La Corte di Giustizia dell’Unione Europea (CGUE) si è recentemente espressa sulla compatibilità rispetto all’art. 22 del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GDPR) delle pratiche di cd. scoring del merito creditizio. In particolare, si fa riferimento all’attività consistente nell’effettuazione di un pronostico sulla probabilità di un comportamento futuro di una persona (score), come il rimborso di un prestito, a partire da talune caratteristiche di tale persona, sulla base di procedure matematiche e statistiche. Il calcolo del punteggio (scoring) si basa sul presupposto che assegnando una persona a un gruppo di altre persone con caratteristiche comparabili che si sono comportate in un certo modo, si può prevedere un comportamento analogo. A questo proposito, la Corte ha ritenuto che “il calcolo automatizzato, da parte di una società che fornisce informazioni commerciali, di un tasso di probabilità basato su dati personali relativi a una persona e riguardanti la capacità di quest’ultima di onorare in futuro gli impegni di pagamento costituisce un “processo decisionale automatizzato relativo alle persone fisiche”, ai sensi [dell’art. 22, par. 1, GDPR], qualora da tale tasso di probabilità dipenda in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale con tale persona da parte di un terzo, al quale è comunicato tale tasso di probabilità”. Come evidenziato dalla Corte, “Il fatto che il calcolo di un tasso di probabilità [rientri] nell’ambito di applicabilità [dell’art. 22, par. 1, GDPR comporta] che esso è vietato, salvo l’applicabilità di una delle eccezioni previste all’articolo 22, paragrafo 2, di tale regolamento e il rispetto delle specifiche esigenze previste dall’articolo 22, paragrafi 3 e 4, di detto regolamento”.