CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:957

ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Primeira Secção)

7 de dezembro de 2023 (*)

«Reenvio prejudicial — Proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais — Regulamento (UE) 2016/679 — Artigo 22.o — Decisão individual automatizada — Sociedades que fornecem informações comerciais — Determinação automatizada de um valor de probabilidade relativamente à capacidade de uma pessoa para cumprir as suas obrigações de pagamento no futuro (“scoring”) — Utilização deste valor de probabilidade por terceiros»

No processo C‑634/21,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.^o TFUE, pelo Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden, Alemanha), por Decisão de 1 de outubro de 2021, que deu entrada no Tribunal de Justiça em 15 de outubro de 2021, no processo

contra

Land Hessen,

sendo interveniente:

SCHUFA Holding AG,

O TRIBUNAL DE JUSTIÇA (Primeira Secção),

composto por: A. Arabadjiev, presidente de secção, T. von Danwitz, P. G. Xuereb, A. Kumin (relator) e I. Ziemele, juízes,

advogado‑geral: P. Pikamäe,

secretário: C. Di Bella, administrador,

vistos os autos e após a audiência de 26 de janeiro de 2023,

vistas as observações apresentadas:

– em representação de OQ, por U. Schmidt, Rechtsanwalt,

– em representação do Land Hessen, por M. Kottmann e G. Ziegenhorn, Rechtsanwälte,

– em representação da SCHUFA Holding AG, por G. Thüsing e U. Wuermeling, Rechtsanwalt,

– em representação do Governo Alemão, por P.‑L. Krüger, na qualidade de agente,

– em representação do Governo Dinamarquês, por V. Pasternak Jørgensen, M. Søndahl Wolff e Y. Thyregod Kollberg, na qualidade de agentes,

– em representação do Governo Português, por P. Barros da Costa, I. Oliveira, M. J. Ramos e C. Vieira Guerra, na qualidade de agentes,

– em representação do Governo Finlandês, por M. Pere, na qualidade de agente,

– em representação da Comissão Europeia, por A. Bouchagiar, F. Erlbacher e H. Kranenborg, na qualidade de agentes,

ouvidas as conclusões do advogado‑geral na audiência de 16 de março de 2023,

profere o presente

Acórdão

1 O pedido de decisão prejudicial tem por objeto a interpretação do artigo 6.^o, n.^o 1, e do artigo 22.^o do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1, e retificação JO 2018, L 127, p. 2; a seguir «RGPD»).

2 Este pedido foi apresentado no âmbito de um litígio que opõe OQ ao Land Hessen (Land de Hesse, Alemanha), a respeito da recusa do Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Comissário para a Proteção de Dados e da Liberdade de Informação do Land de Hesse, Alemanha) (a seguir «HBDI») de ordenar à SCHUFA Holding AG (a seguir «SCHUFA») que deferisse um pedido apresentado por OQ destinado a aceder a, e a apagar, dados pessoais que lhe dizem respeito.

Quadro jurídico

Direito da União

3 Nos termos do considerando 71 do RGPD:

«O titular dos dados deverá ter o direito de não ficar sujeito a uma decisão, que poderá incluir uma medida, que avalie aspetos pessoais que lhe digam respeito, que se baseie exclusivamente no tratamento automatizado e que produza efeitos jurídicos que lhe digam respeito ou o afetem significativamente de modo similar, como a recusa automática de um pedido de crédito por via eletrónica ou práticas de recrutamento eletrónico sem qualquer intervenção humana. Esse tratamento inclui a definição de perfis mediante qualquer forma de tratamento automatizado de dados pessoais para avaliar aspetos pessoais relativos a uma pessoa singular, em especial a análise e previsão de aspetos relacionados com o desempenho profissional, a situação económica, saúde, preferências ou interesses pessoais, fiabilidade ou comportamento, localização ou deslocações do titular dos dados, quando produza efeitos jurídicos que lhe digam respeito ou a afetem significativamente de forma similar. No entanto, a tomada de decisões com base nesse tratamento, incluindo a definição de perfis, deverá ser permitida se expressamente autorizada pelo direito da União ou dos Estados‑Membros aplicável ao responsável pelo tratamento, incluindo para efeitos de controlo e prevenção de fraudes e da evasão fiscal, conduzida nos termos dos regulamentos, normas e recomendações das instituições da União [Europeia] ou das entidades nacionais de controlo, e para garantir a segurança e a fiabilidade do serviço prestado pelo responsável pelo tratamento, ou se for necessária para a celebração ou execução de um contrato entre o titular dos dados e o responsável pelo tratamento, ou mediante o consentimento explícito do titular. Em qualquer dos casos, tal tratamento deverá ser acompanhado das garantias adequadas, que deverão incluir a informação específica ao titular dos dados e o direito de obter a intervenção humana, de manifestar o seu ponto de vista, de obter uma explicação sobre a decisão tomada na sequência dessa avaliação e de contestar a decisão. Essa medida não deverá dizer respeito a uma criança.

A fim de assegurar um tratamento equitativo e transparente no que diz respeito ao titular dos dados, tendo em conta a especificidade das circunstâncias e do contexto em que os dados pessoais são tratados, o responsável pelo tratamento deverá utilizar procedimentos matemáticos e estatísticos adequados à definição de perfis, aplicar medidas técnicas e organizativas que garantam designadamente que os fatores que introduzem imprecisões nos dados pessoais são corrigidos e que o risco de erros é minimizado, e proteger os dados pessoais de modo a que sejam tidos em conta os potenciais riscos para os interesses e direitos do titular dos dados e de forma a prevenir, por exemplo, efeitos discriminatórios contra pessoas singulares em razão da sua origem racial ou étnica, opinião política, religião ou convicções, filiação sindical, estado genético ou de saúde ou orientação sexual, ou a impedir que as medidas venham a ter tais efeitos.»

4 O artigo 4.^o deste regulamento, sob a epígrafe «Definições», prevê:

«Para efeitos do presente regulamento, entende‑se por:

[…]

4) “Definição de perfis”, qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações;

[…]»

5 O artigo 5.^o do referido regulamento, sob a epígrafe «Princípios relativos ao tratamento de dados pessoais», dispõe:

«1. Os dados pessoais são:

a) Objeto de um tratamento lícito, leal e transparente em relação ao titular dos dados (“licitude, lealdade e transparência”);

b) Recolhidos para finalidades determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; […] (“limitação das finalidades”);

c) Adequados, pertinentes e limitados ao que é necessário relativamente às finalidades para as quais são tratados (“minimização dos dados”);

d) Exatos e atualizados sempre que necessário; […] (“exatidão”)

e) Conservados de uma forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados; […] (“limitação da conservação”);

f) Tratados de uma forma que garanta a sua segurança […] (“integridade e confidencialidade”)

2. O responsável pelo tratamento é responsável pelo cumprimento do disposto no n.^o 1 e tem de poder comprová‑lo (“responsabilidade”).»

6 O artigo 6.^o do RGPD, sob a epígrafe «Licitude do tratamento», enuncia, nos seus n.^os 1 e 3:

«1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

b) O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré‑contratuais a pedido do titular dos dados;

c) O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;

d) O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;

e) O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;

f) O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

[…]

3. O fundamento jurídico para o tratamento referido no n.^o 1, alíneas c) e e), é definido:

a) Pelo direito da União; ou

b) Pelo direito do Estado‑Membro ao qual o responsável pelo tratamento está sujeito.

A finalidade do tratamento é determinada com esse fundamento jurídico ou, no que respeita ao tratamento referido no n.^o 1, alínea e), deve ser necessária ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento. […]»

7 O artigo 9.^o deste regulamento, sob a epígrafe «Tratamento de categorias especiais de dados pessoais», tem a seguinte redação:

«1. É proibido o tratamento de dados pessoais que revelem a origem racial ou étnica, as opiniões políticas, as convicções religiosas ou filosóficas, ou a filiação sindical, bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma pessoa.

2. O disposto no n.^o 1 não se aplica se se verificar um dos seguintes casos:

a) Se o titular dos dados tiver dado o seu consentimento explícito para o tratamento desses dados pessoais para uma ou mais finalidades específicas, exceto se o direito da União ou de um Estado‑Membro previr que a proibição a que se refere o n.^o 1 não pode ser anulada pelo titular dos dados;

[…]

g) Se o tratamento for necessário por motivos de interesse público importante, com base no direito da União ou de um Estado‑Membro, que deve ser proporcional ao objetivo visado, respeitar a essência do direito à proteção dos dados pessoais e prever medidas adequadas e específicas que salvaguardem os direitos fundamentais e os interesses do titular dos dados;

[…]»

8 O artigo 13.^o do referido regulamento, sob a epígrafe «Informações a facultar quando os dados pessoais são recolhidos junto do titular», dispõe, no seu n.^o 2:

«Para além das informações referidas no n.^o 1, aquando da recolha dos dados pessoais, o responsável pelo tratamento fornece ao titular as seguintes informações adicionais, necessárias para garantir um tratamento equitativo e transparente:

[…]

f) A existência de decisões automatizadas, incluindo a definição de perfis, referida no artigo 22.^o, n.^os 1 e 4, e, pelo menos nesses casos, informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados.»

9 O artigo 14.^o do RGPD, sob a epígrafe «Informações a facultar quando os dados pessoais não são recolhidos junto do titular», dispõe, no seu n.^o 2:

«Para além das informações referidas no n.^o 1, o responsável pelo tratamento fornece ao titular as seguintes informações, necessárias para lhe garantir um tratamento equitativo e transparente:

[…]

g) A existência de decisões automatizadas, incluindo a definição de perfis referida no artigo 22.^o, n.^os 1 e 4, e, pelo menos nesses casos, informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados.»

10 O artigo 15.^o do mesmo regulamento, sob a epígrafe «Direito de acesso do titular dos dados», enuncia, no seu n.^o 1:

«O titular dos dados tem o direito de obter do responsável pelo tratamento a confirmação de que os dados pessoais que lhe digam respeito são ou não objeto de tratamento e, se for esse o caso, o direito de aceder aos seus dados pessoais e às seguintes informações:

[…]

h) A existência de decisões automatizadas, incluindo a definição de perfis, referida no artigo 22.^o, n.^os 1 e 4, e, pelo menos nesses casos, informações úteis relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados.»

11 O artigo 22.^o do referido regulamento, sob a epígrafe «Decisões individuais automatizadas, incluindo definição de perfis», prevê:

«1. O titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar.

2. O n.^o 1 não se aplica se a decisão:

a) For necessária para a celebração ou a execução de um contrato entre o titular dos dados e um responsável pelo tratamento;

b) For autorizada pelo direito da União ou do Estado‑Membro a que o responsável pelo tratamento estiver sujeito, e na qual estejam igualmente previstas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular dos dados; ou

c) For baseada no consentimento explícito do titular dos dados.

3. Nos casos a que se referem o n.^o 2, alíneas a) e c), o responsável pelo tratamento aplica medidas adequadas para salvaguardar os direitos e liberdades e legítimos interesses do titular dos dados, designadamente o direito de, pelo menos, obter intervenção humana por parte do responsável, manifestar o seu ponto de vista e contestar a decisão.

4. As decisões a que se refere o n.^o 2 não se baseiam nas categorias especiais de dados pessoais a que se refere o artigo 9.^o, n.^o 1, a não ser que o n.^o 2, alínea a) ou g), do mesmo artigo sejam aplicáveis e sejam aplicadas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular.»

12 O artigo 78.^o do RGPD, sob a epígrafe «Direito à ação judicial contra uma autoridade de controlo», dispõe, no seu n.^o 1:

«Sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, todas as pessoas singulares ou coletivas têm direito à ação judicial contra as decisões juridicamente vinculativas das autoridades de controlo que lhes digam respeito.»

Direito alemão

13 O § 31.^o da Bundesdatenschutzgesetz (Lei Federal relativa à Proteção de Dados), de 30 de junho de 2017 (BGBl. I, p. 2097, a seguir «BDSG»), sob a epígrafe «Proteção das transações económicas em caso de “scoring” e de informação sobre a solvabilidade», tem a seguinte redação:

«(1) A utilização de um valor de probabilidade sobre um comportamento específico futuro de uma pessoa singular com o objetivo de decidir sobre o estabelecimento, a execução ou a cessação de uma relação contratual com essa pessoa (“scoring”) só é autorizada quando:

1. forem respeitadas as normas jurídicas relativas à proteção de dados;

2. puder ser provado, com base num método matemático‑estatístico cientificamente reconhecido, que os dados utilizados para calcular o valor da probabilidade são pertinentes para o cálculo da probabilidade do comportamento específico;

3. o cálculo do valor da probabilidade não utilizar exclusivamente dados relativos a domicílios, e

4. em caso da utilização de dados relativos a domicílios, a pessoa em questão tenha sido informada da utilização prevista desses dados antes do cálculo do valor da probabilidade; essa informação deve ser documentada.

(2) A utilização de um valor de probabilidade relativo à solvabilidade e à vontade de pagar de uma pessoa singular, fixado por sociedades que fornecem informações comerciais só é autorizada, no caso de serem incluídas informações sobre os créditos, na medida em que as condições visadas no n.^o 1 estejam preenchidas e apenas sejam tidos em conta os créditos que sejam relativos a uma prestação devida que não tenha sido paga apesar de vencida, e

1. que tenham sido reconhecidos por sentença transitada em julgado ou declarada provisoriamente executória, ou para os quais exista título de dívida, em conformidade com o § 794 do Zivilprozessordnung [(Código de Processo Civil)],

2. que tenham sido reconhecidos em conformidade com o § 178 do Insolvenzordnung [(Código da Insolvência)] e não tenham sido impugnados pelo devedor na diligência de apreciação dos créditos,

3. que tenham sido expressamente reconhecidos pelo devedor,

4. em relação aos quais

a) o devedor tenha recebido, pelo menos, duas notificações escritas para cumprir após o vencimento do crédito,

b) a primeira notificação tenha sido feita há, pelo menos, quatro semanas,

c) o devedor tenha sido previamente informado, no momento da primeira notificação ou posteriormente, sobre a possibilidade de o incumprimento ser tomado em consideração por uma sociedade que fornece informações comerciais, e

d) o devedor não tenha impugnado o crédito; ou

5. cuja relação contratual subjacente possa ser rescindida sem pré‑aviso devido a atrasos de pagamento e sobre os quais o devedor tenha sido previamente informado da sua eventual tomada em consideração por uma sociedade que forneça informações comerciais.

Isto é válido sem prejuízo da licitude do tratamento, incluindo a determinação de valores de probabilidade e de outros dados pertinentes em matéria de solvabilidade, tendo em conta o direito geral da proteção de dados pessoais.»

Litígio no processo principal e questões prejudiciais

14 A SCHUFA é uma sociedade privada de direito alemão que fornece aos seus parceiros contratuais informações sobre a solvabilidade de terceiros, nomeadamente de consumidores. Para o efeito, estabelece um prognóstico sobre a probabilidade de um comportamento futuro de uma pessoa («score»), como o reembolso de um empréstimo, a partir de certas características dessa pessoa, com base em procedimentos matemáticos e estatísticos. A determinação dos scores («scoring») assenta no pressuposto de que a classificação de uma pessoa numa categoria de pessoas com características comparáveis que se comportaram de uma determinada maneira permite prever um comportamento semelhante.

15 Resulta do pedido de decisão prejudicial que foi recusada a OQ a concessão de um empréstimo por um terceiro, após a SCHUFA ter estabelecido e transmitido a esse terceiro informações negativas a seu respeito. OQ pediu à SCHUFA que lhe comunicasse informações sobre os dados pessoais registados e que apagasse os pretensamente errados.

16 Em resposta a esse pedido, a SCHUFA informou OQ do nível do seu score e expôs, em grandes linhas, as modalidades de cálculo dos scores. No entanto, recusou‑se, invocando o segredo comercial, a divulgar as diferentes informações tomadas em conta para efeitos desse cálculo, bem como a sua ponderação. Por último, a SCHUFA indicou que se limitava a enviar informações aos seus parceiros contratuais e que eram estes últimos que tomavam as decisões contratuais propriamente ditas.

17 Mediante reclamação apresentada em 18 de outubro de 2018, OQ pediu ao HBDI, autoridade de controlo competente, que ordenasse à SCHUFA que deferisse o seu pedido de acesso às informações e de apagamento.

18 Por Decisão de 3 de junho de 2020, o HBDI indeferiu esse pedido de injunção, explicando que não estava demonstrado que a SCHUFA não cumpria os requisitos enunciados no artigo 31.^o do BDSG que lhe incumbem no que respeita à sua atividade.

19 OQ interpôs recurso dessa decisão no Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden, Alemanha), o órgão jurisdicional de reenvio, em aplicação do artigo 78.^o, n.^o 1, do RGPD.

20 Segundo esse órgão jurisdicional, para decidir o litígio que lhe foi submetido, importa verificar se a determinação de um valor de probabilidade como o que está em causa no processo principal constitui uma decisão individual automatizada, na aceção do artigo 22.^o, n.^o 1, do RGPD. Com efeito, em caso afirmativo, a licitude desta atividade está subordinada, em conformidade com o artigo 22.^o, n.^o 2, alínea b), deste regulamento, ao requisito de essa decisão ser autorizada pelo direito da União ou do Estado‑Membro a que o responsável pelo tratamento estiver sujeito.

21 A este respeito, o órgão jurisdicional de reenvio tem dúvidas quanto à tese segundo a qual o artigo 22.^o, n.^o 1, do RGPD não é aplicável à atividade de sociedades como a SCHUFA. Baseia as suas dúvidas, de um ponto de vista factual, na importância de um valor de probabilidade como o que está em causa no processo principal para a prática decisória de terceiros aos quais esse valor de probabilidade é transmitido e, de um ponto de vista jurídico, principalmente nos objetivos prosseguidos por este artigo 22.^o, n.^o 1, e nas garantias de proteção jurídica consagradas pelo RGPD.

22 Mais especificamente, o órgão jurisdicional de reenvio sublinha que é o valor de probabilidade que normalmente determina se e como o terceiro irá contratar com o titular dos dados. Ora, o artigo 22.^o do RGPD visa precisamente proteger as pessoas contra os riscos associados às decisões puramente baseadas num automatismo.

23 Em contrapartida, se o artigo 22.^o, n.^o 1, do RGPD devesse ser interpretado no sentido de que a qualidade de «decisão individual automatizada» só pode ser reconhecida, numa situação como a que está em causa no processo principal, à decisão tomada pelo terceiro em relação ao titular dos dados, decorreria daí uma lacuna na proteção jurídica. Com efeito, por um lado, uma sociedade como a SCHUFA não está obrigada a dar acesso às informações adicionais a que o titular dos dados tem direito ao abrigo do artigo 15.^o, n.^o 1, alínea h), deste regulamento, uma vez que não é esta sociedade que adota uma «decisão automatizada», na aceção desta disposição e, consequentemente, na aceção do artigo 22.^o, n.^o 1, do referido regulamento. Por outro lado, o terceiro a quem é comunicado o valor de probabilidade não pode fornecer essas informações adicionais, uma vez que não dispõe das mesmas.

24 Assim, segundo o órgão jurisdicional de reenvio, para evitar tal lacuna na proteção jurídica, é necessário que a determinação de um valor de probabilidade como o que está em causa no processo principal esteja abrangida pelo âmbito de aplicação do artigo 22.^o, n.^o 1, do RGPD.

25 Se esta interpretação devesse ser acolhida, a licitude desta atividade dependeria então da existência de uma base jurídica ao nível do Estado‑Membro em causa, em conformidade com o artigo 22.^o, n.^o 2, alínea b), deste regulamento. Ora, no caso em apreço, embora seja verdade que o artigo 31.^o da BDSG pode constituir tal base jurídica na Alemanha, existem dúvidas sérias quanto à compatibilidade desta disposição com o artigo 22.^o do RGPD, uma vez que o legislador alemão apenas regulamenta a «utilização» de um valor de probabilidade como o que está em causa no processo principal, e não a determinação enquanto tal desse valor.

26 Em contrapartida, se a determinação desse valor de probabilidade não constituir uma decisão individual automatizada na aceção do artigo 22.^o do RGPD, a cláusula de abertura que figura no n.^o 2, alínea b), deste artigo 22.^o também não se aplica às regulamentações nacionais relativas a essa atividade. Tendo em conta o caráter, em princípio, exaustivo do RGPD e na falta de outra competência normativa para tais regulamentações nacionais, parece que o legislador alemão, ao sujeitar a determinação de valores de probabilidade a requisitos de licitude substantiva mais abrangentes, define a matéria regulamentada indo além das exigências enunciadas nos artigos 6.^o e 22.^o do RGPD, sem dispor de poder legislativo para esse efeito. Se este ponto de vista estiver correto, fica alterada a margem de exame da autoridade nacional de controlo, que deverá então apreciar a compatibilidade da atividade das sociedades que fornecem informações comerciais à luz do artigo 6.^o deste regulamento.

27 Nestas condições, o Verwaltungsgericht Wiesbaden (Tribunal Administrativo de Wiesbaden) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1) Deve o artigo 22.^o, n.^o 1, do [RGPD] ser interpretado no sentido de que a determinação automatizada de um valor de probabilidade relativo à capacidade do titular dos dados de pagar no futuro um crédito, já constitui uma decisão baseada exclusivamente no tratamento automatizado, incluindo a definição de perfis, que produz efeitos na esfera jurídica do titular dos dados ou que o afeta significativamente de forma similar, quando o referido valor de probabilidade, que é calculado com recurso a dados pessoais do titular, é transmitido pelo responsável pelo tratamento a um terceiro responsável, e esse terceiro se baseia essencialmente nesse valor de probabilidade para tomar uma decisão acerca do estabelecimento, da execução ou da cessação de uma relação contratual com o titular dos dados?

2) Em caso de resposta negativa à primeira questão prejudicial:

devem o artigo 6.^o, n.^o 1, e o artigo 22.^o do RGPD ser interpretados no sentido de que se opõem a um regime de direito interno segundo o qual o recurso a um valor de probabilidade — neste caso, acerca da solvabilidade e da intenção de pagar de uma pessoa singular, incluindo informações sobre créditos — relativo à adoção de um comportamento futuro por uma pessoa singular, para efeitos de tomada de uma decisão acerca do estabelecimento, da execução ou da cessação de uma relação contratual com a referida pessoa (“scoring”, [determinação de scores]), só é admissível se estiverem preenchidos outros pressupostos, especificados na fundamentação do pedido de decisão prejudicial?»

Quanto à admissibilidade do pedido de decisão prejudicial

28 A SCHUFA contesta a admissibilidade do pedido de decisão prejudicial alegando, em primeiro lugar, que o órgão jurisdicional de reenvio não é chamado a fiscalizar o conteúdo de uma decisão sobre a reclamação, adotada por uma autoridade de controlo como o HBDI, uma vez que o recurso judicial interposto contra essa decisão, previsto no artigo 78.^o, n.^o 1, do RGPD, apenas serve para fiscalizar se essa autoridade cumpriu as obrigações que lhe incumbem por força deste regulamento, particularmente a de tratar as reclamações, precisando que a referida autoridade dispõe de um poder discricionário para decidir se e como deve agir.

29 Em segundo lugar, a SCHUFA sustenta que o órgão jurisdicional de reenvio não expõe as razões exatas pelas quais as questões submetidas são decisivas para a resolução do litígio no processo principal. Este último tem por objeto um pedido de informações sobre um score concreto e o apagamento das mesmas. Ora, no caso em apreço, a SCHUFA alega que respeitou suficientemente a sua obrigação de informação e já apagou o score objeto do procedimento.

30 A este propósito, importa recordar que, segundo jurisprudência constante do Tribunal de Justiça, o juiz nacional, a quem foi submetido o litígio e que deve assumir a responsabilidade pela decisão judicial a tomar, tem competência exclusiva para apreciar, tendo em conta as especificidades do processo, tanto a necessidade de uma decisão prejudicial para poder proferir a sua decisão como a pertinência das questões que submete ao Tribunal de Justiça. Consequentemente, desde que as questões submetidas sejam relativas à interpretação de uma regra de direito da União, o Tribunal de Justiça é, em princípio, obrigado a pronunciar‑se (Acórdão de 12 de janeiro de 2023, DOBELES HES, C‑702/20 e C‑17/21, EU:C:2023:1, n.^o 46 e jurisprudência referida).

31 Daqui se conclui que as questões relativas ao direito da União gozam de uma presunção de pertinência. O Tribunal de Justiça só pode recusar pronunciar‑se sobre uma questão prejudicial submetida por um órgão jurisdicional nacional se for manifesto que a interpretação de uma regra da União solicitada não tem nenhuma relação com a realidade ou o objeto do litígio no processo principal, quando o problema for hipotético ou ainda quando o Tribunal de Justiça não dispuser dos elementos de facto e de direito necessários para dar uma resposta útil às questões que lhe são submetidas (Acórdão de 12 de janeiro de 2023, DOBELES HES, C‑702/20 e C‑17/21, EU:C:2023:1, n.^o 47 e jurisprudência referida).

32 No que respeita, em primeiro lugar, ao fundamento de inadmissibilidade relativo a uma fiscalização jurisdicional pretensamente limitada à qual estão sujeitas as decisões sobre reclamações adotadas por uma autoridade de controlo, importa recordar que, em conformidade com o artigo 78.^o, n.^o 1, do RGPD, sem prejuízo de qualquer outra via de recurso administrativo ou extrajudicial, todas as pessoas singulares ou coletivas têm direito à ação judicial contra as decisões juridicamente vinculativas das autoridades de controlo que lhes digam respeito.

33 No caso em apreço, a decisão adotada pelo HBDI enquanto autoridade de controlo constitui uma decisão juridicamente vinculativa na aceção deste artigo 78.^o, n.^o 1. Com efeito, após ter examinado a procedência da reclamação que lhe foi submetida, essa autoridade pronunciou‑se sobre a mesma e concluiu que o tratamento de dados pessoais contestado pela recorrente no processo principal era lícito.

34 Quanto ao âmbito da fiscalização jurisdicional exercida sobre essa decisão no contexto de um recurso interposto ao abrigo do artigo 78.^o, n.^o 1, basta salientar que uma decisão sobre uma reclamação adotada por uma autoridade de controlo está sujeita a uma fiscalização jurisdicional plena [Acórdão de 7 de dezembro de 2023, SCHUFA Holding (Libertação da dívida remanescente), C‑26/22 e C‑64/22, EU:C:2023:XXX, ponto 1 do dispositivo].

35 Por conseguinte, o primeiro fundamento de inadmissibilidade suscitado pela SCHUFA deve ser rejeitado.

36 Em segundo lugar, resulta claramente do pedido de decisão prejudicial que o órgão jurisdicional de reenvio se interroga sobre o critério de controlo a seguir na apreciação, à luz do RGPD, do tratamento de dados pessoais em causa no processo principal, uma vez que este critério depende da aplicabilidade ou não do artigo 22.^o, n.^o 1, deste regulamento.

37 Assim, não é manifesto que a interpretação do RGPD solicitada pelo órgão jurisdicional de reenvio não tenha nenhuma relação com a realidade ou o objeto do litígio no processo principal ou que o problema seja hipotético. Além disso, o Tribunal de Justiça dispõe dos elementos de facto e de direito necessários para dar uma resposta útil às questões que lhe são submetidas.

38 Por conseguinte, o segundo fundamento de inadmissibilidade aduzido pela SCHUFA deve ser igualmente rejeitado.

39 Nestas condições, o pedido de decisão prejudicial é admissível.

Quanto às questões prejudiciais

Quanto à primeira questão

40 Com a sua primeira questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 22.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que constitui uma «decisão individual automatizada», na aceção desta disposição, a determinação automatizada, por uma sociedade que fornece informações comerciais, de um valor de probabilidade baseado em dados pessoais relativos a uma pessoa sobre a capacidade desta para cumprir as suas obrigações de pagamento no futuro quando o facto de um terceiro, ao qual o referido valor de probabilidade é comunicado, estabelecer, executar ou cessar uma relação contratual com essa pessoa depende de maneira determinante desse valor de probabilidade.

41 Para responder a esta questão, importa recordar, a título preliminar, que a interpretação de uma disposição do direito da União exige que se tenham em conta não só os seus termos mas também o contexto em que se insere, bem como os objetivos e a finalidade que prossegue o ato de que faz parte (Acórdão de 22 de junho de 2023, Pankki S, C‑579/21, EU:C:2023:501, n.^o 38 e jurisprudência referida).

42 Quanto aos termos do artigo 22.^o, n.^o 1, do RGPD, esta disposição prevê que o titular dos dados tem o direito de não ficar sujeito a nenhuma decisão tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produza efeitos na sua esfera jurídica ou que o afete significativamente de forma similar.

43 Por conseguinte, a aplicabilidade desta disposição está sujeita a três requisitos cumulativos, a saber, primeiro, deve existir uma «decisão», segundo, essa decisão deve ser «tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis», e, terceiro, deve produzir «efeitos jurídicos na [esfera jurídica do titular dos dados]» ou afetá‑lo «significativamente de forma similar».

44 No que respeita, em primeiro lugar, ao requisito relativo à existência de uma decisão, importa salientar que o conceito de «decisão», na aceção do artigo 22.^o, n.^o 1, do RGPD, não está definido neste regulamento. No entanto, resulta da própria redação desta disposição que este conceito remete não só para atos que produzem efeitos jurídicos na esfera jurídica do titular dos dados mas também para atos que o afetam significativamente de forma similar.

45 O alcance amplo do conceito de «decisão» é confirmado pelo considerando 71 do RGPD, nos termos do qual uma decisão que implique a avaliação de determinados aspetos pessoais de uma pessoa, de que esta deve ter o direito de não ser objeto, «poderá incluir uma medida» que produza «efeitos jurídicos que lhe digam respeito» ou a «afetem significativamente de modo similar». Segundo este considerando, o termo «decisão» abrange, a título de exemplo, a recusa automática de um pedido de crédito por via eletrónica ou práticas de recrutamento eletrónico sem intervenção humana.

46 Uma vez que o conceito de «decisão» na aceção do artigo 22.^o, n.^o 1, do RGPD é, assim, como o advogado‑geral salientou no n.^o 38 das suas conclusões, suscetível de incluir vários atos que possam afetar o titular dos dados de múltiplas maneiras, este conceito é suficientemente amplo para incluir o resultado do cálculo da solvabilidade de uma pessoa sob a forma de um valor de probabilidade relativo à capacidade dessa pessoa para cumprir as suas obrigações de pagamento no futuro.

47 No que respeita, em segundo lugar, ao requisito de que a decisão, na aceção deste artigo 22.^o, n.^o 1, deve ser «tomada exclusivamente com base no tratamento automatizado, incluindo a definição de perfis», como salientou o advogado‑geral no n.^o 33 das suas conclusões, é pacífico que uma atividade como a da SCHUFA corresponde ao conceito de «definição de perfis» que figura no artigo 4.^o, ponto 4, do RGPD e, portanto, que este requisito está preenchido no caso em apreço, sendo que a redação da primeira questão prejudicial se refere, aliás, explicitamente à determinação automatizada de um valor de probabilidade com base em dados pessoais relativos a uma pessoa sobre a capacidade desta para pagar um crédito no futuro.

48 Em terceiro lugar, e em relação ao requisito de que a decisão deve produzir «efeitos na esfera jurídica» do titular dos dados ou afetá‑lo «significativamente de forma similar», resulta do próprio teor da primeira questão prejudicial que a ação do terceiro ao qual o valor de probabilidade é transmitido se baseia «essencialmente» nesse valor. Assim, segundo as constatações factuais do órgão jurisdicional de reenvio, no caso de um pedido de empréstimo submetido por um consumidor a um banco, um valor de probabilidade insuficiente implica, em quase todos os casos, a recusa deste último em conceder o empréstimo solicitado.

49 Nestas condições, há que considerar que o terceiro requisito a que está subordinada a aplicação do artigo 22.^o, n.^o 1, do RGPD também está preenchido, uma vez que um valor de probabilidade como o que está em causa no processo principal afeta, pelo menos, significativamente o titular dos dados.

50 Daqui decorre que, em circunstâncias como as que estão em causa no processo principal, nas quais o valor de probabilidade estabelecido por uma sociedade que fornece informações comerciais e comunicado a um banco desempenha um papel determinante na concessão de um crédito, a determinação desse valor deve ser qualificada, em si mesma, de decisão que produz, em relação ao titular dos dados, «efeitos na sua esfera jurídica ou que o afet[a] significativamente de forma similar», na aceção do artigo 22.^o, n.^o 1, do RGPD.

51 Esta interpretação é corroborada pelo contexto em que se insere o artigo 22.^o, n.^o 1, do RGPD, bem como pelos objetivos e pela finalidade que este regulamento prossegue.

52 A este respeito, importa sublinhar que, como observou o advogado‑geral no n.^o 31 das suas conclusões, o artigo 22.^o, n.^o 1, do RGPD confere ao titular dos dados o «direito» de não ser objeto de uma decisão tomada exclusivamente com base num tratamento automatizado, incluindo a definição de perfis. Esta disposição estabelece uma proibição de princípio cuja violação não necessita de ser invocada individualmente por essa pessoa.

53 Com efeito, como decorre de uma leitura conjugada do artigo 22.^o, n.^o 2, do RGPD e do considerando 71 deste regulamento, a adoção de uma decisão com base exclusivamente num tratamento automatizado só é autorizada nos casos previstos neste artigo 22.^o, n.^o 2, a saber, se essa decisão for necessária para a celebração ou a execução de um contrato entre o titular dos dados e um responsável pelo tratamento [alínea a)], se for autorizada pelo direito da União ou do Estado‑Membro a que o responsável pelo tratamento estiver sujeito [alínea b)], ou se for baseada no consentimento explícito do titular dos dados [alínea c)].

54 Além disso, o artigo 22.^o do RGPD prevê, no seu n.^o 2, alínea b), e no seu n.^o 3, que devem ser previstas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular dos dados. Nos casos previstos no artigo 22.^o, n.^o 2, alíneas a) e c), deste regulamento, o responsável pelo tratamento aplica, pelo menos, o direito do titular dos dados de obter intervenção humana por parte do responsável, manifestar o seu ponto de vista e contestar a decisão.

55 Por outro lado, em conformidade com o artigo 22.^o, n.^o 4, do RGPD, só em certos casos específicos é que as decisões individuais automatizadas na aceção deste artigo 22.^o se podem basear nas categorias especiais de dados pessoais a que se refere o artigo 9.^o, n.^o 1, deste regulamento.

56 Além disso, no caso de tomada de uma decisão automatizada, como a prevista no artigo 22.^o, n.^o 1, do RGPD, por um lado, o responsável pelo tratamento está sujeito a obrigações de informação adicionais por força do artigo 13.^o, n.^o 2, alínea f), e do artigo 14.^o, n.^o 2, alínea g), deste regulamento. Por outro lado, o titular dos dados beneficia, nos termos do artigo 15.^o, n.^o 1, alínea h), do referido regulamento, do direito de obter, do responsável pelo tratamento, nomeadamente, «informações úteis relativas à lógica subjacente, bem como [à] importância e [à]s consequências previstas de tal tratamento para o titular dos dados».

57 Estes requisitos mais exigentes quanto à licitude de uma tomada de decisão automatizada, bem como às obrigações de informação adicionais do responsável pelo tratamento e aos correspondentes direitos de acesso adicionais do titular dos dados explicam‑se pela finalidade que o artigo 22.^o do RGPD prossegue, que consiste em proteger as pessoas contra os riscos específicos para os seus direitos e liberdades decorrentes do tratamento automatizado de dados pessoais, incluindo a definição de perfis.

58 Com efeito, esse tratamento implica, como resulta do considerando 71 do RGPD, a avaliação de aspetos pessoais relativos à pessoa singular afetada por esse tratamento, especialmente a análise e previsão de aspetos relacionados com o desempenho profissional, a situação económica, saúde, preferências ou interesses pessoais, fiabilidade ou comportamento, localização ou deslocações dessa pessoa.

59 Estes riscos específicos são, segundo este considerando, suscetíveis de lesar os legítimos interesses e os direitos do titular dos dados, nomeadamente tendo em conta os potenciais efeitos discriminatórios contra pessoas singulares em razão da sua origem racial ou étnica, opinião política, religião ou convicções, filiação sindical, estado genético ou de saúde ou orientação sexual. Por conseguinte, importa, ainda segundo o referido considerando, prever garantias adequadas e assegurar um tratamento equitativo e transparente no que diz respeito ao titular dos dados, nomeadamente através da utilização de procedimentos matemáticos ou estatísticos adequados à definição de perfis e da aplicação de medidas técnicas e organizativas que garantam que o risco de erros é minimizado.

60 Ora, a interpretação exposta nos n.^os 42 a 50 do presente acórdão e, nomeadamente, o alcance amplo do conceito de «decisão», na aceção do artigo 22.^o, n.^o 1, do RGPD, reforça a proteção efetiva visada por esta disposição.

61 Em contrapartida, em circunstâncias como as que estão em causa no processo principal, nas quais estão envolvidos três intervenientes, existiria um risco de elusão do artigo 22.^o do RGPD e, por conseguinte, uma lacuna na proteção jurídica se fosse acolhida uma interpretação restritiva desta disposição, segundo a qual a determinação do valor de probabilidade deve ser considerada um simples ato preparatório e só o ato adotado pelo terceiro pode, sendo caso disso, ser qualificado de «decisão», na aceção do artigo 22.^o, n.^o 1, deste regulamento.

62 Com efeito, nesta hipótese, a determinação de um valor de probabilidade como o que está em causa no processo principal eludiria os requisitos específicos previstos no artigo 22.^o, n.^os 2 a 4, do RGPD, apesar de este procedimento assentar num tratamento automatizado e produzir efeitos que afetam significativamente o titular dos dados, uma vez que a ação do terceiro, ao qual esse valor de probabilidade é transmitido, se baseia de maneira determinante nesse valor.

63 Além disso, como salientou o advogado‑geral no n.^o 48 das suas conclusões, por um lado, o titular dos dados não poderia invocar, junto da sociedade que fornece informações comerciais e que determina o valor de probabilidade que lhe diz respeito, o seu direito de acesso às informações específicas a que se refere o artigo 15.^o, n.^o 1, alínea h), do RGPD, na falta de tomada de uma decisão automatizada por essa sociedade. Por outro lado, mesmo admitindo que o ato adotado pelo terceiro está, por sua vez, abrangido pelo artigo 22.^o, n.^o 1, deste regulamento visto que preenche os requisitos de aplicação desta disposição, esse terceiro não poderia fornecer essas informações específicas, uma vez que geralmente não dispõe delas.

64 O facto de a determinação de um valor de probabilidade como o que está em causa no processo principal estar abrangida pelo artigo 22.^o, n.^o 1, do RGPD tem como consequência, tal como salientado nos n.^os 53 a 55 do presente acórdão, a sua proibição, a menos que seja aplicável uma das exceções que figuram no artigo 22.^o, n.^o 2, deste regulamento e sejam respeitados os requisitos específicos previstos no artigo 22.^o, n.^os 3 e 4, do referido regulamento.

65 No que respeita, mais especificamente, ao artigo 22.^o, n.^o 2, alínea b), do RGPD, a que o órgão jurisdicional de reenvio faz referência, resulta da própria redação desta disposição que o direito nacional que autoriza a adoção de uma decisão individual automatizada deve prever medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular dos dados.

66 À luz do considerando 71 do RGPD, tais medidas devem incluir, concretamente, a obrigação de o responsável pelo tratamento utilizar procedimentos matemáticos ou estatísticos adequados, aplicar medidas técnicas e organizativas adequadas que garantam que o risco de erros seja minimizado e os erros sejam corrigidos, bem como proteger os dados pessoais para que sejam tidos em conta os potenciais riscos para os interesses e direitos do titular dos dados e a fim de prevenir, por exemplo, efeitos discriminatórios contra o mesmo. Estas medidas incluem, por outro lado, pelo menos o direito do titular dos dados de obter uma intervenção humana da parte do responsável pelo tratamento, manifestar o seu ponto de vista e contestar a decisão tomada a seu respeito.

67 Importa ainda salientar que, em conformidade com jurisprudência constante do Tribunal de Justiça, qualquer tratamento de dados pessoais deve, por um lado, ser conforme com os princípios relativos ao tratamento de dados estabelecidos no artigo 5.^o do RGPD e, por outro, à luz, especialmente, do princípio da licitude do tratamento, previsto no n.^o 1, alínea a), deste artigo, cumprir um dos requisitos de licitude do tratamento enumerados no artigo 6.^o deste regulamento (Acórdão de 20 de outubro de 2022, Digi, C‑77/21, EU:C:2022:805, n.^o 49 e jurisprudência referida). O responsável pelo tratamento deve poder demonstrar o respeito por esses princípios, em conformidade com o princípio da responsabilidade enunciado no artigo 5.^o, n.^o 2, do referido regulamento (v., neste sentido, Acórdão de 20 de outubro de 2022, Digi, C‑77/21, EU:C:2022:805, n.^o 24).

68 Assim, na hipótese de o direito de um Estado‑Membro autorizar, em conformidade com o artigo 22.^o, n.^o 2, alínea b), do RGPD, a adoção de uma decisão baseada exclusivamente num tratamento automatizado, este tratamento deve não só respeitar os requisitos estabelecidos por esta última disposição e pelo artigo 22.^o, n.^o 4, deste regulamento, mas também os requisitos previstos nos artigos 5.^o e 6.^o do referido regulamento. Por conseguinte, os Estados‑Membros não podem adotar, ao abrigo do artigo 22.^o, n.^o 2, alínea b), do RGPD, regulamentações que autorizem a definição de perfis em violação dos requisitos impostos por estes artigos 5.^o e 6.^o, conforme interpretados pela jurisprudência do Tribunal de Justiça.

69 No que respeita, concretamente, aos requisitos de licitude, previstos no artigo 6.^o, n.^o 1, alíneas a), b) e f), do RGPD, que podem ser aplicados num caso como o que está em causa no processo principal, os Estados‑Membros não estão habilitados a prever regras complementares para a aplicação desses requisitos, uma vez que tal faculdade, em conformidade com o artigo 6.^o, n.^o 3, deste regulamento, está limitada aos motivos referidos no artigo 6.^o, n.^o 1, alíneas c) e e), do referido regulamento.

70 Além disso, no que respeita mais especificamente ao artigo 6.^o, n.^o 1, alínea f), do RGPD, os Estados‑Membros não podem, ao abrigo do artigo 22.^o, n.^o 2, alínea b), deste regulamento, afastar‑se das exigências resultantes da jurisprudência do Tribunal de Justiça decorrente do Acórdão de 7 de dezembro de 2023, SCHUFA Holding (Libertação da dívida remanescente) (C‑26/22 e C‑64/22, EU:C:2023:XXX), nomeadamente prescrevendo de forma definitiva o resultado da ponderação dos direitos e dos interesses em causa (v., neste sentido, Acórdão de 19 de outubro de 2016, Breyer, C‑582/14, EU:C:2016:779, n.^o 62).

71 Neste caso, o órgão jurisdicional de reenvio indica que apenas o artigo 31.^o da BDSG poderia constituir uma base jurídica nacional, na aceção do artigo 22.^o, n.^o 2, alínea b), do RGPD. No entanto, tem sérias dúvidas quanto à compatibilidade deste artigo 31.^o com o direito da União. Admitindo que esta disposição seja considerada incompatível com o direito da União, a SCHUFA não só atua sem base legal como viola ipso iure a proibição prevista no artigo 22.^o, n.^o 1, do RGPD.

72 A este respeito, incumbe ao órgão jurisdicional de reenvio verificar se o artigo 31.^o da BDSG pode ser qualificado de base legal que autoriza, nos termos do artigo 22.^o, n.^o 2, alínea b), do RGPD, a adoção de uma decisão exclusivamente com base num tratamento automatizado. Se esse órgão jurisdicional concluir que o referido artigo 31.^o constitui tal base legal, caber‑lhe‑á ainda verificar se, no caso em apreço, estão preenchidos os requisitos impostos pelo artigo 22.^o, n.^os 2, alínea b), e 4, do RGPD e os que figuram nos artigos 5.^o e 6.^o deste regulamento.

73 Tendo em conta todas as considerações precedentes, há que responder à primeira questão que o artigo 22.^o, n.^o 1, do RGPD deve ser interpretado no sentido de que a determinação automatizada, por uma sociedade que fornece informações comerciais, de um valor de probabilidade baseado em dados pessoais relativos a uma pessoa sobre a capacidade desta para cumprir as suas obrigações de pagamento no futuro constitui uma «decisão individual automatizada», na aceção desta disposição, quando o facto de um terceiro, ao qual o referido valor de probabilidade é comunicado, estabelecer, executar ou cessar uma relação contratual com essa pessoa depende de maneira determinante desse valor de probabilidade.

Quanto à segunda questão

74 Tendo em conta a resposta dada à primeira questão, não há que responder à segunda questão.

Quanto às despesas

75 Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Primeira Secção) declara:

O artigo 22.^o, n.^o 1, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados),

deve ser interpretado no sentido de que:

a determinação automatizada, por uma sociedade que fornece informações comerciais, de um valor de probabilidade baseado em dados pessoais relativos a uma pessoa sobre a capacidade desta para cumprir as suas obrigações de pagamento no futuro constitui uma «decisão individual automatizada», na aceção desta disposição, quando o facto de um terceiro, ao qual o referido valor de probabilidade é comunicado, estabelecer, executar ou cessar uma relação contratual com essa pessoa depende de forma determinante desse valor de probabilidade.

Assinaturas

* Língua do processo: alemão.