Protezione dei dati personali e “score” di solvibilità
A cura dell’Avv Chiara Parasiliti
(CCO) Foto di Karolina Grabowska
Controversia tra OQ e la SCHUFA
La Corte di Giustizia dell’Unione Europea (CGE) ha emesso, il 7 dicembre 2023, una sentenza nella causa C-634/21, riguardante la protezione dei dati personali e il processo decisionale automatizzato relativo al “score” di solvibilità.
Il caso riguardava una controversia tra OQ e il Land Hessen in Germania, nonché la SCHUFA Holding AG, società tedesca che fornisce informazioni sul credito calcolando un punteggio di solvibilità basato su dati matematico-statistici.
La richiesta di OQ di informazioni sui propri dati personali e la negazione della SCHUFA
A OQ è stato negato un prestito da parte di un terzo dopo essere stata oggetto di informazioni negative ad esso fornite e trasmesse da SCHUFA.
OQ ha richiesto a SCHUFA di avere le informazioni sui propri dati personali registrati e di cancellare quelli errati.
SCHUFA ha informato OQ del proprio punteggio e ha fornito una spiegazione generale dei metodi di punteggio, ma ha rifiutato di rivelare le informazioni specifiche utilizzate nel calcolo e la loro ponderazione a causa del segreto commerciale.
Calcolo dello “score” di solvibilità e la compatibilità con il GDPR
Il giudice tedesco ha sollevato dubbi sulla compatibilità della legge tedesca con il Regolamento generale sulla protezione dei dati (GDPR) per quanto riguarda il calcolo del punteggio di solvibilità.
Una delle questioni preliminari sollevate, infatti, riguardava l’interpretazione dell’articolo 22 del GDPR sul trattamento automatizzato dei dati e la sua applicabilità allo “scoring” di solvibilità ed, in particolare, se l’articolo 22, paragrafo 1, del GDPR debba essere interpretato nel senso che il calcolo automatizzato di un tasso di probabilità relativo alla capacità di un interessato di saldare in futuro un debito costituisce già una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici che riguardano l’interessato o che incide in modo analogo significativamente sulla sua persona, qualora tale tasso, calcolato sulla base di dati personali relativi all’interessato, sia trasmesso dal titolare del trattamento a un terzo titolare del trattamento e quest’ultimo basi prevalentemente su tale tasso la sua decisione sulla stipulazione, sull’attuazione o sulla cessazione di un contratto con l’interessato.
L’interpretazione dell’articolo 22 del RGPD e la sua applicabilità allo “scoring” di solvibilità
La Corte di giustizia ha stabilito che il concetto di “decisione” di cui all’articolo 22, paragrafo 1, del GDPR è ampio e comprende non solo ad atti che producono effetti giuridici riguardanti il soggetto di cui trattasi, ma anche ad atti che incidono significativamente su di esso in modo analogo.
Pertanto, il punteggio di solvibilità, che è calcolato come tasso di probabilità della capacità di una persona di ripagare i debiti futuri, può essere considerato una “decisione” ai sensi dell’articolo 22, paragrafo 1, del GDPR.
La Corte di giustizia ha, inoltre, ritenuto che l’attività della SCHUFA rientra nella definizione di “profilazione” ai sensi del GDPR, soddisfacendo la condizione di trattamento automatizzato.
Ciò significa che la decisione basata sul tasso di probabilità calcolato dalla società come la SCHUFA, che influisce sulla concessione di un credito da parte di una banca, è considerata una “decisione” ai sensi dell’articolo 22, paragrafo 1, del RGPD.
La Corte conclude che il calcolo del tasso di probabilità ha un impatto diretto sui diritti dell’interessato, soddisfacendo, quindi, la condizione di produzione di “effetti giuridici” secondo l’articolo 22, paragrafo 1, del RGPD.
Requisiti rigorosi per le decisioni basate sul trattamento automatizzato dei dati personali
Il titolare del trattamento, ai sensi dell’art 13, par 2, lett. f), dovrà informare dell’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, fornire le informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
L’interessato ha diritto di accesso a tali informazioni ai sensi dell’art 15, par 1 lettera h), di non essere oggetto di una decisione basata esclusivamente su un trattamento automatizzato, e di chiedere che ogni decisione automatizzata che lo riguardi sia condizionata da un intervento umano.
Conclusione e considerazioni finali
La decisione della Corte di giustizia nella causa C-634/21 nell’affermare che “l’articolo 22, paragrafo 1 del GDPR deve essere interpretato nel senso che: il calcolo automatizzato, da parte di una società che fornisce informazioni commerciali, di un tasso di probabilità basato su dati personali relativi a una persona e riguardanti la capacità di quest’ultima di onorare in futuro gli impegni di pagamento costituisce un «processo decisionale automatizzato relativo alle persone fisiche», ai sensi di tale disposizione, qualora da tale tasso di probabilità dipenda in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale con tale persona da parte di un terzo, al quale è comunicato tale tasso di probabilità.” sottolinea l’importanza della protezione dei dati personali nel contesto del processo decisionale automatizzato, in particolare nel calcolo dello “score” di solvibilità.
In conclusione, la decisione amplia la tutela degli interessati dai rischi derivanti dal trattamento automatizzato, sottolineando la necessità di trasparenza e responsabilità nell’uso dei dati personali a fini decisionali, garantendo che i diritti delle persone siano rispettati e i loro interessi tutelati.
Disclaimer