In caso di valutazione del merito creditizio, il titolare del trattamento dei dati deve spiegare come viene presa una decisione nei confronti di un cliente. A tale proposito, la semplice comunicazione di un algoritmo non è una spiegazione sufficientemente concisa e comprensibile.
Lo ha stabilito la Corte di giustizia dell’Unione europea con una sentenza dello scorso 27 febbraio, in relazione alla causa C-203/22.
Il caso
In Austria, un operatore di telefonia mobile aveva negato la stipulazione di un contratto a una cliente, adducendo come motivazione il fatto che non era sufficientemente solvibile.
L’operatore si basava, a tal riguardo, su una valutazione del merito creditizio della cliente, alla quale aveva proceduto per via automatizzata un’azienda specializzata nella fornitura di valutazioni di tale tipo. Il contratto avrebbe comportato il pagamento di 10 euro mensili.
Nella controversia che ne è scaturita, un giudice austriaco ha dichiarato, con decisione definitiva, che la società aveva violato il regolamento generale sulla protezione dei dati (Gdpr), poiché non avrebbe fornito alla cliente “informazioni significative sulla logica utilizzata” nel processo decisionale automatizzato in questione. Quantomeno, tale azienda non avrebbe sufficientemente motivato la ragione per la quale non ha potuto fornire tali informazioni.
Il giudice adito dalla cliente ai fini dell’esecuzione forzata di tale decisione giudiziaria si interroga su che cosa debba fare in concreto la società al riguardo e ha dunque chiesto alla Corte di giustizia di interpretare il Gdpr e la direttiva sulla protezione del segreto commerciale.
La decisione della Corte di giustizia dell’Ue
Secondo la Corte di giustizia dell’Unione europea, il titolare del trattamento deve descrivere la procedura e i principi concretamente applicati in modo tale che l’interessato possa comprendere quali dei suoi dati personali sono stati utilizzati, e in che modo, nel processo decisionale automatizzato.
Per soddisfare i requisiti di trasparenza e intelligibilità, potrebbe essere adeguato, in particolare, informare l’interessato di come una variazione a livello dei dati personali presi in considerazione avrebbe condotto a un risultato diverso. La semplice comunicazione di un algoritmo non sarebbe, invece, una spiegazione sufficientemente concisa e comprensibile.
Il titolare del trattamento, nel caso in cui ritenga che le informazioni da fornire contengano dati protetti di terzi o segreti commerciali, deve comunicare tali informazioni protette all’autorità di controllo o al giudice competenti. Essi sono tenuti a ponderare i diritti e gli interessi in gioco al fine di determinare la portata del diritto di accesso dell’interessato a dette informazioni.
La Corte precisa al riguardo che il Gdpr osta all’applicazione di una disposizione nazionale che esclude, di regola, il diritto di accesso in questione, qualora quest’ultimo comprometta un segreto commerciale del titolare del trattamento o di un terzo.
