La Corte di Giustizia UE, con sentenza del 7 dicembre 2023, pronunciata nella causa C‑634/21, ha fornito importanti precisazioni in ordine all’attività di scoring (nel caso di specie, credit scoring), precisando come questa non possa, ai sensi del GDPR, costituire l’unico motivo di stipula o diniego del contratto (nel caso specifico, un contratto di finanziamento).
In particolare, la Corte di Giustizia UE ha fornito precisazioni in ordine alla nozione di “decisione basata unicamente sul trattamento automatizzato”, di cui all’art. 22 GDPR, nell’ipotesi in cui la decisione finale venga assunta da un terzo (una banca) e non dalla società che ha assegnato il punteggio (scoring), quale presupposto della decisione stessa.
Nel caso di specie, la Corte ha affrontato il caso di una persona fisica, che si era vista negare la concessione di un mutuo da una banca a causa di un punteggio negativo (credit scoring), predittivo della sua (in)capacità di ripagarlo.
Tale punteggio era stato in precedenza assegnato da una società privata che offriva servizi di credit scoring alla banca in questione.
In base all’art. 22 GDPR, ricorda la Corte UE, l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente su un trattamento automatizzato, compresa la profilazione, se produce effetti giuridici che lo riguardano o incide in modo analogo, significativamente, sulla sua persona.
Pertanto, è senz’altro rilevante comprendere se anche l’attività di profilazione possa essere considerata come “decisione” ai sensi del GDPR, e ciò ai fini dell’utilizzabilità da parte della banca di tali dati, quale fondamento delle proprie decisioni (come quella di negare un mutuo bancario).
Secondo la Corte, preliminarmente, al termine di “decisione basata unicamente sul trattamento automatizzato” va riconosciuta portata ampia, al fine di non eludere la tutela garantita dal GDPR.
Il considerando 71 del GDPR, infatti, chiarisce che “decisione”:
- può essere una misura;
- può essere una valutazione, come avviene per la profilazione, che è appunto una valutazione di aspetti personali, tra cui, in modo espresso, l’affidabilità.
In sostanza, la “decisione”, di cui all’art. 22, è non solo una decisione in senso stretto, ma altresì una misura o una valutazione di aspetti personali: l’elemento dirimente, pertanto, è l’incidenza sulla sfera personale degli interessati.
Non ha alcun rilievo, invece, la circostanza che la scelta finale, per esempio quella se concedere o no un finanziamento, sia presa da un soggetto terzo, ove tale soggetto colleghi valore decisivo al punteggio in esame: costituirebbe elusione del precetto normativo, secondo la Corte, considerare lo scoring soltanto come un momento preparatorio (punto 61 della sentenza), come tale irrilevante.
Al contrario, se lo scoring automatizzato riveste efficacia condizionante sui terzi, ha senza dubbio valore di decisione ai sensi del GDPR.
Pertanto, conclude la Corte, l’art. 22, paragrafo 1, del Regolamento (UE) 2016/679 (GDPR) deve essere interpretato nel senso che il calcolo automatizzato, da parte di una società che fornisce informazioni commerciali, di un tasso di probabilità basato su dati personali relativi a una persona (relativi alla capacità di di onorare in futuro gli impegni di pagamento), costituisce un “processo decisionale automatizzato relativo alle persone fisiche”, ai sensi di tale disposizione, qualora da tale tasso di probabilità dipenda in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale con tale persona da parte di un terzo, al quale è comunicato tale tasso di probabilità.