I cittadini non sapevano di essere profilati

L’indagine del Garante per la protezione dei dati olandese (Autoriteit Persoonsgegevens, AP) è partita da diversi reclami di cittadini che si erano visti rifiutare prestiti o richiedere depositi cauzionali elevati per l’attivazione di servizi di base.
Molti di loro non erano neppure consapevoli che i propri dati fossero stati trattati da Experian, né sapevano di poter esercitare diritti fondamentali come la rettifica o l’aggiornamento delle informazioni errate che li riguardavano.In alcuni casi, la classificazione come “cattivo pagatore” aveva conseguenze dirette: l’impossibilità di ottenere un finanziamento, un acquisto a rate o l’applicazione di tassi d’interesse più elevati, tutti basati su punteggi generati automaticamente da algoritmi opachi. Come ha spiegato Aleid Wolfsen, presidente del Garante olandese

Raccolta dati senza informativa né base giuridica

Dalle verifiche dell’autorità è emerso che Experian Netherlands aveva raccolto e incrociato dati personali provenienti da fonti pubbliche e private, tra cui la Camera di Commercio, le società di telecomunicazioni e i fornitori di energia, senza fornire alcuna informativa chiara agli interessati né disporre di una base giuridica adeguata come richiesto dal Regolamento (UE) 2016/679 (GDPR).Inoltre, la società avrebbe gestito dati sensibili in modo non conforme, aggravando la violazione dei principi di liceità, trasparenza e minimizzazione previsti dagli articoli 5 e 6 del GDPR, oltre a violare gli articoli 12-14 relativi all’obbligo di informare gli interessati sui trattamenti effettuati.

La sanzione e la chiusura delle attività nei Paesi Bassi

Alla luce di tali violazioni, l’Autorità olandese per la privacy ha comminato a Experian una sanzione di 2,7 milioni di euro.
Il provvedimento ha inoltre evidenziato che la società aveva continuato a fornire report di affidabilità creditizia non conformi fino al 1° gennaio 2025, rivolti a clienti commerciali come operatori telefonici, e-commerce e proprietari immobiliari.Dopo la multa, Experian ha annunciato la chiusura delle proprie attività nei Paesi Bassi e l’impegno a cancellare l’intero database nazionale entro la fine dell’anno.

Una decisione che fa scuola in Europa

La decisione del Garante olandese rappresenta un precedente importante nel dibattito europeo sul rapporto tra analisi automatizzata dei dati e tutela della privacy.
In un contesto in cui sempre più aziende si affidano a sistemi algoritmici per valutare la solvibilità dei clienti, la pronuncia ricorda che l’efficienza tecnologica non può mai prevalere sul rispetto dei diritti fondamentali delle persone.La trasparenza, la correttezza e il controllo umano restano principi cardine del GDPR: chi decide di affidare alle macchine la valutazione del comportamento finanziario dei cittadini deve farlo nel pieno rispetto delle regole e garantendo la massima informazione e tutela agli interessati.