La sentenza C-203/22 della Corte di Giustizia dell’Unione Europea (CGUE) del 27 febbraio 2025 ha affrontato un tema di grande rilevanza: il rapporto tra il diritto di accesso ai dati personali, sancito dall’articolo 15 del Regolamento UE 2016/679 (GDPR), e la tutela dei segreti commerciali, disciplinata dalla Direttiva UE 2016/943. La Corte si è pronunciata su un rinvio pregiudiziale sollevato dal Tribunale Amministrativo di Vienna, fornendo un’interpretazione chiara sui requisiti sostanziali delle “informazioni significative” che devono essere comunicate all’interessato quando è sottoposto a trattamenti automatizzati, inclusa la profilazione e il cosiddetto “scoring” creditizio.
LA QUESTIONE DI FATTO
Il ricorso trae origine da un episodio avvenuto in Austria, dove un operatore di telefonia mobile ha negato a un cliente la stipulazione di un contratto di 10 euro mensili. Il rifiuto era basato su una valutazione automatizzata del merito creditizio effettuata da Dun & Bradstreet Austria GmbH (D&B), una società specializzata nella fornitura di punteggi di affidabilità finanziaria.
Ritenendo il diniego ingiusto, l’interessato ha chiesto alla D&B di accedere ai dettagli relativi alla valutazione, richiedendo informazioni sui dati personali utilizzati, sulla logica del sistema di scoring e sui parametri impiegati per determinare la sua affidabilità finanziaria. Tuttavia, la D&B si è limitata a fornire spiegazioni generiche, rifiutandosi di rivelare dettagli specifici e invocando la protezione del segreto commerciale (disciplinato all’ articolo 4, paragrafo 6, del Datenschutzgesetz (DSG), la legge austriaca sulla protezione dei dati, secondo cui il diritto di accesso ai dati personali dell’interessato incontrerebbe una una limitazione in presenza di un rischio di compromissione del segreto commerciale).
A seguito del diniego, il ricorrente si è rivolto all’Autorità Austriaca per la Protezione dei Dati, che ha ritenuto la condotta della D&B in violazione dell’obbligo di trasparenza del GDPR ordinando alla società di fornire informazioni più dettagliate sulla logica decisionale adottata. La D&B ha però impugnato la decisione dinanzi alla Corte amministrativa federale austriaca, sostenendo che il proprio modello di valutazione fosse protetto da segreto aziendale e che non vi fosse un obbligo di fornire ulteriori dettagli.
Pur confermando la censura in violazione del GDPR, il Tribunale austriaco non è riuscito a garantire l’esecuzione della decisione: l’amministrazione comunale di Vienna ha infatti ritenuto che la D&B avesse già adempiuto ai propri obblighi informativi. Di fronte a questa situazione di impasse, il Tribunale Amministrativo di Vienna ha sottoposto alla CGUE una serie di quesiti pregiudiziali, chiedendo chiarimenti sull’interpretazione del GDPR e sulla portata del diritto di accesso ai dati personali in presenza di un potenziale conflitto con la tutela del segreto commerciale.
La questione giuridica
Il punto centrale della controversia riguardava l’obbligo del titolare del trattamento di fornire all’interessato “informazioni significative sulla logica utilizzata” nel processo decisionale automatizzato che produce effetti giuridici o ha un impatto significativo sulla persona fisica.
La CGUE ha chiarito che il diritto di accesso non si esaurisce in una semplice comunicazione della metodologia impiegata, ma che: “ in caso di processo decisionale automatizzato, compresa la profilazione, ai sensi dell’articolo 22, paragrafo 1, di tale regolamento, l’interessato può pretendere dal titolare del trattamento, a titolo di «informazioni significative sulla logica utilizzata», che quest’ultimo gli spieghi, mediante informazioni pertinenti e in forma concisa, trasparente, comprensibile e facilmente accessibile, la procedura e i principi concretamente applicati per utilizzare, con mezzi automatizzati, i dati personali relativi a tale interessato al fine di ottenerne un risultato determinato, come un profilo di solvibilità.”. Da ciò emerge la necessità di un’informazione chiara, intelligibile e trasparente, che consenta all’interessato di comprendere la modalità con cui i propri dati personali sono stati utilizzati e le conseguenze del trattamento.
Inoltre, il Titolare deve Chiarire come variazioni nei dati personali avrebbero potuto portare a un esito differente, affinché l’interessato possa valutare l’impatto del processo automatizzato sulla sua posizione, e in secondo luogo fornire una spiegazione sufficientemente dettagliata, che vada oltre la mera indicazione dell’esistenza di un algoritmo, evitando informazioni generiche o incomprensibili.
Il Conflitto con la Tutela del Segreto Commerciale
Per quanto concerne l’inquadramento del rapporto tra il diritto di accesso ai dati personali e la protezione dei segreti commerciali, la CGUE ha stabilito che il segreto commerciale non può giustificare un rifiuto assoluto di fornire informazioni all’interessato. Al contrario, è necessario un approccio equilibrato che tuteli entrambi gli interessi in gioco dichiarando che: “sulla protezione del know‑how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti, detto titolare è tenuto a comunicare tali informazioni asseritamente protette all’autorità di controllo o al giudice competenti, cui spetta ponderare i diritti e gli interessi in gioco al fine di determinare la portata del diritto di accesso dell’interessato previsto all’articolo 15 di tale regolamento.”
Se il titolare del trattamento ritiene che la divulgazione delle informazioni possa compromettere un segreto commerciale, deve comunicare tali dati all’autorità di controllo o a un giudice competente, che avranno il compito di valutare caso per caso quali informazioni possono essere effettivamente fornite all’interessato senza compromettere segreti aziendali, operando sempre in un’ottica di bilanciamento con i principi di necessità e proporzionalità del GDPR.
Conclusioni
La sentenza C-203/22 rappresenta un importante orientamento per le imprese che si avvalgono di sistemi automatizzati come di scoring e profilazione, che devono garantire la massima trasparenza nei confronti degli interessati, anche quando ciò si scontra con la protezione del segreto commerciale, in modo che gli interessati abbiano sempre spiegazioni dettagliate e comprensibili, che consentano loro di comprendere le ragioni della decisione e, se necessario, contestarla.
