El Tribunal de Justicia resuelve una cuestión prejudicial en las Sentencias dictadas en el asunto C-634/21 | SCHUFA Holding (Scoring) y en los asuntos acumulados C-26/22 y C-64/22 | SCHUFA Holding (Exoneración del pasivo insatisfecho) relativo al tratamiento de datos por parte de agencias de información comercial.
Mientras que el «scoring» solo está autorizado en determinadas circunstancias, la conservación prolongada de información relativa a la concesión de una exoneración del pasivo insatisfecho es contraria al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD)
Hechos
Varios ciudadanos impugnan ante el Tribunal de lo Contencioso-Administrativo de Wiesbaden (Alemania) la negativa del Delegado de Protección de Datos competente a tomar medidas contra determinadas actividades de SCHUFA, una agencia privada de información comercial cuyos clientes son principalmente bancos.
Concretamente, se oponen al «scoring» y a la conservación de información relativa a la concesión de una exoneración del pasivo insatisfecho tomada de registros públicos.
El «scoring» es un método estadístico matemático que permite establecer un pronóstico sobre la probabilidad de un comportamiento futuro, como el reembolso de un préstamo. La información relativa a la concesión de una exoneración del pasivo insatisfecho se conserva en el registro público de insolvencia alemán durante seis meses, mientras que el código de conducta de las agencias de información comercial alemanas establece un período de conservación de tres años en sus propias bases de datos.
El mencionado Tribunal de lo Contencioso-Administrativo solicita al Tribunal de Justicia que aclare cuál es el alcance de la protección de datos personales que estipula el RGPD
Cuestión prejudicial
El Tribunal de Justicia declara, en lo que se refiere al «scoring», declara que debe considerarse que este es una «decisión individual automatizada», en principio prohibida por el RGPD, siempre que los clientes de SCHUFA, como los bancos, le atribuyan un papel determinante en la concesión de créditos. Según el Tribunal de lo Contencioso-Administrativo de Wiesbaden, esto es lo que ocurre en este caso. Corresponde a dicho tribunal evaluar si la Ley federal de protección de datos alemana contempla, de conformidad con el RGPD, una excepción válida a esta prohibición.
Si así fuera, el mencionado tribunal tendrá que comprobar si se cumplen los requisitos generales para el tratamiento de datos establecidos en el RGPD.
En cuanto a la información relativa a la concesión de una exoneración del pasivo insatisfecho, el Tribunal de Justicia considera contrario al RGPD que las agencias privadas conserven dichos datos durante más tiempo que el registro público de insolvencia. En efecto, la exoneración del pasivo insatisfecho tiene por objeto permitir al beneficiario volver a participar en la vida económica y, por lo tanto, reviste una importancia vital para esa persona. Ahora bien, esta información siempre constituye un factor negativo a la hora de evaluar la solvencia de la persona de que se trate. En el presente asunto, el legislador alemán ha establecido un plazo de conservación de datos de seis meses. Por lo tanto, considera que, una vez transcurridos seis meses, los derechos y los intereses del interesado prevalecen sobre los intereses del público a disponer de esa información.
Puesto que la conservación de datos es ilícita, como sucede cuando han transcurrido más de seis meses, el interesado tiene derecho a que se supriman los mencionados datos y la agencia está obligada a suprimirlos sin dilación. En lo tocante a la conservación paralela de dicha información por SCHUFA durante seis meses, corresponde al Tribunal de lo Contencioso-Administrativo ponderar los intereses en juego con el fin de apreciar su licitud.
Si dicho Tribunal debiera concluir que es lícita la conservación paralela durante seis meses, el interesado seguirá teniendo derecho a oponerse al tratamiento de sus datos y a que se supriman, a menos que SCHUFA acredite que existen motivos legítimos imperiosos. Por último, el Tribunal de Justicia subraya que los órganos jurisdiccionales nacionales deben poder ejercer un control pleno sobre cualquier decisión jurídicamente vinculante de una autoridad de control.
Fuente: Comunicado de Prensa nº 186/23
Documentos relacionados
Artículos doctrinales
- Protección de datos en Europa. Origen, evolución y regulación actual. Año 2021. Escrito por Lucrecio Rebollo
- Aproximación al derecho a la protección de datos personales en Europa. El reglamento general de protección de datos personales a debate. Revista de Derecho, Empresa y Sociedad (REDS). Núm 8, Enero 2016. Escrito por Ana Isabel Herrán Ortiz. Profesora Titular de Derecho Civil en Universidad de Deusto
Legislación
- Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002 relativa al tratamiento de datos personales y a la protección de la intimidad en el sector de las Comunicaciones electrónicas.
- Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales. (Ley Orgánica 3/2018, de 5 de diciembre)
- Tratado de la Unión Europea
- Tratado de Funcionamiento de la Unión Europea
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos
