Es probable que usted conozca a alguien que haya tenido un problema derivado de su puntaje de crédito (credit scoring). Esta ha sido una herramienta muy utilizada por bancos y comercios en general para evaluar la capacidad de pago de una persona. A pesar de ser útil para muchas personas a la hora de dar acceso al crédito en entidades financieras, poco se habla sobre los problemas relacionados con esta práctica.
Muchas veces no existe información adecuada sobre este registro. Es como una verdadera caja oscura con respecto a los datos personales: no se sabe de dónde provienen los datos, qué criterios se utilizan para su tratamiento y, principalmente, cómo se utilizan las técnicas de inteligencia artificial para determinar si una persona puede o no, por ejemplo, financiar un automóvil.
Esta columna analiza brevemente cómo el tema es cada vez más relevante para las personas, además de traer algunos ejemplos actuales de discusiones regulatorias y prácticas de mercado ante posibles denegaciones de crédito, discriminación, falta de transparencia, entre otros problemas encontrados.
Importantes discusiones de los EE.UU. a la Europa
El tema está regulado en Estados Unidos, principalmente por la Ley de informes crediticios justos (FCRA), modificada en gran medida por la Ley Dodd-Frank que trajo importantes medidas para la regulación del capital financiero y la protección del consumidor después de la crisis financiera de 2008.
Siguiendo la citada ley, la Oficina de Protección Financiera del Consumidor (CFPB), de EE.UU. publicó un reporte anual sobre los burós de crédito más grandes de EE.UU.: Experian, Equifax y TransUnion. Entre sus recomendaciones, se aconseja considerar cómo los procesos automatizados impactan a los clientes, particularmente aquellos que reportan un derecho deben considerar la carga del consumidor (consumer burden) y, sobre todo, si un cambio hacia la automatización requerirá que los consumidores tengan que sortear más obstáculos y lidiar con distintos organismos para ejercer sus derechos.
La medida cumple con algunas de las obligaciones establecidas en la ley FCRA, pero la CFPB quiere ampliar la discusión, tratando de entender cómo opera el mercado y cuáles son las posibles prácticas que pueden lesionar los derechos de las personas. Esta semana, en el día mundial del consumidor, la CFPB publicó un llamado solicitando informaciones sobre los data brokers y otras prácticas comerciales que involucran la recopilación y venta de información del consumidor. Además de supervisar las agencias de informes del consumidor, incluidas las tres agencias más grandes del país, la CFPB se esfuerza por obtener información sobre el alcance completo de la industria de data brokers.
En Europa, la Corte de justicia europea analizará un caso importante sobre este tema. El caso C-634/21 trata acerca de una agencia privada de información crediticia alemana (SCHUFA) que proporciona información sobre la solvencia de los consumidores a sus socios contractuales. SCHUFA establece puntajes de crédito donde la probabilidad del comportamiento futuro de una persona se predice sobre la base de ciertas características de esa persona, utilizando métodos estadísticos matemáticos.
Las organizaciones Algorithm Watch y Open Knowledge Fountation lanzaran la campaña OpenSCHUFA que, aparte de arrojar luz sobre el tema y visibilizar la conducta poco transparente de la empresa, también condujo a la evaluación de datos de más de 2000 consumidores por parte de periodistas de datos de BR Data y SPIEGEL Data. La investigación concluye que muchas personas son declaradas caso de riesgo sin culpa propia.
El caso europeo pretende definir cuestiones tales como si la calificación crediticia es una decisión basada únicamente en el procesamiento automatizado, incluida la elaboración de perfiles, y los límites de la ley europea de datos (RGPD) para aplicar el credit scoring. La Corte de Justicia va a analizar la aplicación del artículo 22 del RGPD, que trata del derecho del interesado a “no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”. Esta semana, el Abogado General publicó su opinión en el caso de que, entre otros puntos, la conservación de datos por una agencia privada de información comercial no puede ser lícita “a partir del momento en que los datos personales relativos a una insolvencia se hayan suprimido de los registros públicos”.
Brasil: múltiples leyes para la protección de los derechos
En Brasil, la discusión también está caliente. A mediados de febrero, Idec publicó el libro “El consumidor en la era del puntaje de crédito”, coordinado por Juliana Oms y disponible en versión digital. El libro trae varios artículos que exploran cómo se puede entender el interés económico en relación con la protección de datos personales y la privacidad, además de profundizar en la producción de la regulación en Brasil sobre el tema en los últimos años, y analizar la perspectiva de defensa del consumidor sobre el tema.
Por un lado, la legislación brasileña, a pesar de estar inspirada en la legislación europea, define de manera muy amplia la protección del crédito como una de las hipótesis para el tratamiento de datos personales. Por otro lado, la ley específica sobre la materia (Lei do Cadastro Positivo) prohíbe el registro de información excesiva que no esté vinculada al análisis del riesgo crediticio del consumidor; e información sensible, como origen social y étnico, salud, información genética, orientación sexual; y creencias políticas, religiosas y filosóficas. Tal como lo entiende la jurisprudencia brasileña, el uso de este tipo de información sería un abuso de derecho, lo que está prohibido por el Código de Protección del Consumidor.
La inteligencia artificial, datos crediticios y sus riesgos
El tema aún está en discusión y, actualmente, se está abordando el riesgo de utilizar sistemas de inteligencia artificial (IA) para este propósito. En el marco brasileño de las discusiones del Proyecto de Ley sobre inteligencia artificial, la comisión de juristas encargada de analizar los proyectos de ley propuso la adopción de un sistema de calificación de riesgos, que debe ser un paso previo a la publicación de la oferta de estos productos ante los consumidores. Por lo tanto, los sistemas de IA considerados de alto riesgo han de adoptar medidas de mitigación, como realizar una evaluación de impacto algorítmico y adoptar medidas de gobernanza, y medidas de gestión de datos para aminorar y prevenir sesgos discriminatorios. El sistema de calificación crediticia, según la propuesta, sería un sistema de alto riesgo y, por ende, requiere del cumplimiento de las medidas mencionadas.
La solución propuesta por la comisión brasileña de juristas brinda mayor protección a los derechos humanos involucrados en este caso: la privacidad y la no discriminación. Sin embargo, aún queda un largo camino para que la ley sea aprobada y, posteriormente, sea aplicada efectivamente por las instituciones.
Hay mucho por hacer
Si, por un lado, hay un discurso que avala el uso de este tipo de herramienta, en tanto puede servir para tener un acceso más fácil al crédito con tasas más bajas, por otro lado, hay muchos riesgos que deben ser tomados en cuenta: denegaciones indebidas de acceso a crédito, discriminación, violación sistemática de la privacidad, uso indebido de datos sensibles, entre otros. Los factores se vuelven más complejos cuando se observa la falta de transparencia respecto de varios factores importantes de los sistemas utilizados, además de los problemas relacionados con el uso de herramientas automáticas para la evaluación.
Vemos que el análisis de algunas de las jurisdicciones apunta a la complejidad de este tema, en vista de las múltiples leyes de consumo, protección de datos y otros temas que están involucrados con el cumplimiento de los numerosos derechos humanos que se evidencia en este caso. Junto con ello, la existencia de varias instituciones encargadas de la supervisión, además del uso intensivo de herramientas de inteligencia artificial en este análisis, también son otras cuestiones que agregan complejidad al tema. Necesitamos ser conscientes de la necesidad de una mejor regulación y actuación de las autoridades sobre los datos crediticios, por el alto impacto que su uso y tratamiento tienen en la vida de las personas.