Transparencia en la era del algoritmo: Del ‘scoring’ crediticio a la IA en la jurisprudencia europea

En la economía digital, la toma de decisiones se está desplazando progresivamente desde la intervención humana hacia sistemas automatizados basados en datos. Este tránsito no es neutro y cuanto mayor es la capacidad de los algoritmos para incidir en la esfera económica de las personas, mayor ha de ser la exigencia de control, comprensión y rendición de cuentas.

Cuando las decisiones que pueden condicionar el acceso al crédito se basan en modelos algorítmicos, resulta imprescindible conocer cómo opera el tratamiento de datos y qué efectos tiene. Así pues, la transparencia se erige en condición de legitimidad del tratamiento de datos personales y del propio proceso de toma de decisiones.

Actualmente, en un contexto en el que muchas decisiones de enjundia se adoptan mediante sistemas automatizados, la transparencia no puede limitarse a informar, sino que debe permitir comprender.

Lo anterior se está viendo perfilado por la jurisprudencia del Tribunal de Justicia de la Unión Europea, que va redefiniendo las obligaciones vinculadas a este deber, con implicaciones directas en los mercados intensivos en datos.

Sin duda, entre los pronunciamientos del TJUE debe destacarse la sentencia Dun & Bradstreet Austria (C-203/22), que interpreta el alcance del artículo 15.1.h) del Reglamento General de Protección de Datos en relación con el artículo 22 relativo a las decisiones individuales automatizadas, incluida la elaboración de perfiles. El Tribunal aborda el credit scoring, es decir, la evaluación automatizada de la solvencia de una persona a partir de datos personales y de modelos estadísticos.

Afirma el TJUE que, cuando una decisión automatizada produce efectos jurídicos, el interesado tiene derecho a recibir «información significativa sobre la lógica aplicada», lo que supone que el responsable del tratamiento le explique, «en forma concisa, transparente, inteligible y de fácil acceso, el procedimiento y los principios aplicados concretamente para explotar, de forma automatizada, los datos personales relativos al interesado con el fin de obtener un resultado determinado, como un perfil de solvencia.»

El TJUE no exige revelar el algoritmo ni comprometer secretos empresariales, pero ese secreto empresarial no puede invocarse como límite automático al derecho de acceso, que quedaría así vacío de contenido.

En caso de conflicto, si el responsable del tratamiento considera que la información que ha de facilitarse al interesado incluye datos de terceros protegidos o secretos comerciales, corresponde a las autoridades de control o a los tribunales ponderar los derechos e intereses en juego, a efectos de determinar el alcance del derecho de acceso del artículo 15 RGPD.

Esta doctrina encuentra su precedente en el asunto SCHUFA Holding (C-634/21), en el que el TJUE ya había establecido que un score crediticio puede constituir, por sí mismo, una «decisión individual automatizada» en el sentido del artículo 22 RGPD, cuando esa puntuación resulta determinante para la decisión de un tercero, como la concesión de un crédito.

De este modo, el Tribunal atiende a la realidad económica del tratamiento y descarta que la intervención formal de un tercero neutralice la automatización.

En el ámbito de la economía de plataformas, en la sentencia Russmedia Digital (C-492/23), el TJUE constata que los operadores de plataformas digitales no pueden refugiarse en una supuesta posición de mera intermediación si determinan la visibilidad y monetización de los datos, incluso cuando el contenido haya sido introducido por terceros. En definitiva, no hay algoritmos exentos de responsabilidad. La responsabilidad se vincula a la capacidad de decisión sobre los fines y medios del tratamiento.

A lo anterior se añade la problemática sobre la propia naturaleza del dato personal. En el asunto SEPD/JUR (C-413/23 P), el Tribunal aborda el tratamiento de datos pseudonimizados confirmando que siguen siendo datos personales si existe una posibilidad razonable de reidentificación. Esta doctrina resulta de particular relevancia en el ámbito del scoring y de la inteligencia artificial, donde el valor económico reside en los datos inferidos (perfiles, puntuaciones o predicciones) a partir de modelos algorítmicos.

En esta línea, el TJUE ya había apuntado en RW v Österreichische Post (C-154/21) y F.F. v DSB (C-487/21) que el derecho de acceso del interesado se extiende a los perfiles, puntuaciones y datos derivados del tratamiento, y debe permitir una comprensión efectiva y real del tratamiento.

Las implicaciones de todo lo anterior revisten especial importancia para sectores como el financiero, el asegurador o el tecnológico. La utilización de modelos predictivos no se cuestiona, pero es preciso que desde el diseño se prevea que esos modelos puedan ser explicados en términos comprensibles y que sus efectos puedan ser cuestionados.

En este escenario, el desarrollo de la identidad digital europea y de soluciones basadas en wallets digitales apunta hacia un modelo en el que el ciudadano gestiona directamente sus datos y decide qué comparte y con quién, pudiendo limitar la circulación de atributos no verificados. Se reduce la dependencia de perfiles construidos por terceros, lo que se consigue acudiendo a fuentes auténticas fiables, introduciéndose un elemento adicional de transparencia en el ecosistema digital.

La jurisprudencia del TJUE no limita la innovación, pero precisa las condiciones bajo las cuales esta puede desplegarse en un Estado de Derecho. En la sociedad digital, la transparencia se configura como un elemento esencial para garantizar la confianza en los sistemas automatizados que condicionan la vida económica.

El ejercicio del poder tecnológico sobre los datos personales debe permanecer siempre sometido a un control jurídico efectivo, máxime en un contexto en el que el dato ha devenido al mismo tiempo activo, riesgo y responsabilidad.