DIGITAL ECONOMY e gdpr

Social lending, le ombre del “credit score”: ecco i rischi privacy

Le nuove piattaforme per l’accesso al credito aprono chance inedite nel mondo del prestito. Ma la gestione di big data e algoritmi per la valutazione del futuro “cliente” presenta zone grigie che rischiano di confliggere con i suoi diritti. Ecco scenario e analisi

09 Apr 2019
Marco Martorana

avvocato, studio legale Martorana, Presidente Assodata, DPO Certificato UNI 11697:2017

Victoria Parise

Avvocato giuslavorista in Firenze, DPO e Consigliere ASSODATA


Il Gdpr impatta sul nuovo mondo del social lending.  Qui infatti analisi dei big data e algoritmi fanno la parte del leone, anche per costituire il cosiddetto credit score. Il punteggio che dà il valore dell’affidabilità di un nuovo debitore. Proprio questo tassello è uno dei più delicati alla luce del nuovo regolamento privacy.

Social lending tra innovazione e privacy

Da una parte, infatti, l’ingresso delle piattaforme online nell’accesso al credito apre chance inedite nel mondo del prestito. Sia per individui che per aziende. Per investire i propri soldi o accedere al credito è sempre stato necessario ricorrere ad un intermediario finanziario: una banca o una società finanziaria. Oggi il Peer to Peer Lending o Social Lending o più in generale il Lending Based Crowdfunding, cioè il prestito diretto tra persone, si propone come un valido canale alternativo di accesso al credito, via web. Questa nuova forma di accesso al credito tramite internet semplifica e velocizza il processo, riduce i costi e aumenta la trasparenza, rendendo chi opera più libero dai sistemi finanziari tradizionali.[1]

Dall’altra, il sistema di valutazione delle credenziali del cliente/utente può presentare ostacoli al completo rispetto della privacy.

Dal mercato tradizionale al P2P

Nel P2P lending, gli attori sono, come nello schema tradizionale, sempre tre: soggetto finanziatore, intermediario e debitore-richiedente. La differenza fra il vecchio e il nuovo sistema è l’intermediario: al posto della banca, o società finanziaria, troviamo la piattaforma di P2P lending. Il nuovo sistema comunica – come accade in finanza – anche il rischio finanziario e allo stesso modo più l’investimento risulta rischioso più aumenta il rendimento dello stesso.

Trattandosi di una platea eterogenea di soggetti si ritiene, teoricamente, che con questo nuovo sistema si possano ottenere rendimenti più alti rispetto ad altre forme di investimento tradizionale.

Il sistema si sta per questo diffondendo sempre più, inoltre le pmi e/o soggetti che difficilmente accedono ai finanziamenti del sistema creditizio tradizionale possono in questo modo avere una ulteriore chance di reperire risorse.

L’operatività dei gestori dei portali on-line che svolgono attività di social lending e di coloro che prestano o raccolgono fondi (c.d. prenditori) tramite i suddetti portali è consentita nel rispetto delle norme che regolano le attività riservate dalla legge a particolari categorie di soggetti (ad esempio, attività bancaria, raccolta del risparmio presso il pubblico, concessione di credito nei confronti del pubblico, mediazione creditizia, prestazione dei servizi di pagamento).

Con specifico riferimento alla raccolta del risparmio tra il pubblico, tale attività è vietata, in linea di principio e salve le eccezioni di seguito richiamate, sia ai gestori sia ai prenditori.

In particolare, per quanto riguarda i gestori, non costituisce raccolta di risparmio tra il pubblico ed è dunque consentita l’attività P2P per:

a) la ricezione di fondi da inserire in conti di pagamento utilizzati esclusivamente per la prestazione dei servizi di pagamento dai gestori medesimi, se autorizzati a operare come istituti di pagamento, istituti di moneta elettronica o intermediari finanziari di cui all’art. 106 del TUB autorizzati a prestare servizi di pagamento ai sensi dell’art. 114-novies, comma 4, del TUB;

b) la ricezione di fondi connessa all’emissione di moneta elettronica effettuata dai gestori a tal fine autorizzati.

Per quanto riguarda i prenditori, non costituisce raccolta di risparmio tra il pubblico l’acquisizione di fondi effettuata sulla base di trattative personalizzate con i singoli finanziatori.

Come funziona il P2P

Se volessimo accedere a questa forma di finanziamento come soggetti richiedenti, questi i passaggi:

  1. Iscrizione alla piattaforma con accettazione delle condizioni generali di contratto.

Quando si crea un profilo utente è possibile utilizzare anche un nickname per restare utenti “anonimi” (si tratta di un anonimato tra utenti e non tra utente e operatore);

  1. Superamento di un primo controllo di sicurezza per poter accedere alla piattaforma P2P Lending. In questa sezione all’utente saranno richiesti i dati personali (reali): data di nascita, numero di conto corrente bancario e eventuali altri dati personali necessari a processare il tipo di richiesta.

Le informazioni che saranno fornite verranno utilizzate dall’intermediario per eseguire un confronto dei dati personali forniti con i database delle agenzie di riscossione ed enti antifrodi e antiriciclaggio.

In esito a tale verifica, il sistema richiederà anche altri dati per poi misurare la “capacità economica” dell’utente.

Tale misurazione avviene, anche in questo caso, tramite confronto automatizzato fra database pubblici e privati quali per esempio: l’elenco dei protesti, l’archivio della centrale dei rischi[2], etc.

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Si tratta di un vero e proprio credit score sull’affidabilità dell’utente, le cui variabili sono in genere: età del soggetto; totale dei finanziamenti attivi e/o mutui, garanzie prestate e la relativa scadenza; puntualità nei pagamenti delle rate; utilizzo di carte di credito; statistiche di crescita lavorativa; etc.

Accettata la registrazione, all’utente sarà permesso pubblicare l’annuncio per la somma che avrà necessità di reperire.

Un procedimento simile lo si ha anche per soggetti che siano aziende o start up, in questo caso anche la valutazione della società operata dalla piattaforma sarà eseguita tramite l’utilizzo di data base.

Dall’altra parte dello “schermo” un soggetto finanziatore, senza una preventiva verifica di solvenza, si iscriverà alla piattaforma per ricercare investimenti con una rendita per lui interessante.

I prestatori infatti non sono sottoposti al processo di verifica, per loro è sufficiente provvedere al bonifico, mentre in altre occasioni è sufficiente dimostrare che si dispone di attivi.

Le piattaforme fissano, in genere ma non sempre, dei limiti massimi alle somme che ogni finanziatore può dare in prestito in un certo arco temporale, ad esempio nell’arco di 12 mesi. Altre piattaforme, invece, non fissano alcun limite. La scelta di mettere dei limiti massimi agli investimenti è una forma di tutela per gli investitori in quanto sono attività spesso catalogate subprime, ossia “ad alto rischio”.

Una volta registratosi l’investitore pubblicherà la sua richiesta di rendimento per il finanziamento a cui è disposto e alcune determinate indicazioni richieste dal sistema (destinazione delle somme, rendita minima, etc.)

Le piattaforme a fronte di questo servizio prevedono, a carico di una delle parti o di entrambi, delle commissioni per il servizio. Queste commissioni variano dallo 0,5% al 2,5% dell’ammontare del prestito a seconda della piattaforma.

Trattamento automatizzato e diritti degli interessati

La persona fisica che accede alla piattaforma, per la ricerca di un finanziamento, godrà di tutte le tutele previste dal GDPR e in particolare di quanto disposto in tema di processo automatizzato e profilazione (art.22).

In particolare, il rischio che porta con sé la decisione (completamente automatizzata) è il mancato accesso al credito o un pregiudizio relativo alla valutazione operata dall’algoritmo. Infatti ad erronee programmazioni del sistema possono conseguire esclusioni discriminatorie e non del tutto pertinenti all’effettiva affidabilità dell’utente con conseguente accesso al credito.

Gli intermediari dunque sono tenuti a tutelare sin dall’inizio i propri “clienti” accertandosi di avvalersi di un corretto e legittimo utilizzo dei loro dati personali. Oltre naturalmente a provvedere all’adeguata informazione degli utenti circa il processo automatizzato e di profilazione a cui sono sottoposti e permettere loro un effettivo esercizio dei loro diritti.

Si tenga presente però che l’intermediario non è l’unico soggetto responsabile di un corretto e lecito utilizzo di Big data[3] in ambito di merito creditizio, essendo una parte della responsabilità anche dei soggetti che mettono a disposizione determinate informazioni finanziarie e personali dei debitori.

La questione relativa alla circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie già affrontata con provvedimenti del Garante n. 192/2011 e n. 357/2013, dovrà essere aggiornata con le modifiche previste nel Regolamento. In merito, di prezioso aiuto è la su richiamata “Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali” al fine di chiarire alcune delle ambiguità contenute nel Regolamento europeo, un ulteriore supporto certamente verrà dal Gruppo dei Garanti Europei (EDPB), che già si è attivato per realizzare delle linee guida all’applicazione pratica del nuovo dettato normativo[4].

Non va poi dimenticato il codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (Gazzetta Ufficiale 23 novembre 2004, n. 300).

Pertanto i soggetti, enti e/o imprese, che vogliano svolgere attività P2P debbono sincerarsi di operare legittimamente in ossequio alle previsioni di legge non solo in materia di Privacy, ma anche civilistiche e del settore bancario.

Big data: fonti e adempimenti

Le fonti di generazione dei Big data non sono soltanto di fonte istituzionale (elenco protesti, etc), ma sono molteplici e sono ad esempio: i social network; le transazioni commerciali online; i flussi di dati che provengono dagli oggetti connessi (Internet of Things) ad esempio dispositivi di domotica, giocattoli intelligenti, e altri servizi anche gratuiti che per loro natura trattano nostri dati personali.

La maggior di queste informazioni (dati personali) sono cedute dagli utenti in assenza di una piena consapevolezza di “dove e come” saranno effettivamente trasferite e utilizzate.

Molte volte i dati sono trasferiti in modo anonimo, circostanza che apparentemente rassicura, ma che in realtà non protegge realmente gli interessati.

Infatti queste informazioni vanno comunque a costituire profili standardizzati a cui conseguono relative valutazioni circa l’affidabilità, capacità, disponibilità di acquisto o spesa, etc per ogni categoria[5]. In esito a tali valutazioni si avranno “decisioni automatizzate” sulla propria persona da parte degli algoritmi che effettuano il confronto fra l’utente e le categorie individuate tramite big data.

I rischi connessi ad errate valutazioni sono pertanto altissimi e rischiano di moltiplicarsi esponenzialmente se non corretti.

Gli algoritmi determinano non soltanto la nostra percezione del mondo, ma la nostra stessa identità, che con internet diviene necessariamente plurale, affiancandosi a quella fisica anche un caleidoscopio di identità digitali”, ha osservato il Garante della Privacy. “Finiremo con l’essere sconosciuti a noi stessi ma trasparenti a chiunque sia capace di estrarre frammenti di noi dalla galassia delle nostre tracce on-line”.

Appunto i Big data attraverso l’analisi dei quali le persone sono classificate per categorie che le rendono destinatarie e/o titolari di vantaggio o svantaggi commerciali come ad esempio l’accesso al credito.

L’algoritmo e il Gdpr

Non possiamo dunque non interrogarci su due aspetti:

  1. Il Titolare del trattamento appresta i dovuti accorgimenti nella raccolta e trattamento delle informazioni personali degli utenti?
  2. Quali sono i diritti dei soggetti interessati da questa tipologia di trattamento?
  3. Con riferimento al primo aspetto l’art. 22 del GDPR prevede al comma 3 che: “Nei casi di cui al paragrafo 2, lettere a) e c) [ossia il consenso dell’interessato], il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.

Pertanto più di sempre gli attori del P2P dovranno prestare attenzione alla normativa del GDPR. In particolare:

  • gli intermediari che non vogliano incorrere in sanzioni provvedendo: ad una corretta programmazione degli algoritmi (creati secondo le norme di legge vigenti in materia di privacy, diritto bancario, diritto civile, etc.) ossia la c.d. privacy by design; conferendo un’adeguata informativa che renda chiaro e trasparente l’effettivo utilizzo dei dati raccolti all’utente (quindi indicazione delle finalità e modalità di trattamento) e i criteri posti alla base del processo automatizzato o della profilazione posta in essere; permettere all’utente l’effettivo esercizio dei suoi diritti in caso di violazione ponendovi immediato rimedio.
  • Gli utenti: che dovranno porre attenzione al conferimento dei loro dati personali sviluppando coscienza e consapevolezza circa il fatto che è un loro diritto comprendere le finalità e le modalità di trattamento dei propri dati da parte degli operatori delle società dell’informazione; circa il fatto che il consenso è una facoltà e non un obbligo e che per legge è sempre revocabile; che eventuali violazioni possono essere contestate e che il regolamento europeo prevede la possibilità, nell’ambito di processi automatizzati, di richiedere spiegazioni circa il loro funzionamento nonché l’intervento umano.

Non è un caso che il legislatore Europeo abbia introdotto all’art. 35 l’obbligo per il Titolare di effettuare la c.d. Valutazione d’Impatto quando un tipo di trattamento, allorché preveda in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Intendeva proporre un modello dinamico e costante controllo e autocorrezione a tutela degli interessati.

Come minimizzare il rischio di errori

A proposito di diritti l’articolo 22 del GDPR prevede, per i casi di trattamenti automatizzati, il diritto di:

  • ottenere l’intervento umano da parte del titolare del trattamento;
  • di esprimere la propria opinione;
  • di contestare la decisione.

Inoltre l’art. 13 comma 2 lettera f) del GDPR prevede che nel caso di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, vengano fornite da parte dell’interessato al titolare informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato stesso.

Infine il Considerando 71 offre un’esaustiva descrizione di quanto sia da farsi in tali casi:

  • L’interessato, in via generale, dovrebbe avere il diritto di non essere sottoposto a una decisione, che possa includere una misura che sia basata unicamente su un trattamento automatizzato e che produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona (quali il rifiuto automatico di una domanda di credito online).
  • è comunque consentito adottare decisioni sulla base di un trattamento automatizzato se ciò è espressamente previsto dal diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento. In ogni caso, tale trattamento dovrebbe essere subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all’interessato e il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione.

Al fine di garantire un trattamento corretto e trasparente nel rispetto dell’interessato è opportuno che il titolare del trattamento: utilizzi procedure matematiche o statistiche; metta in atto misure tecniche e organizzative adeguate al fine di garantire che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e che impedisca tra l’altro effetti discriminatori nei confronti di persone fisiche.

Quel che non possiamo tralasciare è che, soprattutto a livello europeo, gli operatori P2P utilizzano per la valutazione del merito creditizio sempre di più Big data di fonti alternative (alternative source of data e alternative credit scoring methodologies) e ciò in conseguenza del fatto che molti soggetti possono non avere una storia creditizia e che molti algoritmi basano le valutazioni anche su più criteri di valutazione, quali ad esempio: l’area geografica, le abitudini e stili di vita, il lavoro e le qualità professionali, etc. Inoltre l’Autorità Bancaria Europea ha interdetto ai gestori, che siano istituti di pagamento, la consultazione del sistema informativo Centrale dei Rischi, limitando così a pochi soggetti autorizzati la possibilità di accedere a tali informazioni e costringendo a attingere dalle suddette fonti alternative informazioni per valutare gli utenti.

L’elaborazione dei Big data da parte di sistemi decisionali automatizzati, in particolare dei c.d. sistemi opachi nei quali è esclusivamente la macchina a prendere decisioni, solleva molti dubbi riguardo ai profili di responsabilità (v. risoluzione del Parlamento UE del 16 febbraio 2017) in particolare con riferimento alla mancanza di trasparenza e al soggetto effettivamente responsabile dell’eventuale errore dell’algoritmo dal momento che nel fenomeno dell’I.A. vi sono sia un creatore che un produttore dello stesso.

Bibliografia

  1. http://dspace.unive.it/bitstream/handle/10579/11993/842235-1155692.pdf?sequence=2
  2. La Banca d’Italia effettua il trattamento dei dati in oggetto sulla base di una norma di legge, l’art. 53, comma 1, lett. b) del Decreto Lgs. 385/93 (Testo Unico Bancario). I dati sono comunicati: – agli intermediari bancari e finanziari per le finalità connesse con l’assunzione e la gestione del rischio di credito, limitatamente agli ultimi 3 anni; – su richiesta, all’Autorità giudiziaria, alla CONSOB, all’IVASS e alla UIF
  3. Big Data” vuol dire (letteralmente) “Grandi dati”, ovvero grandi quantità di dati, che presi insieme occupano molto spazio di archiviazione, nell’ordine dei Terabyte
  4. http://www.dirittobancario.it/approfondimenti/privacy/le-nuove-regole-materia-di-privacy-della-gdpr-e-principali-novita-le-banche
  5. Molti dei servizi “gratuiti” della c.d. società dell’informazione sono in realtà pagati con il consenso all’utilizzo (cessione, trasferimento, etc.) dei dati personali degli utenti i quali per accedervi conferiscono molte delle informazioni loro richieste.Molti servizi innovativi (piattaforme di fooddelivery, P2P, wifi gratuito, etc.) sono irrinunciabili per la nostra società moderna, ma in cambio i nostri dati personali e le nostre abitudini sono catturate dalla rete e convogliate poi in questi grandi data base.
WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 3