In una decisione storica del 7 dicembre, la Corte di Giustizia dell’Unione Europea (“CGUE”) ha emesso sentenze nel caso C-634/21|SCHUFA Holding (Scoring) e nei casi congiunti C-26/22 e C-64/22| SCHUFA Holding (Discharge from remaining debts).
La decisione mette in evidenza la complessa relazione tra pratiche digitali, in particolare quelle impiegate dalle agenzie di informazioni creditizie, e i diritti e libertà garantiti dal Regolamento Generale sulla Protezione dei Dati (“GDPR”).
Sfida allo Status Quo
Al centro della questione vi sono le pratiche controverse di SCHUFA, un’agenzia privata di informazioni creditizie, sotto esame per la sua metodologia di scoring e per la conservazione prolungata di informazioni legate all’ottenimento di una liberatoria dai debiti residui prese dai registri pubblici. Diversi individui hanno lamentato l’incapacità del commissario per la protezione dei dati competente di agire in difesa dei loro diritti ed hanno dunque deciso di rivolgersi al Tribunale Amministrativo di Wiesbaden, il quale ha poi richiesto alla CGUE di individuare l’ambito di applicazione del GDPR nella questione specifica.
Analisi dello Scoring
Lo scoring è un processo di valutazione e assegnazione di un punteggio numerico a un individuo o a una entità in base a vari fattori specifici. Nel contesto finanziario, lo scoring del credito è un’applicazione comune. Le agenzie di valutazione del credito utilizzano modelli statistici per analizzare i dati finanziari e comportamentali di una persona, assegnando loro un punteggio di credito. Questo punteggio di credito riflette la probabilità che un individuo o un’azienda onori i propri obblighi finanziari, come il rimborso di prestiti o carte di credito. Maggiori sono il punteggio e la valutazione, maggiori sono le probabilità che il soggetto venga considerato affidabile dal punto di vista finanziario.
Nella decisione della CGUE tale pratica è stata considerata una decisione individuale automatizzata, pratica generalmente vietata dall’articolo 22 del GDPR, che prevede al primo comma il diritto dell’individuo a “non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.”
La corte afferma, infatti, che se i clienti di SCHUFA, come le banche, attribuiscono allo scoring un ruolo decisivo nell’approvazione o meno del credito agli interessati, esso rientra a tutti gli effetti nel divieto previsto dal GDPR. Tuttavia, la sentenza lascia agli organi giudicanti nazionali il compito di valutare se esistono eccezioni, secondo la legge federale tedesca sulla protezione dei dati, in conformità col GDPR.
La CGUE ha anche affrontato il tema della prolungata conservazione dei dati legati all’ottenimento di una liberatoria dai debiti residui, definendo chiaramente come tali pratiche siano in contraddizione con il GDPR quando il periodo di conservazione individuato viene superato. L’importanza di queste informazioni deriva dalla possibilità effettiva delle persone di reintegrarsi nella vita economica e poter accedere nuovamente al credito, la CGUE ha infatti ribadito come l’utilizzo oltre i limiti di tali dati possa danneggiare i diritti e gli interessi degli individui.
Al contrario del periodo di conservazione di sei mesi stabilito dal legislatore tedesco per il registro pubblico delle insolvenze, SCHUFA, secondo il suo codice di condotta, adotta una politica di conservazione di tre anni sui database proprietari. Tuttavia, questo termine di tre anni è stato considerato in violazione del GDPR, in quanto non potrebbe eccedere il termine stabilito per il registro pubblico delle insolvenze, per il quale è previsto un termine di conservazione di 6 mesi.
La CGUE ha chiarito come i diritti dell’interessato devono prevalere allo scadere del periodo di conservazione stabilito dalla legge tedesca per il registro pubblico delle insolvenze. Oltre tale periodo, gli interessati hanno il diritto alla rapida cancellazione degli stessi e le agenzie di credito devono conformarsi prontamente. La sentenza pone sulle corti nazionali il compito di esaminare la liceità della conservazione da parte di SCHUFA di tali dati per i sei mesi, garantendo un delicato equilibrio tra gli interessi dell’agenzia e i diritti degli interessati.
Il panorama digitale è in continua evoluzione e queste sentenze rappresentano una guida per comprendere l’interazione tra algoritmi, pratiche finanziarie e la indispensabile protezione dei diritti degli individui. È anche la prima volta che la CGUE si pronuncia sull’articolo 22 del GDPR, sicuramente una disposizione che sarà al centro dell’attenzione visto il continuo aumentare di applicazioni automatizzate e l’arrivo delle ultime tecnologie di AI per tutte le esigenze.
Sull’attività della Corte in materia di protezione dei dati potrebbe interessarti anche questo articolo: “La CGUE sul diritto di accesso ai dati ai sensi del GDPR”.
