I criteri del credit scoring e i diritti degli interessati

I criteri del “credit scoring” e i diritti degli interessati.

La sentenza C-634/2021 del 7 dicembre 2023 della Corte di Giustizia dell’Unione Europea

di Michele Di Salvo

La Corte di Giustizia dell’Unione Europea, con sentenza del 7 dicembre 2023, a definizione della causa C-634/2021/SCHUFA Holding (Scoring), ha fornito alcune importanti precisazioni in merito all’attività di credit scoring, esaminando la relazione intercorrente tra pratiche digitali/automatizzate e diritti e libertà fondamentali degli interessati.

Deve comunque considerarsi che tale attività implica un trattamento di dati personali, in una modalità peraltro particolarmente delicata nell’ottica del Regolamento UE 2016/679 (GDPR), quella cioè del processo decisionale automatizzato; modalità caratterizzata dall’assenza di qualsiasi azione e/o intervento umano e che implica una decisione con effetti giuridici vincolanti nei confronti di una persona fisica.

Nella sua sentenza, la Corte interpreta, per la prima volta, le disposizioni del GDPR relative al settore sensibile delle decisioni fondate esclusivamente su un trattamento di dati automatizzato. In tale contesto, essa si pronuncia sulla questione se la determinazione automatizzata, da parte di una società che fornisce informazioni commerciali, di un tasso di probabilità riguardante la solvibilità di una persona costituisca un processo decisionale automatizzato e, pertanto, rientri nell’ambito di applicazione di tali disposizioni.

Nel caso di specie – che non verrà ripercorso – La Corte constata che le tre condizioni cumulative di applicabilità delle disposizioni del GDPR che disciplinano il diritto della persona di non essere oggetto di una decisione fondata esclusivamente su un trattamento automatizzato, compresa la profilazione, sono soddisfatte nel caso di specie.

Per quanto riguarda la prima condizione, relativa all’esistenza di una decisione, la Corte precisa che la nozione di «decisione» ha una portata ampia e può includere il risultato del calcolo della solvibilità di una persona sotto forma di un tasso di probabilità riguardante la capacità di tale persona di onorare impegni di pagamento in futuro.

Per quanto riguarda la seconda condizione, secondo cui la decisione deve essere «fondata esclusivamente su un trattamento automatizzato, compresa la profilazione», è pacifico, secondo la Corte, che l’attività della società in questione risponde alla definizione di «profilazione» e che, pertanto, tale condizione è soddisfatta nel caso di specie. Inoltre, il giudice del rinvio menziona esplicitamente che si tratta della determinazione automatizzata di un tasso di probabilità fondato su dati personali relativi ad una persona e riguardante la capacità di quest’ultima di onorare un prestito in futuro.

Quanto alla terza condizione, secondo cui la decisione deve produrre «effetti giuridici» riguardanti la persona di cui trattasi o incidere «in modo analogo significativamente» su di essa, la Corte rileva che nel caso di specie l’azione del terzo al quale è trasmesso il tasso di probabilità è guidata «in modo decisivo» da tale tasso. Infatti, un tasso di probabilità insufficiente comporta, quasi sempre, il rifiuto di concedere un prestito. Pertanto, tale tasso incide, quanto meno, sulla persona interessata in modo significativo.

La Corte conclude che qualora il tasso di probabilità determinato da una società che fornisce informazioni commerciali e comunicato a una banca svolga un ruolo decisivo nella concessione di un credito, il calcolo di tale tasso deve essere qualificato di per sé come decisione che produce nei confronti di un interessato «effetti giuridici che lo riguardano o che incid[e] in modo analogo significativamente sulla sua persona».

La Corte sottolinea poi che tale interpretazione, e soprattutto la portata ampia della nozione di «decisione», rafforza la protezione effettiva prevista dal GDPR. Per contro, un’interpretazione restrittiva, secondo la quale la determinazione del tasso di probabilità deve essere considerata soltanto un atto preparatorio e solo l’atto adottato dal terzo può, eventualmente, essere qualificato come «decisione», comporterebbe una lacuna nella tutela giuridica. Infatti, in tale ipotesi, il calcolo di un siffatto tasso sfuggirebbe alle specifiche esigenze previste, sebbene tale procedura si basi su un trattamento automatizzato e produca effetti che incidono significativamente sull’interessato, in quanto l’azione del terzo, al quale tale tasso di probabilità è trasmesso, è condizionata in modo decisivo da quest’ultimo.

Inoltre, da un lato, la persona interessata non potrebbe far valere, presso la società che fornisce informazioni commerciali che calcola il tasso di probabilità che la riguarda, il suo diritto di accesso alle informazioni specifiche, in assenza di adozione di un processo decisionale automatizzato da parte ditale società.

Dall’altro lato, anche supponendo che l’atto adottato dal terzo rientri, dal canto suo, nell’ambito di applicazione delle disposizioni del GDPR relative al diritto della persona di non essere oggetto di una decisione fondata esclusivamente su un trattamento automatizzato, tale terzo non sarebbe in grado di fornire tali informazioni specifiche in quanto generalmente non ne dispone.

Infine, la Corte osserva che il fatto che il calcolo di un tasso di probabilità rientra nell’ambito di applicabilità delle disposizioni del GDPR che disciplinano il diritto della persona di non essere oggetto di una decisione fondata esclusivamente su un trattamento automatizzato comporta che esso è vietato, salvo l’applicabilità di una delle eccezioni il rispetto delle specifiche esigenze previste dal GDPR.

Inoltre, qualsiasi trattamento di dati personali deve, da un lato, essere conforme ai principi relativi al trattamento dei dati fissati dal GDPR e, dall’altro, alla luce, in particolare, del principio della liceità del trattamento, soddisfare una delle condizioni di liceità.

Nell’ambito del ragionamento complessivo la Corte fa esplicito riferimento al contenuto (e significato) del considerando 71 del GDPR che recita:

«L’interessato dovrebbe avere il diritto di non essere sottoposto a una decisione, che possa includere una misura, che valuti aspetti personali che lo riguardano, che sia basata unicamente su un trattamento automatizzato e che produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona, quali il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani. Tale trattamento comprende la “profilazione”,che consiste in una forma di trattamento automatizzato dei dati personali che valuta aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato, ove ciò produca effetti giuridici che la riguardano o incida in modo analogo significativamente sulla sua persona. Tuttavia, è opportuno che sia consentito adottare decisioni sulla base di tale trattamento, compresa la profilazione, se ciò è espressamente previsto dal diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento, anche a fini di monitoraggio e prevenzione delle frodi e dell’evasione fiscale secondo i regolamenti, le norme e le raccomandazioni delle istituzioni dell’Unione [europea] o degli organismi nazionali di vigilanza e a garanzia della sicurezza e dell’affidabilità di un servizio fornito dal titolare del trattamento, o se è necessario per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento, o se l’interessato ha espresso il proprio consenso esplicito. In ogni caso, tale trattamento dovrebbe essere subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all’interessato e il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione. Tale misura non dovrebbe riguardare un minore.

Al fine di garantire un trattamento corretto e trasparente nel rispetto dell’interessato, tenendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati, è opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, metta in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e che impedisca tra l’altro effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale, ovvero che comportano misure aventi tali effetti».

La Corte dichiara che l’articolo 22, paragrafo 1, del regolamento (UE) 2016/679 deve essere interpretato nel senso che:

“il calcolo automatizzato, da parte di una società che fornisce informazioni commerciali, di un tasso di probabilità basato su dati personali relativi a una persona e riguardanti la capacità di quest’ultima di onorare in futuro gli impegni di pagamento costituisce un «processo decisionale automatizzato relativo alle persone fisiche», ai sensi di tale disposizione, qualora da tale tasso di probabilità dipenda in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale con tale persona da parte di un terzo, al quale è comunicato tale tasso di probabilità.”

Riunendo, per tema e parte chiamata in giudizio, le Sentenze della Corte nella causa C-634/21 | SCHUFA Holding (Scoring) e nelle cause riunite C-26/22 e C- 64/22 | SCHUFA Holding (Esdebitazione) la Corte chiarisce che il regolamento generale sulla protezione dei dati (GDPR) osta a due pratiche di trattamento dei dati di società che forniscono informazioni commerciali.

Per quanto riguarda lo «scoring», la Corte dichiara che esso deve essere considerato un «processo decisionale automatizzato» in linea di principio vietato dal GDPR, qualora i clienti della SCHUFA, quali le banche, gli attribuiscano un ruolo determinante nell’ambito della concessione di crediti. Secondo il tribunale amministrativo di Wiesbaden, questo è ciò che avviene. Spetta a tale tribunale valutare se la legge federale tedesca sulla protezione dei dati contenga, conformemente al GDPR, un’eccezione valida a tale divieto. In caso affermativo, esso dovrà ancora verificare se siano soddisfatte le condizioni generali previste dal GDPR per il trattamento dei dati.

Per quanto riguarda le informazioni relative alla concessione di un’esdebitazione, la Corte dichiara contrario al GDPR il fatto che agenzie private conservino tali dati più a lungo del registro pubblico dei fallimenti. Infatti, l’esdebitazione riveste un’importanza esistenziale per la persona interessata, in quanto ha lo scopo di consentire a quest’ultima di partecipare nuovamente alla vita economica. Orbene, tali informazioni sono sempre utilizzate come fattore negativo nella valutazione della solvibilità della persona interessata. Nel caso di specie, il legislatore tedesco ha previsto una memorizzazione dei dati per sei mesi. Esso ritiene quindi che, al termine dei sei mesi, i diritti e gli interessi della persona interessata prevalgano su quelli del pubblico a disporre di tale informazione.

Nei limiti in cui la conservazione dei dati è illecita, come avviene oltre i sei mesi, la persona interessata ha diritto a che tali dati siano cancellati e l’agenzia è tenuta a cancellarli senza ingiustificato ritardo.

Per quanto riguarda la conservazione parallela di siffatte informazioni da parte della SCHUFA durante tali sei mesi, spetta al tribunale amministrativo ponderare gli interessi in gioco al fine di valutarne la liceità. Qualora esso dovesse concludere che è lecita la conservazione parallela durante sei mesi, l’interessato disporrà comunque di un diritto di opporsi al trattamento dei suoi dati e di un diritto alla loro cancellazione, a meno che la SCHUFA non dimostri l’esistenza di legittimi motivi cogenti.

Infine, la Corte sottolinea che i giudici nazionali devono poter esercitare un controllo completo su qualsiasi decisione giuridicamente vincolante dell’autorità di controllo.