Chiarimenti significativi della Corte di Giustizia dell’Unione Europea sul ruolo del punteggio SCHUFA nella valutazione della solvibilità
Il 7 dicembre 2023 la Corte di Giustizia dell’Unione Europea (CGUE), nell’ambito di diversi procedimenti pregiudiziali (C-634/21, C-26/22 e C-64/22), ha emesso decisioni che rivedono radicalmente l’interpretazione finora vigente in merito al trattamento e all’utilizzo del cosiddetto punteggio SCHUFA. Le sentenze riguardano aspetti fondamentali del Regolamento Generale sulla Protezione dei Dati (GDPR), della valutazione del merito creditizio e del bilanciamento degli interessi in materia di protezione dei dati tra le persone interessate e le società di informazione creditizia.
Contesto della decisione
I procedimenti riguardavano reclami di cittadini che si opponevano al trattamento automatizzato e all’utilizzo determinante dei punteggi SCHUFA da parte di banche e altri partner commerciali nell’ambito delle decisioni sul credito. In sostanza, si trattava di chiarire se, e in quale misura, il punteggio basato su algoritmi potesse essere determinante per la concessione del credito – ad esempio in caso di richieste di prestiti, contratti di leasing o stipule contrattuali.
Trattamento dei dati e processo decisionale automatizzato
Il punteggio come profilazione personale
La CGUE ha chiarito che la creazione di un punteggio SCHUFA costituisce una forma di “profilazione” ai sensi dell’art. 4 n. 4 GDPR. In questo contesto, i dati, in particolare sulla puntualità nei pagamenti e nell’adempimento contrattuale, vengono aggregati, analizzati e trasformati in una valutazione numerica. Ne risulta un profilo di rischio personale accessibile a banche e altri partner commerciali.
Rilevanza ai sensi del GDPR
Di particolare rilievo è la constatazione che l’utilizzo esclusivo o prevalente di tale punteggio per la decisione di stipulare o rifiutare un contratto configura una decisione individuale automatizzata ai sensi dell’art. 22 GDPR. Decisivo è se sia ancora previsto un controllo umano o se il risultato numerico del punteggio sia di fatto vincolante ai fini della decisione.
Implicazioni per la prassi commerciale di istituti di credito e società informative
Ammissibilità delle decisioni automatizzate
Secondo le sentenze, in futuro non sarà più consentito a banche, assicurazioni e altri partner contrattuali utilizzare il punteggio SCHUFA come unico o prevalente fattore decisionale, a meno che non siano adottate misure adeguate per garantire una valutazione individuale aggiuntiva. Solo un ruolo di supporto delle informazioni derivanti dallo scoring è permesso.
Trasparenza e diritti all’informazione
Le sentenze sottolineano inoltre il diritto degli interessati a ricevere informazioni trasparenti ai sensi dell’art. 15 GDPR. Le aziende sono obbligate a rendere noto in quale misura e su quale base dati venga calcolato il punteggio nonché come questo sia stato utilizzato nel processo decisionale.
Ulteriori questioni giuridiche: regolamentazione degli oneri pregressi e cancellazione dei dati
Trattamento delle esdebitazioni
Un altro tema centrale era il trattamento delle informazioni riguardanti le esdebitazioni ottenute e la loro conservazione nell’ambito dei processi di scoring. La CGUE ha precisato che le normative nazionali che consentono la conservazione di tali dati oltre il periodo previsto dai registri pubblici non sono conformi al diritto dell’Unione. Ciò significa che la conservazione e l’utilizzo continuato di tali dati da parte di società informative come SCHUFA potrebbe non essere più consentito non appena i registri pubblici avranno eliminato le relative informazioni.
Diritti alla cancellazione e rettifiche
Per gli interessati, dalle decisioni deriva un diritto rafforzato alla cancellazione o rettifica di dati non corretti o obsoleti relativi al punteggio. In particolare, i dati sulle esdebitazioni non possono essere conservati più a lungo di quanto previsto per i registri pubblici.
Conseguenze per il settore creditizio e la prassi contrattuale
Le sentenze della CGUE non solo precisano l’interpretazione del GDPR in relazione alle verifiche del merito creditizio, ma incidono anche su modelli di business fondamentali delle società informative e degli istituti di credito. Banche e compagnie di assicurazione sono ora tenute a trasformare i loro processi di verifica della solvibilità su basi decisionali multilaterali, al fine di evitare in futuro rifiuti puramente automatizzati basati su un punteggio.
Requisiti per la motivazione delle decisioni
In futuro sarà dunque richiesta una documentazione dettagliata e, se necessario, una revisione umana del singolo caso, per ottemperare alle disposizioni della CGUE e del GDPR. Le decisioni rafforzano la posizione giuridica dei consumatori e aumentano i requisiti di trasparenza e tracciabilità nel trattamento dei dati personali.
Possibili ripercussioni nella pratica
Alla luce di questa giurisprudenza è prevedibile che sia il settore informativo sia i processi di valutazione della solvibilità di molte aziende saranno profondamente adattati. Parallelamente, le autorità di controllo della protezione dei dati sorveglieranno la corretta attuazione e interverranno ove necessario.
Conclusioni e prospettive
Le sentenze attuali della CGUE segnano una pietra miliare nel diritto alla protezione dei dati e rappresentano un significativo sviluppo giuridico in materia di gestione dei dati di scoring, in particolare del punteggio SCHUFA. La portata delle decisioni non si limita al settore creditizio, ma si ripercuote su tutta la prassi della valutazione della solvibilità. Aziende, banche e società informative sono chiamate a rivedere a fondo i loro processi decisionali per conformarsi alle disposizioni del diritto dell’Unione.
Per aziende, investitori e singoli individui, ne derivano nuove sfide e questioni, ad esempio in merito alla gestione conforme al GDPR dei processi interni, al bilanciamento degli interessi nelle verifiche di affidabilità creditizia e alla garanzia dei diritti di informazione e rettifica.
In presenza di questioni complesse e di esigenze individuali sollevate dalla nuova giurisprudenza della CGUE e dalla sua applicazione nella pratica, valutazioni legali mirate possono fornire chiarezza.
Nota: il presente contributo è fornito unicamente a scopo informativo. Per ulteriori domande, i Rechtsanwalt di MTR Legal si avvalgono volentieri della loro vasta esperienza nel diritto bancario, della protezione dei dati e contrattuale.
