Nota: Las sentencias no están relacionadas con casos noyb
Sentencias históricas del TJUE sobre la "clasificación crediticia" y la revisión de los APD
El Tribunal de Justicia de la Unión Europea (TJUE) ha dictado hoy dos sentencias históricas en procedimientos contra la agencia alemana de referencia de crédito SCHUFA, que anteriormente gozaba de considerable libertad en Alemania. El TJUE confirmó que los tribunales nacionales tienen amplias competencias para controlar a las autoridades de protección de datos, reforzando así los derechos de los interesados. Además, el tribunal dictaminó que la asignación de puntuaciones de crédito calculadas automáticamente no se ajusta al RGPD.
- Declaración del abogado que representó a uno de los demandantes contra SCHUFA
- Comunicado de prensa del TJUE
¿Cuál es el negocio de la clasificación crediticia? Empresas como SCHUFA son las llamadas agencias de referencia de crédito. Recopilan grandes cantidades de datos personales para asignar a las personas una supuesta solvencia crediticia. Esta puntuación es utilizada por bancos y empresas para evaluar si alguien debe obtener un préstamo o un contrato de telefonía móvil.
Antecedentes: Supresión de datos y puntuación crediticia automatizada. El punto de partida del procedimiento ante el TJUE, ahora resuelto, fueron dos denuncias contra SCHUFA ante la Autoridad de Protección de Datos de Hesse (HBDI). En uno de los casos (asuntos acumulados C-26/22 y C-64/22), el interesado había solicitado la supresión de datos de insolvencia de la base de datos de la SCHUFA después de que ya se hubieran suprimido del registro público de insolvencias, de donde la SCHUFA los había extraído y seguido almacenando. La HBDI no sólo desestimó el asunto, sino que incluso alegó que el tribunal competente no puede revisar su decisión en cuanto al fondo. El segundo asunto (C-634/21) se refería a la cuestión de si la SCHUFA está autorizada a emitir automáticamente calificaciones crediticias en absoluto, o si esto constituye una "decisión automatizada en casos individuales", prohibida en gran medida por el RGPD.
La sentencia en los asuntos acumulados C-26/22 y C-64/22(Enlace)
Control jurisdiccional pleno de las autoridades de protección de datos. La sentencia del TJUE aumentó masivamente la presión sobre las autoridades de protección de datos (APD). En algunos Estados miembros de la UE, entre ellos Alemania, han asumido hasta ahora que una reclamación del GDPR por parte de los interesados es simplemente una especie de "petición". En la práctica, esto ha significado que, a pesar de contar con un presupuesto anual de 100 millones de euros, las APD alemanas han rechazado muchas denuncias con justificaciones extrañas y no se han perseguido las infracciones del RGPD. En países como Irlanda, más del 99% de las denuncias no se tramitaron y en Francia se denegó cualquier derecho de los afectados a participar en el procedimiento relativo a sus propios derechos. Algunas APD, como la autoridad de Hesse en el presente caso, también han alegado que los tribunales tienen prohibido revisar en detalle sus decisiones.
Más derechos para los interesados. El TJUE ha puesto fin a este planteamiento. Ha dictaminado que el artículo 77 del RGPD está concebido como un mecanismo para salvaguardar eficazmente los derechos e intereses de los interesados. Además, el Tribunal ha dictaminado que el artículo 78 del RGPD permite a los tribunales nacionales llevar a cabo una revisión completa de las decisiones de las autoridades de protección de datos. Esto incluye la evaluación de si las autoridades han actuado dentro de los límites de su discrecionalidad.
Raphael Rohrmoser, abogado del demandante en este caso: "El Tribunal de Justicia de las Comunidades Europeas ha reforzado masivamente los derechos de los interesados. Ya no se permite almacenar datos de registros públicos más que en el propio registro"
La sentencia en el asunto C-634/21(Enlace)
El negocio de las clasificaciones crediticias se tambalea. Pero eso no es todo. Con su sentencia en el asunto C-634/21, el TJUE hace tambalearse todo el modelo de negocio de SCHUFA (y otras agencias de crédito): el cálculo totalmente automatizado de la supuesta solvencia crediticia mediante algoritmos opacos cae bajo la protección especial del artículo 22 GDPR. Esta disposición prohíbe el uso de datos personales para decisiones totalmente automatizadas que tengan un "efecto adverso significativo" sobre los interesados. En otras palabras, las decisiones de cierto alcance no deben tomarse únicamente mediante algoritmos.
Marco Blocher: " Asignar a los ciudadanos una puntuación crediticia incomprensible y denegarles contratos automáticamente es cosa del pasado gracias a la sentencia del TJUE"
Prohibición de la calificación crediticia automatizada. El sector de las agencias de crédito ha sostenido hasta ahora que incluso una puntuación de crédito terrible, que sin duda impediría a una persona celebrar un gran número de contratos (como préstamos, seguros, alquileres o contratos de suministro de electricidad), no es una "decisión negativa". Según ellos, la decisión final la toma la empresa que utiliza la puntuación. El TJUE tiene una opinión diferente y ahora ha dictaminado que la atribución de solvencia ya puede constituir una decisión en virtud del artículo 22 del RGPD. Esto significa que la puntuación de solvencia automatizada en su forma actual está prohibida para las agencias de crédito en toda la UE. Si la SCHUFA quiere calcular la solvencia de las personas en el futuro, necesitará su consentimiento expreso. Además, los interesados deberán poder impugnar una puntuación crediticia.
Raphael Rohrmoser, abogado del demandante en este caso: "No debe subestimarse el hecho de que los interesados puedan ahora emprender regularmente acciones legales contra decisiones oficiales. Esto sin duda reforzará la aplicación de los derechos del GDPR"