Antecedentes
En Austria, un operador de telefonía móvil se negó a celebrar un contrato con una cliente por carecer ésta de la solvencia suficiente. El operador se basaba a este respecto en una evaluación crediticia de la cliente que había hecho de forma automatizada una empresa especializada en la realización de este tipo de evaluaciones. El contrato habría conllevado el pago mensual de un importe de 10 euros.
Cuestión prejudicial
Mediante resolución definitiva dictada en el contexto del litigio que se siguió, un órgano jurisdiccional austriaco declaró que la empresa especializada había infringido el Reglamento general de protección de datos (RGPD). En efecto, estimó que la empresa especializada no había facilitado a la cliente «información significativa sobre la lógica aplicada» a la adopción de la decisión automatizada en cuestión o, que, como mínimo, no había motivado suficientemente la imposibilidad de facilitar dicha información.
El órgano jurisdiccional que conoce de la solicitud de ejecución forzosa de esa resolución judicial, presentada por la cliente, se pregunta qué debe hacer la empresa especializada concretamente a este respecto. Por ello, ha pedido al Tribunal de Justicia que interprete el RGPD y la Directiva relativa a la protección de los secretos comerciales.
Resolución del Tribunal de Justicia de la Unión Europea
Según el Tribunal de Justicia, el responsable del tratamiento debe describir el procedimiento y los principios concretamente aplicados de tal manera que el interesado pueda comprender cuáles de sus datos personales se han utilizado y cómo se han utilizado en la adopción de la decisión automatizada.
Para cumplir los requisitos de transparencia e inteligibilidad puede ser adecuado, en particular, informar al interesado de la medida en que una variación de los datos personales tenidos en cuenta habría conducido a un resultado diferente. En cambio, la mera comunicación de un algoritmo no constituye una explicación suficientemente concisa y comprensible.
En el supuesto de que el responsable del tratamiento considere que la información que ha de facilitar incluye datos protegidos de terceros o secretos comerciales, debe comunicar la información supuestamente protegida a la autoridad de control o al órgano jurisdiccional competente. Corresponde a estos ponderar los derechos e intereses en cuestión a efectos de determinar el alcance del derecho de acceso del interesado a la referida información.
A este respecto, el Tribunal de Justicia precisa que el RGPD se opone a la aplicación de una disposición nacional que excluye, en principio, el derecho de acceso del interesado, cuando dicho acceso comprometa un secreto comercial del responsable del tratamiento o de un tercero.
Fuente: Tribunal de Justicia de la Unión Europea
Documentos relacionados
Prácticos
- Régimen jurídico de los procedimientos en materia de protección de datos. Práctico Protección de Datos de Carácter Personal y Garantía de Derechos Digitales (Noviembre 2024). Escrito por Alberto Palomar (Magistrado de lo Contencioso-Administrativo) y Francisco Javier Fuertes (Magistrado).
Artículos Doctrinales
- Aproximación al derecho a la protección de datos personales en Europa. El reglamento general de protección de datos personales a debate. Revista de Derecho, Empresa y Sociedad (REDS). (ISSN:2340-4647). Núm, 8, Enero 2016. Escrito por Ana Isabel Herrán Ortiz. Profesora Titular de Derecho Civil. Universidad de Deusto.
Legislación
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
- Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas
Webinars
- Personal Data Protection in EU Data Spaces. European Webinars (2024). Malte Beyer-Katzenberger. Responsable de políticas en la Comisión Europea
