Tag: profilazione

La Corte di Giustizia illumina (fiocamente, per vero) l’interpretazione dell’art. 15.1.h) GDPR sul dovere esplicativo in caso di sistemi di processi decisionali automatizzati

Corte di Giustizia 27.02.2025, C-203/22, CK c. Magistrat der Stadt Wien con l’intervento di Dun& Bradstreet Austria GmbH, esamina un rinvio di giudice austriaco in un caso di piano tariffario telefonico negato per rischio di insolvenza rilevato da scoring algoritmico.

Il tema è sempre piuù importante ed attuale, costituendo forse quello più difficile da sciogliere: il dovere di motivare (derivante da buona fede contrattuale, quando non da disposizione di legge) è problematico assai nel caso di decisioni algoritmiche, anche perchè di solito l’impresa profilante il privato scaltramente eccepisce il segreto commerciale (che però in genrrale cede al diritto alla protezione dei dati del civis).

Si notino i ponderosi quesiti del giudice a quo.

La risposta della CG resta sul generico e purtroppo non è dato conoscere con precisione la risposta data dall’impresa profilante alla richiesta del cittadino

1) L’articolo 15, paragrafo 1, lettera h), del regolamento (UE) 2016/679 … dev’essere interpretato nel senso che:

in caso di processo decisionale automatizzato, compresa la profilazione, ai sensi dell’articolo 22, paragrafo 1, di tale regolamento, l’interessato può pretendere dal titolare del trattamento, a titolo di «informazioni significative sulla logica utilizzata», che quest’ultimo gli spieghi, mediante informazioni pertinenti e in forma concisa, trasparente, comprensibile e facilmente accessibile, la procedura e i principi concretamente applicati per utilizzare, con mezzi automatizzati, i dati personali relativi a tale interessato al fine di ottenerne un risultato determinato, come un profilo di solvibilità.

2)    nell’ipotesi in cui il titolare del trattamento ritenga che le informazioni da fornire all’interessato conformemente a tale disposizione contengano dati di terzi protetti da tale regolamento o segreti commerciali, ai sensi dell’articolo 2, punto 1, della direttiva 2016/943 (UE) del Parlamento europeo e del Consiglio, dell’8 giugno 2016, sulla protezione del knowhow riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti, detto titolare è tenuto a comunicare tali informazioni asseritamente protette all’autorità di controllo o al giudice competenti, cui spetta ponderare i diritti e gli interessi in gioco al fine di determinare la portata del diritto di accesso dell’interessato previsto all’articolo 15 di tale regolamento

La profilazione alla base dello scoring, richiesto da una banca per decidere sulla concessione di credito, ricade nell’art. 22 GDPR?

Risposta positiva da parte dell’avvocato generale (AG) PRIIT PIKAMÄE nelle sue Conclusioni 16 marzo 2023, C-634/21, OQ c. Land Hessen +  interv. SCHUFA Holding sa.

fatto:

<< 82  La domanda di cui trattasi si inserisce nell’ambito di una controversia che oppone la ricorrente, OQ, una persona fisica, al Land Hessen (Land Assia, Germania), rappresentato dall’Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Commissario per la protezione dei dati e la libertà d’informazione del Land Assia; in prosieguo: l’«HBDI»), in materia di protezione dei dati personali. La SCHUFA Holding AG (in prosieguo: la «SCHUFA»), un’agenzia di diritto privato, sostiene la posizione dell’HBDI in qualità di interveniente. Nell’ambito della sua attività economica, consistente nel fornire ai clienti informazioni sulla solvibilità di terzi, la SCHUFA ha fornito a un istituto di credito un punteggio di scoring relativo alla ricorrente, sulla cui base il credito da quest’ultima richiesto è stato negato. La ricorrente ha chiesto alla SCHUFA di procedere alla cancellazione della relativa registrazione e di consentirle di accedere ai dati corrispondenti; quest’ultima le ha tuttavia comunicato unicamente il punteggio di scoring pertinente e, in termini generali, i principi su cui si fonda il modello di calcolo di detto punteggio, senza informarla in merito ai dati specifici presi in considerazione e alla rilevanza loro attribuita in tale contesto, sostenendo che il metodo di calcolo sarebbe coperto da segreto industriale e aziendale.

3.        Posto che la ricorrente sostiene che il rifiuto opposto dalla SCHUFA alla sua richiesta contrasta con il regime della protezione dei dati, la Corte sarà chiamata a pronunciarsi sulle restrizioni che il RGPD prevede per l’attività economica delle agenzie di informazione nel settore finanziario, in particolare nella gestione dei dati, e sulla rilevanza da attribuire al segreto industriale e aziendale. Parimenti, la Corte dovrà precisare la portata dei poteri normativi che talune disposizioni del RGPD conferiscono al legislatore nazionale in deroga all’obiettivo generale di armonizzazione previsto da detto atto giuridico.

L?unico dubbio reale è l’avverbio “unicamente” presente nell’art. 22.1 (“L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”): qualche itnervento uman infatti ci sarà.

Ebbene, l’AG da un lato rinvia al g. nazionale, § 45.

Dall’altro però dà anche indicazioni precise: pur se qualche intervento umano possa esservi, di fatto lo scoring da IA è decisivo. In particolare:  <<Fatta salva la valutazione dei fatti che compete ai giudici nazionali compiere in ciascun caso particolare, le considerazioni svolte supra mi sembrano indicare che il punteggio di scoring calcolato da un’agenzia di valutazione del credito e comunicato a un istituto finanziario tende generalmente a predeterminare la decisione di quest’ultimo quanto alla concessione o al diniego del credito all’interessato, cosicché si deve ritenere che detta presa di posizione rivesta un carattere puramente formale nel quadro del processo (20). Ne consegue che occorre riconoscere al punteggio di scoring stesso la natura di «decisione» ai sensi dell’articolo 22, paragrafo 1, del RGPD.>>, § 47, v. ppoi i  segg.

Però la legge dice “unicamente”, che è diverso da “prevalentemente”.

E’ un pò come l’ <esclusivamente> dell’art. 7.1.e) nel reg. UE 2017/1001 o nell’art. 9 del ns cod. propr. ind. sui marchi di forma , intepretato in modo molto lasco, quasi fosse “prevalentemente”.

Nella seconda parte l’AG contesta che una disposizione della legge privacy tedesca possa fungere da base giuridica ex art. 22.1.b) GDPR.

Difficilmente la Corte si discosterà dalle Conclusioni. Vedremo.