Con due sentenze gemelle del 7 dicembre 2023 la Corte di Giustizia dell’Unione Europea ha fornito importanti linee interpretative per individuare una “decisione automatizzata” cui è applicabile l’art. 22 del Reg. UE 679/2016 (GDPR) nonché in tema di termini di cancellazione dei dati ricavati da banche dati pubbliche.
Queste indicazioni sono essenziali perché l’applicazione dell’art. 22 GDPR comporta in linea di principio un divieto di trattamento (calmierato però da ampie eccezioni in seno allo stesso art. 22) nonché precisi oneri di fornire “informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”, di garantire un intervento umano su richiesta e di dare spazio a opinioni e contestazioni dell’interessato.
Entrambe le pronunce vedono come parte in causa la SCHUFA, società privata tedesca che offre servizi agli istituti di credito, in particolare, per quel che qui interessa, fornendo alle banche apposite valutazioni creditizie in relazione a soggetti privati.
La decisione automatizzata sullo scoring
Con la sentenza nella causa C-634/21 la Corte di Giustizia UE ha censurato l’attività della SCHUFA che, nel fornire il proprio “score” relativo all’affidabilità creditizia di un soggetto, si affida ad un processo decisionale automatizzato.
Chi ha già scelto l’AI ne ha tratto benefici: scopri tutto nella guida 2023!
In particolare, la società tedesca fornisce un “pronostico sulla probabilità di un comportamento futuro di una persona («score»), come il rimborso di un prestito, a partire da talune caratteristiche di tale persona, sulla base di procedure matematiche e statistiche. Il calcolo dei punteggi («scoring») si basa sul presupposto che assegnando una persona a un gruppo di altre persone con caratteristiche comparabili che si sono comportate in un certo modo, si può prevedere un comportamento analogo.”
Un cittadino tedesco cui è stato negato un prestito sulla base dello “score” troppo basso risultante dal report SCHUFA ha chiesto quindi di conoscere le logiche dietro il suo punteggio.
A quel punto la SCHUFA descriveva sommariamente le sue metodiche, per poi trincerarsi dietro la difesa dei suoi segreti commerciali (nascondendo in particolare le informazioni acquisite e i criteri di ponderazione utilizzati per ottenere il punteggio).
Di qui il ricorso del cittadino, finito con la rimessione avanti alla Corte di Giustizia UE.
Il problema che la Corte deve affrontare è quindi innanzitutto formale, qui non siamo di fronte ad una decisione automatizzata effettuata dalla banca per decidere se concedere o meno un prestito, la banca acquista solamente un report contenente uno score creditizio e lo pone alla base (insieme ad una serie di altri fattori) della sua decisione.
Va quindi chiarito se la tutela di cui all’art. 22 GDPR si estende a queste tipologie di decisioni che coinvolgono più soggetti e chi, nel caso, deve implementare i presidi di cui all’art. 22 GDPR nel caso in cui il trattamento sia legittimo secondo la normativa.
La disciplina europea vieta infatti (in linea di principio) le:
- decisioni,
- basate unicamente su un trattamento automatizzato, compresa la profilazione,
- che producano effetti giuridici per un interessato o che incidano in modo analogo significativamente sulla sua persona.
Va quindi innanzitutto chiarito se nel caso siamo di fronte o meno ad una decisione (termine non definito dal GDPR). La Corte sul punto, rifacendosi anche al Considerando 71 del Regolamento, afferma che il termine “decisione” va inteso in senso ampio e può quindi includere diverse tipologie di atti che possono incidere sulla persona interessata in vari modi, nozione che è sufficientemente ampia da includere lo scoring effettuato da SCHUFA.
Dopo le pregevoli considerazioni sul concetto di decisione, la Corte affronta molto sbrigativamente il punto relativo al fatto che la decisione sia o meno basata unicamente su un trattamento automatizzato ed afferma che nel caso, trattandosi di profilazione di un individuo, sicuramente siamo in presenza di una decisione automatizzata (concentrandosi quindi sulla “decisione” della SCHUFA e non invece su quella, a valle e con assistenza umana, che farà la banca).
Quanto, infine, agli effetti giuridici la Corte sposta il focus sulla decisione della banca, influenzata in maniera sostanziale dal punteggio SCHUFA.
L’interpretazione della Corte è volta ad evitare elusioni della normativa GDPR nel caso in cui la decisione coinvolga tre attori, come nel caso accade con la banca, SCHUFA e il soggetto che chiede il prestito. Proprio per questo la Corte propone di considerare come decisione e non come semplice “atto preparatorio” di una decisione l’attività di scoring effettuata da SCHUFA.
In conclusione la Corte di Giustizia UE afferma che “il calcolo automatizzato, da parte di una società che fornisce informazioni commerciali, di un tasso di probabilità basato su dati personali relativi a una persona e riguardanti la capacità di quest’ultima di onorare in futuro gli impegni di pagamento costituisce un «processo decisionale automatizzato relativo alle persone fisiche», ai sensi di tale disposizione, qualora da tale tasso di probabilità dipenda in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale con tale persona da parte di un terzo, al quale è comunicato tale tasso di probabilità”.
Le conseguenze della pronuncia della Corte di Giustizia europea
La pronuncia comporta due ordini di conseguenze.
In primo luogo, il trattamento è illegittimo salvo ricorrano le eccezioni di cui all’art. 22 GDPR (il trattamento è ammesso dalla legge, necessario per l’esecuzione di un contratto o è consentito dall’interessato).
In secondo luogo, il trattamento, ove legittimo, è presidiato da oneri di informativa, contestazione e ricorso all’intervento umano.
La Corte non affronta queste conseguenze e quindi la determinazione circa la legittimità della decisione automatizzata sarà lasciata al giudice tedesco (chiamato in primo luogo a valutare se il punteggio SCHUFA incida in modo decisivo sulla concessione del prestito).
Dal punto di vista della necessità dell’attività automatizzata per la conclusione di un contratto sarà interessante vedere se il giudice la riterrà sussistenza in forza dei principi comunicati per cui: “gli Stati membri provvedono affinché, prima della conclusione di un contratto di credito, il creditore svolga una valutazione approfondita del merito creditizio del consumatore. Tale valutazione tiene adeguatamente conto dei fattori pertinenti ai fini della verifica delle prospettive di adempimento da parte del consumatore degli obblighi stabiliti dal contratto di credito” (art. 18 Direttiva 2014/17/UE).
La norma, sebbene non prescriva una valutazione automatizzata, certamente prescrive un’attività di valutazione che ben si presta ad una automatizzazione.
Resta poi aperta la strada del consenso dell’interessato.
La prospettiva della Cassazione in Italia
Interessante è, a questo proposito, il parallelo con la recente ordinanza n. 28358 del 10 ottobre 2023 con cui la Cassazione ha affrontato il tema della liceità del rating reputazionale proprio alla luce dell’art. 22 GDPR.
Nel caso la sentenza, pur condividendo i principi fatti propri dalla Corte di Giustizia UE, afferma la legittimità del trattamento fondandosi lo stesso su un consenso validamente espresso dall’interessato.
Sarà senz’altro interessante vedere ora se il giudice tedesco chiamato a dare applicazione alle pronunce della Corte di Giustizia offrirà alla SCHUFA una altrettanto comoda scappatoia rispetto all’applicazione dell’art. 22 GDPR basandosi sul consenso dell’interessato (al netto della “pressione” con cui questo consenso potrà essere coartato essendo lo stesso richiesto nel momento in cui l’interessato deve accedere ad un credito).
La conservazione dei dati di esdebitazione
Interessante è anche la pronuncia nelle cause riunite C-26/22 e C-64/22 con cui la Corte di Giustizia UE afferma che la SCHUFA non può conservare oltre il termine previsto normativamente i dati contenuti in pubblici registri.
In particolare, la SCHUFA conservava oltre il termine di pubblicità sui portali istituzionali tedeschi (che cessa trascorsi sei mesi dall’annullamento della procedura di insolvenza) i dati relativi all’esdebitazione dei soggetti sottoposti a misure concorsuali.
Richiesta da alcuni interessati di cancellare il dato relativo all’esdebitazione (che evidentemente veniva letto dalle banche come elemento negativo, rivelando la precedente sottoposizione del soggetto a procedura di insolvenza) la SCHUFA si rifiutava di cancellare il dato affermando di essere legittimata alla sua conservazione e di non essere soggetta alla norma prevista per il portale statale e che prescrive la cancellazione entro sei mesi del dato.
La questione è senz’altro interessante perché da un lato è la stessa normativa UE che chiede alle banche di concedere credito in maniera responsabile e di consultare le banche dati disponibili, dall’altro lato però questa attività deve trovare un limite quando le esigenze di riservatezza dell’individuo sopravanzano le esigenze di pubblicità delle decisioni.
La decisione cui era chiamata la Corte di Giustizia consiste quindi nel valutare se tale limite temporale è da individuarsi nei sei mesi previsti per il portale pubblico o se possano sussistere termini diversi a favore della SCHUFA vista l’utenza professionale cui questa si rivolge.
Interessante è anche la prospettiva del giudice tedesco rimettente, che evidenzia come l’acquisizione di questi dati da parte della SCHUFA, per farli sopravvivere al termine di cancellazione prescritto normativamente, non è isolata bensì è posta in essere da numerose aziende di scoring creditizio, con la conseguenza di una conservazione frammentata su molteplici database di un dato che invece avrebbe dovuto essere centralizzato su banca dati pubblica.
Questo aspetto, unito al fatto che si tratta di una conservazione fondata sul legittimo interesse dell’azienda privata, comporta una moltiplicazione di modalità e tempi di conservazione.
La Corte di Giustizia, facendo proprie le considerazioni dell’autorità rimettente, afferma che è illegittimo conservare i dati “per un periodo che va oltre quello durante il quale i dati sono conservati nel registro pubblico”.
La Corte in particolare afferma che non sussistono, nel caso, gli elementi idonei a legittimare il trattamento sulla base del legittimo interesse.
Non è rispettata, in particolare, la condizione secondo cui gli interessi o i diritti e le libertà fondamentali dell’interessato non devono prevalere sul legittimo interesse del responsabile del trattamento o di terzi, in quanto la valutazione di prevalenza è già stata risolta (individuando in sei mesi dall’annullamento della procedura di insolvenza il termine massimo di conservazione dei dati) dal legislatore nel disciplinare il registro pubblico.
Permane un dubbio, dalla lettura della sentenza, relativamente al fatto che i dati cancellati dal portale pubblico risultano comunque conservati dall’autorità giudiziaria e di lì accessibili a chi vi abbia interesse. Sussiste quindi un “doppio binario” in relazione ai termini di conservazione che la Corte non affronta e che forse potrebbe legittimare l’argomentazione per cui fra il portale pubblico accessibile a tutti e la (più ampia) conservazione presso l’autorità processuale possa sussistere un “giusto mezzo” di conservazione del dato se tutelata, breve e rivolta unicamente a soggetti professionali.
Risulta, infine, difficile un parallelo con la normativa italiana, che peraltro presenta una anomala “diffusione” dei dati relativi alle procedure concorsuali su portali privati (e la cui cancellazione è lasciata all’impulso del curatore/liquidatore).
Quali prospettive
Con la pronuncia nella causa C-634/21 la Corte di Giustizia UE cerca di correggere ed ampliare la fragile tutela offerta dall’art. 22 GDPR di fronte all’algoritmo.
Una interpretazione estensiva dell’art. 22 è infatti l’unica strada per evitare una sostanziale disapplicazione di questa norma, semplicemente presidiando la decisione automatizzata con un interventore umano (che pur si limiti a un intervento di pura forma).
Nel caso di specie la Corte di Giustizia ha facile gioco nel “separare” la decisione automatizzata (di SCHUFA) dalla decisione “influenzata” dalla prima (della banca), ma è evidente che questa prospettiva (che nasce dalla necessità della Corte di offrire tutela sulla claudicante base dell’art. 22 GDPR) è più difficile da proporre nel caso in cui lo score sia realizzato internamente dalla banca e inserito nel complesso dei dati analizzati per la decisione dal personale competente.
Mentre, infatti, la normativa in tema di intelligenza artificiale che si affaccia all’orizzonte comunitario prescrive una sorveglianza umana “consapevole” ed effettuata da un soggetto che ne comprenda i meccanismi, l’art. 22 GDPR non prescrive simili presidi, non tenendo conto della potenziale complessità dei processi algoritmici (pur deterministici e non “intelligenti”) che generano determinati output in settori specialistici.
Per altro verso i principi espressi dalla Corte di Giustizia nella causa C-634/21, ma anche nelle cause riunite C-26/22 e C-64/22 saranno di interessante applicazione nel contesto più ampio e dedicato alle decisioni assunte dall’intelligenza artificiale sulla base di dati relativi al merito creditizio, sia con riguardo alla possibilità di un consenso “informato” sul punto, sia con riguardo alla loro conservazione (pur parcellizzata) nella base di conoscenza di algoritmi che scandagliano il web per “formarsi”.
Queste sfide, che non potranno essere risolte senza una lettura armonica di GDPR e AI Act, saranno senz’altro centrali in futuro, visto il sempre maggiore peso dell’algoritmo nelle decisioni umane.
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
@RIPRODUZIONE RISERVATA