Butlletí Oficial de l'Estat

REVISTA DE JURISPRUDENCIA LABORAL - Número 3/2025

I.   Introducción

La sentencia comentada resuelve el alcance del derecho de acceso a la información en caso de decisiones automatizadas y cómo resolver el conflicto entre dicho derecho y el del secreto comercial (o propiedad intelectual) que pueda proteger al sistema automatizado empleado y que afecte a terceros.

II.   Identificación de la resolución judicial comentada

Tipo de resolución judicial: sentencia.

Órgano judicial: Tribunal de Justicia de la Unión Europea (Sala Primera).

Número de resolución judicial y fecha: sentencia de 27 de febrero de 2025.

Tipo y número recurso o procedimiento: asunto C‑203/22, CK y Magistrat der Stadt Wien; petición de decisión prejudicial planteada por el Tribunal Regional de lo Contencioso-Administrativo de Viena.

ECLI: EU:C:2025:117

Fuente:  curia.europa.eu 

Ponente: Excmo. S. D. von Danwitz

III.  Problema suscitado. Hechos y antecedentes

La cuestión analizada en la sentencia comentada es la interpretación del derecho a la protección de datos personales en confluencia con la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas, en el contexto de la ejecución forzosa de una resolución judicial que ordena revelar información significativa sobre la lógica aplicada a la elaboración de un perfil. En particular, la evaluación crediticia de un consumidor (para hacer frente al pago mensual de diez euros derivado de un contrato de telefonía móvil) sobre la base de un sistema de evaluación predictivo acerca de su posible comportamiento futuro fundado en datos sociodemográficos y cuyo funcionamiento como alimentación del sistema automatizado empleado se negaba a revelar al afectado la empresa en cuestión, que tampoco motivó suficientemente tal negativa, según el tribunal remitente de la cuestión prejudicial. La cuestión planteada se dirige a la interpretación del alcance del derecho informativo que garantiza el art. 15.1 h) RGPD, en un doble sentido: a) si este incluye el derecho a verificar la exactitud de la información comunicada por el responsable del tratamiento, una vez que se produce el acceso a la misma y esta revela una discordancia entre inputs y outputs en la recomendación ofrecida por el sistema automatizado, y b) si resulta limitado por la excepción al derecho de acceso basada en el secreto comercial del art. 4.6 de la  Directiva 2016/943, en cuyo caso el acceso debe garantizarse a la autoridad u órgano jurisdiccional para que solo estos realicen tal verificación.

Nos interesa la resolución en cuestión en el contexto laboral, en tanto, junto con la Sentencia del Tribunal de Justicia (Sala Primera) de 7/12/2023, asunto C‑634/21, SCHUFA Holding y otros (Scoring), constituyen la primera jurisprudencia europea que analiza el acceso a la lógica de un algoritmo tras la aprobación del Reglamento Europeo de Inteligencia Artificial, y en cuanto resulte extrapolable a un litigio laboral, aun cuando no se aplique, por razones temporales, el citado reglamento, sino el RGPD (arts. 15.1 h) y 22).

IV. Posición de las partes y planteamiento judicial

Mientras el demandante exige conocer y comprobar los datos de solvencia calculados por la empresa de telefonía que rechazó su contratación a partir de una evaluación realizada por terceros, el gobierno austríaco defiende la aplicación del art. 4.6 de la Ley de Protección de Datos austríaca, en tanto esta excluye el acceso del interesado a sus datos personales, previsto en el art. 15 del RGPD, en caso de perjudicar un secreto comercial o industrial, del responsable del tratamiento o de un tercero.

El tribunal remitente, Tribunal Regional de lo Contencioso-Administrativo de Viena, plantea varias interesantes dudas en su cuestión prejudicial, con el fin de delimitar el alcance del derecho de acceso de los interesados al funcionamiento del sistema automatizado para realizar perfiles como parte del contenido del derecho garantizado por el art. 22.3 RGPD y el concepto de «información significativa», en orden a dar plenitud al derecho a impugnar decisiones automatizadas. Solicita que se interprete si tal significancia es equivalente o incluye los suficientes datos como para verificar la coherencia de la decisión automatizada con la información de entrada del sistema (correlación entre input y output), considerando que pueden existir datos de terceros cuyo acceso pueda permitirse a la autoridad administrativa o judicial y, por lo tanto, se solicita, asimismo, respuesta sobre el alcance de los datos -anonimizados- que pueden compartirse con el solicitante y sobre aquellos integrados dentro de un secreto comercial. En definitiva, el tribunal vienés formula en su cuestión todas y cada una de las dudas que plantea el hipotético derecho a acceder libremente por los interesados al algoritmo empleado por un sistema de decisión automatizada, que sintetiza en la tensión entre los derechos derivados del RGPD y de la Directiva 2016/943, y dar solución al acceso a la información sin comprometer el secreto comercial, definiendo el contenido concreto de tal información en cada caso.

Se trata de un tema igualmente abordado por el propio tribunal en el asunto SCHUFA Holding y otros (Scoring), razón que motiva la suspensión (en fecha 8/12/2022) del procedimiento a la espera de resolución de dicho otro procedimiento, que tuvo lugar por sentencia de 7/12/2023, SCHUFA Holding y otros (Scoring) (C‑634/21), planteada por el Tribunal de lo Contencioso-Administrativo de Wiesbaden, y posterior reanudación del procedimiento el 14/2/2024, por considerar el remitente no respondidas todas las cuestiones planteadas. En dicha otra sentencia, que constituye base referencial de la que se comenta, el TJUE sostenía que la generación automatizada de un valor de probabilidad a partir de datos personales relativos a una persona cuya solvencia se trata de evaluar constituye una «decisión individual automatizada» en el sentido del art. 22 RGPD cuando tal estimación sea utilizada a efectos contractuales.

V.  Normativa aplicable al caso

Arts. 15.1 h) y 22 del Reglamento (UE) 2016/679 (RGPD) y art. 2.1 de la Directiva (UE) 2016/943.

VI.  Doctrina básica

La elaboración de perfiles (art. 4.4 RGPD) conlleva el derecho a la información sobre «la existencia de decisiones automatizadas… a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado» (art. 15.1 h) RGPD). El concepto de «significativa» exige una interpretación propia, pues el término empleado y su significado exacto difieren en cada traducción del reglamento, pero ambos tienen un sentido meramente complementario del general: toda información pertinente relativa al procedimiento y a los principios de explotación automatizada de datos personales con el fin de obtener un resultado determinado.

La información significativa puede comprender un amplio abanico de «lógicas» de explotación de datos personales (que, ex RGPD, se conciben como «toda información sobre una persona física identificada o identificable») y no personales, y, además, la lógica del algoritmo constituye solo una parte de la información a la que atañe el derecho de acceso previsto por dicho precepto, ya que este también se refiere a la información sobre la importancia y las consecuencias previstas del tratamiento en cuestión para el interesado.

En consecuencia, el derecho de acceso a tal información previsto en el art. 15.1 h) conforma un conjunto con las obligaciones adicionales de información impuestas a los responsables del tratamiento en virtud de los arts. 13.2 f) y 14.2 g) RGPD, según se afirma en la STJUE de 7/12/2023, SCHUFA Holding y otros (Scoring), C‑634/21, de forma que la persona afectada por el mismo pueda exigir al responsable de este, en concepto de «información significativa sobre la lógica aplicada», una explicación exhaustiva del procedimiento y de los principios concretamente aplicados para explotar, de forma automatizada, sus datos personales con el fin de obtener un resultado determinado, como un perfil de solvencia (u otro tipo, v.gr. de adecuación a un puesto de trabajo).

El art. 15.4 RGPD, en relación con su considerando 63, limita el alcance de tal derecho en concordancia con los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual (art. 9 de la Directiva 2016/943) y, en particular, los derechos de propiedad intelectual que protegen programas informáticos, que no pueden traducirse en la mera negativa a prestar toda la información al interesado por parte de la autoridad de control con acceso a la misma, pero, que, a su vez, restringen el acceso a ella a ciertas categorías de personas.

La ponderación entre ambos derechos e intereses implica garantizar el acceso a información protegida por el secreto comercial o la propiedad intelectual, si bien de forma que estos queden restringidos a un círculo específico de instituciones autorizadas, que actuarían como intermediarias entre ambos intereses para filtrar dicha información sin que esta tenga trascendencia hacia el público general o los interesados en particular. Esto implica que la autoridad administrativa o judicial puedan acceder directamente y sin restricciones a la información comprometida a los solos efectos de verificar la ponderación entre los dos intereses en juego y permitir la entrada a la información al interesado si el resultado de tal ponderación prima su derecho por encima del secreto comercial.

VII. Parte dispositiva

La sentencia resuelve que el art. 15.1 h) RGPD reconoce a quien resulte afectado por una decisión automatizada, incluida la elaboración de perfiles, en el sentido del art. 22.1, el derecho a exigir al responsable del tratamiento, como «información significativa sobre la lógica aplicada», que este le explique, mediante información pertinente y en forma concisa, transparente, inteligible y de fácil acceso, el procedimiento y los principios aplicados para explotar, de forma automatizada, sus datos personales con el fin de obtener un resultado determinado, como un perfil de solvencia. Igualmente, que dicho derecho alcanza a datos de terceros protegidos o secretos comerciales definidos por el art. 2.1 de la Directiva 2016/943, si bien, en tal caso, esta información deberá ser facilitada a la autoridad de control o al órgano jurisdiccional competente, a los que corresponde ponderar los derechos e intereses en cuestión a efectos de determinar el alcance de su derecho de información.

VIII. Pasajes decisivos

«…el RGPD exige que el responsable del tratamiento ofrezca información significativa sobre la lógica aplicada a esta decisión, “no necesariamente una compleja explicación de los algoritmos utilizados o la revelación de todo el algoritmo”» (par. 60). «…la “información significativa sobre la lógica aplicada” a decisiones automatizadas, en el sentido del artículo 15, apartado 1, letra h), del RGPD, debe describir el procedimiento y los principios concretamente aplicados de tal manera que el interesado pueda comprender cuáles de sus datos personales se han utilizado y cómo se han utilizado en la adopción de la decisión automatizada en cuestión, sin que la complejidad de las operaciones que deban realizarse para la adopción de una decisión automatizada pueda exonerar al responsable del tratamiento de su deber de explicación» (par. 61).

«Habida cuenta de la necesidad de realizar tal determinación atendiendo a las circunstancias de cada caso, el artículo 15, apartado 1, letra h), del RGPD se opone, en particular, a la aplicación de una disposición … que excluye, en principio, el derecho de acceso del interesado, previsto en el artículo 15 del RGPD, cuando dicho acceso comprometa un secreto comercial o un secreto empresarial del responsable del tratamiento o de un tercero» (par. 75).

«…en el supuesto de que el responsable del tratamiento considere que la información que ha de facilitarse al interesado … incluye datos de terceros protegidos por dicho Reglamento o secretos comerciales, en el sentido del artículo 2, punto 1, de la Directiva 2016/943, ese responsable debe comunicar tal información supuestamente protegida a la autoridad de control o al órgano jurisdiccional competente, a los que corresponde ponderar los derechos e intereses en cuestión a efectos de determinar el alcance del derecho de acceso del interesado previsto en el artículo 15 del RGPD» (par. 76).

IX. Comentario

1.  Alcance del art. 22.1 RGPD respecto de la perfilación con efectos contractuales

La STJUE de 7/12/2023, asunto SCHUFA Holding y otros (Scoring), C‑634/21, vino a interpretar por primera vez si el concepto de «perfilación» personal con efectos contractuales se corresponde con el contenido del derecho regulado en el art. 22.1 RGPD (Reglamento 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016), a tenor del cual «todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar». Dada la imprecisión del precepto, que se refiere a decisiones con efectos jurídicos (o impacto significativo) generadas de forma exclusivamente automatizada empleando datos personales, en este asunto se pretende determinar si la automatización puede integrarse en un procedimiento aplicado por un tercero (en el contexto laboral, podría ser una empleadora) cuando una agencia de evaluación de solvencia (en el contexto laboral, podría extrapolarse a una agencia de colocación y/o de selección) le proporcione la citada información para tomar una decisión contractual (recuérdese que la STJUE de 12/1/2023, asunto C-154/21, RW/Österreichische Post AG, precisó que el derecho alcanza al conocimiento del destino de los propios datos). Tal cuestión parte de una disociación entre quien realiza la perfilación y quien la aplica a una persona que resulta afectada por una decisión de trascendencia jurídica como es el rechazo a suscribir un contrato. Y, teniendo en cuenta que el art. 22.1 no exige que el procedimiento íntegro implique a un único autor, se concluye su aplicación a procesos donde la evaluación la realiza un responsable de tratamiento de datos y es otro responsable quien la utiliza para decidir sobre una persona en concreto, puesto que la propia evaluación constituye, per se, una decisión automatizada. Ello implica, en el ámbito laboral, que, si una empresa utiliza un sistema de evaluación realizado por un tercero para adoptar decisiones que afectan a trabajadores, tal evaluación externa debe considerarse una decisión automatizada a los efectos del art. 22 RGPD. Por lo tanto, si una empresa utiliza métodos reputacionales basados en datos personales, v.gr. los conectados a evaluaciones de clientes, sean gestionados tales sistemas de forma interna por la empresa o lo sean por terceros, para evaluar a sus trabajadores, y de ello se derivan decisiones significativas como su propia permanencia en la empresa, la determinación de la cuantía de complementos salariales, el cálculo de la asignación de tareas, su promoción profesional o cualquier otra que, de acuerdo con el art. 41 ET, puedan calificarse como de sustanciales, se trataría de una decisión automatizada protegida por el art. 22 RGPD. De otro modo, por no hallarse dentro del margen aplicativo del RGPD, si el método automatizado no empleara datos personales, la norma aplicable no podría ser el RGPD, sino el Reglamento de Inteligencia Artificial 2024/1689, de 13 de junio (RIA), pues, conforme al art. 4.4 RGPD, la «elaboración de perfiles» se define como toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales «para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física».

En la sentencia SCHUFA Holding, el TJUE igualmente recordaba que el derecho de un Estado miembro es el que debe o no autorizar la adopción de decisiones basadas únicamente en tratamiento automatizado, conforme al art. 22.2 b), siempre que este cumpla con los requisitos previstos en los arts. 22.4 y 5 y 6, que constituyen, para los Estados miembros, derecho necesario absoluto respecto de los apartados 1 a), b) y f) (es decir, cabría modificar únicamente el requisito de que el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, o de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento), como se entendió en la sentencia de 20/10/2022, asunto Digi, C‑77/21. Los Estados miembros carecen, asimismo, de margen para modificar las exigencias descritas en la STJUE de 7/12/2023, Schufa Holding, asuntos C‑26/22 y C‑64/22, en particular, estableciendo el resultado de la ponderación de los derechos e intereses en conflicto (STJUE de 19/10/2016, Breyer, C‑582/14). Pero el órgano judicial nacional sí se encuentra facultado para verificar si existe base jurídica nacional a fin de autorizar la adopción de decisiones basadas únicamente en el tratamiento automatizado de datos y si se cumplen los requisitos previstos en los arts. 22.2 b) y 4, 5 y 6 RGPD.

El Reglamento 2024/1689 (RIA) proporciona una regulación unitaria de los sistemas de IA por niveles de riesgos (inaceptable -art. 5-, alto riesgo -art. 6- y limitado o mínimo) para los derechos fundamentales y/o la salud, que nivela los límites a su uso, así como a su diseño y puesta en circulación en el territorio de la Unión Europea, sin centrarse en el empleo de datos, por lo que dispone respuestas también para sistemas no basados exclusivamente en datos o con alimentación principal por datos, lo que permite complementar la regulación prevista en el art. 22, si bien su reciente implantación priva de interpretaciones jurisprudenciales al alcance de las decisiones automatizadas a las que se refieren sendas resoluciones comentadas, que no aluden a su contenido. Pero debe tenerse en cuenta que dicho marco normativo altera sendos fallos, en cuanto no solo establece el «derecho a intervención humana» (en el sentido del art. 9 del Convenio 108+ o del art. 22 RGPD, que salva los casos en los que ello se requiera para celebración o ejecución de un contrato o exista consentimiento explícito), sino que, asimismo, prohíbe el uso de sistemas de IA para realizar perfiles basados en rasgos personales, pertenencia a colectivos sociales o explotar vulnerabilidades, como una situación social o económica específica, que provoquen un trato perjudicial o desfavorable, por cuanto su aplicación al caso enjuiciado obligaría a valorar si dicha afectación se produce como consecuencia de sistemas de este tipo, pues el propio art. 6 RIA incluye la evaluación de solvencia crediticia entre los elementos que permiten calificar al sistema como «de alto riesgo». Y lo cierto es que este examen eximiría tanto al TJUE como a los órganos judiciales nacionales de tal obligación de determinación de la afectación de derechos, considerando la previa evaluación de impacto (art. 29 RIA) a la que debe someterse su utilización (de considerarse un sistema de alto riesgo, pero no en caso contrario). En su lugar, estos habrían de valorar si se realizó tal estudio antes de ponerlo en funcionamiento, por una parte, y si, efectuado o no, el sistema es susceptible de provocar el riesgo anunciado, por otra parte (asimismo, si se ha garantizado a los afectados el acceso a la información previsto en los arts. 50 y ss. RIA).

2.  Alcance del derecho de información sobre tratamientos automatizados

El art. 13 RIA delimita el alcance de la información que debe facilitarse a los afectados por tratamientos automatizados (a) fines del tratamiento al que se destinan los datos personales y la base jurídica del tratamiento, b) intereses legítimos del responsable, c) destinatarios o categorías de destinatarios de los datos, y d) información significativa sobre la lógica aplicada, y sobre la importancia y las consecuencias previstas del tratamiento para el interesado). En ausencia de dicha regulación y en el contexto aplicativo exclusivamente delimitado por el RGPD, la sentencia comentada profundiza en el concepto de «información significativa», en tanto esta da respuesta al contenido del derecho de acceso que garantiza el RGPD en sus arts. 15 y 22.3 y, en consecuencia, permite calibrar si el derecho ha sido o no satisfecho plenamente.

A tal efecto, sostiene que compartir la información técnica o matemática descriptora del algoritmo empleado o sobre el completo procedimiento computacional que da lugar al resultado cuestionado no satisface tal derecho, puesto que no «puede considerarse una explicación suficientemente concisa e inteligible» (par. 59), ya que (y como se afirmó ya en la STJUE, Infopaq International, C-5/08, Y Gran Sala, de 2/5/2012, SAS Institute Inc contra World Programming Ltd, no consiste en revelar códigos, sino en hacer inteligibles los parámetros y criterios de las decisiones que se toman), «…el RGPD exige que el responsable del tratamiento ofrezca información significativa sobre la lógica aplicada a esta decisión, “no necesariamente una compleja explicación de los algoritmos utilizados o la revelación de todo el algoritmo”» (par. 60). Por el contrario, concluye, el art. 15.1 h) exige que se traslade al interesado la descripción del procedimiento «y los principios concretamente aplicados, de tal manera que … pueda comprender cuáles de sus datos personales se han utilizado y cómo se han utilizado en la adopción de la decisión automatizada». En definitiva, el TJUE parece identificar el concepto de «información significativa» como la relación entre los datos concretos utilizados por el sistema y su relación con la decisión adoptada (exactamente en el mismo sentido que el RIA, que la refiere a la lógica aplicada por el sistema automatizado (o razonamiento subyacente, según art. 9.1 Convenio 108+), exigiendo que se indique la importancia del tratamiento en relación con la producción de la decisión automatizada o el papel que los datos personales tienen en la generación de esta decisión y qué consecuencias se derivan de la decisión automatizada). En otras palabras, el peso y correlación de tales datos con el resultado al que se han aplicado, v.gr., si su edad, procedencia, sexo,… han tenido influencia y en qué grado en la decisión adoptada. En el caso analizado por la resolución comentada, qué hechos o circunstancias se han considerado negativas para valorar su falta de solvencia y rechazar su solicitud de contrato de servicio. Pues, en efecto, conocer el centro de gravedad de una decisión permite impugnarla con mayores probabilidades de éxito, al poder orientar la argumentación pertinente en función de la motivación de la decisión que se combate, y, en supuestos de decisiones discriminatorias, partir del indicio necesario no solo para centrar el debate, sino incluso para repartir la carga probatoria y activar las garantías procesales que deben desplegarse para la tutela del derecho vulnerado.

Con carácter previo al acceso al procedimiento descrito, el art. 15.1 h) RGPD garantiza la autocomprobación de la veracidad o exactitud de los datos utilizados para generar el resultado cuestionado, derecho que el tribunal concibe como parte integrante del art. 15.1 en su inicio introductorio, que reza «el interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen», lo que implica que el TJUE asocia a la idea de saber si se están o no tratando los propios datos personales la de verificar la exactitud de tales datos («el derecho de acceso a dichos datos no resulta de la letra h) del apartado 1 del artículo 15 del RGPD, sino de la frase introductoria del mismo apartado, que garantiza que el interesado pueda cerciorarse de la exactitud de esos datos» -par. 63-), en sintonía con el art. 8.2 de la Carta de los Derechos Fundamentales de la Unión Europea (derecho de acceso y de rectificación de los datos que le conciernan). De suerte que, aunque la dicción literal solo reconozca el derecho a saber que los datos personales han sido objeto de tratamiento, la interpretación del TJUE extiende un derecho que se resuelve en términos binómicos (sí/no han sido tratados) a un contenido que incluye conocer qué datos concretos se han tratado y si estos son veraces (v.gr., en el caso analizado, «no es cierto que no pagué el seguro X», «no es cierto que no pagué la cuota a la compañía X»…).

Por otra parte, se precisa que la complejidad del proceso decisional impugnado no puede erigirse en obstáculo a la efectividad del derecho de acceso a la información (par. 61). De otro modo, la propia interposición de mecanismos automatizados basados en el uso de inteligencia artificial podría deteriorar el panorama de garantías previamente derivado del RGPD y del conjunto normativo que garantiza la eficacia de los derechos fundamentales, así como de los derechos de los ciudadanos.

Del mismo modo, y aunque la norma no haya sido referenciada hermenéuticamente en la resolución analizada, ha de considerarse la dicción del art. 13.1 RIA en la interpretación del alcance del derecho de información en cuestión, que garantiza explícitamente que tanto proveedor como usuario (ambas, empresas) puedan interpretar la información de salida del sistema de IA de alto riesgo (principio de transparencia), a fin de hacer efectivo el derecho informativo de la persona afectada y, en definitiva, a que se motiven las decisiones que le afectan, o derecho de explicabilidad (ex art. 13.2 f) RGPD), para poder conocer el papel del sistema de IA en el procedimiento de adopción de decisiones, los parámetros principales de la decisión y los datos de entrada, incluyendo los conjuntos de datos.

3.  Secretos comerciales como obstáculo al derecho a la información y ponderación judicial o administrativa

Tanto la Directiva 2016/94 como los considerandos 107 y 167, así como el art. 25.5, 52.6, 78 o 101 RIA, garantizan la protección de los secretos comerciales y la propiedad intelectual, y restringen el acceso a estos a la información estrictamente necesaria a las autoridades implicadas en la aplicación del derecho de la UE. No obstante, el art. 5 de la citada directiva prevé diversas salvedades a la protección íntegra de tal derecho, entre las que se encuentran dos de especial interés a los efectos tratados: c) cuando los trabajadores lo hayan puesto en conocimiento de sus representantes en el marco del ejercicio legítimo de sus funciones, siempre que tal revelación fuera necesaria para ese ejercicio (previsión contenida también en el art. 2.c) de la Ley 1/2019, de Secretos Empresariales), y d) con el fin de proteger un interés legítimo reconocido por el derecho nacional o de la UE.

En caso de conflicto entre el ejercicio del derecho de acceso pleno a los datos personales y los derechos o libertades de otros (lo cual tendrá lugar cuando el responsable del tratamiento restrinja la información proporcionada por afectar a secretos comerciales o de propiedad intelectual), el TJUE afirma que será la autoridad administrativa o judicial quien pueda tener pleno acceso a tal información, por tanto, restringiendo el círculo de legitimados para conocerla, en garantía de los derechos protegidos por la Directiva 2016/94 (y por el deber de confidencialidad regulado en el art. 78.1 RIA, con las salvedades previstas en el art. 5 de la Directiva 2016/943). En virtud de tal legitimación, a dicha autoridad corresponderá efectuar una ponderación entre ambos derechos para, siempre que sea posible, optar por modalidades de comunicación de datos personales que no vulneren los derechos o libertades de otros, sin incurrir en la mera «negativa a prestar toda la información al interesado», de acuerdo con el considerando 63 RGPD y la STJUE de 4/5/2023, Österreichische Datenschutzbehörde y CRIF, C‑487/21. El principio aludido tiene recepción específica en el derecho español, en el que se encuentra previsto en el art. 135.1 c) de la Ley de Propiedad Intelectual (RD leg. 1/1996, de 12 de abril) respecto de la propiedad de bases de datos, para autorizar su revelación en el contexto de un procedimiento administrativo o judicial, siempre y cuando esta no cause un perjuicio injustificado a los intereses legítimos del titular del derecho o que vaya en detrimento de la explotación normal del objeto protegido (art. 135.2).

Corresponde al órgano judicial, y previo acceso a la información íntegra solicitada por el interesado, ejecutar diversas acciones: a) detectar la contradicción entre ambos derechos, b) acceder a la información protegida, c) evaluar el contenido concreto al que debe conceder acceso y d) decidir qué modalidad de acceso a los datos permitir, de acuerdo con el principio de proporcionalidad.

A fin de ponderar con pleno conocimiento de causa los intereses en juego, un órgano jurisdiccional nacional puede considerar que se le deben comunicar datos personales de las partes o de terceros, respetando el principio de proporcionalidad, lo cual puede incluir  la divulgación total o parcial a la parte contraria de los datos personales que le hayan sido comunicados, si se estima que tal divulgación resulta imprescindible para garantizar el disfrute efectivo de los derechos que el art. 47 de la Carta confiere a los justiciables (STJUE de 2/3/2023, Norra Stockholm Bygg, C‑268/21), por tanto, más allá de lo previsto en el art. 5 de la Directiva 2016/943. Con arreglo al RIA, debe entenderse que recae sobre dicha autoridad el deber de confidencialidad, pero que este no se extiende al interesado, una vez determinada la prevalencia de su deber de información sobre el derecho al secreto comercial.

X.  Apunte final

Finalmente, debe considerarse la garantía adicional proveniente del Convenio 108 para la protección de las personas respecto al tratamiento automatizado de datos de carácter personal (aprobada su ratificación, en interés de la Unión Europea, por los Estados miembros por Decisión 2019/682 del Consejo de 9 de abril de 2019) respecto al tratamiento automatizado de datos de carácter personal, cuyo art. 8, además de conceder el derecho previsto en el art. 15 RGPD (acceso al fichero de datos de carácter personal que conciernan al interesado y su comunicación en forma inteligible), concreta el derecho a la rectificación de tales datos (se entiende, pues, que se trata del derecho a comprobar la corrección de tales datos), ampliado en el art. 9.1, apartados b) y c) («conocimiento del razonamiento subyacente al tratamiento de datos cuando los resultados de dicho tratamiento se le aplicaren»), así como del apartado d) («oponerse en cualquier momento, por fundamentos relacionados con su situación, al tratamiento de datos personales que lo involucren, salvo si el responsable del tratamiento demostrara fundamentos legítimos para el tratamiento superiores a sus intereses o derechos o libertades fundamentales») del Protocolo de Enmienda de 2018 (Convenio núm. 223 del Consejo de Europa).

Asimismo, la que prevé el art. 9 del citado Protocolo de 2018: el derecho a no sujetarse a una decisión basada únicamente en el tratamiento automatizado de datos que pueda afectarle significativamente «sin considerar sus opiniones» (derecho de audiencia previa), incluso con «la asistencia de una autoridad de control» (art. 9.1 g), salvo que la decisión haya sido autorizada por una ley a la cual esté sujeto el responsable del tratamiento (en el caso analizado, si la información crediticia debe obtenerse necesariamente por la entidad responsable). Excepción esta última que no cabría admitir en el ámbito de un contrato de trabajo, salvo que se dispusiera legislativamente algún deber empresarial de tratamiento automatizado de datos, por lo que del convenio citado se desprendería el deber empresarial de consultar previamente a la persona interesada (v.gr. decisión relativa a contratación, terminación del contrato, adopción de modificaciones u otras decisiones de carácter «sustancial» en el sentido del art. 41 ET adoptada por un sistema automatizado basado en datos).