CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:220

CONCLUSIONI DELL’AVVOCATO GENERALE

PRIIT PIKAMÄE

presentate il 16 marzo 2023 (1)

Causa C‑634/21

contro

Land Hessen,

con l’intervento di

SCHUFA Holding AG

[domanda di pronuncia pregiudiziale proposta dal Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania)]

«Rinvio pregiudiziale – Protezione delle persone fisiche con riguardo al trattamento dei dati personali – Regolamento (UE) 2016/679 – Articolo 6, paragrafo 1 – Liceità del trattamento – Articolo 22 – Processo decisionale automatizzato relativo alle persone fisiche – Profilazione – Agenzie private di valutazione del credito – Determinazione di un tasso di probabilità della solvibilità di una persona fisica (scoring) – Trasmissione a terzi che decidono di contrarre, dare esecuzione o mettere fine a rapporti contrattuali con tale persona sulla base di detto tasso»

I. Introduzione

1. La presente domanda di pronuncia pregiudiziale, proposta dal Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania) ai sensi dell’articolo 267 TFUE, verte sull’interpretazione dell’articolo 6, paragrafo 1, e dell’articolo 22, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (2) (in prosieguo: il «RGPD»).

2. La domanda di cui trattasi si inserisce nell’ambito di una controversia che oppone la ricorrente, OQ, una persona fisica, al Land Hessen (Land Assia, Germania), rappresentato dall’Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Commissario per la protezione dei dati e la libertà d’informazione del Land Assia; in prosieguo: l’«HBDI»), in materia di protezione dei dati personali. La SCHUFA Holding AG (in prosieguo: la «SCHUFA»), un’agenzia di diritto privato, sostiene la posizione dell’HBDI in qualità di interveniente. Nell’ambito della sua attività economica, consistente nel fornire ai clienti informazioni sulla solvibilità di terzi, la SCHUFA ha fornito a un istituto di credito un punteggio di scoring relativo alla ricorrente, sulla cui base il credito da quest’ultima richiesto è stato negato. La ricorrente ha chiesto alla SCHUFA di procedere alla cancellazione della relativa registrazione e di consentirle di accedere ai dati corrispondenti; quest’ultima le ha tuttavia comunicato unicamente il punteggio di scoring pertinente e, in termini generali, i principi su cui si fonda il modello di calcolo di detto punteggio, senza informarla in merito ai dati specifici presi in considerazione e alla rilevanza loro attribuita in tale contesto, sostenendo che il metodo di calcolo sarebbe coperto da segreto industriale e aziendale.

3. Posto che la ricorrente sostiene che il rifiuto opposto dalla SCHUFA alla sua richiesta contrasta con il regime della protezione dei dati, la Corte sarà chiamata a pronunciarsi sulle restrizioni che il RGPD prevede per l’attività economica delle agenzie di informazione nel settore finanziario, in particolare nella gestione dei dati, e sulla rilevanza da attribuire al segreto industriale e aziendale. Parimenti, la Corte dovrà precisare la portata dei poteri normativi che talune disposizioni del RGPD conferiscono al legislatore nazionale in deroga all’obiettivo generale di armonizzazione previsto da detto atto giuridico.

II. Contesto normativo

A. Diritto dell’Unione

4. L’articolo 4, punto 4, del RGPD così dispone:

«Ai fini del presente regolamento s’intende per:

(...)

4) “profilazione”: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica».

5. L’articolo 6 del RGPD, rubricato «Liceità del trattamento», enuncia quanto segue:

«1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

La lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.

2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.

3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita:

a) dal diritto dell’Unione; o

b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.

La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito.

4. Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro:

a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;

b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;

c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10;

d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;

e) dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione».

6. L’articolo 15 del RGPD, dal titolo «Diritto di accesso dell’interessato», così dispone:

«1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

(...)

h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

(...)».

7. L’articolo 21 del RGPD, rubricato «Diritto di opposizione», enuncia quanto segue:

«1. L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

(...)».

8. Ai sensi dell’articolo 22 del RGPD, dal titolo «Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione»:

«1. L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

2. Il paragrafo 1 non si applica nel caso in cui la decisione:

a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;

b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;

c) si basi sul consenso esplicito dell’interessato.

3. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e gli interessi legittimi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.

4. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato».

B. Diritto tedesco

9. L’articolo 31 del Bundesdatenschutzgesetz (legge federale sulla protezione dei dati), del 30 giugno 2017 (3), come modificato dalla legge del 20 novembre 2019 (4) (in prosieguo: il «BDSG»), rubricato «Protezione delle transazioni commerciali in caso di scoring [determinazione di punteggi di scoring] e di informazioni sulla solvibilità», così dispone:

«1) Il ricorso a un tasso di probabilità di un certo comportamento futuro di una persona fisica allo scopo di decidere sulla stipulazione, sull’attuazione o sulla cessazione di un contratto con tale persona (scoring) è consentito solo se

1. le disposizioni della normativa sulla protezione dei dati sono state rispettate,

2. i dati utilizzati per il calcolo probabilistico risultano in maniera comprovata rilevanti per il calcolo del tasso di probabilità del comportamento specifico, sulla base di un procedimento matematico-statistico scientificamente riconosciuto,

3. per il calcolo del tasso di probabilità non sono stati utilizzati esclusivamente dati relativi all’indirizzo, e

4. in caso di utilizzo di dati relativi all’indirizzo, la persona interessata è stata informata dell’utilizzo previsto di tali dati prima del calcolo probabilistico; l’informazione dev’essere documentata.

2) Il ricorso a un tasso di probabilità calcolato da agenzie di valutazione del credito, relativo alla solvibilità e alla disponibilità a pagare di una persona fisica, laddove includa informazioni sui crediti, è consentito solo se sussistono le condizioni di cui al paragrafo 1 ed esclusivamente se si tratta di crediti relativi a prestazioni dovute e non adempiute, malgrado la scadenza,

1. che sono stati accertati con sentenza definitiva o provvisoriamente esecutiva o per i quali esiste un titolo di credito ai sensi dell’articolo 794 del Zivilprozessordnung (codice di procedura civile),

2. che sono stati accertati ai sensi dell’articolo 178 dell’Insolvenzordnung (legge in materia di procedure di insolvenza) e non sono stati contestati dal debitore in sede di verifica,

3. che il debitore ha espressamente riconosciuto,

4. relativamente ai quali

a) il debitore è stato sollecitato per iscritto almeno due volte dopo la data di scadenza del credito,

b) sono trascorse almeno quattro settimane dal primo sollecito,

c) il debitore è stato informato previamente – ma non prima del primo sollecito – di una possibile valutazione da parte di un’agenzia di valutazione del credito, e

d) non vi è stata contestazione da parte del debitore, oppure

5. derivanti da un rapporto contrattuale che può essere risolto senza preavviso a causa di ritardi di pagamento e relativamente ai quali il debitore è stato previamente informato di una possibile valutazione da parte di un’agenzia di valutazione del credito.

Resta salva la liceità del trattamento – incluso il calcolo di tassi di probabilità – di altri dati rilevanti relativi alla solvibilità ai sensi della normativa generale sulla protezione dei dati».

III. Fatti, procedimento principale e questioni pregiudiziali

10. Dalla decisione di rinvio risulta che la ricorrente nel procedimento principale non ha ottenuto un credito a causa di una valutazione della solvibilità effettuata dalla SCHUFA. Quest’ultima è una società di diritto privato che gestisce un servizio di informazioni in materia di crediti e fornisce ai suoi clienti informazioni sulla solvibilità dei consumatori. A tal fine, la SCHUFA effettua valutazioni della solvibilità attraverso le quali, sulla base di un metodo statistico matematico, essa elabora, a partire da determinate caratteristiche di una persona, una previsione relativa alla probabilità di un comportamento futuro, quale il rimborso di un credito.

11. La ricorrente ha chiesto alla SCHUFA di consentirle di accedere ai dati registrati che la riguardavano e di cancellare quelli inesatti. La SCHUFA ha comunicato alla ricorrente, in particolare, il punteggio di scoring calcolato nei suoi confronti e, in termini generali, il funzionamento del suo calcolo, senza tuttavia indicarle il peso riconosciuto nel calcolo ai diversi dati. La SCHUFA ritiene di non essere tenuta a divulgare i suoi metodi di calcolo, poiché essi rientrano nel segreto professionale e nel segreto industriale e aziendale. Inoltre, a suo dire, essa si limiterebbe a fornire informazioni ai clienti, i quali adotterebbero poi le decisioni vere e proprie in merito ai contratti di credito.

12. La ricorrente ha presentato al convenuto, un garante per la protezione dei dati, un reclamo vertente sulla relazione della SCHUFA, con l’istanza che questi ordini alla società di fornire e cancellare informazioni, come da lei richiesto. Nella decisione resa sul reclamo, l’HBDI ha ritenuto che non vi fosse motivo di agire ulteriormente nei confronti della società, poiché quest’ultima soddisfa i requisiti precisati dalla legge federale tedesca sulla protezione dei dati.

13. Il giudice del rinvio è chiamato a pronunciarsi su un ricorso proposto dalla ricorrente contro la decisione del convenuto. Esso ritiene che, per potersi pronunciare nel procedimento principale, sia necessario stabilire se l’attività dei prestatori di servizi di informazione in materia di credito, con cui questi ultimi attribuiscono a determinate persone punteggi di scoring e li trasmettono a terzi, senza alcuna raccomandazione o commento, rientri nell’ambito di applicazione dell’articolo 22, paragrafo 1, del RGPD.

14. Il Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden) ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali:

«1) Se l’articolo 22, paragrafo 1, del [RGPD] debba essere interpretato nel senso che il calcolo automatizzato di un tasso di probabilità relativo alla capacità di un interessato di saldare in futuro un debito costituisce già una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici che riguardano l’interessato o che incide in modo analogo significativamente sulla sua persona, qualora tale tasso, calcolato sulla base di dati personali relativi all’interessato, sia trasmesso dal titolare del trattamento a un terzo titolare del trattamento e quest’ultimo basi prevalentemente su tale tasso la sua decisione sulla stipulazione, sull’attuazione o sulla cessazione di un contratto con l’interessato.

2) In caso di risposta negativa alla prima questione pregiudiziale: se l’articolo 6, paragrafo 1, e l’articolo 22 del [RGPD] debbano essere interpretati nel senso che ostano a una normativa nazionale ai sensi della quale il ricorso a un tasso di probabilità – nella fattispecie relativo alla solvibilità e alla disponibilità a pagare di una persona fisica, che includa informazioni sui crediti – di un certo comportamento futuro di una persona fisica, allo scopo di decidere sulla stipulazione, sull’attuazione o sulla cessazione di un contratto con tale persona (scoring), è consentito solo se sono soddisfatte determinate ulteriori condizioni, meglio specificate nella motivazione della domanda di pronuncia pregiudiziale».

IV. Procedimento dinanzi alla Corte

15. La decisione di rinvio, datata 1° ottobre 2021, è pervenuta alla cancelleria della Corte il 15 ottobre 2021.

16. Le parti nel procedimento principale, la SCHUFA, i governi danese, portoghese e finlandese, nonché la Commissione europea, hanno depositato osservazioni scritte entro il termine impartito dall’articolo 23 dello Statuto della Corte di giustizia dell’Unione europea.

17. All’udienza del 26 gennaio 2023 hanno presentato osservazioni i rappresentanti processuali delle parti nel procedimento principale, della SCHUFA, e gli agenti dei governi tedesco e finlandese, nonché della Commissione.

V. Analisi giuridica

A. Osservazioni preliminari

18. Posto che, in un’economia di mercato, la fiducia reciproca rappresenta il fondamento di ogni vincolo contrattuale, è, in linea di principio, comprensibile, da un punto di vista imprenditoriale, che i fornitori di servizi e di beni desiderino conoscere i propri clienti e i rischi connessi a un siffatto vincolo contrattuale. Le agenzie di valutazione del credito possono contribuire a rafforzare detta fiducia reciproca attraverso metodi statistici che consentono alle imprese di stabilire se determinati criteri pertinenti, compresa la solvibilità dei loro clienti, siano nella specie soddisfatti. In tal modo, esse aiutano le imprese a conformarsi a diverse disposizioni del diritto dell’Unione che impongono loro, per l’appunto, un siffatto obbligo per determinate tipologie di contratti, segnatamente i contratti di credito (5). Taluni dei metodi impiegati possono fondarsi su dati personali dei clienti, raccolti e trattati in modo automatizzato grazie alla tecnologia informatica. A tale interesse si contrappone quello vantato dai soggetti interessati a sapere in che modo i dati di cui trattasi sono gestiti e registrati e i metodi seguiti dalle imprese per adottare decisioni nei confronti dei propri clienti.

19. Il RGPD, applicabile dal 25 maggio 2018, ha creato un quadro giuridico che mira a tener conto degli interessi succitati in tutta l’Unione, in particolare imponendo determinate restrizioni al trattamento dei dati personali. Restrizioni particolari trovano così applicazione a un trattamento automatizzato che possa produrre effetti giuridici che riguardano una persona fisica o che possa incidere significativamente su di essa. Tali restrizioni sono giustificate nel quadro di una profilazione, vale a dire di una valutazione di aspetti personali al fine di analizzare o prevedere la situazione economica, l’affidabilità o il comportamento di una persona fisica. In tale contesto, vanno evidenziate le restrizioni previste all’articolo 22 del RGPD, pertinenti nella presente causa, che mirano a tutelare la dignità umana, impedendo che l’interessato sia sottoposto a una decisione basata unicamente su un trattamento automatizzato, senza alcun intervento umano che possa controllare, se del caso, che detta decisione sia stata adottata in maniera corretta, giusta e non discriminatoria (6). L’intervento umano richiesto nell’ambito di questo tipo di trattamento automatizzato dei dati garantisce che l’interessato abbia la possibilità di esprimere il suo punto di vista, ottenere una spiegazione in merito alla decisione adottata al termine di detta tipologia di valutazione e contestarla qualora non la condivida. La portata delle restrizioni di cui all’articolo 22 del RGPD è, per l’appunto, l’oggetto della prima questione pregiudiziale.

20. Benché il RGPD abbia creato un quadro normativo globale relativo alla protezione dei dati personali che è, in linea di principio, completo, si deve comunque osservare che talune disposizioni offrono la possibilità agli Stati membri di prevedere norme nazionali supplementari, più rigorose ovvero a carattere derogatorio, che lasciano a questi ultimi un margine di discrezionalità circa il modo in cui tali disposizioni possono essere attuate («clausole di apertura»), a condizione che dette norme non pregiudichino il contenuto e gli obiettivi del RGPD (7). La portata di tale potere normativo residuale degli Stati membri è centrale per la seconda questione pregiudiziale da esaminare nelle presenti conclusioni.

B. Sulla ricevibilità

21. L’HBDI e la SCHUFA contestano la ricevibilità della domanda di pronuncia pregiudiziale. A tal proposito, la SCHUFA sostiene che il rinvio non è né necessario alla definizione della controversia, né sufficientemente motivato; esso offrirebbe un secondo mezzo di ricorso e sarebbe in contrasto con le altre domande di pronuncia pregiudiziale proposte e poi ritirate dal medesimo giudice del rinvio.

1. Sulla rilevanza delle questioni pregiudiziali ai fini della definizione della controversia

22. Anzitutto, occorre ricordare che, secondo una giurisprudenza costante della Corte, nell’ambito della cooperazione tra quest’ultima e i giudici nazionali istituita dall’articolo 267 TFUE, spetta soltanto al giudice nazionale, cui è stata sottoposta la controversia e che deve assumersi la responsabilità dell’emananda decisione giurisdizionale, valutare, alla luce delle particolarità del caso di specie, tanto la necessità di una pronuncia pregiudiziale per essere in grado di emettere la propria sentenza, quanto la rilevanza delle questioni che sottopone alla Corte. Di conseguenza, se le questioni sollevate vertono sull’interpretazione o sulla validità di una norma giuridica dell’Unione, la Corte è, in via di principio, tenuta a statuire. Ne consegue che le questioni vertenti sul diritto dell’Unione sono assistite da una presunzione di rilevanza. Il rifiuto della Corte di statuire su una questione pregiudiziale sottoposta da un giudice nazionale è possibile soltanto qualora risulti in modo manifesto che l’interpretazione o l’esame di validità richiesto relativamente a una norma dell’Unione non ha alcun rapporto con la realtà effettiva o con l’oggetto della controversia nel procedimento principale, oppure qualora il problema sia di natura ipotetica, o anche qualora la Corte non disponga degli elementi di fatto o di diritto necessari per rispondere utilmente alle questioni che le vengono sottoposte (8).

23. Tali condizioni non sono soddisfatte nel caso di specie, poiché dal punto 40 della decisione di rinvio emerge chiaramente che l’esito del procedimento dipende dalla [risposta alla] prima questione pregiudiziale. Il giudice del rinvio spiega che, se l’articolo 22, paragrafo 1, del RGPD dovesse essere interpretato nel senso che il calcolo di un punteggio di scoring da parte di un’agenzia di valutazione del credito rappresenta una decisione autonoma ai sensi dell’articolo 22, paragrafo 1, di detto regolamento, questi – ossia la sua attività determinante – sarebbe soggetto al divieto di decisioni individuali automatizzate. Di conseguenza, ai sensi dell’articolo 22, paragrafo 2, lettera b), del RGPD, occorrerebbe un fondamento giuridico dello Stato membro, che può essere ravvisato solo nell’articolo 31 del BDSG. Orbene, il giudice del rinvio esprime seri dubbi sulla compatibilità di detta disposizione nazionale con l’articolo 22, paragrafo 1, del RGPD. Secondo il giudice del rinvio, la SCHUFA non solo agirebbe in assenza di una base giuridica, ma violerebbe il divieto sancito da quest’ultima disposizione. Di conseguenza, la ricorrente avrebbe il diritto di chiedere all’HBDI di continuare a trattare il suo caso in qualità di autorità di controllo. È, quindi, evidente che una risposta alle questioni sollevate dal giudice del rinvio risulta dirimente ai fini della definizione della controversia.

24. La SCHUFA sostiene altresì che la domanda di pronuncia pregiudiziale è irricevibile poiché la ricorrente sarebbe già stata informata della logica sottostante al punteggio di scoring. Tuttavia, dalla decisione di rinvio emerge che la ricorrente voleva essere informata nel modo più circostanziato possibile in merito a tutti i dati raccolti e sul metodo impiegato per determinare detto punteggio. Posto che la SCHUFA ha illustrato alla ricorrente, per sommi capi, le modalità di funzionamento, in linea di principio, del suo calcolo del punteggio di scoring senza però indicare le singole informazioni incluse nel calcolo e il loro peso, è evidente che essa non ha soddisfatto detta richiesta di informazioni. Di conseguenza, la ricorrente ha un interesse legittimo a ottenere, mediante decisione pregiudiziale, l’accertamento dei diritti dell’interessato nei confronti di un’agenzia di valutazione del credito come la SCHUFA.

2. Sull’esistenza di due mezzi di ricorso paralleli

25. Per quanto attiene all’asserito rischio di offrire all’interessato un secondo mezzo di ricorso, va osservato che, diversamente da quanto sostiene la SCHUFA nelle sue osservazioni, il fatto che la ricorrente avesse in un primo momento adito i giudici ordinari e, successivamente, il giudice amministrativo del rinvio non osta alla ricevibilità della domanda di pronuncia pregiudiziale. Con i suoi due ricorsi, la ricorrente si è avvalsa dei mezzi di ricorso previsti agli articoli 78 e 79 del RGPD, disposizioni che garantiscono un diritto a un ricorso giurisdizionale effettivo nei confronti, rispettivamente, dell’autorità di controllo e del titolare del trattamento dei dati. Posto che detti mezzi di ricorso coesistono autonomamente, senza che l’uno sia sussidiario rispetto all’altro, essi possono essere esercitati in parallelo (9). Non si può, quindi, contestare alla ricorrente alcuna irregolarità nella difesa dei suoi diritti tutelati dal RGPD.

26. Occorre, inoltre, ricordare che, secondo una giurisprudenza consolidata della Corte, in assenza di norme di diritto dell’Unione in materia, spetta all’ordinamento giuridico interno di ciascuno Stato membro designare i giudici competenti e stabilire le modalità procedurali dei ricorsi giurisdizionali destinati ad assicurare la salvaguardia dei diritti che derivano ai singoli dal diritto dell’Unione (10). Non vi è quindi alcun motivo oggettivo per rimettere in discussione il regime dei mezzi di ricorso di uno Stato membro, fatta eccezione per il caso in cui è messa a repentaglio l’efficacia del diritto dell’Unione, ad esempio, se i giudici nazionali sono privati della facoltà o liberati dall’obbligo, previsto dall’articolo 267 TFUE, di sottoporre alla Corte questioni vertenti sull’interpretazione o la validità del diritto dell’Unione.

27. Nel caso di specie, non vi è alcun elemento indicante che l’esistenza di due mezzi di ricorso che rendono possibile un ricorso giurisdizionale effettivo contro, rispettivamente, l’autorità di controllo e il titolare del trattamento dei dati, minacci l’efficacia del diritto dell’Unione o privi i giudici nazionali della facoltà di ricorrere al procedimento previsto dall’articolo 267 TFUE. Al contrario, come ho già illustrato, alla luce degli articoli 78 e 79 del RGPD, è evidente che quest’ultimo non osta a un siffatto regime, rimettendo piuttosto allo Stato membro la responsabilità di designare gli organi giurisdizionali competenti e di definire le modalità procedurali dei ricorsi giurisdizionali, nel pieno rispetto del principio dell’autonomia procedurale. La Corte si è pronunciata in tal senso nella sua giurisprudenza recente (11).

28. Occorre, infine, osservare che la SCHUFA si limita a criticare i mezzi di ricorso riconosciuti in forza del diritto tedesco, senza tuttavia spiegare con precisione le ragioni per cui una sentenza della Corte pronunciata nel presente procedimento pregiudiziale sarebbe inutile ai fini della definizione della controversia. Orbene, come osserva il giudice del rinvio, un’interpretazione da parte della Corte dell’articolo 22, paragrafo 1, del RGPD consentirebbe al convenuto di esercitare i suoi poteri di controllo sulla SCHUFA in conformità al diritto dell’Unione. L’argomento con cui la SCHUFA contesta la ricevibilità della domanda di pronuncia pregiudiziale è pertanto, a mio avviso, destituito di fondamento.

3. Sulla pretesa assenza di motivazione della domanda di pronuncia pregiudiziale

29. Queste considerazioni sono, in linea di principio, sufficienti per respingere l’argomentazione della SCHUFA. Nell’interesse di una migliore comprensione della presente causa, mi sembra comunque necessario affrontare l’argomento relativo alla pretesa assenza di motivazione della domanda di pronuncia pregiudiziale. Contrariamente a quanto sostenuto dalla SCHUFA, la decisione di rinvio illustra le problematiche sollevate dalla presente causa in maniera sufficientemente circostanziata così da soddisfare i requisiti di cui all’articolo 94, lettera c), del regolamento di procedura della Corte. Più nello specifico, il giudice del rinvio spiega che la ricorrente intende far valere i propri diritti nei confronti della SCHUFA. A parere del giudice del rinvio, l’articolo 22, paragrafo 1, del RGPD – salvo si intenda darne un’interpretazione restrittiva – è, in linea di principio, idoneo a offrirle una protezione rispetto a un trattamento automatizzato dei suoi dati personali.

30. Il giudice del rinvio ritiene che, tenuto conto dell’importanza che talune imprese riconoscono al punteggio di scoring calcolato dalle agenzie di valutazione del credito nel prevedere la futura capacità economica di una persona fisica, detto punteggio può essere considerato come una «decisione» autonoma ai sensi della disposizione succitata. Un’interpretazione in tal senso sarebbe necessaria per colmare una lacuna giuridica che, altrimenti, risulterebbe dal fatto che l’interessato non sarebbe in grado di ottenere le informazioni necessarie in forza dell’articolo 15, paragrafo 1, lettera h), del RGPD. Alla luce di tale motivazione dettagliata, ritengo che occorra respingere l’argomento dedotto dalla SCHUFA e concludere per la ricevibilità della domanda di pronuncia pregiudiziale.

C. Nel merito

1. Sulla prima questione pregiudiziale

a) Divieto generale previsto all’articolo 22, paragrafo 1, del RGPD

31. L’articolo 22, paragrafo 1, del RGPD presenta una peculiarità rispetto alle altre restrizioni al trattamento dei dati previste nel suddetto regolamento, nella misura in cui sancisce un «diritto» dell’interessato di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione. Malgrado la terminologia impiegata, l’applicazione dell’articolo 22, paragrafo 1, del RGPD non richiede che l’interessato invochi attivamente il diritto. Infatti, un’interpretazione compiuta alla luce del considerando 71 di detto regolamento e che tenga conto dell’economia della disposizione di cui trattasi, in particolare del suo paragrafo 2, che enuncia i casi in cui un siffatto trattamento è eccezionalmente ammesso, consente piuttosto di concludere che la disposizione de qua prevede un divieto generale delle decisioni della tipologia sopra descritta. Ciò detto, va osservato che tale divieto si applica solo in presenza di circostanze molto specifiche, vale a dire, in concreto, alle decisioni «che produc[ono] effetti giuridici che (...) riguardano [l’interessato] o che incid[ono] in modo analogo significativamente sulla sua persona».

32. Con la prima questione, il giudice del rinvio chiede se il calcolo di un punteggio di scoring compiuto da un’agenzia di valutazione del credito ricada nell’ambito di applicazione dell’articolo 22, paragrafo 1, del RGPD quando il punteggio così ottenuto è comunicato a un’impresa che se ne serve in maniera determinante per decidere se contrarre, dare esecuzione o mettere fine a un rapporto contrattuale con l’interessato. In altre parole, si tratta di sapere se la disposizione di cui trattasi si applichi alle agenzie di valutazione del credito che forniscono punteggi di scoring alle società finanziarie. L’esame di tale questione impone di stabilire se siano o meno soddisfatte le condizioni di cui all’articolo 22, paragrafo 1, del RGPD.

b) Applicabilità dell’articolo 22, paragrafo 1, del RGPD

1) Esistenza di una «profilazione» ai sensi dell’articolo 4, punto 4, del RGPD

33. La disposizione in parola richiede, anzitutto, che esista un trattamento automatizzato di dati personali, fermo restando che, a giudicare dalla sua formulazione (12), la «profilazione» è considerata una sua sotto-categoria. A tal proposito, va osservato che lo scoring compiuto dalla SCHUFA ricade nella definizione legale contenuta nell’articolo 4, punto 4, del RGPD, posto che detta procedura utilizza dati personali per valutare determinati aspetti relativi alle persone fisiche per analizzare o prevedere aspetti riguardanti la situazione economica, l’affidabilità e il probabile comportamento di dette persone. Infatti, dal fascicolo della causa emerge che il metodo utilizzato dalla SCHUFA fornisce un «punteggio di scoring» sulla base di determinati criteri, vale a dire, un risultato che consente di trarre delle conclusioni sulla solvibilità dell’interessato. Desidero, infine, sottolineare che nessuna delle parti coinvolte contesta la qualificazione della procedura di cui trattasi come «profilazione», cosicché tale condizione può considerarsi soddisfatta nel caso di specie.

2) La decisione deve produrre «effetti giuridici» che riguardano l’interessato o «incid[ere] in modo analogo significativamente sulla sua persona»

34. L’applicazione dell’articolo 22, paragrafo 1, del RGPD richiede che la decisione in questione produca «effetti giuridici» che riguardano l’interessato o che «incida in modo analogo significativamente sulla sua persona». Il RGPD riconosce così che il processo decisionale automatizzato, compresa la profilazione, può avere conseguenze gravi per gli interessati. Benché il RGPD non definisca i termini «effetti giuridici», né l’espressione «in modo analogo significativamente», ciò non toglie che la formulazione utilizzata indica chiaramente che la disposizione di cui trattasi si riferisce solo agli effetti che hanno ripercussioni gravi. A tal proposito, occorre osservare anzitutto che il considerando 71 del RGPD cita esplicitamente «il rifiuto automatico di una domanda di credito online» come esempio tipico di una decisione che incide «significativamente» sull’interessato.

35. Va considerato, inoltre, da un lato, che, nella misura in cui il trattamento di una domanda di credito rappresenta una tappa preliminare alla conclusione del contratto di prestito, il rifiuto di una siffatta domanda può avere «effetti giuridici» per l’interessato, poiché quest’ultimo non può più beneficiare di un rapporto contrattuale con l’istituto finanziario in questione. Dall’altro, occorre osservare che un siffatto rifiuto può incidere anche sulla situazione finanziaria dell’interessato. È quindi logico concludere che la disposizione di cui trattasi inciderà, in ogni caso, «in modo analogo» su detta persona. Il legislatore sembra esserne stato consapevole all’atto della redazione del considerando 71 del RGPD, alla luce del quale deve essere interpretato l’articolo 22, paragrafo 1, del regolamento in parola. Pertanto, tenuto conto della situazione in cui si trova la ricorrente, ritengo che nel caso di specie le condizioni previste dalla disposizione de qua siano soddisfatte, a prescindere dal fatto che l’accento sia posto sulle conseguenze giuridiche o sulle conseguenze economiche del rifiuto di erogare un credito.

3) La «decisione» deve essere «basata unicamente sul trattamento automatizzato»

36. Due condizioni aggiuntive devono essere soddisfatte. In primo luogo, è necessaria l’adozione, nei confronti dell’interessato, di un atto avente la natura di «decisione». In secondo luogo, la decisione di cui trattasi deve essere «basata unicamente sul trattamento automatizzato». Per quanto attiene a quest’ultima condizione, nulla nell’esposizione dei fatti di cui alla decisione di rinvio indica che, oltre al procedimento matematico e statistico applicato dalla SCHUFA, i punteggi di scoring siano calcolati in una qualche misura rilevante mediante una valutazione e una deliberazione individuali da parte di un essere umano. Di conseguenza, il calcolo del punteggio di scoring, come compiuto dalla SCHUFA, deve essere considerato come «basato unicamente sul trattamento automatizzato». Ciò detto, non si deve dimenticare che l’istituto finanziario, cui la SCHUFA comunica il punteggio di scoring, è chiamato ad adottare un atto che si suppone autonomo nei confronti dell’interessato, vale a dire la decisione di concedere o negare il credito. Occorre, quindi, chiedersi quale di questi due atti costituisca una «decisione» ai sensi dell’articolo 22, paragrafo 1, del RGPD, questione che sarà esaminata di seguito.

37. Per quanto attiene alla prima condizione, si deve anzitutto stabilire quale sia la natura giuridica di una «decisione» e quale forma essa debba assumere. Dal punto di vista etimologico, detta nozione implica un «parere» o una «presa di posizione» su una determinata situazione. Essa deve, inoltre, avere «carattere vincolante» per distinguersi dalle semplici «raccomandazioni» che, in linea di principio, non spiegano alcuna conseguenza giuridica o di fatto (13). Ciò detto, contrariamente a quanto asserito dall’HBDI, un’analogia con l’articolo 288, quarto comma, TFUE non mi sembra pertinente nel presente contesto, tanto più che non se ne rinviene alcun fondamento nelle disposizioni del RGPD.

38. L’assenza di una definizione legale consente di desumere che il legislatore dell’Unione abbia optato per una nozione ampia, idonea a ricomprendere una molteplicità di atti che possono incidere sull’interessato in diversi modi. Infatti, come ho già osservato, una «decisione» ai sensi dell’articolo 22, paragrafo 1, del RGPD può sia avere «effetti giuridici», sia incidere sull’interessato «in modo analogo», il che comporta che la «decisione» in questione può avere un impatto che non è necessariamente giuridico, ma invece economico e sociale. Considerato che l’articolo 22, paragrafo 1, del RGPD mira a tutelare le persone fisiche dagli effetti potenzialmente discriminatori e iniqui dei trattamenti automatizzati dei dati, ritengo si renda necessario un controllo particolare che deve concretizzarsi anche nell’interpretazione della disposizione di cui trattasi.

39. Infine, va sottolineato che, nella misura in cui gli atti imputabili a un istituto finanziario privato possono avere anche conseguenze gravi per l’indipendenza e libertà d’azione dell’interessato in un’economia di mercato, segnatamente quando si tratta di certificare la solvibilità di un soggetto che richiede un credito (14), non ravviso alcuna ragione oggettiva per limitare la nozione di «decisione» al settore strettamente pubblico, vale a dire al rapporto tra Stato e cittadini, come suggerisce implicitamente l’analogia proposta dall’HBDI. La qualificazione come «decisione» di una posizione adottata nei confronti dell’interessato mi sembra richiedere un esame caso per caso, che tenga conto di circostanze specifiche e della gravità degli effetti sullo status giuridico, economico e sociale di detta persona (15).

40. Sulla base dei criteri illustrati nei paragrafi che precedono, occorre stabilire quale sia la «decisione» pertinente nel caso di specie. Come menzionato supra, esiste, da un lato, l’atto con cui una banca concede o nega l’erogazione di un credito al richiedente e, dall’altro, il punteggio di scoring risultante da una procedura di profilazione compiuta dalla SCHUFA. A mio avviso, è impossibile dare una risposta definitiva a tale questione, poiché la qualificazione dipende dalle circostanze di ciascun caso specifico. Più in concreto, riveste importanza essenziale il modo in cui è strutturato il processo decisionale. Tale processo comprende, di norma, diverse fasi, come la profilazione, il calcolo del punteggio di scoring e la decisione vertente sull’erogazione del credito propriamente detta.

41. Mi sembra evidente che, benché un istituto finanziario possa occuparsi di tale processo, nulla gli impedisce di delegare taluni compiti, in via contrattuale, a un’agenzia di valutazione del credito, ad esempio la profilazione e lo scoring. Infatti, l’articolo 22, paragrafo 1, del RGPD non impone affatto che tali attività siano svolte da uno o più soggetti. Ciò detto, l’eventuale delega di talune competenze a un prestatore di servizi esterno non mi sembra svolgere un ruolo essenziale nell’analisi, poiché una siffatta delega risponde generalmente a considerazioni di carattere economico e organizzativo che possono variare da un caso all’altro.

42. Per contro, mi sembra che l’aspetto essenziale sia quello di stabilire se il processo decisionale sia concepito con modalità tali per cui il calcolo del punteggio di scoring da parte dell’agenzia di valutazione del credito predetermina la decisione dell’istituto finanziario di concedere o negare il credito. Se lo scoring deve essere compiuto senza alcun intervento umano che possa, se del caso, verificare il suo risultato e la correttezza della decisione da adottare nei confronti del soggetto che richiede il credito, mi sembra logico ritenere che costituisca esso stesso la «decisione» di cui all’articolo 22, paragrafo 1, del RGPD.

43. Supporre il contrario in ragione del fatto che la decisione di concedere o di negare il credito spetta, formalmente, all’istituto finanziario, sarebbe non solo un formalismo eccessivo, ma non renderebbe giustizia alle circostanze specifiche di una siffatta fattispecie. Ciò sembra tanto più vero in quanto l’articolo 22, paragrafo 1, del RGPD non prescrive in alcun modo una forma specifica per la «decisione». Il fattore decisivo è l’impatto che la «decisione» ha sull’interessato. Posto che un punteggio di scoring negativo può avere, da solo, ripercussioni negative sull’interessato, vale a dire limitarlo sensibilmente nell’esercizio delle sue libertà, o stigmatizzarlo nella società, sembra giustificato qualificarlo come «decisione» ai sensi della disposizione succitata quando un istituto finanziario gli attribuisce un’importanza fondamentale nel processo decisionale (16). Infatti, in circostanze simili, [l’attività del]l’agenzia di valutazione del credito incide sul soggetto che richiede il credito già all’atto della valutazione della sua solvibilità e non soltanto nella fase finale di diniego del credito, in cui l’istituto finanziario si limita ad applicare tale valutazione al caso concreto (17).

44. Posto che, in primo luogo, l’articolo 22, paragrafo 1, del RGPD richiede che la decisione in questione sia basata «esclusivamente» su un trattamento automatizzato (18), e, in secondo luogo, che la formulazione di una disposizione rappresenta, di norma, il limite di ogni sua interpretazione, è necessario che il trattamento automatizzato resti il solo elemento che giustifica l’approccio dell’istituto finanziario nei confronti del soggetto che richiede il credito. Tale condizione sarebbe soddisfatta in presenza di un intervento umano nel processo, che tuttavia non poteva intervenire sul nesso di causalità tra il trattamento automatizzato e la decisione finale. L’agenzia di valutazione del credito dovrebbe de facto adottare la decisione finale per l’istituto finanziario. Ciò dipende dalle regole e dalle prassi interne dell’istituto finanziario di cui trattasi, che, di norma, non devono lasciare alcun margine di discrezionalità quanto all’applicazione del punteggio di scoring a una domanda di credito.

45. Si tratta essenzialmente di una questione di fatto che, a mio avviso, può essere valutata al meglio dai giudici nazionali. Propongo, quindi, di rimettere al giudice del rinvio il compito di stabilire, esso stesso, in che misura l’istituto finanziario sia, di norma, vincolato dallo scoring compiuto da un’agenzia di valutazione del credito come la SCHUFA, tenendo conto dei criteri citati supra (19). Mi fonderò sulle informazioni contenute nella decisione di rinvio per fornire al giudice nazionale una risposta utile nella presente causa.

46. A questo proposito, osservo anzitutto che, a parere del giudice del rinvio, anche se un intervento umano è, in linea di principio, ancora possibile in questa fase del processo decisionale, «in concreto il punteggio di scoring trasmesso dalle agenzie di valutazione del credito influisce in maniera così determinante [sulla decisione di instaurare un rapporto contrattuale con l’interessato] da emergere (...) dalla decisione del terzo titolare del trattamento». Secondo il giudice del rinvio, «in realtà, a determinare, in ultima analisi, se e come il terzo titolare del trattamento stipulerà un contratto con l’interessato è il punteggio di scoring calcolato dall’agenzia di valutazione del credito sulla base di un trattamento automatizzato». Il giudice del rinvio spiega altresì che, benché il terzo non sia tenuto a prendere la sua decisione in base al punteggio di scoring, resta il fatto che «di solito lo fa ampiamente». Esso aggiunge che, «benché un prestito possa essere rifiutato malgrado un punteggio di scoring in linea di principio sufficiente (per altre ragioni, come l’assenza di garanzie o dubbi sull’esito positivo di un investimento da finanziare), un punteggio di scoring insufficiente porterà al rifiuto di un prestito in quasi tutti i casi, almeno nell’area dei prestiti al consumo, ancorché un investimento sembri altrimenti proficuo». Infine, detto giudice osserva che «il fatto che i punteggi di scoring abbiano un peso decisivo nella concessione dei prestiti e nella formulazione delle loro condizioni è dimostrato dalle esperienze delle autorità di controllo della protezione dei dati».

47. Fatta salva la valutazione dei fatti che compete ai giudici nazionali compiere in ciascun caso particolare, le considerazioni svolte supra mi sembrano indicare che il punteggio di scoring calcolato da un’agenzia di valutazione del credito e comunicato a un istituto finanziario tende generalmente a predeterminare la decisione di quest’ultimo quanto alla concessione o al diniego del credito all’interessato, cosicché si deve ritenere che detta presa di posizione rivesta un carattere puramente formale nel quadro del processo (20). Ne consegue che occorre riconoscere al punteggio di scoring stesso la natura di «decisione» ai sensi dell’articolo 22, paragrafo 1, del RGPD.

48. Una siffatta conclusione mi sembra ragionevole perché qualsiasi altra interpretazione rimetterebbe in discussione l’obiettivo che il legislatore dell’Unione persegue con la disposizione di cui trattasi, volta a proteggere i diritti degli interessati. Come correttamente osservato dal giudice del rinvio, una lettura restrittiva dell’articolo 22, paragrafo 1, del RGPD comporterebbe una lacuna nella protezione giuridica: l’agenzia di valutazione del credito da cui dovrebbero essere ottenute le informazioni richieste dall’interessato non è tenuta a fornirle in forza dell’articolo 15, paragrafo 1, lettera h), del RGPD, poiché essa non procederebbe a un proprio «processo decisionale automatizzato» ai sensi della suddetta disposizione, e l’istituto finanziario che adotta la sua decisione sulla base del punteggio di scoring calcolato in maniera automatizzata e che è tenuto a fornire le informazioni richieste ai sensi dell’articolo 15, paragrafo 1, lettera h), del RGPD non le può fornire poiché non ne dispone.

49. Di conseguenza, in caso di contestazione della decisione, l’istituto finanziario non è in grado di controllare la valutazione della solvibilità del soggetto che richiede il credito, come impone l’articolo 22, paragrafo 3, del RGPD, né di garantire un trattamento corretto, trasparente e non discriminatorio mediante procedure matematiche o statistiche appropriate e misure tecniche e organizzative adeguate, in linea con il considerando 71, sesta frase, del RGPD (21). Al fine di evitare una situazione siffatta che contrasterebbe evidentemente con l’obiettivo legislativo evocato al punto che precede, propongo un’interpretazione dell’articolo 22, paragrafo 1, del RGPD che tenga conto della reale incidenza dello scoring sulla situazione dell’interessato.

50. Un approccio siffatto mi sembra logico poiché l’agenzia di valutazione del credito dovrebbe essere, di norma, l’unica in grado di dar seguito ad eventuali altre richieste dell’interessato fondate su diritti anch’essi garantiti dal RGPD, vale a dire il diritto di rettifica, previsto all’articolo 16 del RGPD, nell’eventualità che i dati personali utilizzati per effettuare lo scoring dovessero risultare inesatti, e il diritto alla cancellazione di cui all’articolo 17 del RGPD, in caso di illecito trattamento di tali dati. Posto che, in genere, quando tali attività sono delegate a terzi, l’istituto finanziario non partecipa né alla raccolta di detti dati, né alla profilazione, si può ragionevolmente escludere che esso possa garantire in maniera efficace il rispetto dei suddetti diritti. Orbene, l’interessato non dovrebbe essere tenuto a subire le conseguenze sfavorevoli di una siffatta delega delle attività.

51. Considerare l’agenzia di valutazione del credito responsabile in ragione del calcolo del punteggio di scoring – e non in ragione del suo successivo utilizzo – è, a mio avviso, il modo più efficace per garantire una protezione dei diritti fondamentali dell’interessato, vale a dire del diritto alla protezione dei dati di carattere personale, di cui all’articolo 8 della Carta dei diritti fondamentali dell’Unione europea (in prosieguo: la «Carta»), ma anche del diritto al rispetto della sua vita privata, di cui all’articolo 7 della Carta, poiché detta attività rappresenta, in definitiva, l’«origine» di ogni eventuale pregiudizio. Tenuto conto del rischio che il punteggio di scoring calcolato dall’agenzia di valutazione del credito sia utilizzato da una molteplicità di istituti finanziari, sembra ragionevole consentire all’interessato di far valere i diritti che gli sono riconosciuti direttamente nei confronti di essa.

52. Per le ragioni esposte supra, ritengo che le condizioni previste all’articolo 22, paragrafo 1, del RGPD siano soddisfatte, con conseguente applicazione della disposizione di cui trattasi in situazioni come quella oggetto del procedimento principale.

c) Portata del diritto di informazione di cui all’articolo 15, paragrafo 1, lettera h), del RGPD

53. Nel presente contesto, non si sottolineerà mai abbastanza l’importanza del pieno rispetto, da parte del titolare del trattamento, dei suoi obblighi di informazione nei confronti dell’interessato. Ai sensi dell’articolo 15, paragrafo 1, lettera h), del RGPD, l’interessato ha il diritto di ottenere dal titolare del trattamento non soltanto la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, ma anche ulteriori informazioni quali l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22 del RGDP, informazioni utili sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

54. Posto che la SCHUFA si è rifiutata di rivelare alla ricorrente talune informazioni relative al metodo di calcolo sostenendo che esse rientrerebbero tra i segreti industriali e aziendali, appare opportuno precisare la portata del diritto di informazione di cui all’articolo 15, paragrafo 1, lettera h), del RGPD, in particolare nella misura in cui esso riguarda l’obbligo di fornire «informazioni significative sulla logica utilizzata». A mio avviso, la disposizione di cui trattasi deve essere interpretata nel senso che essa copre, in linea di principio, anche il metodo di calcolo utilizzato da un’agenzia di valutazione del credito per calcolare un punteggio di scoring, salvo che vi siano interessi contrastanti degni di tutela. A tal proposito, va ricordato il considerando 63 del RGPD, dal quale risulta, in particolare, che «il diritto di accedere ai dati personali (...) non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d’autore che tutelano il software» (il corsivo è mio).

55. Dall’articolo 15, paragrafo 1, lettera h), del RGPD, interpretato alla luce dei considerando 58 e 63 di detto regolamento, si possono trarre una serie di conclusioni. In primo luogo, è evidente che il legislatore dell’Unione era perfettamente consapevole dei conflitti che possono insorgere tra, da un lato, il diritto alla protezione dei dati di carattere personale, garantito dall’articolo 8 della Carta, e, dall’altro, il diritto alla protezione della proprietà intellettuale, oggetto dell’articolo 17, paragrafo 2, della Carta. In secondo luogo, è chiaro che esso non ha inteso sacrificare un diritto fondamentale a beneficio dell’altro. Al contrario, un’analisi più approfondita delle disposizioni del RGPD consente di concludere che esso ha inteso garantire un giusto equilibrio tra i diritti e le responsabilità.

56. L’ammonimento formulato dal legislatore dell’Unione, al considerando 63 del RGPD, secondo cui «tali considerazioni non dovrebbero condurre a un diniego a fornire all’interessato tutte le informazioni» (22) significa, a mio avviso, che un minimo di informazione deve essere in ogni caso fornita al fine di non compromettere il contenuto essenziale del diritto alla protezione dei dati a carattere personale. Ne consegue che, se la protezione del segreto industriale e aziendale o della proprietà intellettuale rappresenta, in linea di principio, per un’agenzia di valutazione del credito una ragione legittima per rifiutarsi di rivelare l’algoritmo utilizzato ai fini del calcolo del punteggio di scoring dell’interessato, essa non può invece affatto giustificare un rifiuto tout court delle informazioni. Tanto più quando esistono strumenti di comunicazione appropriati che agevolano la comprensione, garantendo nel contempo un certo grado di riservatezza.

57. L’articolo 12, paragrafo 1, del RGPD, ai sensi del quale «[i]l titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni [ai sensi dell’articolo 15] relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro» (23), mi sembra particolarmente pertinente in questo contesto. Detta disposizione corrobora il ragionamento illustrato supra, nella misura in cui se ne desume che il reale obiettivo dell’articolo 15, paragrafo 1, lettera h), del RGPD consiste nel garantire che l’interessato ottenga le informazioni in maniera comprensibile e accessibile, in linea con le sue esigenze. A mio avviso, già tali requisiti escludono un eventuale obbligo di divulgare l’algoritmo, tenuto conto della sua complessità. Infatti, la divulgazione di una formula particolarmente complessa sarebbe di dubbia utilità in mancanza delle necessarie spiegazioni. A tal proposito, occorre richiamare il considerando 58 del RGPD, dal quale emerge che il rispetto dei requisiti invocati supra è particolarmente importante «in situazioni in cui (...) la complessità tecnologica dell’operazione [fa] sì che sia difficile per l’interessato comprendere se, da chi e per quali finalità sono raccolti dati personali che lo riguardano» (24).

58. Per le ragioni illustrate, ritengo che l’obbligo di fornire «informazioni significative sulla logica utilizzata» debba essere inteso nel senso che impone spiegazioni sufficientemente dettagliate sul metodo utilizzato per il calcolo del punteggio e le ragioni che hanno portato a un determinato risultato. In linea di massima, il titolare del trattamento dovrebbe fornire all’interessato informazioni generali, in particolare, sui fattori presi in considerazione ai fini del processo decisionale e sulla loro rispettiva rilevanza a livello aggregato, anch’esse utili a consentirgli di contestare qualsiasi «decisione» ai sensi dell’articolo 22, paragrafo 1, del RGPD (25).

d) Risposta alla prima questione pregiudiziale

59. Alla luce delle considerazioni che precedono, ritengo che l’articolo 22, paragrafo 1, del RGPD debba essere interpretato nel senso che il calcolo automatizzato di un tasso di probabilità relativo alla capacità di un interessato di saldare in futuro un debito costituisce già una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici che riguardano l’interessato o che incide in modo analogo significativamente sulla sua persona, qualora tale tasso, calcolato sulla base di dati personali relativi all’interessato, sia trasmesso dal titolare del trattamento a un terzo titolare del trattamento e, conformemente a una prassi costante, quest’ultimo basi prevalentemente su tale tasso la sua decisione sulla stipulazione, sull’attuazione o sulla cessazione di un contratto con l’interessato.

2. Sulla seconda questione pregiudiziale

60. Benché la seconda questione sia stata posta unicamente nell’eventualità di una risposta negativa alla prima questione, ritengo che essa sia pertinente anche qualora la Corte dovesse pervenire alla conclusione che lo scoring ricade nel divieto di processo decisionale automatizzato sancito all’articolo 22, paragrafo 1, del RGPD. In tal caso, come osserva giustamente il governo finlandese, sarebbe necessario esaminare se sia possibile derogare a tale divieto in forza dell’articolo 22, paragrafo 2, lettera b), del RGPD. Ai sensi di questa disposizione, il divieto non si applica solo «nel caso in cui la decisione (...) è autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento».

61. Detta disposizione contiene un esplicito margine di discrezionalità normativa quando la profilazione automatizzata ivi trattata si fonda sul diritto dell’Unione o di uno Stato membro. Laddove si fondi sul diritto di uno Stato membro, la legge nazionale deve prevedere garanzie specifiche per l’interessato. La Corte dovrebbe allora stabilire se una siffatta «autorizzazione» possa essere dedotta dall’articolo 6 del RGPD stesso, o da una disposizione nazionale, adottata su una base giuridica ivi prevista. Quest’ultima ipotesi mi sembra richiedere un’analisi approfondita, considerato che il giudice del rinvio s’interroga sulla conformità dell’articolo 31 del BDSG agli articoli 6 e 22 del RGPD, il che impone che detti articoli del RGPD possano costituire fondamenti giuridici adeguati.

a) Esistenza, nel RGPD, di una base giuridica che conferisce competenze normative agli Stati membri

62. Il giudice del rinvio manifesta dubbi proprio a tal riguardo, posto che, a suo avviso, nessuna delle disposizioni di cui agli articoli 6 e 22 del RGPD potrebbe fungere da fondamento giuridico per l’adozione di una norma nazionale come quella indicata all’articolo 31 del BDSG, che fissa talune regole in materia di scoring. Si pone, quindi, la questione se il legislatore nazionale abbia applicato in maniera conforme le disposizioni del RGPD che gli conferiscono un margine di discrezionalità per prevedere delle norme nazionali sul trattamento dei dati personali in forza del RGPD o addirittura, in taluni casi, di derogarvi. La risposta a detta questione appare complessa poiché, nella motivazione della legge, il legislatore tedesco non indica alcuna clausola di apertura (26). Tuttavia, essa è tanto più pertinente se si considera che l’articolo 31, paragrafo 1, punto 1), del BDSG enuncia espressamente che lo scoring «è consentito solo se le disposizioni della normativa sulla protezione dei dati sono state rispettate» (il corsivo è mio). Come illustrerò di seguito, numerosi argomenti mi portano a dare una risposta negativa a detta questione.

1) Applicabilità dell’articolo 22, paragrafo 2, lettera b), del RGPD

63. Occorre, anzitutto, menzionare la disposizione dell’articolo 22, paragrafo 2, lettera b), del RGPD, che conferisce agli Stati membri il potere di autorizzare una decisione basata unicamente su un trattamento di dati automatizzato, compresa la profilazione, e che potrebbe, quindi, essere invocata come base giuridica. Va tuttavia osservato che detto paragrafo 2 non troverebbe applicazione qualora la Corte dovesse dichiarare che lo scoring non ricade nel divieto sancito al paragrafo 1 di detto articolo 22. Infatti, come emerge chiaramente dalla formulazione e dall’economia generale dell’articolo 22 del RGPD, l’applicazione del paragrafo 2 presuppone che siano soddisfatte le condizioni del paragrafo 1. Pertanto, è evidente che, in caso di risposta negativa alla prima questione, un’applicazione dell’articolo 22, paragrafo 2, lettera b), del RGPD dovrebbe essere esclusa.

64. Per completezza e tenuto conto della risposta affermativa che propongo di dare alla prima questione, ritengo necessario esaminare se la disposizione di cui trattasi possa applicarsi qualora la Corte dovesse ritenere, a sua volta, che lo scoring effettuato da un’agenzia di valutazione del credito costituisca una «decisione» ai sensi del paragrafo 1 di detto articolo 22. Tuttavia, anche in un tal caso, sussistono, per una serie di ragioni, dubbi quanto all’idoneità dell’articolo 22, paragrafo 2, lettera b), di detto regolamento a fungere da fondamento giuridico.

65. In primo luogo, va ricordato che l’articolo 22 del RGPD riguarda solo le decisioni adottate «esclusivamente» sulla base di un trattamento di dati automatizzato, mentre, secondo il giudice del rinvio, l’articolo 31 del BDSG contiene, indistintamente, regole che si applicano anche a decisioni non automatizzate, disciplinando la legittimità dell’utilizzo di trattamenti dei dati ai fini del calcolo dei punteggi di scoring. In altre parole, l’articolo 31 del BDSG ha un ambito di applicazione ratione materiae molto più ampio di quello dell’articolo 22 del RGPD (27). È pertanto dubbio che l’articolo 22, paragrafo 2, lettera b), del RGPD possa fungere da base giuridica.

66. In secondo luogo, va osservato, come indica il giudice del rinvio, che l’articolo 31 del BDSG disciplina il «ricorso» a un tasso di probabilità da parte degli operatori economici, ma non il «calcolo» di detto tasso da parte di agenzie di valutazione del credito, aspetto questo che tuttavia costituisce l’oggetto della prima questione pregiudiziale. Ciò può essere desunto anche dalle dichiarazioni rese dal governo tedesco in udienza. Come illustrato in maniera circostanziata nel quadro dell’esame di detta questione, ove siano soddisfatte talune condizioni, l’articolo 22, paragrafo 1, del RGPD si applica anche alla fase di «calcolo» del punteggio di scoring e non soltanto quando un istituto finanziario vi fa «ricorso» (28). In altre parole, l’articolo 31 del BDSG sembra inteso a disciplinare una fattispecie diversa da quella rientrante nell’ambito di applicazione ratione materiae dell’articolo 22 del RGPD, aspetto questo che compete al giudice del rinvio confermare. Alla luce delle considerazioni che precedono, ritengo che l’articolo 22, paragrafo 2, lettera b), del RGPD non possa essere preso in considerazione quale base giuridica per l’adozione di una misura legislativa nazionale come quella di cui all’articolo 31 del BDSG.

2) Applicabilità dell’articolo 6, paragrafi 2 e 3, del RGPD

i) Sulle clausole che conferiscono competenze normative agli Stati membri

67. In forza dell’articolo 6, paragrafo 1, del RGPD, il trattamento dei dati personali è lecito solo nella misura in cui ricorrono le condizioni di uno dei motivi ivi elencati. Come dichiarato dalla Corte, si tratta di un elenco esaustivo e tassativo dei casi nei quali un trattamento dei dati personali può essere considerato lecito (29). Pertanto, per poter essere considerato legittimo, il calcolo di un punteggio di scoring da parte di un’agenzia di valutazione del credito deve rientrare in uno dei casi previsti in detta disposizione.

68. Le lettere b), c) ed f) dell’articolo 6, paragrafo 1, del RGPD potrebbero, in linea di principio, trovare applicazione in un caso come quello oggetto del procedimento principale. Ai sensi del paragrafo 2 di detto articolo, gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del RGPD. Orbene, va precisato che detta disposizione si applica unicamente al fine di rispettare il paragrafo 1, lettere c) ed e). Parimenti, il paragrafo 3 di detto articolo 6 stabilisce che la base su cui si fonda il trattamento deve essere stabilita dal diritto dello Stato membro cui è soggetto il titolare del trattamento, a condizione che il trattamento riguardi i casi di cui al paragrafo 1, lettere c) ed e).

69. Ne consegue che gli Stati membri possono adottare disposizioni più specifiche quando il trattamento è «necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» o «necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento». Queste condizioni disciplinano in maniera rigorosa il potere regolamentare degli Stati membri, escludendo così un ricorso arbitrario alle clausole di apertura del RGPD, che potrebbe ostacolare l’obiettivo di armonizzazione della normativa in materia di protezione dei dati personali.

70. A tal proposito, va inoltre osservato che, nella misura in cui talune di dette clausole utilizzano una terminologia propria del RGPD, senza prevedere alcun rinvio espresso al diritto degli Stati membri, i termini impiegati devono dar luogo a un’interpretazione autonoma e uniforme (30). È in questo contesto che occorre di seguito verificare se la disciplina di cui all’articolo 31 del BDSG rientri in uno dei motivi elencati all’articolo 6, paragrafo 1, del RGPD.

ii) Liceità del trattamento dei dati

– Motivo di cui all’articolo 6, paragrafo 1, lettera b), del RGPD

71. Per quanto attiene alla lettera b), da detta disposizione emerge che il trattamento è lecito solo se e nella misura in cui è necessario «all’esecuzione di un contratto di cui l’interessato è parte» o «all’esecuzione di misure precontrattuali adottate su richiesta dello stesso». A tal proposito, va osservato che, solo in casi eccezionali, i servizi delle agenzie di valutazione sono utilizzati in fase di esecuzione del contratto. La fase più importante è quella precontrattuale, nel corso della quale vengono di norma acquisite informazioni sulla solvibilità. L’invio di una domanda di informazioni a un’agenzia di valutazione del credito nell’ottica di verificare la solvibilità mi sembra sia autorizzata sulla base di detta disposizione (31). Tuttavia, va precisato che la disposizione di cui trattasi copre unicamente l’autorizzazione a svolgere indagini da parte di potenziali partner contrattuali, creditori e/o fornitori di servizi giuridici e crea così le condizioni preliminari alla legittima raccolta di dati da parte delle agenzie di valutazione del credito. Per contro, la disposizione in parola non mi sembra, da sola, sufficiente a fungere da fondamento giuridico destinato a legittimare le attività di un’agenzia di valutazione del credito in generale (32).

72. Va inoltre ricordato che, benché l’articolo 6, paragrafo 1, lettera b), del RGPD codifichi un motivo di liceità del trattamento dei dati personali, esso non riguarda nessuna delle fattispecie di cui ai paragrafi 2 e 3, in base ai quali gli Stati membri dispongono di una competenza regolamentare. Ne consegue che, nella misura in cui l’articolo 6 del RGPD elenca dette fattispecie in maniera esaustiva, una disposizione nazionale come quella di cui all’articolo 31 del BDSG non può essere adottata unicamente sulla base dell’articolo 6, paragrafo 1, lettera b), del RGPD.

– Motivo di cui all’articolo 6, paragrafo 1, lettera c), del RGPD

73. Il motivo di cui all’articolo 6, paragrafo 1, lettera c), del RGPD riguarda il trattamento fondato su un «obbligo legale» al quale è soggetto il titolare del trattamento. Ciò implica requisiti imposti dallo Stato stesso. Per contro, tale disposizione non comprende gli obblighi derivanti da contratti di diritto civile, come ad esempio, un contratto concluso da un istituto finanziario e un’agenzia di valutazione del credito. Tuttavia, gli istituti finanziari che devono garantire la solvibilità dei loro clienti in forza di obblighi loro imposti dal diritto nazionale possono fondarsi su detta base giuridica ai fini delle richieste di informazioni in tal senso, in modo da garantire, dal punto di vista di un’agenzia di valutazione del credito, la perfetta legittimità di tali domande. Per contro, il «calcolo» di un punteggio di scoring da parte dell’agenzia di valutazione del credito non può essere considerato una misura adottata nell’adempimento di un «obbligo legale» ad essa imposto, considerato che un siffatto obbligo non mi sembra sussistere nel diritto nazionale. Si deve, quindi, considerare che la suddetta lettera c) non può essere validamente invocata come base giuridica per fare dell’attività di scoring un trattamento lecito.

– Motivo di cui all’articolo 6, paragrafo 1, lettera e), del RGPD

74. Si pone quindi la questione se l’articolo 6, paragrafo 1, lettera e), del RGPD possa essere invocato come base giuridica per l’adozione dell’articolo 31 del BDSG. Ciò accadrebbe se il trattamento fosse «necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento». Da un lato, si può sostenere, come emerge dall’obiettivo legislativo dell’articolo 31 del BDSG, che si riflette nel titolo della disposizione nazionale («Protezione delle transazioni commerciali nel caso di scoring e di informazioni sulla solvibilità»), e dai lavori preparatori (33), che le agenzie di valutazione del credito contribuiscono al buon funzionamento dell’economia di un paese (34).

75. Infatti, nella misura in cui dette società mettono a disposizione informazioni sulla solvibilità di determinate persone, esse contribuiscono alla tutela dei consumatori, evitando il rischio di un sovraindebitamento (35), ma anche delle imprese che vendono loro merci o erogano loro dei finanziamenti. Dette società garantiscono la stabilità del sistema finanziario impedendo che crediti siano accordati in maniera irresponsabile a imprenditori che presentano rischi elevati di fallimento (36). Senza un sistema affidabile di valutazione del credito, una gran parte della popolazione sarebbe praticamente esclusa dalla possibilità di ottenere prestiti in ragione dei rischi incalcolabili, le transazioni economiche nell’era dell’informazione sarebbero notevolmente più difficili e i tentativi di frode passerebbero inosservati. Da questo punto di vista, si possono condividere i motivi che hanno, apparentemente, portato il legislatore tedesco ad adottare l’articolo 31 del BDSG.

76. Inoltre, seppur consapevole che persone giuridiche di diritto privato possono agire nell’interesse pubblico, mi sembra evidente che non ogni «interesse legittimo» può giustificare un’applicazione dell’articolo 6, paragrafo 1, lettera e), del RGPD. Il collegamento con l’«esercizio di pubblici poteri» e i considerando 45, 55 e 56 del RGPD indicano piuttosto che la disposizione di cui trattasi si riferisce, in primo luogo, alle autorità pubbliche in senso stretto, e alle persone giuridiche che detengono un certo grado di autorità pubblica e, in secondo luogo, alle persone giuridiche di diritto privato che effettuano un trattamento per fini di servizio pubblico, ad esempio nel settore della «sanità pubblica», della «protezione sociale» e della «gestione dei servizi di assistenza sanitaria», menzionati esplicitamente al considerando 45. In altre parole, la disposizione in parola riguarda le classiche funzioni dello Stato.

77. Parimenti, si osserva che i considerando 55 e 56 del RGPD si riferiscono ad «associazioni religiose ufficialmente riconosciute» e a «partiti politici», vale a dire a organizzazioni che, secondo i criteri del legislatore dell’Unione, svolgono attività nell’interesse pubblico ed effettuano a tal fine trattamenti di dati personali. Alla luce di tale constatazione, vi è ragione di dubitare che la disposizione di cui trattasi possa ricomprendere anche le attività di agenzie di valutazione del credito, compreso lo scoring. Una siffatta interpretazione amplierebbe considerevolmente l’ambito di applicazione della disposizione in esame e renderebbe particolarmente difficile individuare i limiti di detta clausola di apertura (37).

78. Oltre alle considerazioni esposte sopra, va osservato in tale contesto che l’articolo 31 del BDSG, pur mirando a tutelare le transazioni economiche, non indica alcun compito specifico di dette società (38). Come ho già osservato nelle presenti conclusioni, fondandomi sulle precisazioni fornite dal giudice del rinvio sul contesto giuridico nazionale, detta disposizione si riferisce al «ricorso» al punteggio di scoring da parte degli operatori economici e non al suo «calcolo» da parte delle agenzie di valutazione del credito (39). Orbene, è la liceità di questa attività ad essere al centro del procedimento principale. Per le ragioni illustrate supra, ritengo che l’articolo 6, paragrafo 1, lettera e), del RGPD non sia idoneo a fungere da base giuridica.

– Motivo di cui all’articolo 6, paragrafo 1, lettera f), del RGPD

79. Occorre ora esaminare se detta attività rientri nell’ambito di applicazione dell’articolo 6, paragrafo 1, lettera f), del RGPD. Secondo la giurisprudenza della Corte (40), la disposizione in questione prevede tre condizioni cumulative affinché un trattamento di dati personali sia lecito, vale a dire, in primo luogo, il perseguimento del legittimo interesse del titolare del trattamento oppure del terzo o dei terzi cui vengono comunicati i dati; in secondo luogo, la necessità del trattamento dei dati personali per il perseguimento del legittimo interesse e, in terzo luogo, la condizione che non prevalgano i diritti fondamentali e le libertà fondamentali della persona interessata dalla tutela dei dati.

80. Per quanto riguarda, anzitutto, il perseguimento di un «interesse legittimo», ricordo che il RGPD e la giurisprudenza riconoscono un’ampia gamma di interessi considerati legittimi (41), pur precisando che, conformemente all’articolo 13, paragrafo 1, lettera d), del RGPD, incombe al titolare del trattamento indicare gli interessi legittimi perseguiti ai sensi dell’articolo 6, paragrafo 1, lettera f) di detto regolamento. Come già osservato nelle presenti conclusioni, l’obiettivo legittimo dell’articolo 31 del BDSG consiste nel garantire la liceità delle attività svolte dalle agenzie di valutazione del credito, fermo restando che, secondo il legislatore tedesco, queste ultime contribuiscono al corretto funzionamento dell’economia del paese (42). Nella misura in cui dette attività assicurano che i diversi operatori economici siano tutelati dai rischi connessi all’insolvenza, con conseguenze gravi per la stabilità del sistema finanziario, a questa fase dell’analisi è possibile ritenere che la disposizione nazionale succitata persegue un obiettivo economico idoneo a costituire un «interesse legittimo» ai sensi dell’articolo 6, paragrafo 1, lettera f), del RGPD.

81. Per quanto concerne poi la condizione relativa alla necessità del trattamento dei dati personali per il perseguimento del legittimo interesse, si deve ricordare che, secondo la giurisprudenza della Corte, le deroghe e le limitazioni al principio di protezione dei dati personali devono avvenire nei limiti dello stretto necessario (43). È, quindi, necessario che sussista uno stretto collegamento tra il trattamento e l’interesse perseguito, in assenza di soluzioni alternative più rispettose della protezione dei dati personali, poiché non è sufficiente che il trattamento sia di mera utilità per il titolare del trattamento. A questo proposito, va osservato che, benché il giudice del rinvio sollevi taluni dubbi quanto alla liceità dell’attività di scoring alla luce delle disposizioni del RGPD, esso non fornisce alcun elemento di informazione che suggerisca l’esistenza di eventuali misure alternative più rispettose della protezione dei dati personali. In assenza di informazioni contrarie, sono propenso a riconoscere un certo margine d’azione nella scelta delle misure adeguate per conseguire l’obiettivo perseguito.

82. Per quanto riguarda, infine, il contemperamento, da un lato, degli interessi del titolare del trattamento e, dall’altro, degli interessi o dei diritti e delle libertà fondamentali dell’interessato, va osservato che, nel caso di specie, la ponderazione degli interessi in gioco è stata compiuta in via legislativa. Adottando l’articolo 31 del BDSG, il legislatore tedesco ha fatto prevalere gli interessi economici sul diritto alla protezione dei dati personali. Orbene, un siffatto approccio sarebbe ammesso solo se l’articolo 6, paragrafo 1, lettera f), del RGPD prevedesse una clausola che consente agli Stati membri di mantenere o introdurre disposizioni più specifiche per adeguare le norme del regolamento di cui trattasi per quanto riguarda il trattamento. Tuttavia, come spiegherò più avanti, così non è.

83. Come emerge chiaramente dalla formulazione dell’articolo 6, paragrafi 2 e 3, del RGPD, il mantenimento o l’introduzione di disposizioni più specifiche sono ammessi unicamente per le ipotesi di cui alle lettere c) ed e) del paragrafo 1. L’analisi che precede ha mostrato che l’articolo 31 del BDSG non riguarda nessuna circostanza idonea a rispondere ai suddetti casi, il che esclude logicamente la possibilità di invocare l’articolo 6, paragrafi 2 e 3, del RGPD come fondamento giuridico. Un’applicazione al caso previsto alla lettera f) del paragrafo 1 non solo violerebbe la formulazione di dette disposizioni, ma contrasterebbe anche con la volontà del legislatore dell’Unione, come risultante dalla genesi delle suddette disposizioni.

84. A questo proposito, ricordo che, in forza dell’articolo 5 della direttiva 95/46/CE (44) – l’atto normativo che ha preceduto il RGPD –, competeva agli Stati membri «[precisare] le condizioni alle quali i trattamenti di dati personali [erano] leciti». La Corte ha interpretato la disposizione di cui trattasi concludendo che nulla ostava a che, nell’esercizio della discrezionalità sancita dall’articolo 5 della direttiva 95/46, gli Stati membri stabilissero dei «principi cardine» per la ponderazione necessaria in forza dell’articolo 7, lettera f), di detta direttiva, che corrisponde all’articolo 6, paragrafo 1, lettera f), del RGPD. Va, tuttavia, osservato che il RGPD non conferisce più un siffatto potere agli Stati membri. L’assenza di una disposizione equivalente nel RGPD comporta, in effetti, che gli Stati membri non possano più prevedere, nel rispettivo diritto nazionale, principi cardine al fine di precisare l’«interesse legittimo» ai sensi dell’articolo 6, paragrafo 1, lettera f), di detto regolamento (45).

85. Il riferimento a disposizioni relative a «specifiche situazioni di trattamento» del capo IX, contenuto nei paragrafi 2 e 3, non comporta un ampliamento dell’ambito di applicazione dell’articolo 6 del RGPD. Si tratta piuttosto di un rinvio a disposizioni che autorizzano gli Stati membri ad adottare regole più specifiche in settori circoscritti, vale a dire quando il trattamento è necessario per adempiere un «obbligo legale» ai sensi del punto c) del paragrafo 1, o all’esecuzione di un «compito di interesse pubblico» o connesso all’esercizio di «pubblici poteri» nel caso di cui al punto e) di detto paragrafo (46). Come già osservato in precedenza, questi settori non presentano però alcun collegamento con le fattispecie in cui trova applicazione l’articolo 31 del BDSG.

86. In tale contesto, occorre altresì ricordare che, benché la proposta di regolamento della Commissione le conferisse il potere di «adottare atti delegati (...) al fine di precisare le condizioni di cui al paragrafo 6, paragrafo 1, lettera f), per vari settori e situazioni di trattamento dei dati, anche con riferimento al trattamento dei dati personali concernenti un minore», tale proposta non è stata accolta dal legislatore dell’Unione. L’analisi dell’evoluzione del testo di legge mostra come i poteri normativi degli Stati membri siano stati ridotti nell’interesse di una maggiore armonizzazione al fine di assicurare un’applicazione coerente e omogenea delle norme in materia di protezione dei dati personali, come confermano anche i considerando 3, 9 e 10 del RGPD (47). Nell’interpretare l’articolo 6 del RGPD occorre tener conto di tale circostanza.

87. Ritengo, infine, necessario osservare che, anche laddove dovesse trovare applicazione l’articolo 6, paragrafo 1, lettera f), del RGPD, una disposizione nazionale, come l’articolo 31 del BDSG, non potrebbe essere considerata conforme al diritto dell’Unione. Ricordo che la Corte ha interpretato l’articolo 7, lettera f), della direttiva 95/46 nel senso che «[u]no Stato membro non può (...) stabilire per [determinate categorie di dati personali], in modo definitivo, il risultato della ponderazione dei diritti e degli interessi contrapposti, senza consentire un diverso risultato in ragione delle circostanze specifiche del caso concreto» (48). Posto che la disposizione di cui trattasi era formulata in termini quasi identici a quelli della disposizione che l’ha sostituita, vale a dire l’articolo 6, paragrafo 1, lettera f), del RGPD, tale interpretazione mi sembra ancora valida (49). Orbene, come suggerisce il giudice del rinvio, mi sembra che il legislatore nazionale abbia perseguito precisamente tale obiettivo, considerato che, nella misura in cui l’articolo 31 del BDSG autorizza il ricorso a punteggio di scoring nel settore finanziario, gli interessi economici di detto settore vengono privilegiati rispetto al diritto alla protezione dei dati personali, senza tener conto delle specifiche circostanze del caso concreto. Un siffatto approccio equivarrebbe ad ampliare in maniera inammissibile l’ambito di applicazione dell’articolo 6 del RGPD.

88. Alla luce di quanto precede, ritengo che l’articolo 6, paragrafo 1, lettera f), del RGPD non possa essere validamente invocato quale fondamento giuridico al fine di adottare una disposizione nazionale come l’articolo 31 del BDSG.

– Motivo di cui all’articolo 6, paragrafo 4, in combinato disposto con l’articolo 23, paragrafo 1, del RGPD

89. Il giudice del rinvio osserva che, nel corso della procedura legislativa sfociata nell’adozione dell’articolo 31 del BDSG, quale base giuridica sarebbe stato dedotto il combinato disposto dell’articolo 6, paragrafo 4, e dell’articolo 23, paragrafo 1, del RGPD. Tuttavia, l’ipotesi di fondarsi su tali disposizioni sarebbe stata successivamente abbandonata. Il giudice del rinvio ritiene che tali disposizioni non siano applicabili nel caso di specie.

90. In assenza di informazioni più dettagliate, non è possibile prendere posizione sull’eventuale applicabilità delle disposizioni succitate. Ciò non mi sembra neppure necessario qualora, come sostiene il giudice del rinvio, esse non abbiano assunto alcuna rilevanza nel corso della procedura legislativa (50).

iii) Conclusione intermedia

91. Ai paragrafi che precedono ho esaminato la questione se gli articoli 6 e 22 del RGPD possano fungere da base giuridica per l’adozione di una disposizione nazionale, come quella di cui all’articolo 31 del BDSG, al fine di giustificare la liceità del calcolo di punteggi di scoring nell’ambito delle attività svolte da agenzie di valutazione del credito. Molteplici ragioni, illustrate in dettaglio nella mia analisi, mi confortano nella mia convinzione di dover respingere tale possibilità. In sintesi, ritengo che, in assenza di clausole di apertura o di eccezioni che autorizzino gli Stati membri ad adottare regole più precise o a derogare alle disposizioni del RGPD al fine di disciplinare la succitata attività, e tenuto conto del livello di armonizzazione perseguito dal regolamento di cui trattasi che, conformemente all’articolo 288 TFUE, è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri, si debba riconoscere la non conformità di una siffatta disposizione nazionale al RGPD.

92. Posto che la Corte non ha la competenza per interpretare il diritto nazionale o pronunciarsi sulla sua conformità al diritto dell’Unione nell’ambito di un procedimento pregiudiziale ai sensi dell’articolo 267 TFUE, gli argomenti affrontati nelle presenti conclusioni devono essere intesi quali indicazioni ai fini dell’interpretazione delle pertinenti disposizioni del RGPD, nell’ottica di consentire al giudice del rinvio di esercitare, se del caso, tale competenza dopo aver esaminato esso stesso l’articolo 31 del BDSG alla luce delle disposizioni di detto regolamento, segnatamente per quanto attiene alla possibilità di procedere a un’interpretazione della normativa nazionale conforme ai requisiti del diritto dell’Unione.

93. Il principio del primato del diritto dell’Unione sancisce la preminenza del diritto dell’Unione sul diritto degli Stati membri. Tale principio impone pertanto a tutte le istituzioni degli Stati membri di dare pieno effetto alle varie disposizioni del diritto dell’Unione, dato che il diritto degli Stati membri non può sminuire l’efficacia riconosciuta a tali disposizioni nel territorio dei suddetti Stati. In forza di tale principio, ove non sia possibile procedere a un’interpretazione della normativa nazionale conforme alle prescrizioni del diritto dell’Unione, il giudice nazionale incaricato di applicare, nell’ambito di propria competenza, le disposizioni del diritto dell’Unione ha l’obbligo di garantire la piena efficacia delle medesime disapplicando all’occorrenza, di propria iniziativa, qualsiasi disposizione contrastante della legislazione nazionale, anche posteriore, senza doverne chiedere o attendere la previa rimozione in via legislativa o mediante qualsiasi altro procedimento costituzionale (51).

b) Risposta alla seconda questione pregiudiziale

94. In risposta alla seconda questione pregiudiziale, ritengo che l’articolo 6, paragrafo 1, e l’articolo 22 del RGPD debbano essere interpretati nel senso che non ostano a una normativa nazionale in materia di profilazione quando si tratti di una profilazione diversa da quella prevista all’articolo 22, paragrafo 1, di detto regolamento. Tuttavia, in tal caso, il giudice nazionale deve rispettare le condizioni previste all’articolo 6 di detto regolamento. In particolare, esso deve fondarsi su una base giuridica adeguata, aspetto questo che compete al giudice del rinvio verificare.

VI. Conclusione

95. Alla luce delle considerazioni che precedono, propongo alla Corte di rispondere nei seguenti termini alle questioni pregiudiziali proposte dal Verwaltungsgericht Wiesbaden (Tribunale amministrativo di Wiesbaden, Germania):

1) L’articolo 22, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),

deve essere interpretato nel senso che:

il calcolo automatizzato di un tasso di probabilità relativo alla capacità di un interessato di saldare in futuro un debito costituisce già una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici che riguardano l’interessato o che incide in modo analogo significativamente sulla sua persona, qualora tale tasso, calcolato sulla base di dati personali relativi all’interessato, sia trasmesso dal titolare del trattamento a un terzo titolare del trattamento e, conformemente a una prassi costante, quest’ultimo basi prevalentemente su tale tasso la sua decisione sulla stipulazione, sull’attuazione o sulla cessazione di un contratto con l’interessato.

2) L’articolo 6, paragrafo 1, e l’articolo 22 del regolamento 2016/679

devono essere interpretati nel senso che:

essi non ostano a una normativa nazionale in materia di profilazione quando si tratti di una profilazione diversa da quella prevista all’articolo 22, paragrafo 1, di detto regolamento. Tuttavia, in tal caso, il giudice nazionale deve rispettare le condizioni previste all’articolo 6 di detto regolamento. In particolare, esso deve fondarsi su una base giuridica adeguata, aspetto questo che compete al giudice del rinvio verificare.

1 Lingua originale: il francese.

2 GU 2016, L 119, pag. 1.

3 BGBl. 2017 I, pag. 2097.

4 BGBl. 2019 I, pag. 1626.

5 Si tratta, in concreto, degli articoli 18 e 21 della direttiva 2014/17/UE del Parlamento europeo e del Consiglio, del 4 febbraio 2014, in merito ai contratti di credito ai consumatori relativi a beni immobili residenziali e recante modifica delle direttive 2008/48/CE e 2013/36/UE e del regolamento (UE) n. 1093/2010 (GU 2014, L 60, pag. 34), e degli articoli 8 e 9 della direttiva 2008/48/CE del Parlamento europeo e del Consiglio, del 23 aprile 2008, relativa ai contratti di credito ai consumatori e che abroga la direttiva 87/102/CEE (GU 2008, L 133, pag. 66).

6 Dalle «Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679», adottate il 3 ottobre 2017 dal Gruppo di lavoro «Articolo 29» sulla protezione dei dati, emerge che la profilazione e il processo decisionale automatizzato possono comportare rischi significativi per i diritti e le libertà delle persone. In particolare, la profilazione può perpetuare gli stereotipi esistenti e la segregazione sociale. Inoltre, nella misura in cui gli interessati possono vedere limitata la propria libertà di scegliere determinati prodotti o servizi, la profilazione può portare al diniego di servizi e beni e a discriminazioni ingiustificate.

7 V. sentenza del 28 aprile 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, punti 57 e 60).

8 V. sentenza del 28 ottobre 2020, Pegaso e Sistemi di Sicurezza (C‑521/18, EU:C:2020:867, punti 26 e 27).

9 V. conclusioni dell’avvocato generale Richard de la Tour nella causa Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2022:661, paragrafi 43 e segg.).

10 V. sentenza del 22 giugno 2010, Melki e Abdeli (C‑188/10 e C‑189/10, EU:C:2010:363, punto 45).

11 V. sentenza del 12 gennaio 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2, punto 57).

12 V. versioni nelle lingue spagnola («tratamiento automatizado, incluida la elaboración de perfiles»), danese («automatisk behandling, herunder profilering»), tedesca («einer automatisierten Verarbeitung – einschließlich Profiling»), estone («automatiseeritud töötlusel, sealhulgas profiilianalüüsil»), inglese («automated processing, including profiling»), francese («un traitement automatisé, y compris le profilage») e polacca («zautomatyzowanym przetwarzaniu, w tym profilowaniu») (il corsivo è mio).

13 V., in tal senso, Bygrave, L.A., «Article 22. Automated individual decision-making, including profiling», The EU General Data Protection Regulation (GDPR), Kuner, C., Bygrave, L.A., Docksey, C., (a cura di), Oxford, 2020, pag. 532.

14 Abel, R., «Automatisierte Entscheidungen im Einzelfall gem. Art. 22 DS-GVO – Anwedungsbereich und Grenzen im nicht‑öffentlichen Bereich», Zeitschrift für Datenschutz, 7/2018, pag. 307, ritiene che la disposizione di cui trattasi riguardi «decisioni» che incidono sulla situazione giuridica dell’interessato o interferiscono in maniera duratura con il suo sviluppo economico o personale.

15 Helfrich, M., Sydow, G., DS‑GVO/BDSG, 2^a ed., Baden‑Baden, 2018, art. 22, punto 51, ritiene decisivo stabilire se la persona interessata sia lesa nell’esercizio dei suoi diritti e delle sue libertà, ad esempio, in ragione delle conseguenze di un esame e di una valutazione idonei a ledere in maniera non trascurabile lo sviluppo della sua personalità.

16 Bernhardt, U., Ruhrman, I., Schuler, K., Weichert, T., «Evaluation der Europäischen Datentschutz‑Grundverordnung», versione del 18 luglio 2019, Netzwerk Datenschutzexpertise, pag. 7, ritengono che gli algoritmi impiegati nel quadro della profilazione siano, potenzialmente, fortemente discriminatori e possano arrecare pregiudizi, ragion per cui, a parere di detti autori, occorre precisare che tutte le forme di profilazione completa e complessa ricadono nel divieto di cui all’articolo 22, paragrafo 1, del RGPD.

17 V., in tal senso, Sydow, G., Marsch, N., DS‑GVO/BDSG, 3^aed., Baden‑Baden, 2022, paragrafo 31, del BDSG, punto 5, che ritengono che lo scoring possa incidere sugli interessati significativamente e in modo analogo a una decisione che produce effetti giuridici.

18 V. versioni nelle lingue spagnola («únicamente»), danese («alene»), tedesca («ausschließlich»), estone («üksnes»), inglese («solely»), francese («exclusivement») e polacca («wyłącznie»).

19 Un siffatto approccio mi sembra tanto più necessario in quanto, in udienza, né la SCHUFA, né l’HBDI sono stati in grado di chiarire se i punteggi di scoring mirino a predeterminare le decisioni degli istituti finanziari. Tuttavia, il rappresentante della SCHUFA ha indicato che questi ultimi beneficiavano dell’esperienza e della competenza delle agenzie di valutazione del credito nel determinare la solvibilità di una persona fisica, affermazione questa che, in linea di principio, potrebbe essere interpretata come un’indicazione di un’influenza non trascurabile sul processo decisionale.

20 Blasek, K., «Auskunfteiwesen und Kredit‑Scoring in unruhigem Fahrwasser – Ein Spagat zwischen Individualschutz und Rechtssicherheit», Zeitschrift für Datenschutz, 8/2022, pagg. 436 e 438, ritiene che un’applicazione dell’articolo 22, paragrafo 1, del RGPD non possa essere esclusa quando i dipendenti di una banca non rimettono in discussione le valutazioni automatiche (profilazione, punteggi di scoring) compiute dalle agenzie di valutazione del credito. Secondo l’autore, le banche non dovrebbero fare affidamento unicamente su dette informazioni esterne, ma dovrebbero invece verificarle direttamente in modo adeguato.

21 V., in tal senso, Horstmann, J., Dalmer, S., «Automatisierte Kreditwürdigkeitsprüfung. Externes Kreditscoring im Lichte des Verbots automatisierter Einzelfallentscheidungen», Zeitschrift für Datenschutz, 5/2022, pag. 263.

22 Il corsivo è mio.

23 Il corsivo è mio.

24 V., Zanfir‑Fortuna, G., «Article 15. Right of access by the data subject», The EU General Data Protection Regulation (GDPR), Kuner, C., Bygrave, L.A., Docksey, C., (a cura di), Oxford, 2020, pag. 463.

25 V., in tal senso, le «Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679», adottate il 3 ottobre 2017 dal Gruppo di lavoro «Articolo 29» sulla protezione dei dati, pagg. 28 e 30.

26 V. «Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)», Bundesrat – Drucksache 110/17 del 2.2.2017, pagg. 101 e 102, e Abel, R., «Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht», Zeitschrift für Datenschutz, 3/2018, pag. 105, che critica il progetto di legge, che non indica la clausola di apertura su cui si basa l’articolo 31 del BDSG e manifesta dubbi quanto alla conformità di detta disposizione al diritto dell’Unione.

27 V., in tal senso, Horstmann, J., Dalmer, S., «Automatisierte Kreditwürdigkeitsprüfung. Externes Kreditscoring im Lichte des Verbots automatisierter Einzelfallentscheidungen», Zeitschrift für Datenschutz, 5/2022, pag. 265.

28 V. paragrafo 44 delle presenti conclusioni.

29 Sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità) (C‑439/19, EU:C:2021:504, punto 99).

30 Sentenza del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità) (C‑439/19, EU:C:2021:504, punto 81).

31 V., in tal senso, von Lewinski, K., Pohl, D., «Auskunfteien nach der europäischen Datenschutzreform – Brüche und Kontinuitäten der Rechtslage», Zeitschrift für Datenschutz, 1/2018, pag. 19.

32 V., in tal senso, Abel, R., «Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht», Zeitschrift für Datenschutz, 3/2018, pag. 106.

33 V. «Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG‑EU)», Bundesrat – Drucksache 110/17 del 2.2.2017, pagg. 101 e 102. In udienza, il governo tedesco ha confermato che si tratta effettivamente dell’obiettivo legislativo dell’articolo 31 del BDSG.

34 V., a tal proposito, Guggenberger, N., Sydow, G., Bundesdatenschutzgesetz, 1^a edizione, Baden‑Baden, 2020, paragrafo 31, punti 2 e 5.

35 V. sentenza del 27 marzo 2014, LCL Le Crédit Lyonnais (C‑565/12, EU:C:2014:190, punti 40 e 42), riguardante l’obbligo del creditore, previsto all’articolo 8, paragrafo 1, della direttiva 2008/48, di valutare la solvibilità del consumatore prima della conclusione di un contratto di credito, ove tale obbligo può comprendere la consultazione delle banche dati pertinenti. A parere della Corte, detto obbligo precontrattuale mira a tutelare i consumatori contro i rischi di sovraindebitamento e di insolvenza, assicurando un livello elevato di tutela dei loro interessi e facilitando il sorgere di un efficiente mercato interno del credito al consumo.

36 V. sentenza del 6 giugno 2019, Schyns (C‑58/18, EU:C:2019:467, punti 45 e 46), in cui la Corte ha dichiarato che l’obbligo del creditore, previsto all’articolo 18, paragrafo 5, lettera a), della direttiva 2014/17, di verificare il merito creditizio del consumatore prima di erogargli un credito, mira a evitare un comportamento irresponsabile da parte degli operatori del mercato idoneo a mettere a rischio le basi del sistema finanziario.

37 V., in tal senso, Sydow, G., Marsch, N., DS-GVO/BDSG, 3^a edizione, Baden‑Baden, 2022, paragrafo 31 BDSG, punto 6, e Abel, R., «Einmeldung und Auskunfteitätigkeit nach DS-GVO und § 31 BDSG – Frage der Rechtssicherheit im neuen Recht», Zeitschrift für Datenschutz, 3/2018, pag. 105.

38 V., a tal proposito, Guggenberger, N., Sydow, G., Bundesdatenschutzgesetz, 1^aedizione, Baden‑Baden, 2020, paragrafo 31, punto 5.

39 V. paragrafo 44 delle presenti conclusioni.

40 Sentenza del 17 giugno 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, punto 106).

41 V., a tal proposto, conclusioni dell’avvocato generale Rantos nella causa Meta Platforms e a. (Condizioni generali di utilizzo di una rete sociale) (C‑252/21, EU:C:2022:704, paragrafo 60).

42 V. paragrafo 74 delle presenti conclusioni.

43 V. sentenze del 4 maggio 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, punto 30), e del 17giugno 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, punto 110).

44 Direttiva del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31).

45 V., in tal senso, Heberlein, H., DS-GVO – Kommentar, Monaco di Baviera, 2017, art. 6, punti 28 e 32.

46 V., in tal senso, Heberlein, H., op. cit., punto 32, e Roßnagel, A., Datenschutzrecht, Simitis, S., Hornung, G., Spiecker, I., (a cura di), Monaco di Baviera, 2019, art. 6, punto 23.

47 V. sentenza del 22 giugno 2022, Leistritz (C‑534/20, EU:C:2022:495, punto 26).

48 V. sentenza del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779, punto 62).

49 V. sentenza del 1° agosto 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, punto 66), in cui la Corte ha interpretato alcune disposizioni della direttiva 95/46 e del RGPD in modo uniforme.

50 Guggenberger, N., Sydow, G., Bundesdatenschutzgesetz, 1° ed., Baden‑Baden, 2020, paragrafo 31, punto 6, confermano la valutazione del giudice del rinvio quanto all’irrilevanza di dette disposizioni nella scelta di un fondamento giuridico per l’adozione dell’articolo 31 del BDSG.

51 Sentenza del 21 giugno 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, punto 293).