Merito creditizio, Corte Ue: il cittadino ha diritto di sapere come viene fatta la valutazione automatizzata (Foto Pixabay)
Merito creditizio, Corte Ue: il cittadino ha diritto di sapere come viene fatta la valutazione automatizzata
Corte di giustizia della Ue: se viene fatta una valutazione automatizzata del merito creditizio, l’interessato ha diritto di sapere come è stata adottata la decisione. La spiegazione deve permettergli di comprendere e contestare la valutazione
Se viene fatta una valutazione automatizzata del merito creditizio, l’interessato ha diritto di sapere come è stata adottata la decisione che lo riguarda e la spiegazione deve permettergli di comprendere, e contestare, la decisione automatizzata.
È la conclusione cui giunge la Corte di giustizia dell’Ue, interpellata in merito all’applicazione del Regolamento generale sulla protezione dei dati.
Merito creditizio & valutazione automatizzata
Il caso è stato sollevato dal giudice austriaco. In Austria un operatore di telefonia mobile ha negato a una cliente la stipulazione di un contratto adducendo che non era sufficientemente solvibile. L’operatore si basava su una valutazione del merito creditizio della cliente, alla quale aveva proceduto per via automatizzata la Dun & Bradstreet Austria, un’azienda specializzata nella fornitura di valutazioni di questo tipo. Il contratto avrebbe comportato il pagamento di 10 euro mensili. Nella controversia che ne è scaturita, il giudice austriaco ha dichiarato che l’azienda aveva violato il regolamento generale sulla protezione dei dati (RGPD).
La Dun & Bradstreet Austria non avrebbe infatti fornito alla cliente «informazioni significative sulla logica utilizzata» nel processo decisionale automatizzato. Quantomeno, non avrebbe motivato a sufficienza la ragione per la quale non aveva potuto dare queste informazioni. Il giudice adito dalla cliente ai fini dell’esecuzione forzata di tale decisione giudiziaria ha chiesto alla Corte di giustizia di interpretare il RGPD e la direttiva sulla protezione del segreto commerciale.
Secondo la Corte di giustizia “il titolare del trattamento deve descrivere la procedura e i principi concretamente applicati in modo tale che l’interessato possa comprendere quali dei suoi dati personali sono stati utilizzati, e in che modo, nel processo decisionale automatizzato”.
Potrebbe essere adeguato informare il cittadino su come una variazione dei dati personali considerati avrebbe condotto a una diversa valutazione del merito creditizio, mentre “la semplice comunicazione di un algoritmo” non sarebbe una spiegazione sufficientemente concisa e comprensibile.
“Il titolare del trattamento, nel caso in cui ritenga che le informazioni da fornire contengano dati protetti di terzi o segreti commerciali, deve comunicare tali informazioni asseritamente protette all’autorità di controllo o al giudice competenti – prosegue la Corte – Essi sono tenuti a ponderare i diritti e gli interessi in gioco al fine di determinare la portata del diritto di accesso dell’interessato a dette informazioni. La Corte precisa al riguardo che il RGPD osta all’applicazione di una disposizione nazionale che esclude, di regola, il diritto di accesso in questione, qualora quest’ultimo comprometta un segreto commerciale del titolare del trattamento o di un terzo”.
