MADRID, 27 (SERVIMEDIA)
El Tribunal de Justicia de la UE sentenció este jueves que los clientes a los que se les hace una evaluación crediticia automatizada y se toman decisiones en base a ella tienen derecho a saber cómo se ha tomado esa decisión.
En la sentencia, resuelve un caso que se da en Austria, donde un operador de telefonía móvil se negó a celebrar un contrato con una cliente por carecer esta de la solvencia suficiente. El operador se basaba en una evaluación crediticia de la cliente que había hecho de forma automatizada Dun & Bradstreet Austria, empresa especializada en la realización de este tipo de evaluaciones. El contrato habría conllevado el pago mensual de un importe de 10 euros.
Un órgano jurisdiccional austriaco declaró que Dun & Bradstreet había infringido el Reglamento general de protección de datos (RGPD) y estimó que no había facilitado a la cliente “información significativa sobre la lógica aplicada” para adoptar la decisión automatizada o, que, como mínimo, no había motivado suficientemente la imposibilidad de facilitar dicha información.
El órgano jurisdiccional se pregunta qué debe hacer Dun & Bradstreet concretamente a este respecto y el TJUE resolvió hoy que el responsable del tratamiento debe describir el procedimiento y los principios concretamente aplicados, de tal manera que el interesado pueda comprender cuáles de sus datos personales se han utilizado y cómo se han utilizado en la adopción de la decisión automatizada.
Para cumplir los requisitos de transparencia e inteligibilidad puede ser adecuado informar al interesado de la medida en que una variación de los datos personales tenidos en cuenta habría conducido a un resultado diferente, según el TJUE. En cambio, la mera comunicación de un algoritmo “no constituye una explicación suficientemente concisa y comprensible”.
Si el responsable del tratamiento considera que la información que debe facilitar incluye datos protegidos de terceros o secretos comerciales, debe comunicar la información supuestamente protegida a la autoridad de control o al órgano jurisdiccional competente.
El Tribunal de Justicia precisa que el reglamento sobre protección de datos se opone a la aplicación de una disposición nacional que excluye, en principio, el derecho de acceso del interesado, cuando dicho acceso comprometa un secreto comercial del responsable del tratamiento o de un tercero.
- Te recomendamos -
