Il 7 dicembre 2023 la Corte di Giustizia (Prima Sezione) ha stabilito che il credit scoring elaborato da una società che fornisce informazioni commerciali costituisce un processo decisionale automatizzato relativo alle persone fisiche ai sensi dell’art. 22 del regolamento generale sulla protezione dei dati (“GDPR”), quando l’utilizzo dello stesso da parte di una società terza determini in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale.
Corte di Giustizia - C-634/21 SCHUFA Holding (Scoring): il cd. credit scoring fornito da una società terza che influisce in modo decisivo sul rapporto contrattuale costituisce di per sé un processo decisionale automatizzato ai sensi dell’art. 22 GDPR
7 dicembre 2023
SCHUFA è una società che fornisce informazioni sul merito creditizio di persone fisiche, calcolando in modo automatizzato il tasso di probabilità relativo alla loro capacità di onorare impegni di pagamento in futuro (cd. “credit scoring”). La controversia origina dal rifiuto da parte di un istituto di credito di concedere un prestito a OQ sulla base di tale calcolo e dal conseguente diniego da parte di SCHUFA, a tutela del proprio segreto commerciale, di rivelare a OQ gli elementi (e la relativa ponderazione) utilizzati, affermando la responsabilità esclusiva dei propri partner commerciali per l’adozione della decisione contrattuale vera e propria. In seguito, il Commissario per la protezione dei dati e la libertà di informazione per il Land Assia rigettava una richiesta di ingiunzione presentata da OQ e il Tribunale amministrativo di Wiesbaden, investito da ultimo della questione, chiedeva alla Corte di Giustizia di chiarire se, quando tale credit scoring svolga un ruolo decisivo nella decisione relativa alla concessione di un credito, il calcolo automatizzato dello stesso venga considerato, di per sé, una decisione che produce effetti giuridici nei confronti di un interessato o incide in modo significativo sulla sua persona, ai sensi dell’art. 22 GDPR.
Una volta affermata la ricevibilità della domanda, la Corte ha valutato l’applicabilità dell’art. 22 tramite l’analisi dei tre elementi cumulativi necessari all’individuazione di un processo decisionale automatizzato relativo alle persone fisiche, ovvero:
- la presenza di una decisione: la Corte rileva che la nozione include diverse tipologie di atti suscettibili di incidere sulla persona in modo diverso, potendovi includere anche il risultato di un calcolo di credit scoring;
- la circostanza che tale decisione sia «fondata esclusivamente su un trattamento automatizzato, compresa la profilazione»: la Corte ritiene che SCHUFA ponga in essere un’attività di profilazione ai sensi dell’art. 4 GDPR; e
- la produzione di «effetti giuridici» riguardanti la persona o che la misura comunque incida «in modo analogo significativamente» sulla stessa: infatti, in base agli accertamenti del giudice de quo, un punteggio di credit scoring basso porta quasi sempre al rifiuto dell’istituto di credito di concedere il prestito richiesto.
Di conseguenza, quando il credit scoring venga formulato da una società terza, trasmesso all’istituto di credito che valuta l’erogazione del prestito e svolga un ruolo decisivo nel processo decisionale viene integrata la fattispecie di cui all’art. 22 GDPR. In caso contrario, sussisterebbe un rischio di elusione delle salvaguardie previste a tutela delle persone fisiche sottoposte a trattamenti automatizzati dei propri dati personali.
Infatti, a fronte dei rischi specifici (con particolare riferimento ai potenziali effetti discriminatori) per gli interessi e i diritti della persona sottoposta al trattamento automatizzato di dati personali, inclusa la profilazione, il GDPR prevede sia requisiti ad hoc di liceità del processo decisionale automatizzato (art. 22), che obblighi di informazione (artt. 13, par. 2, lett. f e 14, par. 2, lett. g) e diritti di accesso supplementari (art. 15 par. 1 lett. h). Con riferimento a questi ultimi (il cui infruttuoso esercizio da parte di OQ ha originato la controversia), la Corte argomenta che, se non fosse configurabile la fattispecie di cui all’art. 22 GDPR, la persona interessata non potrebbe azionare il proprio diritto d’accesso nei confronti della società che elabora il credit scoring, né ottenere informazioni (nel caso di specie, in relazione alla ponderazione degli elementi utilizzati per il calcolo) dall’istituto di credito, che generalmente non ne dispone.
Inoltre, il diritto dell’interessato a non essere sottoposto ad una decisione basata esclusivamente sul trattamento automatizzato trova delle eccezioni (art. 22 par. 2) nella conclusione o esecuzione di un contratto, nel consenso esplicito dell’interessato e nella autorizzazione da parte del diritto dell’Unione o di uno Stato Membro (nel caso di specie, l’art. 31 BDGS). In quest’ultimo caso è necessario prevedere «altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato». La Corte ha quindi demandato al giudice del rinvio la valutazione della legge nazionale che permetta l’utilizzo, a determinate condizioni, di punteggi di credit scoring (art. 31 BDSG) come possibile base giuridica del trattamento automatizzato e la sua conformità alle condizioni poste dai paragrafi 2 lett b) e 4 dell’art. 22 e dagli artt. 5 e 6 GDPR.
In considerazione di quanto espresso sopra, la Corte ha ritenuto che, quando l’utilizzo del credit scoring da parte di una società terza determini in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale (con valutazione caso per caso da parte del giudice di merito), lo stesso costituisce un processo decisionale automatizzato relativo alle persone fisiche ai sensi dell’art. 22 GDPR.
Il testo della sentenza è disponibile al seguente link e nel box download