CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:220

Edición provisional

CONCLUSIONES DEL ABOGADO GENERAL

SR. PRIIT PIKAMÄE

presentadas el 16 de marzo de 2023 (1)

Asunto C‑634/21

contra

Land Hessen,

con intervención de:

SCHUFA Holding AG

[Petición de decisión prejudicial planteada por el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso‑Administrativo de Wiesbaden, Alemania)]

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 6, apartado 1 — Licitud del tratamiento — Artículo 22 — Decisión individual automatizada — Elaboración de perfiles — Agencias privadas de información comercial — Generación de un valor de probabilidad de la solvencia de una persona física (scoring) — Transmisión a terceros que decidan establecer, ejecutar o extinguir relaciones contractuales con dicha persona sobre la base de este valor»

I. Introducción

1. La presente petición de decisión prejudicial planteada por el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso‑Administrativo de Wiesbaden, Alemania) en virtud del artículo 267 TFUE tiene por objeto la interpretación de los artículos 6, apartado 1, y 22, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (2) (en lo sucesivo, «RGPD»).

2. Esta petición se inscribe en el marco de un litigio entre la demandante, OQ, una persona física, y el Land Hessen (estado federado de Hesse, Alemania), representado por el Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Delegado de protección de datos y de libertad de información del estado federado de Hesse; en lo sucesivo, «HBDI»), en materia de protección de datos personales. SCHUFA Holding AG (en lo sucesivo, «SCHUFA»), una agencia de Derecho privado, apoya al HBDI como parte coadyuvante. En el marco de su actividad económica, consistente en proporcionar a sus clientes información acerca de la solvencia de terceros, SCHUFA facilitó a una entidad de crédito un score relativo a la demandante que sirvió de base para la denegación del crédito que esta había solicitado. La demandante pidió a SCHUFA que suprimiera el registro que le concernía y que le diera acceso a los datos correspondientes, pero esta última solo le comunicó el score relevante y, de manera general, los principios que subyacían al método de cálculo del score, sin informarla sobre los datos concretos que se habían tenido en cuenta en ese cálculo y sobre la pertinencia que se les atribuía en este contexto, alegando que el método de cálculo constituía un secreto comercial.

3. En la medida en que la demandante alega que la denegación de esta solicitud por parte de SCHUFA es contraria al régimen de protección de datos, el Tribunal de Justicia deberá pronunciarse sobre las restricciones que impone el RGPD a la actividad económica de las agencias de información en el sector financiero, en particular en el ámbito de la gestión de los datos, así como sobre los efectos que deben reconocerse al secreto comercial. Del mismo modo, el Tribunal de Justicia deberá precisar el alcance de las facultades normativas que ciertas disposiciones del RGPD confieren al legislador nacional como excepción al objetivo general de armonización perseguido por este acto jurídico.

II. Marco jurídico

A. Derecho de la Unión

4. El artículo 4, punto 4, del RGPD dispone:

«A efectos del presente Reglamento, se entenderá por:

[…]

4) “elaboración de perfiles”: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.»

5. El artículo 6 del RGPD, titulado «Licitud del tratamiento», establece:

«1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

2. Los Estados miembros podrán mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del presente Reglamento con respecto al tratamiento en cumplimiento del apartado 1, letras c) y e), fijando de manera más precisa requisitos específicos de tratamiento y otras medidas que garanticen un tratamiento lícito y equitativo, con inclusión de otras situaciones específicas de tratamiento a tenor del capítulo IX.

3. La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

a) el Derecho de la Unión, o

b) el Derecho de los Estados miembros que se aplique al responsable del tratamiento.

La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Dicha base jurídica podrá contener disposiciones específicas para adaptar la aplicación de normas del presente Reglamento, entre otras: las condiciones generales que rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto de tratamiento; los interesados afectados; las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación; la limitación de la finalidad; los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo, como las relativas a otras situaciones específicas de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados miembros cumplirá un objetivo de interés público y será proporcional al fin legítimo perseguido.

4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento del interesado o en el Derecho de la Unión o de los Estados miembros que constituya una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos indicados en el artículo 23, apartado 1, el responsable del tratamiento, con objeto de determinar si el tratamiento con otro fin es compatible con el fin para el cual se recogieron inicialmente los datos personales, tendrá en cuenta, entre otras cosas:

a) cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;

b) el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;

c) la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10;

d) las posibles consecuencias para los interesados del tratamiento ulterior previsto;

e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización».

6. El artículo 15 del RGPD, que lleva por título «Derecho de acceso del interesado», dispone:

«1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:

[…]

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

[…]»

7. El artículo 21 del RGPD, titulado «Derecho de oposición», establece lo siguiente:

«1. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.

[…]»

8. A tenor del artículo 22 del RGPD, que lleva por título «Decisiones individuales automatizadas, incluida la elaboración de perfiles»:

«1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

2. El apartado 1 no se aplicará si la decisión:

a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;

b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o

c) se basa en el consentimiento explícito del interesado.

3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.

4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letras a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.»

B. Derecho alemán

9. El artículo 31 de la Bundesdatenschutzgesetz (Ley Federal de Protección de Datos), de 30 de junio de 2017, (3) en su versión modificada por la Ley de 20 de noviembre de 2019 (4) (en lo sucesivo, «BDSG»), que lleva por título «Protección de las transacciones económicas en caso de scoring [calificación crediticia] y de información sobre solvencia», dispone:

«1) El uso de un valor de probabilidad relativo a un comportamiento futuro determinado de una persona física a fin de tomar una decisión sobre el establecimiento, la ejecución o la extinción de una relación contractual con dicha persona (scoring) solo es admisible si:

1. se han respetado las disposiciones de la legislación sobre protección de datos;

2. se acredita que los datos utilizados para calcular el valor de probabilidad de un comportamiento determinado, con base en un método estadístico matemático científicamente reconocido, son relevantes para el cálculo de la probabilidad del comportamiento de que se trate;

3. para calcular el valor de probabilidad no se han utilizado exclusivamente datos relativos a domicilios, y

4. en caso de utilización de datos relativos a domicilios, el interesado ha sido informado de la utilización prevista de dichos datos antes de calcular el valor de probabilidad. La información quedará documentada.

2) El uso de un valor de probabilidad determinado por agencias de información comercial, relativo a la capacidad y voluntad de pago de una persona física, cuando se incluya información sobre derechos de crédito, solamente será admisible si se cumplen los requisitos del apartado 1 y solo se tienen en cuenta aquellos derechos referentes a una prestación adeudada que no fue realizada a pesar de haber vencido,

1. que hayan sido reconocidos mediante sentencia firme o sentencia provisionalmente ejecutiva, o para los que exista un título de deuda con arreglo al artículo 794 de la Zivilprozessordnung [Ley de Enjuiciamiento Civil],

2. que hayan sido reconocidos de conformidad con el artículo 178 de la Insolvenzordnung [Ley Concursal] y no hayan sido impugnados por el deudor al ser comprobados,

3. que hayan sido expresamente reconocidos por el deudor,

4. respecto de los cuales

a) el deudor haya sido requerido al menos dos veces por escrito después del vencimiento del crédito,

b) desde el primer requerimiento hayan transcurrido al menos cuatro semanas,

c) el deudor haya sido informado previamente, pero como muy pronto con ocasión del primer requerimiento, de la posibilidad de que la situación sea tenida en cuenta por una agencia de información comercial, y

d) el deudor no haya impugnado el crédito, o

5. cuya relación contractual subyacente pueda resolverse sin preaviso debido a impagos y respecto de los cuales el deudor haya sido informado previamente de la posibilidad de que la situación sea tenida en cuenta por una agencia de información comercial.

Todo ello sin perjuicio de la licitud del tratamiento, incluida la determinación de valores de probabilidad, de otros datos pertinentes a efectos de solvencia con arreglo a la legislación general en materia de protección de datos.»

III. Antecedentes de hecho del litigio, procedimiento principal y cuestiones prejudiciales

10. De la resolución de remisión se desprende que la demandante en el litigio principal no obtuvo un crédito debido a la evaluación de solvencia llevada a cabo por SCHUFA, una sociedad de Derecho privado que opera un servicio de información en materia crediticia que facilita a sus clientes información acerca de la solvencia de los consumidores. A tal efecto, SCHUFA realiza evaluaciones de solvencia para las que establece, a partir de determinadas características de una persona, una previsión, sobre la base de un método estadístico matemático, relativa a la probabilidad de un comportamiento futuro, como el reembolso de un crédito.

11. La demandante solicitó a SCHUFA la supresión de los datos inexactos que le concernían y que le diera acceso a los datos almacenados referidos a ella. SCHUFA comunicó a la demandante, entre otros, el score calculado respecto a ella y el modo de funcionamiento, en principio, de su cálculo, pero no la informó sobre la ponderación de los diferentes datos en el cálculo. SCHUFA considera que no está obligada a divulgar sus métodos de cálculo ya que estos están protegidos por el secreto comercial y de empresa. Asimismo, considera que se limita a facilitar información a sus clientes, que adoptan las decisiones propiamente dichas relativas a los contratos de crédito.

12. La demandante presentó ante el demandado, encargado del control en materia de protección de datos, una reclamación referida al informe de SCHUFA, reclamación en la que solicitaba al demandado que ordenara a la agencia que le proporcionara y suprimiera la información según lo señalado en su solicitud. En la decisión dictada sobre la reclamación, el HBDI consideró que no procedía llevar a cabo ninguna actuación adicional contra la agencia, debido a que esta cumplía las exigencias especificadas en la Ley federal alemana de protección de datos.

13. La demandante interpuso un recurso ante el órgano jurisdiccional remitente contra la decisión del demandado. El citado tribunal considera que, para poder pronunciarse en el asunto principal, es fundamental determinar si la actividad de los prestadores de servicios de información crediticia mediante la cual estos generan scores relativos a las personas y los transmiten a terceros, sin realizar ninguna otra recomendación o comentario, está comprendida en el ámbito de aplicación del artículo 22, apartado 1, del RGPD.

14. El Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso‑Administrativo de Wiesbaden) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1) ¿Debe interpretarse el artículo 22, apartado 1, del [RGPD] en el sentido de que la generación automatizada de un valor de probabilidad relativo a la capacidad futura de un interesado para satisfacer un préstamo constituye ya una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produce efectos jurídicos en el interesado o la afecta significativamente de modo similar, cuando dicho valor, hallado a partir de datos personales del interesado, es transmitido por el responsable del tratamiento a un tercero responsable del tratamiento y este tercero, de un modo determinante, basa en dicho valor su decisión sobre el establecimiento, la ejecución o la extinción de una relación contractual con el interesado?

2) En caso de respuesta negativa a la primera cuestión prejudicial: ¿deben interpretarse los artículos 6, apartado 1, y 22 del [RGPD] en el sentido de que se oponen a una normativa nacional que establece que el uso de un valor de probabilidad —en el presente asunto, respecto a la capacidad y la voluntad de pago de una persona física en el marco de la inclusión de información crediticia— relativo a un determinado comportamiento futuro de una persona física a efectos de una decisión sobre el establecimiento, la ejecución o la extinción de una relación contractual con dicha persona (scoring) únicamente es admisible si se cumplen determinados requisitos adicionales, precisados en la fundamentación de la petición de decisión prejudicial?»

IV. Procedimiento ante el Tribunal de Justicia

15. La resolución de remisión, de 1 octubre de 2021, se recibió en la Secretaría del Tribunal de Justicia el 15 de octubre de 2021.

16. Las partes del litigio principal, SCHUFA, los Gobiernos danés, portugués y finlandés, así como la Comisión Europea presentaron observaciones escritas en el plazo establecido en el artículo 23 del Estatuto del Tribunal de Justicia de la Unión Europea.

17. En la vista celebrada el 26 de enero de 2023, los mandatarios ad litem de las partes del litigio principal y de SCHUFA y los agentes de los Gobiernos alemán y finlandés, así como de la Comisión, formularon observaciones orales.

V. Análisis jurídico

A. Observaciones preliminares

18. Dado que la confianza mutua constituye la base de todo compromiso contractual en una economía de mercado, es comprensible desde un punto de vista empresarial, en principio, que los proveedores de servicios y de bienes deseen conocer a sus clientes, así como los riesgos inherentes a tal compromiso contractual. Las agencias de información comercial pueden contribuir a reforzar esta confianza mutua a través de métodos estadísticos que permiten a las empresas determinar si se cumplen ciertos criterios relevantes, incluida la solvencia de sus clientes, en ese caso concreto. De este modo, ayudan a las empresas a cumplir diversas disposiciones del Derecho de la Unión que les imponen precisamente tal obligación para determinadas categorías de contratos, en particular los contratos de crédito. (5) Algunos de los métodos utilizados pueden basarse en datos personales de los clientes, recogidos y tratados de manera automatizada gracias a la tecnología informática. A este interés se contrapone el de los interesados en conocer la manera en que se gestionan y almacenan estos datos y los métodos que siguen las empresas para adoptar decisiones referidas a sus clientes.

19. El RGPD, aplicable desde el 25 de mayo de 2018, ha creado un marco jurídico que tiene por objeto tomar en consideración los intereses antes mencionados en toda la Unión, en particular mediante la imposición de ciertas restricciones al tratamiento de datos personales. Así pues, se aplican restricciones particulares respecto de los tratamientos automatizados que puedan producir efectos jurídicos en una persona física o que la afecten significativamente. Estas restricciones están justificadas en el marco de la elaboración de perfiles, es decir, de una evaluación de los aspectos personales dirigida a analizar o predecir la situación económica, la fiabilidad o el comportamiento de una persona física. En este contexto, señalaré las restricciones previstas en el artículo 22 del RGPD, que son pertinentes en el presente asunto y que tienen como objetivo proteger la dignidad humana, impidiendo que el interesado sea objeto de una decisión adoptada únicamente sobre la base de un tratamiento automatizado, sin intervención humana alguna que pueda controlar, en su caso, que esta decisión se adopte de manera correcta, justa y no discriminatoria. (6) La intervención humana que debe establecerse en el marco de este tipo de tratamientos de datos automatizados garantiza que el interesado tenga la posibilidad de expresar su punto de vista, de obtener una explicación sobre la decisión adoptada a resultas de este tipo de evaluación y de impugnarla en caso de estar en desacuerdo con la mencionada decisión. El alcance de las restricciones a las que se refiere el artículo 22 del RGPD constituye precisamente el objeto de la primera cuestión prejudicial.

20. Si bien el RGPD ha creado un marco normativo global relativo a la protección de datos personales que, en principio, es completo, aun así procede señalar que ciertas disposiciones del citado Reglamento ofrecen a los Estados miembros la posibilidad de establecer normas nacionales adicionales, que sean más estrictas o prevean alguna excepción, lo que les deja un margen de apreciación en cuanto a la manera de aplicar dichas disposiciones («cláusulas de apertura»), siempre y cuando tales normas no menoscaben el contenido y los objetivos del RGPD. (7) El alcance de esta potestad normativa residual de los Estados miembros constituye el elemento central de la segunda cuestión prejudicial que debe examinarse en las presentes conclusiones.

B. Sobre la admisibilidad

21. El HBDI y SCHUFA cuestionan que la petición de decisión prejudicial sea admisible. A este respecto, SCHUFA alega que la remisión prejudicial ni es necesaria para la solución del litigio ni está suficientemente motivada; abre una segunda vía de recurso y se contradice con las demás peticiones de decisión prejudicial presentadas y luego retiradas por el mismo órgano jurisdiccional remitente.

1. Carácter decisivo de las cuestiones prejudiciales para la solución del litigio

22. De entrada, cabe recordar que, según reiterada jurisprudencia del Tribunal de Justicia, en el marco de la cooperación que establece el artículo 267 TFUE entre este y los órganos jurisdiccionales nacionales, corresponde exclusivamente al juez nacional que conoce del litigio y que ha de asumir la responsabilidad de la decisión jurisdiccional que debe adoptarse apreciar, a la luz de las particularidades del asunto, tanto la necesidad de una decisión prejudicial para poder dictar sentencia como la pertinencia de las cuestiones que plantea al Tribunal de Justicia. Por consiguiente, cuando las cuestiones planteadas se refieren a la interpretación o la validez de una norma del Derecho de la Unión el Tribunal de Justicia está, en principio, obligado a pronunciarse. De ello resulta que las cuestiones relativas al Derecho de la Unión disfrutan de una presunción de pertinencia. El Tribunal de Justicia solo puede abstenerse de pronunciarse sobre una cuestión prejudicial planteada por un órgano jurisdiccional nacional cuando resulte evidente que la interpretación o la apreciación de validez de una norma de la Unión que se ha solicitado no guarda relación alguna ni con la realidad ni con el objeto del litigio principal, cuando el problema sea de naturaleza hipotética o, también, cuando el Tribunal de Justicia no disponga de los elementos de hecho o de Derecho necesarios para responder de manera útil a las cuestiones que se le hayan planteado. (8)

23. Estas condiciones no se cumplen en el presente asunto, dado que del apartado 40 de la resolución de remisión se desprende claramente que el resultado del procedimiento depende de la respuesta que se dé a la primera cuestión prejudicial. El órgano jurisdiccional remitente explica que, en el supuesto de que el artículo 22, apartado 1, del RGPD deba interpretarse en el sentido de que la generación de un score por una agencia de información económica constituye una decisión autónoma a los efectos del artículo 22, apartado 1, de este Reglamento, esta agencia, más concretamente su actividad pertinente, estaría sujeta a la prohibición de las decisiones individuales automatizadas. Por consiguiente, se requeriría una base jurídica propia del Estado miembro, en el sentido del artículo 22, apartado 2, letra b), del RGPD, para lo cual únicamente podría considerarse el artículo 31 de la BDSG. Pues bien, el órgano jurisdiccional remitente expresa serias dudas sobre la compatibilidad de esta disposición nacional con el artículo 22, apartado 1, del RGPD. Según el órgano jurisdiccional remitente, no solo SCHUFA está actuando sin disponer de una base jurídica, sino que incumple asimismo la prohibición prevista en esta última disposición. En consecuencia, estima que la demandante tiene derecho a que el HBDI continúe tramitando su expediente en calidad de autoridad de control. Por lo tanto, es evidente que la respuesta a las cuestiones prejudiciales planteadas por el órgano jurisdiccional remitente resulta decisiva para la solución del litigio.

24. SCHUFA también alega que la petición de decisión prejudicial es inadmisible porque la demandante ya ha sido informada de la lógica que subyace al score. Sin embargo, de la resolución de remisión se desprende que la demandante deseaba que se la informara de la forma más detallada posible sobre el conjunto de los datos recogidos y sobre el método utilizado para determinar el score. En la medida en que SCHUFA informó a la demandante, a grandes rasgos, del modo de funcionamiento, en principio, de su cálculo de scores, pero no le comunicó ni la diversa información tenida en cuenta en el cálculo ni su ponderación, es evidente que SCHUFA no atendió dicha solicitud de información. Por consiguiente, la demandante tiene un interés legítimo en que se establezcan mediante una decisión prejudicial los derechos del interesado frente a una agencia de información comercial como SCHUFA.

2. Existencia de dos vías de recurso paralelas

25. En lo tocante al supuesto riesgo de abrir una segunda vía de recurso para el interesado, debe señalarse que, contrariamente a lo que alega SCHUFA en sus observaciones, el hecho de que la demandante hubiera acudido primero a los tribunales ordinarios y, a continuación, haya presentado un recurso ante el órgano jurisdiccional contencioso-administrativo remitente no impide que la petición de decisión prejudicial resulte admisible. Mediante sus dos recursos, la demandante hizo uso de las vías de recurso previstas en los artículos 78 y 79 del RGPD, unas disposiciones que garantizan el derecho a la tutela judicial efectiva frente a la autoridad de control y al responsable del tratamiento de los datos, respectivamente. Habida cuenta de que estas vías de recurso coexisten de manera autónoma, sin que una sea subsidiaria respecto de la otra, pueden ejercitarse de forma paralela. (9) Por lo tanto, no cabe reprochar a la demandante el haber cometido una irregularidad en la defensa de sus derechos protegidos por el RGPD.

26. Por añadidura, cabe recordar que, según reiterada jurisprudencia del Tribunal de Justicia, a falta de normativa de la Unión en la materia, corresponde al ordenamiento jurídico interno de cada Estado miembro designar los órganos jurisdiccionales competentes y regular las modalidades procesales de los recursos en vía jurisdiccional que hayan de procurar la salvaguarda de los derechos que en favor de los justiciables genera el Derecho de la Unión. (10) Así pues, no existe ningún motivo objetivo para cuestionar el sistema de vías de recurso de un Estado miembro, a excepción de los casos en los que la eficacia del Derecho de la Unión se vea amenazada, por ejemplo si los órganos jurisdiccionales nacionales se encontraran privados de la facultad o dispensados de la obligación, prevista en el artículo 267 TFUE, de someter al Tribunal de Justicia las cuestiones relativas a la interpretación o la validez del Derecho de la Unión.

27. En el presente asunto, no existe ningún indicio de que la existencia de dos vías de recurso que posibilitan la tutela judicial efectiva frente a la autoridad de control y al responsable del tratamiento de los datos, respectivamente, suponga una amenaza para la eficacia del Derecho de la Unión o prive a los órganos jurisdiccionales nacionales de la facultad de recurrir al procedimiento previsto en el artículo 267 TFUE. Al contrario, tal como ya he explicado, a la vista de los artículos 78 y 79 del RGPD, es evidente que el RGPD no se opone a tal régimen de recursos, sino que más bien atribuye al Estado miembro la responsabilidad de designar los órganos jurisdiccionales competentes y de definir las modalidades procesales de los recursos en vía jurisdiccional, cumpliendo plenamente con el principio de autonomía procesal. El Tribunal de Justicia lo ha reconocido en su jurisprudencia reciente. (11)

28. Finalmente, procede señalar que SCHUFA se limita a criticar las vías de recurso abiertas en virtud del Derecho alemán, sin explicar de forma concreta, no obstante, de qué manera una sentencia dictada por el Tribunal de Justicia en el presente procedimiento prejudicial sería inútil para la solución del litigio. Pues bien, según indica el órgano jurisdiccional remitente, una interpretación del artículo 22, apartado 1, del RGPD realizada por el Tribunal de Justicia permitiría al demandado ejercer sus facultades de control sobre SCHUFA de manera conforme con el Derecho de la Unión. Por consiguiente, me parece que la argumentación de SCHUFA por la que niega la admisibilidad de la petición de decisión prejudicial carece de fundamento.

3. Supuesta falta de motivación de la petición de decisión prejudicial

29. Estas consideraciones son suficientes, en principio, para rechazar la argumentación de SCHUFA. En aras de una mejor comprensión del presente asunto, me parece de todos modos necesario abordar el argumento basado en la supuesta falta de motivación de la petición de decisión prejudicial. Contrariamente a lo que afirma SCHUFA, la resolución de remisión expone de manera suficientemente detallada lo que está en juego en el presente asunto para satisfacer las exigencias del artículo 94, letra c), del Reglamento de Procedimiento del Tribunal de Justicia. Más concretamente, el órgano jurisdiccional remitente explica que la demandante pretende invocar sus derechos frente a SCHUFA. Según el órgano jurisdiccional remitente, salvo que se le dé una interpretación restrictiva, en principio el artículo 22, apartado 1, del RGPD puede ofrecerle protección frente a un tratamiento automatizado de sus datos personales.

30. El órgano jurisdiccional remitente estima que, habida cuenta de la importancia que conceden algunas empresas al score generado por las agencias de información comercial para la evaluación predictiva de la capacidad económica de una persona física, podría considerarse que dicho score constituye una «decisión» autónoma a los efectos de la disposición antes citada. A su entender, una interpretación en este sentido es precisa para colmar la laguna jurídica que resulta del hecho de que, en caso contrario, el interesado no podría obtener la información necesaria en virtud del artículo 15, apartado 1, letra h), del RGPD. A la vista de esta motivación detallada, considero que procede rechazar la argumentación de SCHUFA y concluir que la petición de decisión prejudicial es admisible.

C. Sobre el fondo

1. Primera cuestión prejudicial

a) Prohibición general contemplada en el artículo 22, apartado 1, del RGPD

31. El artículo 22, apartado 1, del RGPD presenta una particularidad en comparación con las demás restricciones del tratamiento de datos contenidas en este Reglamento, en la medida en que consagra un «derecho» del interesado a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles. A pesar de la terminología utilizada, la aplicación del artículo 22, apartado 1, del RGPD no requiere que el interesado invoque activamente el derecho. En efecto, una interpretación a la luz del considerando 71 de dicho Reglamento, teniendo en cuenta la lógica de esta disposición, en particular de su apartado 2, que enumera los supuestos en los que tal tratamiento automatizado se autoriza de forma excepcional, permite concluir más bien que esta disposición establece una prohibición general de las decisiones del tipo descrito anteriormente. Dicho esto, debe destacarse que esta prohibición solo se aplica en unas circunstancias muy específicas, a saber, concretamente a las decisiones «que produzca[n] efectos jurídicos en [el interesado]» o que «le afecte[n] significativamente de modo similar».

32. Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta si el cálculo de un score efectuado por una agencia de información crediticia está comprendido en el ámbito de aplicación del artículo 22, apartado 1, del RGPD cuando el score obtenido se comunique a una empresa que lo utilice de manera determinante para adoptar una decisión relativa al establecimiento, la ejecución o la extinción de una relación contractual con el interesado. En otras palabras, se trata de averiguar si esta disposición se aplica a las agencias de información crediticia que facilitan scores a empresas financieras. El examen de esta cuestión exigirá demostrar si se cumplen los requisitos establecidos en el artículo 22, apartado 1, del RGPD en el caso de autos.

b) Aplicabilidad del artículo 22, apartado 1, del RGPD

1) Existencia de una «elaboración de perfiles» en el sentido del artículo 4, punto 4, del RGPD

33. Esta disposición exige en primer lugar que exista un tratamiento automatizado de datos personales, ya que la «elaboración de perfiles» se considera una subcategoría de este, a juzgar por su redacción. (12) A este respecto, debe señalarse que el scoring efectuado por SCHUFA está comprendido en la definición legal que figura en el artículo 4, punto 4, del RGPD, dado que este procedimiento emplea datos personales para evaluar determinados aspectos relativos a las personas físicas para analizar o predecir elementos relativos a su situación económica, su fiabilidad y su comportamiento probable. En efecto, de los autos del asunto se desprende que el método utilizado por SCHUFA genera un score sobre la base de ciertos criterios, es decir, un resultado que permite extraer conclusiones sobre la solvencia del interesado. Por último, quisiera destacar que ninguna de las partes interesadas cuestiona la calificación del procedimiento en cuestión de «elaboración de perfiles», de manera que puede considerarse que esta condición se cumple en el presente asunto.

2) Decisión que debe producir «efectos jurídicos» en el interesado o «[afectarle] significativamente de modo similar»

34. La aplicación del artículo 22, apartado 1, del RGPD exige que la decisión de que se trate produzca «efectos jurídicos» en el interesado o lo «afecte significativamente de modo similar». De este modo, el RGPD reconoce que las decisiones automatizadas, incluida la elaboración de perfiles, pueden tener consecuencias graves para los interesados. Si bien el RGPD no define los términos «efectos jurídicos» ni la expresión «significativamente de modo similar», no es menos cierto que la fórmula empleada indica claramente que esta disposición solo se refiere a los efectos que tengan una incidencia grave. A este respecto, de entrada debe atraerse la atención sobre el hecho de que el considerando 71 del RGPD menciona expresamente «la denegación automática de una solicitud de crédito en línea» como el ejemplo típico de una decisión que afecta «significativamente» al interesado.

35. Debe tenerse en cuenta, a continuación, que, por una parte, en la medida en que la tramitación de una solicitud de crédito constituye una fase previa a la celebración de un contrato de préstamo, la denegación de tal solicitud puede tener «efectos jurídicos» para el interesado, ya que este deja de poder disfrutar de una relación contractual con la entidad financiera en cuestión. Por otra parte, se ha de señalar el hecho de que tal denegación también puede afectar a la situación financiera del interesado. Por lo tanto, resulta lógico concluir que esta persona se verá en todo caso afectada «de modo similar» en el sentido de esta disposición. El legislador de la Unión parecer haber sido consciente de ello cuando redactó el considerando 71 del RGPD, a la luz del cual debe interpretarse el artículo 22, apartado 1, de ese mismo Reglamento. En consecuencia, considero que, habida cuenta de la situación en la que se encuentra la demandante, se cumplen los requisitos de esta disposición en el presente asunto, con independencia de si se hace hincapié en las consecuencias jurídicas o económicas de la negativa a conceder un crédito.

3) «Decisión» que debe «[basarse] únicamente en el tratamiento automatizado»

36. Se deben cumplir dos requisitos adicionales. En primer término, es preciso que el acto con la naturaleza de una «decisión» se adopte en relación con el interesado. En segundo término, la decisión de que se trate debe «[basarse] únicamente en el tratamiento automatizado». Por lo que respecta a este segundo requisito, nada indica en la exposición de los hechos de la resolución de remisión que, además del procedimiento matemático y estadístico aplicado por SCHUFA, los scores se generen de manera determinante mediante una evaluación y una apreciación individualizadas por parte de un ser humano. En consecuencia, la generación del score como acto llevado a cabo por SCHUFA debe considerarse «basad[o] únicamente en el tratamiento automatizado». Dicho esto, no debe perderse de vista el hecho de que la entidad financiera a la que SCHUFA comunica el score debe adoptar un acto supuestamente autónomo referido al interesado, a saber, la concesión o la denegación del crédito. Así pues, se plantea la cuestión de cuál de estos dos actos puede calificarse de «decisión» en el sentido del artículo 22, apartado 1, del RGPD, una cuestión que se examinará más adelante.

37. En cuanto al primer requisito, en primer lugar es preciso fijar la naturaleza jurídica de una «decisión» y la forma que debe adoptar esta. Desde el punto de vista etimológico, este concepto implica una «opinión» o una «postura» sobre una situación determinada. También debe tener «carácter vinculante», para distinguirla de las meras «recomendaciones», que, en principio, carecen de consecuencias jurídicas o fácticas. (13) Sin embargo, contrariamente a lo que alega el HBDI, no me parece pertinente establecer una analogía con el artículo 288 TFUE, párrafo cuarto, en el presente contexto y ello tanto más cuanto que tal analogía carece de fundamento alguno en las disposiciones del RGPD.

38. La falta de una definición legal permite deducir que el legislador de la Unión ha optado por un concepto amplio, que pueda incluir diversos actos con potencial para afectar al interesado de múltiples maneras. En efecto, tal como ya he indicado, una «decisión» en el sentido del artículo 22, apartado 1, del RGPD bien puede tener «efectos jurídicos», bien puede afectar al interesado «de modo similar», lo que implica que la «decisión» de que se trate puede tener una repercusión que no sea necesariamente jurídica, sino más bien económica y social. En vista de que el artículo 22, apartado 1, del RGPD tiene por objeto proteger a las personas físicas frente a los efectos potencialmente discriminatorios e injustos de los tratamientos de datos automatizados, considero que es precisa una vigilancia particular, que también debe reflejarse en la interpretación de esta norma.

39. Por último, es importante señalar que, habida cuenta de que los actos atribuibles a una entidad financiera privada también pueden tener consecuencias graves para la independencia y la libertad de actuación del interesado en una economía de mercado, especialmente cuando se debe certificar la solvencia de un solicitante de crédito, (14) no veo ninguna razón objetiva para limitar el concepto de «decisión» al ámbito estrictamente público, es decir, a la relación entre el Estado y los ciudadanos, como sugiere implícitamente la analogía propuesta por el HBDI. Me parece que la calificación como «decisión» de una postura adoptada respecto del interesado requiere un examen caso por caso, teniendo en cuenta las circunstancias específicas, así como la gravedad de los efectos sobre el estatuto jurídico, económico y social de dicha persona. (15)

40. Sobre la base de los criterios expuestos en los puntos anteriores, debe determinarse a continuación cuál es la «decisión» pertinente en el presente caso. Como se ha mencionado anteriormente, existe, por un lado, el acto mediante el cual un banco acepta o se niega a conceder un crédito al solicitante y, por otro lado, el score resultante de un procedimiento de elaboración de perfiles llevado a cabo por SCHUFA. En mi opinión, es imposible dar una respuesta categórica a esta cuestión, dado que la calificación depende de las circunstancias de cada caso particular. Más concretamente, la manera en que está estructurado el procedimiento de toma de decisiones tiene una importancia crucial. Este procedimiento normalmente incluye varias fases, como la elaboración de un perfil, la creación del score y la decisión relativa a la concesión del crédito propiamente dicho.

41. Me parece evidente que, si bien una entidad financiera puede asumir este procedimiento, nada le impide delegar algunas tareas, por vía contractual, en una agencia de información comercial, por ejemplo la elaboración de perfiles y el scoring. En efecto, el artículo 22, apartado 1, del RGPD no exige en absoluto que estas tareas sean llevadas a cabo por una o varias entidades. Dicho esto, no creo que la posible delegación de ciertas competencias en un proveedor de servicios externo tenga un papel esencial en el análisis, dado que tal delegación generalmente obedece a consideraciones económicas y organizativas, que pueden variar de un caso a otro.

42. En cambio, el aspecto que considero que tiene un papel crucial es el relativo a si el procedimiento de toma de decisiones está concebido de tal manera que el scoring efectuado por la agencia de información comercial predetermina la decisión de la entidad financiera de conceder o denegar el crédito. En caso de que el scoring se efectúe sin intervención humana alguna que pueda, en su caso, verificar su resultado y la exactitud de la decisión que se va a adoptar respecto del solicitante de crédito, parece lógico considerar que el propio scoring constituye la «decisión» a la que se refiere el artículo 22, apartado 1, del RGPD.

43. Suponer lo contrario por el hecho de que la decisión de conceder o denegar el crédito corresponda formalmente a la entidad financiera no solo supondría un formalismo excesivo, sino que no haría justicia en absoluto a las circunstancias concretas de tal supuesto. Esto parece tanto más cierto cuanto que el artículo 22, apartado 1, del RGPD no obliga en modo alguno a que la «decisión» adopte una forma concreta. El factor decisivo es el efecto que tiene la «decisión» en el interesado. Dado que un score negativo, por sí solo, puede producir efectos desfavorables para el interesado, a saber, limitarlo notablemente en el ejercicio de sus libertades, o incluso estigmatizarlo en la sociedad, parece justificado calificarlo de «decisión» en el sentido de la disposición antes citada cuando una entidad financiera le otorgue una importancia fundamental en el procedimiento de toma de decisiones. (16) En efecto, en tales circunstancias, el solicitante de crédito se ve afectado desde la fase de la evaluación de su solvencia por la agencia de información comercial y no solamente en la fase final de la denegación del crédito, en la que la entidad financiera se limita a aplicar el resultado de dicha evaluación al caso concreto. (17)

44. Habida cuenta de que, en primer término, el artículo 22, apartado 1, del RGPD exige que la decisión en cuestión se base «únicamente» en un tratamiento automatizado (18) y de que, en segundo término, el tenor de una disposición constituye generalmente el límite de toda interpretación, parece necesario que el tratamiento automatizado siga siendo el único elemento que justifique la actitud de la entidad financiera frente al solicitante de crédito. Así sucedería si hubiera participación humana en el procedimiento, sin que, no obstante, pudiera influir en la relación de causalidad entre el tratamiento automatizado y la decisión final. La agencia de información comercial debería adoptar de facto la decisión final por la entidad financiera. Esto depende de las reglas y prácticas internas de la entidad financiera de que se trate, que, por lo general, no deben dejarle ningún margen de maniobra en cuanto a la aplicación del score a una solicitud de crédito.

45. Se trata esencialmente de una cuestión de hecho que, en mi opinión, los órganos jurisdiccionales nacionales están mejor situados para apreciar. Por lo tanto, propongo confiar al órgano jurisdiccional remitente la tarea de determinar él mismo en qué medida la entidad financiera está generalmente vinculada por el scoring realizado por una agencia de información comercial como SCHUFA, teniendo en cuenta los criterios mencionados anteriormente. (19) Me basaré en la información contenida en la resolución de remisión para dar una respuesta útil al juez nacional en el presente asunto.

46. A este respecto, en primer lugar quisiera señalar que, según el órgano jurisdiccional remitente, incluso si, en principio, todavía es posible una intervención humana en esta fase del proceso de toma de decisiones, la decisión de establecer una relación contractual con el interesado «es determinada de tal manera por el valor de scoring proporcionado por las agencias de información comercial que el impacto de dicho valor se reflejará en la decisión del tercero responsable del tratamiento». Según el órgano jurisdiccional remitente, «el valor de scoring generado por la agencia de información comercial con base en un tratamiento automatizado es determinante finalmente respecto a si el tercero responsable del tratamiento contratará o no con el interesado». El órgano jurisdiccional remitente también explica que, si bien el tercero no está obligado a hacer depender su decisión únicamente del score, no es menos cierto que, «por regla general lo hará en gran medida». Añade que «la concesión del crédito puede denegarse a pesar de un valor de scoring en principio suficiente (por otros motivos, como, por ejemplo, la falta de garantías o dudas sobre el éxito de una inversión que ha de financiarse); en cambio, un valor de scoring insuficiente, al menos en el ámbito de los préstamos al consumo, implicará casi siempre la denegación del crédito, aunque una inversión parezca rentable por todo lo demás». Por último, el citado órgano jurisdiccional indica que «el papel determinante del valor de scoring en la concesión de créditos y a la hora de establecer las condiciones de estos se ha puesto de manifiesto en la práctica de las autoridades administrativas en materia de supervisión de la protección de datos».

47. Las consideraciones expuestas anteriormente parecen indicar, sin perjuicio de la apreciación de los hechos que corresponde efectuar a todo órgano jurisdiccional nacional en cada caso particular, que el score generado por una agencia de información comercial y comunicado a una entidad financiera tiende generalmente a predeterminar la decisión de esta sobre la concesión o la denegación del crédito al interesado, de manera que debe considerarse que esta toma de posición no presenta más que un carácter puramente formal en el marco del procedimiento. (20) De lo anterior resulta que debe considerarse que el propio score constituye una «decisión» en el sentido del artículo 22, apartado 1, del RGPD.

48. Tal conclusión me parece razonable, ya que cualquier otra interpretación pondría en entredicho el objetivo que persigue el legislador de la Unión con esta disposición, dirigida a proteger los derechos de los interesados. Como expuso acertadamente el órgano jurisdiccional remitente, una lectura estricta del artículo 22, apartado 1, del RGPD generaría una laguna en la protección jurídica: la agencia de información comercial de la que se debería obtener la información exigida por el interesado no estaría obligada a entregarla en virtud del artículo 15, apartado 1, letra h), del RGPD, dado que, supuestamente, esta no toma su propia «decisión automatizada» en el sentido de esta disposición, mientras que la entidad financiera que adoptara la decisión sobre la base del score fijado de forma automatizada y que debería proporcionar la información exigida con arreglo al artículo 15, apartado 1, letra h), del RGPD no podría facilitarla porque no dispondría de esa información.

49. En consecuencia, la entidad financiera no podría controlar la evaluación de la solvencia del solicitante de crédito en caso de que se impugnara la decisión, como exige el artículo 22, apartado 3, del RGPD, o garantizar un tratamiento leal, transparente y no discriminatorio mediante procedimientos matemáticos o estadísticos adecuados, así como medidas técnicas u organizativas apropiadas, como exige el considerando 71, sexta frase, del RGPD. (21) Para evitar tal situación, que iría claramente en contra del objetivo legislativo mencionado en el punto anterior, propongo una interpretación del artículo 22, apartado 1, del RGPD que tenga en cuenta la incidencia real del scoring en la situación del interesado.

50. Tal enfoque me parece lógico, puesto que la agencia de información comercial por lo general debería ser la única entidad capaz de atender las demás solicitudes del interesado, basadas en los derechos que también le concede el RGPD, a saber, el derecho de rectificación, contemplado en el artículo 16 del RGPD, en caso de que los datos personales utilizados para llevar a cabo el scoring resultaran ser inexactos, así como el derecho de supresión, al que se refiere el artículo 17 del RGPD, en caso de que dichos datos sean objeto de un tratamiento ilícito. En la medida en que la entidad financiera generalmente no participa en la recogida de estos datos ni en la elaboración de perfiles cuando se delegan estas tareas en un tercero, resulta razonable excluir la posibilidad de que pueda garantizar efectivamente el respeto de esos derechos. Pues bien, el interesado no debería verse obligado a sufrir las consecuencias desfavorables de tal delegación de funciones.

51. Hacer que la agencia de información comercial asuma la responsabilidad debido a la generación del score —y no en virtud de su utilización posterior— me parece la forma más eficaz de garantizar la protección de los derechos fundamentales del interesado, a saber, el derecho a la protección de los datos de carácter personal, contemplado en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), pero también el derecho al respeto de su vida privada, consagrado en el artículo 7 de la Carta, dado que esta actividad constituye, a fin de cuentas, la «fuente» de todo posible perjuicio. Habida cuenta del riesgo de que el score generado por la agencia de información comercial sea empleado por una pluralidad de entidades financieras, parece razonable permitir al interesado que invoque sus derechos directamente frente a esta.

52. Por las razones expuestas más arriba, considero que se cumplen los requisitos del artículo 22, apartado 1, del RGPD, de manera que esta disposición es aplicable en circunstancias como las del asunto principal.

c) Alcance del derecho de información al que se refiere el artículo 15, apartado 1, letra h), del RGPD

53. En este contexto, no puede destacarse lo suficiente la importancia del pleno respeto por parte del responsable del tratamiento de sus obligaciones de información frente al interesado. De conformidad con el artículo 15, apartado 1, letra h), del RGPD, este último no solo tiene derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen, sino también otra información, como la existencia de decisiones automatizadas, incluida la elaboración de perfiles, en el sentido del artículo 22 del RGPD, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

54. Habida cuenta de que SCHUFA se ha negado a revelar a la demandante cierta información relativa al método de cálculo, alegando que es constitutiva de secretos comerciales, parece pertinente precisar el alcance del derecho de información contemplado en el artículo 15, apartado 1, letra h), del RGPD, en particular en lo referente a la obligación de facilitar «información significativa sobre la lógica aplicada». En mi opinión, esta disposición debe interpretarse en el sentido de que, en principio, abarca también el método de cálculo utilizado por una agencia de información comercial para generar un score, a condición de que no existan intereses en conflicto dignos de protección. A este respecto, debe mencionarse el considerando 63 del RGPD, del que se desprende, entre otros aspectos, que el «derecho a acceder a los datos personales […] no debe afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual y, en particular, los derechos de propiedad intelectual que protegen programas informáticos» (el subrayado es mío).

55. Cabe extraer una serie de conclusiones de la interpretación del artículo 15, apartado 1, letra h), del RGPD, leído a la luz de los considerandos 58 y 63 de dicho Reglamento. En primer término, resulta evidente que el legislador de la Unión era perfectamente consciente de los conflictos que podían surgir entre, por una parte, el derecho a la protección de los datos de carácter personal, garantizado por el artículo 8 de la Carta, y, por otra, el derecho a la protección de la propiedad intelectual, al que se refiere el artículo 17, apartado 2, de la Carta. En segundo término, está claro que no contempló la opción de sacrificar un derecho fundamental en favor de otro. Al contrario, un análisis más en profundidad de las disposiciones del RGPD permite concluir que ha intentado lograr un justo equilibrio entre los derechos y las responsabilidades.

56. La exhortación del legislador de la Unión, en el considerando 63 del RGPD, indicando que «estas consideraciones no deben tener como resultado la negativa a prestar toda la información al interesado» (22) significa, a mi entender, que en todo caso debe proporcionarse un mínimo de información para no comprometer el contenido esencial del derecho a la protección de los datos de carácter personal. De ello se deduce que, si bien la protección del secreto comercial o de la propiedad intelectual constituye, en principio, para una agencia de información comercial, un motivo legítimo para negarse a revelar el algoritmo utilizado para calcular el score del interesado, no puede, en cambio, justificar en modo alguno la denegación total de la información, más aún cuando existen medios de comunicación apropiados que facilitan la comprensión, a la vez que garantizan un cierto grado de confidencialidad.

57. El artículo 12, apartado 1, del RGPD, en virtud del cual «el responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información […] con arreglo [al artículo 15] relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo», (23) me parece particularmente pertinente en este contexto. Esta disposición confirma el razonamiento antes expuesto, en la medida en que de ella se desprende que el objetivo real del artículo 15, apartado 1, letra h), del RGPD consiste en garantizar que el interesado obtenga información de una forma comprensible y accesible, según sus necesidades. En mi opinión, estas exigencias excluyen ya la posibilidad de una obligación de divulgar el algoritmo, habida cuenta de su complejidad. En efecto, la utilidad de comunicar una fórmula particularmente compleja sería dudosa si no se proporcionan las explicaciones necesarias al respecto. En este sentido, procede llamar la atención sobre el considerando 58 del RGPD, del que resulta que el respeto de las exigencias mencionadas anteriormente es particularmente importante «en situaciones en las que […] la complejidad tecnológica de la práctica [haga] que sea difícil para el interesado saber y comprender si se están recogiendo, por quién y con qué finalidad». (24)

58. Por las razones expuestas, considero que la obligación de proporcionar «información significativa sobre la lógica aplicada» debe entenderse en el sentido de que incluye explicaciones suficientemente detalladas sobre el método utilizado para el cálculo del score y sobre las razones que han conducido a un resultado determinado. En general, el responsable del tratamiento debería proporcionar al interesado información general, en particular sobre los factores que se han tenido en cuenta en el proceso de toma de decisiones y sobre su importancia relativa desde el punto de vista agregado, que también le resulte útil para impugnar cualquier «decisión» en el sentido del artículo 22, apartado 1, del RGPD. (25)

d) Respuesta a la primera cuestión prejudicial

59. A la vista de las consideraciones precedentes, considero que el artículo 22, apartado 1, del RGPD debe interpretarse en el sentido de que la generación automatizada de un valor de probabilidad acerca de la capacidad futura de un interesado para satisfacer un préstamo constituye ya una decisión basada únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, que produce efectos jurídicos en el interesado o lo afecta significativamente de modo similar, cuando dicho valor, hallado a partir de datos personales del interesado, es transmitido por el responsable del tratamiento a un tercero responsable del tratamiento y, según una práctica reiterada, este tercero, de un modo determinante, basa en dicho valor su decisión sobre el establecimiento, la ejecución o la extinción de una relación contractual con el interesado.

2. Segunda cuestión prejudicial

60. Aunque la segunda cuestión prejudicial solo se ha planteado para el caso de que la primera reciba una respuesta negativa, me parece que también resulta relevante en caso de que el Tribunal de Justicia llegue a la conclusión de que el scoring está comprendido en la prohibición de las decisiones automatizadas enunciada en el artículo 22, apartado 1, del RGPD. En tal caso, según indica fundadamente el Gobierno finlandés, sería preciso examinar si puede hacerse una excepción a esta prohibición en virtud del artículo 22, apartado 2, letra b), del RGPD. A tenor de esta disposición, la prohibición no se aplica «si la decisión […] está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento».

61. Esta disposición contiene un margen de maniobra regulatorio explícito cuando la elaboración de perfiles automatizada a la que se refiere se base en el Derecho de la Unión o el Derecho de un Estado miembro. Si se basa en el Derecho de un Estado miembro, la ley nacional debe establecer garantías específicas para el interesado. En ese caso, el Tribunal de Justicia deberá determinar si tal «autorización» puede deducirse del propio artículo 6 del RGPD o de una disposición nacional, adoptada sobre una base jurídica prevista en este. Considero que este último supuesto requiere un análisis en profundidad, en vista de que el órgano jurisdiccional remitente tiene dudas sobre la conformidad del artículo 31 de la BDSG con los artículos 6 y 22 del RGPD, lo que exige que los artículos 6 y 22 del RGPD puedan constituir bases jurídicas adecuadas.

a) Existencia de una base jurídica en el RGPD que otorgue competencias normativas a los Estados miembros

62. El órgano jurisdiccional nacional expresa precisamente dudas a este respecto, dado que, según este, ninguna de las disposiciones contenidas en los artículos 6 y 22 del RGPD puede servir de base jurídica para la adopción de una disposición nacional como la contemplada en el artículo 31 de la BDSG, que establece ciertas normas relativas al scoring. Se plantea así la cuestión de si el legislador nacional ha realizado una aplicación conforme de las disposiciones del RGPD que le otorgan un margen de maniobra para establecer normas nacionales sobre el tratamiento de los datos personales con arreglo al RGPD o incluso, en determinadas circunstancias, para establecer excepciones al respecto. La respuesta a esta cuestión es compleja, puesto que el legislador alemán no se refiere a ninguna cláusula de apertura en la exposición de motivos de la Ley. (26) Sin embargo, resulta tanto más pertinente cuanto que el artículo 31, apartado 1, punto 1, de la BDSG establece expresamente que el scoring «solo es admisible si […] se han respetado las disposiciones de la legislación sobre protección de datos» (el subrayado es mío). Como expondré a continuación, diversos argumentos me llevan a dar una respuesta negativa a esta cuestión.

1) Aplicabilidad del artículo 22, apartado 2, letra b), del RGPD

63. De entrada, cabe mencionar la disposición del artículo 22, apartado 2, letra b), del RGPD, que confiere a los Estados miembros la facultad de autorizar una decisión basada únicamente en un tratamiento de datos automatizado, incluida la elaboración de perfiles, y que, por tanto, podría invocarse como base jurídica. Sin embargo, debe señalarse que este apartado 2 no resultaría aplicable en caso de que el Tribunal de Justicia declarase que el scoring no queda comprendido en la prohibición establecida en el apartado 1 del citado artículo 22. En efecto, tal como se desprende claramente del tenor y de la lógica general del artículo 22 del RGPD, la aplicación del apartado 2 presupone que se cumplan los requisitos del apartado 1. En consecuencia, es evidente que procede descartar la aplicación del artículo 22, apartado 2, letra b), del RGPD si la primera cuestión prejudicial recibe una respuesta negativa.

64. En aras de la exhaustividad y habida cuenta de la respuesta afirmativa que propongo dar a la primera cuestión prejudicial, considero necesario examinar la aplicabilidad de esta disposición en el caso de que el Tribunal de Justicia considere, a su vez, que el scoring efectuado por una agencia de información comercial constituye una «decisión» en el sentido del apartado 1 del citado artículo 22. Sin embargo, incluso en este supuesto, subsisten dudas sobre la idoneidad del artículo 22, apartado 2, letra b), del RGPD para servir de base jurídica, por cierto número de motivos.

65. En primer término, debe recordarse que el artículo 22 del RGPD solo se refiere a las decisiones adoptadas «únicamente» sobre la base de tratamientos de datos automatizados, mientras que, según el órgano jurisdiccional remitente, el artículo 31 de la BDSG incluye indistintamente normas que se aplican también a las decisiones no automatizadas, a la vez que regula la licitud del uso de tratamientos de datos a los efectos de la generación de scores. Dicho en otras palabras, el artículo 31 de la BDSG tiene un ámbito de aplicación ratione materiae mucho más amplio que el del artículo 22 del RGPD. (27) Por consiguiente, resulta dudoso que el artículo 22, apartado 2, letra b), del RGPD pueda servir como base jurídica.

66. En segundo término, procede señalar, tal como indica el órgano jurisdiccional remitente, que el artículo 31 de la BDSG regula el «uso» de un valor de probabilidad por parte de actores económicos, pero no la «generación» de dicho valor por las agencias de información comercial, un aspecto que, no obstante, constituye el objeto de la primera cuestión prejudicial. Esto también puede deducirse de las declaraciones realizadas por el Gobierno alemán en la vista. Como he expuesto de forma detallada en el marco del examen de esa cuestión, el artículo 22, apartado 1, del RGPD se aplica también en la fase de la «generación» del score, y no únicamente en la fase de su «uso» por una entidad financiera, siempre y cuando se cumplan ciertos requisitos. (28) Dicho de otro modo, el artículo 31 de la BDSG parece tener por objeto la regulación de un supuesto distinto del comprendido en el ámbito de aplicación ratione materiae del artículo 22 del RGPD, extremo que corresponde confirmar al órgano jurisdiccional remitente. A la luz de las consideraciones anteriormente expuestas, estimo que procede descartar el artículo 22, apartado 2, letra b), del RGPD como base jurídica para la adopción de una medida legislativa nacional como la contemplada en el artículo 31 de la BDSG.

2) Aplicabilidad del artículo 6, apartados 2 y 3, del RGPD

i) Sobre las cláusulas que confieren competencias normativas a los Estados miembros

67. En virtud del artículo 6, apartado 1, del RGPD, el tratamiento de datos personales solo es lícito si se cumple el requisito relativo a uno de los motivos enumerados en dicha disposición. Como ya ha declarado el Tribunal de Justicia, se trata de una lista exhaustiva y taxativa de los casos en los que tal tratamiento puede considerarse lícito. (29) Así pues, para poder ser considerada legítima, la generación de un score por parte de una agencia de información comercial debe estar comprendida en uno de los supuestos contemplados en esa disposición.

68. En un caso como el del litigio principal, las letras b), c) y f) del artículo 6, apartado 1, del RGPD podrían, en principio, resultar aplicables. A tenor del apartado 2 de ese mismo artículo, los Estados miembros pueden mantener o introducir disposiciones más específicas a fin de adaptar la aplicación de las normas del RGPD. Ahora bien, se ha de precisar que esta disposición solo se aplica con el fin de dar cumplimiento al apartado 1, letras c) y e). Del mismo modo, el apartado 3 del citado artículo 6 dispone que la base del tratamiento sea establecida por el Derecho del Estado miembro que se aplique al responsable del tratamiento, siempre y cuando el tratamiento se refiera a los casos indicados en el apartado 1, letras c) y e).

69. De ello se deduce que los Estados miembros pueden adoptar normas más específicas cuando el tratamiento sea «necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento» o «necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento». Estos requisitos tienen como efecto la limitación estricta de la potestad normativa de los Estados miembros, de modo que se excluye un uso arbitrario de las cláusulas de apertura previstas en el RGPD, que puede frustrar el objetivo de armonizar el Derecho en materia de protección de datos personales.

70. Asimismo, debe señalarse en este contexto que, en la medida en que algunas de estas cláusulas utilizan una terminología propia del RGPD, sin realizar una remisión expresa al Derecho de los Estados miembros, los términos empleados deben ser objeto de una interpretación autónoma y uniforme. (30) Este es el telón de fondo en cuyo marco debe comprobarse, a continuación, si la normativa contenida en el artículo 31 de la BDSG está comprendida en uno de los motivos enumerados en el artículo 6, apartado 1, del RGPD.

ii) Licitud del tratamiento de datos

– Motivo al que se refiere el artículo 6, apartado 1, letra b), del RGPD

71. Por lo que respecta a la letra b), de esta disposición se desprende que el tratamiento solo es lícito si y en la medida en que el tratamiento sea necesario para «la ejecución de un contrato en el que el interesado es parte» o para «la aplicación a petición de este de medidas precontractuales». A este respecto, debe señalarse el hecho de que los servicios de las agencias de información solo se emplean en casos excepcionales en la fase de ejecución de un contrato. La fase más importante es la fase precontractual, durante la cual se suele obtener la información sobre la solvencia. Considero que la remisión de una solicitud de información a una agencia de información comercial para realizar una comprobación de solvencia está autorizada sobre la base de esta disposición. (31) Sin embargo, debe precisarse que esta disposición solo cubre la autorización para llevar a cabo investigaciones de solvencia por parte de socios contractuales potenciales, acreedores o prestadores de servicios jurídicos, y crea de esta manera las condiciones previas para la recogida legal de datos por las agencias de información comercial. En cambio, no me parece que esta disposición sea suficiente, por sí sola, para servir de base jurídica destinada a legitimar las actividades de una agencia de información comercial en general. (32)

72. Por añadidura, cabe recordar que, si bien el artículo 6, apartado 1, letra b), del RGPD codifica un motivo de licitud del tratamiento de datos personales, no contempla ninguno de los supuestos previstos en los apartados 2 y 3, según los cuales los Estados miembros disponen de una competencia normativa. De lo anterior resulta que, habida cuenta de que el artículo 6 del RGPD enumera estos supuestos de manera exhaustiva, una disposición nacional como la contemplada en el artículo 31 de la BDSG no puede adoptarse únicamente sobre la base del artículo 6, apartado 1, letra b), del RGPD.

– Motivo al que se refiere el artículo 6, apartado 1, letra c), del RGPD

73. El motivo contemplado en el artículo 6, apartado 1, letra c), del RGPD se refiere al tratamiento basado en una «obligación legal» aplicable al responsable. Esto implica exigencias impuestas por el propio Estado. En cambio, esta disposición no incluye las obligaciones derivadas de contratos de Derecho civil, por ejemplo un contrato celebrado entre una entidad financiera y una agencia de información comercial. No obstante, las entidades financieras que deban asegurarse de la solvencia de sus clientes en virtud de las obligaciones que les impone el Derecho nacional pueden fundarse en esta base jurídica para las solicitudes de información correspondientes, con el fin de garantizar, desde el punto de vista de una agencia de información comercial, la plena legalidad de tales solicitudes. En cambio, la «generación» de un score por parte de la agencia de información comercial no puede considerarse una medida adoptada en cumplimiento de una «obligación legal» impuesta a esta última, dado que tal obligación no parece existir en el Derecho nacional. Por consiguiente, procede considerar que la letra c) no puede invocarse válidamente como base jurídica para calificar la actividad de scoring de tratamiento lícito.

– Motivo al que se refiere el artículo 6, apartado 1, letra e), del RGPD

74. A continuación, se plantea la cuestión de si el artículo 6, apartado 1, letra e), del RGPD podría invocarse como base jurídica para la adopción del artículo 31 de la BDSG. Así sucedería si el tratamiento fuera «necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento». Por una parte, podría afirmarse, como se deduce del objetivo legislativo del artículo 31 de la BDSG, reflejado en el título de esta disposición nacional («Protección de las transacciones económicas en caso de scoring y de información sobre solvencia»), y de los trabajos preparatorios, (33) que las agencias de información comercial contribuyen al buen funcionamiento de la economía de un país. (34)

75. En efecto, en la medida en que dichas agencias proporcionan información sobre la solvencia de personas determinadas, contribuyen a la protección de los consumidores, al evitar el riesgo de un sobreendeudamiento, (35) pero también de las empresas que les venden mercancías o les conceden créditos. Estas agencias garantizan la estabilidad del sistema financiero al impedir que se concedan créditos de manera irresponsable a prestatarios que presenten riesgos de impago elevados. (36) Sin un sistema fiable de evaluación del crédito, una gran parte de la población quedaría prácticamente excluida de la posibilidad de obtener préstamos debido a los riesgos incalculables, las transacciones económicas en la era de la información serían considerablemente más difíciles y las tentativas de fraude pasarían desapercibidas. Visto desde esta perspectiva, es posible suscribir los motivos que aparentemente condujeron al legislador alemán a adoptar el artículo 31 de la BDSG.

76. Por lo demás, aun sabiendo que las personas jurídicas de Derecho privado pueden actuar en interés público, me parece evidente que no cualquier «interés legítimo» puede justificar la aplicación del artículo 6, apartado 1, letra e), del RGPD. La relación con el «ejercicio de poderes públicos» y los considerandos 45, 55 y 56 del RGPD indican más bien que esta disposición se refiere, en primer lugar, a las autoridades públicas en un sentido estricto, así como a las personas jurídicas que asumen ciertas facultades propias de los poderes públicos y, en segundo lugar, a las personas jurídicas de Derecho privado que efectúan un tratamiento con fines de servicio público, por ejemplo en el ámbito de la «salud pública», de la «protección social» y de la «gestión de los servicios de sanidad», expresamente mencionadas en el considerando 45. En otras palabras, esta disposición se refiere a las funciones clásicas del Estado.

77. De igual modo, debe observarse que los considerandos 55 y 56 del RGPD hacen referencia a las «asociaciones religiosas reconocidas oficialmente», así como a los «partidos políticos», es decir, a organizaciones que, según los criterios del legislador de la Unión, realizan actividades en interés público y a tal fin llevan a cabo tratamientos de datos personales. A la vista de esta apreciación, resulta dudoso que esta disposición pueda englobar también las actividades de las agencias de información comercial, incluido el scoring. Tal interpretación ampliaría considerablemente el ámbito de aplicación de esta disposición y haría que la identificación de los límites de esta cláusula de apertura resultara especialmente difícil. (37)

78. Además de las consideraciones expuestas, debe señalarse en este contexto que, si bien el artículo 31 de la BDSG tiene por objeto proteger las transacciones económicas, esa disposición no menciona ninguna función concreta de las referidas agencias. (38) Como ya he indicado en las presentes conclusiones, basándome en las puntualizaciones realizadas por el órgano jurisdiccional remitente sobre el marco jurídico nacional, esta disposición se refiere al «uso» del score por los actores económicos, y no a su «generación» por las agencias de información comercial. (39) Pues bien, la licitud de esta actividad constituye el aspecto central del litigio principal. Por las razones expuestas anteriormente, considero que el artículo 6, apartado 1, letra e), del RGPD no puede servir como base jurídica.

– Motivo al que se refiere el artículo 6, apartado 1, letra f), del RGPD

79. A continuación, procede examinar si esta actividad está comprendida en el ámbito de aplicación del artículo 6, apartado 1, letra f), del RGPD. Según la jurisprudencia del Tribunal de Justicia, (40) la disposición en cuestión establece tres requisitos acumulativos para que el tratamiento de datos personales resulte lícito, a saber, en primer lugar, que el responsable del tratamiento o el tercero o terceros a los que se comuniquen los datos persigan un interés legítimo; en segundo lugar, que el tratamiento de los datos personales sea necesario para la satisfacción de ese interés legítimo, y, en tercer lugar, que no prevalezcan los derechos y libertades fundamentales del interesado en la protección de los datos.

80. Por lo que respecta, antes de nada, a la prosecución de intereses legítimos, he de recordar que el RGPD y la jurisprudencia reconocen una amplia gama de intereses considerados legítimos. (41) Debe precisarse que, de conformidad con el artículo 13, apartado 1, letra d), del RGPD, incumbe al responsable del tratamiento indicar los intereses legítimos perseguidos en el marco del artículo 6, apartado 1, letra f), del RGPD. Como ya he indicado en las presentes conclusiones, el objetivo legislativo del artículo 31 de la BDSG consiste en garantizar la licitud de las actividades llevadas a cabo por las agencias de información comercial, ya que, a juicio del legislador alemán, estas últimas contribuyen al buen funcionamiento de la economía de un país. (42) En la medida en que estas actividades garantizan la protección de los distintos agentes económicos frente a los riesgos propios de la insolvencia, con consecuencias graves para la estabilidad del sistema financiero, en esta fase del análisis cabe concluir que la disposición nacional antes citada persigue un objetivo económico, que puede constituir un «interés legítimo» en el sentido del artículo 6, apartado 1, letra f), del RGPD.

81. En lo que atañe, a continuación, al requisito basado en la necesidad del tratamiento de los datos personales para la satisfacción del interés legítimo perseguido, a tenor de la jurisprudencia del Tribunal de Justicia, las excepciones y las restricciones al principio de protección de los datos personales deben establecerse sin sobrepasar los límites de lo estrictamente necesario. (43) Por lo tanto, es preciso que exista un vínculo estrecho entre el tratamiento y el interés perseguido, a falta de alternativas más respetuosas con la protección de los datos personales, dado que no basta con que el tratamiento presente una mera utilidad para el responsable del tratamiento. A este respecto, se ha de señalar que, si bien el órgano jurisdiccional remitente expresa ciertas dudas sobre la licitud del scoring en relación con las disposiciones del RGPD, no ofrece ningún elemento de información que sugiera la posible existencia de medidas alternativas más respetuosas de la protección de los datos personales. A falta de información en sentido contrario, me inclino a reconocer un cierto margen de maniobra en la elección de las medidas adecuadas para lograr el objetivo buscado.

82. Por último, en cuanto a la ponderación entre, por un lado, los intereses del responsable del tratamiento y, por otro lado, los intereses o los derechos y libertades fundamentales del interesado, debe señalarse que la ponderación de los distintos intereses en juego se ha realizado en el presente asunto por vía legislativa. Con la adopción del artículo 31 de la BDSG, el legislador alemán ha hecho prevalecer los intereses económicos sobre el derecho a la protección de los datos personales. Pues bien, tal enfoque solo sería posible si el artículo 6, apartado 1, letra f), del RGPD estableciera una cláusula que permitiera a los Estados miembros mantener o introducir disposiciones más específicas a fin de adaptar las normas de dicho Reglamento en lo tocante al tratamiento. Sin embargo, esto no es así, como explicaré a continuación.

83. Según se desprende claramente del tenor literal del artículo 6, apartados 2 y 3, del RGPD, el mantenimiento o la introducción de disposiciones más específicas solo está autorizado para los supuestos a los que se refieren las letras c) y e) del apartado 1. El análisis precedente ha demostrado que el artículo 31 de la BDSG no contempla ninguna circunstancia que pueda considerarse comprendida en dichos supuestos, lo que lógicamente excluye la posibilidad de que se pueda invocar el artículo 6, apartados 2 y 3, del RGPD como base jurídica. La aplicación al supuesto previsto en la letra f) del apartado 1 no solo violaría el tenor de estas disposiciones, sino que ignoraría la voluntad del legislador de la Unión, según se desprende de la génesis de dichas disposiciones.

84. A este respecto, debo recordar que, en virtud del artículo 5 de la Directiva 95/46/CE (44) —el acto jurídico que precedió al RGPD—, correspondía a los Estados miembros «[precisar] las condiciones en que [eran] lícitos los tratamientos de datos personales». El Tribunal de Justicia ha interpretado esta disposición concluyendo que nada se oponía a que, en el ejercicio del margen de apreciación que les confería el artículo 5 de la Directiva 95/46, los Estados miembros establecieran los principios que debían regir la ponderación necesaria en virtud del artículo 7, letra f), de esa Directiva, que se corresponde con el artículo 6, apartado 1, letra f), del RGPD. Sin embargo, es importante señalar que el RGPD ya no confiere tal facultad a los Estados miembros. En efecto, la ausencia de una disposición equivalente en el RGPD supone que los Estados miembros ya no pueden establecer principios rectores en su Derecho nacional para precisar el «interés legítimo» en el sentido del artículo 6, apartado 1, letra f), de dicho Reglamento. (45)

85. La referencia hecha a las disposiciones relativas a «situaciones específicas de tratamiento» en el capítulo IX, contenida en los apartados 2 y 3, no tiene por efecto ampliar el ámbito de aplicación del artículo 6 del RGPD. Se trata más bien de un reenvío a disposiciones que autorizan a los Estados miembros a adoptar normas más específicas en ámbitos restringidos, a saber, cuando el tratamiento sea necesario para el cumplimiento de una «obligación legal», en el sentido de la letra c) del apartado 1, o para el cumplimiento de una «misión realizada en interés público» o en el ejercicio de «poderes públicos», en el supuesto contemplado en la letra e) de ese mismo apartado. (46) Como ya he indicado anteriormente, estos ámbitos, no obstante, carecen de relación alguna con las circunstancias en las que se aplica el artículo 31 de la BDSG.

86. En este contexto, también procede recordar que, si bien la propuesta de reglamento de la Comisión le confería la competencia de «adoptar actos delegados […], a fin de especificar las condiciones contempladas en el [artículo 6,] apartado 1, letra f), para diferentes sectores y situaciones de tratamiento de datos, incluido el tratamiento de los datos personales relativos a los niños», esta propuesta no fue adoptada por el legislador de la Unión. El análisis de la evolución del texto muestra que las facultades normativas de los Estados miembros se han reducido en aras de una mayor armonización, con el de fin de que la aplicación de las normas en materia de protección de datos personales sea coherente y homogénea, como confirman asimismo los considerandos 3, 9 y 10 del RGPD. (47) Esta circunstancia debe tenerse en cuenta en el marco de la interpretación del artículo 6 del RGPD.

87. Por último, considero preciso señalar que, incluso en el supuesto de que el artículo 6, apartado 1, letra f), del RGPD fuera aplicable, una disposición nacional como el artículo 31 de la BDSG no puede considerarse conforme con el Derecho de la Unión. Debo recordar que el Tribunal de Justicia ha interpretado el artículo 7, letra f), de la Directiva 95/46 en el sentido de que «un Estado miembro no puede establecer con carácter definitivo el resultado de la ponderación de los derechos e intereses en conflicto respecto de [ciertas] categorías [de datos personales], sin permitir un resultado diferente en atención a las circunstancias particulares de cada caso concreto». (48) Dado que esta disposición estaba redactada en términos casi idénticos a los de la disposición que la sustituyó, a saber, el artículo 6, apartado 1, letra f), del RGPD, me parece que esta interpretación sigue siendo válida. (49) Pues bien, como sugiere el órgano jurisdiccional remitente, parece que el legislador nacional tenía precisamente este objetivo, puesto que, en la medida en que el artículo 31 de la BDSG autoriza el uso de scores en el sector financiero, se concede prioridad a los intereses económicos del sector financiero frente al derecho a la protección de los datos personales, sin tener en cuenta, no obstante, las circunstancias particulares del caso concreto. Tal enfoque supondría ampliar de manera inadmisible el ámbito de aplicación del artículo 6 del RGPD.

88. A la vista de lo anteriormente expuesto, considero que el artículo 6, apartado 1, letra f), del RGPD no puede invocarse válidamente como base jurídica con el fin de adoptar una disposición nacional como el artículo 31 de la BDSG.

– Motivo al que se refiere el artículo 6, apartado 4, en relación con el artículo 23, apartado 1, del RGPD

89. El órgano jurisdiccional remitente indica que el artículo 6, apartado 4, en relación con el artículo 23, apartado 1, del RGPD, se mencionó como base jurídica en el procedimiento legislativo que dio lugar a la adopción del artículo 31 de la BDSG. Sin embargo, la idea de basarse en estas disposiciones se abandonó posteriormente. El órgano jurisdiccional remitente estima que estas disposiciones no son aplicables al presente asunto.

90. Ante la falta de información más detallada, no es posible adoptar una postura sobre la posible aplicabilidad de las disposiciones antes mencionadas. Tampoco me parece necesario hacerlo si dichas disposiciones no han desempeñado ningún papel durante el procedimiento legislativo, como afirma el órgano jurisdiccional remitente. (50)

iii) Conclusión provisional

91. En los puntos anteriores he examinado la cuestión de si los artículos 6 y 22 del RGPD pueden servir de base jurídica para la adopción de una disposición nacional como el artículo 31 de la BDSG, con el fin de justificar la licitud de la generación de scores en el marco de las actividades realizadas por las agencias de información comercial. Diversas razones, que se han expuesto de forma detallada en mi análisis, refuerzan mi convicción de que procede descartar esta posibilidad. En resumen, considero que, a falta de cláusulas de apertura o de exenciones que autoricen a los Estados miembros a adoptar normas más precisas o a establecer excepciones a las normas contenidas en el RGPD para regular la actividad antes mencionada, y habida cuenta del grado de armonización perseguido por este Reglamento, que, con arreglo al artículo 288 TFUE, es obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro, procede considerar que tal disposición nacional no es conforme con el RGPD.

92. Dado que el Tribunal de Justicia carece de competencia para interpretar el Derecho nacional o para pronunciarse sobre la conformidad de este último con el Derecho de la Unión en un procedimiento prejudicial en virtud del artículo 267 TFUE, los argumentos abordados en las presentes conclusiones deben entenderse como indicaciones sobre la interpretación de las disposiciones pertinentes del RGPD, con el fin de permitir al órgano jurisdiccional remitente ejercer, en su caso, esta competencia tras haber examinado él mismo el artículo 31 de la BDSG a la luz de las disposiciones de dicho Reglamento, en particular en lo tocante a la posibilidad de proceder a una interpretación de la normativa nacional conforme con las exigencias del Derecho de la Unión.

93. El principio de primacía del Derecho de la Unión supone la prevalencia de este ordenamiento sobre el Derecho de los Estados miembros. Dicho principio obliga, por tanto, a todos los órganos e instituciones de los Estados miembros a garantizar la plena eficacia de las diferentes disposiciones del Derecho de la Unión, sin que el Derecho de los Estados miembros pueda oponerse al efecto reconocido a las referidas disposiciones en el territorio de estos Estados. En virtud de dicho principio, cuando no resulte posible interpretar la normativa nacional de manera conforme con las exigencias del Derecho de la Unión, el juez nacional encargado de aplicar, en el ámbito de su competencia, las disposiciones del Derecho de la Unión tendrá la obligación de garantizar la plena eficacia de estas, dejando inaplicada si fuera necesario, y por su propia iniciativa, cualquier disposición contraria de la normativa nacional, aun posterior, sin que deba solicitar o esperar su previa eliminación por vía legislativa o mediante cualquier otro procedimiento constitucional. (51)

b) Respuesta a la segunda cuestión prejudicial

94. En respuesta a la segunda cuestión prejudicial, considero que los artículos 6, apartado 1, y 22 del RGPD deben interpretarse en el sentido de que no se oponen a una normativa nacional sobre elaboración de perfiles cuando se trate de una elaboración de perfiles distinta de la prevista en el artículo 22, apartado 1, de este Reglamento. Sin embargo, en este caso la normativa nacional debe respetar los requisitos establecidos en el artículo 6 de dicho Reglamento. En particular, debe fundamentarse en una base jurídica adecuada, extremo que corresponde verificar al órgano jurisdiccional remitente.

VI. Conclusión

95. Habida cuenta de las consideraciones precedentes, propongo al Tribunal de Justicia que responda de la siguiente manera a las cuestiones prejudiciales planteadas por el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso‑Administrativo de Wiesbaden, Alemania):

«1) El artículo 22, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que

la generación automatizada de un valor de probabilidad acerca de la capacidad futura de un interesado para satisfacer un préstamo constituye ya una decisión basada únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, que produce efectos jurídicos en el interesado o lo afecta significativamente de modo similar, cuando dicho valor, hallado a partir de datos personales del interesado, es transmitido por el responsable del tratamiento a un tercero responsable del tratamiento y, según una práctica reiterada, este tercero, de un modo determinante, basa en dicho valor su decisión sobre el establecimiento, la ejecución o la extinción de una relación contractual con el interesado.

2) Los artículos 6, apartado 1, y 22 del Reglamento 2016/679

deben interpretarse en el sentido de que

no se oponen a una normativa nacional sobre elaboración de perfiles cuando se trate de una elaboración de perfiles distinta de la prevista en el artículo 22, apartado 1, de este Reglamento. Sin embargo, en este caso la normativa nacional debe respetar los requisitos establecidos en el artículo 6 de dicho Reglamento. En particular, debe fundamentarse en una base jurídica adecuada, extremo que corresponde verificar al órgano jurisdiccional remitente.»

1 Lengua original: francés.

2 DO 2016, L 119, p. 1.

3 BGBl. 2017 I, p. 2097.

4 BGBl. 2019 I, p. 1626.

5 Se trata, concretamente, de los artículos 18 y 21 de la Directiva 2014/17/UE del Parlamento Europeo y del Consejo, de 4 de febrero de 2014, sobre los contratos de crédito celebrados con los consumidores para bienes inmuebles de uso residencial y por la que se modifican las Directivas 2008/48/CE y 2013/36/UE y el Reglamento (UE) n.º 1093/2010 (DO 214, L 60, p. 34), así como de los artículos 8 y 9 de la Directiva 2008/48/CE del Parlamento Europeo y del Consejo, de 23 de abril de 2008, relativa a los contratos de crédito al consumo y por la que se deroga la Directiva 87/102/CEE del Consejo (DO 2008, L 133, p. 66).

6 De las «Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679», adoptadas el 3 de octubre de 2017 por el Grupo de Trabajo sobre protección de datos del artículo 29, se desprende que la elaboración de perfiles y las decisiones automatizadas pueden plantear riesgos importantes para los derechos y las libertades de las personas. En particular, la elaboración de perfiles puede perpetuar los estereotipos existentes y la segregación social. Por añadidura, habida cuenta de que los interesados pueden ver su libertad de elección limitada en lo referente a ciertos productos o servicios, la elaboración de perfiles puede conducir a la denegación de bienes y servicios, así como a una discriminación injustificada.

7 Véase la sentencia de 28 de abril de 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322), apartados 57 y 60.

8 Véase la sentencia de 28 de octubre de 2020, Pegaso y Sistemi di Sicurezza (C‑521/18, EU:C:2020:867), apartados 26 y 27.

9 Véanse las conclusiones del Abogado General Richard de la Tour presentadas en el asunto Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2022:661), puntos 43 y siguientes.

10 Véase la sentencia de 22 de junio de 2010, Melki y Abdeli (C‑188/10 y C‑189/10, EU:C:2010:363), apartado 45.

11 Véase la sentencia de 12 de enero de 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2), apartado 57.

12 Véanse las versiones española («tratamiento automatizado, incluida la elaboración de perfiles»), danesa («automatisk behandling, herunder profilering»), alemana («einer automatisierten Verarbeitung — einschließlich Profiling»), estonia («automatiseeritud töötlusel, sealhulgas profiilianalüüsil»), inglesa («automated processing, including profiling»), francesa («un traitement automatisé, y compris le profilage») y polaca («zautomatyzowanym przetwarzaniu, w tym profilowaniu») (el subrayado es mío).

13 Véase, en este sentido, Bygrave, L. A.: «Article 22. Automated individual decisión‑making, including profiling», en Kuner, C., Bygrave, L. A. y Docksey, C. (eds.): The EU General Data Protection Regulation (GDPR), Oxford, 2020, p. 532.

14 Abel, R.: «Automatisierte Entscheidungen im Einzelfall gem. Art. 22 DS‑GVO — Anwedungsbereich und Grenzen im nicht-öffentlichen Bereich», Zeitschrift für Datenschutz, 7/2018, p. 307, considera que esta disposición se refiere a las «decisiones» que afectan a la situación jurídica del interesado o perturban de forma duradera su desarrollo económico o personal.

15 Helfrich, M. y Sydow. G.: DS‑GVO/BDSG, 2.ª ed., Baden‑Baden, 2018, artículo 22, punto 51, consideran que resulta decisivo establecer si el interesado se ve afectado en el ejercicio de sus derechos y libertades, por ejemplo, por las consecuencias de una observación y una evaluación que puedan afectarlo de manera no trivial en el desarrollo de su personalidad.

16 Bernhardt, U., Ruhrman, I., Schuler, K. y Weichert, T.: «Evaluation der Europäischen Datentschutz‑Grundverordnung», versión de 18 de julio de 2019, Netzwerk Datenschutzexpertise, p. 7, consideran que los algoritmos utilizados en el marco de la elaboración de perfiles tienen un gran potencial para generar discriminación y pueden dar lugar a perjuicios, razón por la cual los autores estiman que debe precisarse que todas las formas de elaboración completa y compleja de perfiles están comprendidas en el ámbito de la prohibición mencionada en el artículo 22, apartado 1, del RGPD.

17 Véase, en este sentido, Sydow, G. y Marsch, N.: DS‑GVO/BDSG, 3.ª ed., Baden‑Baden, 2022, § 31 BDSG, punto 5, que consideran que el scoring puede afectar a los interesados significativamente y de modo similar a una decisión que produzca efectos jurídicos.

18 Véanse las versiones española («únicamente»), danesa («alene»), alemana («ausschließlich»), estonia («üksnes»), inglesa («solely»), francesa («exclusivement») y polaca («wyłącznie»).

19 Dicho enfoque me parece tanto más necesario cuanto que ni SCHUFA ni HBDI fueron capaces de ofrecer una respuesta clara en la vista a la cuestión de si los scores tienden a predeterminar las decisiones de las entidades financieras. Sin embargo, el representante de SCHUFA indicó que estas se benefician de la experiencia y de la competencia de las agencias de información comercial a la hora de establecer la solvencia de una persona física, lo que, en principio, podría interpretarse como una indicación de una influencia no desdeñable en el proceso de toma de decisiones.

20 Blasek, K.: «Auskunfteiwesen und Kredit‑Scoring in unruhigem Fahrwasser — Ein Spagat zwischen Individualschutz und Rechtssicherheit», Zeitschrift für Datenschutz, 8/2022, pp. 436 y 438, considera que no cabe excluir la aplicación del artículo 22, apartado 1, del RGPD en los casos en los que los empleados de un banco no cuestionen las evaluaciones automatizadas (elaboración de perfiles, scores) efectuadas por las agencias de información comercial. Según el autor, los bancos no deberían fiarse únicamente de esta información externa, sino que más bien deberían verificarla ellos mismos de manera adecuada.

21 Véase, en este sentido, Horstmann, J. y Dalmer, S.: «Automatisierte Kreditwürdigkeitsprüfung — Externes Kreditscoring im Lichte des Verbots automatisierter Einzelfallentscheidungen», Zeitschrift für Datenschutz, 5/2022, p. 263.

22 El subrayado es mío.

23 El subrayado es mío.

24 Véase Zanfir‑Fortuna, G.: «Article 15. Right of access by the data subject», en Kuner, C., Bygrave, L. A. y Docksey, C. (eds.): The EU General Data Protection Regulation (GDPR), Oxford, 2020, p. 463.

25 Véanse, en este sentido, las «Directrices sobre decisiones individuales automatizadas y elaboración de perfiles a los efectos del Reglamento 2016/679», adoptadas el 3 de octubre de 2017 por el Grupo de Trabajo sobre protección de datos del artículo 29, pp. 28 y 30.

26 Véase «Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz‑Anpassungs‑ und — Umsetzungsgesetz EU — DSAnpUG‑EU)», Bundesrat (Cámara Alta, Alemania) — documento 110/17, de 2 de febrero de 2017, pp. 101 y 102; Abel, R.: «Einmeldung und Auskunfteitätigkeit nach DS‑GVO und § 31 BDSG — Frage der Rechtssicherheit im neuen Recht», Zeitschrift für Datenschutz, 3/2018, p. 105, critica el proyecto de ley, que no indica la cláusula de apertura en la que se basa el artículo 31 de la BDSG, y expresa sus dudas sobre la conformidad de esta disposición con el Derecho de la Unión.

27 Véase, en este sentido, Horstmann, J. y Dalmer, S.: «Automatisierte Kreditwürdigkeitsprüfung — Externes Kreditscoring im Lichte des Verbots automatisierter Einzelfallentscheidungen», Zeitschrift für Datenschutz, 5/2022, p. 265.

28 Véase el punto 44 de las presentes conclusiones.

29 Sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico) (C‑439/19, EU:C:2021:504), apartado 99.

30 Sentencia de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico) (C‑439/19, EU:C:2021:504), apartado 81.

31 Véase, en este sentido, von Lewinski, K. y Pohl, D.: «Auskunfteien nach der europäischen Datenschutzreform — Brüche und Kontinuitäten der Rechtslage», Zeitschrift für Datenschutz, 1/2018, p. 19.

32 Véase, en este sentido, Abel, R.: «Einmeldung und Auskunfteitätigkeit nach DS‑GVO und § 31 BDSG — Frage der Rechtssicherheit im neuen Recht», Zeitschrift für Datenschutz, 3/2018, p. 106.

33 Véase «Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs‑ und — Umsetzungsgesetz EU — DSAnpUG‑EU)», Cámara Alta — documento 110/17, de 2 de febrero de 2017, pp. 101 y 102. En la vista, el Gobierno alemán confirmó que este es, efectivamente, el objetivo legislativo del artículo 31 de la BDSG.

34 Véase, a este respecto, Guggenberger, N. y Sydow, G.: Bundesdatenschutzgesetz, 1.ª ed., Baden‑Baden, 2020, § 31, puntos 2 y 5.

35 Véase la sentencia de 27 de marzo de 2014, LCL Le Crédit Lyonnais (C‑565/12, EU:C:2014:190), apartados 40 y 42, referida a la obligación del prestamista, prevista en el artículo 8, apartado 1, de la Directiva 2008/48, de evaluar la solvencia del consumidor antes de celebrar un contrato de crédito, obligación que puede incluir la consulta de las bases de datos pertinentes. Según el Tribunal de Justicia, esta obligación precontractual tiene por objeto proteger a los consumidores frente a los riesgos de sobreendeudamiento y de insolvencia, garantizando un nivel elevado de protección de sus intereses y facilitando el desarrollo de un mercado interior eficaz del crédito al consumo.

36 Véase la sentencia de 6 de junio de 2019, Schyns (C‑58/18, EU:C:2019:467), apartados 45 y 46, en la que el Tribunal de Justicia declaró que la obligación del prestamista, prevista en el artículo 18, apartado 5, letra a), de la Directiva 2014/17, de verificar la solvencia del consumidor antes de concederle un crédito tiene por objeto evitar un comportamiento irresponsable de los participantes en el mercado que pueda socavar los cimientos del sistema financiero.

37 Véanse, en este sentido, Sydow, G. y Marsch, N.: DS‑GVO/BDSG, 3.ª ed., Baden‑Baden, 2022, § 31 BDSG, punto 6, y Abel, R.: «Einmeldung und Auskunfteitätigkeit nach DS‑GVO und § 31 BDSG — Frage der Rechtssicherheit im neuen Recht», Zeitschrift für Datenschutz, 3/2018, p. 105.

38 Véase, a este respecto, Guggenberger, N. y Sydow, G.: Bundesdatenschutzgesetz, 1.ª ed., Baden‑Baden, 2020, § 31, punto 5.

39 Véase el punto 66 de las presentes conclusiones.

40 Sentencia de 17 de junio de 2021, M.I.C.M. (C‑597/19, EU:C:2021:492), apartado 106.

41 Véanse, a este respecto, las conclusiones del Abogado General Rantos presentadas en el asunto Meta Platforms y otros (Condiciones generales de uso de una red social) (C‑252/21, EU:C:2022:704), apartado 60.

42 Véase el punto 74 de las presentes conclusiones.

43 Véanse las sentencias de 4 de mayo de 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336), apartado 30, y de 17 de junio de 2021, M.I.C.M. (C‑597/19, EU:C:2021:492), apartado 110.

44 Directiva del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).

45 Véase, en este sentido, Heberlein, H.: DS‑GVO — Kommentar, Múnich, 2017, artículo 6, puntos 28 y 32.

46 Véase, en este sentido, Heberlein, H., op. cit., punto 32, y Roßnagel, A., en Simitis, S., Hornung, G. y Spiecker, I. (eds.): Datenschutzrecht, Múnich, 2019, artículo 6, punto 23.

47 Véase la sentencia de 22 de junio de 2022, Leistritz (C‑534/20, EU:C:2022:495), apartado 26.

48 Véase la sentencia de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779), apartado 62.

49 Véase la sentencia de 1 de agosto de 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601), apartado 66, en la que el Tribunal de Justicia interpretó ciertas disposiciones de la Directiva 95/46 y del RGPD de manera uniforme.

50 Guggenberger, N. y Sydow, G.: Bundesdatenschutzgesetz, 1.ª ed., Baden‑Baden, 2020, § 31, punto 6, confirman la apreciación del órgano jurisdiccional remitente acerca de la falta de pertinencia de estas disposiciones en la elección de una base jurídica para la adopción del artículo 31 de la BDSG.

51 Sentencia de 21 de junio de 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491), apartado 293.