WEBSITE
 
SOCIAL MEDIA

28.01.2025

Áreas de Prática: Financeiro

A decisão do Caso SCHUFA e as implicações no uso de tecnologia no setor financeiro

  1. Contexto da decisão

O artigo 22.º do Regulamento Geral sobre a Proteção de Dados (RGPD) garante aos titulares de dados pessoais o direito a não se sujeitarem a uma decisão individual automatizada, através de técnicas de profiling, limitando a sua utilização no contexto regulatório de dados pessoais no espaço europeu.

Essa proteção política cautelosa foi confirmada e alargada pela decisão do Tribunal de Justiça da União Europeia no Caso SCHUFA, ao estabelecer como precedente que «a determinação automatizada, por uma sociedade que fornece informações comerciais, de um valor de probabilidade baseado em dados pessoais relativos a uma pessoa sobre a capacidade desta para cumprir as suas obrigações de pagamento, constitui uma decisão individual automatizada, quando o facto de um terceiro, ao qual o referido valor de probabilidade é comunicado, estabelecer, executar ou cessar uma relação contratual com essa pessoa depende de forma determinante desse valor de probabilidade».

No caso em questão, a SCHUFA, uma sociedade alemã especializada na análise de solvabilidade, foi subcontratada para avaliar a situação financeira de OQ. Essa avaliação baseou-se na elaboração de um “prognóstico sobre a probabilidade de um comportamento futuro de uma pessoa” (o chamado score), como a capacidade de reembolsar um empréstimo. Para isso, utilizou um conjunto de características da pessoa analisada, aplicando procedimentos matemáticos e estatísticos. Com base nos resultados fornecidos pela SCHUFA, foram transmitidas informações negativas sobre OQ a terceiros, o que levou à recusa da concessão de crédito

O Tribunal de Justiça da União Europeia pronunciou-se sobre a compatibilidade da recusa da concessão de crédito à OQ com o direito a não ser sujeito a uma decisão individual automatizada, prevista no artigo 22.º do RGPD, analisando a questão de saber se o artigo 22.º do RGPD deveria «ser interpretado no sentido de que a determinação automatizada de um valor de probabilidade relativo à capacidade do titular dos dados de pagar no futuro um crédito, já constitui uma decisão baseada exclusivamente no tratamento automatizado, incluindo a definição de perfis, que produz efeitos na esfera jurídica do titular dos dados ou que o afeta significativamente de forma similar, quando o referido valor de probabilidade, que é calculado com recurso a dados pessoais do titular, é transmitido pelo responsável pelo tratamento a um terceiro responsável, e esse terceiro se baseia essencialmente nesse valor de probabilidade para tomar uma decisão acerca do estabelecimento, da execução ou da cessação de uma relação contratual com o titular dos dados».

 

  1. Decisão

O RGPD considera como definição de perfis «qualquer forma de tratamento automatizado de dados pessoais que consista em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular, nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional, a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento, localização ou deslocações». Por todos os impactos que esta técnica pode ter numa pessoa singular, o RGPD adota como regra geral a proibição de decisões individuais automatizadas quando estas produzam efeitos na esfera jurídica do titular dos dados pessoais, ou quando o afetem significativamente de forma similar.

Ainda assim, o quadro regulatório vigente permite a aplicação destas técnicas em três diferentes situações:

  • quando forem necessárias para a celebração ou para a execução de um contrato entre o titular dos dados e um responsável pelo tratamento;
  • quando for autorizada pelo direito comunitário ou direito de um Estado-membro ao qual o responsável pelo tratamento estiver sujeito, na condição de estarem previstas medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular dos dados; e
  • quando for baseado no consentimento explícito do titular dos dados.

Relativamente à situação em que esta é autorizada pelo Direito de um Estado-Membro, o Tribunal considerou que caberá ao legislador nacional «prever medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses do titular dos dados», em linha com o propósito do RGPD.

Em matéria de definição de perfis o tribunal distingue dois planos. Primeiramente, as entidades relevantes devem operar sempre em conformidade com a lógica inerente aos princípios do RGPD – em concreto no do princípio da licitude do tratamento de dados nos termos gerais do RGPD, pelo que o tratamento só será lícito se se verificar uma das situações do artigo 6.º.

Num segundo plano, e se o que justifica a aplicação desta técnica é o Direito do Estado-Membro, o legislador nacional deverá também implementar sistemas em que obriguem os responsáveis por este tratamento a, cumulativamente:

  • aplicar medidas técnicas e organizativas adequadas que garantam que o risco de erros é minimizado, e, a existirem, que são corrigidos;
  • proteger estes dados pessoais de potenciais riscos para os interesses e direitos dos seus titulares e previnam medidas discriminatórias;
  • e assegurar o direito a obter uma intervenção humana da parte do responsável pelo tratamento.

O TJUE considerou que a disposição interna que regulava credit scoring não respeitava o regulamento em matéria de tratamento de categoria especiais de dados (dados pessoais sensíveis), e que não previa medidas adequadas para salvaguardar os direitos e liberdades e os legítimos interesses dos titulares de dados.

 

  1. Impactos na implementação tecnológica no setor financeiro

A decisão não estabelece como precedente uma proibição imperativa de credit scoring, mas antes indica aos Estados-Membros qual o caminho a seguir em matéria de tratamento e proteção de dados pessoais, especialmente quando estes são sensíveis.

Não obstante, o conteúdo e sentido da opinião do Tribunal de Justiça da União Europeia tem implicações diretas na política digital europeia, sublinhando a necessidade de um diálogo contínuo entre a evolução tecnológica e o quadro regulatório, para que o progresso não se dê à custa dos direitos e liberdades fundamentais.

Tendo reforçado a necessidade de transparência e explicabilidade nas decisões automatizadas que afetam os direitos dos indivíduos, o acórdão veio amplificar a discussão quanto às exigências que tanto o Regulamento DORA quanto o Regulamento de Inteligência Artificial impõem às instituições financeiras em relação à conformidade regulatória, proteção de dados e uso responsável das tecnologias.

No âmbito do DORA e da segurança das infraestruturas digitais, a decisão reforça a necessidade de as empresas financeiras não apenas protegerem os seus sistemas contra-ataques cibernéticos, mas também garantirem que suas decisões automatizadas sejam auditáveis, transparentes e conformes com as normas de proteção de dados. As decisões automatizadas no setor financeiro, como as realizadas por algoritmos de crédito ou sistemas de avaliação de risco, deverão ser tratadas de forma a não prejudicar os direitos dos consumidores, especialmente em um ambiente de crescente dependência de tecnologias digitais. O DORA exige que as instituições financeiras tenham planos e práticas de governança robustos para lidar com riscos relacionados à tecnologia, e a jurisprudência do TJUE em relação ao Artigo 22 do RGPD pode ser vista como um reforço dessas obrigações de garantir a confiança e a proteção dos dados no setor.

Além disso, a decisão no caso SCHUFA também interage diretamente com o Regulamento de Inteligência Artificial, que visa estabelecer um marco regulatório para o uso responsável e ético da IA na Europa. O regulamento distingue diferentes níveis de risco associados ao uso de IA e impõe requisitos de transparência, rastreabilidade e explicabilidade, especialmente em áreas de alto risco, como a avaliação de crédito. A decisão do TJUE sublinha a importância de garantir que decisões automatizadas, como aquelas baseadas em IA, sejam explicáveis e que os consumidores possam contestá-las, o que é um princípio fundamental também do regulamento de IA. Portanto, a decisão pode acelerar a adoção de medidas mais rigorosas de governo de IA no setor financeiro, alinhando as práticas do setor às expectativas da União Europeia quanto ao uso ético e transparente da inteligência artificial.

DOWNLOAD PDF

Thinking about tomorrow? Let's talk today.

Diogo Pereira Duarte

Sócio

João Diogo Barbosa

Associado

António Kreiseler de Albuquerque

Advogado Estagiário

Conhecimento

06 Fev 2025

Orientações da CMVM sobre a função de compliance e avaliação da adequação do compliance officer
04 Fev 2025
Imprensa

Alexandra Rebordão de Sousa escreve como “o futuro já chegou à nossa conta bancária” no Jornal Económico
22 Jan 2025

Atualizações regulamentares sobre Cultura Organizacional e Sistemas de Governo e Controlo Interno
09 Jan 2025
Imprensa

Observador | Criptoativos: novas empresas de mediação suspensas
Ver Mais