Decisione del Tribunale amministrativo di Wiesbaden sull’intervento di vigilanza contro la Schufa
La giurisdizione amministrativa si è già ripetutamente occupata della portata degli obblighi di informazione delle agenzie di credito nei confronti delle persone interessate. Attualmente, il Tribunale amministrativo di Wiesbaden, con ordinanza del 29 dicembre 2023 (n. 6 K 788/20.WI), si è pronunciato sulla questione se il diritto della protezione dei dati consenta alla Schufa Holding AG di comunicare, nell’ambito della comunicazione dello score, i fattori utilizzati per il calcolo, senza però rivelare le esatte ponderazioni.
Contesto del procedimento
L’avvio del procedimento è stato determinato dall’intervento dell’autorità di controllo della protezione dei dati, che ha contestato che le informazioni fornite dalla Schufa alle persone interessate non tutelassero a sufficienza i loro diritti di accesso ai sensi dell’art. 15 GDPR. In particolare, l’autorità ha criticato il fatto che le comunicazioni della Schufa riguardo ai valori dello score illustrassero i principi del calcolo solo in modo generale, impedendo così alle persone interessate di ricostruire la decisione individuale.
Obblighi del titolare secondo il GDPR
Portata dell’obbligo di informazione
Il procedimento ruotava principalmente attorno all’ambito corretto dell’obbligo di informazione secondo l’art. 15 comma 1 e comma 2 GDPR. Ai sensi di tale articolo, le persone interessate hanno diritto a ricevere una spiegazione esaustiva sui dati personali trattati, inclusa “informazioni significative sulla logica coinvolta” nei processi decisionali automatizzati.
Divulgazione dei fattori di ponderazione
Nell’ambito della comunicazione dello score, Schufa ha indicato quali tipologie di dati sono state utilizzate per il calcolo dello score e ha spiegato i fattori generali di calcolo. Tuttavia, la precisa ponderazione dei singoli dati non è stata comunicata – con riferimento al segreto commerciale. L’autorità di controllo ha inoltre richiesto che anche tali informazioni fossero rese note in modo dettagliato.
Valutazione del Tribunale amministrativo
Bilanciamento tra esigenza di trasparenza e tutela dei segreti commerciali
Il Tribunale amministrativo di Wiesbaden ha concluso che la prassi adottata dalla Schufa è sostanzialmente conforme ai requisiti della protezione dei dati. In particolare, il tribunale ha affermato che l’obiettivo della trasparenza può essere raggiunto tramite la comunicazione delle tipologie di dati rilevanti e delle modalità generali di funzionamento, senza limitare in modo sproporzionato il legittimo interesse dell’azienda alla tutela dei propri segreti commerciali.
Nessun ulteriore diritto di accesso riguardo ai dettagli della ponderazione
In sintesi, il tribunale non ha ravvisato l’obbligo di fornire dettagli ulteriori, oltre a quelli già comunicati, sui singoli fattori di ponderazione o sui modelli matematici. Un tale obbligo comprometterebbe la competitività dell’agenzia di credito senza che ne derivasse un sensibile aumento dell’informazione per la persona interessata.
Significato per le aziende interessate e i responsabili
La decisione del Tribunale amministrativo di Wiesbaden è di notevole rilevanza per quanto riguarda la gestione delle richieste di accesso ai sensi del GDPR da parte delle agenzie di credito e di altri titolari del trattamento. La motivazione della sentenza sottolinea che la tutela dei segreti commerciali continua a essere presa in considerazione nell’elaborazione degli obblighi di informazione. Le aziende interessate devono comunque assicurare di fornire informazioni significative sul funzionamento dei propri processi decisionali automatizzati.
Si deve osservare che attualmente è possibile presentare ricorsi contro questa decisione (stato secondo VG Wiesbaden, 6 K 788/20.WI), pertanto il quadro giuridico potrebbe essere oggetto di ulteriori pronunciamenti giudiziari. Rimane valido il principio della presunzione di innocenza per tutte le parti coinvolte.
Necessità di discussione e inquadramento giuridico
Per le aziende responsabili, dalla decisione deriva ancora un certo margine di manovra su come adempiere agli obblighi derivanti dall’art. 15 GDPR in relazione ai processi decisionali automatizzati. Tuttavia, la concreta applicazione rimane un ambito giuridico complesso e in evoluzione, che deve essere continuamente oggetto di verifica, soprattutto alla luce di ulteriori decisioni giudiziarie.
Chi, in considerazione della complessità del diritto sulla protezione dei dati, desidera condurre un’analisi approfondita dei propri processi in relazione ai diritti di accesso e informazione previsti dal Regolamento generale sulla protezione dei dati, trova ulteriori informazioni e consulenza legale personalizzata sulla privacy presso MTR Legal.
