Il soggetto interessato da una decisione interamente automatizzata ha diritto ad ottenere una spiegazione della decisione da parte del titolare del trattamento nonché ad accedere ai dati utilizzati per verificarne la correttezza.
Può essere così sintetizzata la recente sentenza della Corte di Giustizia Europea, del 27 febbraio, nella causa C-203/22, riguardante la valutazione automatizzata del merito creditizio mediante c.d. credit scoring.
La Corte europea ha, innanzitutto, verificato la riconducibilità di questa tipologia di valutazioni nell’ambito dell’articolo 22 del Regolamento 2016/679 (G.D.P.R.), rubricato “Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”, ove viene affermato il diritto dell’interessato a non essere sottoposto a una decisione interamente automatizzata e che garantisce all’interessato, in ogni caso, il diritto ad esprimere la propria opinione e a contestare la decisione stessa.
La Corte di Giustizia europea si è occupata dell’attività di aziende che basano il loro business sull’analisi con sistemi di intelligenza artificiale di dati personali per l’elaborazione di valutazioni del merito creditizio da vendere a società terze.
Per i Giudici europei questo tipo di valutazioni possono essere considerate decisioni alla stregua dell’articolo 22 G.D.P.R., giacché suscettibili di produrre “effetti giuridici” che riguardino l’interessato (come il rifiuto di un finanziamento) o di incidere “in modo analogo” sulla sua persona.
Questa conclusione non è banale, giacché considerare questo tipo di valutazioni automatizzate delle decisioni ex art. 22 G.D.P.R. significa riconoscere all’interessato una serie di diritti e tutele previste all’interno del Regolamento sulla tutela della privacy.
Infatti, ai sensi dell’articolo 15 GDPR, rubricato “Diritto di accesso dell’interessato”, il soggetto coinvolto in un processo di analisi dati è autorizzato a richiedere conferma che sia o meno in corso il trattamento di dati personali, ad accedere ai dati specificamente utilizzati ed, eventualmente, a richiederne la rettifica o cancellazione.
In altri termini, e con specifico riguardo alle vicende concrete oggetto delle pronunce della CGUE, i soggetti destinatari di una decisione automatizzata sono titolari di un diritto all’informazione, ossia ad accedere ai dati effettivamente trattati dalle aziende e a comprendere come essi siano stati praticamente valutati.
Già, con precedente sentenza del 7 dicembre 2023 (C-634/21), era stato affermato che “il calcolo automatizzato, da parte di una società che fornisce informazioni commerciali, di un tasso di probabilità basato su dati personali relativi a una persona e riguardanti la capacità di quest’ultima di onorare in futuro gli impegni di pagamento costituisce un «processo decisionale automatizzato relativo alle persone fisiche», ai sensi dell’articolo 22, paragrafo 1, del GDPR, qualora da tale tasso di probabilità dipenda in modo decisivo la stipula, l’esecuzione o la cessazione di un rapporto contrattuale con tale persona da parte di un terzo”.
La Corte ha anche affrontato il profilo del bilanciamento degli interessi contrapposti in materia di accesso e, in particolare, il contemperamento tra il diritto all’informazione dell’interessato con la tutela dei segreti commerciali, considerato che le vicende concrete riguardavano proprio l’attività di aziende che dell’analisi dati hanno fatto il loro core business.
L’articolo 15 GDPR prevede, in particolare, il diritto dell’interessato ad accedere ad “informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato”.
Tuttavia, considerata la complessità delle valutazioni automatizzate, verosimilmente la sola comunicazione dei dati utilizzati potrebbe non garantire l’effettiva comprensione della valutazione da parte dell’interessato.
Ebbene, per la Corte “l’interessato può pretendere dal titolare del trattamento, a titolo di «informazioni significative sulla logica utilizzata», che quest’ultimo gli spieghi, mediante informazioni pertinenti e in forma concisa, trasparente, comprensibile e facilmente accessibile, la procedura e i principi concretamente applicati per utilizzare, con mezzi automatizzati, i dati personali relativi a tale interessato al fine di ottenerne un risultato determinato, come un profilo di solvibilità”.
Infine, qualora le società destinatarie della richiesta di accesso ritengano che la predetta richiesta riguardi dati coperti da segreto commerciale ai sensi dell’articolo 2, punto 1, della direttiva 2016/943, essi sono tenuti “a comunicare tali informazioni asseritamente protette all’autorità di controllo o al giudice competenti, cui spetta ponderare i diritti e gli interessi in gioco al fine di determinare la portata del diritto di accesso dell’interessato previsto all’articolo 15 del GDPR”.
– – –
