La STJUE de 27 de febrero de 2025, Dun & Bradstreet Austria, C-203/22

En la sentencia del TJUE de 27 de febrero de 2025, Dun & Bradstreet Austria, C-203/22, EU:C:2025:117, el Tribunal resuelve un caso relativo a una evaluación crediticia realizada de forma automatizada que tuvo consecuencias relativas a la posibilidad de contratar por parte del afectado. 

El tema de este tipo de evaluaciones ya había sido tratado por la sentencia del TJUE en el litigio SCHUFA Holding (Scoring), en cuyo caso el Tribunal optó por una interpretación amplia de decisión automatizada y reforzó el derecho de acceso del interesado. 

En el caso Dun & Bradstreet Austria, el TJUE analiza de forma pormenorizada el derecho de acceso (art. 15 RGPD) y concretamente qué debe entenderse por información significativa sobre la lógica aplicada y proporciona criterios sobre cómo resolver los conflictos existentes entre el derecho de acceso y datos personales o secretos comerciales de un tercero. 

El litigio tiene su origen en la denegación al afectado (CK) de la posibilidad de celebrar un contrato de telefonía móvil debido a la valoración crediticia negativa efectuada por la empresa de evaluación Dun & Bradstreet Austria (D&B). CK recurrió ante la Autoridad de protección de datos y solicitó que D&B fuera compelida a proporcionar información significativa sobre la lógica aplicada en la elaboración de su perfil; quería comprender cómo se había determinado el pronóstico sobre probabilidad de su comportamiento futuro (score) en cuanto al pago de sus obligaciones. D&B alegó que por razones de secreto comercial no podía proporcionar más información. 

El caso llegó a un Tribunal contencioso administrativo austríaco que planteó múltiples cuestiones prejudiciales. Estas giran alrededor de dos ejes. Por un lado, la interpretación que debe darse al art. 15.1.h) RGPD y, por otro, cómo solucionar los conflictos que puedan surgir entre el ejercicio del derecho de acceso y el derecho a la protección de datos o de secretos comerciales de terceros.

En cuanto a la primera cuestión, el TJUE recuerda que el derecho de acceso reconocido en el art. 15 RGPD debe permitir al interesado cerciorarse de que los datos personales que le conciernen son exactos y de que son tratados lícitamente. Este derecho es necesario para permitir al interesado ejercer, en su caso, otros derechos como el de rectificación, supresión, limitación al tratamiento o de oposición. También el derecho a recurrir y a obtener una indemnización (§ 54).

Así mismo, en el contexto de las decisiones basadas exclusivamente en un tratamiento automatizado, la finalidad principal de obtener la información ex art. 15.1.h) RGPD es la de permitir ejercer al afectado, de manera eficaz, los derechos ex art. 22.3 RGPD: expresar su punto de vista sobre la decisión e impugnarla (§ 55). Es más, tener la información que dispone el art. 15.1.h) RGPD es el presupuesto para poder ejercer los derechos ex art. 22.3 RGPD (§ 56).

Por ello, el TJUE considera (siguiendo al Abogado General) que el art. 15.1.h) RGPD ofrece al interesado un genuino derecho a una explicación sobre el funcionamiento del mecanismo aplicado en la adopción de una decisión automatizada de la que ha sido objeto y sobre el resultado al que ha llevado dicha decisión (§ 57).

En cuanto a la interpretación concreta que debe darse al art. 15.1.h) RGPD, el TJUE establece que el derecho a obtener «información significativa sobre la lógica aplicada», “debe entenderse como un derecho a la explicación del procedimiento y de los principios concretamente aplicados para explotar, de forma automatizada, los datos personales del interesado con el fin de obtener un resultado determinado, como un perfil de solvencia. Ello debe permitir al interesado ejercer de manera eficaz los derechos que le reconoce el RGPD […]” (§ 58).

Otro aspecto relevante de la sentencia Dun & Bradstreet es el relativo a cómo debe proporcionarse la información en base al art. 15.1 RGPD en el caso de decisiones automatizadas. Para garantizar que el afectado pueda comprender plenamente la información proporcionada por el responsable del tratamiento, este último debe tomar las medidas oportunas para facilitar los datos y la información de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo (§ 49). 

Declara el TJUE: “Ni la mera comunicación de una fórmula matemática compleja, como un algoritmo, ni la descripción detallada de todas las etapas de la adopción de una decisión automatizada cumple tales requisitos, en la medida en que ninguna de estas modalidades puede considerarse una explicación suficientemente concisa e inteligible” (59). Por el contrario, “el responsable del tratamiento debe hallar formas sencillas de informar al interesado acerca de la lógica subyacente o los criterios utilizados para llegar a la decisión automatizada. Por otra parte, el RGPD exige que el responsable del tratamiento ofrezca información significativa sobre la lógica aplicada a esta decisión, «no necesariamente una compleja explicación de los algoritmos utilizados o la revelación de todo el algoritmo»” (§ 60).

Así pues, “la «información significativa sobre la lógica aplicada» a decisiones automatizadas, ex art. 15.1.h) RGPD, debe describir el procedimiento y los principios concretamente aplicados de tal manera que el interesado pueda comprender cuáles de sus datos personales se han utilizado y cómo se han utilizado en la adopción de la decisión automatizada en cuestión […]” (§ 61). 

Por último, en cuanto a la interpretación del art. 15.1.h) RGPD, el TJUE recuerda que el derecho de acceso se reconoce en el art. 15.1 (frase introductoria) y que este precepto garantiza al interesado que pueda cerciorarse de la exactitud de los datos, tal y como se desprende de la jurisprudencia (§ 63).

La otra cuestión que resuelve el Tribunal es la relativa al conflicto entre el derecho de acceso y los derechos de terceros, ya sean datos personales o bien secretos comerciales.  

Señala el TJUE que en estos casos debe llevarse a cabo una ponderación entre los derechos y libertades en cuestión y optar por modalidades de comunicación de datos que no vulneren los derechos o libertades de otros, sin que ello comporte la negativa a prestar información al afectado (§ 72).

Concluye el TJUE que en el supuesto de que el responsable del tratamiento considere que la información que ha de facilitarse al interesado incluye datos de terceros o secretos comerciales, “ese responsable debe comunicar tal información supuestamente protegida a la autoridad de control o al órgano jurisdiccional competente, a los que corresponde ponderar los derechos e intereses en cuestión a efectos de determinar el alcance del derecho de acceso del interesado previsto en el artículo 15 del RGPD” (§ 76).

En definitiva, la sentencia Dun & Bradstreet Austria supone un paso adelante en la línea iniciada por la sentencia SCHUFA Holding (Scoring) de proporcionar una interpretación amplia del derecho de acceso (art. 15 RGPD) en relación con las decisiones automatizadas (art. 22 RGPD).