Con sentenza
del 7 dicembre 2023, relativa alla causa C-634/21, la prima sezione della CGUE
è intervenuta in tema di profilazione e credit scoring, determinando se il
calcolo del tasso di probabilità costituisca o meno un processo decisionale
automatizzato relativo alle persone fisiche.
In primo luogo,
occorre rammentare che, mentre per “profilazione” si intende «una forma di
trattamento automatizzato dei dati personali che valuta aspetti personali
concernenti una persona fisica, in particolare al fine di analizzare o
prevedere aspetti riguardanti il rendimento professionale, la situazione
economica, la salute, le preferenze o gli interessi personali, l’affidabilità o
il comportamento, l’ubicazione o gli spostamenti dell’interessato, ove ciò
produca effetti giuridici che la riguardano o incida in modo analogo
significativamente sulla sua persona» [v. considerando 71 del Regolamento (UE)
2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016
(«Regolamento generale sulla protezione dei dati» o «RGPD»)], il c.d. “credit scoring”
rappresenta un pronostico sulla probabilità di un comportamento futuro di una
persona: a partire da determinate caratteristiche di tale persona, si
attribuisce a terzi, in particolare consumatori, un punteggio sul merito
creditizio calcolato sulla base di procedure matematiche e statistiche.
Ai sensi
dell’art. 22 § 1 del RGPD, «l’interessato ha il diritto di non essere
sottoposto a una decisione basata unicamente sul trattamento automatizzato,
compresa la profilazione, che produca effetti giuridici che lo riguardano o che
incida in modo analogo significativamente sulla sua persona». L’applicabilità
di tale disposizione è soggetta, pertanto, a tre condizioni cumulative:
l’esistenza di una decisione che implica la valutazione di aspetti personali di
un interessato, di cui quest’ultimo dovrebbe avere il diritto di non essere
oggetto; l’affidamento esclusivo al trattamento automatizzato che si oppone,
pertanto, al diritto dell’interessato di ottenere l’intervento umano; la
produzione di effetti giuridici o effetti analoghi significativi per la persona
dell’interessato.
Dal combinato
disposto dell’art. 22 § 2 e del considerando 71 del RGPD, l’adozione di una
decisione basata esclusivamente su un trattamento automatizzato è autorizzata
solo se necessaria per la conclusione o l’esecuzione di un contratto tra
l’interessato e un titolare del trattamento, ovvero se autorizzata dal diritto
dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento
(nel rispetto degli artt. 5, 6 e 22 § 4 del RGPD), ovvero se basata
sull’esplicito consenso dell’interessato. Tuttavia, alla luce del disposto
dell’art. 22, par. 2, lett. b) – nonché del par. 3 del medesimo articolo - nei
casi di mancata applicazione del par. 1 devono essere previste misure
appropriate per la salvaguardia dei diritti, delle libertà e dei legittimi
interessi dell’interessato, in particolare tenendo conto dei potenziali effetti
discriminatori nei confronti delle persone fisiche sulla base della razza o
dell’origine etnica, delle opinioni politiche, della religione o delle
convinzioni personali, dell’appartenenza sindacale, dello status genetico,
dello stato di salute o dell’orientamento sessuale, e mettendo in atto misure
tecniche e organizzative tali da garantire la rettifica di inesattezze dei
dati, la minimizzazione del rischio di errori e la sicurezza dei dati
personali.
In forza
dell’art. 13, par. 2, lett. f) e dell’art. 14, par. 2, lett. g) del RGPD,
quindi, nel caso di adozione di una decisione basata unicamente sul trattamento
automatizzato, il titolare del trattamento è soggetto a obblighi di
informazione supplementari, mentre, ai sensi dell’art. 15, par. 1, lett. h),
l’interessato gode del diritto di ottenere dal titolare del trattamento
«informazioni significative sulla logica utilizzata, nonché l’importanza e le
conseguenze previste di tale trattamento per l’interessato».
La Corte
riconosce che un’eventuale interpretazione restrittiva dell’art. 22 del RGPD,
invece, provocherebbe una lacuna nella protezione giuridica in circostanze in
cui fossero coinvolti anche soggetti terzi, portando al rischio di un’elusione
dell’articolo stesso: il calcolo del tasso di probabilità da parte di agenzie
fornitrici di informazioni commerciali (che sfuggirebbe ai requisiti specifici
previsti dall’art. 22, paragrafi 2 e 4, sebbene tale procedura si basi su un
trattamento automatizzato e produca effetti che incidono significativamente
sull’interessato, in quanto l’azione del terzo, al quale tale tasso di
probabilità è trasmesso, è condizionata in modo decisivo da quest’ultimo)
sarebbe considerato soltanto un atto preparatorio e solo l’atto adottato dal
terzo potrebbe, se del caso, essere qualificato come “decisione” ai sensi
dell’art. 22, par. 1 del RGPD. In assenza di adozione di un processo
decisionale automatizzato da parte delle agenzie, l’interessato non potrebbe
far valere il suo diritto di accesso alle informazioni specifiche di cui
all’art. 15, par. 1, lett. h), del RGPD; viceversa, supponendo che l’atto
adottato dal terzo soddisfi le condizioni di applicazione dell’art. 22, par. 1,
tale terzo non sarebbe in grado di fornire le informazioni specifiche in quanto
generalmente non ne dispone.
Nell’interpretazione estensiva della Corte, il fatto che il calcolo di un tasso di probabilità rientra nell’ambito di applicabilità dell’art. 22, par. 1, del RGPD comporta che esso è vietato, salvo l’applicabilità di una delle eccezioni previste all’art. 22 § 2 e il rispetto delle specifiche esigenze previste dall’art. 22 §§ 3-4.
Alla luce di tutte le considerazioni che precedono, quindi, la Corte conclude dichiarando che il calcolo automatizzato, da parte di una società che fornisce informazioni commerciali, di un tasso di probabilità basato su dati personali relativi a una persona e riguardanti la capacità di quest’ultima di onorare in futuro gli impegni di pagamento costituisce un «processo decisionale automatizzato relativo alle persone fisiche», ai sensi dell’art. 22 § 1, qualora da tale tasso di probabilità dipenda in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale con la suddetta persona da parte di un terzo, al quale è comunicato il rispettivo tasso di probabilità.