scoring automatizzato

IA, storica sentenza UE su mutui: nuovi obblighi per le aziende



Indirizzo copiato

La sentenza della Corte di Giustizia Ue sul caso Schufa potrebbe ridefinire le regole del gioco nel panorama del GDPR, influenzando il concetto di ‘decisione’ e ponendo nuove questioni sull’uso delle profilazioni algoritmiche. Questo potrebbe avere effetti significativi sia per le aziende che utilizzano l’IA sia per le autorità di controllo

Pubblicato il 13 dic 2023

Enrico Pelino

Avvocato e PhD in diritto dell’informatica e informatica giuridica



IA e giustizia

Decisioni unicamente automatizzate: con la sentenza C-634/21 Schufa Holding del 7 dicembre scorso, la Corte di giustizia si occupa per la prima volta dell’art. 22 GDPR. Lo fa entrando nel cuore della tutela normativa, dissezionando le parole.

C’era in proposito grande attesa (non andata delusa), sia per gli impatti sul settore creditizio e delle profilazioni algoritmiche in senso più ampio sia perché i procedimenti interamente automatizzati sono altresì intrinseci al settore AI. Dunque la posizione espressa dalla Corte impatta anche, e in misura rilevante, in tale ambito.

Concluso il trilogo-maratona di questi giorni e in attesa di conoscere il testo finale dell’AI Act, che non avrà comunque applicazione completa se non decorsi due anni, la disciplina dell’intelligenza artificiale passa infatti ancora molto attraverso il GDPR, e, in parte, attraverso gli altri strumenti normativi, come il DSA (pienamente applicativo dal 17 febbraio 2024), già disponibili nel grande mosaico di tutela composto dall’Unione europea. Ma entriamo nel vivo della vicenda.

Un mutuo negato all’origine della sentenza Schufa

Come migliaia di altre persone, la sig.ra OQ (nome anonimizzato) aveva bisogno di un mutuo e come tanti se lo è visto negare a causa di un punteggio negativo (scoring), predittivo della sua capacità di ripagarlo. Autrice della profilazione una società privata estremamente influente sul mercato tedesco, la Schufa Holdig AG.

Esercitato il diritto di accesso ai sensi dell’art. 15 GDPR nei confronti della società, per comprendere le ragioni della valutazione sfavorevole, l’interessata otteneva un riscontro assai parziale. Non veniva in particolare informata sui punti decisivi, vale a dire quali elementi avessero concorso al risultato e il peso attribuito a ciascuno. Restava dunque insoddisfatto il diritto a conoscere la logica del trattamento.

In definitiva, veniva in considerazione una black box, ben custodita dietro il segreto industriale, nonostante a livello unionale esista una normativa che permette di aprire finestre di conoscenza anche nelle situazioni più opache, il regolamento (UE) 2016/679 (GDPR) appunto.

Tali spazi di conoscenza sono evidentemente essenziali, essendo arduo, in difetto, intervenire per correggere gli esiti dello scoring negativo. Al tempo stesso, è chiaro che il punteggio sfavorevole preclude non solo l’accesso al credito bancario ma anche a tutte quelle possibilità di finanziamento erogate da soggetti che attribuiscono rilevanza decisiva ai punteggi Schufa, costringendo verosimilmente a cercare prestiti su mercati più marginali e a condizioni ben più sfavorevoli. Quanto potere sul futuro delle persone nelle mani di una sola società privata dagli algoritmi imperscrutabili!

Col senno di poi, la scelta di non supportare l’interessata nel suo giusto desiderio di comprendere le ragioni del punteggio attribuitole non si rivelerà lucida, visto che l’approdo della Corte di giustizia mette perfino in dubbio la liceità stessa dell’intero core business aziendale, che potrebbe non poggiare su una valida base giuridica ex art. 22 GDPR, ma ne parleremo più avanti.

La sig.ra OQ si è innanzitutto rivolta all’HBDI, vale a dire l’omologo, per il Land Hessen (è qui che si colloca la vicenda), del Garante italiano per la protezione dei dati personali, vedendosi tuttavia rigettare il reclamo, dopo un’attesa di quasi due anni. Anche questa chiusura dell’amministrazione preposta alla tutela non si rivelerà lungimirante, come vedremo in chiusura.

L’interessata impugnava quindi il provvedimento di rigetto in base all’art. 78 GDPR. Una resilienza premiata: la Corte di giustizia, investita in via pregiudiziale conformemente all’art. 267 TFUE, chiarisce che lo scoring in questione integra una decisione significativa unicamente automatizzata ai sensi dell’art. 22 GDPR, con tutti i connessi effetti giuridici.

I due snodi essenziali della pronuncia

Ad avviso di chi scrive, sono due gli snodi essenziali della pronuncia:

  • quello in cui si affronta la nozione di “decisione” unicamente automatizzata, concetto da cui dipende in toto l’applicazione dell’art. 22 GDPR;
  • quello in cui si esamina la circostanza, come nella specie e come di frequente del resto, in cui la decisione ultima sia assunta da un terzo (la banca) e non dalla società di scoring (Schufa), ossia l’ipotesi, molto comune, di una dissociazione soggettiva.

Sono proprio questi due snodi a rendere significativa la sentenza in esame.

La definizione di ‘decisione’ nel GDPR secondo la Corte di Giustizia

La Corte, secondo un consolidato formante, non si limita alla ricognizione delle parole ma guarda alla ratio della tutela. È in fondo l’applicazione del più classico dei brocardi giuridici: “Scire leges non est earum verba tenere, sed vim ac potestatem”.

Ebbene – leggiamo nella pronuncia –, al termine “decisione” va riconosciuta “portata ampia”, diversamente offrendosi una facile strada di elusione della tutela. A supporto di tale lettura ampia, va notato che la nozione di “decisione” non si trova irrigidita in una definizione nel Regolamento, soccorre inoltre il considerando 71, che fornisce due direttrici di manifesta apertura concettuale, ossia:

  • decisione può essere anche una misura (passaggio non chiaro nella trascurata traduzione italiana del considerando, ma cfr. il testo francese o quello inglese del GDPR);
  • decisione può essere anche una valutazione, come avviene per la profilazione, che è appunto una valutazione di aspetti personali, tra cui, in modo espresso, l’affidabilità.

In sostanza, la “decisione” di cui all’articolo 22 non è una decisione in senso stretto, è appunto anche una misura o una valutazione di aspetti personali. L’elemento dirimente che la Corte valorizza è l’incidenza sulla sfera personale degli interessati: è qui che va cercata la ratio profonda della protezione dagli automatismi di data processing.

Quando lo scoring ha valore di “decisione”

Non conta invece – e qui veniamo al secondo passaggio chiave dell’analisi – la circostanza che la scelta finale, per esempio quella se concedere o no un finanziamento, sia presa da un soggetto terzo, ove tale soggetto colleghi valore decisivo al punteggio in esame: costituirebbe elusione del precetto normativo, secondo la Corte, considerare lo scoring soltanto come un momento preparatorio (punto 61 della sentenza), come tale irrilevante. Al contrario, se lo scoring unicamente automatizzato riveste efficacia marcatamente condizionante sui terzi, ha valore di decisione. È un punto della motivazione suscettibile di vasti effetti.

Le conseguenze della sentenza Schufa sul mercato delle profilazioni algoritmiche

Veniamo appunto alle conseguenze, che travalicano la singola vicenda della sig.ra OQ.

Va rivelata la logica del trattamento

La prima: va rivelata la logica del trattamento, ai sensi dell’art. 15.2.h) GDPR. La Corte non affronta in dettaglio il bilanciamento tra esigenze di protezione del segreto industriale e diritto di accesso. È comunque certo che l’interessata non sta domandando di conoscere l’algoritmo, ma di capirlo, che è cosa diversa e non necessariamente in contrasto con la tutela del segreto. Altrettanto certo, come evidenzia la Corte, è che, in caso contrario, risulterebbe inaccessibile all’interessato proprio il trattamento che più di tutti dovrebbe esserlo, quello integralmente condotto dalla macchina.

Tutti i core business che rischiano di saltare

La seconda conseguenza di notevole impatto è che i trattamenti che rientrano nella definizione di cui al primo paragrafo dell’art. 22 GDPR sono vietati, e ciò ha un effetto travolgente sul mercato. L’unica eccezione veramente praticabile per sottrarsi al divieto appare quella di costruire la decisione sul diritto di uno Stato membro o dell’Unione, come permette la lettera b) del secondo paragrafo della disposizione citata. Occorre cioè un atto normativo che ammetta lo scoring, e tuttavia, rimarca la Corte, ciò non basta. La compatibilità al Regolamento della normativa nazionale va infatti attentamente verificata dal giudice, con particolare attenzione agli artt. 5 e 6 GDPR.

Al di là dei tecnicismi giuridici, rischia cioè di saltare il core business non solo di Schufa ma altresì di svariate società che sviluppano trattamenti analoghi.

Quando non basta l’intervento umano per avere ragione

Terza conseguenza è che i dati oggetto di un trattamento automatizzato come quello descritto sono inutilizzabili (per l’Italia, vedasi l’art. 2-decies d.lgs. 196/03), dunque il cliente della società di scoring potrebbe trovarsi impossibilitato a costruivi processi di elaborazione.

Inoltre, e anche questo ha impatto di non poco momento: l’eventuale possibilità per tale cliente, che sia una banca, un’assicurazione o qualsivoglia altro soggetto, di frapporre un eventuale intervento umano potrebbe non bastare, ove il punteggio utilizzato risulti comunque condizionante “in modo decisivo”.

È un passaggio da calare in concreto, con valutazioni caso per caso, è tuttavia chiaro che sarà necessario per moltissimi operatori del mercato procedere a DPIA o rivedere quella in essere, in ogni caso riconsiderare i propri processi interni. Si apre cioè una catena di reazioni e conseguenze.

L’impatto della sentenza Schufa sull’intelligenza artificiale

La nozione ampia di “decisione” significativa interamente automatizzata dischiude ampi scenari applicativi anche in ambito di intelligenza artificiale. Quantomeno, la sentenza in esame trova applicazione rispetto a elaborazioni di tipo predittivo. Non è detto che eventuali, e temporanee, soluzioni costruite sul diritto nazionale, per far leva sulla già citata eccezione prevista dalla lett. b) del secondo paragrafo dell’art. 22 siano necessariamente compatibili con il Regolamento generale sui dati personali, come precisato dalla Corte di giustizia. Su ciò rileva anzi il punto 69 della sentenza Schufa in esame, probabilmente uno dei passaggi più significativi della motivazione. Il punto 69 ha effetto ampiamente bloccante rispetto alla breccia consentita dall’art. 22.2.b), lasciando filtrare solo applicazioni che rispondano a un interesse pubblico o siano obbligatorie. Resta tuttavia ancora spazio per profilazioni “di Stato”, verosimilmente le più insidiose.

E quanto ad applicazioni di AI non predittive? Moltissimo si giocherà proprio sull’ulteriore precisazione del termine “definizione”, che appare possibile alla luce della vicenda Schufa. “Decisione” nel senso dell’art. 22 GDPR sembra infatti essere il punto conclusivo di un processo interamente automatizzato, che, sviluppato da determinate premesse secondo una logica che deve essere accessibile, qualifichi una persona fisica in un determinato modo, tale da produrre impatto significativo sulla sua sfera giuridica, anche eventualmente in maniera indiretta, ossia attraverso un effetto decisamente condizionante rispetto ai terzi.

L’autorità di controllo non ha tutelato l’interessato

Da ultimo, quello che colpisce in questa vicenda è l’inadeguatezza rivelata dall’autorità di controllo competente. L’HBDI, ossia l’Hessischer Beauftragter für Datenschutz und Informationsfreiheit, lungi dall’essere stato un facilitatore di diritti, ha costituito il principale ostacolo all’attuazione del GDPR. Tanto è vero che si è posto come controparte tanto nella causa qui brevemente commentata quanto nella parallela procedura Schufa cause riunite C‑26/22 e C‑64/22, e in entrambi i giudizi è risultato soccombente. Un duplice fallimento. Nel secondo giudizio, l’HBDI si è addirittura visto rammentare dalla CGUE, come era già successo ai colleghi irlandesi nell’arresto Schrems II, che l’autorità di controllo è tenuta a valutare i reclami con tutto lo scrupolo necessario e a ripristinare i diritti violati ogniqualvolta emergano inosservanze a esito di tale disamina puntuale, e che ciò è un dovere, non un’opzione. Non a caso, osserva il Giudice, le autorità in parola sono dotate di ampi poteri. Fa riflettere questa involuzione del ruolo di garanzia dell’ente istituzionalmente preposto, come fa riflettere che gli interessati abbiano dovuto investire non banali risorse economiche e di tempo in una complessa impugnazione giudiziale, peraltro sfavorita dal fatto di muovere proprio contro l’Ente che doveva tutelarli, per vedersi finalmente riconoscere dal Giudice dell’Unione, al termine di un lungo iter, quel rispetto dei diritti fondamentali che avrebbe dovuto essere assicurato loro celermente e in prima istanza.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3