Las empresas de calificación crediticia que operan en la Unión Europea podrían enfrentarse a restricciones más estrictas en virtud de las leyes de privacidad del bloque tras una sentencia emitida hoy por el Tribunal de Justicia (TJUE). La remisión se refiere a quejas presentadas contra las prácticas de una empresa alemana de calificación crediticia, llamada Schufa, pero podría tener una importancia más amplia para las agencias de información crediticia que operan en la región donde se aplica el Reglamento General de Protección de Datos (GDPR).
Una denuncia que el TJUE consideró se centró en un caso de retención «prolongada» de datos por parte de la empresa de referencia crediticia de información relativa a la concesión de una condonación de deudas pendientes que sólo se conserva en el registro público de insolvencia alemán durante seis meses. Sin embargo, un código de conducta para las agencias de información crediticia alemanas permite un período de conservación de tres años para sus propias bases de datos. Y la autoridad de protección de datos de Hesse desestimó la denuncia sobre la conservación de datos; También busca argumentar que el tribunal local no pudo revisar su decisión. El TJUE no estuvo de acuerdo.
«El Tribunal considera que es contrario al RGPD que las agencias privadas conserven dichos datos durante más tiempo que el registro público de insolvencia», escribió en un comunicado de prensa en el asunto C-634/21 (más los asuntos acumulados C-26/22 y C-64/22). “La condonación de las deudas restantes tiene como objetivo permitir que el interesado se reincorpore a la vida económica y, por lo tanto, tiene una importancia existencial para esa persona. Esta información se sigue utilizando como factor negativo a la hora de evaluar la solvencia del interesado. En este caso, el legislador alemán ha previsto que los datos se almacenen durante seis meses. Por lo tanto, considera que, al cabo de seis meses, los derechos e intereses del interesado prevalecen sobre los del público en tener acceso a esa información”.
«En la medida en que la conservación de datos sea ilegal, como ocurre más allá de los seis meses, el interesado tiene derecho a que se eliminen los datos y la agencia está obligada a eliminarlos lo antes posible», añadió el tribunal.
El TJUE también se pronunció sobre una segunda queja que parece bastante existencial para las empresas de calificación crediticia: cuestiona si Schufa puede emitir automáticamente calificaciones crediticias, dado que el RGPD brinda protección a las personas sujetas a decisiones únicamente automatizadas con impactos legales o significativos sobre ellas. Básicamente, es posible que necesiten obtener el consentimiento explícito de las personas para recibir una calificación crediticia.
El Tribunal sostuvo que la calificación crediticia de Schufa debe considerarse una “decisión individual automatizada”, que según su comunicado de prensa está “prohibida en principio por el RGPD, en la medida en que los clientes de Schufa, como los bancos, le atribuyen un papel determinante en el otorgamiento de crédito”.
Si este tipo de calificación crediticia es la base para la decisión de un banco, por ejemplo, de negarle un crédito a un individuo, la práctica corre el riesgo de violar las normas de protección de datos de la UE.
Sin embargo, en el caso concreto corresponderá al Tribunal Administrativo de Wiesbaden evaluar si la Ley federal alemana sobre protección de datos contiene una excepción válida a la prohibición de conformidad con el RGPD. Y, en caso afirmativo, comprobar si se cumplen las condiciones generales previstas por el RGPD para el tratamiento de datos, como por ejemplo garantizar que las personas sean conscientes de su derecho a oponerse y a solicitar (y obtener) la intervención humana, así como a ser capaz de proporcionar información significativa sobre la lógica de la calificación crediticia a pedido.
“Revisión judicial” de las decisiones de la DPA
En otro fallo importante, el TJUE también dejó claro que los tribunales nacionales deben poder ejercer lo que su RP llama “revisión completa” de cualquier decisión jurídicamente vinculante de una autoridad de protección de datos.
El grupo de derechos de privacidad noyb, que ha tenido múltiples enfrentamientos con las DPA por su incapacidad para actuar (y mucho menos hacer cumplir) las quejas, aprovechó esto como especialmente significativo y lo denominó “revisión judicial completa” de las DPA.
“La sentencia del TJUE aumentó enormemente la presión sobre las DPA. En algunos estados miembros de la UE, incluida Alemania, hasta ahora han asumido que una queja GDPR por parte de los interesados es simplemente una especie de «petición». En la práctica, esto ha significado que, a pesar de un presupuesto anual de 100 millones de euros, las DPA alemanas han rechazado muchas quejas con justificaciones extrañas y no se han perseguido las violaciones del RGPD. En países como Irlanda, más del 99% de las denuncias no fueron tramitadas y en Francia se negó a los afectados todo derecho a participar en el procedimiento relativo a sus propios derechos. Algunas DPA, como la autoridad de Hesse en el presente caso, también han argumentado que los tribunales tienen prohibido revisar sus decisiones en detalle”, escribió en un comunicado de prensa en respuesta al fallo.
“El TJUE ha puesto fin a este enfoque. Ha dictaminado que el artículo 77 del RGPD está diseñado como un mecanismo para salvaguardar eficazmente los derechos e intereses de los interesados. Además, el tribunal ha dictaminado que el artículo 78 del RGPD permite a los tribunales nacionales llevar a cabo una revisión completa de las decisiones de la DPA. Esto incluye la evaluación de si las autoridades han actuado dentro de los límites de su discreción”.
¿También se avecinan multas más altas según el RGPD?
El par de sentencias importantes siguen a otra dictada por el TJUE ayer (también a través, en parte, de otra remisión de caso en Alemania), que según los expertos legales podría resultar en sanciones significativamente más altas por violaciones del GDPR, ya que reduce los requisitos para imponer multas a entidades legales.
Así, si bien en este caso (C-807/21) el Tribunal sostuvo que es necesaria una conducta ilícita para que se imponga una multa –es decir, que una infracción del RGPD debe haberse cometido “intencionalmente o por negligencia”–, los jueces también Dijo que, cuando un responsable del tratamiento es una persona jurídica, no es necesario que la infracción haya sido cometida por su órgano de administración, ni es necesario que ese órgano haya tenido conocimiento de esa infracción.
Estipularon además que el cálculo de cualquier multa requiere que la autoridad de control tome como base el concepto de «una ‘empresa’ según la ley de competencia» (también conocido como, según el Tribunal PR, que «el monto máximo de la multa debe calcularse sobre sobre la base de un porcentaje del volumen de negocios anual total mundial de la empresa en cuestión, tomado en su conjunto, en el año comercial anterior” – o, básicamente, que los ingresos de un grupo completo de empresas pueden usarse para calcular una multa del RGPD por una infracción cometida por una única unidad de ese grupo).
Jan Spittka, socio del bufete de abogados Clyde & Co., predijo que podrían resultar multas más estrictas según el RGPD. «El contexto general de la decisión hará que sea mucho más fácil para las autoridades supervisoras de protección de datos de los estados miembros de la UE sancionar a las personas jurídicas y también es probable que resulte en multas significativamente más altas en promedio», sugirió en un comunicado.
«En el contexto de esta norma, sólo un sistema de cumplimiento de la protección de datos detallado y estrictamente supervisado puede poner a una entidad jurídica en condiciones de argumentar que desconocía la ilegalidad de su conducta con respecto a las infracciones del RGPD cometidas por un empleado», también dicho. «Además, una entidad jurídica puede exculparse si sus representantes o empleados actúan totalmente fuera del alcance de su descripción de trabajo, por ejemplo, cuando hacen un uso indebido de datos personales para fines privados».