Diritto dei Media

*di Fulvio Sarzana di S. Ippolito, Avvocato, Studio legale Sarzana.

La Corte di Giustizia UE tra GDPR e Artificial Intelligence Act

Una sentenza della Corte di Giustizia della UE in materia di “scoring” dell’affidabilità bancaria si inserisce in maniera “prepotente” nel dibattito in corso all’interno delle istituzioni comunitarie sull’Artificial Intelligence Act, occupandosi per la prima volta della portata generale dell’art 22 del GDPR.

Quest’ultima norma sancisce il diritto dell’interessato a non subire una decisione basata esclusivamente sul trattamento automatizzato dei propri dati personali.

La norma aggiunge, inoltre, che detto divieto è previsto, altresì, nei casi in cui il trattamento è effettuato per scopi di “profilazione”.

La questione di fatto riguardava il ricorso, presentato da diversi cittadini tedeschi che contestavano dinanzi al tribunale amministrativo di Wiesbaden (Germania) il rifiuto del competente garante per la protezione dei dati di agire contro talune attività della SCHUFA, una società privata che fornisce informazioni commerciali i cui clienti sono, in particolare, banche.

I ricorrenti si opponevano concretamente allo «scoring» nonché alla conservazione di informazioni relative alla concessione di informazioni sull’affidabilità finanziaria tratte da registri pubblici.

Lo «scoring» è un metodo statistico matematico che consente di determinare una previsione sulla probabilità di un comportamento futuro, come il rimborso di un credito.

Le informazioni relative alla concessione di un’esdebitazione sono conservate per sei mesi nel registro pubblico tedesco delle insolvenze, mentre un codice di condotta delle società tedesche che forniscono informazioni commerciali prevede, per le banche dati di competenza di queste ultime, una durata di conservazione di tre anni.

Il tribunale amministrativo tedesco aveva chiesto alla Corte di giustizia di precisare la portata della protezione dei dati personali, come prevista dal regolamento generale sulla protezione dei dati (GDPR).

Per quanto riguarda lo «scoring», la Corte dichiara che esso deve essere considerato un «processo decisionale automatizzato» in linea di principio vietato dal GDPR, qualora i clienti della SCHUFA, quali le banche, gli attribuiscano un ruolo determinante nell’ambito della concessione di crediti.

Secondo il tribunale amministrativo di Wiesbaden, questo è ciò che avviene.

Spetta a tale tribunale valutare se la legge federale tedesca sulla protezione dei dati contenga, conformemente al GDPR, un’eccezione valida a tale divieto.

In caso affermativo, esso dovrà ancora verificare se siano soddisfatte le condizioni generali previste dal GDPR per il trattamento dei dati.

Per quanto riguarda le informazioni relative alla concessione di un’esdebitazione, la Corte dichiara contrario al GDPR il fatto che agenzie private conservino tali dati più a lungo del registro pubblico dei fallimenti.

Infatti, l’esdebitazione riveste un’importanza esistenziale per la persona interessata, in quanto ha lo scopo di consentire a quest’ultima di partecipare nuovamente alla vita economica.

Orbene, tali informazioni sono sempre utilizzate come fattore negativo nella valutazione della solvibilità della persona interessata.

Nel caso di specie, il legislatore tedesco ha previsto una memorizzazione dei dati per sei mesi. Esso ritiene quindi che, al termine dei sei mesi, i diritti e gli interessi della persona interessata prevalgano su quelli del pubblico a disporre di tale informazione.

Nei limiti in cui la conservazione dei dati è illecita, come avviene oltre i sei mesi, la persona interessata ha diritto a che tali dati siano cancellati e l’agenzia è tenuta a cancellarli senza ingiustificato ritardo.

Per quanto riguarda la conservazione parallela di siffatte informazioni da parte della SCHUFA durante tali sei mesi, spetta al tribunale amministrativo ponderare gli interessi in gioco al fine di valutarne la liceità.

Qualora esso dovesse concludere che è lecita la conservazione parallela durante sei mesi, l’interessato disporrà comunque di un diritto di opporsi al trattamento dei suoi dati e di un diritto alla loro cancellazione, a meno che la SCHUFA non dimostri l’esistenza di legittimi motivi cogenti.

Infine, la Corte sottolinea che i giudici nazionali devono poter esercitare un controllo completo su qualsiasi decisione giuridicamente vincolante dell’autorità di controllo.

La decisione è importante dal punto di vista ordinamentale perché affronta il tema degli ulteriori poteri nazionali di derogare al GDPR in materia di decisione automatizzata e sulla base giuridica da adottare in caso tale deroga sia giustificata dalle norme statali, concludendo per il rispetto comunque dei principi in tema dei diritti dell’interessato, qualora tale deroga sia sussistente.

Il tema è molto rilevante perché nel futuro assetto comunitario in materia di intelligenza artificiale non sono ancora chiari i poteri nazionali di deroga su temi molto sensibili quali quelli della videosorveglianza biometrica, su cui si è consumato l’ultimo “scontro” nell’ambito del trilogo comunitario andato in scena in questi giorni.

La Corte di Giustizia UE tra GDPR e Artificial Intelligence Act

Blog

La convergenza tra televisione, nuove tecnologie e telecomunicazioni ha prospettato la nascita di un “nuovo” diritto.

Indica un intervallo di date:

Archivio post

Post Recenti

Ecco il Digital Markets ACT ( DMA). Dal 7 marzo.

Piracy Shield: l’AGCOM ha il potere di agire contro Google, il motore e lo store, e nei confronti dei VPN ( virtual private network provider)?

Conservazione dei dati e delle immagini del lavoratore, il Garante interviene ma la Cassazione afferma il contrario.

Segui anche su

RSS
Segui

I Nostri Blog

24zampe

Crossroads

Info Data