mobile logo
MAZZA
AHEAD OF FUTURE
 

Bancario, Merito creditizio, Processo decisionale automatizzato relativo alle persone fisiche, Corte di Giustizia dell’Unione Europea, Prima Sezione, sentenza del 07 dicembre 2023, causa C‑634/21

Studio Legale Mazza > News  > Bancario, Merito creditizio, Processo decisionale automatizzato relativo alle persone fisiche, Corte di Giustizia dell’Unione Europea, Prima Sezione, sentenza del 07 dicembre 2023, causa C‑634/21
31 Gennaio 2024
0 Comments

Bancario, Merito creditizio, Processo decisionale automatizzato relativo alle persone fisiche, Corte di Giustizia dell’Unione Europea, Prima Sezione, sentenza del 07 dicembre 2023, causa C‑634/21

Posted by mazza
in News

Credit score

Interpretazione dell’articolo 6, paragrafo 1, e dell’articolo 22 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, e rettifica in GU 2018, L 127, pag. 2; in prosieguo: il «RGPD».

Diritto dell’Unione

Il considerando 71 del RGPD; l’articolo 4 di detto regolamento, intitolato «Definizioni»; l’articolo 5 del medesimo regolamento, rubricato «Principi applicabili al trattamento di dati personali», prevede:

Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 22 – Processo decisionale automatizzato relativo alle persone fisiche – Società che forniscono informazioni commerciali – Calcolo automatizzato di un tasso di probabilità relativo alla capacità di una persona di onorare impegni di pagamento in futuro (“scoring”) – Utilizzo di tale tasso di probabilità da parte di terzi»

Passim

52   A tal riguardo, occorre rilevare che, come osservato dall’avvocato generale al paragrafo 31 di tali conclusioni, l’articolo 22, paragrafo 1, del RGPD conferisce all’interessato il «diritto» di non essere oggetto di una decisione fondata esclusivamente su un trattamento automatizzato, compresa la profilazione.Tale disposizione sancisce un divieto di principio la cui violazione non necessita di essere fatta valere individualmente da una tale persona.

53  Infatti, come risulta dal combinato disposto dell’articolo 22, paragrafo 2, del RGPD e del considerando 71 di tale regolamento, l’adozione di una decisione basata esclusivamente su un trattamento automatizzato è autorizzata solo nei casi di cui a tale articolo 22, paragrafo 2, ossia qualora tale decisione sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento [lettera a)], qualora sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento [lettera b)], o si basi sul consenso esplicito dell’interessato [lettera c)].

54  Inoltre, l’articolo 22 del RGPD prevede, al paragrafo 2, lettera b), e al paragrafo 3, che devono essere previste misure appropriate per la salvaguardia dei diritti, delle libertà e dei legittimi interessi dell’interessato. Nei casi di cui all’articolo 22, paragrafo 2, lettere a) e c), di tale regolamento, il titolare del trattamento attua almeno il diritto dell’interessato di ottenere un intervento umano, di esprimere la propria opinione e di contestare la decisione.

55   Peraltro, conformemente all’articolo 22, paragrafo 4, del RGPD, è solo in taluni casi specifici che le decisioni basate unicamente sul trattamento automatizzato, ai sensi di tale articolo 22, possono essere fondate sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, di tale regolamento.

56    Per di più, nel caso di adozione di una decisione basata unicamente sul trattamento automatizzato, come quella di cui all’articolo 22, paragrafo 1, del RGPD, da un lato, il titolare del trattamento è soggetto a obblighi di informazione supplementari in forza dell’articolo 13, paragrafo 2, lettera f), nonché dell’articolo 14, paragrafo 2, lettera g), di tale regolamento. Dall’altro lato, l’interessato gode, in forza dell’articolo 15, paragrafo 1, lettera h), di detto regolamento, del diritto di ottenere dal titolare del trattamento, tra l’altro, «informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato».

57    Tali requisiti più rigorosi per quanto riguarda la liceità di un processo decisionale automatizzato nonché gli obblighi di informazione supplementari del titolare del trattamento e i relativi diritti di accesso supplementari dell’interessato si spiegano con la finalità perseguita dall’articolo 22 del RGPD, che consiste nel proteggere le persone contro i rischi specifici per i loro diritti e le loro libertà derivanti dal trattamento automatizzato di dati personali, compresa la profilazione.

58   Infatti, tale trattamento implica, come risulta dal considerando 71 del RGPD, la valutazione di aspetti personali relativi alla persona fisica interessata da tale trattamento, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato.

59    Secondo tale considerando, tali rischi specifici possono compromettere i legittimi interessi e i diritti dell’interessato, in particolare tenendo conto dei potenziali effetti discriminatori nei confronti delle persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale. Pertanto, sempre secondo detto considerando, occorre prevedere garanzie adeguate e assicurare un trattamento corretto e trasparente nel rispetto dell’interessato, in particolare mediante l’uso di procedure matematiche o statistiche appropriate per la profilazione e mediante l’applicazione di misure tecniche e organizzative adeguate al fine di minimizzare il rischio di errori.

65    Per quanto riguarda, più specificamente, l’articolo 22, paragrafo 2, lettera b), del RGPD, al quale fa riferimento il giudice del rinvio, dalla formulazione stessa di tale disposizione risulta che il diritto nazionale che autorizza l’adozione di una decisione basata unicamente sul trattamento automatizzato deve precisare misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.

66   Alla luce del considerando 71 del RGPD, siffatte misure devono comprendere, in particolare, l’obbligo per il titolare del trattamento di utilizzare procedure matematiche o statistiche appropriate per la profilazione, di metter in atto misure tecniche e organizzative adeguate al fine di garantire che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e impedire, tra l’altro, effetti discriminatori nei suoi confronti. Tali misure comprendono inoltre quantomeno il diritto dell’interessato di ottenere l’intervento umano, di esprimere la propria opinione e di contestare la decisione adottata nei suoi confronti.

67   Occorre inoltre rilevare che, conformemente alla giurisprudenza costante della Corte, qualsiasi trattamento di dati personali deve, da un lato, essere conforme ai principi relativi al trattamento dei dati stabiliti all’articolo 5 del RGPD e, dall’altro, alla luce, in particolare, del principio della liceità del trattamento, previsto al paragrafo 1, lettera a), di tale articolo, soddisfare una delle condizioni di liceità del trattamento elencate all’articolo 6 di tale regolamento (sentenza del 20 ottobre 2022, Digi, C 77/21, EU:C:2022:805, punto 49 e giurisprudenza ivi citata). Il titolare del trattamento deve essere in grado di dimostrare il rispetto di tali principi, conformemente al principio di responsabilità enunciato all’articolo 5, paragrafo 2, di detto regolamento (v., in tal senso, sentenza del 20 ottobre 2022, Digi, C 77/21, EU:C:2022:805, punto 24).

68   Pertanto, nell’ipotesi in cui il diritto di uno Stato membro autorizzi, conformemente all’articolo 22, paragrafo 2, lettera b), del RGPD, l’adozione di una decisione fondata esclusivamente su un trattamento automatizzato, tale trattamento deve rispettare non solo le condizioni stabilite da quest’ultima disposizione e dall’articolo 22, paragrafo 4, di tale regolamento, ma anche i requisiti stabiliti agli articoli 5 e 6 di detto regolamento. Pertanto, gli Stati membri non possono adottare, ai sensi dell’articolo 22, paragrafo 2, lettera b), del RGPD, normative che autorizzino la profilazione in violazione dei requisiti stabiliti da tali articoli 5 e 6, come interpretati dalla giurisprudenza della Corte.

70   Inoltre, per quanto riguarda più in particolare l’articolo 6, paragrafo 1, lettera f), del RGPD, gli Stati membri non possono, ai sensi dell’articolo 22, paragrafo 2, lettera b), di tale regolamento, discostarsi dai requisiti risultanti dalla giurisprudenza della Corte derivante dalla sentenza del 7 dicembre 2023, SCHUFA Holding, C 26/22 e C 64/22, (Esdebitazione) (EU:C:2023:xxx), in particolare stabilendo in modo definitivo il risultato della ponderazione dei diritti e degli interessi in gioco (v., in tal senso, sentenza del 19 ottobre 2016, Breyer, C 582/14, EU:C:2016:779, punto 62).

73     Alla luce di tutte le considerazioni che precedono, occorre rispondere alla prima questione dichiarando che l’articolo 22, paragrafo 1, del RGPD deve essere interpretato nel senso che il calcolo automatizzato, da parte di una società che fornisce informazioni commerciali, di un tasso di probabilità basato su dati personali relativi a una persona e riguardanti la capacità di quest’ultima di onorare in futuro gli impegni di pagamento costituisce un «processo decisionale automatizzato relativo alle persone fisiche», ai sensi di tale disposizione, qualora da tale tasso di probabilità dipenda in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale con tale persona da parte di un terzo, al quale è comunicato tale tasso di probabilità.

la Corte (Prima Sezione) dichiara:

L’articolo 22, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che: il calcolo automatizzato, da parte di una società che fornisce informazioni commerciali, di un tasso di probabilità basato su dati personali relativi a una persona e riguardanti la capacità di quest’ultima di onorare in futuro gli impegni di pagamento costituisce un «processo decisionale automatizzato relativo alle persone fisiche», ai sensi di tale disposizione, qualora da tale tasso di probabilità dipenda in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale con tale persona da parte di un terzo, al quale è comunicato tale tasso di probabilità.

Fonte Curia

News by Mazzalex