GDPR: sì all’utilizzo dello scoring ma a determinate condizioni
Sullo sfondo di preoccupazioni più meno fondate sui pericoli che possono derivare dall’utilizzo dell’IA nei più disparati campi, non ultimo quello della valutazione del merito creditizio mediante un credit scoring algoritmico, la Corte di Giustizia ha offerto la sua prima interpretazione dell’art. 22GDPR con la sentenza Schufa del 7 dicembre 2023 nella causa C-634/21, relativa per l’appunto al caso di una società di informazione creditizia: lo “scoring”, lo strumento statistico che si usa per determinare la probabilità di un comportamento futuro, come il rimborso di un credito, è autorizzato ma solo a determinate condizioni. Più precisamente, i giudici europei hanno affermato che rientra nella nozione di «processo decisionale automatizzato relativo alle persone fisiche» di cui all’art. 22 del Regolamento (UE) 2016/679 anche il calcolo automatizzato, effettuato da parte di una società di informazioni creditizie, di un tasso di probabilità basato su dati personali relativi a una persona e riguardanti la capacità di quest’ultima di onorare in futuro gli impegni di pagamento, qualora da tale tasso di probabilità dipenda in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale con la persona da parte di un terzo, al quale è comunicato il tasso di probabilità. Una lettura ampia della norma, dunque, che consente di applicare le tutele del GDPR ai nuovi scenari offerti dall’impiego dell’algoritmo al credit scoring.