Merito creditizio, lo score automatizzato deve essere conoscibile da parte dell’interessato
L’azienda che procede alla valutazione deve fornire una spiegazione chiara del meccanismo adottato e dei dati utilizzati al fine di poter comprenderela correttezza del risultato diffuso sulla propria sovibilità
Esistono valutazioni - anche automatizzate - sulla solvibilità di soggetti che chiedono finanziamenti o acquistano servizi e che determinano conseguenze dirette nella concreta possibilità di concludere negozi giuridici onerosi.
Con la sentenza sulla causa C-203/22 la Corte Ue ha però chiarito il perimetro del diritto dei singoli a chiedere e conoscere in base a quali elementi e valutazioni tale giudizio sul proprio merito creditizio sia stato realizzato.
Il caso a quo austriaco
In Austria, un operatore di telefonia mobile aveva negato a una cliente la stipulazione di un contratto adducendo che non era sufficientemente solvibile. L’operatore si basava, a tal riguardo, su una valutazione del merito creditizio della cliente, alla quale aveva proceduto per via automatizzata un’altra azienda, specializzata nella fornitura di tali valutazioni. Il contratto prevedeva un pagamento contenuto in soli 10 euro mensili.
Contro tale sbarramento alla conclusione del contratto telefonico l’aspirante cliente aveva adito il giudice austriaco che aveva dichiarato responsabile la società che aveva fornito lo score di aver violato il regolamento generale Ue sulla protezione dei dati personali. Secondo il giudice l’azienda non avrebbe infatti fornito alla cliente «informazioni significative sulla logica utilizzata» nel processo decisionale automatizzato. E, inoltre, non aveva fornito sufficienti giustificazioni all’affermata impossibilità di fornire le informazioni richieste.
Quindi, il giudice adito dalla persona privata, ai fini dell’esecuzione forzata della decisione giudiziaria, ha rinviato alla Cgue la questione pregiudiziale su come in concreto avrebbe dovuto agire l’azienda di merito creditizio in base al Rgpd e alla direttiva sulla protezione dei segreti commerciali.
La risposta della Cgue
L’interpretazione fornita dalla Corte Ue sulle norme comunitarie coinvolte nella vicenda chiarisce che il titolare del trattamento deve descrivere la procedura e i principi concretamente applicati in modo tale che l’interessato possa comprendere quali dei suoi dati personali sono stati utilizzati, e in che modo, nel processo decisionale automatizzato.
E la Corte - al fine di adempiere al suddetto dovere - suggerisce che l’azienda che procede alla valutazione della solvibilità di un soggetto debba informare l’interessato di come una variazione a livello dei dati personali presi in considerazione avrebbe condotto a un risultato diverso. Ciò nel rispetto dei criteri di trasparenza e intelligibilità del trattamento.
Ma l’azienda non si può dire che adempia al suo dovere di trasparenza se si limita a comunicare l’algoritmo in base al quale ha operato, invece di fornire una spiegazione sufficientemente concisa e comprensibile.
Limiti alla trasparenza su dati di terzi
Ma il titolare del trattamento - quando ritenga che le informazioni richieste contengano dati protetti di terzi o segreti commerciali - deve comunicare tali informazioni asseritamente protette all’autorità di controllo o al giudice competenti, che sono tenuti a “ponderare i diritti e gli interessi in gioco” al fine di determinare la portata del diritto di accesso dell’interessato a dette informazioni.
Diritto all’accesso
La Corte precisa che comunque il Rgpd non consente la previsione di una norma nazionale che di fatto escluda in radice il diritto di accesso a tale tipo di trattamento di dati personali qualora l’accesso comprometta un segreto commerciale o del titolare del trattamento o di un terzo.
