Notas del editor: los puntos de vista expresados en la siguiente opinión son únicamente los del autor y no representan necesariamente los puntos de vista u opiniones de Uber o cualquiera de sus subsidiarias, afiliados o empleados.
Resulta interesante analizar las implicancias de un reciente fallo del Tribunal de Justicia de la Unión Europea (TJUE, por sus siglas) acerca de las decisiones basadas en el tratamiento automatizado de datos personales. Especialmente, a propósito de su regulación en el proyecto de ley sobre protección de datos personales en Chile (en adelante «el Proyecto»), actualmente en tramitación.
El fallo del TJUE analiza el alcance del artículo 22 del Reglamento General de Protección de Datos (RGPD), norma que es replicada de manera similar en el artículo 8 bis del Proyecto, por lo que, su interpretación puede ayudar a dilucidar el alcance y aplicabilidad de esta norma en Chile, teniendo importantes efectos respecto de las empresas encargadas de crear perfiles de riesgo crediticio.
En el fallo del TJUE en el caso SCHUFA (C-634/2021, sentencia de 7 de diciembre de 2023), el tribunal, al responder una cuestión prejudicial presentada por el Tribunal de Wiesbaden, Alemania, extiende la aplicabilidad del artículo 22 del RGPD a las entidades que elaboran perfiles de riesgo mediante un sistema de puntuación basado en probabilidades, conocidos como scoring de riesgo. Estas puntuaciones, a su vez, son utilizadas por instituciones financieras en sus procesos de evaluación de clientes. Es decir, el simple hecho de elaborar una puntuación de riesgo, según el TJUE, sería una decisión automatizada, en la medida que sea determinante para que un tercero, al que se transmite, establezca, ejecute o ponga fin a una relación contractual.
La consulta elevada al TJUE, deriva de la negativa a la entrega de información por parte de una agencia que elabora scoring de riesgo—SCHUFA Holding AG (SCHUFA)—ante una solicitud de acceso y supresión de parte de un ciudadano alemán a quien habrían negado un crédito basado precisamente en la información crediticia negativa facilitada por SCHUFA. Aunque SCHUFA, como señala el fallo, «informó a OQ sobre su calificación y expuso, a grandes rasgos, los métodos de cálculo… se negó a divulgar los distintos datos que había tenido en cuenta a efectos de dicho cálculo, así como su ponderación», alegando secretos comerciales.
El artículo 22 del RGPD señala en su apartado 1, «todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar». De acuerdo con el TJUE, se desprenden tres requisitos cumulativos para que una actividad se encuentre regulada por esta norma. Primero, que exista una decisión, segundo, que ésta esté basada «únicamente en el tratamiento automatizado, incluida la elaboración de perfiles», y, finalmente que la decisión tenga efectos jurídicos en el interesado o «le afecte significativamente de modo similar».
Alcance del concepto de «decisión» a la luz del artículo 8 bis del Proyecto.
Me enfocaré en la interpretación que hace el TJUE sobre el primer requisito, es decir, el alcance del concepto de decisión, por las posibles consecuencias que puede traer. El TJUE entiende que el simple hecho de producir un valor de probabilidad o scoring, puede constituir por sí mismo una decisión individual automatizada conforme al artículo 22 del RGPD. En su análisis, el TJUE amplía el concepto de «decisión», incluyendo no solamente a empresas que directamente están involucradas en el otorgamiento de créditos, y que por lo tanto serían las que en efecto «toman la decisión», sino que también a aquellas empresas dedicadas a suministrar los informes de scoring de riesgo. El TJUE sustenta esta interpretación en el considerando 71 del RGPD, que confirma que el concepto de decisión tiene un alcance amplio, puesto que comprende no solamente medidas que produzcan efectos jurídicos directos en el interesado, sino que también aquellas que lo «afecten de modo similar», como podría ser el caso de la generación de una puntuación de riesgo negativo. Este considerando señala como ejemplos de estas medidas, «la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna».
Esta interpretación podría llenar un vacío existente en el RGPD, considerando las posibles consecuencias de la extensión del concepto de decisión.
En primer lugar, las empresas que elaboran scorings de riesgo de crédito deberán cumplir con los requisitos establecidos en el artículo 22 cuando sus informes sean determinantes en las decisiones de terceros a quienes se transmiten. Esta norma en principio prohíbe la toma de decisiones basadas únicamente en tratamiento automatizado de datos, salvo que estén justificadas de conformidad con los requisitos contenidos en su apartado 2. Es decir, que la decisión sea necesaria para la celebración o la ejecución de un contrato, la actividad se encuentre autorizada por el derecho interno del país donde opere la empresa respectiva o de la UE, o bien, se cuente con el consentimiento expreso del interesado. Asimismo, las empresas deberán tomar medidas para resguardar los derechos y libertades del interesado. Además, en el caso de que la utilización de estos sistemas sea necesario para la celebración de un contrato o previo consentimiento del interesado, estas medidas, como mínimo, deberán contemplar la intervención humana para que éstos puedan revisar o impugnar las decisiones.
Una situación similar podría darse en caso de que en Chile se siguiera la misma interpretación respecto del artículo 8 bis del Proyecto, e incluso con un alcance mayor, ya que, a diferencia del artículo 22 del RGPD, el artículo 8 bis del Proyecto no establece el que la decisión deba estar basada «únicamente» en el tratamiento automatizado de datos. El inciso primero de esta norma señala que «el titular de datos tiene derecho a oponerse y a no ser objeto de decisiones basadas en el tratamiento automatizado de sus datos personales, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente.» En consecuencia, bastaría que el tratamiento automatizado fuese uno de los elementos considerados en la decisión para que sea aplicable el derecho a oponerse del artículo 8 bis.
Por otra parte, la interpretación del TJUE implica que a estas empresas de scoring se les podrán aplicar otras obligaciones contenidas en el RGPD, como la de otorgar información sobre las metodologías que utilizan para generar sus modelos predictivos. En específico, el derecho al acceso a información de los interesados del artículo 15 letra h del RGPD, pudiendo requerírseles información sobre la lógica utilizada en la toma de decisiones automatizadas o en la creación de perfiles. Este derecho al acceso a información, también está contemplado en el Proyecto, en su artículo 5 letra f, que se refiere al derecho del titular a solicitar información «significativa sobre la lógica aplicada en el caso de que el responsable realice tratamiento de datos de conformidad con el artículo 8 bis».
En conclusión, si se aplicara una interpretación similar a la del TJUE, es decir, ampliando el alcance del concepto de decisión, y por ende extendiendo la aplicabilidad del artículo 8 bis a entidades que elaboran los perfiles de riesgo de crédito, aunque no sea el único instrumento ponderado, ni determinante para la decisión de un tercero, los consumidores en Chile podrían, primero, oponerse a que estas empresas realicen el tratamiento automatizado de sus datos, salvo que sea necesario para el cumplimiento de un contrato, se cuente con consentimiento previo y expreso del titular, o lo autorice la ley, y por otra parte, podrían requerir directamente de estas empresas información sobre cómo se elaboran sus scoring y las lógicas de ponderación utilizadas.