Credito e dati personali

Cosa abbiamo in più da dire? Che il 26 agosto, sul tema credito e tecnologia, si è espresso anche il Garante europeo della protezione dei dati.

Chi è il Garante europeo della protezione dei dati?

Il Gepd, noto anche come European Data Protection Supervisor, è l'ente europeo che si occupa della tutela delle norme in materia di protezione dei dati personali. Fra le altre cose, controlla il trattamento dei dati personali da parte dell'amministrazione Ue per assicurare il rispetto delle norme sulla privacy, offre consulenza alle istituzioni e agli organi dell’Ue sui vari aspetti del trattamento dei dati personali e passa al vaglio le nuove tecnologie e il loro impatto sulla protezione dei dati.

Cos’ha detto il Garante sulla proposta Ue?

La proposta, lo ricordiamo, punta all’aggiornamento delle norme vigenti in materia di credito al consumo al fine di far fronte ai cambiamenti connessi alla digitalizzazione e ad altre tendenze del mercato, come il maggior uso dei canali di vendita online o le nuove forme di credito al consumo, per esempio i prestiti a breve termine.

“Il Gepd ritiene che la proposta abbia un chiaro impatto sulla protezione dei diritti e delle libertà delle persone fisiche per quanto riguarda il trattamento dei dati personali, in particolare le disposizioni relative alla valutazione del merito di credito e alle offerte personalizzate sulla base del trattamento automatizzato”, si legge nel comunicato stampa diffuso a fine agosto.

Nel suo parere sulla proposta della Commissione Ue, il Garante fa sapere che “sostiene l’obiettivo della proposta di rafforzare la protezione dei consumatori e ricorda il rapporto di complementarità tra la protezione dei consumatori e quella dei dati”.

Wojciech Wiewiórowski, che attualmente ricopre il ruolo di Garante a livello europeo, in una dichiarazione ufficiale ha tenuto a sottolineare infatti come l’utilizzo dei dati personali abbia un impatto decisivo sulla capacità di ottenere un accesso equo al credito: “le valutazioni del merito di credito sono necessarie nell’interesse sia dei creditori sia dei consumatori, ed è fondamentale che ci siano garanzie appropriate per assicurare che i dati personali delle persone siano effettivamente protetti. In questo senso, protezione dei dati significa anche protezione dei consumatori”.

Merito di credito e dati personali: cosa usare e cosa no

Il Gepd invita poi il legislatore ad andare avanti fornendo ulteriori precisazioni a proposito delle categorie di dati “che possono e non possono essere utilizzati per valutare il merito di credito”. Dal suo punto di vista, il Garante è dell’idea che vada vietato il trattamento dei dati dei social media e dei dati sanitari, come indicato nella proposta.

Allo stesso tempo, raccomanda di estendere tale divieto all'uso di qualsiasi categoria speciale di dati personali “ai sensi dell'articolo 9 del Gdpr”, nonché alle informazioni relative al comportamento di navigazione online delle persone.

Il Gepd ritiene che debbano essere affrontati anche i requisiti, il ruolo e le responsabilità delle banche dati sul credito o di terzi che forniscono "punteggi di credito". La proposta dovrebbe armonizzare le categorie di informazioni che possono confluire nelle banche dati per la valutazione del merito di credito e specificare quando questi database vadano consultati.

Profilazione e trattamenti automatizzati dei dati: cosa fare

In particolare, “quando la valutazione del merito di credito comporta l'uso della profilazione o di altri trattamenti automatizzati dei dati personali, i consumatori dovrebbero sempre ricevere un'informazione preventiva significativa ed essere in grado di richiedere una valutazione umana”.

Nel caso di offerte personalizzate sulla base del trattamento automatizzato, “i creditori dovrebbero essere tenuti a fornire informazioni chiare, significative e uniformi sui parametri utilizzati per determinare il prezzo. Questi parametri dovrebbero anche essere chiaramente delineati dalla proposta”.

Un’ultima annotazione tecnica. In considerazione dell’eventuale proposta di legge sull'intelligenza artificiale, il Gepd “raccomanda di garantire che le norme pertinenti in materia di credito al consumo e di protezione dei dati siano integrate nel processo di valutazione della conformità (da parte di terzi) prima di qualsiasi marchio CE dei sistemi di intelligenza artificiale per la valutazione del merito di credito”.

Insomma, i vostri dati sono importanti e andrebbero trattati sempre con cura e in modo trasparente: riusciranno i legislatori e, a valle, gli operatori del mercato a soddisfare le indicazioni di cui su di essi vigila? Lo sapremo tra non molto.