Con un’importante sentenza pubblicata il 7 dicembre 2023, la Corte di Giustizia dell’Unione Europea (C-634/21) ha sancito il principio per cui l’attività di “credit scoring” può costituire un “processo decisionale automatizzato” ai sensi del GDPR laddove da tale punteggio dipenda, in modo decisivo, la stipula, l’esecuzione o la cessazione di un rapporto contrattuale tra l’interessato ed il soggetto terzo al quale è comunicato il predetto “score” probabilistico.
I fatti oggetto della controversia
Nel caso di specie, il ricorrente (l’“Interessato”) era venuto a conoscenza del fatto che la sua richiesta di concessione di prestito fosse stata rigettata da un istituto di credito destinatario delle informazioni, negative, elaborate dalla società SCHUFA Holding AG (“Schufa”). Quest’ultima è una società privata che fornisce ai propri partner contrattuali – ivi inclusi istituti di credito – una serie di informazioni sul merito creditizio di terzi, in particolare di consumatori. A tal fine, Schufa stabilisce un pronostico sulla probabilità di un comportamento futuro di una persona (c.d. “score”), come il rimborso di un prestito, a partire da talune caratteristiche di tale persona, sulla base di procedure matematiche e statistiche. Il calcolo dei punteggi (c.d. “credit scoring”) si basa sul presupposto che, assegnando una persona a un gruppo di altri soggetti con caratteristiche comparabili che si sono comportati in un certo modo, si potrebbe prevedere un comportamento analogo. Orbene, l’Interessato aveva quindi richiesto a Schufa di quali dati personali allo stesso riferibili disponesse, oltre alla cancellazione di quelli errati; la società, in buona sostanza, si era rifiutata di divulgare le informazioni considerate riservate ai fini del calcolo, ribadendo che, in ogni caso, la decisione finale sulla concessione del prestito risulterebbe comunque rimessa all’istituto di credito.
L’interessato aveva quindi adito il Commissario per la protezione dei dati dell’Assia, che aveva a sua volta respinto la domanda, ritenendo che Schufa avesse adempiuto agli obblighi previsti dall’art. 31 della Legge federale sulla protezione dei dati, avente ad oggetto proprio lo “scoring”. Il ricorrente si era dunque rivolto al Tribunale amministrativo di Wiesbaden, che, a sua vota, decideva di sospendere il procedimento e coinvolgere, in via pregiudiziale, la Corte di Giustizia dell’Unione Europea (“CGUE” e/o “Corte”).
La questione pregiudiziale
Ai fini in esame, il giudice tedesco richiedeva alla CGUE se l’art. 22 del GDPR dovesse interpretarsi nel senso che il calcolo automatizzato del tasso di probabilità, relativo alla futura capacità dell’interessato di saldare un debito e calcolato sulla base dei suoi dati personali, costituisse una decisione basata unicamente sul trattamento automatizzato, tale da produrre effetti giuridici o incidere in modo significativo sulla persona, qualora tale tasso fosse poi trasmesso dal titolare del trattamento a un terzo, che, a sua volta, basasse su tale “punteggio” la decisione finale sull’eventuale stipula, attuazione o cessazione di un contratto con l’interessato.
Le decisioni della Corte
La CGUE ha dovuto quindi esprimersi sulla corretta interpretazione dell’art. 22 par. 1, il quale stabilisce che “l'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.” La Corte, in primo luogo, ha analizzato il dato letterale della norma, ricordando che tale previsione è applicabile in presenza di tre condizioni cumulative, ossia di una “decisione” (a) che sia “basata unicamente sul trattamento automatizzato, compresa la profilazione” (b) e che produca “effetti giuridici” – o incida in maniera significativa – sulla persona (c).
Nel caso di specie, a mente della CGUE:
- per quanto concerne la “decisione”, in tale concetto è da ricomprendere anche il risultato del calcolo della solvibilità di una persona, espresso come tasso di probabilità di restituzione della somma di pagamento in futuro;
- in merito alla profilazione, la Corte ha ritenuto pacifico che l’attività svolta da Schufa fosse da considerarsi come tale, anche ai sensi dell’art. 4 n. 4 del GDPR;
- infine, con riferimento agli effetti giuridici prodotti, occorre rappresentare che il tasso di probabilità stabilito da Schufa, poi comunicato all’istituto, abbia svolto un ruolo decisivo nel rifiuto alla concessione del credito all’Interessato, evidentemente incidendo nella sua sfera personale.
Si aggiunga che, in circostanze come quelle di cui trattasi, nelle quali sono coinvolti tre attori, sussisterebbe un rischio di elusione dell’articolo 22 del GDPR e, di conseguenza, una lacuna nella protezione degli interessati – in particolar modo per l’esercizio di un pieno diritto di accesso (v. art. 15, par. 1, lett. h) GDPR - qualora fosse accolta un’interpretazione restrittiva di tale disposizione, secondo la quale il calcolo del tasso di probabilità dovrebbe essere considerata quale attività “meramente preparatoria” e solo l’atto decisionale adottato dal terzo potrebbe, se del caso, essere qualificato come “decisione” ai sensi dell’articolo 22, paragrafo 1, GDPR.
In forza di tali presupposti, la CGUE ha risolto la questione pregiudiziale alla stessa sottoposta elaborando il seguente principio: “il calcolo automatizzato, da parte di una società che fornisce informazioni commerciali, di un tasso di probabilità basato su dati personali relativi a una persona e riguardanti la capacità di quest’ultima di onorare in futuro gli impegni di pagamento costituisce un «processo decisionale automatizzato relativo alle persone fisiche», ai sensi di tale disposizione, qualora da tale tasso di probabilità dipenda in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale con tale persona da parte di un terzo, al quale è comunicato tale tasso di probabilità”.
Le possibili conseguenze
La sentenza in commento è certamente destinata ad assumere effetti potenzialmente travolgenti nell’ambito del “credit scoring”, in particolar modo per quanto attiene alle tutele approntate (e, quindi, da approntare, laddove non sussistenti) nei riguardi degli interessati.
Al pari di quanto già rilevato dalla CGUE, basti pensare, a titolo esemplificativo, che, nel caso di adozione di una decisione basata unicamente sul trattamento automatizzato, come quella di cui all’articolo 22, paragrafo 1, del GDPR, da un lato, il titolare del trattamento è soggetto a obblighi di informazione supplementari (es: art. 13, par. 2, lett. f), GDPR), dall’altro, l’interessato gode del diritto di ottenere dal titolare del trattamento, tra l’altro, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste da tale trattamento (v. art. 15, par. 1, lettera h), GDPR).
Guardando allo scenario nazionale, non può che ravvisarsi la necessità di un’attenta analisi circa le conseguenze derivanti dalla sentenza in commento e le previsioni di cui al Codice di condotta – approvato anche dal Garante Privacy – concernente le attività di trattamento di dati personali poste in essere dai cc.dd. gestori dei “sistemi di informazione creditizia” (“SIC”) deputati alle attività di credit scoring.
Avv. Pietro Maria Mascolo e Dott. Lapo Lucani
