Scoringul bancar, considerat de CJUE ca decizie bazată exclusiv pe prelucrarea automată de date personale

CJUE a decis de curând că practicile unui furnizor german de evaluări de credit (SCHUFA Holding AG) încalcă Regulamentul General privind Protecția Datelor al Uniunii Europene - pe scurt, GDPR.

Cauza C‑634/21, soluționată săptămâna trecută de CJUE, vizează refuzarea acordării unui credit bancar ca urmare a scorului stabilit de SCHUFA. În speța ajunsă în atenția Curții, clientul a cerut ca firma să-i furnizeze informații despre datele personale prelucrate și să șteargă unele dintre datele presupuse incorecte. SCHUFA a furnizat informații despre scorul clientului și a descris metodele de calculare a scorurilor, dar a refuzat să dezvăluie elementele specifice luate în considerare în calculul scorului, invocând secretul comercial.

Scoringul reprezintă o metodă de selecție fundamentată pe analiza statistică a datelor demografice ale solicitantului sau a istoricului său de plăți (în cazul celor care au avut acces la credite anterior). Sistemul evaluează fiecare trăsătură a solicitantului în funcție de datele personale și atribuie puncte, creând astfel un profil de risc estimat. Pe baza acestui profil, banca poate lua decizia de a acorda sau refuza creditul.

S-a pus problema dacă metoda SCHUFA de creare a unui scor de credit folosind procesarea automată constituie o „decizie bazată exclusiv pe prelucrarea automată” în sensul articolului 22 al GDPR. Iar CJUE a concluzionat în sens afirmativ. 

Conform acestui articol, „persoana vizată are dreptul de a nu face obiectul unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau o afectează în mod similar într-o măsură semnificativă”.

• este necesară pentru încheierea sau executarea unui contract între persoana vizată și un operator de date;
• este autorizată prin dreptul Uniunii sau dreptul intern care se aplică operatorului și care prevede, de asemenea, măsuri corespunzătoare pentru protejarea drepturilor, libertăților și intereselor legitime ale persoanei vizate;
• are la bază consimțământul explicit al persoanei vizate.

Poziția instanței europene exprimată referitor la prevederile aceluiași articol 22 este aceea că, „în cazurile prevăzute la articolul 22 alineatul (2) literele (a) și (c) din acest regulament, operatorul pune în aplicare cel puțin dreptul persoanei vizate de a obține intervenție umană, de a‑și exprima punctul de vedere și de a contesta decizia”. 

De asemenea, în aceeași cauză, hotărârea Curții arată că persoana vizată beneficiază, în temeiul articolului 15 din Regulamentul, de dreptul de a obține din partea operatorului, printre altele, „informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată”.

Bine de știut că, în România, informațiile deținute de Biroul de Credit și care provin, desigur, de la bănci, pot fi corectate sau șterse doar prin solicitări adresate în mod direct băncilor, iar nu biroului - detalii despre ștergerea datelor de la Biroul de Credit, aici.

Termene prea lungi de stocare a datelor

Tot referitor la entități de genul Biroului de Credit de la noi, Curtea a emis o decizie în cauzele conexate C‑26/22 și C‑64/22 privind prelucrarea datelor cu caracter personal și dreptul de ștergere a acestora în cazul particular al insolvenței personale.

Instanța a decis că stocarea datelor în bazele de date ale societăților care furnizează informații comerciale nu este permisă dacă depășește durata de stocare în registrele publice. În concret, scoringul era influențat, printre altele, de datele privind insolvența persoanei fizice, iar SCHUFA prelucra aceste date pe o perioadă de timp de câteva ori mai mare decât perioada de timp în care un registru public german menținea datele privind insolvența persoanelor fizice. 

Dacă facem o comparație cu România, Biroul de Credit (care este o instituție privată) stochează astfel de date o perioadă de patru ani, conform termenilor și condițiilor de pe site-ul propriu, în timp ce Legea falimentului personal stabilește că buletinul procedurilor de insolvență a persoanelor fizice are un termen de cinci ani de stocare a datelor privind insolvența. Ca atare, la noi, termenul nu pune probleme așa cum s-a întâmplat în Germania.

De asemenea, mai subliniază CJUE în decizia de săptămâna trecută, persoana vizată are dreptul de a solicita ștergerea datelor dacă se opune prelucrării în conformitate cu articolul 21 alin. (1) din GDPR și operatorul nu poate demonstra motive legitime imperioase care să justifice prelucrarea (articolul 17 alin.(1) lit. (c) din GDPR).

Aceste concluzii recente ale CJUE subliniază importanța protejării drepturilor persoanelor vizate în ceea ce privește prelucrarea datelor cu caracter personal și oferă clarificări privind condițiile în care datele personale pot fi stocate și prelucrate de către societățile private care furnizează informații comerciale. 

Implicații dincolo de scoringul bancar

Importanța acestei hotărâri este aceea că „impune alinierea proceselor de luare a deciziilor de credit cu cerințele GDPR”, evidențiind necesitatea unei abordări echilibrate în utilizarea evaluărilor de credit pentru consumatori, astfel încât aceste practici să nu compromită drepturile individuale la confidențialitate consacrate în GDPR.

Într-o analiză publicată în urma acestei decizii a CJUE, avocații irlandezi de la William Fry sunt de părere că impactul acestei hotărâri se extinde dincolo de zona scoringului bancar, semnalând întreprinderilor (de la bănci la companii de telefonie și firme de comerț electronic) din întreaga UE importanța alinierii proceselor de luare a deciziilor cu cerințele GDPR. Avocații subliniază necesitatea unei abordări echilibrate în utilizarea evaluărilor de credit pentru consumatori, asigurându-se că astfel de practici nu compromit drepturile individuale la confidențialitate așa cum sunt consacrate în GDPR. Hotărârea servește ca un „memento” pentru întreprinderi să evalueze și, eventual, să ajusteze procesele lor în utilizarea serviciilor de evaluare a creditelor de la terți pentru a se conforma reglementărilor de confidențialitate ale UE.

Într-un sens mai larg, concluziile recente ale CJUE pot influența orice domeniu care presupune folosirea inteligenței artificiale, tocmai pentru că presupun decizii bazate pe prelucrări automate a unor date. Conform celor de la William Fry, „hotărârea CJUE are consecințe ample dincolo de evaluarea creditelor, afectând sectoare precum sănătatea, asigurările și ocuparea forței de muncă, unde luarea deciziilor bazate pe inteligență artificială este esențială”.