Le discipline relative al trattamento dei dat

Tra le discipline con le quali i lending marketplace devono confrontarsi, un ruolo rilevante viene senz’altro giocato da quelle relative al trattamento dei dati, ormai considerabili alla stregua di veri e propri “requisiti di operatività” delle piattaforme più che semplici “fattori di facilitazione”. Nell’attuale contesto economico altamente digitalizzato, infatti, l’accesso alle informazioni costituisce un elemento essenziale che, secondo alcuni, eleverebbe la c.d. libera circolazione dei dati

(free flow of data) a quinta libertà economica206_.

Nell’ordinamento europeo, tuttavia, questa esigenza di condivisione delle informazioni trova un necessario bilanciamento con una serie di altri interessi, primo fra tutti quello alla privacy dei singoli ma anche quello a un trattamento dei dati che avvenga nel rispetto di una serie di regole poste a protezione degli interessati.

Non può dirsi che le due suddette esigenze abbiano ancora trovato la giusta composizione a livello normativo; al contrario, fra le medesime si rinvengono tensioni che hanno condotto all’elaborazione di più di un set di regole, con la conseguenza che, la disciplina sul trattamento dei dati è attualmente bipartita a seconda della

natura “personale”207 o “non personale” degli stessi. I dati personali sono, infatti,

disciplinati dal regolamento (UE) 2016/679 (GDPR) (e, prima, in Europa dalla direttiva 95/46/CE e in Italia dalla l. n. 675/1996, sostituita dal d.lgs. n. 196/2003, cd. Codice privacy) (Cooper (2015); Pizzetti (2016)). I dati non personali sono stati, invece, solo di recente disciplinati mediante il Regolamento (UE) 2018/1807, relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea ed entrato in vigore nel maggio 2019, con il quale si intende rimuovere gli ostacoli posti dalle discipline nazionali che spesso impongono a quanti hanno a che fare con il trattamento dati obblighi di localizzazione in una determinata area geografica o misure con effetti equipollenti.

In questo scenario normativo si collocano i lending marketplace, che, per un verso, possono usufruire delle previsioni del Regolamento (UE) 2018/1807, finalizzate a incentivare lo scambio e la condivisione delle informazioni. E non va dimenticato che un obiettivo analogo in termini di circolazione di dati è perseguito anche dalle già richiamate norme sull’open banking e le API contenute nella PSD2, volte a favorire i c.d. Third Party Providers (PISPs e AISPs) (§§ 2.2, 5.2, 7.3)208.

Alla luce però del rilievo assunto dai dati soft e dalle particolari tecniche di analisi e di elaborazione di tali dati da parte dei lending marketplace (§§5-6), sono anche le regole sul trattamento dei dati di tipo ‘personale’ contenute nel GDPR a

206 Per questa affermazione si v. Palmerini et al. (2018), cui si rinvia per un maggior approfondimento circa la tematica del trattamento dei dati.

207 Dato personale: «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristi-ci della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4.1 GDPR).

208 Sul tema si rinvia anche al Quaderno Fintech Consob n. 4 in materia di Financial Data Aggregation e Account

195 Marketplace lending Verso nuove forme di intermediazione finanziaria?

venire in questione e ad assumere notevole importanza per l’operatività delle piattaforme. Si tratta, infatti, di regole che hanno un perimetro applicativo potenzialmente assai ampio, che prescinde non solo dalla natura creditizia o meno dell’attività svolta dai marketplace ma anche dalla sua finanziarietà, riferendosi tout court al trattamento dei dati personali purché riferibili alle persone fisiche (come è noto, esula, invece, dalla c.d. disciplina privacy la tutela degli enti collettivi)209.

Nonostante però il Regolamento del 2016 sia appena entrato in vigore, esso presenta alcune caratteristiche che lo rendono intrinsecamente inadeguato a governare i rischi insiti nell’utilizzo di dati soft e soprattutto di big data analytics (Ferretti 2018; Mattassoglio 2018a; Wachter e Mittelstadt 2018).

Anche a prescindere dal fatto che, come si è anticipato, il GDPR trovi applicazione soltanto con riferimento alle persone fisiche, lasciando così senza tutela

tutti gli enti collettivi210 _{(Mucciarone 2015), esso infatti impone di orientare ogni}

trattamento dei dati delle persone fisiche ai principi di finalità, autodeterminazione informativa del singolo e consenso informato. Tali principi, però, come da più parti è stato già fatto notare, sono di difficile applicazione a trattamenti conseguenti al c.d. “data deluge” (risultante dalla navigazione web, dal social networking, nonché da location-based services) - che concerne informazioni non sempre facilmente qualificabili alla stregua di “dati personali” – e condotti tramite tecnologie come la Big Data Analysis (BDA) (Pizzetti 2017; Mantelero 2017; Yeung 2017)211.

Il singolo non può, infatti, esprimere un consenso espresso e informato (art. 4 GDPR) sul trattamento di dati che potranno essere utilizzati per finalità spesso diverse e imprevedibili rispetto a quelle per cui sono stati raccolti (il c.d. repurposing)212

In linea generale, inoltre, il GDPR risulta ancora impostato in un’ottica di privacy come diritto fondamentale della personalità, difficilmente compatibile con l’attuale data economy e comunque non sufficientemente coordinato con altre normative espressione della logica dell’open banking quale, in primis, la PSD 2 (in cui la tutela dei dati si inserisce nel diverso contesto di pluralità di relazioni contrattuali e nell’ottica di favorire la condivisione delle informazioni) (Sciarrone Alibrandi e Rabitti 2019, pp. 55-56).

209 Nel novembre 2016, il Garante per la protezione dei dati personali è intervenuto per vietare l’utilizzo del c.d. algoritmo della reputazione, da parte di una società che intendeva realizzare una piattaforma web finalizzata a elaborare «pro-fili reputazionali concernenti persone fisiche e giuridiche attraverso la facoltà riconosciuta agli iscritti di documentare la posizione (propria o altrui) rispetto a fatti ritenuti rilevanti». Secondo i suoi ideatori, questa metodologia avrebbe con sentito di rendere più semplice il processo di classificazione e valutazione delle controparti, innalzando il livello di fiducia del sistema nel suo complesso. Per l’autorità, invece, sebbene basato sul volontario caricamento dei dati da parte degli interessati sulla piattaforma, esso avrebbe comportato una raccolta di dati illegittima alla luce delle disposizioni in vigore.

210 Ai dati di enti collettivi potrà pertanto applicarsi il regolamento sul free flow of data.

211 Ciò giustifica una recente proposta della dottrina (Wachter e Mittelstadt 2018) di modificare l’attuale disciplina sulla privacy prevedendo un nuovo diritto alle c.d. reasonable inferences, al fine di garantire una maggior tutela per i singoli rispetto all’utilizzo di simili tecnologie.

212 Ad esempio, consistenti dubbi sorgono sui rapporti tra PSD2 e GDPR con riferimento alla possibilità di utilizzare i dati di pagamento raccolti da un account aggregator, per finalità diverse rispetto a quelle per il cui il titolare, persona fisica, ha prestato un effettivo consenso.

196

Quaderni FinTech

N. 5 luglio 2019

Nell’ambito del marketplace lending, la tematica della protezione dei dati assume peraltro valenza centrale specie con riferimento al servizio di valutazione del merito creditizio e di credit scoring. Alla normativa privacy ci si è da tempo rivolti allo scopo – analogo a quello considerato dalle discipline del credito ai consumatori (§ 9) - di tutelare il soggetto i cui dati (tratti dalla Centrale dei rischi o dai SIC) vengono utilizzati da banche o intermediari finanziari al fine di compiere la valutazione del merito creditizio. Su questa disciplina è stato anzi fondato un vero e proprio diritto all’autodeterminazione informativa dell’interessato (sintesi di un fascio di diritti attribuiti al prenditore di credito che vanno dal diritto all’informazione preventiva al diritto all’auto-informazione specifica -che si sostanzia in una serie di poteri (di accesso, integrazione, rettifica, etc.) strumentali al controllo dell’interessato sulla circolazione delle informazioni registrate a suo nome -). E ancora a partire dalla normativa privacy sono state emanate regole, contenute in codici deontologici, volte a disciplinare le banche dati private.

Come più diffusamente si vedrà infra al § 9, l’avvento del marketplace lending impone di riconsiderare la questione del merito creditizio e del credit scoring in prospettiva nuova. Anche in seguito alle considerazioni appena svolte sull’approccio generale del GDPR, si può però sin d’ora anticipare che, al momento, sul trattamento dei dati fondato su big data e algoritmi la regolamentazione vigente non riesce ad avere sufficiente presa. Sfuggono infatti dalle maglie del GDPR i trattamenti dati condotti su dati anonimi o comunque sottoposti a procedimento di anonimizzazione (Pizzetti 2017), mentre vi rientrano quelli in cui il procedimento, pur se a partire da dati non personali, è finalizzato a profilare l’interessato, come accade nell’ipotesi di assegnazione del credit scoring da parte della piattaforma, senza però che si possano rinvenire presidi stringenti per i casi di decisioni automatizzate.

9 Profili giuridici del servizio di valutazione del merito