Il credit scoring è un metodo statistico che valuta l’affidabilità creditizia e la solvibilità di una persona, basandosi su una serie di dati personali e finanziari. Il credit scoring è usato dalle banche e dagli intermediari finanziari per decidere se concedere o meno un prestito, un mutuo o una carta di credito, e a quali condizioni.

La sentenza C-634/21 della Corte di Giustizia dell’Unione Europea, pronunciata il 7 dicembre 2023, riguarda il caso di una società tedesca, la SCHUFA Holding AG, che fornisce informazioni commerciali e creditizie ai suoi clienti. La SCHUFA elabora i dati dei consumatori per calcolare il loro credit score, ma non fornisce loro informazioni sufficienti sulle modalità e sui criteri di tale calcolo, né sulla logica sottostante al trattamento dei dati.

La Corte ha stabilito che tale pratica viola il regolamento generale sulla protezione dei dati (RGPD), in particolare gli articoli 13, 14, 15 e 22, che prevedono il diritto dei consumatori di essere informati in modo chiaro e trasparente sul trattamento dei loro dati personali, di accedere ai dati che li riguardano e di opporsi a decisioni basate esclusivamente su processi automatizzati che producono effetti giuridici o incidono significativamente sulla loro sfera personale.

La Corte ha riconosciuto che il credit scoring rientra tra le decisioni automatizzate di cui all’articolo 22 del RGPD, in quanto determina la possibilità per i consumatori di accedere al credito e influenza le loro scelte economiche. Pertanto, la Corte ha affermato che i consumatori hanno il diritto di ottenere informazioni dettagliate sul credit scoring, comprese le categorie di dati utilizzati, il peso attribuito a ciascuna categoria, la metodologia e la logica applicate, nonché i fattori di rischio e le conseguenze della valutazione.

La Corte ha anche precisato che il diritto di opporsi alle decisioni automatizzate implica la possibilità per i consumatori di contestare il credit score assegnato e di chiedere una revisione umana della valutazione. Inoltre, la Corte ha sottolineato che i responsabili del trattamento dei dati devono garantire che i processi automatizzati siano accurati, affidabili, imparziali e rispettosi dei principi del RGPD.

La sentenza della Corte ha quindi una grande rilevanza per la tutela dei diritti dei consumatori e per la regolamentazione delle attività di credit scoring e di profilazione algoritmica in generale. La sentenza impone ai responsabili del trattamento dei dati di adottare misure adeguate per garantire la trasparenza, la correttezza e la responsabilità dei processi automatizzati, e di fornire ai consumatori le informazioni e gli strumenti necessari per esercitare i loro diritti. La sentenza rappresenta anche un importante precedente giurisprudenziale per l’interpretazione e l’applicazione del RGPD, in particolare per quanto riguarda il concetto di decisione automatizzata e le relative garanzie.

La Corte di Cassazione aveva affrontato la questione del consenso al trattamento dei dati personali in relazione a sistemi automatizzati, come gli algoritmi.

In particolare, l’ordinanza n. 14381/2021 ha stabilito che il consenso privacy non è valido se non è possibile comprendere chiaramente le modalità di trattamento dei dati tramite un algoritmo. Questo principio sottolinea l’importanza della trasparenza dell’algoritmo e la necessità di informare adeguatamente gli interessati riguardo al funzionamento dell’algoritmo stesso. In altre parole, il consenso deve essere specifico e prestato liberamente per ciascun trattamento, e gli elementi dell’algoritmo devono essere resi noti agli interessati1