L’assegnazione automatizzata di putneggio di solvibilità (scoring) costituisce decisione basata unicamente sul trattamento automatizzato ex art. 22.1 GDPR

Corte di Giustizia 7 dicembre 2023 , C-634/21 afferma quanto sopra.

Dato il tenore letterale della norma, la conclusione è esatta ma anche scontata.

<<42  Quanto al tenore dell’articolo 22, paragrafo 1, del RGPD, tale disposizione prevede che un interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

43      L’applicabilità di tale disposizione è quindi soggetta a tre condizioni cumulative, vale a dire, in primo luogo, che deve esistere una «decisione», in secondo luogo, che tale decisione deve essere «basata unicamente sul trattamento automatizzato, compresa la profilazione», e, in terzo luogo, che essa deve produrre «effetti giuridici [riguardanti l’interessato]» o incidere «in modo analogo significativamente sulla sua persona».

44      Per quanto riguarda, in primo luogo, la condizione relativa all’esistenza di una decisione, occorre rilevare che la nozione di «decisione», ai sensi dell’articolo 22, paragrafo 1, del RGPD, non è definita da tale regolamento. Tuttavia, dalla formulazione stessa di tale disposizione risulta che tale nozione rinvia non solo ad atti che producono effetti giuridici riguardanti il soggetto di cui trattasi, ma anche ad atti che incidono significativamente su di esso in modo analogo.

45      L’ampia portata rivestita dalla nozione di «decisione» è confermata dal considerando 71 del RGPD, ai sensi del quale una decisione che implica la valutazione di taluni aspetti personali di un interessato, di cui quest’ultimo dovrebbe avere il diritto di non essere oggetto, può «includere una misura» che produce «effetti giuridici che lo riguardano» o incide «in modo analogo significativamente sulla sua persona». Secondo tale considerando, sono coperti dal termine «decisione», a titolo esemplificativo, il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani.

46      Poiché la nozione di «decisione» ai sensi dell’articolo 22, paragrafo 1, del RGPD può quindi includere, come rilevato dall’avvocato generale al paragrafo 38 delle sue conclusioni, diversi atti che possono incidere sulla persona interessata in vari modi, tale nozione è sufficientemente ampia da ricomprendere il risultato del calcolo della solvibilità di una persona sotto forma di tasso di probabilità relativo alla capacità di tale persona di onorare impegni di pagamento in futuro.

47      Per quanto riguarda, in secondo luogo, la condizione secondo cui la decisione, ai sensi di tale articolo 22, paragrafo 1, deve essere «fondata esclusivamente su un trattamento automatizzato, compresa la profilazione», come rilevato dall’avvocato generale al paragrafo 33 delle sue conclusioni, è pacifico che un’attività come quella della SCHUFA risponde alla definizione di «profilazione» di cui all’articolo 4, punto 4, del RGPD e quindi che tale condizione è soddisfatta nel caso di specie, dato che il testo della prima questione pregiudiziale si riferisce peraltro esplicitamente al calcolo automatizzato di un tasso di probabilità basato su dati personali relativi ad una persona e riguardante la capacità di quest’ultima di onorare un prestito in futuro.

48      Per quanto riguarda, in terzo luogo, la condizione secondo cui la decisione deve produrre «effetti giuridici» riguardanti la persona di cui trattasi o incida «in modo analogo significativamente» su di essa, dal tenore stesso della prima questione pregiudiziale risulta che l’azione del terzo al quale è trasmesso il tasso di probabilità è guidata «in modo decisivo» da tale tasso. Pertanto, secondo gli accertamenti di fatto del giudice del rinvio, in caso di domanda di mutuo rivolta da un consumatore a una banca, un tasso di probabilità insufficiente comporta, in quasi tutti i casi, il rifiuto di quest’ultima di concedere il prestito richiesto.

49      In tali circostanze, si deve ritenere che anche la terza condizione alla quale è subordinata l’applicazione dell’articolo 22, paragrafo 1, del RGPD sia soddisfatta, in quanto un tasso di probabilità come quello di cui trattasi nel procedimento principale incide, quanto meno, sull’interessato significativamente.

50      Ne consegue che, in circostanze come quelle di cui al procedimento principale, nelle quali il tasso di probabilità stabilito da una società che fornisce informazioni commerciali e comunicato a una banca svolge un ruolo decisivo nella concessione di un credito, il calcolo di tale tasso deve essere qualificato di per sé come decisione che produce nei confronti di un interessato «effetti giuridici che lo riguardano o che incid[e] in modo analogo significativamente sulla sua persona», ai sensi dell’articolo 22, paragrafo 1, del RGPD>>

La profilazione alla base dello scoring, richiesto da una banca per decidere sulla concessione di credito, ricade nell’art. 22 GDPR?

Risposta positiva da parte dell’avvocato generale (AG) PRIIT PIKAMÄE nelle sue Conclusioni 16 marzo 2023, C-634/21, OQ c. Land Hessen +  interv. SCHUFA Holding sa.

fatto:

<< 82  La domanda di cui trattasi si inserisce nell’ambito di una controversia che oppone la ricorrente, OQ, una persona fisica, al Land Hessen (Land Assia, Germania), rappresentato dall’Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Commissario per la protezione dei dati e la libertà d’informazione del Land Assia; in prosieguo: l’«HBDI»), in materia di protezione dei dati personali. La SCHUFA Holding AG (in prosieguo: la «SCHUFA»), un’agenzia di diritto privato, sostiene la posizione dell’HBDI in qualità di interveniente. Nell’ambito della sua attività economica, consistente nel fornire ai clienti informazioni sulla solvibilità di terzi, la SCHUFA ha fornito a un istituto di credito un punteggio di scoring relativo alla ricorrente, sulla cui base il credito da quest’ultima richiesto è stato negato. La ricorrente ha chiesto alla SCHUFA di procedere alla cancellazione della relativa registrazione e di consentirle di accedere ai dati corrispondenti; quest’ultima le ha tuttavia comunicato unicamente il punteggio di scoring pertinente e, in termini generali, i principi su cui si fonda il modello di calcolo di detto punteggio, senza informarla in merito ai dati specifici presi in considerazione e alla rilevanza loro attribuita in tale contesto, sostenendo che il metodo di calcolo sarebbe coperto da segreto industriale e aziendale.

3.        Posto che la ricorrente sostiene che il rifiuto opposto dalla SCHUFA alla sua richiesta contrasta con il regime della protezione dei dati, la Corte sarà chiamata a pronunciarsi sulle restrizioni che il RGPD prevede per l’attività economica delle agenzie di informazione nel settore finanziario, in particolare nella gestione dei dati, e sulla rilevanza da attribuire al segreto industriale e aziendale. Parimenti, la Corte dovrà precisare la portata dei poteri normativi che talune disposizioni del RGPD conferiscono al legislatore nazionale in deroga all’obiettivo generale di armonizzazione previsto da detto atto giuridico.

L?unico dubbio reale è l’avverbio “unicamente” presente nell’art. 22.1 (“L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”): qualche itnervento uman infatti ci sarà.

Ebbene, l’AG da un lato rinvia al g. nazionale, § 45.

Dall’altro però dà anche indicazioni precise: pur se qualche intervento umano possa esservi, di fatto lo scoring da IA è decisivo. In particolare:  <<Fatta salva la valutazione dei fatti che compete ai giudici nazionali compiere in ciascun caso particolare, le considerazioni svolte supra mi sembrano indicare che il punteggio di scoring calcolato da un’agenzia di valutazione del credito e comunicato a un istituto finanziario tende generalmente a predeterminare la decisione di quest’ultimo quanto alla concessione o al diniego del credito all’interessato, cosicché si deve ritenere che detta presa di posizione rivesta un carattere puramente formale nel quadro del processo (20). Ne consegue che occorre riconoscere al punteggio di scoring stesso la natura di «decisione» ai sensi dell’articolo 22, paragrafo 1, del RGPD.>>, § 47, v. ppoi i  segg.

Però la legge dice “unicamente”, che è diverso da “prevalentemente”.

E’ un pò come l’ <esclusivamente> dell’art. 7.1.e) nel reg. UE 2017/1001 o nell’art. 9 del ns cod. propr. ind. sui marchi di forma , intepretato in modo molto lasco, quasi fosse “prevalentemente”.

Nella seconda parte l’AG contesta che una disposizione della legge privacy tedesca possa fungere da base giuridica ex art. 22.1.b) GDPR.

Difficilmente la Corte si discosterà dalle Conclusioni. Vedremo.