Privacy: il trattamento automatizzato per valutare il tasso di solvibilità di una persona costituisce una profilazione ai sensi del GDPR

La Redazione
23 Marzo 2023

Con le conclusioni presentate il 16 marzo 2023 (causa C-634/21), l'Avvocato Generale Pikamäe chiarisce come il calcolo automatizzato della probabilità che una persona sia in grado di saldare un debito costituisce una profilazione ai sensi del GDPR. Il giudice, infatti, deve poter esercitare un controllo giurisdizionale completo su ogni decisione giuridicamente vincolante adottata da un'autorità di controllo del GDPR.

La causa C-634/21 verte su una controversia che oppone un cittadino al Land Hessen, rappresentato dal responsabile della protezione dei dati e della libertà d'informazione di detto Land (in prosieguo: l'«HBDI»), con riferimento alla protezione dei dati di carattere personale. Nell'ambito della sua attività economica, consistente nel fornire ai clienti informazioni sulla solvibilità di terzi, la S.H. AG, una società di diritto privato, ha fornito a un istituto di credito un punteggio di scoring relativo al cittadino in questione, sulla cui base il credito da quest'ultimo richiesto è stato negato. Detto cittadino ha quindi chiesto alla S.H. di cancellare la registrazione che lo riguardava e di consentirgli di accedere ai dati corrispondenti. Quest'ultima gli ha, tuttavia, comunicato unicamente il punteggio di scoring pertinente e, in termini generali, i principi su cui si fonda il modello di calcolo di detto punteggio, senza informarlo in merito ai dati specifici presi in considerazione e alla rilevanza loro attribuita in tale contesto, sostenendo che il metodo di calcolo sarebbe coperto da segreto industriale e aziendale.

Posto che il cittadino interessato sostiene che il rifiuto opposto dalla S.H. contrasta con il regime della protezione dei dati, la Corte è chiamata dal Tribunale amministrativo di Wiesbaden a pronunciarsi sulle restrizioni che il regolamento generale sulla protezione dei dati [1] (in prosieguo: il «RGPD»; o «GDPR», General data protection regulation) prevede per l'attività economica delle agenzie di informazione nel settore finanziario, in particolare nella gestione dei dati, e sulla rilevanza da attribuire al segreto industriale e aziendale. Parimenti, la Corte dovrà precisare la portata dei poteri normativi che talune disposizioni del RGPD conferiscono al legislatore nazionale in deroga all'obiettivo generale di armonizzazione previsto da detto atto giuridico.

Nelle sue conclusioni, l'avvocato generale Priit Pikamäe osserva, anzitutto, che il RGPD sancisce un «diritto» dell'interessato di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione.

L'avvocato generale constata poi che le condizioni di detto diritto sono soddisfatte, poiché:

- la procedura di cui trattasi costituisce una «profilazione»,

- la decisione produce effetti giuridici che riguardano l'interessato o incidono in modo analogo significativamente sulla sua persona, e

- la decisione può essere considerata come basata unicamente sul trattamento automatizzato.

Pertanto, la disposizione del RGPD che prevede tale diritto è applicabile in circostanze quali quelle di cui al procedimento principale.

L'avvocato generale sottolinea che, conformemente a un'altra disposizione del RGPD, l'interessato ha il diritto di ottenere dal titolare del trattamento non soltanto la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, ma anche ulteriori informazioni quali l'esistenza di un processo decisionale automatizzato, compresa la profilazione, informazioni utili sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato. Egli ritiene che l'obbligo di fornire «informazioni significative sulla logica utilizzata» debba essere inteso nel senso che impone spiegazioni sufficientemente dettagliate sul metodo utilizzato per il calcolo del punteggio e le ragioni che hanno portato a un determinato risultato. In linea di massima, il titolare del trattamento dovrebbe fornire all'interessato informazioni generali, in particolare, sui fattori presi in considerazione ai fini del processo decisionale e sulla loro rispettiva rilevanza a livello aggregato, anch'esse utili a consentirgli di contestare qualsiasi «decisione» ai sensi della disposizione del RGPD che sancisce il «diritto» di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione.

L'avvocato generale conclude che detta disposizione deve essere interpretata nel senso che il calcolo automatizzato di un tasso di probabilità relativo alla capacità di un interessato di saldare in futuro un debito costituisce già una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici che riguardano l'interessato o che incide in modo analogo significativamente sulla sua persona, qualora tale tasso, calcolato sulla base di dati personali relativi all'interessato, sia trasmesso dal titolare del trattamento a un terzo titolare del trattamento e, conformemente a una prassi costante, quest'ultimo basi prevalentemente su tale tasso la sua decisione sulla stipulazione, sull'attuazione o sulla cessazione di un contratto con l'interessato.

Il Tribunale amministrativo di Wiesbaden ha proposto altre due domande di pronuncia pregiudiziale vertenti sul RGPD (cause C-26/22 e C-64/22). Tali domande si inseriscono nell'ambito di due controversie che oppongono due cittadini al Land Hessen, rappresentato dall'HBDI, con riferimento alle richieste da loro rispettivamente presentate all'HBDI di intervenire ai fini della cancellazione di un'iscrizione di un'esdebitazione presso la S.H. Nell'ambito delle procedure di insolvenza che li riguardano, i due cittadini hanno ottenuto un'esdebitazione anticipata, circostanza questa che è stata oggetto di una pubblicazione ufficiale su Internet, cancellata trascorsi sei mesi. La S.H. ha registrato nelle proprie banche dati le informazioni pubblicate in merito alle esdebitazioni anticipate, ma procede alla loro cancellazione solo trascorsi tre anni dalla registrazione. Le questioni sollevate dal giudice nazionale vertono, in particolare, sulla natura giuridica della decisione adottata dall'autorità di controllo adita mediante reclamo, nonché sulla portata del controllo giurisdizionale che il giudice può esercitare nel quadro di un ricorso proposto avverso una siffatta decisione. Le cause vertono altresì sulla questione della liceità della conservazione, presso agenzie di valutazione del credito, di dati personali provenienti da registri pubblici.

Nelle sue conclusioni, l'avvocato generale Pikamäe ricorda, anzitutto, che la liceità di un trattamento dei dati personali deve risultare da una ponderazione dei diversi interessi in gioco, dovendo risultare prevalenti gli interessi perseguiti dal titolare del trattamento o da un terzo. Compete all'autorità di controllo, che, in forza del RGPD, dovrà trattare ogni eventuale reclamo dell'interessato vertente sulla violazione dei suoi diritti fondamentali, verificare che dette condizioni siano soddisfatte. Infine, se l'interessato decide di presentare ricorso avverso le decisioni dell'autorità di controllo, a norma del RGPD, saranno i giudici nazionali a dover garantire un controllo giurisdizionale effettivo. Secondo l'avvocato generale, una decisione giuridicamente vincolante di un'autorità di controllo è soggetta a un controllo giurisdizionale completo nel merito, il che garantisce l'effettività del ricorso.

L'avvocato generale osserva poi che, ai sensi del RGPD, un trattamento dei dati personali può essere considerato lecito, in particolare, qualora siano soddisfatte le seguenti tre condizioni cumulative:

- in primo luogo, il perseguimento del legittimo interesse del titolare del trattamento o del terzo o dei terzi cui i dati vengono comunicati;

- in secondo luogo, la necessità del trattamento dei dati personali per il perseguimento del legittimo interesse e,

- in terzo luogo, la condizione che non prevalgano i diritti fondamentali e le libertà fondamentali dell'interessato dalla tutela dei dati.

L'avvocato generale Pikamäe osserva che le considerevoli conseguenze negative che la conservazione dei dati avrà sull'interessato una volta concluso il succitato periodo di sei mesi sembrano prevalere sull'interesse commerciale della società privata e dei suoi clienti a conservare i dati dopo tale periodo. In tale contesto, l'avvocato generale sottolinea che l'esdebitazione concessa è volta a consentire al beneficiario di partecipare nuovamente alla vita economica. Orbene, tale obiettivo sarebbe ostacolato se le agenzie di valutazione del credito potessero conservare i dati personali nelle loro banche dati dopo che sia intervenuta la loro cancellazione dal registro pubblico.

L'avvocato generale conclude che la conservazione dei dati da parte di un'agenzia privata di valutazione del credito non può essere considerata lecita sulla base delle disposizioni del RGPD che prevedono le condizioni succitate a partire dal momento in cui i dati personali relativi a un'insolvenza siano stati cancellati dai pubblici registri. Per quanto attiene al periodo di sei mesi in cui i dati personali sono parimenti disponibili nei registri pubblici, spetta al giudice del rinvio procedere al bilanciamento dei succitati interessi e impatti sull'interessato al fine di stabilire se la conservazione parallela di tali dati da parte di agenzie private di valutazione del credito sia lecita su detta base.

Infine, l'avvocato generale sottolinea che il RGPD prevede il diritto dell'interessato a che i suoi dati personali siano cancellati qualora egli si opponga al trattamento e ogniqualvolta tali dati siano stati trattati illecitamente. A parere dell'avvocato generale, in un siffatto caso, l'interessato ha altresì il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo. Compete al giudice del rinvio esaminare se sussistano, in via eccezionale, motivi legittimi cogenti per il trattamento.

_____________________________________________________________________________________________________________________

[1] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (GU 2016, L 119, pag. 1).