Il Regolamento UE 2016/679 conferisce all'interessato un diritto effettivo a una spiegazione del funzionamento del meccanismo coinvolto nel processo decisionale automatizzato di cui tale persona è stata oggetto e del risultato di tale decisione". Lo afferma la CGUE, sentenza Dun & Bradstreet Austria.

Un recente sentenza della Corte di Giustizia dell’Unione Europea (di seguito, “CGUE”)[1] ha stabilito che il RGPD conferisce all’interessato un diritto effettivo a una spiegazione del funzionamento del meccanismo coinvolto nel processo decisionale automatizzato di cui tale persona è stata oggetto e del risultato di tale decisione”.

Il contesto legale

I considerando 4, 11, 58, 63 e 71 del GDPR stabiliscono:

«(4) Il trattamento dei dati personali dovrebbe essere concepito al servizio dell’umanità. Il diritto alla protezione dei dati personali non è un diritto assoluto; deve essere considerato in relazione alla sua funzione nella società e bilanciato con altri diritti fondamentali, conformemente al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti nella [Carta dei diritti fondamentali dell’Unione europea (“la Carta”)] come sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e di informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica. …

(11) Un’efficace protezione dei dati personali in tutta l’Unione [europea] richiede il rafforzamento e la definizione dettagliata dei diritti degli interessati e degli obblighi di coloro che trattano e determinano il trattamento dei dati personali, nonché poteri equivalenti per monitorare e garantire il rispetto delle norme sulla protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri. …

(58) Il principio di trasparenza richiede che tutte le informazioni destinate al pubblico o all’interessato siano concise, facilmente accessibili e comprensibili e che venga utilizzato un linguaggio semplice e chiaro e, se del caso, anche una visualizzazione. …

(63) Un interessato dovrebbe avere il diritto di accedere ai dati personali che lo riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, al fine di conoscere e verificare la liceità del trattamento. … Tale diritto non dovrebbe pregiudicare i diritti o le libertà altrui, compresi i segreti commerciali o la proprietà intellettuale e in particolare il diritto d’autore che protegge il software. Tuttavia, il risultato di tali considerazioni non dovrebbe essere un rifiuto di fornire tutte le informazioni all’interessato. ……

(71) L’interessato dovrebbe avere il diritto di non essere sottoposto a una decisione, che può includere una misura, che valuta aspetti personali che lo riguardano, basata esclusivamente su un trattamento automatizzato e che produce effetti giuridici che lo riguardano o che incide in modo analogo significativamente sulla sua persona, come il rifiuto automatico di una domanda di credito online o di pratiche di reclutamento elettronico senza alcun intervento umano. Tale trattamento include la “profilazione” che consiste in qualsiasi forma di trattamento automatizzato di dati personali che valuta gli aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento lavorativo, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato, quando produce effetti giuridici che lo riguardano o che incide in modo analogo significativamente sulla sua persona. … In ogni caso, tale trattamento dovrebbe essere soggetto a garanzie adeguate, che dovrebbero includere informazioni specifiche all’interessato e il diritto di ottenere l’intervento umano, di esprimere il proprio punto di vista, di ottenere una spiegazione della decisione presa dopo tale valutazione e di contestare la decisione. …’

L’articolo 4 di tale regolamento, intitolato «Definizioni», al punto 4 prevede quanto segue: Ai fini del presente regolamento si intende per:(4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

L’articolo 12 del GDPR, rubricato «Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato», prevede, al paragrafo 1: «Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. …»

L’articolo 13 di tale regolamento, che riguarda le informazioni da fornire quando i dati personali sono raccolti presso l’interessato, e l’articolo 14 dello stesso regolamento, che riguarda le informazioni da fornire quando i dati personali non sono stati ottenuti presso l’interessato, prevedono, rispettivamente, ai paragrafi 2, lettere f) e g), che il titolare del trattamento, per garantire un trattamento corretto e trasparente nei confronti dell’interessato, deve fornire a quest’ultimo, tra l’altro, informazioni «sull’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato».

L’articolo 15 del GDPR, intitolato «Diritto di accesso dell’interessato», è formulato come segue: 1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

3. Il titolare del trattamento fornisce una copia dei dati personali sottoposti a trattamento. Per eventuali ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Qualora l’interessato presenti la richiesta tramite mezzi elettronici, e salvo diversa richiesta dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.

4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.

L’articolo 22 di tale regolamento, intitolato «Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione», così dispone:

‘1. L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

2. Il paragrafo 1 non si applica se la decisione:

(a) è necessario per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;

b) è autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato; oppure

3. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.

4. Le decisioni di cui al paragrafo 2 non possono basarsi sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure idonee a tutelare i diritti, le libertà e i legittimi interessi dell’interessato.

Come stabilito nell’articolo 23 del GDPR, intitolato “Restrizioni”:

«1. Il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misura legislativa, la portata degli obblighi e dei diritti previsti dagli articoli da 12 a 22 e dall’articolo 34, nonché dall’articolo 5, nella misura in cui le sue disposizioni corrispondano ai diritti e agli obblighi previsti dagli articoli da 12 a 22, quando tale limitazione rispetta l’essenza dei diritti e delle libertà fondamentali e costituisce una misura necessaria

e proporzionata in una società democratica per salvaguardare:

…

(i) la tutela dell’interessato o dei diritti e delle libertà altrui;

2. In particolare, qualsiasi misura legislativa di cui al paragrafo 1 contiene disposizioni specifiche almeno, ove pertinenti, per quanto riguarda:

a) le finalità del trattamento o le categorie di trattamento;

b) le categorie di dati personali;

c) la portata delle restrizioni introdotte;

d) le garanzie per prevenire abusi o accessi o trasferimenti illeciti;

(e) l’indicazione del titolare del trattamento o delle categorie di titolari del trattamento;

f) i periodi di conservazione e le garanzie applicabili tenendo conto della natura, dell’ambito e delle finalità del trattamento o delle categorie di trattamento;

(g) i rischi per i diritti e le libertà degli interessati; e

(h) il diritto degli interessati di essere informati della limitazione, a meno che ciò non possa pregiudicare lo scopo della limitazione stessa.’

L’articolo 54 di tale regolamento, intitolato «Norme relative all’istituzione dell’autorità di controllo», al paragrafo 2 prevede quanto segue:

‘Il membro o i membri e il personale di ciascuna autorità di controllo sono soggetti, conformemente al diritto dell’Unione o degli Stati membri, all’obbligo di segreto professionale sia durante che dopo il loro mandato, per quanto riguarda qualsiasi informazione riservata di cui siano venuti a conoscenza nel corso dell’esecuzione dei loro compiti o dell’esercizio dei loro poteri. Durante il loro mandato, tale obbligo di segreto professionale si applica in particolare alle segnalazioni da parte di persone fisiche di violazioni del presente regolamento.

L’articolo 58 del GDPR, intitolato «Poteri», al paragrafo 1, lettera e), prevede quanto segue: «Ciascuna autorità di controllo ha tutti i seguenti poteri di indagine:

e) ottenere dal titolare del trattamento e dal responsabile del trattamento l’accesso a tutti i dati personali e a tutte le informazioni necessarie allo svolgimento dei propri compiti.

Direttiva 2016/943

Il considerando 35 della direttiva 2016/943 recita:

«… la presente direttiva non dovrebbe pregiudicare i diritti e gli obblighi stabiliti dalla direttiva 95/46/CE [del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31)], in particolare il diritto dell’interessato di accedere ai propri dati personali oggetto di trattamento e di ottenere la rettifica, la cancellazione o il blocco dei dati incompleti o inesatti …»

L’articolo 2, punto 1, di tale direttiva prevede quanto segue:

Ai fini della presente direttiva si applicano le seguenti definizioni:

(1) “segreto commerciale” significa informazione che soddisfa tutti i seguenti requisiti:

(a) è segreta nel senso che non è, nel suo complesso o nella configurazione e nell’assemblaggio precisi dei suoi componenti, generalmente nota o facilmente accessibile alle persone all’interno degli ambienti che normalmente si occupano del tipo di informazioni in questione;

(b) ha valore commerciale perché è segreto;

c) sono state sottoposte a misure ragionevoli, date le circostanze, da parte della persona che ha legalmente il controllo delle informazioni, per mantenerle segrete.

L’articolo 9 della direttiva, intitolato «Tutela della riservatezza dei segreti commerciali nel corso di procedimenti giudiziari», prevede quanto segue:

‘1. Gli Stati membri garantiscono che le parti, i loro avvocati o altri rappresentanti, i funzionari del tribunale, i testimoni, gli esperti e qualsiasi altra persona che partecipa a procedimenti giudiziari relativi all’acquisizione, all’uso o alla divulgazione illeciti di un segreto commerciale, o che ha accesso a documenti che fanno parte di tali procedimenti giudiziari, non siano autorizzati a utilizzare o divulgare alcun segreto commerciale o presunto segreto commerciale che le autorità giudiziarie competenti abbiano, in risposta a una domanda debitamente motivata di una parte interessata, identificato come riservato e di cui siano venuti a conoscenza a seguito di tale partecipazione o accesso. A tale riguardo, gli Stati membri possono anche consentire alle autorità giudiziarie competenti di agire di propria iniziativa.

L’obbligo di cui al primo comma resta in vigore anche dopo la conclusione del procedimento giudiziario. Tuttavia, tale obbligo cessa di esistere in una qualsiasi delle seguenti circostanze:

a) quando, con decisione definitiva, si accerta che il presunto segreto commerciale non soddisfa i requisiti di cui al punto 1 dell’articolo 2; oppure

(b) quando, nel corso del tempo, le informazioni in questione diventano generalmente note o facilmente accessibili alle persone appartenenti ai circoli che normalmente si occupano di quel tipo di informazioni.

2. Gli Stati membri assicurano inoltre che le autorità giudiziarie competenti possano, su richiesta debitamente motivata di una parte, adottare misure specifiche necessarie a preservare la riservatezza di qualsiasi segreto commerciale o presunto segreto commerciale utilizzato o menzionato nel corso di procedimenti giudiziari relativi all’acquisizione, all’uso o alla divulgazione illeciti di un segreto commerciale. Gli Stati membri possono inoltre consentire alle autorità giudiziarie competenti di adottare tali misure di propria iniziativa.

Le misure di cui al primo comma comprendono almeno la possibilità:

(a) di limitare l’accesso a qualsiasi documento contenente segreti commerciali o presunti segreti commerciali presentati dalle parti o da terzi, in tutto o in parte, a un numero limitato di persone;

b) di limitare l’accesso alle udienze, quando segreti commerciali o presunti segreti commerciali possono essere divulgati, e la relativa registrazione o trascrizione di tali udienze a un numero limitato di persone;

c) di rendere disponibile a qualsiasi persona diversa da quelle comprese nel numero limitato di persone di cui alle lettere a) e b) una versione non riservata di qualsiasi decisione giudiziaria, in cui i passaggi contenenti segreti commerciali siano stati rimossi o censurati.

Il numero delle persone di cui alle lettere a) e b) del secondo comma non è superiore a quello necessario per garantire il rispetto del diritto delle parti del procedimento giudiziario a un ricorso effettivo e a un giusto processo e comprende almeno una persona fisica per ciascuna parte e i rispettivi avvocati o altri rappresentanti di tali parti del procedimento giudiziario.

3. Nel decidere sulle misure di cui al paragrafo 2 e nel valutarne la proporzionalità, le autorità giudiziarie competenti tengono conto della necessità di garantire il diritto a un ricorso effettivo e a un giusto processo, degli interessi legittimi delle parti e, se del caso, di terzi, nonché di ogni potenziale danno per una delle parti e, se del caso, per terzi, derivante dalla concessione o dal rigetto di tali misure.

4. Qualsiasi trattamento di dati personali ai sensi dei paragrafi 1, 2 o 3 è effettuato conformemente alla [direttiva 95/46].

La controversia principale e le questioni pregiudiziali sollevate

Un operatore di telefonia mobile ha rifiutato a CK la conclusione o la proroga di un contratto di telefonia mobile che avrebbe comportato un pagamento mensile di 10 EUR, con la motivazione che, secondo una valutazione automatica della solvibilità effettuata da D&B, la sua affidabilità finanziaria non era sufficiente.

Per questi motivi, la Corte (Prima Sezione) dichiara:

1. Articolo 15(1)(h) del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) deve essere interpretato nel senso che, nel caso di un processo decisionale automatizzato, compresa la profilazione, ai sensi dell’articolo 22, paragrafo 1, di tale regolamento, l’interessato può esigere dal titolare del trattamento, a titolo di «informazioni significative sulla logica utilizzata», che gli spieghi, mediante informazioni pertinenti e in forma concisa, trasparente, intelligibile e facilmente accessibile, la procedura e i principi effettivamente applicati per utilizzare, con mezzi automatizzati, i dati personali che lo riguardano al fine di ottenere un risultato specifico, come un profilo creditizio.

2. Articolo 15(1)(h) del regolamento 2016/679 deve essere interpretato nel senso che, qualora il titolare del trattamento ritenga che le informazioni da fornire all’interessato conformemente a tale disposizione contengano dati di terzi protetti da tale regolamento o segreti commerciali, ai sensi dell’articolo 2, punto 1, della direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio, dell’8 giugno 2016, sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti, detto titolare del trattamento è tenuto a fornire le informazioni asseritamente protette all’autorità di controllo competente o al tribunale, il quale deve ponderare i diritti e gli interessi in gioco al fine di determinare la portata del diritto di accesso dell’interessato previsto dall’articolo 15 di detto regolamento.

[1] In risposta ad una domanda pregiudiziale vertente sull’interpretazione, in primo luogo, dell’articolo 15, paragrafo 1, lettera h), e dell’articolo 22 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (di seguito «RGPD») e, in secondo luogo, dell’articolo 2, punto 1, della direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio, dell’8 giugno 2016, sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti. Link: https://curia.europa.eu/juris/document/document.jsf?text=&docid=295841&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=15673976

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

About Author / Davide De Luca

Le realtà industriali nell’era dell’intelligenza artificiale. L’impatto della Intelligenza Artificiale nei settori industriali. Report di IBM.

La NIS 2 e i criteri per l’applicazione della clausola di salvaguardia. Cosa dice il DPCM n. 221/2024.

Lascia un commento Annulla risposta