Decisioni unicamente automatizzate: con la sentenza C-634/21 Schufa Holding del 7 dicembre scorso, la Corte di giustizia si occupa per la prima volta dell’art. 22 GDPR. Lo fa entrando nel cuore della tutela normativa, dissezionando le parole.
C’era in proposito grande attesa (non andata delusa), sia per gli impatti sul settore creditizio e delle profilazioni algoritmiche in senso più ampio sia perché i procedimenti interamente automatizzati sono altresì intrinseci al settore AI. Dunque la posizione espressa dalla Corte impatta anche, e in misura rilevante, in tale ambito.
Concluso il trilogo-maratona di questi giorni e in attesa di conoscere il testo finale dell’AI Act, che non avrà comunque applicazione completa se non decorsi due anni, la disciplina dell’intelligenza artificiale passa infatti ancora molto attraverso il GDPR, e, in parte, attraverso gli altri strumenti normativi, come il DSA (pienamente applicativo dal 17 febbraio 2024), già disponibili nel grande mosaico di tutela composto dall’Unione europea. Ma entriamo nel vivo della vicenda.
Un mutuo negato all’origine della sentenza Schufa
Come migliaia di altre persone, la sig.ra OQ (nome anonimizzato) aveva bisogno di un mutuo e come tanti se lo è visto negare a causa di un punteggio negativo (scoring), predittivo della sua capacità di ripagarlo. Autrice della profilazione una società privata estremamente influente sul mercato tedesco, la Schufa Holdig AG.
Esercitato il diritto di accesso ai sensi dell’art. 15 GDPR nei confronti della società, per comprendere le ragioni della valutazione sfavorevole, l’interessata otteneva un riscontro assai parziale. Non veniva in particolare informata sui punti decisivi, vale a dire quali elementi avessero concorso al risultato e il peso attribuito a ciascuno. Restava dunque insoddisfatto il diritto a conoscere la logica del trattamento.
In definitiva, veniva in considerazione una black box, ben custodita dietro il segreto industriale, nonostante a livello unionale esista una normativa che permette di aprire finestre di conoscenza anche nelle situazioni più opache, il regolamento (UE) 2016/679 (GDPR) appunto.
Tali spazi di conoscenza sono evidentemente essenziali, essendo arduo, in difetto, intervenire per correggere gli esiti dello scoring negativo. Al tempo stesso, è chiaro che il punteggio sfavorevole preclude non solo l’accesso al credito bancario ma anche a tutte quelle possibilità di finanziamento erogate da soggetti che attribuiscono rilevanza decisiva ai punteggi Schufa, costringendo verosimilmente a cercare prestiti su mercati più marginali e a condizioni ben più sfavorevoli. Quanto potere sul futuro delle persone nelle mani di una sola società privata dagli algoritmi imperscrutabili!
Col senno di poi, la scelta di non supportare l’interessata nel suo giusto desiderio di comprendere le ragioni del punteggio attribuitole non si rivelerà lucida, visto che l’approdo della Corte di giustizia mette perfino in dubbio la liceità stessa dell’intero core business aziendale, che potrebbe non poggiare su una valida base giuridica ex art. 22 GDPR, ma ne parleremo più avanti.
La sig.ra OQ si è innanzitutto rivolta all’HBDI, vale a dire l’omologo, per il Land Hessen (è qui che si colloca la vicenda), del Garante italiano per la protezione dei dati personali, vedendosi tuttavia rigettare il reclamo, dopo un’attesa di quasi due anni. Anche questa chiusura dell’amministrazione preposta alla tutela non si rivelerà lungimirante, come vedremo in chiusura.
L’interessata impugnava quindi il provvedimento di rigetto in base all’art. 78 GDPR. Una resilienza premiata: la Corte di giustizia, investita in via pregiudiziale conformemente all’art. 267 TFUE, chiarisce che lo scoring in questione integra una decisione significativa unicamente automatizzata ai sensi dell’art. 22 GDPR, con tutti i connessi effetti giuridici.
I due snodi essenziali della pronuncia
Ad avviso di chi scrive, sono due gli snodi essenziali della pronuncia:
- quello in cui si affronta la nozione di “decisione” unicamente automatizzata, concetto da cui dipende in toto l’applicazione dell’art. 22 GDPR;
- quello in cui si esamina la circostanza, come nella specie e come di frequente del resto, in cui la decisione ultima sia assunta da un terzo (la banca) e non dalla società di scoring (Schufa), ossia l’ipotesi, molto comune, di una dissociazione soggettiva.
Sono proprio questi due snodi a rendere significativa la sentenza in esame.
La definizione di ‘decisione’ nel GDPR secondo la Corte di Giustizia
La Corte, secondo un consolidato formante, non si limita alla ricognizione delle parole ma guarda alla ratio della tutela. È in fondo l’applicazione del più classico dei brocardi giuridici: “Scire leges non est earum verba tenere, sed vim ac potestatem”.
Ebbene – leggiamo nella pronuncia –, al termine “decisione” va riconosciuta “portata ampia”, diversamente offrendosi una facile strada di elusione della tutela. A supporto di tale lettura ampia, va notato che la nozione di “decisione” non si trova irrigidita in una definizione nel Regolamento, soccorre inoltre il considerando 71, che fornisce due direttrici di manifesta apertura concettuale, ossia:
- decisione può essere anche una misura (passaggio non chiaro nella trascurata traduzione italiana del considerando, ma cfr. il testo francese o quello inglese del GDPR);
- decisione può essere anche una valutazione, come avviene per la profilazione, che è appunto una valutazione di aspetti personali, tra cui, in modo espresso, l’affidabilità.
In sostanza, la “decisione” di cui all’articolo 22 non è una decisione in senso stretto, è appunto anche una misura o una valutazione di aspetti personali. L’elemento dirimente che la Corte valorizza è l’incidenza sulla sfera personale degli interessati: è qui che va cercata la ratio profonda della protezione dagli automatismi di data processing.
Quando lo scoring ha valore di “decisione”
Non conta invece – e qui veniamo al secondo passaggio chiave dell’analisi – la circostanza che la scelta finale, per esempio quella se concedere o no un finanziamento, sia presa da un soggetto terzo, ove tale soggetto colleghi valore decisivo al punteggio in esame: costituirebbe elusione del precetto normativo, secondo la Corte, considerare lo scoring soltanto come un momento preparatorio (punto 61 della sentenza), come tale irrilevante. Al contrario, se lo scoring unicamente automatizzato riveste efficacia marcatamente condizionante sui terzi, ha valore di decisione. È un punto della motivazione suscettibile di vasti effetti.
Le conseguenze della sentenza Schufa sul mercato delle profilazioni algoritmiche
Veniamo appunto alle conseguenze, che travalicano la singola vicenda della sig.ra OQ.
Va rivelata la logica del trattamento
La prima: va rivelata la logica del trattamento, ai sensi dell’art. 15.2.h) GDPR. La Corte non affronta in dettaglio il bilanciamento tra esigenze di protezione del segreto industriale e diritto di accesso. È comunque certo che l’interessata non sta domandando di conoscere l’algoritmo, ma di capirlo, che è cosa diversa e non necessariamente in contrasto con la tutela del segreto. Altrettanto certo, come evidenzia la Corte, è che, in caso contrario, risulterebbe inaccessibile all’interessato proprio il trattamento che più di tutti dovrebbe esserlo, quello integralmente condotto dalla macchina.
Tutti i core business che rischiano di saltare
La seconda conseguenza di notevole impatto è che i trattamenti che rientrano nella definizione di cui al primo paragrafo dell’art. 22 GDPR sono vietati, e ciò ha un effetto travolgente sul mercato. L’unica eccezione veramente praticabile per sottrarsi al divieto appare quella di costruire la decisione sul diritto di uno Stato membro o dell’Unione, come permette la lettera b) del secondo paragrafo della disposizione citata. Occorre cioè un atto normativo che ammetta lo scoring, e tuttavia, rimarca la Corte, ciò non basta. La compatibilità al Regolamento della normativa nazionale va infatti attentamente verificata dal giudice, con particolare attenzione agli artt. 5 e 6 GDPR.
Al di là dei tecnicismi giuridici, rischia cioè di saltare il core business non solo di Schufa ma altresì di svariate società che sviluppano trattamenti analoghi.
Quando non basta l’intervento umano per avere ragione
Terza conseguenza è che i dati oggetto di un trattamento automatizzato come quello descritto sono inutilizzabili (per l’Italia, vedasi l’art. 2-decies d.lgs. 196/03), dunque il cliente della società di scoring potrebbe trovarsi impossibilitato a costruivi processi di elaborazione.
Inoltre, e anche questo ha impatto di non poco momento: l’eventuale possibilità per tale cliente, che sia una banca, un’assicurazione o qualsivoglia altro soggetto, di frapporre un eventuale intervento umano potrebbe non bastare, ove il punteggio utilizzato risulti comunque condizionante “in modo decisivo”.
È un passaggio da calare in concreto, con valutazioni caso per caso, è tuttavia chiaro che sarà necessario per moltissimi operatori del mercato procedere a DPIA o rivedere quella in essere, in ogni caso riconsiderare i propri processi interni. Si apre cioè una catena di reazioni e conseguenze.
L’impatto della sentenza Schufa sull’intelligenza artificiale
La nozione ampia di “decisione” significativa interamente automatizzata dischiude ampi scenari applicativi anche in ambito di intelligenza artificiale. Quantomeno, la sentenza in esame trova applicazione rispetto a elaborazioni di tipo predittivo. Non è detto che eventuali, e temporanee, soluzioni costruite sul diritto nazionale, per far leva sulla già citata eccezione prevista dalla lett. b) del secondo paragrafo dell’art. 22 siano necessariamente compatibili con il Regolamento generale sui dati personali, come precisato dalla Corte di giustizia. Su ciò rileva anzi il punto 69 della sentenza Schufa in esame, probabilmente uno dei passaggi più significativi della motivazione. Il punto 69 ha effetto ampiamente bloccante rispetto alla breccia consentita dall’art. 22.2.b), lasciando filtrare solo applicazioni che rispondano a un interesse pubblico o siano obbligatorie. Resta tuttavia ancora spazio per profilazioni “di Stato”, verosimilmente le più insidiose.
E quanto ad applicazioni di AI non predittive? Moltissimo si giocherà proprio sull’ulteriore precisazione del termine “definizione”, che appare possibile alla luce della vicenda Schufa. “Decisione” nel senso dell’art. 22 GDPR sembra infatti essere il punto conclusivo di un processo interamente automatizzato, che, sviluppato da determinate premesse secondo una logica che deve essere accessibile, qualifichi una persona fisica in un determinato modo, tale da produrre impatto significativo sulla sua sfera giuridica, anche eventualmente in maniera indiretta, ossia attraverso un effetto decisamente condizionante rispetto ai terzi.
L’autorità di controllo non ha tutelato l’interessato
Da ultimo, quello che colpisce in questa vicenda è l’inadeguatezza rivelata dall’autorità di controllo competente. L’HBDI, ossia l’Hessischer Beauftragter für Datenschutz und Informationsfreiheit, lungi dall’essere stato un facilitatore di diritti, ha costituito il principale ostacolo all’attuazione del GDPR. Tanto è vero che si è posto come controparte tanto nella causa qui brevemente commentata quanto nella parallela procedura Schufa cause riunite C‑26/22 e C‑64/22, e in entrambi i giudizi è risultato soccombente. Un duplice fallimento. Nel secondo giudizio, l’HBDI si è addirittura visto rammentare dalla CGUE, come era già successo ai colleghi irlandesi nell’arresto Schrems II, che l’autorità di controllo è tenuta a valutare i reclami con tutto lo scrupolo necessario e a ripristinare i diritti violati ogniqualvolta emergano inosservanze a esito di tale disamina puntuale, e che ciò è un dovere, non un’opzione. Non a caso, osserva il Giudice, le autorità in parola sono dotate di ampi poteri. Fa riflettere questa involuzione del ruolo di garanzia dell’ente istituzionalmente preposto, come fa riflettere che gli interessati abbiano dovuto investire non banali risorse economiche e di tempo in una complessa impugnazione giudiziale, peraltro sfavorita dal fatto di muovere proprio contro l’Ente che doveva tutelarli, per vedersi finalmente riconoscere dal Giudice dell’Unione, al termine di un lungo iter, quel rispetto dei diritti fondamentali che avrebbe dovuto essere assicurato loro celermente e in prima istanza.
