Language of document : ECLI:EU:C:2023:957

Edición provisional

SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Primera)

de 7 de diciembre de 2023 (*)

«Procedimiento prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 22 — Decisión individual automatizada — Agencias privadas de información comercial — Generación automatizada de un valor de probabilidad relativo a la capacidad de una persona para hacer frente a sus obligaciones de pago en el futuro (scoring) — Uso de dicho valor de probabilidad por terceros»

En el asunto C‑634/21,

que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden, Alemania), mediante resolución de 1 de octubre de 2021, recibida en el Tribunal de Justicia el 15 de octubre de 2021, en el procedimiento entre

OQ

y

Land Hessen,

con intervención de:

SCHUFA Holding AG,

EL TRIBUNAL DE JUSTICIA (Sala Primera),

integrado por el Sr. A. Arabadjiev, Presidente de Sala, y los Sres. T. von Danwitz, P. G. Xuereb y A. Kumin (Ponente) y la Sra. I. Ziemele, Jueces;

Abogado General: Sr. P. Pikamäe;

Secretario: Sr. C. Di Bella, administrador;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 26 de enero de 2023;

consideradas las observaciones presentadas:

–        en nombre de OQ, por el Sr. U. Schmidt, Rechtsanwalt;

–        en nombre del Land Hessen, por los Sres. M. Kottmann y G. Ziegenhorn, Rechtsanwälte;

–        en nombre de SCHUFA Holding AG, por los Sr. G. Thüsing y U. Wuermeling, Rechtsanwalt;

–        en nombre del Gobierno alemán, por el Sr. P.‑L. Krüger, en calidad de agente;

–        en nombre del Gobierno danés, por las Sras. V. Pasternak Jørgensen, M. Søndahl Wolff e Y. Thyregod Kollberg, en calidad de agentes;

–        en nombre del Gobierno portugués, por las Sras. P. Barros da Costa, I. Oliveira, M. J. Ramos y C. Vieira Guerra, en calidad de agentes;

–        en nombre del Gobierno finlandés, por la Sra. M. Pere, en calidad de agente;

–        en nombre de la Comisión Europea, por los Sres. A. Bouchagiar, F. Erlbacher y H. Kranenborg, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 16 de marzo de 2023;

dicta la siguiente

Sentencia

1        La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 6, apartado 1, y 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO 2016, L 119, p. 1; correcciones de errores en DO 2018, L 127, p. 3, y DO 2021, L 74, p. 35; en lo sucesivo, «RGPD»).

2        Esta petición se ha presentado en el contexto de un litigio entre OQ y el Land Hessen (estado federado de Hesse, Alemania) en relación con la negativa del Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Delegado de Protección de Datos y de Libertad de Información del Estado Federado de Hesse, Alemania) (en lo sucesivo, «HBDI») a instar a SCHUFA Holding AG (en lo sucesivo, «SCHUFA») a que accediera a la solicitud presentada por OQ al objeto de tener acceso a determinados datos personales que la concernían y de suprimirlos.

 Marco jurídico

 Derecho de la Unión

3        A tenor del considerando 71 del RGPD:

«El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o lo afecte significativamente de modo similar, como la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna. Este tipo de tratamiento incluye la elaboración de perfiles consistente en cualquier forma de tratamiento automatizado de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o lo afecte significativamente de modo similar. Sin embargo, se deben permitir las decisiones basadas en tal tratamiento, incluida la elaboración de perfiles, si lo autoriza expresamente el Derecho de la Unión [Europea] o de los Estados miembros aplicable al responsable del tratamiento, incluso con fines de control y prevención del fraude y la evasión fiscal, realizada de conformidad con las reglamentaciones, normas y recomendaciones de las instituciones de la Unión o de los órganos de supervisión nacionales y para garantizar la seguridad y la fiabilidad de un servicio prestado por el responsable del tratamiento, o necesario para la conclusión o ejecución de un contrato entre el interesado y un responsable del tratamiento, o en los casos en los que el interesado haya dado su consentimiento explícito. En cualquier caso, dicho tratamiento debe estar sujeto a las garantías apropiadas, entre las que se deben incluir la información específica al interesado y el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión tomada después de tal evaluación y a impugnar la decisión. Tal medida no debe afectar a un menor.

A fin de garantizar un tratamiento leal y transparente respecto del interesado, teniendo en cuenta las circunstancias y contexto específicos en los que se tratan los datos personales, el responsable del tratamiento debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado e impedir, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o que den lugar a medidas que produzcan tal efecto.»

4        El artículo 4 de dicho Reglamento, titulado «Definiciones», establece:

«A efectos del presente Reglamento se entenderá por:

[…]

4)      “elaboración de perfiles”: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;

[…]».

5        El artículo 5 del mencionado Reglamento, titulado «Principios relativos al tratamiento», dispone:

«1.      Los datos personales serán:

a)      tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);

b)      recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; […] (“limitación de la finalidad”);

c)      adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados (“minimización de datos”);

d)      exactos y, si fuera necesario, actualizados; […] (“exactitud”);

e)      mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; […] (“limitación del plazo de conservación”);

f)      tratados de tal manera que se garantice una seguridad adecuada de los datos personales […] (“integridad y confidencialidad”).

2.      El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).»

6        El artículo 6 del RGPD, que se titula «Licitud del tratamiento», establece en sus apartados 1 y 3:

«1.      El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a)      el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b)      el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c)      el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d)      el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e)      el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f)      el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

[…]

3.      La base del tratamiento indicado en el apartado 1, letras c) y e), deberá ser establecida por:

a)      el Derecho de la Unión, o

b)      el Derecho de los Estados miembros que se aplique al responsable del tratamiento.

La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o, en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. […]»

7        El artículo 9 de dicho Reglamento, cuyo título es «Tratamiento de categorías especiales de datos personales», está redactado como sigue:

«1.      Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

2.      El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:

a)      el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

[…]

g)      el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

[…]».

8        El artículo 13 del mismo Reglamento, titulado «Información que deberá facilitarse cuando los datos personales se obtengan del interesado», dispone en su apartado 2:

«Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

[…]

f)      la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.»

9        El artículo 14 del RGPD, titulado «Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado», dispone en su apartado 2:

«Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente respecto del interesado:

[…]

g)      la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.»

10      El artículo 15 de dicho Reglamento, que se titula «Derecho de acceso del interesado», establece en su apartado 1:

«El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:

[…]

h)      la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.»

11      El artículo 22 del mencionado Reglamento, cuyo título es «Decisiones individuales automatizadas, incluida la elaboración de perfiles», dispone:

«1.      Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o lo afecte significativamente de modo similar.

2.      El apartado 1 no se aplicará si la decisión:

a)      es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;

b)      está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o

c)      se basa en el consentimiento explícito del interesado.

3.      En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.

4.      Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letras a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.»

12      El artículo 78 del RGPD, titulado «Derecho a la tutela judicial efectiva contra una autoridad de control», establece en su apartado 1:

«Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.»

 Derecho alemán

13      El artículo 31 de la Bundesdatenschutzgesetz (Ley Federal de Protección de Datos), de 30 de junio de 2017 (BGBl. I, p. 2097) (en lo sucesivo, «BDSG»), que lleva por título «Protección de las transacciones económicas en caso de scoring y de información sobre solvencia», tiene el siguiente tenor:

«(1)      El uso de un valor de probabilidad relativo a un comportamiento futuro determinado de una persona física a fin de tomar una decisión sobre el establecimiento, la ejecución o la extinción de una relación contractual con dicha persona (scoring) solo es admisible si

1.      se han respetado las disposiciones de la legislación sobre protección de datos;

2.      se acredita que los datos utilizados para calcular el valor de probabilidad de un comportamiento determinado, con base en un método estadístico matemático científicamente reconocido, son relevantes para el cálculo de la probabilidad del comportamiento de que se trate;

3.      para calcular el valor de probabilidad no se han utilizado exclusivamente datos relativos a domicilios, y

4.      en caso de utilización de datos relativos a domicilios, el interesado ha sido informado de la utilización prevista de dichos datos antes de calcular el valor de probabilidad. La información quedará documentada.

(2)      El uso de un valor de probabilidad determinado por agencias de información comercial, relativo a la capacidad y voluntad de pago de una persona física, cuando se incluya información sobre derechos de crédito solamente será admisible si se cumplen los requisitos del apartado 1 y solo se tienen en cuenta aquellos derechos referentes a una prestación adeudada que no fue realizada a pesar de haber vencido,

1.      que hayan sido reconocidos mediante sentencia firme o sentencia provisionalmente ejecutiva, o para los que exista un título de deuda con arreglo al artículo 794 de la Zivilprozessordnung [Ley de Enjuiciamiento Civil],

2.      que hayan sido reconocidos de conformidad con el artículo 178 de la Insolvenzordnung [Ley Concursal] y no hayan sido impugnados por el deudor al ser comprobados,

3.      que hayan sido expresamente reconocidos por el deudor,

4.      respecto de los cuales

a)      el deudor haya sido requerido al menos dos veces por escrito después del vencimiento del crédito,

b)      desde el primer requerimiento hayan transcurrido al menos cuatro semanas,

c)      el deudor haya sido informado previamente, pero como muy pronto con ocasión del primer requerimiento, de la posibilidad de que la situación sea tenida en cuenta por una agencia de información comercial, y

d)      el deudor no haya impugnado el crédito, o

5.      cuya relación contractual subyacente pueda resolverse sin preaviso debido a impagos y respecto de los cuales el deudor haya sido informado previamente de la posibilidad de que la situación sea tenida en cuenta por una agencia de información comercial.

Todo ello sin perjuicio de la licitud del tratamiento, incluida la determinación de valores de probabilidad, de otros datos pertinentes a efectos de solvencia con arreglo a la legislación general en materia de protección de datos.»

 Litigio principal y cuestiones prejudiciales

14      SCHUFA es una sociedad de Derecho privado alemán que proporciona a sus socios contractuales información sobre la solvencia de terceros, en particular de consumidores. A tal fin, establece un pronóstico sobre la probabilidad de un comportamiento futuro de una persona (score o calificación), como el reembolso de un préstamo, a partir de determinadas características de dicha persona, sobre la base de procedimientos matemáticos y estadísticos. La generación de valores de score (scoring) se basa en la hipótesis de que la clasificación de una persona en una categoría de personas con características comparables, que han revelado cierto comportamiento, permite prever un comportamiento similar.

15      De la petición de decisión prejudicial se desprende que a la demandante, OQ, le fue denegado un préstamo por un tercero después de que SCHUFA generara y facilitara a ese tercero información negativa sobre ella. OQ solicitó a SCHUFA que le suministrara información sobre los datos personales registrados y que suprimiera los supuestamente erróneos.

16      En respuesta a esta solicitud, SCHUFA informó a OQ sobre su calificación y expuso, a grandes rasgos, los métodos de cálculo. Sin embargo, invocando el secreto comercial, se negó a divulgar los distintos datos que había tenido en cuenta a efectos de dicho cálculo, así como su ponderación. Por último, SCHUFA señaló que se limitaba a facilitar información a sus socios contractuales, que eran quienes adoptaban las decisiones contractuales propiamente dichas.

17      Mediante reclamación presentada el 18 de octubre de 2018, OQ solicitó al HBDI, autoridad de control competente, que instara a SCHUFA a aceptar su solicitud de acceso a la información y de supresión de esta.

18      Mediante decisión de 3 de junio de 2020, el HBDI denegó tal solicitud, explicando que no se había demostrado que SCHUFA incumpliera las obligaciones que le incumbían con arreglo al artículo 31 de la BDSG en el ejercicio de su actividad.

19      OQ interpuso un recurso contra dicha decisión ante el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden, Alemania), órgano jurisdiccional remitente, con arreglo al artículo 78, apartado 1, del RGPD.

20      Según dicho órgano jurisdiccional, es preciso determinar, a efectos de resolver el litigio del que conoce, si la generación de un valor de probabilidad como el controvertido en el litigio principal constituye una decisión individual automatizada, en el sentido del artículo 22, apartado 1, del RGPD. En su opinión, en caso afirmativo, la licitud de esa actividad estaría supeditada, con arreglo al artículo 22, apartado 2, letra b), de dicho Reglamento, al requisito de que tal decisión esté autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento.

21      A este respecto, el órgano jurisdiccional remitente alberga dudas en lo que se refiere a la tesis relativa a que el artículo 22, apartado 1, del RGPD no sea aplicable a la actividad de agencias como SCHUFA. Dicho órgano jurisdiccional basa sus dudas, desde un punto de vista fáctico, en la importancia de un valor de probabilidad como el controvertido en el litigio principal en la toma de decisiones por los terceros a los que se transmite dicho valor de probabilidad y, desde un punto de vista jurídico, principalmente en los objetivos perseguidos por dicho artículo 22, apartado 1, y en las garantías de protección jurídica consagradas por el RGPD.

22      Más concretamente, el órgano jurisdiccional remitente señala que el valor de probabilidad es lo que normalmente determina si el tercero va a contratar con la persona de que se trate y cómo lo hará. Pues bien, el artículo 22 del RGPD precisamente tiene por objeto proteger a las personas contra los riesgos vinculados a las decisiones basadas meramente en un automatismo.

23      Sin embargo, según dicho órgano jurisdiccional, si el artículo 22, apartado 1, del RGPD debiera interpretarse en el sentido de que la condición de «decisión individual automatizada» solo puede reconocerse, en una situación como la controvertida en el litigio principal, a la decisión adoptada por el tercero respecto del interesado, de ello se derivaría una laguna en la protección jurídica. En su opinión, por un lado, una agencia como SCHUFA no está obligada a dar acceso a la información adicional a la que tiene derecho el interesado en virtud del artículo 15, apartado 1, letra h), del mencionado Reglamento, ya que dicha agencia no es la que adopta la «decisión automatizada», en el sentido de esta disposición y, en consecuencia, en el sentido del artículo 22, apartado 1, de dicho Reglamento. Por otro lado, el tercero al que se comunica el valor de probabilidad no puede facilitar esa información adicional, ya que no dispone de ella.

24      Así pues, según el órgano jurisdiccional remitente, para evitar tal laguna en la protección jurídica, es necesario que la generación de un valor de probabilidad como el controvertido en el litigio principal esté comprendida en el ámbito de aplicación del artículo 22, apartado 1, del RGPD.

25      El órgano jurisdiccional remitente afirma que si se adoptara esta interpretación, la licitud de dicha actividad quedaría supeditada a la existencia de una base jurídica en el Estado miembro de que se trate, de conformidad con el artículo 22, apartado 2, letra b), del mencionado Reglamento. En su opinión, en el presente asunto, si bien es cierto que el artículo 31 de la BDSG podría constituir esa base jurídica en Alemania, existen serias dudas respecto de la compatibilidad de esta disposición con el artículo 22 del RGPD, ya que el legislador alemán solo regula el «uso» de un valor de probabilidad como el controvertido en el litigio principal, y no la generación propiamente dicha de ese valor.

26      Por el contrario, si la generación de ese valor de probabilidad no constituye una decisión individual automatizada, en el sentido del artículo 22 del RGPD, la cláusula de apertura que figura en el apartado 2, letra b), de dicho artículo 22, según el órgano jurisdiccional remitente, tampoco se aplicaría a las normativas nacionales relativas a la referida actividad. Habida cuenta del carácter, en principio, exhaustivo del RGPD y a falta de otra competencia normativa para tales disposiciones nacionales, parece, en su opinión, que el legislador alemán, al someter la generación de valores de probabilidad a requisitos de licitud más estrictos en lo que se refiere al fondo, define la materia regulada yendo más allá de las exigencias enunciadas en los artículos 6 y 22 del RGPD, sin disponer de potestad normativa a estos efectos. Según dicho órgano jurisdiccional, si este punto de vista fuera correcto, se modificaría el margen de examen de la autoridad nacional de control, que entonces tendría que apreciar la compatibilidad de la actividad de las agencias de información comercial a la luz del artículo 6 de dicho Reglamento.

27      En estas condiciones, el Verwaltungsgericht Wiesbaden (Tribunal de lo Contencioso-Administrativo de Wiesbaden) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1)      ¿Debe interpretarse el artículo 22, apartado 1, del [RGPD] en el sentido de que la generación automatizada de un valor de probabilidad relativo a la capacidad futura de un interesado para satisfacer un préstamo constituye ya una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produce efectos jurídicos en el interesado o lo afecta significativamente de modo similar, cuando dicho valor, hallado a partir de datos personales del interesado, es transmitido por el responsable del tratamiento a un tercero responsable del tratamiento y este tercero, de un modo determinante, basa en dicho valor su decisión sobre el establecimiento, la ejecución o la extinción de una relación contractual con el interesado?

2)      En caso de respuesta negativa a la primera cuestión prejudicial:

¿deben interpretarse los artículos 6, apartado 1, y 22 del [RGPD] en el sentido de que se oponen a una normativa nacional que establece que el uso de un valor de probabilidad —en el presente asunto, respecto a la capacidad y la voluntad de pago de una persona física en el marco de la inclusión de información crediticia— relativo a un determinado comportamiento futuro de una persona física a efectos de una decisión sobre el establecimiento, la ejecución o la extinción de una relación contractual con dicha persona (scoring [calificación crediticia]) únicamente es admisible si se cumplen determinados requisitos adicionales, precisados en la fundamentación de la petición de decisión prejudicial?»

 Sobre la admisibilidad de la petición de decisión prejudicial

28      SCHUFA cuestiona la admisibilidad de la petición de decisión prejudicial y alega, en primer lugar, que el órgano jurisdiccional remitente no está llamado a controlar el contenido de una decisión sobre una reclamación adoptada por una autoridad de control como el HBDI, puesto que el recurso jurisdiccional contra tal decisión, previsto en el artículo 78, apartado 1, del RGPD, únicamente sirve para controlar si dicha autoridad ha cumplido las obligaciones que le incumben en virtud del mencionado Reglamento, en particular la de tramitar las reclamaciones, y precisa que la referida autoridad dispone de una facultad discrecional para decidir si debe actuar y cómo debe hacerlo.

29      En segundo lugar, SCHUFA sostiene que el órgano jurisdiccional remitente no especifica las razones concretas por las que las cuestiones prejudiciales planteadas son decisivas para la resolución del litigio principal, litigio que tiene por objeto una solicitud de información sobre una calificación determinada y sobre su supresión. Pues bien, en el presente asunto, SCHUFA alega que cumplió suficientemente con su obligación de información y que suprimió la calificación o score objeto del procedimiento.

30      A este respecto, procede recordar que, según reiterada jurisprudencia del Tribunal de Justicia, corresponde exclusivamente al juez nacional, que conoce del litigio y que debe asumir la responsabilidad de la decisión jurisdiccional que se ha de pronunciar, apreciar, a la luz de las particularidades del asunto, tanto la necesidad de una decisión prejudicial para poder dictar sentencia como la pertinencia de las cuestiones que plantea al Tribunal de Justicia. Por consiguiente, cuando las cuestiones planteadas se refieren a la interpretación de una norma del Derecho de la Unión, en principio, el Tribunal de Justicia está obligado a pronunciarse (sentencia de 12 de enero de 2023, DOBELES HES, C‑702/20 y C‑17/21, EU:C:2023:1, apartado 46 y jurisprudencia citada).

31      De ello se desprende que las cuestiones relativas al Derecho de la Unión gozan de una presunción de pertinencia. El Tribunal de Justicia solo puede abstenerse de pronunciarse sobre una cuestión prejudicial planteada por un órgano jurisdiccional nacional cuando resulte evidente que la interpretación de una norma de la Unión que se ha solicitado carece de relación alguna con la realidad o con el objeto del litigio principal, cuando el problema sea de naturaleza hipotética o, también, cuando el Tribunal de Justicia no disponga de los elementos de hecho o de Derecho necesarios para responder de manera útil a las cuestiones planteadas (sentencia de 12 de enero de 2023, DOBELES HES, C‑702/20 y C‑17/21, EU:C:2023:1, apartado 47 y jurisprudencia citada).

32      Por lo que respecta, en primer lugar, al motivo de inadmisibilidad basado en un control jurisdiccional supuestamente limitado al que estarían sujetas las decisiones sobre reclamaciones adoptadas por una autoridad de control, procede recordar que, de conformidad con el artículo 78, apartado 1, del RGPD, sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica tiene derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad de control que le concierna.

33      En el presente asunto, la decisión adoptada por el HBDI en calidad de autoridad de control constituye una decisión jurídicamente vinculante, en el sentido del artículo 78, apartado 1. En efecto, tras examinar el fundamento de la reclamación de que conocía, dicha autoridad se pronunció al respecto y determinó que el tratamiento de datos personales impugnado por la demandante en el litigio principal era lícito.

34      Por lo que se refiere al alcance del control jurisdiccional ejercido sobre una decisión de este tipo en el marco de un recurso interpuesto con arreglo al citado artículo 78, apartado 1, basta con señalar que una decisión sobre una reclamación adoptada por una autoridad de control está sujeta a un control jurisdiccional pleno [sentencia de 7 de diciembre de 2023, SCHUFA Holding (Exoneración del pasivo insatisfecho), C‑26/22 y C‑64/22, EU:C:2023:XXX, punto 1 del fallo].

35      Por consiguiente, procede desestimar el primer motivo de inadmisibilidad invocado por SCHUFA.

36      En segundo lugar, de la petición de decisión prejudicial se desprende claramente que el órgano jurisdiccional remitente se pregunta acerca del criterio de control que debe adoptarse para apreciar, a la luz del RGPD, el tratamiento de los datos personales controvertido en el litigio principal, criterio que depende de si el artículo 22, apartado 1, de dicho Reglamento resulta o no aplicable.

37      De este modo, no resulta evidente que la interpretación del RGPD solicitada por el órgano jurisdiccional remitente no guarde relación alguna con la realidad o con el objeto del litigio principal ni que el problema sea de naturaleza hipotética. Además, el Tribunal de Justicia dispone de los elementos fácticos y jurídicos necesarios para dar una respuesta útil a las cuestiones prejudiciales que le han sido planteadas.

38      Por lo tanto, debe desestimarse asimismo el segundo motivo de inadmisibilidad invocado por SCHUFA.

39      En estas circunstancias, la petición de decisión prejudicial es admisible.

 Sobre las cuestiones prejudiciales

 Primera cuestión prejudicial

40      Mediante su primera cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 22, apartado 1, del RGPD debe interpretarse en el sentido de que constituye una «decisión individual automatizada», con arreglo a dicha disposición, la generación automatizada, por una agencia de información comercial, de un valor de probabilidad a partir de datos personales relativos a una persona y acerca de la capacidad de esta para hacer frente a sus compromisos de pago en el futuro, cuando depende de manera determinante de ese valor de probabilidad que un tercero al que le es comunicado establezca, ejecute o ponga fin a una relación contractual con esa persona.

41      Para responder a la cuestión prejudicial planteada, procede recordar, con carácter preliminar, que la interpretación de una disposición del Derecho de la Unión requiere tener en cuenta no solo su tenor, sino también el contexto en el que se inscribe, así como los objetivos y la finalidad que persigue el acto del que forma parte (sentencia de 22 de junio de 2023, Pankki S, C‑579/21, EU:C:2023:501, apartado 38 y jurisprudencia citada).

42      A tenor del artículo 22, apartado 1, del RGPD, todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o lo afecte significativamente de modo similar.

43      Por lo tanto, la aplicabilidad de esta disposición está sujeta a tres requisitos acumulativos, a saber, en primer término, debe existir una «decisión»; en segundo término, dicha decisión debe estar «basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles», y, en tercer término, debe producir «efectos jurídicos [que afecten al interesado]» o que lo afecten «significativamente de modo similar».

44      Por lo que respecta, en primer término, al requisito relativo a la existencia de una decisión, procede señalar que el concepto de «decisión», en el sentido del artículo 22, apartado 1, del RGPD, no se define en dicho Reglamento. Sin embargo, del propio tenor de esta disposición se desprende que tal concepto no se refiere solo a actos que produzcan efectos jurídicos que afecten al interesado de que se trate, sino también a actos que lo afecten significativamente de modo similar.

45      El amplio alcance que reviste el concepto de «decisión» se ve confirmado por el considerando 71 del RGPD, a tenor del cual una decisión que implique la evaluación de aspectos personales relativos a un interesado, de la que este debe tener derecho a no ser objeto, «puede incluir una medida» que bien produzca «efectos jurídicos en él» o bien «le afecte significativamente de modo similar». Según este considerando, se incluyen en el término «decisión», a modo de ejemplo, la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna.

46      El concepto de «decisión» en el sentido del artículo 22, apartado 1, del RGPD, como ha señalado el Abogado General en el punto 38 de sus conclusiones, puede incluir diversos actos con potencial para afectar al interesado de múltiples maneras, ya que es lo suficientemente amplio para englobar el resultado del cálculo de la solvencia de una persona en forma de un valor de probabilidad relativo a su capacidad para hacer frente a sus compromisos de pago en el futuro.

47      Por lo que respecta, en segundo término, al requisito de que la decisión, en el sentido de dicho artículo 22, apartado 1, debe estar «basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles», como ha señalado el Abogado General en el punto 33 de sus conclusiones, no se discute que una actividad como la que realiza SCHUFA responde a la definición de «elaboración de perfiles» que figura en el artículo 4, punto 4, del RGPD y, por tanto, que en el presente asunto se cumple este requisito, habida cuenta de que el tenor de la primera cuestión prejudicial se refiere expresamente a la generación automatizada de un valor de probabilidad a partir de datos personales relativos a una persona y acerca de su capacidad para satisfacer un préstamo en el futuro.

48      Por lo que respecta, en tercer término, al requisito de que la decisión debe producir «efectos jurídicos» en el interesado o «[afectarlo] significativamente de modo similar», del propio tenor de la primera cuestión prejudicial se desprende que la acción del tercero al que se transmite el valor de probabilidad está basada «de un modo determinante» en dicho valor. Así pues, según las apreciaciones de hecho del órgano jurisdiccional remitente, en el caso de que un consumidor solicite un préstamo a un banco, un valor de probabilidad insuficiente dará lugar, en la práctica totalidad de los casos, a que el banco deniegue la concesión del préstamo solicitado.

49      En estas circunstancias, se debe considerar que el tercer requisito al que está supeditada la aplicación del artículo 22, apartado 1, del RGPD también se cumple, puesto que un valor de probabilidad como el controvertido en el litigio principal, cuanto menos, afecta al interesado significativamente.

50      De ello se desprende que, en circunstancias como las del litigio principal, en las que el valor de probabilidad generado por una agencia de información comercial y comunicado a un banco desempeña un papel determinante en la concesión de un crédito, la generación de dicho valor propiamente dicha debe calificarse como decisión que produce «efectos jurídicos» en un interesado o que «[lo afecta] significativamente de modo similar», en el sentido del artículo 22, apartado 1, del RGPD.

51      Esta interpretación se ve corroborada por el contexto en el que se inscribe el artículo 22, apartado 1, del RGPD, así como por los objetivos y la finalidad que persigue dicho Reglamento.

52      A este respecto, es preciso subrayar que, tal como ha señalado el Abogado General en el punto 31 de sus conclusiones, el artículo 22, apartado 1, del RGPD consagra un «derecho» del interesado a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles. Dicha disposición establece una prohibición de principio cuya inobservancia no necesita ser invocada proactivamente por el interesado.

53      En efecto, como se desprende de una lectura conjunta del artículo 22, apartado 2, del RGPD y del considerando 71 de dicho Reglamento, la adopción de una decisión basada únicamente en un tratamiento automatizado solo se autoriza en los casos contemplados en dicho artículo 22, apartado 2, a saber, cuando es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento [letra a)], cuando está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento [letra b)], o cuando se basa en el consentimiento explícito del interesado [letra c)].

54      Asimismo, el artículo 22 del RGPD dispone, en sus apartados 2, letra b), y 3, que deben establecerse las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado. En los casos a que se refiere el artículo 22, apartado 2, letras a) y c), de dicho Reglamento, el responsable del tratamiento adoptará como mínimo medidas en relación con el derecho del interesado a obtener intervención humana, a expresar su punto de vista y a impugnar la decisión.

55      Por otra parte, de conformidad con el artículo 22, apartado 4, del RGPD, las decisiones individuales automatizadas a que se refiere dicho artículo 22 solo podrán basarse en las categorías especiales de datos personales contempladas en el artículo 9, apartado 1, de dicho Reglamento en determinados casos específicos.

56      Además, en el caso de que se adopte una decisión automatizada, como la contemplada en el artículo 22, apartado 1, del RGPD, por un lado, el responsable del tratamiento está sujeto a obligaciones adicionales de información en virtud de los artículos 13, apartado 2, letra f), y 14, apartado 2, letra g), de dicho Reglamento. Por otro lado, el interesado tiene derecho, en virtud del artículo 15, apartado 1, letra h), del mencionado Reglamento, a obtener del responsable del tratamiento, en particular, «información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado».

57      Estos requisitos más estrictos para la licitud de una toma de decisiones automatizada, así como las obligaciones adicionales de información del responsable del tratamiento y los derechos de acceso adicionales del interesado correspondientes se explican por la finalidad que persigue el artículo 22 del RGPD, que consiste en proteger a las personas contra los riesgos específicos para sus derechos y libertades que supone el tratamiento automatizado de datos personales, incluida la elaboración de perfiles.

58      En efecto, este tratamiento implica, como se desprende del considerando 71 del RGPD, la evaluación de aspectos personales relativos a una persona física a la que afecte dicho tratamiento, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado.

59      Según el citado considerando, estos riesgos específicos pueden incidir en los intereses legítimos y derechos del interesado, habida cuenta, en particular, de los potenciales efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual. Por tanto, también según dicho considerando, es importante establecer garantías adecuadas y garantizar un tratamiento leal y transparente respecto del interesado, en particular mediante la utilización de procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles y la aplicación de medidas técnicas y organizativas apropiadas para garantizar que se reduce al máximo el riesgo de error.

60      Pues bien, la interpretación expuesta en los apartados 42 a 50 de la presente sentencia y, en particular, el amplio alcance del concepto de «decisión», en el sentido del artículo 22, apartado 1, del RGPD, refuerza la protección efectiva establecida por la mencionada disposición.

61      Sin embargo, en circunstancias como las controvertidas en el litigio principal, en las que están implicados tres actores, existiría un riesgo de elusión del artículo 22 del RGPD y, en consecuencia, una laguna en la protección jurídica, si se optara por una interpretación restrictiva de esta disposición según la cual la generación del valor de probabilidad debiera considerarse un mero acto preparatorio y solo el acto adoptado por el tercero pudiera, en su caso, calificarse de «decisión», en el sentido del artículo 22, apartado 1, de dicho Reglamento.

62      En efecto, en ese supuesto, la generación de un valor de probabilidad como el controvertido en el litigio principal eludiría los requisitos específicos establecidos en el artículo 22, apartados 2 a 4, del RGPD, aun cuando este procedimiento se basa en un tratamiento automatizado y produce efectos que afectan significativamente al interesado en la medida en que la acción del tercero, al que se transmite ese valor de probabilidad, se basa de manera determinante en tal valor.

63      Además, como ha señalado el Abogado General en el punto 48 de sus conclusiones, por un lado, el interesado no podría invocar, ante la agencia de información comercial que genera el valor de probabilidad que le concierne, su derecho de acceso a la información específica a que se refiere el artículo 15, apartado 1, letra h), del RGPD, a falta de una decisión automatizada de dicha agencia. Por otro lado, aun suponiendo que el acto adoptado por el tercero esté por su parte comprendido en el ámbito de aplicación del artículo 22, apartado 1, de dicho Reglamento por cumplir con los requisitos de aplicación de dicha disposición, ese tercero no podría facilitar tal información específica, ya que generalmente no dispone de ella.

64      El hecho de que la generación de un valor de probabilidad como el controvertido en el litigio principal quede dentro del ámbito de aplicación del artículo 22, apartado 1, del RGPD tiene como consecuencia, como se ha señalado en los apartados 53 a 55 de la presente sentencia, que esté prohibido, salvo que sea aplicable una de las excepciones que figuran en el artículo 22, apartado 2, de dicho Reglamento y salvo que se cumplan los requisitos específicos establecidos en el artículo 22, apartados 3 y 4, del mencionado Reglamento.

65      Por lo que respecta, más concretamente, al artículo 22, apartado 2, letra b), del RGPD, al que hace referencia el órgano jurisdiccional remitente, del propio tenor de esta disposición se desprende que el Derecho nacional que autoriza la adopción de una decisión individual automatizada debe establecer medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

66      A la luz del considerando 71 del RGPD, tales medidas deben incluir, en particular, la obligación del responsable del tratamiento de utilizar procedimientos matemáticos o estadísticos adecuados, de aplicar las medidas técnicas y organizativas apropiadas para garantizar que se reduzca al máximo el riesgo de error y se corrijan errores, y de asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado e impedir, entre otras cosas, los efectos discriminatorios en las personas físicas. Estas medidas incluyen, por otro lado, como mínimo el derecho del interesado a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.

67      Es preciso señalar además que, conforme a reiterada jurisprudencia del Tribunal de Justicia, todo tratamiento de datos personales debe, por un lado, adecuarse a los principios relativos al tratamiento, establecidos en el artículo 5 del RGPD, y, por otro, atendiendo concretamente al principio de licitud previsto en el apartado 1, letra a), de dicho artículo, debe cumplir con alguno de los requisitos de licitud del tratamiento enumerados en el artículo 6 de dicho Reglamento (sentencia de 20 de octubre de 2022, Digi, C‑77/21, EU:C:2022:805, apartado 49 y jurisprudencia citada). El responsable del tratamiento debe ser capaz de demostrar su cumplimiento, de conformidad con el principio de responsabilidad proactiva enunciado en el apartado 2 de dicho artículo (véase, en este sentido, la sentencia de 20 de octubre de 2022, Digi, C‑77/21, EU:C:2022:805, apartado 24).

68      Así pues, en el supuesto de que el Derecho de un Estado miembro autorice, de conformidad con el artículo 22, apartado 2, letra b), del RGPD, la adopción de una decisión basada únicamente en un tratamiento automatizado, dicho tratamiento debe cumplir no solo los requisitos establecidos en esta última disposición y en el artículo 22, apartado 4, de dicho Reglamento, sino también los requisitos establecidos en los artículos 5 y 6 del mismo Reglamento. Por lo tanto, los Estados miembros no pueden adoptar, en virtud del artículo 22, apartado 2, letra b), del RGPD, normativas que autoricen la elaboración de perfiles incumpliendo los requisitos establecidos en esos artículos 5 y 6, tal como han sido interpretados por la jurisprudencia del Tribunal de Justicia.

69      Por lo que respecta, en particular, a los requisitos de licitud, establecidos en el artículo 6, apartado 1, letras a), b) y f), del RGPD, que pueden aplicarse en un caso como el controvertido en el litigio principal, los Estados miembros no están facultados para establecer normas complementarias para la aplicación de estos requisitos, ya que, de conformidad con el artículo 6, apartado 3, de dicho Reglamento, tal facultad se limita a los motivos contemplados en el artículo 6, apartado 1, letras c) y e), del mismo Reglamento.

70      Además, por lo que respecta más concretamente al artículo 6, apartado 1, letra f), del RGPD, los Estados miembros no pueden, en virtud del artículo 22, apartado 2, letra b), de dicho Reglamento, apartarse de las exigencias que resultan de la jurisprudencia del Tribunal de Justicia en la sentencia de 7 de diciembre de 2023, SCHUFA Holding (Exoneración del pasivo insatisfecho) (C‑26/22 y C‑64/22, EU:C:2023:XXX), en particular, estableciendo con carácter definitivo el resultado de la ponderación de los derechos e intereses en conflicto (véase, en este sentido, la sentencia de 19 de octubre de 2016, Breyer, C‑582/14, EU:C:2016:779, apartado 62).

71      En el presente asunto, el órgano jurisdiccional remitente señala que únicamente el artículo 31 de la BDSG podría constituir una base jurídica nacional, en el sentido del artículo 22, apartado 2, letra b), del RGPD. No obstante, dicho órgano jurisdiccional alberga serias dudas en cuanto a la compatibilidad del mencionado artículo 31 con el Derecho de la Unión. En el supuesto de que esta disposición fuese considerada incompatible con el Derecho de la Unión, SCHUFA no solo estaría actuando sin base legal, sino que estaría vulnerando ipso iure la prohibición establecida en el artículo 22, apartado 1, del RGPD.

72      A este respecto, corresponde al órgano jurisdiccional remitente comprobar si el artículo 31 de la BDSG puede calificarse como base jurídica que autoriza, en virtud del artículo 22, apartado 2, letra b), del RGPD, la adopción de una decisión basada únicamente en el tratamiento automatizado. Si dicho órgano jurisdiccional llegase a la conclusión de que el citado artículo 31 constituye esa base legal, deberá comprobar además si en el presente asunto se cumplen los requisitos establecidos en el artículo 22, apartados 2, letra b), y 4, del RGPD y los que figuran en los artículos 5 y 6 de dicho Reglamento.

73      A la luz de todas las consideraciones anteriores, procede responder a la primera cuestión prejudicial que el artículo 22, apartado 1, del RGPD debe interpretarse en el sentido de que la generación automatizada, por una agencia de información comercial, de un valor de probabilidad a partir de datos personales relativos a una persona y acerca de la capacidad de esta para hacer frente a compromisos de pago en el futuro constituye una «decisión individual automatizada», en el sentido de la mencionada disposición, cuando de ese valor de probabilidad dependa de manera determinante que un tercero, al que se comunica dicho valor, establezca, ejecute o ponga fin a una relación contractual con esa persona.

 Segunda cuestión prejudicial

74      A la vista de la respuesta dada a la primera cuestión prejudicial, no procede responder a la segunda cuestión prejudicial.

 Costas

75      Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Primera) declara:

El artículo 22, apartado 1, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos),

debe interpretarse en el sentido de que

la generación automatizada, por una agencia de información comercial, de un valor de probabilidad a partir de datos personales relativos a una persona y acerca de la capacidad de esta para hacer frente a compromisos de pago en el futuro constituye una «decisión individual automatizada», en el sentido de la mencionada disposición, cuando de ese valor de probabilidad dependa de manera determinante que un tercero, al que se comunica dicho valor, establezca, ejecute o ponga fin a una relación contractual con esa persona.

Firmas

*      Lengua de procedimiento: alemán.