Le violazioni del Regolamento generale sulla protezione dei dati (GDPR) possono essere costose. Questo è stato recentemente scoperto anche da una banca diretta, che deve pagare una multa di 300.000 euro.
Il Regolamento generale sulla protezione dei dati, abbreviato GDPR, non è una tigre di carta senza denti. Sempre più aziende lo scoprono, dovendo pagare per violazioni del GDPR. Le autorità sono tenute a imporre multe che siano significative, secondo la società legale MTR Legal Rechtsanwälte, che consiglia, tra l’altro, nel diritto informatico e nella protezione dei dati.
Nel caso presente, il Commissario per la protezione dei dati e la libertà di informazione di Berlino (BInBDI) ha imposto una multa a una banca per mancanza di trasparenza nelle decisioni automatizzate. Si tratta di decisioni prese da un sistema IT sulla base di algoritmi, senza intervento umano. Secondo il GDPR, per tali meccanismi valgono obblighi di trasparenza speciali che la banca non ha rispettato.
In concreto, si trattava di una richiesta di prestito che la banca aveva elaborato in base ad algoritmi. Il richiedente deve fornire, tra l’altro, informazioni su professione, reddito e dati personali. L’algoritmo ha preso una decisione automatizzata sulla base di questi e altri dati, rifiutando la richiesta senza ulteriore spiegazione. Il cliente è rimasto sorpreso dal rifiuto, dato che ha un reddito alto e regolare e un buon punteggio Schufa. Pertanto, ha chiesto alla banca perché il rifiuto.
Tuttavia, la banca ha fornito solo informazioni generali sulla procedura di scoring, senza entrare nel caso specifico. Il cliente non ha potuto quindi comprendere su quali dati e fattori sia stata valutata negativamente la sua solvibilità e la richiesta respinta. Il suo reclamo al responsabile della protezione dei dati di Berlino ha avuto però successo.
Per le decisioni automatizzate, le aziende sono obbligate a fornirne motivazioni valide e comprensibili. La banca avrebbe dovuto informare sui motivi principali del rifiuto. Tuttavia, anche su richiesta, non lo ha fatto in modo trasparente e comprensibile. Pertanto, secondo il commissario alla protezione dei dati, ha violato l’Art. 22 par. 3, Art. 5 par. 1 lett. a e Art. 15 par. 1 lett. h GDPR.
MTR Legal Rechtsanwälte consiglia in materia di diritto IT e protezione dei dati.
