NEWS

Clienti etichettati a loro insaputa come “cattivi pagatori” dagli algoritmi: multa da 2,7 milioni di euro per Experian

A loro insaputa i consumatori venivano “valutati” dagli algoritmi di un sistema di credit scoring che ne analizzava i dati personali presi da fonti pubbliche e private per determinare se fossero clienti affidabili in grado di pagare le bollette delle utenze o a rischio di non riuscire a pagare gli acquisti a rate.

A finire nel mirino dell’autorità per la protezione dei dati olandese (AP) è Experian, uno dei maggiori gruppi mondiali nel campo dell’analisi finanziaria e del reporting creditizio, che fornisce alle banche e alle imprese strumenti per stimare l’affidabilità economica di clienti e partner commerciali in oltre 40 Paesi.

Per determinare l’affidabilità finanziaria dei consumatori opera infatti un sistema di valutazione “automatica” che spesso opera nell’ombra, capace di incidere sulla vita economica di milioni di cittadini che avrebbero diritto di essere informati in modo trasparente per difendersi o esercitare i propri diritti.

Nel caso preso in esame dal garante della privacy olandese, alcuni cittadini si erano visti rifiutare prestiti al consumo o erano stati costretti a versare cauzioni elevate per accedere a servizi essenziali come l’energia elettrica o le telecomunicazioni, e si erano perciò rivolti all’autorità dei Paesi Bassi lamentando di non essere a conoscenza di trattamenti di dati personali che li riguardavano, e quindi di non avere alcuna possibilità di poter verificare se tali informazioni fossero corrette ed eventualmente chiederne l’aggiornamento o la rettifica:

particolari di non poco conto, dato che il punteggio di credito attribuito da Experian può determinare se e come gli individui possono acquistare un prodotto a rate, e può influenzare anche l'eventuale tasso di interesse applicato, che può essere più alto o più basso a seconda del livello di affidabilità economica stabilito dagli algoritmi.

L’indagine, avviata dal garante olandese dopo numerosi reclami sul servizio “Credit Check”, ha rivelato che Experian aveva raccolto e utilizzato dati personali provenienti da fonti pubbliche e private come la Camera di Commercio, le società di telecomunicazioni e i fornitori di energia, senza informare le persone interessate né fornire una chiara base giuridica come invece richiede il Regolamento europeo sulla protezione dei dati personali.

In pratica, i cittadini olandesi non sapevano di venire “valutati” a loro insaputa e magari di essere stati classificati come “cattivi pagatori”, status che poteva impedire loro di ottenere un prestito per pagare un acquisto a rate, come ha rimarcato Aleid Wolfsen, presidente del garante della privacy olandese: “Poiché le persone non erano a conoscenza del credit scoring operato su di loro, neanche potevano verificare in tempo se le informazioni che le riguardavano fossero corrette”.

L’autorità olandese ha quindi accertato che Experian non solo non aveva ottenuto il consenso degli interessati, ma non era stata neanche trasparente riguardo alle finalità e all’estensione della raccolta dati.

Inoltre, Experian Netherlands avrebbe gestito in modo inadeguato anche informazioni sensibili, aggravando così la violazione della privacy delle persone, e per questo ha ricevuto una multa da 2,7 milioni di euro per aver violato più punti del GDPR, tra cui l’art. 5 in combinato disposto con l’art. 6, e per la violazione degli articoli 12-14 del Regolamento generale sulla protezione dei dati.

Secondo il comunicato dell’autorità olandese, Experian avrebbe continuato fino al 1° gennaio 2025 a fornire report di affidabilità creditizia in modo non conforme alla normativa ai propri clienti commerciali, tra cui operatori telefonici, negozi online e proprietari immobiliari, ma dopo la sanzione, la società avrebbe ora annunciato la chiusura definitiva delle attività nei Paesi Bassi, impegnandosi a cancellare l’intero database entro la fine dell’anno.

La decisione del garante olandese segna un punto fermo nel dibattito europeo sul confine tra analisi dei dati e violazione della privacy. Sempre più aziende fanno affidamento su algoritmi e informazioni “esterne” per determinare la solvibilità dei clienti, ma il provvedimento dell’autorità olandese ricorda che l’efficienza degli algoritmi deve sempre e comunque essere subordinata al rispetto delle regole.

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Viola la privacy l’azienda che aggiunge il dipendente in un gruppo WhatsApp utilizzando senza consenso il suo numero privato
Next Quando la giustizia tradisce le vittime della violenza di genere: il pericolo nascosto nei tribunali

Il furto d'identità con l'intelligenza artificiale

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy