Editoral

Isabel Espín Alba

Data protection, artificial intelligence, credit scoring: latest judicial and regulatory developments
Protección de datos, inteligencia artificial, score crediticio: últimos movimientos judiciales y normativos

Las primeras iniciativas normativas en el seno de la Unión Europea relativas a la inteligencia artificial (IA) parecen seguir la tendencia de tratar la cuestión de los sesgos algorítmicos como un riesgo sistémico para los derechos fundamentales -tanto en su dimensión individual como colectiva- al que se está aplicando el principio de precaución o cautela y la extensión de los conceptos de transparencia, responsabilidad proactiva (accountability) y explicabilidad, mientras se interfiere tímidamente en la esfera de los derechos individuales relacionados con el hecho discriminatorio denunciado, habida cuenta de las dificultades técnicas para encajar el fenómeno en las categorías propias del derecho privado.
En sede de los múltiples desafíos a los que se enfrenta el derecho de contratos, en la intersección entre las esferas del derecho del consumo, la protección de datos personales como derecho fundamental, la prohibición de los sesgos discriminatorios y la tutela de los secretos comerciales, emerge la cuestión del score crediticio, entendido como las puntuaciones establecidas por las entidades financieras para el acceso al crédito. 
Sobre esta última temática, en un escenario cambiante de las cuestiones relativas a la protección de datos y la toma de decisiones automatizadas, quiero compartir con los lectores de la Revista RED, sin un análisis más profundo, algunos movimientos judiciales y normativos referidos a la cuestión de la evaluación de la solvencia de los consumidores, por medio de la utilización de herramientas de IA, puesto que presentan implicaciones significativas tanto para los consumidores como para las empresas e industrias que dependen de la IA para la toma de decisiones.
En primer lugar, es preciso tener en cuenta la labor interpretativa del Tribunal de Justicia de la Unión Europea (TJUE) sobre la aplicación del Reglamento (UE) 2016/679 de 27 de abril de 2016 (RGPD). 
Es cierto que el enfoque de la protección de datos hunde sus raíces en el carácter individual de protección de la privacidad y la falta de homogeneidad de los datos utilizados para alimentar los procesos de toma de decisiones, siendo insuficiente para dar respuestas a la discriminación algorítmica. El RGPD fue diseñado para datos personales proporcionados directamente por el interesado y no para datos inferidos por tecnologías digitales como los sistemas de IA y de la más variada naturaleza, personales o no, articulando un sistema sobre la base de un derecho individual a obtener información sobre las decisiones íntegramente automatizadas. 
Con todo, en el estado actual de la cuestión, es un cuerpo normativo robusto, con un amplio recorrido práctico, de modo que la interpretación de su articulado ofrece pautas de interés, principalmente porque el RGPD aporta un concepto de “elaboración de perfiles” (artículo 4.4) y, asimismo, contiene una prohibición general de toma de decisiones basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles (artículo 22.1). 
Por todo ello, es preciso considerar como de especial interés la STJUE de 7 de diciembre de 2023, asunto C-634/21, caso SCHUFA (ECLI:EU:C:2023:220), que proviene de un litigio entre “OQ”, una persona física, y el Land Hessen, representado por el Delegado de protección de datos y de Libertad de información del Estado federado de Hesse (“HBDI”). 
El conflicto subyacente tiene lugar cuando SCHUFA Holding AG (“SCHUFA”), una sociedad de Derecho privado dedicada a proporcionar a sus clientes información acerca de la solvencia de terceros, facilitó a una entidad de crédito un score relativo a la demandante que sirvió de base para la denegación del crédito que esta había solicitado. “OQ”, entonces, solicitó a SCHUFA que le diera acceso a los datos correspondientes y que suprimiera el registro. En respuesta a la petición, la empresa comunicó el porcentaje del score y, de manera general, los principios que subyacían al método de cálculo, sin proporcionar información sobre los datos concretos que se habían tenido en cuenta en ese cálculo ni sobre la pertinencia que se les atribuía en este contexto, alegando que el método de cálculo constituía un secreto comercial.
Al considerar que no atendieron correctamente a su solicitud, la persona afectada presentó una queja ante la autoridad alemana de protección de datos, solicitando que ordenase a SCHUFA el envío de la información requerida sobre la lógica involucrada en los cálculos, así como sobre la importancia y consecuencia del tratamiento de los datos. Como no se tomaron las medidas solicitadas, la interesada recurrió a la vía contenciosa. 
En octubre de 2021, el Tribunal de lo Contencioso-Administrativo de Wiesbaden decidió suspender el procedimiento y remitir al Tribunal de Justicia de la Unión Europea (TJUE) dos cuestiones sobre la interpretación del artículo 22 RGPD, en vista de que la persona afectada alegaba que la negativa de SCHUFA es contraria al régimen de protección de datos. 
En lo que aquí interesa, la primera cuestión prejudicial planteada por el órgano jurisdiccional remitente pregunta si el cálculo de un score efectuado por una agencia de información crediticia está comprendido en el ámbito de aplicación del artículo 22.1 RGPD cuando el score obtenido se comunique a una empresa que lo utilice de manera determinante para adoptar una decisión relativa al establecimiento, la ejecución o la extinción de una relación contractual con el interesado. 
El TJUE, en la línea marcada por el Abogado General Pikamäe, entiende que el RGPD consagra un “derecho” del interesado a no ser objeto de una decisión basada únicamente en un tratamiento automatizado, incluida la elaboración de perfiles. Indica que, en el caso, se cumplen los requisitos para el ejercicio de ese derecho, puesto que el procedimiento en cuestión supone una “elaboración de perfiles” y la decisión produce efectos jurídicos en el interesado o le afecta significativamente de modo similar. Asimismo, considera que la decisión se basa únicamente en un tratamiento automatizado.
Es decir, la propia elaboración del score por SCHUFA ya es una “decisión individual automatizada”, a los efectos del artículo 22 RGPD, aunque la decisión final del concesión o denegación del crédito se realice formalmente por la entidad crediticia que haya encargado el score. 
La sentencia, sin embargo, no aclara la extensión de la explicabilidad, debido a la necesidad de proteger los secretos comerciales. En concreto, exhortó al órgano jurisdiccional remitente a que indicase si deseaba mantener su petición de decisión prejudicial, a lo que este último respondió afirmativamente, puesto que entendió que no respondía a sus preguntas relativas, en particular, a la forma de resolver la tensión entre los derechos del interesado a la protección de sus datos personales y los intereses del responsable del tratamiento relativos a la protección de los secretos comerciales y, tampoco, el nivel de detalle exigido a la “información significativa sobre la lógica aplicada” en la adopción de una decisión automatizada, en el sentido del artículo 15.1. h) RGPD.
Precisamente, en este punto, estamos a la espera de la Sentencia en el Asunto C‑203/22 (Petición de decisión prejudicial planteada por el Verwaltungsgericht Wien, Austria, el 16 de marzo de 2022), en el que las Conclusiones presentadas por el Abogado General Jean Richard de la Tour, el pasado 12 de septiembre de 2024 (CELEX:62022CC0203) aborda los temas del alcance del concepto de “información significativa sobre la lógica aplicada” y cómo tal información que permite al interesado ejercer sus derechos, en particular, ex artículo 22 RGPD.
Los hechos descritos en el litigio principal se refieren a la denegación de acceso a un contrato de telefonía, como consecuencia de una evaluación crediticia negativa realizada de modo automatizado por una empresa. La primera cuestión prejudicial se refiere a los requisitos de contenido que ha de satisfacer la información facilitada para que se considere suficientemente “significativa” en el sentido del artículo 15.1. h) RGPD y las Conclusiones van en la línea de una revelación limitada, de tal manera que: (i) cuando un interesado sea objeto de una toma de decisiones automatizada, incluida la elaboración de perfiles, a que se refiere el artículo 22 RGPD, la “información significativa sobre la lógica aplicada” en esa toma de decisiones automatizada a la que dicho interesado tenga derecho de acceso se referirá al método y a los criterios utilizados por el responsable del tratamiento a tal fin; (ii) esta información debe permitir al interesado ejercer los derechos que le garantiza el RGPD y, en particular, el artículo 22. Por lo tanto, debe ser concisa, fácilmente accesible y fácil de entender, con un lenguaje claro y sencillo. Además, esta información debe ser suficientemente completa y estar suficientemente contextualizada para permitir al interesado verificar su exactitud y si existen una coherencia y una relación de causalidad objetivamente verificables entre, por una parte, el método y los criterios utilizados y, por otra, el resultado al que ha llegado la decisión automatizada en cuestión; (iii) por el contrario, el responsable del tratamiento no está obligado a revelar al interesado información que, por su carácter técnico, es de una complejidad tal que no puede ser comprendida por personas que no tengan conocimientos técnicos particulares, lo que permite excluir los algoritmos utilizados en la toma de decisiones automatizada; (iv) cuando la información que debe facilitarse al interesado en virtud del derecho de acceso garantizado por el artículo 15, apartado 1, letra h), del Reglamento 2016/679 pueda dar lugar a una vulneración de los derechos y libertades de otros, en particular por contener datos personales de terceros protegidos por ese Reglamento o bien un secreto comercial, en el sentido del artículo 2, párrafo primero, punto 1, de la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas, dicha información debe comunicarse a la autoridad de control o al órgano jurisdiccional competentes para que, con pleno conocimiento de causa y respetando el principio de proporcionalidad, así como la confidencialidad de la referida información, puedan efectuar una ponderación entre los intereses en juego y determinar el alcance del derecho de acceso que debe concederse a esa persona.
Con el esperado fallo del Asunto C‑203/22, el TJUE completará el razonamiento desarrollado en el caso SCHUFA precisando el alcance del derecho de acceso garantizado por las disposiciones analizadas.
Ahora bien, examinada la acción del TJUE, en segundo lugar, en lo que concierne a la actividad normativa comunitaria, dos novedades merecen ser mencionadas.
Por un lado, el Reglamento (UE) 2024/1689 de 13 de junio de 2024 por el que se establecen normas armonizadas en materia de Inteligencia Artificial (RIA) considera de alto riesgo los sistemas de IA destinados a ser utilizados para evaluar la solvencia de personas físicas o establecer su calificación crediticia, salvo los sistemas de IA utilizados al objeto de detectar fraudes financieros [Anexo III, 5 b)]. Explica en el Considerando 54 que “deben clasificarse como de alto riesgo los sistemas de IA usados para evaluar la calificación crediticia o solvencia de las personas físicas, ya que deciden si dichas personas pueden acceder a recursos financieros o servicios esenciales como la vivienda, la electricidad y los servicios de telecomunicaciones. Los sistemas de IA usados con esos fines pueden discriminar a determinadas personas o colectivos y perpetuar patrones históricos de discriminación, como por motivos de origen racial o étnico, género, discapacidad, edad u orientación sexual, o generar nuevas formas de discriminación. No obstante, los sistemas de IA previstos por el Derecho de la Unión con vistas a detectar fraudes en la oferta de servicios financieros y, a efectos prudenciales, para calcular los requisitos de capital de las entidades de crédito y las empresas de seguros no deben considerarse de alto riesgo en virtud del presente Reglamento”, con las consecuentes obligaciones desarrolladas en el RIA. 
Asimismo, en un marco más específico de reordenación de los servicios financieros en la Unión Europea, es preciso traer a colación la Directiva (UE) 2023/2225 del Parlamento Europeo y del Consejo, de 18 de octubre de 2023, relativa a los contratos de crédito al consumo y por la que se deroga la Directiva 2008/48/CE (DCC), que establece como uno de los objetivos principales mejorar tanto el mercado interior del crédito al consumo como la protección del consumidor en este tipo de contratos, tratando de evitar el sobreendeudamiento excesivo.
En esa línea, uno de los instrumentos destacados en la DCC es la evaluación de la solvencia del consumidor, a los efectos de prevenir y/o reducir el crédito irresponsable, fuente de endeudamiento excesivo y altos riesgos de impago. Ante una evaluación negativa de la solvencia, el prestamista no pondrá el crédito a disposición del consumidor hasta que el resultado de la evaluación de solvencia indique que es probable que las obligaciones derivadas del contrato de crédito se cumplan en la forma requerida en dicho contrato (artículo 18.6 DCC).
A la vista de que, en la evaluación de la solvencia, el prestamista podrá utilizar el procesamiento automatizado de datos personales, el artículo 18.8 DCC matiza el artículo 22 RGPD y atribuye al consumidor frente al prestamista el derecho a: a) solicitar y obtener del prestamista una explicación clara y comprensible de la evaluación de solvencia, incluida la lógica y los riesgos que implica el tratamiento automatizado de datos personales, así como su significado y sus efectos en la decisión, superando las dudas sobre el reconocimiento de ese derecho ex art. 22 RGPD; b) expresar el punto de vista propio del consumidor al prestamista, en la línea de la salvaguarda del Considerando 71 RGPD, y c) solicitar una revisión de la evaluación de solvencia y la decisión sobre la concesión del crédito por parte del prestamista, aunque el proprio Considerando 56 DCC advierte de que “La posibilidad de solicitar una revisión de la evaluación inicial y de la decisión no debe conducir necesariamente a la concesión de crédito al consumidor”. 

[Isabel Espín Alba  is a Full Professor at the Univerty of  Santiago de Compostela, Spain]