La CNIL aggiorna le regole privacy per la valutazione del merito creditizio: più trasparenza su scoring, dati utilizzabili e decisioni automatizzate.

La CNIL ha pubblicato una nuova raccomandazione sull’utilizzo dei dati personali nell’ambito della valutazione della solvibilità dei richiedenti credito. Il documento, adottato all’esito di una consultazione pubblica avviata nel maggio 2025, mira a fornire agli operatori finanziari un quadro aggiornato per conformarsi al GDPR e alla legge nazionale sulla protezione dei dati (Loi Informatique et Libertés nei trattamenti connessi all’octroi de crédit).

La raccomandazione si concentra, in particolare, sui trattamenti effettuati per verificare la capacità del richiedente di adempiere alle proprie obbligazioni e rimborsare il finanziamento. La CNIL richiama l’esigenza di limitare i dati trattati a quelli pertinenti e strettamente necessari, anche quando vengano presi in considerazione precedenti inadempimenti contrattuali o informazioni provenienti da fonti interne ed esterne.

Particolare attenzione è dedicata agli strumenti di scoring, spesso parzialmente o integralmente automatizzati e, in alcuni casi, basati su sistemi di intelligenza artificiale. Alla luce della giurisprudenza della Corte di giustizia dell’Unione europea, in particolare nelle cause C-634/21 e C-203/22, la CNIL sottolinea che lo scoring può integrare una decisione automatizzata quando assume un ruolo determinante nella concessione del credito, con conseguente necessità di garantire agli interessati informazioni comprensibili sul funzionamento del meccanismo decisionale.

La raccomandazione rafforza quindi gli obblighi di trasparenza, accountability e controllo umano, richiamando anche la necessità di valutare l’eventuale svolgimento di una DPIA, di definire correttamente le basi giuridiche del trattamento, di limitare i tempi di conservazione e di assicurare misure di sicurezza adeguate. La CNIL ha inoltre pubblicato una checklist operativa per agevolare gli operatori nella verifica della conformità dei propri processi di valutazione della solvibilità.

La pubblicazione assume rilievo anche oltre il mercato francese, fornendo indicazioni valevoli in tutta la UE alla luce del GDPR e poiché conferma la crescente attenzione delle autorità europee verso l’uso di algoritmi, scoring e sistemi automatizzati nei servizi finanziari, soprattutto quando tali strumenti incidono sull’accesso al credito e sui diritti degli interessati.