El reciente fallo del Tribunal de Justicia de la Unión Europea (TJUE) en el caso contra SCHUFA Holding AG se presenta como un hito fundamental en la interpretación y aplicación del Reglamento General de Protección de Datos (RGPD), especialmente en lo que respecta al artículo 22. Este artículo prohíbe las decisiones basadas únicamente en el tratamiento automatizado de datos, incluida la elaboración de perfiles, que tengan efectos significativos en los individuos, a menos que se cumplan ciertas condiciones, como obtener el consentimiento explícito del interesado.
El caso abordó la práctica de SCHUFA de generar scores de solvencia económica de individuos mediante algoritmos automatizados, los cuales eran utilizados luego por entidades financieras para tomar decisiones contractuales. El núcleo del debate se centró en si esta práctica vulneraba los derechos de los individuos al no permitirles entender o impugnar las decisiones basadas en dichos scores.
El fallo del TJUE subraya la importancia de la transparencia y el derecho de los individuos a ser informados sobre el tratamiento automatizado de sus datos.EL TJUE entiende que un valor de probabilidad a partir de datos personales relativos a una persona y acerca de la capacidad de esta para hacer frente a compromisos de pago en el futuro constituye una «decisión individual automatizada», en el sentido de la mencionada disposición, cuando de ese valor de probabilidad dependa de manera determinante que un tercero, al que se comunica dicho valor, establezca, ejecute o ponga fin a una relación contractual con esa persona. Además, reafirma la necesidad de proporcionar a las personas afectadas acceso a la lógica involucrada en el proceso de toma de decisiones y el impacto potencial de este tratamiento en sus vidas. Este enfoque garantiza que los avances tecnológicos y el uso de algoritmos en la toma de decisiones no comprometan los derechos fundamentales de privacidad y protección de datos personales establecidos por el RGPD.
Este fallo representa un recordatorio crítico para las empresas y organizaciones de la necesidad de diseñar sus sistemas de tratamiento de datos de manera que respeten los derechos de las personas. Implica también un llamado a la adopción de prácticas más transparentes y responsables en el uso de tecnologías automatizadas, asegurando que los individuos no solo estén informados sobre cómo se utilizan sus datos, sino que también tengan la capacidad de cuestionar y rectificar decisiones que les afecten directamente.