Edizione provvisoria
SENTENZA DELLA CORTE (Prima Sezione)
7 dicembre 2023 (*)
«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 22 – Processo decisionale automatizzato relativo alle persone fisiche – Società che forniscono informazioni commerciali – Calcolo automatizzato di un tasso di probabilità relativo alla capacità di una persona di onorare impegni di pagamento in futuro (“scoring”) – Utilizzo di tale tasso di probabilità da parte di terzi»
Nella causa C‑634/21,
avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte, ai sensi dell’articolo 267 TFUE, dal Verwaltungsgericht Wiesbaden (tribunale amministrativo di Wiesbaden, Germania), con decisione del 1° ottobre 2021, pervenuta in cancelleria il 15 ottobre 2021, nel procedimento
OQ
contro
Land Hessen,
con l’intervento di:
SCHUFA Holding AG,
LA CORTE (Prima Sezione),
composta da A. Arabadjiev, presidente di sezione, T. von Danwitz, P.G. Xuereb, A. Kumin (relatore) e I. Ziemele, giudici,
avvocato generale: P. Pikamäe
cancelliere: C. Di Bella, amministratore
vista la fase scritta del procedimento e in seguito all’udienza del 26 gennaio 2023, considerate le osservazioni presentate:
– per OQ, da U. Schmidt, Rechtsanwalt;
– per il Land Hessen, da M. Kottmann e G. Ziegenhorn, Rechtsanwälte;
– per la SCHUFA Holding AG, da G. Thüsing e U. Wuermeling, Rechtsanwalt;
– per il governo tedesco, da P.-L. Krüger, in qualità di agente;
– per il governo danese, da V. Pasternak Jørgensen, M. Søndahl Wolff e Y. Thyregod Kollberg, in qualità di agenti;
– per il governo portoghese, da P. Barros da Costa, I. Oliveira, J. Ramos e C. Vieira Guerra, in qualità di agenti;
– per il governo finlandese, da M. Pere, in qualità di agente;
– per la Commissione europea, da A. Bouchagiar, F. Erlbacher e H. Kranenborg, in qualità di agenti,
sentite le conclusioni dell’avvocato generale, presentate all’udienza del 16 marzo 2023,
ha pronunciato la seguente
Sentenza
1 La domanda di pronuncia pregiudiziale verte sull’interpretazione dell’articolo 6, paragrafo 1, e dell’articolo 22 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (GU 2016, L 119, pag. 1, e rettifica in GU 2018, L 127, pag. 2; in prosieguo: il «RGPD»).
2 Tale domanda è stata presentata nell’ambito di una controversia tra OQ e il Land Hessen (Land dell’Assia, Germania) in merito al rifiuto dello Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Commissario per la protezione dei dati e la libertà di informazione per il Land Assia, Germania) (in prosieguo: lo «HBDI») di ingiungere alla SCHUFA Holding AG (in prosieguo: la «SCHUFA») di accogliere una domanda presentata da OQ diretta ad ottenere e a cancellare dati personali che la riguardano.
Contesto normativo
Diritto dell’Unione
3 Il considerando 71 del RGPD recita:
«L’interessato dovrebbe avere il diritto di non essere sottoposto a una decisione, che possa includere una misura, che valuti aspetti personali che lo riguardano, che sia basata unicamente su un trattamento automatizzato e che produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona, quali il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani. Tale trattamento comprende la “profilazione”, che consiste in una forma di trattamento automatizzato dei dati personali che valuta aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato, ove ciò produca effetti giuridici che la riguardano o incida in modo analogo significativamente sulla sua persona. Tuttavia, è opportuno che sia consentito adottare decisioni sulla base di tale trattamento, compresa la profilazione, se ciò è espressamente previsto dal diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento, anche a fini di monitoraggio e prevenzione delle frodi e dell’evasione fiscale secondo i regolamenti, le norme e le raccomandazioni delle istituzioni dell’Unione [europea] o degli organismi nazionali di vigilanza e a garanzia della sicurezza e dell’affidabilità di un servizio fornito dal titolare del trattamento, o se è necessario per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento, o se l’interessato ha espresso il proprio consenso esplicito. In ogni caso, tale trattamento dovrebbe essere subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all’interessato e il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione. Tale misura non dovrebbe riguardare un minore.
Al fine di garantire un trattamento corretto e trasparente nel rispetto dell’interessato, tenendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati, è opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, metta in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e che impedisca tra l’altro effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale, ovvero che comportano misure aventi tali effetti».
4 L’articolo 4 di detto regolamento, intitolato «Definizioni», prevede quanto segue:
«Ai fini del presente regolamento s’intende per:
(...)
4) “profilazione”: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.
(...)».
5 L’articolo 5 del medesimo regolamento, rubricato «Principi applicabili al trattamento di dati personali», prevede:
«1. I dati personali sono:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (“liceità, correttezza e trasparenza”);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; (...) (“limitazione delle finalità”);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (“minimizzazione dei dati”);
d) esatti e, se necessario, aggiornati; (...) (“esattezza”);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; (...) (“limitazione della conservazione”);
f) trattati in modo da garantire un’adeguata sicurezza dei dati personali (...) (“integrità e riservatezza”);
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo (“responsabilizzazione”)».
6 L’articolo 6 del RGPD, intitolato «Liceità del trattamento», ai suoi paragrafi 1 e 3, enuncia quanto segue:
«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore
(...)
3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:
a) dal diritto dell’Unione; o
b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. (...)».
7 L’articolo 9 di tale regolamento, rubricato «Trattamento di categorie particolari di dati personali», dispone quanto segue:
«1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:
a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;
(...)
g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;
(...)».
8 L’articolo 13 del regolamento in parola, relativo alle «Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato», prevede, al suo paragrafo 2:
«In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
(...)
f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato».
9 L’articolo 14 del RGPD, intitolato «Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato», al paragrafo 2 così dispone:
«Oltre alle informazioni di cui al paragrafo 1, il titolare del trattamento fornisce all’interessato le seguenti informazioni necessarie per garantire un trattamento corretto e trasparente nei confronti dell’interessato:
(...)
g) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato».
10 L’articolo 15 del medesimo regolamento, intitolato «Diritto di accesso dell’interessato», al paragrafo 1 ha il seguente tenore:
«L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
(...)
h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato».
11 L’articolo 22 di detto regolamento, intitolato «Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione», prevede quanto segue:
«1. L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
2. Il paragrafo 1 non si applica nel caso in cui la decisione:
a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
c) si basi sul consenso esplicito dell’interessato.
3. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e gli interessi legittimi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
4. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato».
12 L’articolo 78 del RGPD, dal titolo «Diritto a un ricorso giurisdizionale effettivo nei confronti dell’autorità di controllo», enuncia, al paragrafo 1, quanto segue:
«Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo che la riguarda».
Diritto tedesco
13 L’articolo 31 del Bundesdatenschutzgesetz (legge federale sulla protezione dei dati), del 30 giugno 2017 (BGBl. I, pag. 2097; in prosieguo: il «BDSG»), intitolato «Protezione delle operazioni economiche in caso di “scoring” e di informazioni sulla solvibilità», così recita:
«(1) Il ricorso a un tasso di probabilità di un certo comportamento futuro di una persona fisica allo scopo di decidere sulla stipulazione, sull’attuazione o sulla cessazione di un contratto con tale persona (“scoring”) è consentito solo se
1. le disposizioni della normativa sulla protezione dei dati sono state rispettate,
2. i dati utilizzati per il calcolo probabilistico risultano in maniera comprovata rilevanti per il calcolo del tasso di probabilità del comportamento specifico, sulla base di un procedimento matematico-statistico scientificamente riconosciuto,
3. per il calcolo del tasso di probabilità non sono stati utilizzati esclusivamente dati relativi all’indirizzo, e
4. in caso di utilizzo di dati relativi all’indirizzo, la persona interessata è stata informata dell’utilizzo previsto di tali dati prima del calcolo probabilistico; l’informazione dev’essere documentata.
(2) Il ricorso a un tasso di probabilità calcolato da società che forniscono informazioni commerciali, relativo alla solvibilità e alla disponibilità a pagare di una persona fisica, laddove includa informazioni sui crediti, è consentito solo se sussistono le condizioni di cui al paragrafo 1 ed esclusivamente se si tratta di crediti relativi a prestazioni dovute e non adempiute, malgrado la scadenza,
1. che sono stati accertati con sentenza definitiva o provvisoriamente esecutiva o per i quali esiste un titolo di credito ai sensi dell’articolo 794 della Zivilprozessordnung [(codice di procedura civile)],
2. che sono stati accertati ai sensi dell’articolo 178 della Insolvenzordnung (legge in materia di procedure di insolvenza) e non sono stati contestati dal debitore in sede di verifica,
3. che il debitore ha espressamente riconosciuto,
4. relativamente ai quali
a) il debitore è stato sollecitato per iscritto almeno due volte dopo la data di scadenza del credito,
b) sono trascorse almeno quattro settimane dal primo sollecito,
c) il debitore è stato informato previamente – ma non prima del primo sollecito – di una possibile valutazione da parte di una società che fornisce informazioni commerciali, e
d) non vi è stata contestazione da parte del debitore; oppure
5. derivanti da un rapporto contrattuale che può essere risolto senza preavviso a causa di ritardi di pagamento e relativamente ai quali il debitore è stato previamente informato di una possibile valutazione da parte di una società che fornisce informazioni commerciali.
Resta salva la liceità del trattamento – incluso il calcolo di tassi di probabilità – di altri dati rilevanti relativi alla solvibilità ai sensi della normativa generale sulla protezione dei dati».
Procedimento principale e questioni pregiudiziali
14 La SCHUFA è una società privata di diritto tedesco che fornisce ai suoi partner contrattuali informazioni sul merito creditizio di terzi, in particolare di consumatori. A tal fine, essa stabilisce un pronostico sulla probabilità di un comportamento futuro di una persona («score»), come il rimborso di un prestito, a partire da talune caratteristiche di tale persona, sulla base di procedure matematiche e statistiche. Il calcolo dei punteggi («scoring») si basa sul presupposto che assegnando una persona a un gruppo di altre persone con caratteristiche comparabili che si sono comportate in un certo modo, si può prevedere un comportamento analogo.
15 Dalla domanda di pronuncia pregiudiziale risulta che a OQ è stata negata la concessione di un prestito da parte di un terzo dopo essere stata oggetto di informazioni negative redatte dalla SCHUFA e trasmesse a tale terzo. OQ ha chiesto alla SCHUFA di comunicarle informazioni sui dati personali registrati e di cancellare quelli asseritamente errati.
16 In risposta a tale richiesta, la SCHUFA ha informato OQ del livello del suo punteggio e ha esposto, a grandi linee, le modalità di calcolo dei punteggi. Tuttavia, essa si è rifiutata, invocando il segreto commerciale, di divulgare le diverse informazioni prese in considerazione ai fini di tale calcolo nonché la loro ponderazione. Infine, la SCHUFA ha affermato che essa si limitava a far pervenire informazioni alle sue controparti contrattuali e che erano questi ultimi ad adottare le decisioni contrattuali propriamente dette.
17 Con reclamo presentato il 18 ottobre 2018, OQ ha chiesto all’HBDI, autorità di controllo competente, di ingiungere alla SCHUFA di accogliere la sua domanda di accesso alle informazioni e di cancellazione.
18 Con decisione del 3 giugno 2020, lo HBDI ha respinto tale domanda di ingiunzione, spiegando che non era dimostrato che la SCHUFA non rispettasse i requisiti di cui all’articolo 31 del BDSG ad essa incombenti per quanto riguarda la sua attività.
19 OQ ha proposto ricorso avverso tale decisione dinanzi al Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania), giudice del rinvio, in applicazione dell’articolo 78, paragrafo 1, del RGPD.
20 Secondo tale giudice, al fine di statuire sulla controversia di cui è investito, occorre determinare se il calcolo di un tasso di probabilità come quello di cui trattasi nel procedimento principale costituisca un processo decisionale automatizzato relativo alle persone fisiche, ai sensi dell’articolo 22, paragrafo 1, del RGPD. Infatti, in caso affermativo, la liceità di tale attività sarebbe subordinata, conformemente all’articolo 22, paragrafo 2, lettera b), di tale regolamento, alla condizione che tale decisione sia autorizzata dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
21 A tal riguardo, il giudice del rinvio nutre dubbi quanto alla tesi secondo cui l’articolo 22, paragrafo 1, del RGPD non sia applicabile all’attività di società quali la SCHUFA. Esso fonda i propri dubbi, da un punto di vista fattuale, sull’importanza di un tasso di probabilità come quello di cui trattasi nel procedimento principale per la prassi decisionale dei terzi ai quali tale tasso di probabilità è trasmesso e, da un punto di vista giuridico, principalmente sugli obiettivi perseguiti da tale articolo 22, paragrafo 1, e sulle garanzie di tutela giuridica sancite dal RGPD.
22 Più specificamente, il giudice del rinvio sottolinea che è il tasso di probabilità che di norma determina se e come il terzo contratterà con l’interessato. Orbene, l’articolo 22 del RGPD mirerebbe proprio a proteggere le persone dai rischi connessi alle decisioni puramente basate su un automatismo.
23 Per contro, se l’articolo 22, paragrafo 1, del RGPD dovesse essere interpretato nel senso che la qualità di «processo decisionale automatizzato relativo alle persone fisiche» può essere riconosciuta, in una situazione come quella di cui al procedimento principale, solo alla decisione adottata dal terzo nei confronti dell’interessato, ne deriverebbe una lacuna nella tutela giuridica. Infatti, da un lato, una società come la SCHUFA non sarebbe tenuta a dare accesso alle informazioni supplementari alle quali la persona interessata ha diritto in forza dell’articolo 15, paragrafo 1, lettera h), di tale regolamento, in quanto tale società non sarebbe quella che adotta un «processo decisionale automatizzato», ai sensi di tale disposizione e, di conseguenza, ai sensi dell’articolo 22, paragrafo 1, di detto regolamento. Dall’altro, il terzo al quale viene comunicato il tasso di probabilità non potrebbe fornire tali informazioni supplementari in quanto non ne dispone.
24 Pertanto, secondo il giudice del rinvio, per evitare una siffatta lacuna nella tutela giuridica, sarebbe necessario che il calcolo di un tasso di probabilità come quello di cui trattasi nel procedimento principale rientrasse nell’ambito di applicazione dell’articolo 22, paragrafo 1, del RGPD.
25 Se una siffatta interpretazione dovesse essere accolta, la liceità di tale attività sarebbe allora subordinata all’esistenza di una base giuridica a livello dello Stato membro interessato, conformemente all’articolo 22, paragrafo 2, lettera b), di tale regolamento. Orbene, nel caso di specie, se è vero che l’articolo 31 del BDSG potrebbe costituire una siffatta base giuridica in Germania, sussisterebbero seri dubbi quanto alla compatibilità di tale disposizione con l’articolo 22 del RGPD, in quanto il legislatore tedesco disciplinerebbe solo l’«uso» di un tasso di probabilità come quello di cui trattasi nel procedimento principale, e non il calcolo in quanto tale di tale tasso.
26 Per contro, se il calcolo di un siffatto tasso di probabilità non costituisce un processo decisionale automatizzato relativo alle persone fisiche, ai sensi dell’articolo 22 del RGPD, neppure la clausola di apertura di cui al paragrafo 2, lettera b), di tale articolo 22 si applicherebbe alle normative nazionali relative a tale attività. Tenuto conto del carattere in linea di principio esaustivo del RGPD e in assenza di un’altra competenza normativa per siffatte normative nazionali, sembrerebbe che il legislatore tedesco, assoggettando il calcolo di tassi di probabilità a condizioni di liceità sostanziali più dettagliate, precisi la materia regolamentata andando al di là dei requisiti enunciati agli articoli 6 e 22 del RGPD, senza disporre di poteri normativi a tal fine. Se tale punto di vista fosse corretto, ciò modificherebbe il margine di esame dell’autorità nazionale di controllo, che dovrebbe allora valutare la compatibilità dell’attività delle società che forniscono informazioni commerciali alla luce dell’articolo 6 di tale regolamento.
27 In tali circostanze, il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:
«1) Se l’articolo 22, paragrafo 1, del [RGPD] debba essere interpretato nel senso che il calcolo automatizzato di un tasso di probabilità relativo alla capacità di un interessato di saldare in futuro un debito costituisce già una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici che riguardano l’interessato o che incide in modo analogo significativamente sulla sua persona, qualora tale tasso, calcolato sulla base di dati personali relativi all’interessato, sia trasmesso dal titolare del trattamento a un terzo titolare del trattamento e quest’ultimo basi prevalentemente su tale tasso la sua decisione sulla stipulazione, sull’attuazione o sulla cessazione di un contratto con l’interessato.
2) In caso di risposta negativa alla prima questione pregiudiziale:
se l’articolo 6, paragrafo 1, e l’articolo 22 del [RGPD] debbano essere interpretati nel senso che ostano a una normativa nazionale ai sensi della quale il ricorso a un tasso di probabilità – nella fattispecie relativo alla solvibilità e alla disponibilità a pagare di una persona fisica, che includa informazioni sui crediti – di un certo comportamento futuro di una persona fisica, allo scopo di decidere sulla stipulazione, sull’attuazione o sulla cessazione di un contratto con tale persona (“scoring”), è consentito solo se sono soddisfatte determinate ulteriori condizioni, meglio specificate nella motivazione della domanda di pronuncia pregiudiziale».
Sulla ricevibilità della domanda di pronuncia pregiudiziale
28 La SCHUFA contesta la ricevibilità della domanda di pronuncia pregiudiziale facendo valere, in primo luogo, che il giudice del rinvio non è chiamato a controllare il contenuto di una decisione su reclamo, adottata da un’autorità di controllo come l’HBDI, dal momento che il ricorso giurisdizionale avverso una siffatta decisione, previsto all’articolo 78, paragrafo 1, del RGPD, serve unicamente a controllare se tale autorità abbia rispettato gli obblighi ad essa incombenti in forza di tale regolamento, in particolare quello di trattare i reclami, fermo restando che detta autorità dispone di un potere discrezionale per decidere se e come essa debba agire.
29 In secondo luogo, la SCHUFA sostiene che il giudice del rinvio non espone le ragioni precise per le quali le questioni sollevate sarebbero decisive per la soluzione della controversia principale. Quest’ultima avrebbe per oggetto una domanda di informazioni su un punteggio concreto e la cancellazione di tale punteggio. Orbene, nel caso di specie, la SCHUFA avrebbe sufficientemente rispettato il suo obbligo di informazione e avrebbe già cancellato il punteggio oggetto del procedimento.
30 A tale proposito, in primo luogo occorre ricordare che da una costante giurisprudenza della Corte risulta che spetta soltanto al giudice nazionale, cui è stata sottoposta la controversia e che deve assumersi la responsabilità dell’emananda decisione giurisdizionale, valutare, alla luce delle particolarità del caso di specie, tanto la necessità di una pronuncia pregiudiziale per essere in grado di emettere la propria sentenza, quanto la rilevanza delle questioni che sottopone alla Corte. Di conseguenza, se le questioni sollevate vertono sull’interpretazione di una norma giuridica dell’Unione, la Corte è, in linea di principio, tenuta a statuire (sentenza del 12 gennaio 2023, DOBELES HES, C‑702/20 e C‑17/21, EU:C:2023:1, punto 46 nonché giurisprudenza citata).
31 Ne consegue che le questioni vertenti sul diritto dell’Unione sono assistite da una presunzione di rilevanza. Il rifiuto della Corte di statuire su una questione pregiudiziale sollevata da un giudice nazionale è possibile soltanto qualora risulti in modo manifesto che la richiesta interpretazione di una norma dell’Unione non ha alcun rapporto con la realtà effettiva o con l’oggetto della controversia nel procedimento principale, qualora il problema sia di natura ipotetica, o anche quando la Corte non disponga degli elementi di fatto o di diritto necessari per rispondere utilmente alle questioni che le vengono sottoposte (sentenza del 12 gennaio 2023, DOBELES HES, C‑702/20 e C‑17/21, EU:C:2023:1, punto 47 nonché giurisprudenza citata).
32 Per quanto riguarda, in primo luogo, il motivo di irricevibilità vertente su un controllo giurisdizionale asseritamente limitato al quale sarebbero soggette le decisioni su reclamo adottate da un’autorità di controllo, occorre ricordare che, conformemente all’articolo 78, paragrafo 1, del RGPD, fatto salvo qualsiasi altro ricorso amministrativo o extragiudiziale, qualsiasi persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante di un’autorità di controllo che la riguarda.
33 Nel caso di specie, la decisione adottata dallo HBDI in qualità di autorità di controllo costituisce una decisione giuridicamente vincolante, ai sensi di tale articolo 78, paragrafo 1. Infatti, dopo aver esaminato la fondatezza del reclamo di cui era stata investita, tale autorità si è pronunciata su quest’ultimo e ha constatato la liceità del trattamento dei dati a carattere personale contestato dalla ricorrente.
34 Per quanto riguarda la portata del controllo giurisdizionale esercitato su una siffatta decisione nell’ambito di un ricorso proposto ai sensi di detto articolo 78, paragrafo 1, è sufficiente rilevare che una decisione su reclamo adottata da un’autorità di controllo è soggetta ad un controllo giurisdizionale completo [sentenza del 7 dicembre 2023, SCHUFA Holding, C‑26/22 e C‑64/22, (Esdebitazione), EU:C:2023:XXX, punto 1 del dispositivo].
35 Il primo motivo di irricevibilità sollevato dalla SCHUFA deve quindi essere respinto.
36 In secondo luogo, dalla domanda di pronuncia pregiudiziale risulta chiaramente che il giudice del rinvio si interroga sul criterio di controllo da adottare in sede di valutazione, alla luce del RGPD, del trattamento dei dati personali di cui trattasi nel procedimento principale, dato che tale criterio dipende dall’applicabilità o meno dell’articolo 22, paragrafo 1, di tale regolamento.
37 Pertanto, non risulta in modo manifesto che l’interpretazione del RGPD richiesta dal giudice del rinvio non abbia alcun rapporto con la realtà effettiva o con l’oggetto del procedimento principale, né che il problema sia di natura ipotetica. Inoltre, la Corte dispone degli elementi di fatto e di diritto necessari per fornire una risposta utile alle questioni pregiudiziali sottopostele.
38 Pertanto, anche il secondo motivo di irricevibilità sollevato dalla SCHUFA deve essere respinto.
39 La domanda di pronuncia pregiudiziale è, conseguentemente, ricevibile.
Sulle questioni pregiudiziali
Sulla prima questione
40 Con la sua prima questione, il giudice del rinvio chiede, in sostanza, se l’articolo 22, paragrafo 1, del RGPD debba essere interpretato nel senso che costituisce un «processo decisionale automatizzato relativo alle persone fisiche», ai sensi di tale disposizione, il calcolo automatizzato, da parte di una società che fornisce informazioni commerciali, di un tasso di probabilità basato su dati personali relativi a una persona e riguardante la capacità di quest’ultima di onorare impegni di pagamento in futuro, qualora da tale tasso di probabilità dipenda in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale con tale persona da parte di un terzo, al quale è comunicato tale tasso di probabilità.
41 Per rispondere alla suddetta questione, occorre ricordare, in via preliminare, che l’interpretazione di una disposizione del diritto dell’Unione richiede di tener conto non soltanto della sua formulazione, ma anche del contesto in cui essa si inserisce nonché degli obiettivi e della finalità che persegue l’atto di cui essa fa parte (sentenza del 22 giugno 2023, Pankki S, C‑579/21, EU:C:2023:501, punto 38 e giurisprudenza citata).
42 Quanto al tenore dell’articolo 22, paragrafo 1, del RGPD, tale disposizione prevede che un interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
43 L’applicabilità di tale disposizione è quindi soggetta a tre condizioni cumulative, vale a dire, in primo luogo, che deve esistere una «decisione», in secondo luogo, che tale decisione deve essere «basata unicamente sul trattamento automatizzato, compresa la profilazione», e, in terzo luogo, che essa deve produrre «effetti giuridici [riguardanti l’interessato]» o incidere «in modo analogo significativamente sulla sua persona».
44 Per quanto riguarda, in primo luogo, la condizione relativa all’esistenza di una decisione, occorre rilevare che la nozione di «decisione», ai sensi dell’articolo 22, paragrafo 1, del RGPD, non è definita da tale regolamento. Tuttavia, dalla formulazione stessa di tale disposizione risulta che tale nozione rinvia non solo ad atti che producono effetti giuridici riguardanti il soggetto di cui trattasi, ma anche ad atti che incidono significativamente su di esso in modo analogo.
45 L’ampia portata rivestita dalla nozione di «decisione» è confermata dal considerando 71 del RGPD, ai sensi del quale una decisione che implica la valutazione di taluni aspetti personali di un interessato, di cui quest’ultimo dovrebbe avere il diritto di non essere oggetto, può «includere una misura» che produce «effetti giuridici che lo riguardano» o incide «in modo analogo significativamente sulla sua persona». Secondo tale considerando, sono coperti dal termine «decisione», a titolo esemplificativo, il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani.
46 Poiché la nozione di «decisione» ai sensi dell’articolo 22, paragrafo 1, del RGPD può quindi includere, come rilevato dall’avvocato generale al paragrafo 38 delle sue conclusioni, diversi atti che possono incidere sulla persona interessata in vari modi, tale nozione è sufficientemente ampia da ricomprendere il risultato del calcolo della solvibilità di una persona sotto forma di tasso di probabilità relativo alla capacità di tale persona di onorare impegni di pagamento in futuro.
47 Per quanto riguarda, in secondo luogo, la condizione secondo cui la decisione, ai sensi di tale articolo 22, paragrafo 1, deve essere «fondata esclusivamente su un trattamento automatizzato, compresa la profilazione», come rilevato dall’avvocato generale al paragrafo 33 delle sue conclusioni, è pacifico che un’attività come quella della SCHUFA risponde alla definizione di «profilazione» di cui all’articolo 4, punto 4, del RGPD e quindi che tale condizione è soddisfatta nel caso di specie, dato che il testo della prima questione pregiudiziale si riferisce peraltro esplicitamente al calcolo automatizzato di un tasso di probabilità basato su dati personali relativi ad una persona e riguardante la capacità di quest’ultima di onorare un prestito in futuro.
48 Per quanto riguarda, in terzo luogo, la condizione secondo cui la decisione deve produrre «effetti giuridici» riguardanti la persona di cui trattasi o incida «in modo analogo significativamente» su di essa, dal tenore stesso della prima questione pregiudiziale risulta che l’azione del terzo al quale è trasmesso il tasso di probabilità è guidata «in modo decisivo» da tale tasso. Pertanto, secondo gli accertamenti di fatto del giudice del rinvio, in caso di domanda di mutuo rivolta da un consumatore a una banca, un tasso di probabilità insufficiente comporta, in quasi tutti i casi, il rifiuto di quest’ultima di concedere il prestito richiesto.
49 In tali circostanze, si deve ritenere che anche la terza condizione alla quale è subordinata l’applicazione dell’articolo 22, paragrafo 1, del RGPD sia soddisfatta, in quanto un tasso di probabilità come quello di cui trattasi nel procedimento principale incide, quanto meno, sull’interessato significativamente.
50 Ne consegue che, in circostanze come quelle di cui al procedimento principale, nelle quali il tasso di probabilità stabilito da una società che fornisce informazioni commerciali e comunicato a una banca svolge un ruolo decisivo nella concessione di un credito, il calcolo di tale tasso deve essere qualificato di per sé come decisione che produce nei confronti di un interessato «effetti giuridici che lo riguardano o che incid[e] in modo analogo significativamente sulla sua persona», ai sensi dell’articolo 22, paragrafo 1, del RGPD.
51 Tale interpretazione è corroborata dal contesto in cui si inserisce l’articolo 22, paragrafo 1, del RGPD nonché dagli obiettivi e dalla finalità perseguiti da tale regolamento.
52 A tal riguardo, occorre rilevare che, come osservato dall’avvocato generale al paragrafo 31 di tali conclusioni, l’articolo 22, paragrafo 1, del RGPD conferisce all’interessato il «diritto» di non essere oggetto di una decisione fondata esclusivamente su un trattamento automatizzato, compresa la profilazione. Tale disposizione sancisce un divieto di principio la cui violazione non necessita di essere fatta valere individualmente da una tale persona.
53 Infatti, come risulta dal combinato disposto dell’articolo 22, paragrafo 2, del RGPD e del considerando 71 di tale regolamento, l’adozione di una decisione basata esclusivamente su un trattamento automatizzato è autorizzata solo nei casi di cui a tale articolo 22, paragrafo 2, ossia qualora tale decisione sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento [lettera a)], qualora sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento [lettera b)], o si basi sul consenso esplicito dell’interessato [lettera c)].
54 Inoltre, l’articolo 22 del RGPD prevede, al paragrafo 2, lettera b), e al paragrafo 3, che devono essere previste misure appropriate per la salvaguardia dei diritti, delle libertà e dei legittimi interessi dell’interessato. Nei casi di cui all’articolo 22, paragrafo 2, lettere a) e c), di tale regolamento, il titolare del trattamento attua almeno il diritto dell’interessato di ottenere un intervento umano, di esprimere la propria opinione e di contestare la decisione.
55 Peraltro, conformemente all’articolo 22, paragrafo 4, del RGPD, è solo in taluni casi specifici che le decisioni basate unicamente sul trattamento automatizzato, ai sensi di tale articolo 22, possono essere fondate sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, di tale regolamento.
56 Per di più, nel caso di adozione di una decisione basata unicamente sul trattamento automatizzato, come quella di cui all’articolo 22, paragrafo 1, del RGPD, da un lato, il titolare del trattamento è soggetto a obblighi di informazione supplementari in forza dell’articolo 13, paragrafo 2, lettera f), nonché dell’articolo 14, paragrafo 2, lettera g), di tale regolamento. Dall’altro lato, l’interessato gode, in forza dell’articolo 15, paragrafo 1, lettera h), di detto regolamento, del diritto di ottenere dal titolare del trattamento, tra l’altro, «informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato».
57 Tali requisiti più rigorosi per quanto riguarda la liceità di un processo decisionale automatizzato nonché gli obblighi di informazione supplementari del titolare del trattamento e i relativi diritti di accesso supplementari dell’interessato si spiegano con la finalità perseguita dall’articolo 22 del RGPD, che consiste nel proteggere le persone contro i rischi specifici per i loro diritti e le loro libertà derivanti dal trattamento automatizzato di dati personali, compresa la profilazione.
58 Infatti, tale trattamento implica, come risulta dal considerando 71 del RGPD, la valutazione di aspetti personali relativi alla persona fisica interessata da tale trattamento, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato.
59 Secondo tale considerando, tali rischi specifici possono compromettere i legittimi interessi e i diritti dell’interessato, in particolare tenendo conto dei potenziali effetti discriminatori nei confronti delle persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale. Pertanto, sempre secondo detto considerando, occorre prevedere garanzie adeguate e assicurare un trattamento corretto e trasparente nel rispetto dell’interessato, in particolare mediante l’uso di procedure matematiche o statistiche appropriate per la profilazione e mediante l’applicazione di misure tecniche e organizzative adeguate al fine di minimizzare il rischio di errori.
60 Orbene, l’interpretazione esposta ai punti da 42 a 50 della presente sentenza, e in particolare la portata ampia della nozione di «decisione», ai sensi dell’articolo 22, paragrafo 1, del RGPD, rafforza la protezione effettiva prevista da tale disposizione.
61 Per contro, in circostanze come quelle di cui trattasi nel procedimento principale, nelle quali sono coinvolti tre attori, sussisterebbe un rischio di elusione dell’articolo 22 del RGPD e, di conseguenza, una lacuna nella protezione giuridica qualora fosse accolta un’interpretazione restrittiva di tale disposizione, secondo la quale il calcolo del tasso di probabilità deve essere considerato soltanto un atto preparatorio e solo l’atto adottato dal terzo può, se del caso, essere qualificato come «decisione», ai sensi dell’articolo 22, paragrafo 1, di tale regolamento.
62 Infatti, in tale ipotesi, il calcolo di un tasso di probabilità come quello di cui trattasi nel procedimento principale sfuggirebbe ai requisiti specifici previsti all’articolo 22, paragrafi da 2 a 4, del RGPD, sebbene tale procedura si basi su un trattamento automatizzato e produca effetti che incidono significativamente sull’interessato, in quanto l’azione del terzo, al quale tale tasso di probabilità è trasmesso, è condizionata in modo decisivo da quest’ultimo.
63 Inoltre, come rilevato dall’avvocato generale al paragrafo 48 delle sue conclusioni, da un lato, la persona interessata non potrebbe far valere, presso la società che fornisce informazioni commerciali che calcola il tasso di probabilità che la riguarda, il suo diritto di accesso alle informazioni specifiche di cui all’articolo 15, paragrafo 1, lettera h), del RGPD, in assenza di adozione di un processo decisionale automatizzato da parte di tale agenzia. Dall’altro lato, anche supponendo che l’atto adottato dal terzo rientri, dal canto suo, nell’ambito di applicazione dell’articolo 22, paragrafo 1, di tale regolamento qualora soddisfi le condizioni di applicazione di tale disposizione, tale terzo non sarebbe in grado di fornire tali informazioni specifiche in quanto generalmente non ne dispone.
64 Il fatto che il calcolo di un tasso di probabilità come quello di cui trattasi nel procedimento principale rientra nell’ambito di applicabilità dell’articolo 22, paragrafo 1, del RGPD comporta, come rilevato ai punti da 53 a 55 della presente sentenza, che esso è vietato, salvo l’applicabilità di una delle eccezioni previste all’articolo 22, paragrafo 2, di tale regolamento e il rispetto delle specifiche esigenze previste dall’articolo 22, paragrafi 3 e 4, di detto regolamento.
65 Per quanto riguarda, più specificamente, l’articolo 22, paragrafo 2, lettera b), del RGPD, al quale fa riferimento il giudice del rinvio, dalla formulazione stessa di tale disposizione risulta che il diritto nazionale che autorizza l’adozione di una decisione basata unicamente sul trattamento automatizzato deve precisare misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.
66 Alla luce del considerando 71 del RGPD, siffatte misure devono comprendere, in particolare, l’obbligo per il titolare del trattamento di utilizzare procedure matematiche o statistiche appropriate per la profilazione, di metter in atto misure tecniche e organizzative adeguate al fine di garantire che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e impedire, tra l’altro, effetti discriminatori nei suoi confronti. Tali misure comprendono inoltre quantomeno il diritto dell’interessato di ottenere l’intervento umano, di esprimere la propria opinione e di contestare la decisione adottata nei suoi confronti.
67 Occorre inoltre rilevare che, conformemente alla giurisprudenza costante della Corte, qualsiasi trattamento di dati personali deve, da un lato, essere conforme ai principi relativi al trattamento dei dati stabiliti all’articolo 5 del RGPD e, dall’altro, alla luce, in particolare, del principio della liceità del trattamento, previsto al paragrafo 1, lettera a), di tale articolo, soddisfare una delle condizioni di liceità del trattamento elencate all’articolo 6 di tale regolamento (sentenza del 20 ottobre 2022, Digi, C‑77/21, EU:C:2022:805, punto 49 e giurisprudenza ivi citata). Il titolare del trattamento deve essere in grado di dimostrare il rispetto di tali principi, conformemente al principio di responsabilità enunciato all’articolo 5, paragrafo 2, di detto regolamento (v., in tal senso, sentenza del 20 ottobre 2022, Digi, C‑77/21, EU:C:2022:805, punto 24).
68 Pertanto, nell’ipotesi in cui il diritto di uno Stato membro autorizzi, conformemente all’articolo 22, paragrafo 2, lettera b), del RGPD, l’adozione di una decisione fondata esclusivamente su un trattamento automatizzato, tale trattamento deve rispettare non solo le condizioni stabilite da quest’ultima disposizione e dall’articolo 22, paragrafo 4, di tale regolamento, ma anche i requisiti stabiliti agli articoli 5 e 6 di detto regolamento. Pertanto, gli Stati membri non possono adottare, ai sensi dell’articolo 22, paragrafo 2, lettera b), del RGPD, normative che autorizzino la profilazione in violazione dei requisiti stabiliti da tali articoli 5 e 6, come interpretati dalla giurisprudenza della Corte.
69 Per quanto riguarda, in particolare, le condizioni di liceità, previste all’articolo 6, paragrafo 1, lettere a), b) e f), del RGPD, che possono trovare applicazione in un caso come quello di cui trattasi nel procedimento principale, gli Stati membri non sono autorizzati a prevedere norme complementari per l’applicazione di tali condizioni, dato che una siffatta facoltà, conformemente all’articolo 6, paragrafo 3, di tale regolamento, è limitata ai motivi di cui all’articolo 6, paragrafo 1, lettere c) e e), di detto regolamento.
70 Inoltre, per quanto riguarda più in particolare l’articolo 6, paragrafo 1, lettera f), del RGPD, gli Stati membri non possono, ai sensi dell’articolo 22, paragrafo 2, lettera b), di tale regolamento, discostarsi dai requisiti risultanti dalla giurisprudenza della Corte derivante dalla sentenza del 7 dicembre 2023, SCHUFA Holding, C‑26/22 e C‑64/22, (Esdebitazione) (EU:C:2023:xxx), in particolare stabilendo in modo definitivo il risultato della ponderazione dei diritti e degli interessi in gioco (v., in tal senso, sentenza del 19 ottobre 2016, Breyer, C‑582/14, EU:C:2016:779, punto 62).
71 Nel caso di specie, il giudice del rinvio indica che, se l’articolo 31 del BDSG potrebbe costituire una base giuridica nazionale, ai sensi dell’articolo 22, paragrafo 2, lettera b), del RGPD. Tuttavia, esso nutre seri dubbi quanto alla compatibilità di tale articolo 31 con il diritto dell’Unione. Supponendo che tale disposizione sia dichiarata incompatibile con il diritto dell’Unione, la SCHUFA non solo agirebbe senza fondamento giuridico, ma violerebbe ipso iure il divieto sancito all’articolo 22, paragrafo 1, del RGPD.
72 A tal riguardo, spetta al giudice del rinvio verificare se l’articolo 31 del BDSG possa essere qualificato come base giuridica che autorizza, ai sensi dell’articolo 22, paragrafo 2, lettera b), del RGPD, l’adozione di una decisione fondata esclusivamente su un trattamento automatizzato. Qualora tale giudice dovesse giungere alla conclusione che detto articolo 31 costituisce una siffatta base giuridica, esso dovrebbe ancora verificare se le condizioni poste dall’articolo 22, paragrafi 2, lettera b), e 4, del RGPD e quelle di cui agli articoli 5 e 6 di tale regolamento siano soddisfatte nel caso di specie.
73 Alla luce di tutte le considerazioni che precedono, occorre rispondere alla prima questione dichiarando che l’articolo 22, paragrafo 1, del RGPD deve essere interpretato nel senso che il calcolo automatizzato, da parte di una società che fornisce informazioni commerciali, di un tasso di probabilità basato su dati personali relativi a una persona e riguardanti la capacità di quest’ultima di onorare in futuro gli impegni di pagamento costituisce un «processo decisionale automatizzato relativo alle persone fisiche», ai sensi di tale disposizione, qualora da tale tasso di probabilità dipenda in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale con tale persona da parte di un terzo, al quale è comunicato tale tasso di probabilità.
Sulla seconda questione
74 Tenuto conto della risposta fornita alla prima questione, non occorre rispondere alla seconda questione.
Sulle spese
75 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione.
Per questi motivi, la Corte (Prima Sezione) dichiara:
L’articolo 22, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
deve essere interpretato nel senso che:
il calcolo automatizzato, da parte di una società che fornisce informazioni commerciali, di un tasso di probabilità basato su dati personali relativi a una persona e riguardanti la capacità di quest’ultima di onorare in futuro gli impegni di pagamento costituisce un «processo decisionale automatizzato relativo alle persone fisiche», ai sensi di tale disposizione, qualora da tale tasso di probabilità dipenda in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale con tale persona da parte di un terzo, al quale è comunicato tale tasso di probabilità.
Firme