Garante per i dati personali - 6/10/2022 - n. 324 Articolo unicoa) ai sensi dell'art. 57, par. 1, lettera q), del regolamento accredita l'Odm preposto dai proponenti alla verifica del rispetto del codice di condotta per la durata di cinque anni non rinnovabili; b) ai sensi dell'art. 57, par. 1, lettera m), del regolamento approva il codice di condotta riportato in allegato al presente provvedimento del quale forma parte integrante; c) invia copia della presente deliberazione all'ufficio pubblicazione leggi e decreti del Ministero della giustizia ai fini della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. InquadramentoNel rinnovato contesto normativo, l'art. 20 del d.lgs. n. 101/2018 ha riconosciuto efficacia al Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (di seguito, “Codice deontologico”), adottato dal GPDP con Provvedimento n. 8 del 16 novembre 2004, a condizione che entro il termine di 12 mesi dalla entrata in vigore del decreto medesimo venisse avviata e portata a termine la procedura tesa ad elaborare un nuovo codice di condotta rispondente ai criteri di cui agli artt. 40 e 41 del GDPR e che permettesse di trasfondere in nuovo testo, coerente con il quadro regolamentare europeo, i principi delle norme contenute nel suddetto Codice deontologico. In tal senso, con nota dell'11 ottobre 2018, i soggetti che professionalmente gestiscono i sistemi di informazioni creditizie sono stati esortati dal GPDP a predisporre una bozza di codice di condotta da sottoporre alla sua approvazione. Sottolineando la sopravvenuta inadeguatezza del Codice deontologico, il GPDP, in data 12 settembre 2019, ha quindi approvato ai sensi del succitato art. 20 del d.lgs. n. 101/2018 il nuovo codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (di seguito, solo “Codice”). L'approvazione è stata disposta subordinatamente al completamento della fase di accreditamento dell'organismo di monitoraggio da parte dello stesso GPDP, che è infine avvenuta il 6 ottobre 2022. Il presente commento si propone lo scopo di ripercorrere il contenuto del Codice, evidenziandone gli aspetti salienti e quelli più interessanti e problematici con uno sguardo rivolto alle dinamiche concrete della sua applicazione nella prassi. Ambito soggettivo di applicazioneIl Codice trova applicazione – limitatamente al territorio dello Stato italiano e unicamente a livello nazionale – alle attività di trattamento dei dati personali contenuti nei sistemi di informazione creditizia (d'ora in avanti, anche solo “SIC”) effettuato dai gestori e dai partecipanti, ciascuno per le attività di propria competenza. I SIC vengono definiti come banche di dati concernenti richieste o rapporti e gestite da persone giuridiche, enti, associazioni o altri organismi in ambito privato (art. 2, comma 2, lett. c) del Codice), laddove per richieste o rapporti deve intendersi qualsiasi richiesta o rapporto riguardanti la concessione, nell'esercizio di un'attività commerciale o professionale, di un credito, di una dilazione di pagamento, di un pagamento differito, di un finanziamento o di un'altra analoga facilitazione finanziaria; rientrano nell'accezione di facilitazione finanziaria anche il noleggio a lungo termine, il leasing operativo, la cessione di crediti e di dilazioni di pagamento e il prestito tra privati gestito attraverso piattaforme digitali (c.d. peer to peer lending) nei limiti stabiliti dal Legislatore, dalla normativa di settore, dalle Autorità di vigilanza e dalla giurisprudenza (art. 2, comma 2, lett. a) del Codice). I SIC possono contenere informazioni appartenenti a due macro-tipologie: i) informazioni di tipo negativo, che riguardano soltanto rapporti per i quali si sono verificati inadempimenti; ii) informazioni di tipo positivo e negativo attinenti a richieste o rapporti a prescindere dalla sussistenza di inadempimenti registrati nei SIC al momento del loro verificarsi (art. 2, comma 2, lett. c) del Codice). I soggetti privati che gestiscono i SIC stabilendone le modalità di funzionamento e di utilizzazione sono denominati “gestori” (art. 2, comma 2, lett. d) del Codice); limitatamente alle attività disciplinate dal Codice, i gestori operano in qualità di autonomi titolari del trattamento dei dati personali registrati in un SIC (art. 4, n. 7) del GDPR). I soggetti privati che in virtù di un contratto o un accordo con il gestore partecipano al relativo SIC e possono accedere ai dati presenti nel SIC medesimo e utilizzarli assumono la denominazione di “partecipanti” (art. 2, comma 2, lett. e) del Codice). I partecipanti comunicano al gestore i dati personali in modo sistematico, in un quadro di reciprocità nello scambio di dati con gli altri partecipanti e in base alle categorie di dati ed agli standard individuati nel Codice; all'atto della consultazione hanno accesso al dettaglio completo dei dati relativi a richieste e rapporti, oltre che agli indicatori di sintesi e scoring (art. 5 del Codice). Il Codice riconosce espressamente anche ai partecipanti il ruolo di autonomi titolari del trattamento dei dati personali raccolti in relazione alle richieste e ai rapporti sopra menzionati. Ne discende che, sotto il profilo del trattamento dei dati personali, la dialettica che viene ad instaurarsi tra gestori e partecipanti è quella tipica di una relazione tra titolari autonomi; conseguentemente, i flussi informativi che intercorrono in ragione della reciprocità sopra segnalata tra le due figure devono qualificarsi tecnicamente alla stregua di “comunicazioni” (art. 4, n. 2) del GDPR). Rientrano nella categoria dei partecipanti le banche, comprese quelle comunitarie e quelle extracomunitarie, le società finanziarie e tutti gli intermediari finanziari la cui attività è regolamentata nell'ambito del d.lgs. n. 385/1993, ni soggetti autorizzati a svolgere in Italia l'attività di factoring, i soggetti appartenenti a gruppi bancari o finanziari, gli istituti di pagamento, i soggetti privati che, nell'esercizio di attività commerciale o professionale, concedono una dilazione del pagamento del corrispettivo per la fornitura di beni o servizi ovvero svolgono l'attività di leasing anche operativo o l'attività di noleggio a lungo termine nonché, infine, l'attività di gestione di piattaforme digitali per prestiti tra privati. Dai partecipanti vanno tenuti distinti i cc.dd. “accedenti”, ossia figure autorizzate unicamente a consultare i dati personali presenti nei SIC, con esclusione della condizione di reciprocità e previa stipulazione di un apposito contratto con i gestori. Per effetto di plurimi interventi legislativi, rientrano nella categoria i fornitori di servizi di comunicazione elettronica e i fornitori di servizi interattivi associati o di servizi di accesso condizionato (tra cui, quindi, le società telefoniche); le imprese di assicurazione; i soggetti autorizzati a svolgere le attività di vendita a clienti finali di energia elettrica e di gas naturale ai sensi della normativa vigente. Ambito oggettivo di applicazioneSotto il profilo oggettivo, il Codice è inteso a disciplinare i trattamenti dei dati personali effettuati “per finalità connesse alla valutazione, all'assunzione o alla gestione di un rischio di credito, alla valutazione dell'affidabilità e della puntualità nei pagamenti dell'interessato”; alle finalità menzionate si aggiungono anche “la prevenzione del rischio di frodi e del furto di identità” (art. 3 del Codice). L'assimilazione di tali finalità alle prime sembrerebbe doversi giustificare in ragione dell'evidente contiguità che le caratterizza sotto il profilo teleologico. Dalla rigorosa perimetrazione delle finalità di trattamento perseguibili ai sensi del citato art. 3 del Codice discende una altrettanto rigorosa selezione dei dati personali che possono essere oggetto di trattamento. In base all'art. 4, comma 1 del Codice, “per ogni richiesta/rapporto segnalato ad un SIC possono essere trattate le seguenti categorie di dati personali: a) dati identificativi, anagrafici e sociodemografici (quali, ad esempio: codice fiscale, partita Iva, dati di contatto, documenti di identità, tessera sanitaria, codice Iban, dati relativi alla occupazione/professione, al reddito, al sesso, all'età, alla residenza/domicilio, allo stato civile, al nucleo familiare); b) dati relativi alla richiesta/rapporto, descrittivi, in particolare, della tipologia di contratto, dell'importo dovuto, delle modalità di pagamento e dello stato della richiesta o dell'esecuzione del contratto; c) dati di tipo contabile, relativi, in particolare, agli utilizzi o ai pagamenti, al loro andamento periodico, all'esposizione debitoria anche residua e alla sintesi dello stato contabile del rapporto; d) dati relativi al contenzioso e ad attività di recupero del credito, alla cessione del credito o a eccezionali vicende che incidono sulla situazione soggettiva o patrimoniale degli interessati”. Dette informazioni possono riferirsi ad una pluralità di soggetti a vario titolo interessati e, cioè, oltre che all'interessato che chiede di instaurare o che è parte di un rapporto con un partecipante, anche: al coobbligato, anche in solido, la cui posizione possa ritenersi chiaramente distinta da quella del debitore principale; al terzo ceduto, in relazione all'ipotesi di cessione di crediti o dilazioni di pagamento; all'esponente aziendale o al partecipante al capitale della società e/o ente che sia parte di una richiesta o di un rapporto; all'interessato che sia comunque legato sul piano economico o giuridico al soggetto che è parte di una richiesta o di un rapporto, purché – in tale ultimo caso – nel rispetto di un rigido e ancor più stringente parametro di minimizzazione (art. 4, comma 2 del Codice). Dall'analisi dei commi successivi si desume come, in un'ottica di piena salvaguardia degli interessati, i dati menzionati possano essere trattati solo in ossequio ad un rigoroso canone di minimizzazione ed esattezza (art. 5, par. 1, lett. c) ed e) del GDPR). Così, è disposto che il trattamento debba concernere dati personali “di tipo obiettivo, adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”, pur potendo involgere “anche ogni vicenda intervenuta a qualsiasi titolo o causa in relazione ad una richiesta/rapporto” (art. 4, comma 3 del Codice); ancora, eventuali codifiche e criteri che possano essere utilizzati per registrare dati personali in un SIC devono garantire in ogni caso “una rappresentazione oggettiva e corretta degli stessi dati, nonché delle vicende del rapporto segnalato” (art. 4, comma 4 del Codice); in tal senso, sono altresì espressamente escluse dalla registrazione nei SIC le informazioni ricomprese nelle categorie particolari ex art. 9 del GDPR e quelle relative a condanne penali e reati ex art. 10 del GDPR (art. 4, comma 3 del Codice). I dati in parola sono oggetto dei cc.dd. “trattamenti di scoring”, ossia di forme di organizzazione, aggregazione, raffronto od elaborazione di dati personali relativi a richieste o rapporti, “consistenti nell'impiego di trattamenti automatizzati basati sull'applicazione di metodi o modelli matematici e/o statistici per valutare il rischio, e i cui risultati sono espressi in forma di esiti sintetici, indicatori numerici o punteggi, associati all'interessato, diretti a fornire una rappresentazione, in termini predittivi o probabilistici, del suo profilo di rischio” (art. 2, comma 2, lett. g) del Codice). Le modalità di raccolta e registrazione dei datiCome si è avuto modo di anticipare sopra, i SIC vengono alimentati dalle informazioni trasmesse dai partecipanti. All'atto del ricevimento dei dati da parte dei partecipanti, al gestore è richiesto di operare una verifica di congruità dei dati trasmessi attraverso controlli di carattere esclusivamente formale e logico e, dunque, con esclusione di qualsivoglia contributo di carattere discrezionale nel merito delle informazioni trasmesse. Laddove i dati dovessero risultare incompleti od incongrui, il gestore è tenuto a ritrasmetterli al partecipante ai fini delle necessarie integrazioni e correzioni. All'esito dei controlli e delle eventuali integrazioni e correzioni, i dati sono quindi registrati nel SIC e resi disponibili a tutti gli altri partecipanti e agli accedenti. La condizione di reciprocità che permea le logiche di alimentazione dei SIC non si arresta alla fase della iniziale trasmissione dei dati ma investe tutte le successive ed eventuali operazioni di cancellazione, integrazione o modificazione dei dati registrati in un SIC, le quali sono disposte direttamente dal partecipante che li ha comunicati, ove tecnicamente possibile, ovvero dal gestore su richiesta del medesimo partecipante o d'intesa con esso; ciò anche a seguito dell'esercizio di un diritto da parte dell'interessato, oppure in attuazione di un provvedimento dell'autorità giudiziaria o del GPDP. In ogni caso, il partecipante ha l'obbligo di aggiornare i dati registrati in un SIC con cadenza mensile. Il cd. preavviso di imminente registrazione Al verificarsi di ritardi nei pagamenti, il partecipante, anche unitamente all'invio di solleciti o di altre comunicazioni, o eventualmente con le modalità indicate nel contratto, invia all'interessato un preavviso circa l'imminente registrazione dei dati in uno o più SIC. I dati relativi al primo ritardo possono essere resi accessibili ai partecipanti solo decorsi almeno quindici giorni dalla spedizione del preavviso all'interessato. Sull'adempimento in parola il GPDP è intervenuto con il provvedimento del 26 ottobre 2017, chiarendo che il preavviso di imminente registrazione costituisce – civilisticamente – una dichiarazione recettizia exartt. 1334 e 1335 cod. civ., con la conseguenza che l'onere probatorio di dimostrare l'avvenuto invio e l'avvenuta ricezione dello stesso incombe al partecipante. La ratio sottostante all'adempimento de quo è quella di consentire all'interessato, venuto a conoscenza dell'imminente segnalazione del suo nominativo nei SIC, di adempiere al proprio obbligo creditizio prima che la segnalazione sia effettuata, prevenendo così ogni conseguenza pregiudizievole che possa comprensibilmente derivarne. Il reperimento dei dati presso fonti pubbliche e/o altre fonti Nei casi in cui i gestori di un SIC, direttamente o per il tramite di società controllate o collegate, effettuino in ogni forma il trattamento di dati provenienti da fonti pubbliche e/o da altre fonti o comunque forniscano ai partecipanti servizi per accedere a tali dati, fermi restando i limiti e le modalità che le leggi stabiliscono per la loro conoscibilità e pubblicità, i gestori medesimi ed i partecipanti, ai sensi dell'art. 11 del Codice, sono tenuti ad assicurare il rispetto dei seguenti principi: a) garanzia di separazione informatica: i dati provenienti da fonti pubbliche e/o da altre fonti, se registrati, figurino in banche di dati personali separate dal SIC; b) garanzia di distinguibilità: nel caso di accesso del partecipante sia a dati personali contenuti in un SIC sia a dati personali contenuti in una delle banche dati di cui sopra, anche nell'eventualità in cui gli stessi siano associati tra di loro, il gestore adotti le adeguate misure tecniche ed organizzative al fine di assicurare la separazione e la distinguibilità dei dati provenienti dal SIC rispetto a quelli provenienti dalle banche dati di cui sopra, anche attraverso l'inserimento di idonee indicazioni, eliminando ogni possibilità di equivoco circa la diversa natura ed origine dei dati oggetto dell'accesso; c) garanzia di trasparenza specifica: quando la richiesta non è accolta, l'interessato può richiedere al partecipante se, per istruire la richiesta di credito, ha consultato anche dati personali di tipo negativo nelle banche di dati di cui sopra ed ottenere dettagli circa la fonte da cui provengono i dati medesimi e gli estremi identificativi del gestore del SIC che ha fornito tali informazioni. Liceità e trasparenza del trattamento e i limiti dell'utilizzabilità dei dati da parte dei partecipantiIl trattamento dei dati personali da parte del gestore e dei partecipanti al SIC rinviene la propria base di legittimità nell'art. 6, par. 1, lett. f) del GDPR in quanto è necessario per il perseguimento di legittimi interessi dei partecipanti all'utilizzo del SIC per le finalità sopra tassativamente indicate. L'interesse legittimo di cui sopra – da tenersi distinto rispetto alla finalità di trattamento perseguita, anche alla luce dell'Opinion 6/2014 del WP29, secondo cui quest'ultima costituisce il motivo specifico per cui vengono trattati i dati personali, mentre il primo si identifica nel più ampio interesse che il titolare può avere nell'attività di trattamento o nel beneficio che può derivare da questa attività – può essere rappresentato dalla corretta misurazione del merito e del rischio creditizio, dalla corretta valutazione dell'affidabilità e della puntualità dei pagamenti dell'interessato nonché dalla prevenzione del rischio di frode, ivi inclusa la prevenzione del rischio del furto di identità. Al riguardo, si noti che i partecipanti possono accedere al SIC rispetto a dati per i quali sussiste un loro legittimo interesse, alla condizione che gli stessi riguardino esclusivamente una delle seguenti categorie soggettive: (a) interessati che chiedono di instaurare o sono parte o che, a seguito di operazioni di cessione di crediti o dilazioni di pagamento, possono divenire parte di un rapporto con il medesimo partecipante e soggetti coobbligati, anche in solido; (b) interessati che agiscono nell'ambito della loro attività imprenditoriale o professionale che chiedono di instaurare o sono parte o che, a seguito di operazioni di cessione di crediti, possono divenire parte di un rapporto con il medesimo partecipante e soggetti coobbligati, anche in solido; (c) soggetti aventi un collegamento di tipo giuridico o economico con quelli di cui alla precedente lettera (b), sempre che i dati personali cui il partecipante intende accedere risultino necessari per il perseguimento delle finalità di cui al Codice relativamente ai soggetti di cui alla stessa lettera (b); in tali ultimi casi, in un'ottica di salvaguardia dei diritti, delle libertà e della autonomia di ciascun individuo, la posizione del soggetto collegato all'interno del SIC non subisce comunque alcuna modificazione in virtù delle vicende relative al soggetto a cui è riferito in via principale il rapporto. Quanto alla trasparenza che occorre assicurare agli interessati in riferimento ai trattamenti di cui trattasi, nel Codice si rinvengono prescrizione intese a specificare il contenuto dell'obbligo informativo exartt. 13 e 14 del GDPR. In particolare, viene previsto che l'informativa resa agli interessati debba recare, tra le altre già previste dal GDPR, le seguenti indicazioni di dettaglio: gli estremi identificativi e dati di contatto dei SIC cui sono comunicati i dati personali o presso il quale tali dati sono consultati e dei rispettivi gestori; le categorie di partecipanti; i tempi di conservazione dei dati nei SIC, cui sono comunicati; le modalità di organizzazione, raffronto ed elaborazione dei dati, nonché eventuale uso di trattamenti o processi decisionali automatizzati di scoring; le modalità per l'esercizio da parte degli interessati dei diritti previsti dal GDPR; gli eventuali trasferimenti di dati personali in paesi non facenti parte dello Spazio Economico Europeo (art. 6, comma 3 del Codice). È peraltro previsto che l'informativa venga fornita agli interessati secondo il modello allegato al Codice (Allegato 3) e che, laddove venga inserita in un modulo utilizzato dal partecipante, sia adeguatamente evidenziata e collocata in modo autonomo ed unitario, in parti o riquadri distinti da quelli relativi ad eventuali altre finalità del trattamento effettuato dal medesimo partecipante (art. 6, comma 4 del Codice). Come si vede, alle prescrizioni di legal design si accompagna, nell'intento dei redattori del Codice, un effetto di rafforzamento delle garanzie informative a tutela degli interessati. È altresì disposto che, ad integrazione dell'informativa resa dai partecipanti singolarmente ad ogni interessato, un'informativa più dettagliata venga fornita anche dallo stesso gestore attraverso il proprio sito internet e/o altre eventuali ulteriori modalità anche digitali (art. 6, comma 6 del Codice). È d'interesse notare anche come, quando la richiesta di credito o di un servizio o prodotto non sia stata accolta da un partecipante, quest'ultimo comunichi all'interessato se, per istruire la richiesta, lo stesso abbia consultato dati personali relativi ad informazioni di tipo negativo in uno o più SIC, indicandogli inoltre gli estremi identificativi del SIC da cui sono state rilevate tali informazioni e del relativo gestore (art. 6, comma 7 del Codice). Minimizzazione sotto il profilo informatico e organizzativoIn base all'art. 8, comma 3 del Codice, il SIC è accessibile solo da un numero limitato di persone autorizzate – per iscritto – al trattamento sotto l'autorità diretta del titolare o del responsabile e debitamente istruite in tal senso. Il perimetro autorizzativo deve essere limitato ai soli dati strettamente necessari, pertinenti e non eccedenti in rapporto alle finalità sopraindicate. Tali soggetti sono ammessi al trattamento solo laddove il titolare sia in grado di comprovare la ricorrenza in concreto dei necessari presupposti di fatto in possesso dei partecipanti medesimi nonché nei casi in cui si renda necessario assolvere ad obblighi di legge e garantire la corretta manutenzione dei sistemi e la qualità dei dati. Ai gestori è richiesto di implementare modalità e strumenti digitali di consultazione dei dati capaci di assicurare il pieno rispetto delle garanzie di proporzionalità e progressività del trattamento (artt. 8, comma 4 del Codice e 5, par. 1, lett. c) del GDPR) a carattere graduale e selettivo: in tal senso, i dati personali relativi a richieste e rapporti registrati in un SIC sono di norma consultabili con modalità di accesso graduale e selettivo, attraverso uno o più livelli di consultazione di informazioni sintetiche o riepilogative dei dati riferiti all'interessato, prima della loro visione in dettaglio e con riferimento anche ad eventuali dati riferiti a soggetti coobbligati o collegati; sono, in ogni caso, precluse, anche tecnicamente, modalità di accesso che permettano interrogazioni di massa o acquisizioni di elenchi di dati personali concernenti richieste e rapporti relativi a soggetti diversi da quelli che hanno chiesto di instaurare o che sono o che, a seguito di operazioni di cessione di crediti o di dilazioni di pagamenti, possono divenire parte di un rapporto di credito. Il rapporto con l'esercizio dei diritti privacy degli interessatiNell'ambito della materia de qua, l'esercizio dei diritti privacy può assumere in concreto una rilevanza strumentale dirimente nella tutela delle situazione giuridiche soggettive facenti capo agli interessati. Nel riproporre il contenuto degli obblighi già incombenti su partecipanti e gestori ai sensi dell'art. 12 del GDPR, l'art. 9 del Codice individua talune interessanti prescrizioni di dettaglio. In tal senso, è previsto che, anche al fine di agevolare la ricerca dei dati che lo riguardano nel SIC, nella richiesta con la quale esercita i propri diritti, l'interessato indichi i propri dati identificativi (ad esempio il codice fiscale e/o la partita Iva). Quanto alla fattispecie in cui l'interessato conferisca per iscritto ad un terzo una delega o una procura per l'esercizio dei suoi diritti, è previsto che il terzo non debba avere alcun interesse – diretto o indiretto che sia – riguardo alla conoscenza dei dati dell'interessato e che possa trattare i dati personali acquisiti presso il SIC esclusivamente nei limiti della delega stessa ed in ogni caso solamente per la finalità di tutela dei diritti dell'interessato e nel rispetto dei diritti fondamentali dell'interessato, con esclusione di ogni altro scopo, ad esso o ad altri ascrivibile. Proceduralmente, viene altresì precisato che, nell'esercizio dei diritti dell'interessato, il terzo delegato dichiari per iscritto l'assenza di un suo interesse diretto o indiretto; prima di procedere al riscontro, il partecipante o il gestore possono svolgere ulteriori accertamenti, ad esempio attraverso richieste di chiarimenti; in mancanza dei presupposti, sono ammessi a rifiutare la richiesta, contestualmente informandone il GPDP. Tra le prescrizioni di dettaglio previste dal Codice, è d'interesse notare anche che, ove la richiesta venga rivolta al gestore, quest'ultimo può consultare ove necessario il partecipante. L'obbligo di consultazione sembrerebbe giustificarsi in ragione della necessità, per il gestore cui è rivolta la richiesta, di operare un previo accertamento sulla meritevolezza (in senso ampio) della richiesta, che ha ad oggetto un dato obiettivo che solo il partecipante potrebbe conoscere (art. 9, comma 4 del Codice). Qualora si renda necessario svolgere ulteriori o particolari verifiche con il partecipante, il gestore informa l'interessato di tale circostanza entro il termine di un mese, prorogabile di due mesi (artt. 9, comma 1 del Codice e 12, par. 3 del GDPR). Nell'effettuare tali verifiche, nell'arco del primo mese il gestore mantiene nel SIC l'indicazione relativa allo svolgimento delle verifiche, tramite specifica codifica o apposito messaggio da apporre in corrispondenza dei dati oggetto delle richieste dell'interessato; successivamente ne limita il trattamento sospendendo la visualizzazione nel SIC dei dati oggetto delle verifiche. Laddove la richiesta riguardi effettive contestazioni relative ad inadempimenti del venditore o del fornitore dei beni o dei servizi oggetto del contratto sottostante al rapporto, il gestore è tenuto ad annotare senza ritardo nel SIC, su richiesta dell'interessato, del partecipante o informando quest'ultimo, la notizia relativa all'esistenza di tali contestazioni, tramite l'inserimento di una specifica codifica da apporre in corrispondenza dei dati relativi al rapporto (art. 9, comma 6 del Codice). Trattamenti e processi automatizzati di scoringParticolarmente interessante, e problematica, è la questione relativa all'effettuazione di trattamenti o processi decisionali di scoring a carattere automatizzato (art. 10 del Codice). In tale fattispecie, il gestore ed i partecipanti sono chiamati ad assicurare il pieno rispetto delle seguenti prescrizioni obbligatorie: (a) anzitutto, tali trattamenti possono essere effettuati solo per l'istruttoria di una richiesta o per la gestione dei rapporti instaurati; (b) i dati relativi a esiti, indicatori o punteggi associati ad un interessato sono elaborati e comunicati dal gestore al solo partecipante che ha ricevuto la richiesta dall'interessato o che ha precedentemente comunicato dati riguardanti il relativo rapporto; (c) i modelli o i fattori di analisi statistica, nonché gli algoritmi di calcolo degli esiti, indicatori o punteggi sono verificati periodicamente con cadenza almeno biennale ed aggiornati in funzione delle risultanze di tali verifiche; (d) quando la richiesta non è accolta, l'interessato può richiedere al partecipante se, per istruire la richiesta, ha consultato dati relativi a esiti, indicatori o punteggi di tipo negativo ottenuti mediante trattamenti o processi decisionali automatizzati di scoring e di fornirgli tali dati, nonché una spiegazione delle logiche di funzionamento dei sistemi utilizzati e delle principali tipologie di fattori tenuti in considerazione nell'elaborazione. Quanto, più nel dettaglio, ai partecipanti, è d'interesse notare che lo stesso GDPR, al considerando 71, prevede che “L'interessato dovrebbe avere il diritto di non essere sottoposto a una decisione, che possa includere una misura, che valuti aspetti personali che lo riguardano, che sia basata unicamente su un trattamento automatizzato e che produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona, quali il rifiuto automatico di una domanda di credito online[...]”. Poiché la valutazione del merito creditizio dell'interessato da parte dei partecipanti ben può avere ad oggetto anche i dati acceduti presso i SIC e costituisce passaggio procedurale normalmente indefettibile nell'ambito delle domande di credito online, occorre chiedersi quali siano le garanzie da rispettarsi nel caso della implementazione, in questo genere di ipotesi, di processi decisionali automatizzati. Preliminarmente, si osserva che – come affermato da ultimo dalla Corte di Giustizia dell'Unione Europea nella nota sentenza del 7 dicembre 2023, Schufa Holding, C-634/21 – il calcolo automatizzato di un tasso di probabilità basato su dati personali riguardanti la capacità di una persona fisica di onorare in futuro gli impegni di pagamento, nella misura in cui da tale tasso dipenda in modo decisivo la stipula, l'esecuzione o la cessazione di un rapporto contrattuale con tale persona da parte di un terzo, costituisce di per sé un processo decisionale automatizzato ai sensi dell'art. 22 del GDPR. Ebbene, quanto ai presupposti di legittimità del processo decisionale automatizzato, si dibatte se, in assenza di idonee previsioni rilevanti ai sensi dell'art. 22, par. 2, lett. b) del GDPR (su cui, v. CGUE, sentenza del 7 dicembre 2023, Schufa Holding, C-634/21). possa essere invocato l'art. 22, par. 2, lett. a) del GDPR, per cui il divieto disposto dal paragrafo 1 non si applica laddove la decisione “sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento”, o se invece sia necessario ricorrere al consenso esplicito dell'interessato ai sensi dell'art. 22, par. 2, lett. c) del GDPR. Al riguardo, si osserva che, anche in base a quanto indicato dal Gruppo di Lavoro Articolo 29 (“WP29”, oggi Comitato europeo per la protezione dei dati, meglio noto come “EDPB”) nelle sue Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679, risalenti al 3 ottobre 2017 e poi emendate il 6 febbraio 2018, il titolare del trattamento può legittimamente ricorrere ad un processo decisionale automatizzato, rinvenendone la base nell'art. 22, par. 2, lett. a) del GDPR, unicamente quando non esistano “altri mezzi efficaci e meno invasivi per il conseguimento del medesimo obiettivo”. In buona sostanza, sono quindi due le principali coordinate metodologiche di cui tenere conto nel perimetrare il concetto di necessità ai fini della conclusione del contratto tra interessato e titolare: (A) la minore o maggiore efficacia dei canali alternativi percorribili per soddisfare le medesime esigenze; (B) la minore o maggiore invasività rispetto alla sfera dei diritti e delle libertà degli interessati. Tra i due parametri, quello sub (A), sostanziandosi in una valutazione rimessa alla competenza di ciascun titolare del trattamento, sembrerebbe poter consentire una dilatazione del concetto di necessità, lasciando filtrare elementi valutativi tipicamente dipendenti dalla sensibilità aziendale. Cionondimeno, non ci si può esimere dal segnalare come il ricorso al consenso ex art. 22, par. 2, lett. c) rappresenti verosimilmente la soluzione ottimale e più esente da rischi, oltreché più rispettosa delle garanzie di autodeterminazione informativa facenti capo agli interessati.
Tra gli ulteriori adempimenti e accorgimenti a presidio dei diritti e delle libertà degli interessati, meritano di essere segnalati almeno i seguenti: anzitutto, all'interessato deve essere riconosciuto il diritto di accedere ai medesimi prodotti accessibili mediante il processo decisionale automatizzato anche attraverso modalità alternative che non prevedano l'adozione di decisioni basate unicamente su trattamenti automatizzati; la scelta dell'interessato di non essere sottoposto a processi decisionali automatizzati e di ricorrere alle suddette modalità alternative non può in nessun caso esporre l'interessato a discriminazioni; in tal senso, pare ad esempio sconsigliabile prevedere l'applicazione di scontistiche o condizioni agevolate in caso di scelta di ricorrere a processi decisionali automatizzati, posto che il diritto ex art. 22 del GDPR, pur non configurandosi alla stregua di una prerogativa assoluta e insuscettibile di contemperamenti, costituisce un diritto fondamentale degli interessati e la scelta di esercitarlo non dovrebbe a rigore comportare conseguenze svantaggiose e discriminatorie per gli interessati; sempre nell'ottica di evitare discriminazioni a carico dell'interessato, è sempre raccomandabile operare un ragionamento di minimizzazione e proporzionalità in relazione ai parametri personali oggetto del processo decisionale automatizzato; occorre in ogni caso informare chiaramente l'interessato che, con modalità agevoli e immediate e senza pregiudizio della sua posizione, lo stesso dispone del diritto di richiedere l'intervento di un operatore umano in qualsiasi fase del processo, esprimere la propria opinione in qualsiasi fase del processo e contestare la decisione assunta dall'algoritmo. In tale quadro, resta invece fermo che, per principio generale, ai gestori è tassativamente vietato adottare ai sensi del GDPR decisioni che possano incidere su diritti e libertà degli interessati. |
