servizi di scoring

Profilazione e verifiche del merito creditizio: un difficile equilibrio



Indirizzo copiato

Le verifiche del merito creditizio, per salvaguardare il buon funzionamento del sistema del credito e i limiti alle decisioni automatizzate, a protezione dei consumatori: la recente posizione della Corte di Giustizia dell’Unione Europea fornisce nuovi spunti di riflessione. Il settore è regolamentato ma vi sono aspetti poco chiari, in un continuo riparto di competenze tra Autorità

Pubblicato il 5 feb 2024

Fabia Cairoli

Data and Privacy, Legal Counsel



cashback Bonus 300 euro

Le aziende che forniscono servizi di scoring – ovverosia di valutazione di un punteggio rispetto alla propensione di un individuo a soddisfare certi comportamenti, come ad esempio il rimborso di un prestito – sono da tempo una realtà.

La verifica dell’affidabilità creditizia

La verifica dell’affidabilità creditizia soddisfa l’esigenza di proteggere gli interessi degli stessi richiedenti, così che non siano esposti a operazioni rischiose, ma anche il mantenimento di un mercato virtuoso.

Non solo: ricorre anche l’importante intento di proteggere gli individui da forme di profilazione incontrollate, che potrebbero esporli a processi decisionali poco trasparenti. Per tale ragione, il legislatore ha ritenuto di introdurre un quadro normativo stringente nei casi in cui siano effettuate operazioni di profilazione e, a maggior ragione, nei casi di decisioni interamente automatizzate, proprio per rispondere al rischio che gli individui siano esposti a conseguenze imprevedibili ed ingiuste.

In linea di principio, i meccanismi di scoring si basano sulla valutazione di alcune caratteristiche dell’individuo, al fine di ricondurlo a certi cluster e, sulla base di questi, applicare procedure matematiche e statistiche per ipotizzarne il comportamento.

La profilazione nel GDPR

Tali meccanismi di valutazione comportano la realizzazione di una “profilazione”, talvolta di una “decisione interamente automatizzata”. Si tratta di concetti che sono disciplinati in modo specifico dal Regolamento (UE) 2016/679 (“GDPR”), e possono distinguersi in:

  • profilazione, da intendersi come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”,
  • decisione automatizzata, da considerare come “una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che riguardano o che incida in modo analogo significativamente [sull’interessato]”, regolata dall’art. 22 GDPR,
  • processo decisionale basato sulla profilazione, da intendersi come un processo automatizzato che però implica (anche) un coinvolgimento umano.

Tuttavia, non è sempre facile qualificare un trattamento. In linea di principio, la “profilazione” comprende trattamenti che includono una forma automatizzata di valutazione di dati personali con l’obiettivo di considerare aspetti personali, in particolare in merito alla propria capacità di eseguire un compito, interesse o comportamento probabile. La presenza o meno di un elemento predittivo, invece, non sembra più dirimente, almeno dall’entrata in vigore del GDPR.

Profilazione, decisione interamente automatizzata e filiera del trattamento

La CJEU (Court of Justice of the EU) si è di recente espressa con alcune sentenze, denominate “Schufa” (dal nome della società che ne è stata destinataria, C-634/21, C-26/22 e C-64/22), che offrono alcuni spunti di ragionamento interessanti. Tra questi, i criteri per qualificare un procedimento ex art. 22 GDPR.

In particolare, viene rimarcata l’esigenza che ricorrano tre requisiti, vale a dire, “in primo luogo, che deve esistere una «decisione», in secondo luogo, che tale decisione deve essere «basata unicamente sul trattamento automatizzato, compresa la profilazione», e, in terzo luogo, che essa deve produrre «effetti giuridici [riguardanti l’interessato]» o incidere «in modo analogo significativamente sulla sua persona»”. Tra questi elementi, viene in particolare evidenziato che sia proprio del concetto di “decisione” il “risultato del calcolo della solvibilità di una persona sotto forma di tasso di probabilità relativo alla capacità di tale persona di onorare impegni di pagamento in futuro”. Questo in quanto è proprio quel tasso di probabilità che viene impiegato da terzi per decidere in merito alla stipula, l’esecuzione o la cessazione di un rapporto contrattuale con l’individuo; si tratta quindi di un elemento centrale e determinante per decidere in merito alla richiesta dell’individuo. Lo sottolinea peraltro il Considerando 71 del GDPR, che ricorda proprio come “The data subject should have the right not to be subject to a decision, which may include a measure, evaluating personal aspects relating to him or her which is based solely on automated processing and which produces legal effects concerning him or her or similarly significantly affects him or her, such as automatic refusal of an online credit application”.

La ricorrenza degli elementi di cui all’art. 22 GDPR, peraltro, non viene meno per la circostanza che tale operazione sia effettuata da parte di un soggetto “terzo” rispetto al riconoscimento finale del credito. Questo poiché, laddove si negasse la qualificazione di un siffatto trattamento come decisione automatizzata, gli individui vedrebbero di fatto limitata la propria capacità di proteggersi da forme di profilazione avanzata, in quanto non potrebbero vantare i propri diritti di accesso, rettifica, cancellazione. La conclusione della CJEU riprende la posizione del Working Party ex Article 29 (“WP29”) che, nelle proprie Linee guida su profilazione e decisione automatizzate (pubblicate nel 2018), evidenziava che ricorresse profilazione nell’operazione svolta da un intermediario che profila per conto di propri clienti finali, dunque a prescindere da un proprio impiego diretto degli stessi.

La decisione automatizzata basata su una previsione normativa

Oltre a indicare i criteri di qualificazione del trattamento, la CJEU si sofferma sulla base giuridica applicabile. Come noto, la profilazione potrebbe essere realizzata a fronte della ricorrenza di qualsivoglia base giuridica ex art. 6 GDPR. Tuttavia, nel caso di decisioni interamente automatizzate, è necessario attingere alle sole basi giuridiche previste dall’art. 22 GDPR: consenso esplicito dell’individuo interessato, un fine contrattuale oppure la ricorrenza di una previsione normativa. È proprio in relazione a questa ultima casistica che la CJEU offre un’interpretazione molto interessante. La CJEU si domanda essenzialmente se, nonostante il diritto applicabile localmente nel caso di specie preveda la possibilità di “far uso” di un tasso di probabilità di solvibilità, la medesima normativa comprenda anche la fase di elaborazione del tasso stesso. La conclusione della Corte è importante ben al di là del caso di specie: se una normativa locale autorizza, “conformemente all’articolo 22, paragrafo 2, lettera b), del RGPD, l’adozione di una decisione fondata esclusivamente su un trattamento automatizzato, tale trattamento deve rispettare non solo le condizioni stabilite da quest’ultima disposizione e dall’articolo 22, paragrafo 4, di tale regolamento, ma anche i requisiti stabiliti agli articoli 5 e 6 di detto regolamento. Pertanto, gli Stati membri non possono adottare, ai sensi dell’articolo 22, paragrafo 2, lettera b), del RGPD, normative che autorizzino la profilazione in violazione dei requisiti stabiliti da tali articoli 5 e 6, come interpretati dalla giurisprudenza della Corte”. Spetterà proprio al giudice competente valutare, di volta in volta, che sussistano tutti i presupposti per ritenere che una normativa costituisca una valida base giuridica secondo l’art. 22 GDPR, dovendosi verificare anche la sussistenza degli altri requisiti di cui al GDPR.

Una simile interpretazione, tuttavia, espone gli operatori all’incertezza di non poter fare affidamento rispetto alle previsioni di legge, che potrebbero essere interpretate come insufficientemente delineate dal legislatore locale.

Sistemi automatizzati e valutazione del merito creditizio: prossimi sviluppi

I criteri di determinazione di un processo di profilazione e/o sistema automatizzato nell’ambito della concessione del credito sono peraltro oggetto di alcune disposizioni normative specifiche. Da un lato, infatti, è dello scorso autunno la pubblicazione della Direttiva sul credito al consumo (2023/2225/UE, anche detta CCD II), che abroga la Direttiva 2008/48/CE (anche detta Consumer Credit Directive, CCD).

Implicazioni della Direttiva sul credito al consumo

Tra le previsioni introdotte dalla CCD II, v’è proprio una presa di posizione molto rigida del legislatore nel senso di imporre ai finanziatori l’obbligo di valutare il merito creditizio dei consumatori, per evitare di esporlo a pratiche rischiose e anche per tutelare il mercato del credito nel suo insieme.

Alcuni aspetti di interesse toccano proprio le procedure di profilazione e/o decisione automatizzate, in quanto si coglie l’intento di regolamentare tali operazioni, tra cui imponendo che:

  • siano impiegate informazioni desunte dal consumatore e anche da fonti terzi ma evitando i social network,
  • si eviti l’uso di dati sensibili,
  • ci si avvalga di dati proporzionati e minimizzati,
  • si assicuri il diritto all’intervento umano, se richiesto dal consumatore, nei casi di decisioni interamente automatizzate, come pure lasciare il diritto di esprimere la propria opinione,
  • si consenta al consumatore di conoscere il funzionamento degli algoritmi e le banche dati di provenienza delle informazioni laddove sia rifiutata la richiesta di accesso al credito,
  • si consenta al consumatore di conoscere i motivi per l’eventuale rifiuto al credito,
  • nel caso in cui ci si avvalga di informazioni provenienti da banche dati esterne, queste non costituiscano l’unico parametro per concedere o meno il credito.

Non solo. La CCD II prende una posizione molto chiara anche con riferimento alle pratiche di personalizzazione delle offerte per determinati consumatori sulla base di processi decisionali automatizzati: i consumatori dovrebbero essere informati del fatto che il prezzo è personalizzato sulla base di un trattamento automatizzato e le fonti delle informazioni che sono state impiegate. Ciò posto, è interessante ricordare che si tratta pur sempre di pratiche di profilazione e/o decisioni automatizzate: infatti, lo stesso European Data Protection Supervisor, in una datata Opinion 11/2021, aveva sottolineato che il calcolo del prezzo per promuovere le offerte richiede che vi sia l’individuazione di una apposita base giuridica e che questa non dovrebbe essere ritrovata nella Direttiva CCD II stessa. Un ulteriore esempio dell’importanza di individuare basi giuridiche puntuali per trattamenti tanto invasivi come la profilazione e le decisioni ex art. 22 GDPR. Peraltro, sebbene non sia questa la sede né il momento per soffermarsi sul contenuto dell’AI Act, di cui sapremo maggiormente tra qualche tempo, è il caso di menzionare il collegamento che la stessa Direttiva CCD II evidenzia, quando indica che l’AI Act debba classificare i sistemi di IA utilizzati per valutare il merito creditizio come sistemi ad alto rischio, in quanto “determinano l’accesso di tali persone alle risorse finanziarie o a servizi essenziali”.

Conclusioni

Se da un lato è fondamentale che sussistano meccanismi di controllo con riferimento al merito creditizio, a tutela di un mercato virtuoso, al contempo è sempre più importante che sussistano meccanismi di controllo delle modalità di profilazione adoperate a tal fine.

L’accesso a determinati servizi, tra cui evidentemente quelli connessi al credito, rappresenta un presupposto fondamentale per poter esprimere innumerevoli interessi da parte dell’individuo e le ripercussioni derivanti da un suo diniego possono risultare molto gravi (dall’impossibilità di acquistare beni a conseguenze negative sulla propria immagine).

Il quadro normativo si fa sempre più complesso, con interventi da parte del legislatore mediante diverse normative: dalla normativa sulla privacy e in ambito AI, alle disposizioni inerenti il settore del credito. Gli operatori sono dunque chiamati ad uno sforzo di interpretazione che colleghi tali disposizioni tra loro; non si tratta, dunque, di assicurare la compliance privacy ma, in un’ottica molto più ampia, il mantenimento di una governance dei rischi.

*Il contributo riflette opinioni personali dell’autrice.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati