GDPR e credit scoring automatizzato: la UE accende il faro sull'evoluzione del FinTech - Agenda Digitale

Protezione dati personali

GDPR e credit scoring automatizzato: la UE accende il faro sull’evoluzione del FinTech

Focus su GDPR e credit scoring automatizzato nella proposta di Direttiva UE sui crediti al consumo nell’era del FinTech. La UE vuole rendere le regole di concessione di credito ai consumatori coerenti con gli strumenti digitali disponibili

18 Nov 2021
Stefano Leucci

Data Protection Officer e Fellow del Centro Nexa per Internet e Società del Politecnico di Torino

La Commissione europea ha adottato una proposta di Direttiva sui crediti al consumo, focalizzata sui temi del GDPR e del credit scoring automatizzato per verificare il merito creditizi, per fronteggiare le sfide del FinTech.

In particolare, la proposta di Direttiva UE intende modernizzare le esistenti regole di concessione di credito ai consumatori, superando la direttiva 2008/48/CE e colmando le lacune relative all’applicazione e ai cambiamenti introdotti dalla digitalizzazione, potenziando e armonizzando l’obbligo di fornire informazioni e delucidazioni adeguate ai consumatori.

GDPR, tutto ciò che c’è da sapere per essere in regola

FinTech e mercato del credito

FinTech, il mondo di tecnologie che abilitano la digitalizzazione del settore finanziario e la gestione del credito, è una delle tendenze in crescita. La pandemia da Covid-19 è stata un fattore accelerante anche per la finanza digitale.

WHITEPAPER
Identità digitali e frodi: come proteggere i dati?
Finanza/Assicurazioni
Pagamenti Digitali

La paura del contante come vettore di infezione e la necessità di ridurre distanze e contatti hanno reso sempre più necessario l’utilizzo di strumenti innovativi per sopperire ai bisogni finanziari dei cittadini europei. Dai pagamenti istantanei, all’accesso al micro-credito, alle criptovalute, abbiamo sempre più bisogno di strumenti finanziari a portata di click.

La crisi Covid-19 ha avuto un forte impatto sul mercato del credito: un sondaggio in ventuno stati membri dell’Unione Europea mostra che sei consumatori su dieci affrontano difficoltà finanziarie dall’inizio della crisi.

Il credito al consumo aiuta i consumatori a finanziare tutti i tipi di progetti e beni da loro desiderati.
Tuttavia, il ricorso al credito rischia di trasformarsi in un rischio se, se il costo del credito è eccessivo, le sue condizioni poco chiare o le sue conseguenze non valutate attentamente, il credito diventa un rischio.

Nuovi operatori di mercato e nuovi prodotti sono apparsi negli ultimi anni, e nuove modalità di diffusione digitale delle informazioni e di valutazione del merito creditizio dei consumatori devono essere presi in considerazione. Queste forze di cambiamento insistono sull’utilizzo di sistemi decisionali automatizzati e dati non tradizionali per prendere decisioni sempre più accurate sul merito creditizio.

La proposta di Direttiva europea

Per cercare di indirizzare in maniera sostenibile queste forze di cambiamento, la Commissione europea ha adottato il 30 giugno 2021 una proposta di Direttiva sui crediti al consumo che mira a modernizzare le norme in materia di credito al consumo per far fronte ai cambiamenti introdotti dalla digitalizzazione e ad abrogare la direttiva 2008/48/CE sui contratti di credito ai consumatori.

Questa proposta mira a rafforzare la protezione dei consumatori affrontando le carenze relative all’ambito di applicazione della direttiva 2008/48/CE, rafforzando e armonizzando l’obbligo di fornire informazioni e spiegazioni adeguate ai consumatori, stabilendo garanzie relative agli interessi, alle tariffe, al costo del credito e promuovendo l’educazione finanziaria.

GDPR e credit scoring, per proteggere i consumatori

In particolare, la proposta di Direttiva cerca di rinforzare la protezione dei consumatori, a fronte dell’emergere di nuovi attori come le piattaforme di prestito peer-to-peer, il maggior utilizzo dei canali di vendita online, l’immissione sul mercato di nuovi prodotti come i prestiti a breve termine ad alto costo, che possono comportare costi significativi per il mutuatario, il maggior ricorso a processi decisionali automatizzati per il credit scoring e l’utilizzo di dati personali non forniti direttamente dai consumatori per la valutazione del proprio merito creditizio nonché la maggiore vulnerabilità finanziaria di molte famiglie nell’Unione europea a causa della crisi Covid-19.

In merito alla protezione dei dati personali, è necessario anzitutto notare come sia necessario porre particolare attenzione alla tipologia dei dati trattati per svolgere queste valutazioni creditizie. Infatti, lasciare che siano i finanziatori a definire quali tipi di dati sono rilevanti per la valutazione del merito creditizio potrebbe non solo essere contrario al principio della minimizzazione dei dati, ma portare anche a pratiche commerciali sleali.

L’assenza di regole chiare e specifiche, quanto alla quantità e alla tipologia dei dati personali che i creditori possono trattare nell’ambito delle valutazioni del merito creditizio, comporta rischi significativi di trattamento eccessivo e scorretto dei dati.

Questi rischi sono ulteriormente aumentati quando queste valutazioni sono supportate da strumenti di intelligenza artificiale che potrebbero contenere difetti nel funzionamento se non adeguatamente sviluppati e sorvegliati.

Il “social credit scoring” in Cina

Un esempio è quanto sta accadendo in Cina, dove il sistema di “social credit scoring” utilizza ogni tipologia di dati e attinge ad ogni sorgente di dati utile per determinare l’affidabilità creditizia di una persona, comprese eventuali patologie sanitarie pregresse anche semplicemente inferite da immagini raccolte dai social network.

Proprio il considerando 47 della Proposta della Commissione offre indicazioni sulle tipologie di informazioni che non dovrebbero essere utilizzate per valutare il merito creditizio. In particolare, si afferma che i dati personali trovati sui social media o i dati sanitari, compresi i dati sul cancro, non dovrebbero essere utilizzati quando si effettua una valutazione del merito creditizio.

GDPR e valutazione del merito creditizio

Quali fonti esterne debbano essere considerate “rilevanti” nell’ambito della valutazione del merito creditizio è un altro punto di discussione. In particolare, tenendo conto delle possibili conseguenze negative per le persone interessate, i requisiti, il ruolo e le responsabilità delle banche dati del credito o dei terzi che forniscono “punteggi di credito” andrebbero definiti ex lege. Non sempre la consultazione di tali fonti esterne è necessaria e proporzionata, e spetta alla legge determinare il limite di questi strumenti.

Per migliorare la trasparenza riguardo al trattamento dei dati personali da parte di «terzi» (vale a dire, diversi dal creditore e dal mutuatario), già il Regolamento Europeo sulla Protezione dei Dati (anche abbreviato GDPR) sancisce obblighi di informativa specifici.

Già altre normative settoriali impongono al creditore di fornire informazioni in anticipo a chi richiede il prestito sulle fonti esterne che saranno consultate e sui diritti dei suoi interessati rispetto a tali fonti. Così, fornire informazioni ex ante ai consumatori sulle banche dati che possono essere consultate e sui diritti dell’interessato in relazione a tali fonti, permetterebbe all’interessato (consumatori che richiedono il prestito) la possibilità di esercitare efficacemente e utilmente i propri diritti (ad esempio, il diritto di rettifica ai sensi dell’articolo 16 del GDPR), migliorando così la qualità dei dati.

GDPR e tempo di conservazione

Il tempo di conservazione di questi dati è un altro elemento chiave, sia nei casi in cui la richiesta di credito è stata accolta, sia in quelli in cui è respinta. In ottemperanza al principio di limitazione della conservazione sancito dal GDPR, i dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per il tempo necessario alle finalità per le quali i dati personali sono trattati.

Sarà dunque necessario definire le tempistiche per cui i dati possono essere conservati dal creditore o dal prestatore, tenendo conto se la richiesta di credito è stata accolta o respinta. In caso di rifiuto, i dati del richiedente il prestito dovrebbero in linea di principio essere conservati per un tempo inferiore rispetto al caso di concessione del prestito, secondo un periodo massimo di conservazione che decorre dal rigetto della domanda al prestito (tenendo conto anche del diritto di il ricorrente ad impugnare la decisione).

Il principio di limitazione delle finalità

Anche il principio di limitazione delle finalità necessita di essere preso in considerazione. Infatti, già il Garante per la Protezione dei Dati Italiano, con il suo Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti pubblicato a settembre 2019 ,si era espresso nel senso di non consentire l’uso dei dati raccolti e trattati nel contesto della valutazione del merito creditizio a fini pubblicitari o di marketing.

GDPR e valutazione automatizzata del credito

Un punto specifico merita la valutazione automatizzata del credito. La proposta – in maniera coordinata e coerente con il GDPR – stabilisce che, qualora la valutazione del merito creditizio comporti l’uso della profilazione o altro trattamento automatizzato di dati personali, il soggetto interessato potrà:

  • richiedere e ottenere l’intervento umano da parte del creditore o del fornitore di servizi di credito di crowdfunding per riesaminare la decisione;
  • richiedere e ottenere dal creditore o dal fornitore di servizi di credito di crowdfunding una chiara spiegazione della valutazione del merito creditizio, compresa la logica e i rischi connessi al trattamento automatizzato dei dati personali, nonché la sua importanza e gli effetti sulla decisione;
  • esprimere il proprio punto di vista e contesta la valutazione del merito creditizio e la decisione.

Conclusioni

Anche la proposta di Regolamento Europeo in materia di intelligenza artificiale pubblicato a giugno dalla Commissione Europea specifica che i sistemi di AI utilizzati per valutare il punteggio di credito o l’affidabilità creditizia delle persone fisiche dovrebbero essere classificati come sistemi ad alto rischio, poiché determinano l’accesso di tali persone alle risorse finanziarie o ai servizi essenziali quali l’alloggio, l’elettricità e i servizi di telecomunicazione.

Il considerando 48 afferma inoltre che in vista di tali alte poste, ogni volta che la valutazione del merito creditizio comporta un’elaborazione automatizzata, il consumatore dovrebbe avere il diritto di ottenere l’intervento umano da parte del creditore o dei fornitori di servizi di credito.

Il consumatore dovrebbe inoltre avere il diritto di ottenere una spiegazione significativa della valutazione effettuata e del funzionamento del trattamento automatizzato utilizzato, comprese tra l’altro le principali variabili, la logica e i rischi implicati, nonché il diritto di esprimere il proprio punto di vista e di impugnare la valutazione del merito creditizio e la decisione.

Il parere, in merito alla proposta di Direttiva sui crediti al consumo pubblicato ad agosto 2021 dallo European Data Protection Supervisor, affronta tutti questi punti.

Questo documento apre la strada per lo sviluppo di servizi finanziari e di gestione del credito al consumo che siano non solo rispettosi dei diritti delle persone, ma anche pronti per le sfide in arrivo nel prossimo futuro.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4