Las infracciones contra el Reglamento General de Protección de Datos (RGPD) pueden resultar costosas. Esto lo tuvo que experimentar ahora también un banco directo que debe pagar una multa de 300.000 euros.
El Reglamento General de Protección de Datos – conocido como RGPD – no es un tigre de papel sin dientes. Cada vez más empresas deben descubrir esto, ya que son sancionadas por infracciones al RGPD. Las autoridades están obligadas a imponer sanciones que sean notables, según la firma de abogados de economía MTR Legal Rechtsanwälte, que asesora, entre otros, en derecho informático y protección de datos.
En el caso presente, el Comisionado de Berlín para la Protección de Datos y la Libertad de Información (BInBDI) impuso una multa a un banco debido a la falta de transparencia en las decisiones automatizadas. Se refieren a decisiones tomadas por un sistema informático basado en algoritmos sin intervención humana. Según el RGPD, para tales mecanismos se aplican obligaciones especiales de transparencia que el banco no cumplió.
En concreto, se trataba de una solicitud de crédito que el banco procesó basándose en algoritmos. En este proceso, el solicitante debe proporcionar, entre otros, información sobre empleo, ingresos y datos personales. El algoritmo tomó una decisión automatizada basándose en estos y otros datos y rechazó la solicitud sin más explicación. El cliente se sorprendió por el rechazo, ya que dispone de ingresos altos regulares y una buena puntuación de crédito. Por ello, preguntó al banco por qué había sido rechazado.
Sin embargo, el banco solo proporcionó información general sobre el procedimiento de puntuación, sin abordar el caso individual. Por lo tanto, el cliente no pudo comprender en base a qué datos y factores su solvencia fue evaluada como baja y su solicitud fue rechazada. Sin embargo, su queja ante el Comisionado de Protección de Datos de Berlín tuvo éxito.
En caso de decisiones automatizadas, las empresas están obligadas a justificarlas de manera fundamentada y comprensible. El banco debía haber informado sobre las razones esenciales del rechazo. Sin embargo, tampoco lo hizo de forma transparente y comprensible a petición. Por tanto, según el Comisionado de Protección de Datos, esto contravino el Art. 22.3, Art. 5.1 letra a y Art. 15.1 letra h del RGPD.
MTR Legal Rechtsanwälte asesoran en cuestiones de derecho informático y protección de datos.
Tome contacto ¡con nosotros!➤ Abogado de Derecho Informático – ¡infórmese más ahora!
