Art. 22 Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione

L’assegnazione automatizzata di putneggio di solvibilità (scoring) costituisce decisione basata unicamente sul trattamento automatizzato ex art. 22.1 GDPR

Corte di Giustizia 7 dicembre 2023 , C-634/21 afferma quanto sopra.

Dato il tenore letterale della norma, la conclusione è esatta ma anche scontata.

<<42 Quanto al tenore dell’articolo 22, paragrafo 1, del RGPD, tale disposizione prevede che un interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

43 L’applicabilità di tale disposizione è quindi soggetta a tre condizioni cumulative, vale a dire, in primo luogo, che deve esistere una «decisione», in secondo luogo, che tale decisione deve essere «basata unicamente sul trattamento automatizzato, compresa la profilazione», e, in terzo luogo, che essa deve produrre «effetti giuridici [riguardanti l’interessato]» o incidere «in modo analogo significativamente sulla sua persona».

44 Per quanto riguarda, in primo luogo, la condizione relativa all’esistenza di una decisione, occorre rilevare che la nozione di «decisione», ai sensi dell’articolo 22, paragrafo 1, del RGPD, non è definita da tale regolamento. Tuttavia, dalla formulazione stessa di tale disposizione risulta che tale nozione rinvia non solo ad atti che producono effetti giuridici riguardanti il soggetto di cui trattasi, ma anche ad atti che incidono significativamente su di esso in modo analogo.

45 L’ampia portata rivestita dalla nozione di «decisione» è confermata dal considerando 71 del RGPD, ai sensi del quale una decisione che implica la valutazione di taluni aspetti personali di un interessato, di cui quest’ultimo dovrebbe avere il diritto di non essere oggetto, può «includere una misura» che produce «effetti giuridici che lo riguardano» o incide «in modo analogo significativamente sulla sua persona». Secondo tale considerando, sono coperti dal termine «decisione», a titolo esemplificativo, il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani.

46 Poiché la nozione di «decisione» ai sensi dell’articolo 22, paragrafo 1, del RGPD può quindi includere, come rilevato dall’avvocato generale al paragrafo 38 delle sue conclusioni, diversi atti che possono incidere sulla persona interessata in vari modi, tale nozione è sufficientemente ampia da ricomprendere il risultato del calcolo della solvibilità di una persona sotto forma di tasso di probabilità relativo alla capacità di tale persona di onorare impegni di pagamento in futuro.

47 Per quanto riguarda, in secondo luogo, la condizione secondo cui la decisione, ai sensi di tale articolo 22, paragrafo 1, deve essere «fondata esclusivamente su un trattamento automatizzato, compresa la profilazione», come rilevato dall’avvocato generale al paragrafo 33 delle sue conclusioni, è pacifico che un’attività come quella della SCHUFA risponde alla definizione di «profilazione» di cui all’articolo 4, punto 4, del RGPD e quindi che tale condizione è soddisfatta nel caso di specie, dato che il testo della prima questione pregiudiziale si riferisce peraltro esplicitamente al calcolo automatizzato di un tasso di probabilità basato su dati personali relativi ad una persona e riguardante la capacità di quest’ultima di onorare un prestito in futuro.

48 Per quanto riguarda, in terzo luogo, la condizione secondo cui la decisione deve produrre «effetti giuridici» riguardanti la persona di cui trattasi o incida «in modo analogo significativamente» su di essa, dal tenore stesso della prima questione pregiudiziale risulta che l’azione del terzo al quale è trasmesso il tasso di probabilità è guidata «in modo decisivo» da tale tasso. Pertanto, secondo gli accertamenti di fatto del giudice del rinvio, in caso di domanda di mutuo rivolta da un consumatore a una banca, un tasso di probabilità insufficiente comporta, in quasi tutti i casi, il rifiuto di quest’ultima di concedere il prestito richiesto.

49 In tali circostanze, si deve ritenere che anche la terza condizione alla quale è subordinata l’applicazione dell’articolo 22, paragrafo 1, del RGPD sia soddisfatta, in quanto un tasso di probabilità come quello di cui trattasi nel procedimento principale incide, quanto meno, sull’interessato significativamente.

50 Ne consegue che, in circostanze come quelle di cui al procedimento principale, nelle quali il tasso di probabilità stabilito da una società che fornisce informazioni commerciali e comunicato a una banca svolge un ruolo decisivo nella concessione di un credito, il calcolo di tale tasso deve essere qualificato di per sé come decisione che produce nei confronti di un interessato «effetti giuridici che lo riguardano o che incid[e] in modo analogo significativamente sulla sua persona», ai sensi dell’articolo 22, paragrafo 1, del RGPD>>

La profilazione alla base dello scoring, richiesto da una banca per decidere sulla concessione di credito, ricade nell’art. 22 GDPR?

Risposta positiva da parte dell’avvocato generale (AG) PRIIT PIKAMÄE nelle sue Conclusioni 16 marzo 2023, C-634/21, OQ c. Land Hessen + interv. SCHUFA Holding sa.

fatto:

<< 82 La domanda di cui trattasi si inserisce nell’ambito di una controversia che oppone la ricorrente, OQ, una persona fisica, al Land Hessen (Land Assia, Germania), rappresentato dall’Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Commissario per la protezione dei dati e la libertà d’informazione del Land Assia; in prosieguo: l’«HBDI»), in materia di protezione dei dati personali. La SCHUFA Holding AG (in prosieguo: la «SCHUFA»), un’agenzia di diritto privato, sostiene la posizione dell’HBDI in qualità di interveniente. Nell’ambito della sua attività economica, consistente nel fornire ai clienti informazioni sulla solvibilità di terzi, la SCHUFA ha fornito a un istituto di credito un punteggio di scoring relativo alla ricorrente, sulla cui base il credito da quest’ultima richiesto è stato negato. La ricorrente ha chiesto alla SCHUFA di procedere alla cancellazione della relativa registrazione e di consentirle di accedere ai dati corrispondenti; quest’ultima le ha tuttavia comunicato unicamente il punteggio di scoring pertinente e, in termini generali, i principi su cui si fonda il modello di calcolo di detto punteggio, senza informarla in merito ai dati specifici presi in considerazione e alla rilevanza loro attribuita in tale contesto, sostenendo che il metodo di calcolo sarebbe coperto da segreto industriale e aziendale.

3. Posto che la ricorrente sostiene che il rifiuto opposto dalla SCHUFA alla sua richiesta contrasta con il regime della protezione dei dati, la Corte sarà chiamata a pronunciarsi sulle restrizioni che il RGPD prevede per l’attività economica delle agenzie di informazione nel settore finanziario, in particolare nella gestione dei dati, e sulla rilevanza da attribuire al segreto industriale e aziendale. Parimenti, la Corte dovrà precisare la portata dei poteri normativi che talune disposizioni del RGPD conferiscono al legislatore nazionale in deroga all’obiettivo generale di armonizzazione previsto da detto atto giuridico.

L?unico dubbio reale è l’avverbio “unicamente” presente nell’art. 22.1 (“L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”): qualche itnervento uman infatti ci sarà.

Ebbene, l’AG da un lato rinvia al g. nazionale, § 45.

Dall’altro però dà anche indicazioni precise: pur se qualche intervento umano possa esservi, di fatto lo scoring da IA è decisivo. In particolare: <<Fatta salva la valutazione dei fatti che compete ai giudici nazionali compiere in ciascun caso particolare, le considerazioni svolte supra mi sembrano indicare che il punteggio di scoring calcolato da un’agenzia di valutazione del credito e comunicato a un istituto finanziario tende generalmente a predeterminare la decisione di quest’ultimo quanto alla concessione o al diniego del credito all’interessato, cosicché si deve ritenere che detta presa di posizione rivesta un carattere puramente formale nel quadro del processo (20). Ne consegue che occorre riconoscere al punteggio di scoring stesso la natura di «decisione» ai sensi dell’articolo 22, paragrafo 1, del RGPD.>>, § 47, v. ppoi i segg.

Però la legge dice “unicamente”, che è diverso da “prevalentemente”.

E’ un pò come l’ <esclusivamente> dell’art. 7.1.e) nel reg. UE 2017/1001 o nell’art. 9 del ns cod. propr. ind. sui marchi di forma , intepretato in modo molto lasco, quasi fosse “prevalentemente”.

Nella seconda parte l’AG contesta che una disposizione della legge privacy tedesca possa fungere da base giuridica ex art. 22.1.b) GDPR.

Difficilmente la Corte si discosterà dalle Conclusioni. Vedremo.

Interessante studio del Parlamento Europeo sui prezzi personalizzati

Il microtargeting, permesso dai software guidanti le grandi piattaforme digitali, permette di fare offerte di beni o servizi personalizzate sul singolo cliente seppur sempre in qualche misure categorizzate (anche se categorie via via più ristrette, al punto che può riuscire difficile individuarne una, apputandosi titalmente sule idiosincresie di un singolo).

Il Parlamento Ue pubblica lo studio European Parliament, Directorate-General for Internal Policies of the Union, Rott, P., Strycharz, J., Alleweldt, F., Personalised pricing, Publications Office of the European Union, 2022, https://data.europa.eu/doi/10.2861/869778 (link diretto qui).

E’ di sicuro interesse, essendo il tema assai nuovo e potendo scuotere le fondamenta economico-giuridiche dello scambio tra privati, cui eravamo abituati.

Son ravvisati tre livelli di personalizzazione: < Price personalisation can take different forms, namely first-degree personalisation (based on personal characteristics of individual consumers), second-degree price personalisation (based on the quantity of products, e.g. when several bottles are sold in one package) and third-degree personalisation (based on membership in a market segment or consumer group, e.g. student rebate), and can be presented as a different price or a personalised discount. First-degree price personalisation is the most problematic of the three forms. It bases on the consumers’ willingness to pay, that can be inferred from different types of personal data processed on individual or aggregated level. Subsequently, a price matched to the willingness to pay is offered either automatically through algorithmic processing or non-automatically through human intervention >

Non c’è bisogno di ricordare che è il first degree a presentare problemi.

Il dovere di informare sulla personalizzazione (novello art. 6.1.ebis dir. 2011/83; lo studio dice invece <art. 6.1.ea>, ma sul sito Eurlex la versione consolidata della dir. accoglie la prima) varrà ben poco, dato il mare informativo in cui qualòunque dato oggi è annegato.

Ragiona naturalmente anche sull’art. 22 GDPR , inerente alle decisioni individuali automatizzate.

Concluisioni:

<< This leads to the following conclusions. As price personalisation is expected to become more widespread in the near future and has already occasionally proven to occur, there is a need for regulating this phenomenon.
Given the general rejection by consumers of personalised pricing, regardless of potentially being offered lower or higher prices, and the likelihood of overall consumer detriment of such practices, one could consider prohibiting personalised prices in the form of first degree price discrimination that lead
to a higher than the regular price. At least, there are certain areas where personalised pricing should be prohibited, namely, universal service obligations in areas such as electricity, gas and telecommunications where everyone should have access to services of general interest at the same conditions.
Moreover, while anti-discrimination laws limit the way in which personalised pricing can be performed in that they prohibit the inclusion of certain criteria in the personalisation process (e.g. sex, race, colour, ethnic or social origin, etc.) certain ‘sensitive’ criteria are currently not covered. These could be prohibited to be used for the personalisation of prices, including health conditions, and vulnerabilities such as anxieties that should not be exploited.
Otherwise, information obligations regarding personalised pricing could be extended to all goods and services and to offline or hybrid situations, and information provided should be ‘meaningful’, a notion well-known from data protection law. Thus, traders would have to disclose how prices are personalised
and what criteria are used to do so. Moreover, traders should be required to place information on personalised pricing next to the price in such a way that it cannot be overlooked.

Enforcement should be facilitated through the reversal of the burden of proof once there is an indication of price personalisation. Competent authorities could be granted access to the algorithm
that is used. >>