Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
La Sala Primera del Tribunal de Justicia Europea viene de emitir su fallo sobre una petición de Decisión Prejudicial planteada por el Verwaltungsgericht – Austria sobre pretendidas Decisiones automatizadas, incluida la elaboración de perfiles. Se adjunta la Sentencia y la Demanda sobre las Cuestiones Prejudiciales.
FALLO
El Fallo responde a las Cuestiones Prejudiciales, debiendo interpretarse estas en el sentido siguiente:
1) El artículo 15, apartado 1, letra h), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),
debe interpretarse en el sentido de que,
en caso de que se adopte una decisión automatizada, incluida la elaboración de perfiles, en el sentido del artículo 22, apartado 1, de dicho Reglamento, el interesado puede exigir al responsable del tratamiento, como «información significativa sobre la lógica aplicada», que este le explique, mediante información pertinente y en forma concisa, transparente, inteligible y de fácil acceso, el procedimiento y los principios aplicados concretamente para explotar, de forma automatizada, los datos personales relativos al interesado con el fin de obtener un resultado determinado, como un perfil de solvencia.
2) | El artículo 15, apartado 1, letra h), del Reglamento 2016/679 debe interpretarse en el sentido de que, en el supuesto de que el responsable del tratamiento considere que la información que ha de facilitarse al interesado con arreglo a esa disposición incluye datos de terceros protegidos por dicho Reglamento o secretos comerciales, en el sentido del artículo 2, punto 1, de la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas, ese responsable debe comunicar tal información supuestamente protegida a la autoridad de control o al órgano jurisdiccional competente, a los que corresponde ponderar los derechos e intereses en cuestión a efectos de determinar el alcance del derecho de acceso del interesado previsto en el artículo 15 del citado Reglamento. |
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: [email protected]
__________________________________________________________________
 | Diario Oficial | ES Serie C |
C/2025/2041 | 14.4.2025 |
Sentencia del Tribunal de Justicia (Sala Primera) de 27 de febrero de 2025 (petición de decisión prejudicial planteada por el Verwaltungsgericht Wien – Austria) – CK / Magistrat der Stadt Wien
(Asunto C-203/22, (1) Dun & Bradstreet Austria)
(Procedimiento prejudicial – Protección de datos personales – Reglamento (UE) 2016/679 – Artículo 15, apartado 1, letra h) – Decisiones automatizadas, incluida la elaboración de perfiles – «Scoring» – Apreciación de la solvencia de una persona física – Acceso a la información significativa sobre la lógica aplicada a la elaboración de perfiles – Verificación de la exactitud de la información facilitada – Directiva (UE) 2016/943 – Artículo 2, punto 1 – Secreto comercial – Datos personales de terceros)
(C/2025/2041)
Lengua de procedimiento: alemán
Órgano jurisdiccional remitente
Verwaltungsgericht Wien
Partes en el procedimiento principal
Demandante: CK
Demandada: Magistrat der Stadt Wien
con intervención de: Dun & Bradstreet Austria GmbH
Fallo
1) | El artículo 15, apartado 1, letra h), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe interpretarse en el sentido de que, en caso de que se adopte una decisión automatizada, incluida la elaboración de perfiles, en el sentido del artículo 22, apartado 1, de dicho Reglamento, el interesado puede exigir al responsable del tratamiento, como «información significativa sobre la lógica aplicada», que este le explique, mediante información pertinente y en forma concisa, transparente, inteligible y de fácil acceso, el procedimiento y los principios aplicados concretamente para explotar, de forma automatizada, los datos personales relativos al interesado con el fin de obtener un resultado determinado, como un perfil de solvencia. |
2) | El artículo 15, apartado 1, letra h), del Reglamento 2016/679 debe interpretarse en el sentido de que, en el supuesto de que el responsable del tratamiento considere que la información que ha de facilitarse al interesado con arreglo a esa disposición incluye datos de terceros protegidos por dicho Reglamento o secretos comerciales, en el sentido del artículo 2, punto 1, de la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas, ese responsable debe comunicar tal información supuestamente protegida a la autoridad de control o al órgano jurisdiccional competente, a los que corresponde ponderar los derechos e intereses en cuestión a efectos de determinar el alcance del derecho de acceso del interesado previsto en el artículo 15 del citado Reglamento. |
ELI: http://data.europa.eu/eli/C/2025/2041/oj
ISSN 1977-0928 (electronic edition)
____________________________________________________________
7.6.2022 | ES | Diario Oficial de la Unión Europea | C 222/18 |
Petición de decisión prejudicial planteada por el Verwaltungsgericht Wien (Austria) el 16 de marzo de 2022 — CK
(Asunto C-203/22)
(2022/C 222/30)
Lengua de procedimiento: alemán
Órgano jurisdiccional remitente
Verwaltungsgericht Wien
Partes en el procedimiento principal
Demandante: CK
Otras partes: Dun & Bradstreet Austria GmbH, Magistrat der Stadt Wien
Cuestiones prejudiciales
1) | ¿Qué requisitos de contenido ha de satisfacer la información facilitada para que se considere suficientemente «significativa» en el sentido del artículo 15, apartado 1, letra h), del Reglamento general de protección de datos (en lo sucesivo, «RGPD»)? (1) En caso de elaboración de perfiles por el responsable del tratamiento, cuando se informa sobre la «lógica aplicada», ¿debe facilitarse también, en principio (respetando, en su caso, el secreto comercial), la información que en el caso concreto permita comprender el resultado de la decisión automatizada, en particular: 1) la comunicación de los datos del interesado que son objeto del tratamiento; 2) la comunicación de las partes del algoritmo utilizado en la elaboración de perfiles que sean necesarias para la coherencia, y 3) la información relevante para establecer la relación entre los datos objeto del tratamiento y la valoración realizada? En caso de elaboración de perfiles, ¿debe facilitarse al titular del derecho de acceso contemplado en el artículo 15, apartado 1, letra h), del RGPD, incluso en caso de objetarse la existencia de un secreto comercial, al menos, la siguiente información sobre el tratamiento concreto que le afecte, para que pueda ejercer sus derechos reconocidos por el artículo 22, apartado 3, del RGPD:
|
2) | ¿Está relacionado el derecho de acceso que reconoce el artículo 15, apartado 1, letra h), del RGPD con los derechos que garantiza el artículo 22, apartado 3, del RGPD, a expresar el propio punto de vista y a impugnar la decisión automatizada a que se refiere el mismo artículo 22 del RGPD, en la medida en que la amplitud de la información que se ha de facilitar ante una solicitud presentada con arreglo al artículo 15, apartado 1, letra h), del RGPD solo es suficientemente «significativa» si permite al solicitante de la información e interesado en el sentido de esta disposición ejercer de forma efectiva, exhaustiva y con posibilidades de éxito los derechos que le reconoce el artículo 22, apartado 3, del RGPD a expresar su punto de vista y a impugnar la decisión automatizada a que se refiere el mismo artículo 22 del RGPD? |
3 |
|
4 |
|
5) | ¿Limita de alguna manera el artículo 15, apartado 4, del RGPD la amplitud de la información que se ha de facilitar en virtud del artículo 15, apartado 1, letra h), del RGPD? En caso de respuesta afirmativa, ¿en qué sentido limita el artículo 15, apartado 4, del RGPD dicho derecho de acceso, y cómo se ha de determinar en cada caso el alcance de la limitación? |
6) | ¿Es compatible con las exigencias del artículo 15, apartado 1, en relación con el artículo 22, apartado 3, del RGPD el artículo 4, apartado 6, de la Datenschutzgesetz (Ley de protección de datos), con arreglo al cual «sin perjuicio de otras limitaciones legales, el derecho de acceso que asiste al interesado en virtud del artículo 15 del RGPD frente al responsable del tratamiento decaerá, en principio, cuando la revelación de la información ponga en peligro un secreto comercial del responsable del tratamiento o de terceros»? En caso de respuesta afirmativa, ¿qué condiciones se imponen a tal compatibilidad? |
(1) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (DO 2016, L 119, p. 1).
(2) Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas (DO 2016, L 157, p. 1).
