Opacidad algorítmica, secreto comercial y protección de datos personales: a propósito del caso C-203/22 del TJUE

Por Rafael Pastor Besoain*.

En febrero de 2024, el Tribunal de Justicia de la Unión Europea (TJUE) emitió una sentencia particularmente significativa respecto del tratamiento jurídico de los secretos comerciales en el contexto de la economía digital y la toma de decisiones automatizadas. En el asunto C-203/22, el Tribunal se pronunció sobre la tensión existente entre el derecho de las personas a obtener información acerca de las decisiones automatizadas que les afectan, como ocurre en los sistemas de evaluación crediticia, y el interés legítimo de las empresas en preservar la confidencialidad de sus modelos algorítmicos en virtud del régimen de protección de secretos comerciales.

El litigio tuvo su origen en Austria, cuando una ciudadana fue denegada en su solicitud de contratación de un servicio de telefonía móvil sobre la base de un “scoring” automatizado realizado por la empresa Dun & Bradstreet Austria GmbH. La interesada solicitó conocer los criterios subyacentes a dicha decisión, frente a lo cual la empresa alegó que dicha información estaba amparada por la protección del secreto comercial conforme a la Directiva (UE) 2016/943 y su normativa local.

En su fallo, el TJUE reconoció que los algoritmos, en tanto que contienen información técnica y comercial valiosa no divulgada, pueden constituir objeto de protección bajo la mencionada directiva. No obstante, advirtió que esta protección no puede prevalecer de manera absoluta sobre el derecho de acceso a la información reconocido en el artículo 15 del Reglamento General de Protección de Datos (RGPD). De ello se desprende una argumentación de especial relevancia, que no permite transformar al secreto comercial en un fundamento jurídico para la opacidad absoluta en la adopción de decisiones automatizadas.

Sin embargo, el Tribunal no exige a la empresa la divulgación íntegra de sus algoritmos, ni de la arquitectura de los modelos, ni de sus técnicas de entrenamiento. En su lugar, establece la necesidad de proporcionar al afectado una explicación “significativa” e “inteligible” de la lógica subyacente a la decisión. Esta exigencia procura alcanzar un punto de equilibrio entre la necesaria transparencia para el ejercicio efectivo de los derechos fundamentales y la protección del conocimiento técnico como activo empresarial estratégico.

La decisión del TJUE también clarifica que el contenido y el formato de la información que debe proporcionarse al interesado van estrechamente vinculados, estableciendo un doble umbral informativo. Por un lado, existe un límite inferior, según el cual la explicación suministrada debe permitir al afectado comprender suficientemente los principios y el proceso lógico del algoritmo, de modo tal que pueda ejercer con eficacia sus derechos, incluyendo la rectificación, el derecho al olvido y el derecho a impugnar decisiones automatizadas. La complejidad técnica del sistema no exime al responsable del tratamiento de la obligación de traducir esa lógica a un lenguaje comprensible. En el caso específico de la elaboración de perfiles, como la calificación crediticia, el Tribunal sugiere que podría bastar con indicar al interesado de qué forma una modificación en sus datos personales habría podido alterar el resultado.

Por otro lado, el Tribunal delimita un límite superior al tipo de información que puede exigirse, imponiendo al responsable del tratamiento la exigencia de no trasladar al afectado una carga informativa inabarcable, consistente en fórmulas matemáticas avanzadas o documentación técnica opaca. Por tanto, la exigencia no es la entrega del código fuente o el modelo compilado o serializado, sino una exposición accesible, transparente y significativa del razonamiento subyacente. Esta postura se manifiesta en la doble referencia del TJUE al contenido (“principios y procedimientos”) y al formato (“conciso, transparente, inteligible y fácilmente accesible”) de la información. Se busca así evitar tanto la opacidad total como la saturación informativa que, en la práctica, anula el ejercicio de los derechos.

La relevancia de esta jurisprudencia trasciende el ámbito europeo y resulta especialmente pertinente para Chile, país que ha avanzado recientemente en la modernización de su marco normativo en materia de protección de datos personales, a través de la promulgación de la Ley N° 21.719. Este precedente europeo constituye un referente interpretativo relevante en la medida que establece estándares normativos para la ponderación entre derechos fundamentales y la protección de la innovación empresarial.

En efecto, el desafío contemporáneo del Derecho consiste en armonizar la transparencia democrática con la necesidad de preservar los incentivos a la innovación. Así, si bien una democracia robusta requiere garantizar que las personas comprendan los procesos decisionales que les afectan, también debe reconocer el beneficio social de proteger las inversiones en conocimiento que hacen posible el desarrollo de soluciones tecnológicas.

En definitiva, el eje central del problema no radica en la elección dicotómica entre transparencia y confidencialidad, sino en la construcción de un estándar jurídico que permita compatibilizar ambos principios. Es imperativo asegurar que los ciudadanos puedan ejercer sus derechos de forma efectiva, sin imponer cargas desproporcionadas sobre los titulares de información estratégica. De lo contrario, se corre el riesgo de que el derecho de protección de datos se transforme en un freno a la innovación, y que el secreto comercial devenga en una justificación para decisiones opacas. Este es el delicado arte de equilibrar derechos fundamentales en tiempos algorítmicos, lo que claramente no resulta nada de fácil.

*Rafael Pastor Besoain, Decano Facultad de Derecho y Humanidades Universidad Central de Chile