Em 07/12/23, saiu uma decisão muito esperada da Corte de Justiça da União Europeia (CJEU), sobre a atividade dos Bureaus de Crédito e o conceito de decisões automatizadas no GDPR (C-634/21). Dois pontos relevantes:
PRIMEIRO: O score que o bureau de crédito calcula (e que fornece a terceiros, que neles se baseiam fortemente para concessão crédito) deve ser considerado, para o bureau, uma decisão automatizada?
Essa pergunta é importante porque:
(1) Quem aplica diretamente o score em face de um indivíduo é a empresa contratante
(2) Essa pergunta serviu para questionar se o bureau tem obrigações relacionadas ao fato de que se trata de decisões automatizadas.
Entendimento do CJEU:
(a) Sim, o score deve ser considerado uma decisão automatizada também para o bureau, DESDE QUE esse valor determine significativamente se um terceiro a quem o score é transmitido estabelece, implementa ou encerra uma relação contratual com o titular. Questão >> como provar isso?
(b) Uma das exceções à proibição do art 22 do GDPR quanto à existência de decisões automatizadas é a autorização pela lei do Estado-Membro, então CJEU estabeleceu que a corte alemã deve avaliar se a lei alemã autoriza.
(c) Se autorizar, ainda será preciso avaliar se demais parâmetros do GDPR quanto a decisões automatizadas (art 22) estão sendo cumpridos.
(d) Quais são esses parâmetros? Obrigação de explicar o racional por trás do cálculo dos scores, de atender questionamentos dos titulares quanto aos scores obtidos e implementação de salvaguardas (como, por exemplo, análise de impacto algorítmico), entre outros.
SEGUNDO: eles reforçam que o entendimento deles no primeiro ponto acima deve ser lido em conjunto com a decisão nas ações C-26/22 e C-64/22. Destaques:
(a) É ilegal manter o arquivamento (e, portanto, uso para scores) das informações sobre débitos por mais tempo do que aquele determinado pela lei alemã para registro público de insolventes (até 6 meses após a quitação da dívida).
(b) Depois desse prazo legal, os direitos do titular se sobrepõem ao interesse do público em ter acesso à informação de que a dívida existiu um dia. Titular, portanto, pode pedir eliminação dos dados.
(c) Como o SCHUFA armazena dados dos débitos por prazo superior ao legal, o CJEU determinou que o tribunal local deve balancear os interesses envolvidos para avaliar a legalidade da retenção.
(d) Se for legal, o titular ainda tem direito de objetar quanto ao tratamento dos dados (art 21 do GDPR – sem correspondente específico na LGPD) e pode pedir eliminação dos dados, a menos que haja outros interesses legítimos que justifiquem manter os dados.
Esta decisão é muito relevante e fixa uma estrutura para tratamentos de dados pelos bureaus de crédito em diferentes legislações.