Las empresas deben tener en cuenta las consecuencias del fallo del TJUE
El TJUE dictó, en su fallo del 7 de diciembre de 2023, que el puntaje de la Schufa no debe ser el único criterio determinante para la solvencia (As. C-634/21). El fallo no solo tiene efectos positivos para los consumidores, sino también una gran relevancia para las empresas, que deben examinar si sus decisiones sobre la conclusión de contratos son conformes con la ley de protección de datos o si su práctica anterior podría violar las disposiciones del Reglamento General de Protección de Datos (GDPR).
Casi todos han tenido contacto con la agencia de crédito Schufa, a menudo sin darse cuenta. Esto sucede porque antes de que un banco otorgue un préstamo, se firmen contratos de telefonía móvil, se cambie de proveedor de electricidad, etc., se suelen solicitar a agencias de crédito como la Schufa información sobre la solvencia crediticia. Un mal puntaje de crédito puede resultar en la denegación de un contrato o un crédito. El Tribunal de Justicia de la Unión Europea ha decidido ahora que esta práctica habitual no es permisible y también constituye una violación del GDPR. Esto también afecta a las empresas que han tomado decisiones basadas en tal puntaje de crédito, señala el despacho de abogados MTR Legal, que asesora, entre otras cosas, en derecho informático.
El valor del puntaje representa la solvencia
En el llamado scoring, se verifica la solvencia de un consumidor mediante un procedimiento matemático-estadístico. Cuanto peor sea el valor de puntaje calculado, más difícil será para la persona afectada obtener un crédito o firmar el contrato deseado. El tribunal administrativo de Wiesbaden quería saber del TJUE si este procedimiento es permisible y planteó a los jueces en Luxemburgo las preguntas pertinentes para una decisión preliminar. En particular, el TJUE debía aclarar si el scoring constituye una violación del art. 22 párr. 1 del GDPR. Según esta regulación, las decisiones que tienen efectos legales para la persona afectada no deben basarse exclusivamente en un procesamiento automatizado.
En el caso subyacente, una mujer no obtuvo un crédito debido a su mal valor de puntaje. Posteriormente exigió a la Schufa que eliminara su entrada y le otorgara acceso a los datos almacenados. Sin embargo, la agencia de crédito solo le informó el valor del puntaje calculado y los principios generales de cálculo. No proporcionó más detalles sobre la información utilizada en el cálculo.
Decisión automatizada inadmisible
El TJUE decidió que el scoring, de acuerdo con el GDPR, se debe considerar en principio como una decisión automatizada inadmisible en casos individuales, siempre que los bancos u otras empresas hagan depender en gran medida su decisión sobre la concesión de créditos o la firma de contratos del valor del puntaje. Tales decisiones no deben basarse principalmente en un algoritmo general y anónimo. Más bien, también se deben tener en cuenta las circunstancias individuales.
Esta decisión es inicialmente favorable para los consumidores. Sin embargo, los bancos y otras empresas que han basado principalmente sus decisiones en un valor de puntaje ahora deben examinar cómo pueden tomar sus decisiones en consonancia con el GDPR.
MTR Legal asesora en derecho informático y en GDPR.
Por favor, póngase en contacto ¡con nosotros!
