In un contesto caratterizzato dalla costante evoluzione dei sistemi di intelligenza artificiale, e dal parallelo obiettivo di regolarne la portata e gli effetti, l’Articolo 22 del Regolamento Generale sulla Protezione dei Dati (GDPR)[1] costituisce una pietra miliare nel quadro normativo europeo in materia di protezione dei dati personali, affrontando specificamente le decisioni automatizzate suscettibili di avere impatti significativi sugli individui.
La ratio della norma è quella di proteggere gli interessati da decisioni basate esclusivamente su processi automatizzati, le quali potrebbero avere risvolti legali o incidere in modo significativo sulla vita delle persone. In termini generali, il GDPR stabilisce che tali decisioni non possono essere assunte senza l’intervento umano, a meno che non ricorrano specifiche condizioni.
Le eccezioni si dirigono alle situazioni in cui la decisione automatizzata: i) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e il titolare del trattamento; ii) sia autorizzata dal diritto dell’Unione o degli Stati membri; iii) si basi sul consenso esplicito dell’interessato.
La recente sentenza C-634/21, “Schufa”, della Corte di Giustizia dell’Unione Europea[2], ha fatto nuova luce su questa disposizione, stabilendo che la creazione di un punteggio di credito da parte di un’agenzia di valutazione del credito costituisce di per sé una decisione automatizzata ai sensi dell’Articolo 22 del GDPR. Questa statuizione ribalta la precedente ricostruzione, per la quale solo il soggetto finale, ad esempio una banca che utilizza il punteggio di credito per decidere sulla concessione di un prestito, sarebbe coinvolto nella decisione automatizzata.
Di seguito, esaminiamo gli aspetti più rilevanti della pronuncia.
I fatti
In breve, il caso riguardava una persona fisica, OQ, a cui era stato negato un prestito da parte di un terzo, a causa di informazioni negative erogate dalla Schufa, una società tedesca specializzata che fornisce informazioni sul merito creditizio. OQ aveva richiesto a quest’ultima di comunicare informazioni sui dati personali registrati e di cancellare quelli erronei. La società aveva informato OQ del livello del suo punteggio e aveva esposto, nelle grandi linee, le modalità di calcolo dei punteggi; tuttavia, si era rifiutata, invocando il segreto commerciale, di divulgare le diverse informazioni prese in considerazione ai fini di tale calcolo nonché la loro ponderazione. Peraltro, la Schufa aveva evidenziato che essa si limitava a far pervenire le informazioni elaborate alle sue controparti contrattuali (banche, istituti di credito, società finanziarie), ed erano in seconda istanza solo queste ad adottare le decisioni di concessione o diniego del credito. OQ aveva presentato dunque un reclamo amministrativo, respinto dall’autorità di controllo competente (HBDI), la quale affermava che la Schufa avrebbe rispettato i requisiti di legge.
Sulla scorta di queste premesse, veniva proposto ricorso dinanzi al Tribunale amministrativo di Wiesbaden (Verwaltungsgericht Wiesbaden; da ora in avanti, giudice del rinvio), chiamato a determinare se il calcolo del “tasso di probabilità” utilizzato dalla Schufaper prevedere il comportamento futuro di un debitore in termini di rimborso del prestito, costituisse un “processo decisionale automatizzato” ai sensi dell’articolo 22 del GDPR. In caso affermativo, la liceità di questa attività sarebbe stata subordinata alla condizione che la decisione automatizzata sia autorizzata dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento[3].
Le perplessità del giudice del rinvio si fondavano sulla circostanza per cui, se l’articolo 22, paragrafo 1, del GDPR dovesse essere interpretato nel senso che la qualità di “processo decisionale automatizzato relativo alle persone fisiche” si possa ravvisare solo nella decisione adottata dal terzo erogatore del credito nei confronti dell’interessato, ne deriverebbe un deficit di tutela giuridica. Si configurerebbe, infatti, una situazione in cui una società come la Schufa non sarebbe tenuta ad accordare l’accesso alle informazioni supplementari alle quali la persona interessata avrebbe diritto in forza dell’articolo 15 del GDPR (diritto di accesso), in ragione del fatto che la stessa non sarebbe quella che adotta il “processo decisionale automatizzato”. D’altra parte, il terzo al quale viene comunicato il tasso di probabilità del rimborso, non potrebbe allo stesso modo fornire le informazioni supplementari richieste, in quanto non ne disporrebbe e non sarebbe il soggetto che le elabora.
Il giudice del rinvio aveva allora sospeso il procedimento e sottoposto alla Corte di Giustizia una questione pregiudiziale afferente l’interpretazione dell’articolo 22 del GDPR; più particolarmente, se questo debba essere interpretato nel senso che il calcolo automatizzato di un tasso di probabilità relativo alla capacità di un interessato di rimborsare in futuro un debito, costituisca già una decisione basata unicamente sul trattamento automatizzato, qualora tale tasso di probabilità, calcolato sulla base di dati personali relativi all’interessato, sia trasmesso dal titolare del trattamento ad un terzo titolare del trattamento, e quest’ultimo basi prevalentemente su di esso la decisione sulla stipulazione, sull’esecuzione o sulla cessazione di un contratto con l’interessato.
Le statuizioni della Corte di Giustizia
La Corte, in primo luogo, analizza la nozione, non specificata dal GDPR, di “decisione” (per i fini della locuzione “decisione basata unicamente sul trattamento automatizzato” di cui all’articolo 22). Ne ricostruisce una portata ampia, che ricomprende anche le misure e le valutazioni inerenti. Richiamando il Considerando (71)[4], sottolinea che una decisione implicante la valutazione degli aspetti personali di un interessato, a cui quest’ultimo avrebbe il diritto di non essere assoggettato, può “includere una misura” che produce “effetti giuridici che lo riguardano” o incide “in modo analogo significativamente sulla sua persona”. In tal senso, si ritiene che la nozione in parola sia sufficientemente ampia da ricomprendere il risultato del calcolo di un valore di solvibilità di una persona sotto forma di tasso di probabilità del rimborso o meno di un debito.
In secondo luogo, la Corte rileva che, nella fattispecie in esame, posto il coinvolgimento di tre attori, sussisterebbe un rischio di elusione dell’articolo 22 del GDPR, qualora ne venisse accolta una interpretazione restrittiva, secondo cui il calcolo del tasso probabilistico sarebbe considerato come mero atto preparatorio rispetto alla decisione finale in capo al terzo. In tal modo, il calcolo della probabilità di inadempimento sfuggirebbe ai requisiti previsti all’articolo 22 pur trovandosi in presenza di un trattamento automatizzato produttivo di effetti che incidono significativamente sull’interessato, in quanto l’azione del terzo, al quale tale tasso di probabilità è trasmesso, ne è condizionata in modo determinante nella sua decisione.
Alla luce di quanto sopra, la Corte dichiara che l’articolo 22, paragrafo 1, del GDPR deve essere interpretato nel senso che il calcolo automatizzato, da parte di una società che fornisce informazioni commerciali, di un tasso di probabilità basato su dati personali relativi a una persona e riguardanti la capacità di quest’ultima di onorare in futuro degli impegni di pagamento, costituisce un “processo decisionale automatizzato relativo alle persone fisiche”, qualora da tale tasso dipenda in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale con tale persona da parte di un terzo, al quale è comunicato detto tasso.
Conclusivamente, con la sentenza Schufa, la Corte di Giustizia prospetta una interpretazione ampliativa della tutela offerta dall’articolo 22 del GDPR, di fronte all’impiego crescente degli algoritmi in sempre più numerosi settori dell’economia e della vita sociale che coinvolgono direttamente i consumatori e gli utenti. Il risultato netto è che l’interposizione di un soggetto tecnico terzo tra l’interessato e il soggetto che assume la decisione, non vale a far venire meno le pur limitate garanzie predisposte dalla norma. La decisione Schufa sembra congruente con la filosofia del nuovo Regolamento sull’intelligenza artificiale, attualmente in dirittura di arrivo in seguito all’accordo politico tra Parlamento Europeo e Consiglio dell’8 dicembre 2023, il quale richiede in ogni caso una sorveglianza umana “consapevole” esercitata da un soggetto che ne comprenda appieno i meccanismi[5]. Infatti, nel suo tenore letterale, l’articolo 22 del GDPR non imporrebbe in toto tali salvaguardie, lasciando in essere una significativa lacuna di regolazione in direzione opposta a quella del nuovo strumento.
[1] Secondo l’articolo 22 del GDPR, “… L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
Il paragrafo 1 non si applica nel caso in cui la decisione:
a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
c) si basi sul consenso esplicito dell’interessato.
Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato …”.
[2] CGUE 7.12.2023, causa C-634/21, OQ contro Land Hessen.
[3] Si veda l’articolo 22, paragrafo 2, lettera b) del GDPR.
[4] Secondo il Considerando 71, paragrafo 1, del GDPR, “… l’interessato dovrebbe avere il diritto di non essere sottoposto a una decisione, che possa includere una misura, che valuti aspetti personali che lo riguardano, che sia basata unicamente su un trattamento automatizzato e che produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona, quali il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani …”.
[5] Per approfondimenti sulla sorveglianza umana, si veda il nostro precedente contributo al seguente LINK.
Per gli ultimi aggiornamenti sull’uscita del c.d. AI Act, si veda il nostro precedente contributo al seguente LINK.