Sin dall’entrata in vigore del Regolamento (UE) 2016/679 (di seguito, GDPR), l’articolo 22 ha suscitato numerose discussioni in dottrina, e non solo, in merito alla sua applicabilità. Difatti, come è stato osservato da autorevoli studiosi, l’art. 22 del GDPR, da cui deriva il c.d. “diritto a una spiegazione”, solleva numerosi dubbi interpretativi ed applicativi rispetto all’effettiva tutela dell’interessato (sul punto, si rimanda, ad esempio, a S. Wachter, B. Mittelstadt, L. Floridi, 2017).
Più recentemente si è tornati a discutere dell’ambito di applicazione del presente articolo giacché è in discussione il primo caso dinanzi ai giudici della Corte di Giustizia dell’Unione Europea che concerne esattamente l’articolo 22. Quest’ultimo, come è noto, assegna un particolare diritto all’interessato: ossia, il diritto di non subire una decisione basata esclusivamente sul trattamento automatizzato dei propri dati personali. Il paragrafo 1 della norma aggiunge, inoltre, che detto divieto è previsto, altresì, nei casi in cui il trattamento è effettuato per scopi di “profilazione”. La decisione che è oggetto dell’articolo, dalla lettera della norma, affinché sia contestabile dall’interessato, deve produrre effetti giuridici ovvero incidere in modo analogo sulla sua persona.
Proprio l’interpretazione dell’articolo 22, nonché dell’art. 6, del GDPR, è il preciso oggetto delle Conclusioni dell’Avvocato Generale Pikamäe rassegnate nella causa C-634/21 tra SCHUFA Holding e altri. In fatto, la ricorrente contestava alla società SCHUFA Holding il trattamento che dei propri dati quest’ultima effettuava per conto di istituti bancari tedeschi. La SCHUFA Holding ha, difatti, come suo business principale quello di fornire a detti istituti informazioni in merito all’affidabilità finanziaria di clienti. La ricorrente, dopo che le era stata negata l’apertura di una linea di credito, nell’esercitare i diritti che le sono precisamente assegnati da Regolamento, effettuava una richiesta di accesso ai dati personali in possesso da SCHUFA. Quest’ultima rispondeva fornendo delle indicazioni meramente relative ai parametri che sono stati utilizzati nell’analisi automatizzata dei propri dati (in merito all’interpretazione dell’articolo 15 recentemente fornita dalla Corte di Giustizia nella sentenza C-154/2021, si rimanda al commento pubblicato in questo blog).
Il rifiuto a condividere ulteriori e più precise informazioni con la ricorrente è stato contestato dalla ricorrente dinanzi al Tribunale Amministrativo del Wiesbden che, ricevuti gli atti di causa, ha riferito la questione alla Corte di Giustizia dell’Unione Europea ex art. 267 del Trattato sul Funzionamento dell’Unione Europea. Il rinvio pregiudiziale concerne l’interpretazione degli articoli 22 e 6 del Regolamento, come si premetteva; in secondo luogo, i giudici di prime cure hanno domandato alla Corte di Giustizia di chiarire fino a che punto gli Stati Membri possano prevedere regole ulteriori e specifiche in merito alla base giuridica del trattamento. In particolare, ciò che il Tribunale di prima istanza chiede è se si possa considerare l’attività di credit scoring come un trattamento automatizzato dei dati personali dell’interessato.
In data 16 marzo 2023, sono state pubblicate le Conclusioni rassegnate dall’Avvocato Generale Pikamäe, il quale ha dapprima dato un’interpretazione dell’art. 22, alla luce del Cons. 71, e è poi passato a considerare se il trattamento effettuato dalla società convenuta possa essere ascrivibile alla norma in questione. In merito al primo aspetto, l’AG ha puntualizzato che la norma prevede un peculiare diritto che, «malgrado la terminologia impiegata, l’applicazione dell’articolo 22, paragrafo 1, del RGPD non richiede che l’interessato invochi attivamente il diritto», prevedendo invece «la disposizione de qua un divieto generale delle decisioni della tipologia sopra descritta» (§31). Chiarito questo punto, occorre verificare se si applichi l’art. 22 alle agenzie di valutazione del credito che forniscono punteggi di scoring alle società finanziarie.
A tal riguardo, si sottolinea che la conseguenza sofferta dalla ricorrente, ossia il non venirsi assegnato un finanziamento da parte della banca, è il frutto della seconda “decisione” che è stata presa nella fattispecie in esame. L’AG ha correttamente ritenuto la “decisione automatizzata” prodromica alla scelta dell’istituto e, peraltro, fondamentale visto il valore che le viene assegnato dagli istituti stessi, alquanto vincolante rispetto al risultato finale (§35-52). Con riguardo al credit scoring, dunque, l’AG Pikamäe ha argomentato che questo può essere considerato una decisione basata esclusivamente sul trattamento automatizzato quando lo scoring predetermina la decisione dell’istituto e quando vi è un margine di discrezionalità rispetto alla correttezza della decisione (§42-44). È peculiare sottolineare che detta interpretazione viene data sulla base dell’interesse negativo sofferto dall’interessato, il quale, proprio per via delle conseguenze che a catena vengono prodotte dallo scoring, potrà opporsi ad esso e indirizzare le proprie richieste direttamente all’agenzia (§47-52. In part., si legga §51). Alla luce dell’analisi dell’AG, viene data un’interpretazione ampia dell’art. 22 del GDPR, come aveva peraltro suggerito anche il giudice del rinvio (§50).
La seconda questione pregiudiziale ha riguardato, invece, l’esistenza nel Regolamento di una base giuridica che conferisce competenze normative agli Stati Membri. Detto differentemente: si è posta la domanda in merito all’effettiva estensione dell’autonomia degli Stati Membri nel prevedere regole ulteriori rispetto a quelle di cui al Regolamento. Su questo punto, raccogliendo lo scetticismo del giudice del rinvio, l’AG chiarisce che l’articolo 6, paragrafo 1, e l’articolo 22 del GDPR non ostano a una normativa nazionale sulla profilazione quando questa non rientra nell’ambito di applicazione dell’articolo 22, paragrafo 1, del GDPR. Tuttavia, in tal caso, il giudice nazionale deve rispettare le condizioni stabilite dall’articolo 6 del GDPR. In particolare, deve basarsi su una base giuridica appropriata, che spetta al giudice nazionale verificare.
Quest’ultimo punto pare di cruciale importanza in vista della definizione dell’AI Act, il Regolamento che normerà molti degli aspetti concernenti l’utilizzo di sistemi basati su Intelligenza Artificiale, che, già dalle prime versioni, assegnava una certa libertà agli Stati Membri di definire regole ulteriori, in particolare rispetto all’utilizzo di tecnologie come il riconoscimento biometrico.