Il GPDP tedesco ha disposto una multa di 300.000 euro alla banca per mancanza di trasparenza sul rifiuto automatico della richiesta di carta di credito

Origine del caso

Una banca con sede a Berlino ha offerto una carta di credito sul proprio sito web, utilizzando un modulo online, la banca richiedeva vari dati relativi al reddito, all’occupazione e ai dati personali del richiedente. Sulla base delle informazioni richieste e di ulteriori dati provenienti da fonti esterne, l’algoritmo della banca ha respinto la domanda del cliente senza particolari motivazioni. L’algoritmo si basa su criteri e regole precedentemente definiti dalla banca. Poiché il cliente aveva una buona solvibilità e un reddito regolarmente elevato, dubitava del rifiuto automatizzato e si era rivolto al garante per la protezione dei dati di Berlino. 

Anche su richiesta del reclamante, la banca ha fornito solo informazioni generiche sulla procedura di scoring, staccate dal singolo caso. Tuttavia, si è rifiutato di dirgli perché presumeva una scarsa solvibilità nel suo caso. Il denunciante non è stato quindi in grado di comprendere quali dati e fattori costituissero la base del rifiuto automatizzato e in base a quali criteri la sua richiesta di carta di credito fosse stata respinta di conseguenza. Senza questa giustificazione del caso individuale, tuttavia, non era nemmeno possibile per lui contestare in modo significativo la decisione individuale automatizzata.

Una banca è obbligata a informare i propri clienti sui motivi principali del rifiuto quando prende una decisione automatizzata su una richiesta di carta di credito. Ciò include informazioni concrete sulla base di dati e sui fattori decisionali, nonché i criteri per il rifiuto nel singolo caso. L’autorità di protezione dei dati di Berlino ha ritenuto che la banca avesse violato l’articolo 22, paragrafo 3, l’articolo 5, paragrafo 1, lettera a) e l’articolo 15, paragrafo 1, lettera h) del GDPR nel caso specifico. Nell’imporre l’ammenda, l’autorità di protezione dei dati di Berlino ha tenuto conto in particolare dell’elevato fatturato della banca e della progettazione intenzionale del processo di richiesta e delle informazioni. Tra l’altro, si è ritenuto di ridurre la sanzione il fatto che la società abbia ammesso la violazione e abbia già attuato modifiche ai processi e annunciato ulteriori miglioramenti.

Per maggiori informazioni:

• 300.000 Euro Bußgeld gegen Bank nach mangelnder Transparenz über automatisierte Ablehnung eines Kreditkartenantrags