Sari direct la conținut

Scorul de credit din perspectiva CJUE

STOICA & Asociatii
Oana Zamă, Mircea Vasile, Foto: STOICA & Asociatii
Oana Zamă, Mircea Vasile, Foto: STOICA & Asociatii

La finalul anului trecut, Curtea de Justiție a Uniunii Europene (“CJUE”) a pronunțat o hotărâre[1] de referință privind interpretarea articolului 22 din Regulamentul general privind protecția datelor (GDPR), axată pe luarea deciziilor bazate exclusiv pe prelucrarea automată și care afectează în mod semnificativ persoana vizată. Analiza considerentelor instanței europene a evidențiat o serie de consecințe practice, de interes atât pentru furnizorii de evaluări de credit și instituțiile de credit, cât și pentru consumatori.

  1. Considerentele CJUE

În Cauza C‑634/21, CJUE a examinat practicile societății germane SCHUFA Holding AG, în contextul în care unui consumator (OQ), i s-a refuzat creditul pe baza unui scor determinat de evaluator. OQ a solicitat ca SCHUFA să-i trimită informații cu privire la datele personale înregistrate și să șteargă unele dintre datele despre care se presupune că erau incorecte.

Ca răspuns la această solicitare, SCHUFA a informat OQ despre scorul său și a expus, în linii mari, modalitățile de calcul al scorurilor. Totuși, invocând secretul comercial, ea a refuzat să divulge diferitele informații luate în considerare în vederea acestui calcul, precum și ponderea lor. În sfârșit, SCHUFA a arătat că se limita să transmită informații partenerilor săi contractuali și că aceștia erau cei care luau deciziile contractuale propriu‑zise.

În acest context, instanța germană a formulat o cerere de decizie preliminară. Problema esențială a vizat articolul 22 din GDPR, mai exact dacă scorul furnizat de SCHUFA a constituit o decizie individuală automatizată și dacă acea decizie a produs efecte juridice privind persoana vizată sau dacă o afectează în mod semnificativ și, prin urmare, dacă SCHUFA ar fi trebuit să împărtășească mai multe detalii despre logica din spatele deciziei.

Conform articolului 22 GDPR, persoana vizată are dreptul de a nu fi supusă unei decizii bazate exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce efecte juridice care privesc persoana vizată sau care o afectează în mod semnificativ. Alin. 2 al aceluiași articol instituie o serie de situații de excepție, în special când: (a) decizia este necesară pentru executarea contractului dintre persoana vizată și un operator de date; (b) decizia este autorizată de dreptul uniunii sau al statului membru căruia îi este supus operatorul și există garanții pentru a proteja persoana vizată; și (c) decizia se bazează pe consimțământul explicit al persoanei vizate. Chiar și în asemenea situații, operatorii sunt obligați să ofere intervenție umană și o modalitate prin care persoana vizată să își exprime o opinie sau să conteste decizia.

În ceea ce privește elementele cheie ale hotărârii, instanța europeană a statuat următoarele:

  • sfera largă a conceptului de „decizie” este confirmată de considerentul 71 GDPR. Acest concept este suficient de larg pentru a include calcularea unui scor de credit pe baza unei valori de probabilitate;
  • o valoare de probabilitate afectează cel puțin într‑o măsură semnificativă persoana vizată, deoarece, în cazul unei cereri de împrumut adresate de un consumator unei bănci, o valoare de probabilitate insuficientă determină, în aproape toate cazurile, refuzul băncii de a acorda împrumutul solicitat;
  • prin calcularea unui scor de credit, o agenție de referință de credit ia o decizie individuală automatizată atunci când un terț se întemeiază „în mod determinant” pe această valoare de probabilitate pentru a stabili, executa sau să înceta un raport contractual cu persoana vizată.
  1. Scorul de credit în România

Scoring-ul reprezintă o metodă de selecție fundamentată pe analiza statistică a datelor demografice ale solicitantului sau a istoricului său de plăți (în cazul celor care au avut acces la credite anterior). Sistemul evaluează fiecare trăsătură a solicitantului în funcție de datele personale și atribuie puncte, creând astfel un profil de risc estimat. Pe baza acestui profil, banca poate lua decizia de a acorda sau refuza creditul.

În România există o serie de entități private care furnizează atât consumatorilor, cât și instituțiilor de credit evaluări cu privire la scorul de credit. Printre cei mai cunoscuți furnizori de evaluări de credite se numără Biroul de Credit, societate privată care administrează o bază de date referitoare la activitatea de creditare desfășurată de instituțiile financiar bancare participante. Baza de date poate fi consultată de instituțiile de credit bancare și nebancare, de societățile de asigurări și de recuperatorii de creanțe.

În procesul de analiză a unei cereri, instituția de credit solicită Biroului de Credit eliberarea unui Raport de Credit. Printre datele cu caracter personal prelucrate se numără:[2] date referitoare la angajator, date referitoare la produsele de tip credit solicitate/acordate, date referitoare la evenimente care apar în perioada de derulare a produsului de tip credit, date referitoare la relațiile cu alte conturi, date referitoare la insolvență etc.

De asemenea, în activitatea de evaluare poate fi folosit FICO Score, un număr cuprins între 300 și 850, obținut în urma procesului statistic care prelucrează informațiile înregistrate de Participanți în Sistemul Biroului de Credit și indică probabilitatea ca persoana vizată să-și plătească în viitor ratele la timp.

Prin urmare, mecanismele de evaluare sunt similare la nivelul tuturor operatorilor, interpretarea instanței europene prezentând relevanță și pentru furnizorii de scoruri din România.

  1. Implicațiile hotărârii

Sub aspectul conținutului protecției, conform art. 22 alin. (2) și (3) din GDPR trebuie să fie prevăzute măsuri corespunzătoare pentru protejarea drepturilor, a libertăților, precum și a intereselor legitime ale persoanei vizate. Chiar și în cazurile de excepție, operatorul trebuie să ia măsuri pentru a proteja cel puțin dreptul persoanei vizate de a obține intervenție umană, de a‑și exprima punctul de vedere și de a contesta decizia.

În plus, așa cum a arătat CJUE „în cazul luării unei decizii automatizate precum cea prevăzută la articolul 22 alineatul (1) din RGPD, pe de o parte, operatorul este supus unor obligații de informare suplimentare în temeiul articolului 13 alineatul (2) litera (f), precum și al articolului 14 alineatul (2) litera (g) din acest regulament. Pe de altă parte, persoana vizată beneficiază, în temeiul articolului 15 alineatul (1) litera (h) din regulamentul menționat, de dreptul de a obține din partea operatorului, printre altele, informații pertinente privind logica utilizată și privind importanța și consecințele preconizate ale unei astfel de prelucrări pentru persoana vizată.”

Hotărârea este în concordanță cu optica CJUE de interpretare cât mai largă a GDPR, în favoarea persoanelor ale căror date personale sunt prelucrate, fiind prezente accente puternice de dreptul consumatorului. Aceasta se referă la raporturile contractuale în general, iar nu neapărat la specificul procesului contractului de împrumut. În acest sens, s-a arătat în mod judicios că interpretarea CJUE “are consecințe ample dincolo de evaluarea creditelor, afectând sectoare precum sănătatea, asigurările și ocuparea forței de muncă, unde luarea deciziilor bazate pe inteligență artificială este esențială”[3].

Deși hotărârea are implicații ample, nu trebuie trasă de plano concluzia că toate sistemele automatizate de scoring intră imediat sub incidența articolului 22 GDPR. Dimpotrivă, va trebui să fie verificat de la caz la caz în ce mod și în ce proporție scorul a influențat decizia instituției de credit (sau, mai larg, decizia contractantului care are în vedere scorul respectiv).

Miza calificării acestor operațiuni precontractuale de evaluare drept decizii individuale automatizate nu trebuie neglijată. Dacă un creditor acordă o pondere determinantă altor factori decât scorul de credit furnizat, atunci emiterea punctajului nu va beneficia de protecția articolul 22 din GDPR. S-a arătat că “în contractele încheiate cu furnizorii de evaluări de credit, se menționează, de obicei, că creditorii nu ar trebui să fundamenteze o decizie doar pe acest scor și să ia în considerare alți factori înainte de a încheia sau nu contractul.”[4] Interpretarea CJUE are la bază, prin urmare, o premisă discutabilă, ceea ce ar putea cauza multă incertitudine și posibile dificultăți de aplicare a hotărârii.

În acest context, formularea de către autoritatea responsabilă cu supravegherea datelor cu caracter personal a unor îndrumări cu privire la sensul sintagmei “depinde în mod determinant de această valoare” ar putea fi de o deosebită utilitate.

Un articol semnat de Oana Zamă, Partner – ozama@stoica-asociatii.ro – și de Mircea Vasile, Junior Lawyer – mvasile@stoica-asociatii.roSTOICA & Asociații

[1] CJUE, Cauza C‑634/21 SCHUFA Holding (Scoring), pronunțată la 7 decembrie 2023

[2] Cf. Informării referitoare la prelucrarea datelor personale în Sistemul Biroului de Credit

[3] https://www.williamfry.com/knowledge/ecj-says-no-in-schufa-case-new-decision-on-automated-decision-making/

[4] Key takeaways from the CJEU’s recent automated decision-making rulings, Ruth Boardman, Bird & BirdPartner, Co-head, International Data Protection Practice

ARHIVĂ COMENTARII