La STJUE de 27 de febrer de 2025, Dun & Bradstreet Àustria, C-203/22

A la sentència del TJUE de 27 de febrer de 2025, Dun & Bradstreet Àustria, C-203/22, EU:C:2025:117, el Tribunal resol un cas relatiu a una avaluació creditícia realitzada de manera automatitzada que va tenir conseqüències relatives a la possibilitat de contractar per part de l’afectat. 

El tema d’aquesta mena d’avaluacions ja havia estat tractat per la sentència del TJUE en el litigi SCHUFA Holding (Scoring), cas en el qual el Tribunal va optar per una interpretació àmplia de decisió automatitzada i va reforçar el dret d’accés de l’interessat. 

En el cas Dun & Bradstreet Àustria, el TJUE analitza de manera detallada el dret d’accés (article 15 del Reglament general de protecció de dades, RGPD) i concretament què s’ha d’entendre per informació significativa sobre la lògica aplicada i proporciona criteris sobre com resoldre els conflictes existents entre el dret d’accés i dades personals o secrets comercials d’un tercer. 

El litigi té el seu origen en la denegació a l’afectat (CK) de la possibilitat de subscriure un contracte de telefonia mòbil a causa de la valoració creditícia negativa efectuada per l’empresa d’avaluació Dun & Bradstreet Àustria (D&B). CK va recórrer davant l’autoritat de protecció de dades i va sol·licitar que D&B fos compel·lida a proporcionar informació significativa sobre la lògica aplicada en l’elaboració del seu perfil; volia comprendre com s’havia determinat el pronòstic sobre probabilitat del seu comportament futur (score) quant al pagament de les seves obligacions. D&B va al·legar que per raons de secret comercial no podia proporcionar més informació. 

El cas va arribar a un tribunal contenciós administratiu austríac que va plantejar múltiples qüestions prejudicials. Aquestes giren al voltant de dos eixos: d’una banda, la interpretació que s’ha de donar a l’article 15.1.h del RGPD i, de l’altra, com solucionar els conflictes que puguin sorgir entre l’exercici del dret d’accés i el dret a la protecció de dades o de secrets comercials de tercers.

Quant a la primera qüestió, el TJUE recorda que el dret d’accés reconegut en l’article 15 de l’RGPD ha de permetre a l’interessat cerciorar-se que les dades personals que el concerneixen són exactes i que es tracten lícitament. Aquest dret és necessari per permetre a l’interessat exercir, si escau, altres drets com el de rectificació, supressió, limitació al tractament o oposició. També el dret a recórrer i a obtenir una indemnització (§ 54).

Així mateix, en el context de les decisions basades exclusivament en un tractament automatitzat, la finalitat principal d’obtenir la informació en virtut de l’article 15.1.h de l’RGPD és la de permetre exercir a l’afectat, de manera eficaç, els drets de l’article 22.3 de l’RGPD: expressar el seu punt de vista sobre la decisió i impugnar-la (§ 55). Encara més, tenir la informació de què disposa l’article 15.1.h de l’RGPD és el pressupòsit per poder exercir els drets de l’article 22.3 de l’RGPD (§ 56).

Per això el TJUE considera (seguint l’advocat general) que l’article 15.1.h de l’RGPD ofereix a l’interessat un dret genuí a una explicació sobre el funcionament del mecanisme que s’ha aplicat a l’hora d’adoptar una decisió automatitzada de la qual ha estat objecte i sobre el resultat al qual ha portat aquesta decisió (§ 57).

Quant a la interpretació concreta que s’ha de donar a l’article 15.1.h de l’RGPD, el TJUE estableix que el dret a obtenir informació significativa sobre la lògica aplicada “s’ha d’entendre com un dret a l’explicació del procediment i dels principis concretament aplicats per explotar, de manera automatitzada, les dades personals de l’interessat amb la finalitat d’obtenir un resultat determinat, com ara un perfil de solvència. Això ha de permetre a l’interessat exercir de manera eficaç els drets que li reconeix l’RGPD […]” (§ 58).

Un altre aspecte rellevant de la sentència Dun & Bradstreet és el relatiu a com s’ha de proporcionar la informació segons l’article 15.1 de l’RGPD en el cas de decisions automatitzades. Per garantir que l’afectat pugui comprendre plenament la informació proporcionada pel responsable del tractament, aquest últim ha de prendre les mesures oportunes per facilitar les dades i la informació de manera concisa, transparent, intel·ligible i de fàcil accés, amb un llenguatge clar i senzill (§ 49). 

El TJUE declara: “Ni la mera comunicació d’una fórmula matemàtica complexa, com un algoritme, ni la descripció detallada de totes les etapes de l’adopció d’una decisió automatitzada compleixen aquests requisits, en la mesura en què cap d’aquestes modalitats es pot considerar una explicació prou concisa i intel·ligible.” (§ 59) Per contra, ”el responsable del tractament ha de trobar maneres senzilles d’informar l’interessat sobre la lògica subjacent o els criteris que s’han fet servir per arribar a la decisió automatitzada”. D’altra banda, l’RGPD exigeix que el responsable del tractament ofereixi informació significativa sobre la lògica aplicada en aquesta decisió, “no necessàriament una explicació complexa dels algoritmes utilitzats o la revelació de tot l’algoritme” (§ 60).

Així doncs, “la informació significativa sobre la lògica aplicada a decisions automatitzades, en virtut de l’article 15.1.h de l’RGPD, ha de descriure el procediment i els principis que s’han aplicat concretament de tal manera que l’interessat pugui comprendre quines de les seves dades personals s’han utilitzat i com s’han fet servir a l’hora d’adoptar la decisió automatitzada en qüestió” (§ 61). 

Finalment, quant a la interpretació de l’article 15.1.h de l’RGPD, el TJUE recorda que el dret d’accés es reconeix en l’article 15.1 (frase introductòria) i que aquest precepte garanteix a l’interessat que es pugui cerciorar de l’exactitud de les dades, tal com es desprèn de la jurisprudència (§ 63).

L’altra qüestió que resol el Tribunal és la relativa al conflicte entre el dret d’accés i els drets de tercers, tant si són dades personals com secrets comercials.

El TJUE assenyala que en aquests casos s’ha de dur a terme una ponderació entre els drets i les llibertats en qüestió i optar per modalitats de comunicació de dades que no vulnerin els drets o les llibertats d’altres persones, sense que això comporti la negativa a prestar informació a l’afectat (§ 72).

El TJUE conclou que, en el cas que el responsable del tractament consideri que la informació que s’ha de facilitar a l’interessat inclou dades de tercers o secrets comercials, “aquest responsable ha de comunicar tal informació suposadament protegida a l’autoritat de control o a l’òrgan jurisdiccional competent, als quals correspon ponderar els drets i els interessos en qüestió a l’efecte de determinar l’abast del dret d’accés de l’interessat previst en l’article 15 de l’RGPD” (§ 76).

En definitiva, la sentència Dun & Bradstreet Àustria suposa un pas endavant en la línia iniciada per la sentència SCHUFA Holding (Scoring) de proporcionar una interpretació àmplia del dret d’accés (article 15 de l’RGPD) en relació amb les decisions automatitzades (article 22 de l’RGPD).