Le aziende che forniscono servizi di scoring – ovverosia di valutazione di un punteggio rispetto alla propensione di un individuo a soddisfare certi comportamenti, come ad esempio il rimborso di un prestito – sono da tempo una realtà.
La verifica dell’affidabilità creditizia
La verifica dell’affidabilità creditizia soddisfa l’esigenza di proteggere gli interessi degli stessi richiedenti, così che non siano esposti a operazioni rischiose, ma anche il mantenimento di un mercato virtuoso.
Non solo: ricorre anche l’importante intento di proteggere gli individui da forme di profilazione incontrollate, che potrebbero esporli a processi decisionali poco trasparenti. Per tale ragione, il legislatore ha ritenuto di introdurre un quadro normativo stringente nei casi in cui siano effettuate operazioni di profilazione e, a maggior ragione, nei casi di decisioni interamente automatizzate, proprio per rispondere al rischio che gli individui siano esposti a conseguenze imprevedibili ed ingiuste.
In linea di principio, i meccanismi di scoring si basano sulla valutazione di alcune caratteristiche dell’individuo, al fine di ricondurlo a certi cluster e, sulla base di questi, applicare procedure matematiche e statistiche per ipotizzarne il comportamento.
La profilazione nel GDPR
Tali meccanismi di valutazione comportano la realizzazione di una “profilazione”, talvolta di una “decisione interamente automatizzata”. Si tratta di concetti che sono disciplinati in modo specifico dal Regolamento (UE) 2016/679 (“GDPR”), e possono distinguersi in:
- profilazione, da intendersi come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”,
- decisione automatizzata, da considerare come “una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che riguardano o che incida in modo analogo significativamente [sull’interessato]”, regolata dall’art. 22 GDPR,
- processo decisionale basato sulla profilazione, da intendersi come un processo automatizzato che però implica (anche) un coinvolgimento umano.
Tuttavia, non è sempre facile qualificare un trattamento. In linea di principio, la “profilazione” comprende trattamenti che includono una forma automatizzata di valutazione di dati personali con l’obiettivo di considerare aspetti personali, in particolare in merito alla propria capacità di eseguire un compito, interesse o comportamento probabile. La presenza o meno di un elemento predittivo, invece, non sembra più dirimente, almeno dall’entrata in vigore del GDPR.
Profilazione, decisione interamente automatizzata e filiera del trattamento
La CJEU (Court of Justice of the EU) si è di recente espressa con alcune sentenze, denominate “Schufa” (dal nome della società che ne è stata destinataria, C-634/21, C-26/22 e C-64/22), che offrono alcuni spunti di ragionamento interessanti. Tra questi, i criteri per qualificare un procedimento ex art. 22 GDPR.
In particolare, viene rimarcata l’esigenza che ricorrano tre requisiti, vale a dire, “in primo luogo, che deve esistere una «decisione», in secondo luogo, che tale decisione deve essere «basata unicamente sul trattamento automatizzato, compresa la profilazione», e, in terzo luogo, che essa deve produrre «effetti giuridici [riguardanti l’interessato]» o incidere «in modo analogo significativamente sulla sua persona»”. Tra questi elementi, viene in particolare evidenziato che sia proprio del concetto di “decisione” il “risultato del calcolo della solvibilità di una persona sotto forma di tasso di probabilità relativo alla capacità di tale persona di onorare impegni di pagamento in futuro”. Questo in quanto è proprio quel tasso di probabilità che viene impiegato da terzi per decidere in merito alla stipula, l’esecuzione o la cessazione di un rapporto contrattuale con l’individuo; si tratta quindi di un elemento centrale e determinante per decidere in merito alla richiesta dell’individuo. Lo sottolinea peraltro il Considerando 71 del GDPR, che ricorda proprio come “The data subject should have the right not to be subject to a decision, which may include a measure, evaluating personal aspects relating to him or her which is based solely on automated processing and which produces legal effects concerning him or her or similarly significantly affects him or her, such as automatic refusal of an online credit application”.
La ricorrenza degli elementi di cui all’art. 22 GDPR, peraltro, non viene meno per la circostanza che tale operazione sia effettuata da parte di un soggetto “terzo” rispetto al riconoscimento finale del credito. Questo poiché, laddove si negasse la qualificazione di un siffatto trattamento come decisione automatizzata, gli individui vedrebbero di fatto limitata la propria capacità di proteggersi da forme di profilazione avanzata, in quanto non potrebbero vantare i propri diritti di accesso, rettifica, cancellazione. La conclusione della CJEU riprende la posizione del Working Party ex Article 29 (“WP29”) che, nelle proprie Linee guida su profilazione e decisione automatizzate (pubblicate nel 2018), evidenziava che ricorresse profilazione nell’operazione svolta da un intermediario che profila per conto di propri clienti finali, dunque a prescindere da un proprio impiego diretto degli stessi.
La decisione automatizzata basata su una previsione normativa
Oltre a indicare i criteri di qualificazione del trattamento, la CJEU si sofferma sulla base giuridica applicabile. Come noto, la profilazione potrebbe essere realizzata a fronte della ricorrenza di qualsivoglia base giuridica ex art. 6 GDPR. Tuttavia, nel caso di decisioni interamente automatizzate, è necessario attingere alle sole basi giuridiche previste dall’art. 22 GDPR: consenso esplicito dell’individuo interessato, un fine contrattuale oppure la ricorrenza di una previsione normativa. È proprio in relazione a questa ultima casistica che la CJEU offre un’interpretazione molto interessante. La CJEU si domanda essenzialmente se, nonostante il diritto applicabile localmente nel caso di specie preveda la possibilità di “far uso” di un tasso di probabilità di solvibilità, la medesima normativa comprenda anche la fase di elaborazione del tasso stesso. La conclusione della Corte è importante ben al di là del caso di specie: se una normativa locale autorizza, “conformemente all’articolo 22, paragrafo 2, lettera b), del RGPD, l’adozione di una decisione fondata esclusivamente su un trattamento automatizzato, tale trattamento deve rispettare non solo le condizioni stabilite da quest’ultima disposizione e dall’articolo 22, paragrafo 4, di tale regolamento, ma anche i requisiti stabiliti agli articoli 5 e 6 di detto regolamento. Pertanto, gli Stati membri non possono adottare, ai sensi dell’articolo 22, paragrafo 2, lettera b), del RGPD, normative che autorizzino la profilazione in violazione dei requisiti stabiliti da tali articoli 5 e 6, come interpretati dalla giurisprudenza della Corte”. Spetterà proprio al giudice competente valutare, di volta in volta, che sussistano tutti i presupposti per ritenere che una normativa costituisca una valida base giuridica secondo l’art. 22 GDPR, dovendosi verificare anche la sussistenza degli altri requisiti di cui al GDPR.
Una simile interpretazione, tuttavia, espone gli operatori all’incertezza di non poter fare affidamento rispetto alle previsioni di legge, che potrebbero essere interpretate come insufficientemente delineate dal legislatore locale.
Sistemi automatizzati e valutazione del merito creditizio: prossimi sviluppi
I criteri di determinazione di un processo di profilazione e/o sistema automatizzato nell’ambito della concessione del credito sono peraltro oggetto di alcune disposizioni normative specifiche. Da un lato, infatti, è dello scorso autunno la pubblicazione della Direttiva sul credito al consumo (2023/2225/UE, anche detta CCD II), che abroga la Direttiva 2008/48/CE (anche detta Consumer Credit Directive, CCD).
Implicazioni della Direttiva sul credito al consumo
Tra le previsioni introdotte dalla CCD II, v’è proprio una presa di posizione molto rigida del legislatore nel senso di imporre ai finanziatori l’obbligo di valutare il merito creditizio dei consumatori, per evitare di esporlo a pratiche rischiose e anche per tutelare il mercato del credito nel suo insieme.
Alcuni aspetti di interesse toccano proprio le procedure di profilazione e/o decisione automatizzate, in quanto si coglie l’intento di regolamentare tali operazioni, tra cui imponendo che:
- siano impiegate informazioni desunte dal consumatore e anche da fonti terzi ma evitando i social network,
- si eviti l’uso di dati sensibili,
- ci si avvalga di dati proporzionati e minimizzati,
- si assicuri il diritto all’intervento umano, se richiesto dal consumatore, nei casi di decisioni interamente automatizzate, come pure lasciare il diritto di esprimere la propria opinione,
- si consenta al consumatore di conoscere il funzionamento degli algoritmi e le banche dati di provenienza delle informazioni laddove sia rifiutata la richiesta di accesso al credito,
- si consenta al consumatore di conoscere i motivi per l’eventuale rifiuto al credito,
- nel caso in cui ci si avvalga di informazioni provenienti da banche dati esterne, queste non costituiscano l’unico parametro per concedere o meno il credito.
Non solo. La CCD II prende una posizione molto chiara anche con riferimento alle pratiche di personalizzazione delle offerte per determinati consumatori sulla base di processi decisionali automatizzati: i consumatori dovrebbero essere informati del fatto che il prezzo è personalizzato sulla base di un trattamento automatizzato e le fonti delle informazioni che sono state impiegate. Ciò posto, è interessante ricordare che si tratta pur sempre di pratiche di profilazione e/o decisioni automatizzate: infatti, lo stesso European Data Protection Supervisor, in una datata Opinion 11/2021, aveva sottolineato che il calcolo del prezzo per promuovere le offerte richiede che vi sia l’individuazione di una apposita base giuridica e che questa non dovrebbe essere ritrovata nella Direttiva CCD II stessa. Un ulteriore esempio dell’importanza di individuare basi giuridiche puntuali per trattamenti tanto invasivi come la profilazione e le decisioni ex art. 22 GDPR. Peraltro, sebbene non sia questa la sede né il momento per soffermarsi sul contenuto dell’AI Act, di cui sapremo maggiormente tra qualche tempo, è il caso di menzionare il collegamento che la stessa Direttiva CCD II evidenzia, quando indica che l’AI Act debba classificare i sistemi di IA utilizzati per valutare il merito creditizio come sistemi ad alto rischio, in quanto “determinano l’accesso di tali persone alle risorse finanziarie o a servizi essenziali”.
Conclusioni
Se da un lato è fondamentale che sussistano meccanismi di controllo con riferimento al merito creditizio, a tutela di un mercato virtuoso, al contempo è sempre più importante che sussistano meccanismi di controllo delle modalità di profilazione adoperate a tal fine.
L’accesso a determinati servizi, tra cui evidentemente quelli connessi al credito, rappresenta un presupposto fondamentale per poter esprimere innumerevoli interessi da parte dell’individuo e le ripercussioni derivanti da un suo diniego possono risultare molto gravi (dall’impossibilità di acquistare beni a conseguenze negative sulla propria immagine).
Il quadro normativo si fa sempre più complesso, con interventi da parte del legislatore mediante diverse normative: dalla normativa sulla privacy e in ambito AI, alle disposizioni inerenti il settore del credito. Gli operatori sono dunque chiamati ad uno sforzo di interpretazione che colleghi tali disposizioni tra loro; non si tratta, dunque, di assicurare la compliance privacy ma, in un’ottica molto più ampia, il mantenimento di una governance dei rischi.
*Il contributo riflette opinioni personali dell’autrice.