CHIAMA
Come viene valutata l’affidabilità bancaria (pure denominato merito creditizio) e soprattutto, quali diritti spettano al richiedente nel caso in cui una richiesta di finanziamento venga respinta all’esito di una valutazione automatica?
Sul tema, assai attuale, è di recente intervenuta la Corte di Giustizia dell’Unione Europea, chiamata a statuire sulla compatibilità tra la legislazione di uno stato membro (Austria) ed il Regolamento Generale di Protezione dei Dati adottato per tempo dall’Unione Europea (Regolamento UE 2016/679).
La vicenda sorge nello specifico allorquando un operatore di telefonia denega la stipula di un contratto ad un richiedente, sulla scorta di uno score creditizio automatico, effettuato da apposito operatore specializzato (Dun & Bradstreet Austria).
Il cliente, a fronte di un riscontro negativo della solvenza bancaria, richiede senza esito alla società specializzata ostendere i dati sottesi alla valutazione automatica, che vengono reietti pure sulla base di una valutazione commerciale a tratti non passibile di essere mostrata al richiedente.
La vertenza viene trasposta dinanzi al Tribunale austriaco, ed il giudice adito decide rimettere la vertenza al Tribunale dell’Unione, ponendo una serie di quesiti circa i diritti in capo al richiedente, in caso di valutazione automatica, ed altresì, in ipotesi di responso favorevole, se ed in che termini l’accesso ai dati possa essere limitato per effetto di diritti di terzi confliggenti o segreti commerciali.
La tematica rimessa alla Corte di Giustizia dell’Unione Europea attiene al merito creditizio (affidabilità bancaria, o score creditizio) effettuato mediante sistemi automatizzati; trattasi di metodica sempre più in uso presso gli operatori specializzati, per un duplice ordine di fattori:
a) i sistemi tradizionali (basati essenzialmente su valutazioni patrimoniali e bancarie, operati tramite accesso ai tradizionali canali di verifica -indagini catastali, di conservatoria, presso la camera di commercio, nella Centrale Rischi della Banca d’Italia-), lungi dall’essere in disuso, tengono fuori una larga fascia di popolazione, ma soprattutto mal si prestano ad essere impiegate per valutazioni inerenti finanziamenti di piccolo importo;
b) il progresso informatico, da ultimo fortemente impulsato dall’intelligenza artificiale, ha reso i sistemi di monitoraggio automatico sempre più efficienti e rapidi per accordare una risposta.
L’impiego di tali programmi di score automatico si scontra a tratti con le indicazioni del regolamento UE di protezione dei dati 2016/679 (il testo è composto da una lunga premessa interpretativa ed argomentativa -in ragione di 173 considerando-, e poi di 99 articoli), che al riguardo sancisce una serie di principi, appresso richiamati.
Considerando 4: “Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la “Carta”), sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale e la diversità culturale, religiosa e linguistica.”
Considerando 63: “Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che l[o] riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità. (…) Tale diritto non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software. Tuttavia, tali considerazioni non dovrebbero condurre a un diniego a fornire all’interessato tutte le informazioni”.
Articolo 15 (intitolato “diritto di accesso dell’interessato):
«1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
(…)
h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
(…)
3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.
4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui».
Sulla scorta di tale premessa normativa, il Tribunale dell’Unione è chiamato in particolare a valutare se, il citato articolo 15 del RGPD possa essere interpretato nel senso che, in ipotesi di valutazione e successiva profilazione automatica, l’interessato possa pretendere di comprendere la logica utilizzata per accordare o denegare l’accesso al credito.
Tale diritto di accesso, seppure inerenti giudizi effettuati tramite un algoritmo, è comunque necessario affinché l’interessato possa eventualmente esercitare il suo diritto alla rettifica, il suo diritto alla cancellazione («diritto all’oblio») e il suo diritto alla limitazione di trattamento; guarentigie tutte accordate, rispettivamente, dagli articoli 16, 17 e 18 del RGPD, e poi il suo diritto di opposizione al trattamento dei suoi dati personali, previsto all’articolo 21 del RGPD, nonché da ultimo il suo diritto di agire in giudizio e il suo diritto al risarcimento, previsti rispettivamente dagli articoli 79 e 82 del RGPD.
Tale coacervo di facoltà, secondo il giudice remittente, non può essere assolto tramite la semplice comunicazione della formula matematica, oppure dell’algoritmo, perché nessuno di tali metodi soddisfa i diritti accordati dal regolamento all’interessato.
Si chiede altresì il Giudice nazionale se tale diritto possa essere denegato in forza di dati di terzi protetti o da segreti commerciali; lo stesso tribunale austriaco ritiene come, tali considerazioni non potrebbero comunque importare un diniego ad ostendere all’interessato tutte le informazioni. Al riguardo, l’articolo 23, paragrafo 1, lettera i), RGPD, sancisce come, una limitazione della portata degli obblighi e dei diritti previsti in particolare all’articolo 15 di quest’ultimo, è possibile solo qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare la tutela dei diritti e delle libertà altrui.
Il Tribunale dell’Unione ha recepito e confermato le perplessità del giudice nazionale, ed ha così inteso accordare rilievo primario ai diritti del richiedente, a tutto discapito del diniego sotteso dalla società specializzata.
Il duplice interrogativo posto dal giudice nazionale è stato così risolto dal Tribunale dell’Unione:
L’articolo 15, paragrafo 1, lettera h), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
dev’essere interpretato nel senso che:
in caso di processo decisionale automatizzato, compresa la profilazione, ai sensi dell’articolo 22, paragrafo 1, di tale regolamento, l’interessato può pretendere dal titolare del trattamento, a titolo di «informazioni significative sulla logica utilizzata», che quest’ultimo gli spieghi, mediante informazioni pertinenti e in forma concisa, trasparente, comprensibile e facilmente accessibile, la procedura e i principi concretamente applicati per utilizzare, con mezzi automatizzati, i dati personali relativi a tale interessato al fine di ottenerne un risultato determinato, come un profilo di solvibilità.
2) L’articolo 15, paragrafo 1, lettera h), del regolamento 2016/679
dev’essere interpretato nel senso che:
nell’ipotesi in cui il titolare del trattamento ritenga che le informazioni da fornire all’interessato conformemente a tale disposizione contengano dati di terzi protetti da tale regolamento o segreti commerciali, ai sensi dell’articolo 2, punto 1, della direttiva 2016/943 (UE) del Parlamento europeo e del Consiglio, dell’8 giugno 2016, sulla protezione del know‑how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti, detto titolare è tenuto a comunicare tali informazioni asseritamente protette all’autorità di controllo o al giudice competenti, cui spetta ponderare i diritti e gli interessi in gioco al fine di determinare la portata del diritto di accesso dell’interessato previsto all’articolo 15 di tale regolamento (Corte di Giustizia dell’Unione Europea, sentenza 27 Febbraio 2025, Causa C-203/22).
Studio Legale Avvocato Francesco Noto – Cosenza Napoli