La Corte di Giustizia dell’Unione Europea (CGUE) si è recentemente pronunciata con sentenza del 27 febbraio 2025 (causa C-203/22) sul delicato tema della trasparenza nelle decisioni prese mediante sistemi automatizzati ai sensi dell’articolo 15(1)(h) del Regolamento europeo sulla protezione dei dati personali (GDPR).
Contesto della decisione
La vicenda trae origine dal rifiuto, da parte di un operatore di telefonia mobile, di concludere o prorogare un contratto con un utente, sulla base di una valutazione automatizzata della sua affidabilità creditizia che ne indicava l’insufficiente solvibilità. A seguito del rifiuto, l’interessato esercitava quindi il diritto di accesso previsto dall’art. 15(1)(h) del GDPR, richiedendo informazioni significative sulla logica adottata nel processo decisionale automatizzato fondato sui propri dati personali. Tale richiesta trovava però l’opposizione del titolare del trattamento, il quale sosteneva che, a causa di un segreto commerciale protetto, non fosse tenuto a fornire ulteriori informazioni oltre a quelle già comunicate.
La questione veniva quindi sottoposta alla CGUE, chiamata a chiarire l’ambito del diritto di accesso dell’interessato ai sensi dell’art. 15(1)(h) GDPR in presenza di decisioni automatizzate basate su profilazione. In particolare, si chiedeva se tale diritto possa implicare l’obbligo di fornire informazioni sufficientemente dettagliate e comprensibili sulla logica decisionale – inclusi dati trattati, parametri utilizzati, punteggi assegnati – e come debba essere gestito l’eventuale conflitto con segreti commerciali o dati di terzi. La Corte è stata infine invitata a valutare la compatibilità con il GDPR di disposizioni nazionali che escludano in via generale l’accesso in tali casi.
La decisione della Corte di Giustizia dell’Unione Europea (CGUE)
Dalla decisione della CGUE emergono indicazioni rilevanti in merito all’interpretazione e all’applicazione concreta del diritto di accesso nei contesti decisionali automatizzati:
- I titolari del trattamento devono fornire spiegazioni comprensibili e facilmente fruibili sul processo decisionale automatizzato, specificando quali dati personali sono stati utilizzati e in che modo hanno inciso sull’esito. Non è sufficiente comunicare una semplice formula algoritmica, ma nemmeno una descrizione tecnica eccessivamente dettagliata: la spiegazione deve consentire concretamente all’interessato di comprendere la logica della decisione e valutare come eventuali modifiche ai propri dati avrebbero potuto influenzare il risultato.
- Il diritto di accesso, pur garantito dal GDPR, può incontrare dei limiti in presenza di interessi concorrenti, come la tutela dei segreti commerciali o dei dati personali di terzi. Tuttavia, tali limiti non possono giustificare un diniego automatico: se il titolare del trattamento ritiene che la comunicazione possa compromettere tali interessi, è tenuto a sottoporre la questione all’autorità di controllo o al giudice, chiamati a valutare caso per caso i diritti e gli interessi in gioco.
- Le normative nazionali che escludono il diritto di accesso in presenza di segreti commerciali o aziendali in via generale o automatica (come era il caso della legge austriaca), sono incompatibili con il GDPR. La Corte ha ribadito che uno Stato membro non può stabilire in modo definitivo l’esito del bilanciamento tra i diritti e gli interessi in gioco, che deve essere sempre effettuato in concreto.
Implicazioni della decisione
Obbligo di maggiore trasparenza: I titolari del trattamento dovranno essere in grado di fornire spiegazioni chiare e comprensibili sulla logica adottata nei processi decisionali automatizzati, senza necessariamente divulgare dettagli tecnici riservati. Il tema si scontra e solleva non pochi interrogativi sull’utilizzo di sistemi complessi e opachi (c.d. black box), la cui logica interna può risultare difficilmente accessibile anche per gli stessi sviluppatori.
Ruolo delle autorità e dei giudici nazionali: La valutazione degli eventuali limiti all’accesso dovrà essere demandata, caso per caso, alle autorità di controllo o ai giudici competenti, cui spetta bilanciare il diritto dell’interessato con la tutela di eventuali segreti commerciali o altri interessi giuridicamente rilevanti.
Riflessi sull’AI Act: Le indicazioni fornite dalla Corte si proiettano oltre l’ambito del GDPR e rappresentano un utile riferimento interpretativo anche in vista dell’applicazione dell’art. 86 dell’AI Act (diritto alla spiegazione dei singoli processi decisionali), che riconosce agli interessati il diritto di ottenere spiegazioni chiare e significative sul ruolo di determinati sistema di IA ad alto rischio nella decisione e sugli elementi principali che l’hanno determinata.
Conclusioni
La pronuncia fornisce indicazioni utili sull’estensione del diritto di accesso nei processi decisionali automatizzati, precisando l’obbligo di fornire spiegazioni comprensibili, chiarendo i limiti alla sua compressione in presenza di interessi contrapposti e ribadendo il ruolo centrale delle autorità nel valutare caso per caso la portata effettiva di tale diritto.
Per un’analisi del parere dell’Avvocato Generale nella stessa causa C-203/22, si veda: “AI e GDPR: L’AG della CGUE sul bilanciamento tra la divulgazione delle decisioni automatizzate e i segreti commerciali“.
