Accesso al credito da parte dei consumatori: i paletti del Garante europeo

Il 26 agosto, l’ EDPS (acronimo di European Data Protection Supervisor ), ha reso pubblica la propria Opinion sulla nuova proposta di Direttiva sul credito ai consumatori della Commissione Europea.

La proposta mira a modernizzare le esistenti regole di concessione di credito ai consumatori (Direttiva 2008/48/EC), rendendole coerenti con le tendenze del settore (vendita di prodotti finanziari online) e con gli strumenti digitali utilizzabili al fine di verificare il merito creditizio degli stessi.

In relazione a quest’ultimo punto, in particolare, l’EDPS ha evidenziato come sia necessario rendere la nuova Direttiva del tutto complementare al testo della normativa vigente sul trattamento di dati personali, prendendo atto di quali possano essere le conseguenze connesse all’utilizzo di strumenti innovativi come l’intelligenza artificiale nelle fasi di valutazione della meritevolezza del consumatore o della personalizzazione delle offerte.

Wojciech Wiewiórowski , Garante Europeo per la Protezione dei Dati, ha dichiarato, con riferimento alla direttiva, che: “L’uso dei dati personali ha un impatto decisivo sulla capacità di ottenere un accesso equo al credito. Le valutazioni del merito creditizio sono necessarie nell’interesse sia dei creditori che dei consumatori ed è fondamentale che siano in atto garanzie adeguate a garantire che i dati personali delle persone siano efficacemente protetti. In questo senso, protezione dei dati significa anche protezione dei consumatori”.

Indice degli argomenti Lo scopo della Direttiva La valutazione del merito creditizio Rigoroso controllo della qualità dei dati La conservazione dei dati I diritti del consumatore Le indicazioni del Garante Europeo in sintesi

Lo scopo della Direttiva

La proposta di Direttiva, come anticipato in premessa, ha quale scopo ultimo quello di rinforzare le misure poste a tutela dei consumatori , alla luce della maggiore digitalizzazione del settore del credito al consumo. Nella valutazione d’impatto che accompagna la proposta, infatti, la Commissione Europea individua una serie di importanti sviluppi che comportano la necessità di una protezione supplementare, tra cui:

l’emergere di nuovi attori del mercato , come le piattaforme di prestito peer-to-peer;

l’aumento dell’utilizzo dei canali di vendita online ;

l’immissione sul mercato di nuovi prodotti , come i prestiti a breve termine ad alto costo, che possono comportare costi significativi per il mutuatario;

il maggiore ricorso al processo decisionale automatizzato per il credit scoring e l’utilizzo di dati personali non direttamente forniti dai consumatori per valutare la loro solvibilità;

la maggiore vulnerabilità finanziaria di molte famiglie nell’Unione europea a causa della crisi della Covid-19.

Queste tendenze, si evidenzia nella valutazione d’impatto, “sollevano interrogativi in termini di protezione dei consumatori e dei dati e potenziali discriminazioni da decisioni basate su algoritmi opachi”. Non solo: anche l’analisi delle fonti da cui l’intelligenza artificiale preleva i dati costituiscono un’ulteriore seria preoccupazione, potendo comportare l’insorgenza di pregiudizi ( bias ) che pregiudicano illegittimamente alcune categorie di consumatori.

Ne deriva che l’obiettivo finale e generale delle raccomandazioni formulate dal Garante Europeo è quello di assicurare che gli individui siano adeguatamente protetti all’interno del panorama economico digitale, specialmente i più vulnerabili.

La valutazione del merito creditizio

L’articolo 18, paragrafo 2, della Proposta, prevede che la valutazione del merito creditizio dovrebbe essere effettuata sulla base di “informazioni pertinenti e accurate sulle entrate e le spese del consumatore e su altre circostanze finanziarie ed economiche necessarie e proporzionate”.

In merito alle fonti da cui ottenere le informazioni, la proposta specifica che le stesse devono essere ottenute da fonti interne o esterne pertinenti , compreso il consumatore stesso e, se necessario, sulla base di una consultazione di una banca dati. Le informazioni ottenute dovranno poi essere opportunamente verificate, se necessario facendo riferimento a documentazione verificabile in modo indipendente.

Il considerando 47 della proposta offre anche delle indicazioni sui tipi di informazioni che non dovrebbero essere utilizzate per valutare il merito creditizio. Afferma in particolare che “i dati personali, come i dati personali trovati sulle piattaforme di social media o i dati sanitari, compresi i dati sul cancro, non dovrebbero essere utilizzati quando si conduce una valutazione della solvibilità”.

Ciò significa che i dati per la valutazione del merito creditizio dovrebbero avere una chiara relazione con la capacità del mutuatario di rimborsare il prestito e non avere un impatto sproporzionato o imprevisto sui diritti fondamentali alla vita privata e alla protezione dei dati personali della persona interessata .

A tutela dell’interessato, l’EDPS raccomanda altresì di prevedere esplicitamente che non possano essere trattati, al fine di valutare il merito creditizio, tutte le categorie di dati personali di cui all’art. 9 GDPR, e non soltanto quelle relative allo stato di salute.

Inoltre, si precisa che la proposta dovrebbe fornire un’indicazione chiara e completa di quali fonti esterne dovrebbero essere considerate “pertinenti” nel contesto della valutazione del merito creditizio. In particolare, tenendo conto delle possibili conseguenze negative per le persone interessate, anche i requisiti, il ruolo e le responsabilità delle banche dati o dei soggetti terzi che contribuiscono all’assegnazione di un “punteggio di credito” dovrebbero essere esplicitamente disciplinati dalla proposta.

Non solo: all’interessato dovrebbe essere fornita una chiara informativa in merito alle situazioni nelle quali la consultazione di tali fonti esterne è necessaria e proporzionata rispetto alle finalità perseguite (fermo restando il divieto di trattamento dei dati particolari ex art. 9 GDPR).

Rigoroso controllo della qualità dei dati

In virtù del rilevante impatto che il processo di valutazione del merito creditizio potrebbe avere sugli interessati, la Proposta stabilisce che il creditore o, se del caso, il fornitore di servizi di credito di crowdfunding stabilisca delle procedure per la valutazione del merito creditizio e che le stesse siano opportunamente documentate.

Tuttavia, l’EDPS ritiene essenziale che i creditori dispongano anche di meccanismi di controllo della qualità dei dati che forniscano il massimo livello possibile di accuratezza delle informazioni trattate ai fini della valutazione del merito creditizio.

Pertanto, raccomanda di prevedere espressamente, all’articolo 18, paragrafo 3 della Proposta, che le procedure per la valutazione del merito creditizio debbano includere un meccanismo di controllo della qualità dei dati (in particolare, revisioni periodiche dei dati per garantire che i dati siano accurati e aggiornati) al fine di garantire il rispetto del principio di accuratezza di cui all’articolo 5, paragrafo 1, lettera d), del GDPR.

Tali procedure devono essere anche adeguatamente documentate per dimostrare la compliance al principio di accountability di cui al medesimo art. 5 GDPR.

La conservazione dei dati

La proposta non fornisce alcuna indicazione in merito al termine massimo di conservazione dei dati, non facendo alcun discrimine tra l’ipotesi in cui il credito venga concesso e quella, viceversa, in cui la richiesta di finanziamento sia rigettata.

Secondo il principio di limitazione della conservazione dei dati, i dati personali dovrebbero essere conservati in una forma che permetta l’identificazione dei soggetti interessati per un termine non superiore a quanto necessario per il perseguimento delle singole finalità del trattamento. Pertanto, l’EDPS raccomanda di specificare, già all’interno della Proposta, quale sia il termine massimo entro cui i dati possano essere conservati dal creditore o dal fornitore, tenendo in debito conto le diverse ipotesi di accoglimento o rigetto della domanda di finanziamento.

Nell’ipotesi in cui la richiesta sia respinta, i dati relativi al richiedente il prestito dovrebbero, in linea di principio, essere conservati per un periodo di tempo inferiore rispetto all’ipotesi in cui il prestito venga concesso, prendendo in considerazione anche il diritto del richiedente di contestare la decisione del creditore.

I diritti del consumatore

Particolare attenzione viene data, nella Proposta, all’ipotesi in cui la valutazione del merito creditizio sia svolta mediante l’uso di sistemi di profilazione automatizzati di dati personali, o, più in generale, i dati siano sottoposti a processi decisionali automatizzati.

Al fine di tutelare il consumatore, esso ha il diritto di:

chiedere e ottenere l’intervento umano al fine di rivedere la decisione presa dal creditore o dal fornitore dei servizi di crowdfunding;

chiedere e ottenere dal creditore o dal fornitore di servizi di crowdfunding una chiara spiegazione sul processo di valutazione del merito creditizio, sulla logica e sui rischi connessi al trattamento automatizzato dei dati personali, nonché sull’importanza e sugli effetti dello stesso sulla decisione finale;

esprimere il proprio punto di vista e contestare la valutazione sul merito creditizio e la decisione finale presa dal creditore.

Nel caso in cui siano utilizzati strumenti di intelligenza artificiale, occorre coordinare le previsioni della Proposta con quanto statuito all’interno della Proposta di Artificial Intelligence Act, in quanto le decisioni intraprese dall’IA possono influire sulla capacità di accesso al credito.

Inoltre, ai sensi di quanto stabilito nella Join Opinion dell’EDPB e dell’EDPS sull’Artificial Intelligence Act, chi fa uso di un sistema di IA per il trattamento dei dati dovrebbe svolgere una Valutazione d’Impatto ai sensi dell’art. 35 GDPR prima che il sistema stesso sia utilizzato.

In aggiunta a quanto indicato, l’EDPS afferma che l’interessato deve essere informato sulla profilazione e sul processo decisionale automatizzato che lo riguarda e deve ricevere informazioni significative sulla logica coinvolta, l’importanza e le conseguenze del trattamento, ai sensi degli articoli 13 e 14 del GDPR, indipendentemente dal fatto che la domanda di finanziamento sia respinta o accolta. Il consumatore dovrà anche essere esplicitamente informato dei suoi diritti, nel momento in cui la domanda è respinta o accolta.

Da ultimo, al fine di evitare discriminazioni dovute all’insorgere di pregiudizi (bias) nell’algoritmo, il creditore dovrebbe, anche sulla base di una valutazione d’impatto sulla protezione dei dati, adottare misure organizzative e tecniche adeguate ad affrontare tale rischio.

Le indicazioni del Garante Europeo in sintesi

Sulla base di tali premesse, l’EDPS ha provveduto a formulare le seguenti raccomandazioni:

Delineare meglio, all’interno del testo della direttiva, quali categorie di dati personali possano essere utilizzate al fine di verificare la meritevolezza dell’accesso al credito;

Richiedere al titolare di fornire informative chiare, significative ed uniformi sui parametri utilizzare per determinare il prezzo del servizio offerto nel caso in cui si propongano delle offerte personalizzate, e delineare, altresì, chiaramente quali categorie di dati personali possano essere utilizzate come parametri per formulare un’offerta personalizzata, al fine di evitare che sussistano delle asimmetrie di potere tra il creditore e il consumatore;

Prevedere l’obbligo per il titolare di informare l’interessato in via preventiva su quali saranno i database cui si accederà per delineare la sua valutazione di meritevolezza;

Impedire l’utilizzo dei dati raccolti ed elaborati per la valutazione del merito creditizio anche per finalità pubblicitarie o di marketing;

prevedere la verifica ex ante del sistema di IA che valuta l’affidabilità creditizia, rendendo necessario verificare anche la conformità dello stesso ai requisiti della proposta, con la partecipazione dell’autorità competente dotata di competenze specifiche in materia di prestiti al consumo, secondo quanto previsto dall’articolo 41 della Proposta in esame.