Merito creditizio e processi di valutazione automatizzata nel diritto europeo

La pronuncia trae origine dalla controversia sottoposta al giudice austriaco che vedeva contrapposte un'azienda di telefonia mobile e un cliente che si era vista negata la possibilità di stipulare un contratto invocando motivi di solvibilità basati su una valutazione automatizzata del merito creditizio.

Per il giudice nazionale l'azienda aveva agito in violazione del GDPR e, nello specifico, dei principi di trasparenza e intelligibilità, dal momento che non aveva fornito al cliente alcuna vera motivazione circa i criteri alla base del processo decisionale.

Secondo la CGUE il rispetto della privacy e dei dati personali non è un valore assoluto, ma deve essere bilanciato con gli altri valori di interesse pubblico in gioco, secondo il criterio di proporzionalità (considerando 4 GDPR). Secondo tale principio, non è corretto affermare che al cliente non possa mai essere fornita alcuna informazione in nessuna circostanza, ma al contrario, è necessario che sia informato circa le procedure e i principi applicati nei processi che lo interessano, ancorché automatizzati, in modo tale da consentirgli di comprendere quale utilizzo sia fatto dei suoi dati personali e in che modo questi incidano sulle decisioni di cui è destinatario.

Qualora il titolare del trattamento ritenga che alcune delle informazioni da fornire all'interessato contengano dati di terzi protetti o segreti commerciali (art. 2 punto 1 direttiva n. 2016/943) ha l'obbligo di riferirli all'autorità di controllo o al giudice competente, cui spetterà operare il bilanciamento tra i diritti e gli interessi in gioco per determinare la portata del diritto di accesso dell'interessato ai sensi dell'art. 15 GDPR.

Nel caso di specie, la mera comunicazione di un algoritmo non è stata sufficiente al rispetto del principio di trasparenza, dal momento che non ha fornito una spiegazione sufficientemente chiara della logica dietro alla decisione assunta.