Según una sentencia dictada el 27 de febrero de 2025 por el Tribunal de Justicia de la Unión Europea, el interesado tiene derecho a una explicación de cómo se ha tomado la decisión que le concierne y que la explicación facilitada debe permitir al interesado comprender y impugnar la decisión automatizada.
El caso se refiere a un operador de telefonía móvil en Austria que se negó a permitir a una clienta celebrar un contrato por considerar que su solvencia no era suficiente. El operador se basó en una evaluación de la solvencia de la clienta realizada de forma automatizada por Dun & Bradstreet Austria, una empresa especializada en la prestación de este tipo de evaluaciones. El contrato habría supuesto un pago mensual de 10 euros.
En el litigio que siguió, un tribunal austriaco determinó, mediante decisión final, que Dun & Bradstreet había infringido el Reglamento General de Protección de Datos (RGPD) [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos)].
La sentencia señala que Dun & Bradstreet no había facilitado al cliente «información significativa sobre la lógica implicada» en la toma de decisiones automatizada en cuestión. Como mínimo, la empresa no había aportado una justificación suficiente de por qué no podía facilitar dicha información.
El tribunal al que el cliente ha presentado el asunto para la ejecución de la resolución judicial se pregunta qué debe hacer Dun & Bradstreet en la práctica a este respecto. Por ello, ha remitido el asunto al Tribunal de Justicia para que le oriente sobre la interpretación del RGPD y de la Directiva sobre la protección de los secretos comerciales [Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y divulgación ilícitas].
Según el Tribunal, el responsable del tratamiento debe describir el procedimiento y los principios efectivamente aplicados, de forma que el interesado pueda comprender cuáles de sus datos personales se han utilizado en la toma de decisiones automatizada.
En su sentencia, la Corte determinó que:
- Artículo 15.1.h) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
debe interpretarse en el sentido de que, en caso de toma de decisiones automatizada, incluida la elaboración de perfiles, en el sentido del artículo 22, apartado 1, de dicho Reglamento, el interesado puede exigir al responsable del tratamiento, como «información significativa sobre la lógica aplicada», que explique, mediante información pertinente y de forma concisa, transparente, inteligible y de fácil acceso, el procedimiento y los principios efectivamente aplicados para utilizar, por medios automatizados, los datos personales que le conciernen con el fin de obtener un resultado concreto, como un perfil crediticio.
- Artículo 15(1)(h) del Reglamento 2016/679
debe interpretarse en el sentido de que, cuando el responsable del tratamiento considere que la información que debe facilitarse al interesado con arreglo a dicha disposición contiene datos de terceros protegidos por dicho Reglamento o secretos comerciales, en el sentido del artículo 2, punto 1, de la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y divulgación ilícitas, dicho responsable está obligado a facilitar la información supuestamente protegida a la autoridad de control o al tribunal competente, que debe ponderar los derechos e intereses en juego con vistas a determinar el alcance del derecho de acceso del interesado previsto en el artículo 15 de dicho Reglamento.
Lea más aquí .