“Credit scoring” e decisione automatizzata, dalla CGUE importanti linee interpretative
La Corte si pronuncia sulle tre condizioni cumulative di applicabilità del GDPR: decisione, trattamento automatizzato ed effetti giuridici significativi
La Corte di Giustizia dell’Unione Europea ha deciso recentemente su una domanda di pronuncia pregiudiziale riguardante l’interpretazione dell’ articolo 22, paragrafo 1, del Regolamento (UE) 2016/679 (GDPR), fornendo importanti linee interpretative per individuare una “ decisione automatizzata ”.
IL CASO
Tale domanda è stata presentata nell’ambito di una controversia in merito al rifiuto da parte del Commissario per la protezione dei dati e la libertà di informazione per il Land Assia Germania, di ingiungere alla Sc. Holding AG - società privata tedesca che offre servizi agli istituti di credito quali, tra gli altri, valutazioni creditizie in relazione a persone fisiche - di accogliere una domanda presentata da un ricorrente diretta ad ottenere e a cancellare dati personali ad esso riconducibili.
L’attività della Società tedesca consiste nel fornire alle banche un pronostico sulla probabilità di un comportamento futuro di una persona (“ score ”), come il rimborso di un prestito, a partire da talune caratteristiche di tale persona, sulla base di procedure matematiche e statistiche. Il calcolo dei punteggi (“ scoring ”) si basa sul presupposto che, assegnando una persona a un gruppo di altre persone con caratteristiche comparabili che si sono comportate in un certo modo, si può prevedere un comportamento analogo.
Nel caso di specie, Sc. forniva ad una banca un punteggio di scoring relativo ad una persona fisica sulla cui base il credito da quest’ultima richiesto è stato negato e il soggetto, cui è stato negato il prestito ha chiesto a Sc. di conoscere le logiche dietro il suo punteggio. Sc. si è però limitata, nella risposta, alla mera descrizione delle sue metodiche, per poi trincerarsi dietro la difesa dei suoi segreti commerciali ed omettendo, in particolare, le informazioni acquisite e i criteri di ponderazione utilizzati per ottenere il punteggio.
Di qui il ricorso del cittadino all’autorità tedesca “Verwaltungsgericht Wiesbaden” il Tribunale amministrativo di Wiesbaden, il quale ha deciso di sospendere il procedimento e di sottoporre questione pregiudiziale alla Corte di Giustizia ritenendo che, per potersi pronunciare nel procedimento principale, è necessario stabilire se l’attività dei prestatori di servizi di informazione in materia di credito, con cui questi ultimi attribuiscono a determinate persone punteggi di scoring e li trasmettono a terzi, senza alcuna raccomandazione o commento, rientri nell’ambito di applicazione dell’articolo 22, paragrafo 1, del GDPR, ai sensi del quale “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.
LA PRONUNCIA
La Corte, si è pronunciata sulle tre condizioni cumulative di applicabilità delle disposizioni del GDPR:
decisione, trattamento automatizzato compresa la profilazione, l’esistenza di effetti giuridici per un interessato che incidano in modo analogo significativamente sulla sua persona.
- Sulla presenza di una decisione (termine non definito dal GDPR), la Corte, rifacendosi anche al Considerando 71 del Regolamento, afferma che il termine “ decisione ” va inteso in senso ampio ed è idoneo a ricomprendere il risultato del calcolo della solvibilità di un soggetto sotto forma di valore di probabilità riguardo alla capacità di quella persona di onorare gli impegni di pagamento in futuro. Dunque, la nozione è sufficientemente ampia da includere lo “scoring” effettuato da Sc.
- La seconda condizione prevede che la decisione deve basarsi esclusivamente su un trattamento automatizzato: secondo la Corte l’attività della società in questione, trattandosi di profilazione di un individuo, quale determinazione automatizzata di un valore di probabilità basato su dati personali relativi a una persona e riguardanti la capacità di quest’ultima di onorare un futuro prestito, è sicuramente una decisione automatizzata e pertanto anche tale condizione risulta rispettata.
- In base alla terza condizione la decisione deve produrre “effetti giuridici” nei confronti dell’interessato o incidere su di lui “ in modo significativamente simile ”. Il riferimento agli “effetti giuridici” concerne, l’impatto che una decisione automatizzata può produrre sulla sfera giuridica dell’individuo.
La Corte, spostando il focus sulla decisione della banca, rileva che, nella fattispecie, l’azione del terzo a cui si riferisce il valore di probabilità trasmesso, è guidato da questo valore in maniera determinante, infatti, nel caso in cui il valore di probabilità è comunicato ad una banca, gioca un ruolo determinante, nella concessione del credito, la determinazione di tale valore, che deve essere qualificata di per sé come una decisione che produce nei confronti dell’interessato “ effetti giuridici che lo riguardano ”.
La Corte sottolinea poi che questa interpretazione, e soprattutto l’ampia portata della nozione di “ decisione ”, rafforza l’effettiva protezione predisposta dal GDPR. In caso contrario ne risulterebbe, invece, un’interpretazione restrittiva, secondo la quale la fissazione del valore di probabilità deve essere considerata solo come atto preparatorio e solo l’atto adottato dal terzo può, eventualmente, qualificarsi come “decisione”.
L’interpretazione della Corte è volta ad evitare elusioni della normativa GDPR nel caso in cui la decisione coinvolga tre attori, come nel caso accade con la banca, Sc. e il soggetto che chiede il prestito. Proprio per questo la Corte propone di considerare come decisione e non come semplice “atto preparatorio” di una decisione l’attività di “scoring” effettuata da Sc..
CONCLUSIONI
In conclusione la Corte afferma che l’articolo 22, paragrafo 1, del GDPR, deve essere interpretato nel senso che il calcolo automatizzato, da parte di una società che fornisce informazioni commerciali, di un tasso di probabilità basato su dati personali relativi a una persona e riguardanti la capacità di quest’ultima di onorare in futuro gli impegni di pagamento costituisce un processo decisionale automatizzato relativo alle persone fisiche, ai sensi di tale disposizione, qualora da tale tasso di probabilità dipenda in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale con tale persona da parte di un terzo, al quale è comunicato tale tasso di probabilità.
In altre parole, la Corte, dichiara che il trattamento in questione deve essere considerato un processo decisionale automatizzato in linea di principio vietato dal GDPR, qualora i clienti della Sc., quali le banche, gli attribuiscano un ruolo determinante nell’ambito della concessione di crediti.
Posto quanto detto, la pronuncia comporta alcune conseguenze. Il trattamento è illegittimo salvo ricorrano le eccezioni di cui all’art. 22 GDPR e cioè il trattamento è ammesso dalla legge, è necessario per l’esecuzione di un contratto o si basi sul consenso dell’interessato.
Tuttavia, non pronunciandosi la Corte su queste conseguenze, la determinazione circa la legittimità della decisione automatizzata sarà lasciata al giudice tedesco, il quale dovrà valutare se la legge federale tedesca sulla protezione dei dati contenga, conformemente al GDPR, un’eccezione valida a tale divieto.
Inoltre, il trattamento, ove legittimo, deve essere presidiato da oneri importanti nei confronti del soggetto interessato e in particolare, la necessità di fornire all’interessato maggiori informazioni sulle modalità di creazione ed utilizzo di questi processi, ottenere informazioni significative sulla logica utilizzata (i criteri assunti per raggiungere la decisione, senza che con ciò si debba necessariamente fornire una spiegazione complessa degli algoritmi utilizzati) e sulle conseguenze previste di tale trattamento.
Inoltre, tenuto conto dei rischi rilevanti sui diritti e libertà dell’interessato per queste tipologie di trattamento, il GDPR, da un lato obbliga il titolare ad attuare misure appropriate e “rafforzate” di tutela (importante sarà anche prevedere modalità che verificano con regolarità la correttezza dei processi per limitare errori di classificazione o valutazione con impatto negativo sui soggetti profilati), dall’altro lato, riconosce il potere all’interessato di ottenere l’intervento umano da parte del titolare, di esprimere la propria opinione e di contestare la decisione, nei casi in cui tale decisione sia prevista per contratto o consentita dall’interessato (art. 22, par. 3).
_____
*A cura di Vincenzo Gallotto, Studio legale Gallotto
