Sommario: 1. Premessa; 2. Processo decisionale automatizzato: credit scoring; 3. Il caso sottoposto alla CGUE; 4. Le conclusioni della CGUE; 5. Effetti giuridici della sentenza della CGUE.

  1. Premessa

La Corte di Giustizia dell’Unione Europea, con sentenza del 7 dicembre 2023, a definizione della causa C-634/2021/SCHUFA Holding (Scoring), ha fornito alcune importanti precisazioni in merito all’attività di credit scoring, esaminando la intricata e complessa relazione intercorrente tra pratiche digitali/automatizzate e diritti e libertà fondamentali degli interessati.

Posta l’indubbia utilità del credit scoring, infatti, deve comunque considerarsi che tale attività implica un trattamento di dati personali, in una modalità peraltro particolarmente delicata nell’ottica del Regolamento UE 2016/679 (GDPR), quella cioè del processo decisionale automatizzato; modalità caratterizzata dall’assenza di qualsiasi azione e/o intervento umano e che implica una decisione con effetti giuridici vincolanti nei confronti di una persona fisica.

Ma cosa c’entra il credit scoring con i dati personali? E come, tale attività, impatta sui diritti e sulle libertà dell’individuo?

Andiamo con ordine.

  1. Processo decisionale automatizzato: credit scoring

Innanzitutto, è necessario partire dal concetto di “processo decisionale automatizzato”.

Si tratta di una decisione assunta da un algoritmo senza l’intervento umano, dopo aver raccolto determinati dati e valutato determinate informazioni.

Basti pensare, a titolo esemplificativo, ai software che, sempre più spesso, vengono utilizzati per la valutazione di curricula vitae nell’ambito della ricerca e selezione di candidati alle posizioni lavorative.

Il credit scoring si basa proprio su un processo decisionale automatizzato: quando un istituto di credito riceve una richiesta di finanziamento da parte di un cliente, valuta una notevole quantità di dati personali relativi a quest’ultimo (come regolarità nel pagamento di bollette o rate, morosità, debiti, ecc); e sulla base della valutazione di queste informazioni, l’istituto crea un profilo del richiedente -che riflette la probabilità che lo stesso onori i propri obblighi finanziari, come il rimborso di prestiti o carte di credito- e decide se concedere o meno il prestito.

Ne deriva che la decisione finale, che incide significativamente sulla sfera giuridica del soggetto -senza che ciò possa essere bilanciato dall’intervento umano-, dipende solo ed esclusivamente da un algoritmo e avviene attraverso il trattamento di dati che possono non essere aggiornati o esatti.

A ciò si aggiunga che la decisione automatizzata non è esente dal rischio che vengano poste in essere forme di discriminazione: si pensi al caso in cui la solvibilità o meno del richiedente venga valutata anche tenendo conto della zona geografica in cui vive, dell’età e del sesso.

E’ per tale ragione che l’ordinamento prevede particolari cautele: l’art. 22 del GDPR, nello specifico, stabilisce che l’interessato possa essere sottoposto a processo decisionale automatizzato, compresa la profilazione, solo alla presenza di una delle seguenti condizioni:

  1. la decisione sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e il titolare del trattamento;

  2. la decisione sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;

  3. la decisione si basi sul consenso esplicito dell’interessato.

A garanzia dell’interessato, poi, è previsto che questo possa, nel caso sub a) e sub c), chiedere al titolare di ottenere l’intervento umano, di esprimere la propria opinione e contestare la decisione assunta.

  1. Il caso sottoposto alla CGUE

Ebbene, al centro della questione affrontata dalla Corte, vi sono le pratiche controverse di un’agenzia privata di informazioni creditizie (la SCHUFA), sotto la lente di ingrandimento per la sua metodologia di scoring.

Nel caso di specie, un richiedente si vedeva negare la concessione di un mutuo da una banca a causa del punteggio negativo (credit scoring), predittivo della sua incapacità di ripagarlo, assegnato dalla SCHUFA, che lo aveva poi comunicato alla banca.

Il richiedente, a seguito del mancato accoglimento da parte dell’agenzia della sua richiesta di accesso ai dati e conseguente relativa cancellazione, non avendo ottenuto tutela nemmeno dall’autorità di controllo, si rivolgeva all’autorità giurisdizionale competente, la quale chiedeva alla CGUE di individuare, rispetto al caso di specie, l’ambito di applicazione del GDPR e, in particolare, dell’art. 22.

La Corte, quindi, deve chiarire se la tutela di cui all’art. 22 GDPR si estende anche ai casi in cui non sia direttamente la banca ad effettuare l’attività di credit scoring, essendo quest’ultima solo il soggetto a prendere materialmente la decisione se concedere il prestito o meno al richiedente.

Nel caso di specie, infatti, la banca si limitava ad acquistare un report da un terzo, la SCHUFA, contenente uno score creditizio.

  1. Le conclusioni della CGUE

In primo luogo, la Corte, partendo proprio dal dato letterale della disposizione, specifica che, sulla base dell’art. 22 del GDPR, è (in linea di principio) vietato un processo decisionale automatizzato, compresa la profilazione, al ricorrere di tre condizioni cumulative tra loro: i) che la decisione sia basata unicamente su trattamento automatizzato, compresa la profilazione; ii) che produca effetti giuridici; iii) che incida significativamente sulla persona fisica1.

Ma nel caso sottoposto alla Corte, siamo di fronte a una “decisione”?

Secondo la Corte, non essendoci alcuna definizione nel GDPR, il concetto di “decisione” basata unicamente sul trattamento automatizzato non include solo una decisione in senso stretto, ma anche una generale misura o valutazione di aspetti personali, e può quindi comprendere diverse tipologie di atti che possono incidere sulla persona interessata: nozione che include, per la sua ampiezza, lo scoring effettuato dalla SCHUFA.

Non assume alcuna rilevanza il fatto che la scelta finale di concedere o meno un prestito sia presa da un soggetto terzo, ove tale soggetto attribuisca valore decisivo al punteggio (score) in esame. Se lo scoring fosse considerato soltanto un momento preparatorio rispetto alla decisione di un altro soggetto, afferma la Corte, si finirebbe per non garantire all’interessato l’esercizio del diritto ad accedere ai suoi dati personali in quanto l’istituto mutuante, non avendo svolto l’attività di credit scoring, non avrebbe a sua disposizione le informazioni richieste.

Pertanto, l’attribuzione di un merito creditizio tramite un processo decisionale automatizzato può già costituire una decisione ai sensi dell’art. 22 del GDPR, con la conseguenza che il credit scoring automatizzato dovrebbe essere vietato alle agenzie di credito in assenza delle condizioni previste dal GDPR.

  1. Effetti giuridici della sentenza della CGUE

La decisione della Corte determina un rilevante innalzamento del livello di tutela che ne scaturisce per l’interessato nel caso di processi decisionali automatizzati, posto che:

  • il titolare del trattamento, anche se soggetto diverso da quello che compie materialmente il processo decisionale automatizzato, è obbligato a fornire all’interessato informazioni supplementari (art. 13, par. 2, lett. f) GDPR);

  • l’interessato potrà ottenere dal titolare del trattamento informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze derivanti da tale trattamento automatizzato (art. 15, par. 1, lett. h) GDPR).

A ciò si aggiunga la possibilità per l’interessato, di fronte a un processo decisionale automatizzato, di ottenere l’intervento umano, diritto che, nel quadro di quelli definiti e precisati dalla Corte di Giustizia, dovrebbe far parte del substrato fondamentale di garanzie previste anche nell’ottica della sempre maggiore interazione tra algoritmi, pratiche finanziarie e indispensabile protezione dei diritti degli individui.

1 pag. 10 Sentenza CGUE del 7 dicembre 2023 causa C-634/2021.

Author Cosimo Altavilla

More posts by Cosimo Altavilla