunas de las consecuencias que se derivan de la misma.
A la hora de determinar la aplicabilidad del artículo 22 del RGPD, el TJUE realiza un recorrido a través de los tres requisitos acumulativos que el mismo establece:
(a) La existencia de una “decisión”, concepto que debe ser interpretado en sentido amplio como cualquier acto susceptible de afectar al interesado de múltiples maneras;
(b) El hecho de que la decisión esté “basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles”, lo que en ningún caso discute; y
(c) El requisito de que la decisión deba producir “efectos jurídicos” en elinteresado o “afectarlo significativamente de modo similar”, lo que a juicio del TJUE implica que la acción del tercero (por ejemplo, el banco que solicita un score crediticio) acerca de la concesión o no de un crédito esté basada “de un modo determinante” en el valor o puntuación que le traslada la agencia en cuestión. Aunque el TJUE nada indica al respecto, cabe entender que la calificación de un valor como “determinante” no depende de que sea el único valor o puntuación que se tenga en cuenta para la toma de las decisiones pertinentes, sino de que del valor trasladado haya dependido la decisión final.
¿La calificación crediticia es ya una “decisión” automatizada conforme al RGPD?
La sentencia sigue la línea que había comenzado a trazar el Abogado General Pikamäe en sus conclusiones volcadas en el asunto.Analizando los requisitos señalados en el caso objeto de análisis, el TJUE entiende que el resultado del cálculo de la solvencia de un interesado en forma de un valor de probabilidad relativo a su capacidad para hacer frente a compromisos de pago futuros debe entenderse ya como una “decisión” basada en la “elaboración de perfiles”, la cual, comunicada al banco que solicitó su generación, desempeña un papel determinante en la concesión de un crédito, produciendo por tanto “efectos jurídicos” en el solicitante del crédito o “afectándole significativamente de modo similar”.
Según entiende el TJUE, de lo contrario existiría una laguna jurídica que mermaría la aplicación, finalidad y protección que persigue artículo 22 del RGPD. En efecto, una interpretación restrictiva de dicho artículo que dejase fuera de su alcance decisiones como la controvertida haría que la creación de la puntuación crediticia o score se considerase un mero acto preparatorio ejecutado por una agencia comercial, calificando únicamente al acto final de la tercera entidad como “decisión” en base al artículo 22. Como consecuencia de lo anterior, los interesados no podrían ejercitar sus derechos (por ejemplo, su derecho de acceso) frente a la agencia comercial que calculó su probabilidad de impago, aunque la tercera entidad generalmente no contará con toda la información relevante acerca del tratamiento realizado de los datos del interesado (pues únicamente recibe el valor de probabilidad solicitado).
Sobre algunas de las consecuencias de la Sentencia que conviene resaltar
De la sentencia del TJUE se desprenden algunas consecuencias relevantes. En primer lugar, las agencias comerciales que prestan servicios de credit scoring actuarán en calidad de responsables del tratamiento cuando concurran los tres requisitos analizados por el TJUE. En consecuencia, deberán asegurar la aplicación de alguna de las excepciones previstas en el artículo 22.2 y, en línea con lo anterior, contar con una base jurídica válida que legitime el tratamiento de los datos de los prestatarios, cuya existencia deberán ser capaces de probar. Asimismo, deberán garantizar el cumplimiento de la normativa aplicable (por ejemplo, aplicando las medidas técnicas y organizativas apropiadas para la seguridad de la información y la reducción del riesgo de error al máximo o garantizar los derechos de los interesados).
No obstante lo anterior, también parece posible anticipar algunas dificultades prácticas a la hora de aplicar las concusiones del TJUE. Nos referimos, en concreto, a las dificultades que pueden derivarse de la consideración de un valor como “determinante” o “no determinante”.
En principio, parece posible adivinar que la generación de este tipo de valores siempre y en todo caso se entenderá como determinante, en particular cuando su resultado sea desfavorable para el interesado, pues en estos casos la denegación del crédito solicitado parece asegurada. Sin embargo, parece que existen argumentos para defender que el carácter determinante o no de una puntuación crediticia no deja de ser una cuestión fáctica en manos de cada tercera entidad que solicita a una agencia comercial la obtención de un valor de probabilidad. Esta tercera entidad, encargada además –en última instancia– de tomar la decisión crediticia correspondiente, aplicará posteriormente la estrategia de riesgo de crédito que resulte en cada caso aplicable. De esta manera, existiría la posibilidad de que dos entidades tomen decisiones opuestas acerca de la concesión de un crédito solicitado en atención a la puntuación trasladada por una misma agencia comercial, y ello como consecuencia de los límites de aceptación del riesgo que internamente tengan establecidos. Finalmente, además, la práctica del mercado parece demostrar que prácticamente la totalidad de las entidades tienen en cuenta factores adicionales a la hora de tomar decisiones relevantes (solicitando puntuaciones adicionales en base a los mismos o a distintos datos de un interesado, o incluso calculando sus propias puntuaciones en base a la información que poseen de un interesado), lo que en ocasiones sería susceptible de dificultar la determinación de uno de esos valores –en caso de resultar discrepantes– como determinantes.
Lo anterior parece, además, dejar abierta la posibilidad a la existencia de escenarios en los que las agencias comerciales actúen en calidad de encargadas del tratamiento de sus socios comerciales, como de hecho se había admitido en ocasiones anteriores (ver inter alia la resolución de la AEPD en el caso Caixabank payments & Consumer Efc, EP, S.A.U.)
Con todo, y sin perjuicio de las consecuencias que puedan derivarse de las circunstancias y la operativa de cada supuesto concreto y/o de las ulteriores interpretaciones y desarrollos que los Estados Miembros y autoridades competentes puedan realizar en la materia, es evidente que la tan esperada sentencia del TJUE arroja una claridad y seguridad jurídicas que resultaban a todas luces necesarias.
Por Alejandro Negro y Ana Sánchez
