Profilazione sulla solvibilità e diritto di accesso da parte del cittadino
Depositate in Corte di Giustizia UE le conclusioni dell’Avvocato generale (nelle cause C-634/21, C-26/22, C-64/22) sugli effetti, ai fine del GDPR, della profilazione compiuta per dar vita al calcolo automatizzato della probabilità che una persona sia in grado di saldare un debito.
In sintesi, l’Avvocato afferma che “la semplice profilazione di dati personali, se poi viene posta da terzi a unico fondamento di decisioni consequenziali assunte senza contraddittorio, configura un processo decisionale automatizzato”.
Questioni:
Cos’è la profilazione
Cos’è un processo decisionale automatizzato
Perché la profilazione sulla solvibilità è già un processo decisionale automatizzato
Quali diritti?
– Opposizione
– Contraddittorio
– Accesso
Si può opporre il segreto industriale e aziendale?
Il trattamento automatizzato dei dati
La decisione basata unicamente sul trattamento automatizzato di dati
Il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato di dati
a) Il calcolo automatizzato della probabilità che una persona sia in grado di saldare un debito
Nell’ambito della sua attività economica, consistente nel fornire ai clienti informazioni sulla solvibilità di terzi, una società fornisce a un istituto di credito un punteggio di scoring relativo al cittadino in questione, sulla cui (unica) base il credito da quest’ultimo richiesto è stato negato.
Detto cittadino ha quindi chiesto alla società di cancellare la registrazione che lo riguardava e di consentirgli di accedere ai dati corrispondenti.
Quest’ultima gli ha, tuttavia, comunicato unicamente il punteggio di scoring pertinente e, in termini generali, i principi su cui si fonda il modello di calcolo di detto punteggio, senza informarlo in merito ai dati specifici presi in considerazione e alla rilevanza loro attribuita in tale contesto, sostenendo che il metodo di calcolo sarebbe coperto da segreto industriale e aziendale.
b) Il giudice a quo
Il giudice (Tribunale amministrativo di Wiesbaden, Germania), nel sollevare la questione di pregiudizialità innanzi alla Corte di Giustizia, ritiene che il calcolo di un punteggio di scoring da parte di un’agenzia di valutazione del credito non sia meramente una profilazione funzionale alla decisione del terzo titolare del trattamento, ma sia precisamente già una «decisione» autonoma ai sensi dell’articolo 22, paragrafo 1, del RGPD.
c) L’avvocato generale
L’avvocato generale innanzi alla Corte di Giustizia, in sede di conclusioni, osserva, anzitutto, che il GDPR sancisce un «diritto» dell’interessato di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione.
Aggiunge che “l’intervento umano richiesto nell’ambito di questo tipo di trattamento automatizzato dei dati garantisce che l’interessato abbia la possibilità di esprimere il suo punto di vista, ottenere una spiegazione in merito alla decisione adottata al termine di detta tipologia di valutazione e contestarla qualora non la condivida”.
L’avvocato generale osserva poi che il calcolo automatizzato di un tasso di probabilità relativo alla capacità di un interessato di saldare in futuro un debito costituisce già una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici che riguardano l’interessato o che incide in modo analogo significativamente sulla sua persona, qualora tale tasso, calcolato sulla base di dati personali relativi all’interessato, sia trasmesso dal titolare del trattamento a un terzo titolare del trattamento e, conformemente a una prassi costante, quest’ultimo basi prevalentemente su tale tasso la sua decisione sulla stipulazione, sull’attuazione o sulla cessazione di un contratto con l’interessato.
E, infine, sul segreto industriale ed aziendale opposto dalla società convenuta, rileva che “l’obbligo di fornire «informazioni significative sulla logica utilizzata» deve essere inteso nel senso che impone spiegazioni sufficientemente dettagliate sul metodo utilizzato per il calcolo del punteggio e le ragioni che hanno portato a un determinato risultato. In linea di massima, il titolare del trattamento dovrebbe fornire all’interessato informazioni generali, in particolare, sui fattori presi in considerazione ai fini del processo decisionale e sulla loro rispettiva rilevanza a livello aggregato, anch’esse utili a consentirgli di contestare qualsiasi «decisione» ai sensi dell’articolo 22, paragrafo 1, del GDPR.
d) Norme di riferimento
GDPR (General Data Protection Regulation)
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). In vigore dal 25 maggio 2018.
– Articolo 4 (Definizioni)
Ai fini del presente regolamento s’intende per:
(…) 4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
– Articolo 22 (Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione)
1. L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
– Articolo 15 (Diritto di accesso dell’interessato)
1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
(…) h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
e) Link
La domanda di pronuncia pregiudiziale promossa dal Tribunale amministrativo di Wiesbaden, Germania
Le conclusioni dell’Avvocato generale
f) Cos’è dato personale e cos’è trattamento
Articolo 4 GDPR
Definizioni
1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;