TUTELA DEI DATI PERSONALI
Corte di Giustizia UE: trattamenti di "scoring" e corretta interpretazione dell'art. 22 del GDPR.
Diversi cittadini contestano dinanzi al tribunale amministrativo di Wiesbaden (Germania) il rifiuto del competente garante per la protezione dei dati di agire contro talune attività della SCHUFA, una società privata che fornisce informazioni commerciali i cui clienti sono, in particolare, banche. Essi si oppongono concretamente allo «scoring» nonché alla conservazione di informazioni relative alla concessione di un’esdebitazione riprese da registri pubblici.
Lo «scoring» è un metodo statistico matematico che consente di determinare una previsione sulla probabilità di un comportamento futuro, come il rimborso di un credito. Le informazioni relative alla concessione di un’esdebitazione sono conservate per sei mesi nel registro pubblico tedesco delle insolvenze, mentre un codice di condotta delle società tedesche che forniscono informazioni commerciali prevede, per le banche dati di competenza di queste ultime, una durata di conservazione di tre anni. Il tribunale amministrativo chiede alla Corte di giustizia di precisare la portata della protezione dei dati personali, come prevista dal regolamento generale sulla protezione dei dati (RGPD).
Per quanto riguarda lo «scoring», la Corte dichiara che esso deve essere considerato un «processo decisionale automatizzato» in linea di principio vietato dal RGPD, qualora i clienti della SCHUFA, quali le banche, gli attribuiscano un ruolo determinante nell'ambito della concessione di crediti. Secondo il tribunale amministrativo di Wiesbaden, questo è ciò che avviene. Spetta a tale tribunale valutare se la legge federale tedesca sulla protezione dei dati contenga, conformemente al RGPD, un'eccezione valida a tale divieto. In caso affermativo, esso dovrà ancora verificare se siano soddisfatte le condizioni generali previste dal RGPD per il trattamento dei dati.
Per quanto riguarda le informazioni relative alla concessione di un’esdebitazione, la Corte dichiara contrario al RGPD il fatto che agenzie private conservino tali dati più a lungo del registro pubblico dei fallimenti. Infatti, l’esdebitazione riveste un'importanza esistenziale per la persona interessata, in quanto ha lo scopo di consentire a quest’ultima di partecipare nuovamente alla vita economica. Orbene, tali informazioni sono sempre utilizzate come fattore negativo nella valutazione della solvibilità della persona interessata. Nel caso di specie, il legislatore tedesco ha previsto una memorizzazione dei dati per sei mesi. Esso ritiene quindi che, al termine dei sei mesi, i diritti e gli interessi della persona interessata prevalgano su quelli del pubblico a disporre di tale informazione.
Nei limiti in cui la conservazione dei dati è illecita, come avviene oltre i sei mesi, la persona interessata ha diritto a che tali dati siano cancellati e l'agenzia è tenuta a cancellarli senza ingiustificato ritardo.
Per quanto riguarda la conservazione parallela di siffatte informazioni da parte della SCHUFA durante tali sei mesi spetta al tribunale amministrativo ponderare gli interessi in gioco al fine di valutarne la liceità. Qualora esso dovesse concludere che è lecita la conservazione parallela durante sei mesi, l’interessato disporrà comunque di un diritto di opporsi al trattamento dei suoi dati e di un diritto alla loro cancellazione, a meno che la SCHUFA non dimostri l’esistenza di legittimi motivi cogenti.
Infine, la Corte sottolinea che i giudici nazionali devono poter esercitare un controllo completo su qualsiasi decisione giuridicamente vincolante dell'autorità di controllo.
Corte di Giustizia UE: è un diritto conoscere metodi e risultati della profilazione per cui si viene classificati come 'cattivi pagatori'
Più protetti contro le schedature commerciali. Lo scoring automatizzato dell'affidabilità creditizia, determinante per la concessione di un prestito, è già in sé un processo decisionale. Ci vuole, pertanto, una legge a monte che autorizzi questa attività in un quadro di garanzie. Tra queste la principale è costituita dal diritto a sapere il risultato della profilazione (ad esempio “cattivo pagatore”) e come si è arrivati a questo risultato. Si amplia, pertanto, la sfera di tutela per chi compra un bene a rate o chiede un finanziamento. Sono questi gli effetti della sentenza della Corte di Giustizia dell'Unione europea (Cgue) del 7/12/2023, resa nella causa C-634/21, che ha conseguenze anche per l'Italia: si dovrà, infatti, verificare se per il settore delle informazioni commerciali c'è una legge con le caratteristiche corrispondenti a quelle indicate dalla Cgue.
Secondo la pronuncia, assegnare alle persone un punteggio (score), dunque, vuol dire già assumere una decisione. La decisione non è solo quella presa a valle dall'operatore (ad esempio la finanziaria), che usa il punteggio per concedere o negare un prestito. Svolge un processo decisionale, dunque, anche l'operatore che, a monte, dopo avere raccolto informazioni su una persona, fa uso di mezzi automatizzati per produrre un risultato finale sintetico (ad esempio un numero equivalente a un giudizio nell'ambito di una scala di valori predeterminati), che poi viene venduto all'operatore finanziario.
Non si tratta, peraltro, di dare la definizione in astratto di una determinata attività. Dalla riconduzione dell'operazione di assegnazione di un punteggio sull'affidabilità commerciale alle decisioni automatizzate derivano decisive conseguenze. La più importante conseguenza riguarda la privacy. Il Gdpr (regolamento Ue n. 2016/679), infatti, prevede che per i processi decisionali interamente automatizzati ci vuole a monte una norma del diritto (europeo o nazionale) che permetta questo trattamento in un quadro di garanzie specifiche per gli interessati. Senza la legge a monte (salvi i casi di consenso esplicito o di necessità contrattuale) i processi decisionali interamente automatizzati sono illeciti per violazione dell'articolo 22 del Gdpr. Senza la norma di copertura lo scoring interamente automatizzato dell'affidabilità commerciale contrasta con il regolamento 2016/679.
Scoring. Al centro dell'analisi, dunque, c'è lo scoring, cioè il calcolo automatizzato, effettuato da una società di informazioni commerciali, di un tasso di probabilità basato su dati personali e riguardanti la capacità di un soggetto di onorare gli impegni di pagamento.
Nell'ordinamento italiano troviamo una definizione di “scoring” nel codice di condotta sulle informazioni commerciali, approvato con provvedimento del garante della privacy n. 181 del 29/4/2021.
In questo codice di settore troviamo la definizione “elaborazione di informazioni valutative”, che è l'attività volta alla formulazione di un giudizio, espresso anche in termini predittivi o probabilistici e in forma di indicatori sintetici alfanumerici, codici o simboli, nonché di classificazione sulla solidità, solvibilità e affidabilità o capacità economica del soggetto censito, risultante da un processo statistico o, altrimenti, da un modello prestabilito, automatizzato e impersonale di elaborazione delle informazioni, oppure emesso sulla base di analisi e valutazioni effettuate da esperti analisti, anche sulla base di una classificazione in categorie o classi predefinite, per legittime esigenze connesse a finalità di informazione commerciale.
Il caso.
Nella vicenda, da cui è scaturita la decisione della Cgue, un intermediario, viste le informazioni negative elaborate da una società tedesca di informazioni commerciali, ha negato un prestito a un privato. L'interessato ha chiesto alla società l'accesso ai dati. La società ha laconicamente comunicato il livello del punteggio esponendo, a grandi linee, le modalità di calcolo.
L'interessato, insoddisfatto, ha chiesto al Garante della privacy di accertare il diritto a un effettivo e completo diritto di accesso ai dati, ma il garante non ha trovato irregolarità. A questo punto la questione si è spostata davanti al tribunale amministrativo, al quale è stato chiesto di accertare l'illegittimità del rifiuto della società di informazioni commerciali e, quindi, anche l'infondatezza del provvedimento del Garante della privacy.
Per quel che interessa in questa sede, la società di informazioni commerciali ha sostenuto di non procedere a decisioni automatizzate, ma solo di passare i report con gli score ai propri clienti. La società ha aggiunto di non essere tenuta a dare informazioni aggiuntive all'interessato, proprio in quanto calcolare lo score non è una decisione, mentre lo è concedere o negare il prestito, ma questa è attività successiva di banche e finanziarie.
La sentenza. Ed è questo è il nodo del contendere, a riguardo del quale la Cgue ha un'opinione del tutto diversa dalla società di informazioni commerciali. La sentenza analizza, infatti, quale sia in concreto l'effetto derivante dallo score (elaborato dal gestore delle informazioni) sulle successive decisioni di banche e intermediari.
La regola formulata dalla sentenza poggia sull'effetto dello score e cioè sull'accertamento del suo effetto determinante nella concessione dei crediti. Perciò, qualora dallo score dipenda in modo decisivo la stipulazione, l'esecuzione o la cessazione di un contratto con un intermediario, allora, una decisione viene presa già quando il gestore delle informazioni commerciali fa il calcolo dello score: calcolo che rappresenta un processo decisionale automatizzato, ai sensi dell'articolo 22, paragrafo 1, del Gdpr. Sul punto si ritiene che la qualifica dell'attività debba avere una sua generalità e stabilità e non può dipendere dall'uso che caso per caso fanno dello score gli operatori economici: in sostanza si ritiene che lo scoring sia sempre determinante o da considerarsi tale ai fini dell'articolo 22 Gdpr.
Tornando alla sentenza, la Cgue aggiunge che se non si considerasse lo scoring una decisione automatizzata, l'interessato subirebbe una beffa: se passasse la tesi per cui è solo l'operatore finanziario a prendere decisioni (usando lo score), allora l'interessato non potrebbe chiedere le specifiche dello scoring né alla banca, perché non ce le ha, né alla società di informazioni commerciali, perché questa può sostenere di non svolgere processi decisionali. Solo anticipando la qualificazione della decisione anche all'elaborazione del punteggio, l'interessato può avere piena conoscenza del punteggio e del metodo di calcolo e dei parametri usati.
Il fatto che lo scoring sia di per sé una decisione automatizzata ha inoltre conseguenze sulla stessa liceità dell'attività.
Definito come fa la sentenza della Cgue, lo scoring è vietato in via generale, salvo l'applicabilità di una delle eccezioni previste all'articolo 22, paragrafo 2, Gdpr e, comunque, il rispetto dei diritti previsti dallo stesso articolo 22, paragrafi 3 e 4 (primo tra tutti il diritto all'intervento umano).
Ai sensi del citato articolo 22 si può fare lo scoring automatizzato solo per necessità contrattuali o se c'è il consenso esplicito del soggetto censito oppure in presenza di una disciplina normativa, con misure adeguate a tutela degli interessati.
Se si scarta il consenso (inagibile per numerosità degli interessati e impraticabile in concreto, visto che difficilmente un interessato acconsente a farsi schedare con effetti negativi e comunque sarebbe sempre revocabile) e se si scarta anche il contratto (che, peraltro, non intercorre tra interessati censiti e società di informazioni), allora, a copertura dello scoring rimane solamente il presupposto normativo.
Con la conseguenza che ogni Stato Ue deve verificare se ha una norma che autorizzi lo scoring automatizzato per finalità di informazioni commerciali, comprensiva di un idoneo sistema di tutele.
Caso Italia.
Dalla presa di posizione della Cgue, dunque, derivano conseguenze anche per l'Italia. In particolare, questo significa verificare se, a proposito dello scoring interamente automatizzato, siano sufficienti le coperture normative offerte del codice di condotta sulle informazioni commerciali, approvato con provvedimento del garante della privacy n. 181 del 29/4/2021 e, a livello legislativo, il regio decreto n. 773/1931 (Testo unico leggi pubblica sicurezza) e del dm n. 269/2010.
A riguardo del codice di condotta delle informazioni commerciali, in particolare, va controllato l'articolo 6, comma 2, ai sensi del quale “in nessun caso” lo scoring dell'interessato determina o implica l'adozione di una decisione da parte dei fornitori di servizi di informazione commerciale, autorizzati in base all'articolo 134 del Tulps e al dm n. 269/2010.
Bisogna, quindi, verificare se vi siano casi in cui lo scoring automatizzato costituisce decisione automatizzata, considerata la sentenza della Cgue che attribuisce tale qualifica alle situazioni in cui lo scoring è determinante per la decisione di concedere un prestito.
È da sottoporre a vaglio di compatibilità con i principi della pronuncia della Cgue anche l'articolo 10, comma 2, del codice di condotta citato, che riserva l'applicazione dell'articolo 22 Gdpr solo a chi usa gli score (ad esempio banche e finanziarie): la pronuncia in commento ha, invece, affermato l'applicazione dell'articolo 22 Gdpr anche ai fornitori delle informazioni commerciali.
Sempre con riferimento alla sentenza della Cgue, a proposito delle ipotesi in cui l'articolo 22 si applica anche ai fornitori di informazioni commerciali, occorre anche verificare se il Tulps e il relativo decreto ministeriale costituiscano un'adeguata copertura normativa, avendo a mente che le norme devono individuare le caratteristiche dell'attività in finzione di protezione dei diritti delle persone censite. Se si ritenesse che il Tulps e il dm non dettagliano il necessario quadro di tutele per gli interessati, si aprirebbe la necessità di intervenire a livello legislativo con disposizioni integrative sui servizi di informazioni commerciale. Altrimenti si corre il rischio giuridico di violazione del Gdpr per assenza della base giuridica dell'attività di scoring automatizzato.
Lo «scoring» è un metodo statistico matematico che consente di determinare una previsione sulla probabilità di un comportamento futuro, come il rimborso di un credito. Le informazioni relative alla concessione di un’esdebitazione sono conservate per sei mesi nel registro pubblico tedesco delle insolvenze, mentre un codice di condotta delle società tedesche che forniscono informazioni commerciali prevede, per le banche dati di competenza di queste ultime, una durata di conservazione di tre anni. Il tribunale amministrativo chiede alla Corte di giustizia di precisare la portata della protezione dei dati personali, come prevista dal regolamento generale sulla protezione dei dati (RGPD).
Per quanto riguarda lo «scoring», la Corte dichiara che esso deve essere considerato un «processo decisionale automatizzato» in linea di principio vietato dal RGPD, qualora i clienti della SCHUFA, quali le banche, gli attribuiscano un ruolo determinante nell'ambito della concessione di crediti. Secondo il tribunale amministrativo di Wiesbaden, questo è ciò che avviene. Spetta a tale tribunale valutare se la legge federale tedesca sulla protezione dei dati contenga, conformemente al RGPD, un'eccezione valida a tale divieto. In caso affermativo, esso dovrà ancora verificare se siano soddisfatte le condizioni generali previste dal RGPD per il trattamento dei dati.
Per quanto riguarda le informazioni relative alla concessione di un’esdebitazione, la Corte dichiara contrario al RGPD il fatto che agenzie private conservino tali dati più a lungo del registro pubblico dei fallimenti. Infatti, l’esdebitazione riveste un'importanza esistenziale per la persona interessata, in quanto ha lo scopo di consentire a quest’ultima di partecipare nuovamente alla vita economica. Orbene, tali informazioni sono sempre utilizzate come fattore negativo nella valutazione della solvibilità della persona interessata. Nel caso di specie, il legislatore tedesco ha previsto una memorizzazione dei dati per sei mesi. Esso ritiene quindi che, al termine dei sei mesi, i diritti e gli interessi della persona interessata prevalgano su quelli del pubblico a disporre di tale informazione.
Nei limiti in cui la conservazione dei dati è illecita, come avviene oltre i sei mesi, la persona interessata ha diritto a che tali dati siano cancellati e l'agenzia è tenuta a cancellarli senza ingiustificato ritardo.
Per quanto riguarda la conservazione parallela di siffatte informazioni da parte della SCHUFA durante tali sei mesi spetta al tribunale amministrativo ponderare gli interessi in gioco al fine di valutarne la liceità. Qualora esso dovesse concludere che è lecita la conservazione parallela durante sei mesi, l’interessato disporrà comunque di un diritto di opporsi al trattamento dei suoi dati e di un diritto alla loro cancellazione, a meno che la SCHUFA non dimostri l’esistenza di legittimi motivi cogenti.
Infine, la Corte sottolinea che i giudici nazionali devono poter esercitare un controllo completo su qualsiasi decisione giuridicamente vincolante dell'autorità di controllo.
Corte di Giustizia UE: è un diritto conoscere metodi e risultati della profilazione per cui si viene classificati come 'cattivi pagatori'
Più protetti contro le schedature commerciali. Lo scoring automatizzato dell'affidabilità creditizia, determinante per la concessione di un prestito, è già in sé un processo decisionale. Ci vuole, pertanto, una legge a monte che autorizzi questa attività in un quadro di garanzie. Tra queste la principale è costituita dal diritto a sapere il risultato della profilazione (ad esempio “cattivo pagatore”) e come si è arrivati a questo risultato. Si amplia, pertanto, la sfera di tutela per chi compra un bene a rate o chiede un finanziamento. Sono questi gli effetti della sentenza della Corte di Giustizia dell'Unione europea (Cgue) del 7/12/2023, resa nella causa C-634/21, che ha conseguenze anche per l'Italia: si dovrà, infatti, verificare se per il settore delle informazioni commerciali c'è una legge con le caratteristiche corrispondenti a quelle indicate dalla Cgue.
Secondo la pronuncia, assegnare alle persone un punteggio (score), dunque, vuol dire già assumere una decisione. La decisione non è solo quella presa a valle dall'operatore (ad esempio la finanziaria), che usa il punteggio per concedere o negare un prestito. Svolge un processo decisionale, dunque, anche l'operatore che, a monte, dopo avere raccolto informazioni su una persona, fa uso di mezzi automatizzati per produrre un risultato finale sintetico (ad esempio un numero equivalente a un giudizio nell'ambito di una scala di valori predeterminati), che poi viene venduto all'operatore finanziario.
Non si tratta, peraltro, di dare la definizione in astratto di una determinata attività. Dalla riconduzione dell'operazione di assegnazione di un punteggio sull'affidabilità commerciale alle decisioni automatizzate derivano decisive conseguenze. La più importante conseguenza riguarda la privacy. Il Gdpr (regolamento Ue n. 2016/679), infatti, prevede che per i processi decisionali interamente automatizzati ci vuole a monte una norma del diritto (europeo o nazionale) che permetta questo trattamento in un quadro di garanzie specifiche per gli interessati. Senza la legge a monte (salvi i casi di consenso esplicito o di necessità contrattuale) i processi decisionali interamente automatizzati sono illeciti per violazione dell'articolo 22 del Gdpr. Senza la norma di copertura lo scoring interamente automatizzato dell'affidabilità commerciale contrasta con il regolamento 2016/679.
Scoring. Al centro dell'analisi, dunque, c'è lo scoring, cioè il calcolo automatizzato, effettuato da una società di informazioni commerciali, di un tasso di probabilità basato su dati personali e riguardanti la capacità di un soggetto di onorare gli impegni di pagamento.
Nell'ordinamento italiano troviamo una definizione di “scoring” nel codice di condotta sulle informazioni commerciali, approvato con provvedimento del garante della privacy n. 181 del 29/4/2021.
In questo codice di settore troviamo la definizione “elaborazione di informazioni valutative”, che è l'attività volta alla formulazione di un giudizio, espresso anche in termini predittivi o probabilistici e in forma di indicatori sintetici alfanumerici, codici o simboli, nonché di classificazione sulla solidità, solvibilità e affidabilità o capacità economica del soggetto censito, risultante da un processo statistico o, altrimenti, da un modello prestabilito, automatizzato e impersonale di elaborazione delle informazioni, oppure emesso sulla base di analisi e valutazioni effettuate da esperti analisti, anche sulla base di una classificazione in categorie o classi predefinite, per legittime esigenze connesse a finalità di informazione commerciale.
Il caso.
Nella vicenda, da cui è scaturita la decisione della Cgue, un intermediario, viste le informazioni negative elaborate da una società tedesca di informazioni commerciali, ha negato un prestito a un privato. L'interessato ha chiesto alla società l'accesso ai dati. La società ha laconicamente comunicato il livello del punteggio esponendo, a grandi linee, le modalità di calcolo.
L'interessato, insoddisfatto, ha chiesto al Garante della privacy di accertare il diritto a un effettivo e completo diritto di accesso ai dati, ma il garante non ha trovato irregolarità. A questo punto la questione si è spostata davanti al tribunale amministrativo, al quale è stato chiesto di accertare l'illegittimità del rifiuto della società di informazioni commerciali e, quindi, anche l'infondatezza del provvedimento del Garante della privacy.
Per quel che interessa in questa sede, la società di informazioni commerciali ha sostenuto di non procedere a decisioni automatizzate, ma solo di passare i report con gli score ai propri clienti. La società ha aggiunto di non essere tenuta a dare informazioni aggiuntive all'interessato, proprio in quanto calcolare lo score non è una decisione, mentre lo è concedere o negare il prestito, ma questa è attività successiva di banche e finanziarie.
La sentenza. Ed è questo è il nodo del contendere, a riguardo del quale la Cgue ha un'opinione del tutto diversa dalla società di informazioni commerciali. La sentenza analizza, infatti, quale sia in concreto l'effetto derivante dallo score (elaborato dal gestore delle informazioni) sulle successive decisioni di banche e intermediari.
La regola formulata dalla sentenza poggia sull'effetto dello score e cioè sull'accertamento del suo effetto determinante nella concessione dei crediti. Perciò, qualora dallo score dipenda in modo decisivo la stipulazione, l'esecuzione o la cessazione di un contratto con un intermediario, allora, una decisione viene presa già quando il gestore delle informazioni commerciali fa il calcolo dello score: calcolo che rappresenta un processo decisionale automatizzato, ai sensi dell'articolo 22, paragrafo 1, del Gdpr. Sul punto si ritiene che la qualifica dell'attività debba avere una sua generalità e stabilità e non può dipendere dall'uso che caso per caso fanno dello score gli operatori economici: in sostanza si ritiene che lo scoring sia sempre determinante o da considerarsi tale ai fini dell'articolo 22 Gdpr.
Tornando alla sentenza, la Cgue aggiunge che se non si considerasse lo scoring una decisione automatizzata, l'interessato subirebbe una beffa: se passasse la tesi per cui è solo l'operatore finanziario a prendere decisioni (usando lo score), allora l'interessato non potrebbe chiedere le specifiche dello scoring né alla banca, perché non ce le ha, né alla società di informazioni commerciali, perché questa può sostenere di non svolgere processi decisionali. Solo anticipando la qualificazione della decisione anche all'elaborazione del punteggio, l'interessato può avere piena conoscenza del punteggio e del metodo di calcolo e dei parametri usati.
Il fatto che lo scoring sia di per sé una decisione automatizzata ha inoltre conseguenze sulla stessa liceità dell'attività.
Definito come fa la sentenza della Cgue, lo scoring è vietato in via generale, salvo l'applicabilità di una delle eccezioni previste all'articolo 22, paragrafo 2, Gdpr e, comunque, il rispetto dei diritti previsti dallo stesso articolo 22, paragrafi 3 e 4 (primo tra tutti il diritto all'intervento umano).
Ai sensi del citato articolo 22 si può fare lo scoring automatizzato solo per necessità contrattuali o se c'è il consenso esplicito del soggetto censito oppure in presenza di una disciplina normativa, con misure adeguate a tutela degli interessati.
Se si scarta il consenso (inagibile per numerosità degli interessati e impraticabile in concreto, visto che difficilmente un interessato acconsente a farsi schedare con effetti negativi e comunque sarebbe sempre revocabile) e se si scarta anche il contratto (che, peraltro, non intercorre tra interessati censiti e società di informazioni), allora, a copertura dello scoring rimane solamente il presupposto normativo.
Con la conseguenza che ogni Stato Ue deve verificare se ha una norma che autorizzi lo scoring automatizzato per finalità di informazioni commerciali, comprensiva di un idoneo sistema di tutele.
Caso Italia.
Dalla presa di posizione della Cgue, dunque, derivano conseguenze anche per l'Italia. In particolare, questo significa verificare se, a proposito dello scoring interamente automatizzato, siano sufficienti le coperture normative offerte del codice di condotta sulle informazioni commerciali, approvato con provvedimento del garante della privacy n. 181 del 29/4/2021 e, a livello legislativo, il regio decreto n. 773/1931 (Testo unico leggi pubblica sicurezza) e del dm n. 269/2010.
A riguardo del codice di condotta delle informazioni commerciali, in particolare, va controllato l'articolo 6, comma 2, ai sensi del quale “in nessun caso” lo scoring dell'interessato determina o implica l'adozione di una decisione da parte dei fornitori di servizi di informazione commerciale, autorizzati in base all'articolo 134 del Tulps e al dm n. 269/2010.
Bisogna, quindi, verificare se vi siano casi in cui lo scoring automatizzato costituisce decisione automatizzata, considerata la sentenza della Cgue che attribuisce tale qualifica alle situazioni in cui lo scoring è determinante per la decisione di concedere un prestito.
È da sottoporre a vaglio di compatibilità con i principi della pronuncia della Cgue anche l'articolo 10, comma 2, del codice di condotta citato, che riserva l'applicazione dell'articolo 22 Gdpr solo a chi usa gli score (ad esempio banche e finanziarie): la pronuncia in commento ha, invece, affermato l'applicazione dell'articolo 22 Gdpr anche ai fornitori delle informazioni commerciali.
Sempre con riferimento alla sentenza della Cgue, a proposito delle ipotesi in cui l'articolo 22 si applica anche ai fornitori di informazioni commerciali, occorre anche verificare se il Tulps e il relativo decreto ministeriale costituiscano un'adeguata copertura normativa, avendo a mente che le norme devono individuare le caratteristiche dell'attività in finzione di protezione dei diritti delle persone censite. Se si ritenesse che il Tulps e il dm non dettagliano il necessario quadro di tutele per gli interessati, si aprirebbe la necessità di intervenire a livello legislativo con disposizioni integrative sui servizi di informazioni commerciale. Altrimenti si corre il rischio giuridico di violazione del Gdpr per assenza della base giuridica dell'attività di scoring automatizzato.
