Nota: le sentenze non sono collegate ai casi noyb
Sentenze storiche della CGUE sulla "classifica dei crediti" e sul riesame delle DPA
La Corte di giustizia europea (CGUE) ha emesso oggi due sentenze fondamentali in un procedimento contro l'agenzia tedesca di riferimento creditizio SCHUFA, che in precedenza godeva di una notevole libertà in Germania. La CGUE ha confermato che i tribunali nazionali hanno ampi poteri di controllo sulle autorità di protezione dei dati, rafforzando così i diritti degli interessati. Inoltre, il tribunale ha stabilito che l'assegnazione di punteggi di credito calcolati automaticamente non è in linea con il GDPR.
- Dichiarazione dell'avvocato che ha rappresentato uno dei ricorrenti contro lo SCHUFA
- Comunicato stampa della CGUE
Qual è il business del ranking creditizio? Società come SCHUFA sono le cosiddette agenzie di riferimento creditizio. Raccolgono grandi quantità di dati personali per assegnare alle persone un presunto merito creditizio. Questo punteggio viene utilizzato da banche e aziende per valutare se una persona debba ottenere un prestito o un contratto di telefonia mobile.
Contesto: Cancellazione dei dati e credit scoring automatizzato. Il punto di partenza del procedimento della CGUE, ora deciso, sono stati due reclami contro SCHUFA presso l'Autorità per la protezione dei dati dell'Assia (HBDI). In un caso (cause riunite C-26/22 e C-64/22), la persona interessata aveva chiesto la cancellazione di dati sull'insolvenza dal database dello SCHUFA dopo che questi erano già stati cancellati dal registro pubblico delle insolvenze, da cui erano stati prelevati dallo SCHUFA e ulteriormente memorizzati. L'HBDI non solo ha respinto il caso, ma ha addirittura sostenuto che il tribunale competente non può riesaminare la sua decisione nel merito. Il secondo caso (C-634/21) riguardava la questione se lo SCHUFA sia autorizzato a emettere automaticamente punteggi di credito o se ciò costituisca una "decisione automatizzata in casi individuali", ampiamente vietata dal GDPR.
La sentenza nelle cause riunite C-26/22 e C-64/22(Link)
Controllo giurisdizionale completo delle autorità di protezione dei dati. La sentenza della CGUE ha aumentato in modo massiccio la pressione sulle autorità di protezione dei dati (DPA). In alcuni Stati membri dell'UE, tra cui la Germania, le autorità di protezione dei dati hanno finora ritenuto che un reclamo presentato dagli interessati ai sensi del GDPR fosse solo una sorta di "petizione". In pratica, questo ha significato che, nonostante un budget annuale di 100 milioni di euro, le DPA tedesche hanno respinto molti reclami con giustificazioni bizzarre e le violazioni del GDPR non sono state perseguite. In Paesi come l'Irlanda, oltre il 99% dei reclami non è stato trattato e in Francia è stato negato agli interessati il diritto di partecipare alla procedura relativa ai propri diritti. Alcune autorità di protezione dei dati, come quella dell'Assia nel caso in questione, hanno anche sostenuto che ai tribunali è vietato rivedere le loro decisioni nel dettaglio.
Più diritti per gli interessati. La CGUE ha ora posto fine a questo approccio. Ha stabilito che l'articolo 77 del GDPR è stato concepito come un meccanismo per salvaguardare efficacemente i diritti e gli interessi degli interessati. Inoltre, la Corte ha stabilito che l'articolo 78 del GDPR consente ai tribunali nazionali di effettuare un riesame completo delle decisioni dell'autorità di protezione dei dati. Ciò include la valutazione se le autorità hanno agito entro i limiti della loro discrezionalità.
Raphael Rohrmoser, avvocato del ricorrente in questo caso: "La Corte di giustizia europea ha rafforzato in modo massiccio i diritti degli interessati. L'archiviazione di dati provenienti da registri pubblici non è più consentita che nel registro stesso"
La sentenza nella causa C-634/21(Link)
Il business delle classifiche di credito è in bilico. Ma non è tutto. Con la sentenza nella causa C-634/21, la CGUE fa vacillare l'intero modello di business della SCHUFA (e di altre agenzie di credito): il calcolo completamente automatizzato della presunta affidabilità creditizia mediante algoritmi opachi rientra nella protezione speciale dell'articolo 22 del GDPR. Questa disposizione vieta l'uso di dati personali per decisioni completamente automatizzate che abbiano un "effetto negativo significativo" sugli interessati. In altre parole, le decisioni di una certa portata non dovrebbero essere prese solo da algoritmi.
Marco Blocher: "Assegnare semplicemente ai cittadini un punteggio di credito incomprensibile e poi rifiutare automaticamente i contratti è un ricordo del passato grazie alla sentenza della CGUE"
Il divieto di assegnazione automatica del punteggio di credito. Il settore delle agenzie di credito ha finora sostenuto che anche un punteggio di credito pessimo, che certamente impedirebbe a una persona di concludere un gran numero di contratti (come prestiti, assicurazioni, contratti di affitto o di fornitura di elettricità), non è una "decisione negativa". Secondo loro, la decisione finale spetta alla società che utilizza il punteggio. La CGUE è di parere diverso e ha ora stabilito che l'attribuzione del merito creditizio può già costituire una decisione ai sensi dell'articolo 22 del GDPR. Ciò significa che il credit scoring automatizzato nella sua forma attuale è vietato alle agenzie di credito in tutta l'UE. Se in futuro lo SCHUFA vorrà calcolare l'affidabilità creditizia delle persone, avrà bisogno del loro consenso esplicito. Inoltre, gli interessati devono avere la possibilità di contestare un punteggio di credito.
Raphael Rohrmoser, avvocato del ricorrente in questa causa: "Non va sottovalutato il fatto che gli interessati possono ora regolarmente intraprendere azioni legali contro le decisioni ufficiali. Questo rafforzerà certamente l'applicazione dei diritti del GDPR"