Considerazioni sul recente adeguamento al GDPR, il bilanciamento degli interessi e le ripercussioni sul diritto alla riservatezza dei dati.
A partire dal 12.09.2019, in forza del nuovo Codice di Condotta emanato dal Garante Privacy, l’Italia recepisce le norme del GDPR 679/2016 ed evolve la disciplina dei Sistemi di Informazioni Creditizie, finora regolata dal Codice Deontologico del 2004.
Ecco alcune delle principali novità[1]:
– Diritti: rafforzati i diritti a tutela della privacy delle persone interessate
– Informativa: informazioni più complete sui trattamenti dei dati posti in essere dalle società aderenti
– Organismo di monitoraggio: istituito un organismo indipendente che vigili sull’operato dei Sic (Sistemi di informazione creditizia)
– Nuove forme di contatto previo accordo con gli interessati è possibile inviare “preavvisi di segnalazione” anche tramite sistemi di messaggistica istantanea che garantiscano la tracciabilità della consegna.
– Nuove tipologie di rapporti: estensione dei dati censiti alle varie forme di leasing, al noleggio, ai prestiti tra privati (peer to peer lending).
– Serie storiche positive più lunghe – a tutela del credito e per rispondere alle richieste degli organismi di vigilanza, i dati storici positivi sui clienti potranno essere conservati per 60 mesi.
– Trasparenza nelle decisioni – in caso di negazione del credito sulla base di analisi automatizzate l’interessato potrà richiedere la logica di funzionamento degli algoritmi.
– Dati pseudonimizzati per l’allenamento degli algoritmi: gli algoritmi potranno essere “allenati” con dati pseudonimizzati, quindi non più riferibili a un soggetto specifico.
– Sicurezza: adozione di ulteriori misure a tutela della sicurezza dei dati e contro gli accessi illeciti.
Il nuovo Codice di Condotta per i S.I.C. si inserisce in un più ampio dibattito europeo, riguardante il bilanciamento degli interessi, oggetto di un’evoluzione giurisprudenziale ancora in itinere, il cui esito sarà determinante per la costruzione sociale di un’Europa che è ancora alla ricerca di un’identità unitaria.
Il consenso informato, quale base giuridica per il trattamento dei dati, costituisce de facto, nell’ambito dei sistemi di informazioni creditizie, un ostacolo al contenimento dei rischi legati alle possibilità di inadempimento degli obblighi contratti. Il contenimento di tali rischi è certamente configurabile come un interesse legittimo dei titolari del trattamento.
Il Garante ha pertanto eliminato l’obbligo del consenso al trattamento dei dati all’art. 6 del Codice, pur prevedendo la possibilità, per l’interessato, di esercizio dei diritti previsti dal GDPR.
Merita particolare menzione l’art. 10, riguardante l’utilizzo dei discussi “credit score”, ovvero i punteggi sintetici di affidabilità, oggetto di dibattito a livello internazionale, per questioni legate alla conoscibilità degli algoritmi: se negli Stati Uniti gli utenti vengono informati delle tecniche di calcolo dei punteggi[2], in Germania i sistemi utilizzati dal principale gestore sono coperti dal segreto industriale[3].
Il Garante affronta con prudenza il tema della trasparenza nell’utilizzo dei credit score: in caso di rifiuto di una richiesta di finanziamento, viene infatti prevista per l’interessato la possibilità di richiedere approfondimenti sul funzionamento degli algoritmi.
L’Italia, ad ogni modo, adegua la sua normativa a un rapido e progressivo cambio di approccio al credito, di portata mondiale, sviluppatosi a seguito della crisi dei mutui sub-prime e che negli ultimi anni ha preso piede nell’intero mercato: emblematico, a tal proposito, il discusso sistema di credito sociale cinese[4].
Una vera e propria “anagrafe meritocratica creditizia”, dunque, in cui meccanismi premiali o punitivi vengono associati ai diversi comportamenti degli utenti: negli Stati Uniti si discute da anni della possibilità che un utilizzo massiccio dei punteggi sintetici possa agevolare giudizi discriminatori nei confronti delle fasce più deboli della popolazione[5].
Accertata la legittimità degli interessi tutelati tramite l’eliminazione dell’obbligo del consenso, bisognerà porre, pertanto, particolare attenzione nell’individuare un limite che separi i comportamenti, oggetto di possibili valutazioni di merito, dall’estrazione e dal contesto sociale, che sono invece del tutto indipendenti dalla volontà dell’interessato.
L’attuazione del Regolamento, quindi, effettuata con la formula snella dei Codici di Condotta, più frequenti nel Common Law che nella normativa italiana, pur costituendo un passo avanti nella costruzione di un progetto economico e sociale comune, evidenzia luci e ombre di un processo evolutivo ormai irreversibile in cui il diritto alla riservatezza dei propri dati è oggetto di un numero sempre più considerevole di eccezioni.
Note
[1] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9141964
[2] Fonte: Forbes – v. https://www.forbes.com/advisor/personal-finance/fico-score-facts-you-probably-didnt-know/
[3] Fonte: Spiegel – v. https://www.spiegel.de/wirtschaft/service/schufa-co-barley-fordert-mehr-transparenz-von-auskunfteien-a-1241107.html
[4] Per approfondire v. https://www.ilsole24ore.com/art/soros-rischi-social-credit-system-cinese-e-l-analogia-black-mirror-AFDCaDF
[5] v. https://digitalcommons.law.yale.edu/cgi/viewcontent.cgi?article=1122&context=yjolt
[trx_button type=”square” style=”default” size=”large” icon=”icon-file-pdf” align=”center” link=”https://www.opiniojuris.it/wp-content/uploads/2020/02/Nuovo-Codice-di-Condotta-per-i-Sistemi-di-Informazioni-Creditizie-Emiliano-Bezzi.docx.pdf” popup=”no” top=”inherit” bottom=”inherit” left=”inherit” right=”inherit” animation=”bounceIn”]Scarica Pdf[/trx_button]
