Definirea domeniului de aplicare a procesului decizional automatizat si conformitatea cu GDPR

Article SCHUFA. Definirea domeniului de aplicare a procesului decizional automatizat si conformitatea cu GDPR

Curtea de Justiție a Uniunii Europene (CJUE) a constatat că SCHUFA Holding AG, o agenție de referință de credit, a luat decizii automate atunci când a generat scoruri de probabilitate de rambursare a creditului prin prelucrare automată. 

CJUE a fost rugată să analizeze dacă stabilirea automată a unei valori de probabilitate, cum ar fi un scor de credit, constituie un proces decizional individual automatizat în temeiul articolului 22(1) din Regulamentul General privind Protecția Datelor (GDPR) și, în caz afirmativ, dacă legislația națională care impune condiții suplimentare privind utilizarea unor astfel de valori de probabilitate este compatibilă cu legislația UE.

Această decizie va afecta agențiile de rating de credit și furnizorii de servicii care utilizează procese automatizate pentru a genera scoruri bazate pe risc (sau alte rezultate), care se bazează pe luarea deciziilor care au un impact semnificativ asupra indivizilor.

Procesul decizional automatizat și GDPR

Procesul de luare a deciziilor automate se referă la procesul de utilizare a algoritmilor, inteligenței artificiale sau a altor sisteme automate pentru a lua decizii fără intervenție umană directă. Articolul 22(1) GDPR oferă persoanelor fizice un drept negativ – “de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă”.

În conformitate cu articolul 15(1)(h) din GDPR, persoanele care fac obiectul luării deciziilor automate au un drept de acces‘, ceea ce înseamnă că pot solicita de la operatorii de date “informații semnificative despre logica implicată, precum și semnificația și consecințele preconizate ale unei astfel de prelucrări”.

Hotărârea SCHUFA

Hotărârea discută interpretarea articolului 22(1) GDPR în contextul procesului decizional automatizat al agențiilor de informații privind creditele. Instanța germană a solicitat clarificări cu privire la faptul dacă stabilirea automată a unei valori de probabilitate, pe baza datelor cu caracter personal privind capacitatea unei persoane de a-și îndeplini angajamentele de plată, constituie "luarea automată a deciziilor individuale" în conformitate cu articolul 22(1) din GDPR, în special atunci când un terț se bazează în mare măsură pe această valoare de probabilitate pentru a stabili, implementa sau înceta o relație contractuală cu persoana respectivă. Această hotărâre clarifică faptul că obligația de a respecta articolul 22 din GDPR revine agenției de referință de credit, mai degrabă decât creditorului. 

Hotărârea accentuează faptul că luarea automată a deciziilor trebuie să respecte principiile GDPR, inclusiv drepturile și libertățile persoanelor vizate și legalitatea prelucrării. De asemenea, se adresează permisibilității procesului decizional automatizat în condiții specifice prevăzute la articolul 22(2) din GDPR. Aceste condiții includ necesitatea executării contractului, respectarea legislației UE sau a statelor membre sau consimțământul explicit al persoanei vizate. 

În plus, subliniază importanța garanțiilor și a transparenței în procesele decizionale automatizate pentru a minimiza riscurile și pentru a asigura un tratament echitabil al persoanelor vizate. Curtea a afirmat importanţa acordării dreptului persoanelor la intervenţie umană, a capacităţii de a-şi exprima opiniile şi a posibilităţii de a contesta deciziile luate în legătură cu acestea.

Alte constatări ale CJUE

Alte trei aspecte importante ale hotărârii SCHUFA sunt legate de (1) acțiunile care conduc la luarea automată a deciziilor, (2) drepturile de opoziție și de ștergere ale persoanelor vizate, și (3) controlul judiciar al deciziilor luate de autoritățile de protecție a datelor. 

CJUE a hotărât că unele acțiuni care conduc la decizii automate, cum ar fi crearea de scoruri de credit, pot fi ele însele considerate decizii individuale automatizate. Acest lucru extinde domeniul de aplicare al răspunderii pentru companiile implicate în prelucrarea automată.

CJUE a afirmat drepturile persoanelor fizice de a se opune prelucrării și de a solicita ștergerea datelor prelucrate ilegal în temeiul GDPR. Acest lucru este relevant în special în cazurile de păstrare a datelor cu caracter personal dincolo de perioadele legale, cum ar fi datele privind insolvența care sunt păstrate de agențiile de credit de referință. Companiile trebuie să respecte aceste drepturi și să ia măsurile adecvate pentru a aborda obiecțiile și a șterge datele prelucrate ilegal.

În plus, persoanele fizice au dreptul la un control judiciar al deciziilor luate de autoritățile de protecție a datelor, potrivit CJUE. Acest lucru respinge noțiunea de revizuire limitată și subliniază importanța asigurării responsabilității și a supravegherii în ceea ce privește asigurarea respectării protecției datelor. Companiile ar trebui să fie pregătite pentru potențiale revizuiri judiciare al deciziilor autorităților de protecție a datelor și să asigure respectarea principiilor GDPR pentru a atenua riscurile juridice.

Care sunt implicațiile SCHUFA pentru companii?

Efectul interpretării largi a procesului decizional automatizat în contextul articolului 22 GDPR înseamnă că poate fi prinsă o gamă mai largă de procese automatizate. În plus, astfel de procese pot avea loc înainte de luarea deciziei și, prin urmare, pot acoperi mulți actori din lanțul de aprovizionare, atâta timp cât aceștia joacă un rol determinant în decizia finală, indiferent de cine a luat decizia.

Întreprinderile care utilizează procese automatizate pentru a lua decizii ar trebui să își reevalueze practicile pentru a se asigura că sunt aliniate la cerințele GDPR și să le ajusteze acolo unde este necesar. Nu doar agențiile de credit vor fi afectate: implicațiile se vor extinde într-o serie de sectoare, de exemplu în domeniul sănătății, asigurărilor, ocupării forței de muncă etc., ori de câte ori întreprinderile utilizează algoritmi ca bază pentru luarea deciziilor care au un impact semnificativ asupra persoanelor fizice în conformitate cu articolul 22(1) din GDPR.

 

Hotărârea SCHUFA subliniază importanța respectării GDPR și a transparenței în procesele decizionale automatizate. Întreprinderile care utilizează procese automatizate trebuie să asigure respectarea principiilor și cerințelor GDPR. Acestea ar trebui să furnizeze informații clare și ușor de înțeles cu privire la metodele lor de prelucrare a datelor și să fie pregătite să abordeze drepturile persoanelor de a solicita și de a contesta decizii bazate pe luarea automată a deciziilor. 

Share:
Diana Cojocaru
Autor: Diana Cojocaru

Privacy & Data Protection, Information Systems Auditor

PUNE O INTREBARE