La profilazione alla base dello scoring, richiesto da una banca per decidere sulla concessione di credito, ricade nell’art. 22 GDPR?

Risposta positiva da parte dell’avvocato generale (AG) PRIIT PIKAMÄE nelle sue Conclusioni 16 marzo 2023, C-634/21, OQ c. Land Hessen +  interv. SCHUFA Holding sa.

fatto:

<< 82  La domanda di cui trattasi si inserisce nell’ambito di una controversia che oppone la ricorrente, OQ, una persona fisica, al Land Hessen (Land Assia, Germania), rappresentato dall’Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Commissario per la protezione dei dati e la libertà d’informazione del Land Assia; in prosieguo: l’«HBDI»), in materia di protezione dei dati personali. La SCHUFA Holding AG (in prosieguo: la «SCHUFA»), un’agenzia di diritto privato, sostiene la posizione dell’HBDI in qualità di interveniente. Nell’ambito della sua attività economica, consistente nel fornire ai clienti informazioni sulla solvibilità di terzi, la SCHUFA ha fornito a un istituto di credito un punteggio di scoring relativo alla ricorrente, sulla cui base il credito da quest’ultima richiesto è stato negato. La ricorrente ha chiesto alla SCHUFA di procedere alla cancellazione della relativa registrazione e di consentirle di accedere ai dati corrispondenti; quest’ultima le ha tuttavia comunicato unicamente il punteggio di scoring pertinente e, in termini generali, i principi su cui si fonda il modello di calcolo di detto punteggio, senza informarla in merito ai dati specifici presi in considerazione e alla rilevanza loro attribuita in tale contesto, sostenendo che il metodo di calcolo sarebbe coperto da segreto industriale e aziendale.

3.        Posto che la ricorrente sostiene che il rifiuto opposto dalla SCHUFA alla sua richiesta contrasta con il regime della protezione dei dati, la Corte sarà chiamata a pronunciarsi sulle restrizioni che il RGPD prevede per l’attività economica delle agenzie di informazione nel settore finanziario, in particolare nella gestione dei dati, e sulla rilevanza da attribuire al segreto industriale e aziendale. Parimenti, la Corte dovrà precisare la portata dei poteri normativi che talune disposizioni del RGPD conferiscono al legislatore nazionale in deroga all’obiettivo generale di armonizzazione previsto da detto atto giuridico.

L?unico dubbio reale è l’avverbio “unicamente” presente nell’art. 22.1 (“L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”): qualche itnervento uman infatti ci sarà.

Ebbene, l’AG da un lato rinvia al g. nazionale, § 45.

Dall’altro però dà anche indicazioni precise: pur se qualche intervento umano possa esservi, di fatto lo scoring da IA è decisivo. In particolare:  <<Fatta salva la valutazione dei fatti che compete ai giudici nazionali compiere in ciascun caso particolare, le considerazioni svolte supra mi sembrano indicare che il punteggio di scoring calcolato da un’agenzia di valutazione del credito e comunicato a un istituto finanziario tende generalmente a predeterminare la decisione di quest’ultimo quanto alla concessione o al diniego del credito all’interessato, cosicché si deve ritenere che detta presa di posizione rivesta un carattere puramente formale nel quadro del processo (20). Ne consegue che occorre riconoscere al punteggio di scoring stesso la natura di «decisione» ai sensi dell’articolo 22, paragrafo 1, del RGPD.>>, § 47, v. ppoi i  segg.

Però la legge dice “unicamente”, che è diverso da “prevalentemente”.

E’ un pò come l’ <esclusivamente> dell’art. 7.1.e) nel reg. UE 2017/1001 o nell’art. 9 del ns cod. propr. ind. sui marchi di forma , intepretato in modo molto lasco, quasi fosse “prevalentemente”.

Nella seconda parte l’AG contesta che una disposizione della legge privacy tedesca possa fungere da base giuridica ex art. 22.1.b) GDPR.

Difficilmente la Corte si discosterà dalle Conclusioni. Vedremo.

Interessante studio del Parlamento Europeo sui prezzi personalizzati

Il microtargeting, permesso dai software guidanti le grandi piattaforme digitali, permette di fare offerte di beni o servizi personalizzate sul singolo cliente seppur sempre in qualche misure categorizzate (anche se categorie via via più ristrette, al punto che può riuscire difficile individuarne una, apputandosi titalmente sule idiosincresie di un singolo).

Il Parlamento Ue pubblica lo studio European Parliament, Directorate-General for Internal Policies of the Union, Rott, P., Strycharz, J., Alleweldt, F., Personalised pricing, Publications Office of the European Union, 2022, https://data.europa.eu/doi/10.2861/869778   (link diretto qui).

E’ di sicuro interesse, essendo  il tema assai nuovo e potendo scuotere le fondamenta economico-giuridiche dello scambio tra privati, cui eravamo abituati.

Son ravvisati tre livelli di personalizzazione: < Price personalisation can take different forms, namely first-degree personalisation (based on personal characteristics of individual consumers), second-degree price personalisation (based on the quantity of products, e.g. when several bottles are sold in one package) and third-degree personalisation (based on membership in a market segment or consumer group, e.g. student rebate), and can be presented as a different price or a personalised discount. First-degree price personalisation is the most problematic of the three forms. It bases on the consumers’ willingness to pay, that can be inferred from different types of personal data processed on individual or aggregated level. Subsequently, a price matched to the willingness to pay is offered either automatically through algorithmic processing or non-automatically through human intervention >

Non c’è bisogno di ricordare che è il first degree a presentare problemi.

Il dovere di informare sulla personalizzazione (novello art. 6.1.ebis dir. 2011/83; lo studio dice invece <art. 6.1.ea>, ma sul sito Eurlex la versione consolidata della dir. accoglie la prima) varrà ben poco, dato il mare informativo in cui qualòunque dato oggi è annegato.

Ragiona naturalmente anche sull’art. 22 GDPR , inerente alle decisioni individuali automatizzate.

Concluisioni:

<< This leads to the following conclusions. As price personalisation is expected to become more widespread in the near future and has already occasionally proven to occur, there is a need for regulating this phenomenon.
Given the general rejection by consumers of personalised pricing, regardless of potentially being offered lower or higher prices, and the likelihood of overall consumer detriment of such practices, one could consider prohibiting personalised prices in the form of first degree price discrimination that lead
to a higher than the regular price. At least, there are certain areas where personalised pricing should be prohibited, namely, universal service obligations in areas such as electricity, gas and telecommunications where everyone should have access to services of general interest at the same conditions.
Moreover, while anti-discrimination laws limit the way in which personalised pricing can be performed in that they prohibit the inclusion of certain criteria in the personalisation process (e.g. sex, race, colour, ethnic or social origin, etc.) certain ‘sensitive’ criteria are currently not covered. These could be prohibited to be used for the personalisation of prices, including health conditions, and vulnerabilities such as anxieties that should not be exploited.
Otherwise, information obligations regarding personalised pricing could be extended to all goods and services and to offline or hybrid situations, and information provided should be ‘meaningful’, a notion well-known from data protection law. Thus, traders would have to disclose how prices are personalised
and what criteria are used to do so. Moreover, traders should be required to place information on personalised pricing next to the price in such a way that it cannot be overlooked.

Enforcement should be facilitated through the reversal of the burden of proof once there is an indication of price personalisation. Competent authorities could be granted access to the algorithm
that is used.
>>