Los sistemas de inteligencia artificial basados ​​en puntuación están expresamente prohibidos por la Ley de IA que acaba de aprobar el Parlamento Europeo el 13 de marzo de 2024. En el sentido del texto europeo, la puntuación es la evaluación o clasificación de personas físicas o grupos de personas en función de su comportamiento social o características personales, causando un trato perjudicial o desfavorable a estas personas (Ley de IA, artículo 5.1, c).

Este sistema confirma la posición expresada por el Tribunal de Justicia de la Unión Europea (TJUE) que, en dos importantes sentencias del 7 de diciembre de 2023, declaró ilegal el credit scoring, ya que debe considerarse como “una decisión individual automatizada” prohibida por el RGPD cuando juega un papel determinante en, como en este caso, la concesión de crédito.

En el primer asunto (C-634/21), se trataba de la puesta a disposición por una sociedad de sus socios de información relativa a la solvencia de personas físicas, determinada sobre la base de una previsión de la probabilidad de comportamiento futuro del solicitante («score»). En este contexto, el tercero denegó al solicitante un préstamo.

Una práctica común en los establecimientos bancarios

En el segundo asunto (C-26/22), dos demandantes solicitaron a la misma empresa que suprimiera sus datos porque se habían beneficiado de decisiones de liquidación del resto de sus deudas, a lo que la empresa se negó. Al conservar dichos datos durante tres años, mucho más allá del plazo de conservación del registro público de insolvencias (seis meses), sancionó a las personas afectadas que habían sido objeto de una evaluación de solvencia negativa.

El scoring, muy utilizado por las instituciones bancarias, consiste en asignar una puntuación a un cliente o prospecto, resultante de una probabilidad de impago. Permite identificar a los buenos clientes y a aquellos que tienen un perfil que garantiza un reembolso sin dificultad o, por el contrario, identificar y excluir a los clientes de riesgo. También se utiliza para operaciones de prospección comercial.

Según el artículo 4 del RGPD, se trata de una “forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales relacionados con una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, la situación económica, la salud, las preferencias personales, los intereses, la fiabilidad, el comportamiento, la ubicación o los movimientos de dicha persona física”.

El derecho a no ser objeto de una decisión individual automatizada

Los jueces europeos consideraron que tal práctica estaba prohibida por el artículo 22 del RGPD, que consagra el derecho de cada individuo a oponerse a una decisión basada en un tratamiento automatizado si esta tiene “efectos jurídicos” sobre él o “le afecta significativamente”.

De hecho, dado que la puntuación se basa en datos estándar, no puede reflejar la situación real de una persona; por ejemplo, una solicitud de préstamo podría ser rechazada a un solicitante sobre la base de sus datos estándar, incluso si tiene fuentes de ingresos adicionales que le permitirían devolver el préstamo solicitado.

Es para prevenir tales riesgos que el RGPD (art. 22 al 2) ha previsto que toda persona tiene derecho a no ser objeto de una decisión individual automatizada, a menos que dé su consentimiento, si esta es necesaria para la celebración o ejecución de un contrato o si lo autoriza el Derecho de la Unión o el Derecho del Estado miembro al que está sujeto el responsable del tratamiento.

En este contexto, sin precisar su contenido, el TJUE recuerda que deben establecerse garantías adecuadas para asegurar un tratamiento leal y transparente mediante procedimientos matemáticos o estadísticos adecuados a los fines de la elaboración de perfiles y medidas técnicas y organizativas apropiadas que reduzcan el riesgo de error.

Estas medidas deben incluir al menos la posibilidad de que el interesado obtenga intervención humana, información específica, en particular sobre el método y los factores de cálculo, así como procedimientos y medidas para evitar errores o inexactitudes.

Además, cuando sus datos hayan sido tratados ilícitamente, el interesado tiene derecho a obtener del responsable del tratamiento su supresión lo antes posible (RGPD, artículo 17).

A la vista de lo anterior, no cabe duda de que algunas prácticas deberán cambiar, en particular en los sectores bancario y de seguros, donde el scoring juega un papel decisivo a la hora de identificar a los buenos clientes o, por el contrario, de identificar y excluir a los clientes “de riesgo”.