NEWS

Se l’algoritmo boccia la richiesta della carta di credito, la banca deve fornire al cliente spiegazioni chiare e trasparenti

Se la decisione automatizzata dell’algoritmo respinge la richiesta della carta di credito, la banca deve fornire al cliente le informazioni ed i criteri che hanno originato il diniego in modo chiaro e trasparente.

La normativa sulla privacy impone alla banca di motivare le decisioni automatizzate degli algoritmi

Lo evidenzia il caso di un cliente che, dopo aver effettuato una richiesta online sul sito web della banca, si era visto bocciare il rilascio di una carta di credito, nonostante avesse un reddito elevato e un buon rating creditizio. Perciò, dopo aver provato ad ottenere spiegazioni plausibili allo stesso istituto, l’interessato aveva poi deciso di rivolgersi al Garante per la privacy.

Quando aveva ricevuto la richiesta di informazioni da parte del cliente a cui era stata negata la carta di credito, la banca si era limitata a fornire informazioni generiche sulla procedura di scoring che aveva dato esito negativo, e da parte sua l’interessato non era quindi in grado di comprendere quali fossero i fattori che avevano originato il diniego, impossibilitato perciò anche di contestare eventualmente la decisione adottata automaticamente nei suoi confronti.

Tuttavia, il comportamento della Deutsche Kreditbank è stato ritenuto non conforme al GDPR dal garante della protezione dei dati di Berlino, secondo cui l’istituto ha violato l'articolo 22, paragrafo 3, l'articolo 5, paragrafo 1, lettera a) e l'articolo 15, paragrafo 1, lettera h) del Regolamento generale sulla protezione dei dati (GDPR).

"Quando le aziende prendono decisioni automatizzate, sono obbligate a giustificarle in modo valido e comprensibile" - ha spiegato Meike Kamp, commissaria dell’autorità per la protezione dei dati di Berlino – “Le persone interessate dovrebbero essere in grado di comprendere il processo. Ciò include informazioni specifiche sulla banca dati e sui fattori decisionali, nonché i criteri di rifiuto nei singoli casi.”

La mancanza di informazioni sul rifiuto automatico di una richiesta di carta di credito è quindi costata cara alla Deutsche Kreditbank che ora dovrà pagare una sanzione di 300.000 euro per aver violato gli obblighi di trasparenza previsti dal GDPR.

Note Autore

Nicola Bernardi Nicola Bernardi

Presidente di Federprivacy. Consulente del Lavoro. Consulente in materia di protezione dati personali e Privacy Officer certificato TÜV Italia, Of Counsel Ict Legal Consulting, Lead Auditor ISO/IEC 27001:2013 per i Sistemi di Gestione per la Sicurezza delle Informazioni. Twitter: @Nicola_Bernardi

Prev Presentata la Relazione annuale dell’Agenzia per la Cybersicurezza Nazionale
Next Un mistero di privacy, e-mail marketing, e sregolatezza

Privacy Day Forum 2024, il trailer della giornata

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy