ThinkTank_Logo_nero
L'attesa è finita
Ailance™ ThinkTank è qui!
Per saperne di più

La Corte di giustizia europea rafforza la trasparenza: le agenzie di credito devono rendere noti i processi decisionali

La Corte di giustizia europea rafforza la trasparenza nel processo decisionale automatizzato.
Categorie:
,

Nella sentenza del 27 febbraio 2025, la Corte di giustizia europea (CGUE) ha preso un'importante decisione sul diritto di accesso ai sensi dell'art. 15 par. 1 lett. h del GDPR. La sentenza (causa C-203/22) chiarisce i requisiti per la trasparenza del processo decisionale automatizzato e stabilisce gli standard per la protezione dei dati personali dagli interessi di riservatezza commerciale.

Contestazione dell'obbligo di fornire informazioni in caso di controllo automatizzato del credito

La decisione si basa su un rinvio del Tribunale amministrativo di Vienna. Il ricorrente CK, una persona fisica, era stato respinto da un fornitore di telefonia mobile sulla base di una valutazione automatica del credito. La valutazione era stata effettuata da Dun & Bradstreet Austria GmbH (D & B), una società specializzata in valutazioni del credito. CK ha quindi richiesto l'accesso ai criteri e alle basi di calcolo di questa valutazione per poter comprendere la base della decisione e correggerla se necessario.

D & B si è rifiutata di rivelare la logica sottostante, sostenendo che si trattava di segreti aziendali protetti. CK si è quindi rivolta all'autorità austriaca per la protezione dei dati, che ha chiesto a D&B di fornire informazioni significative sul processo decisionale automatizzato. D & B ha presentato ricorso contro questa decisione al Tribunale amministrativo federale, che ha confermato l'obbligo di fornire informazioni.

Poiché D&B è rimasto inattivo nonostante la sentenza definitiva, CK ha chiesto al Comune di Vienna di eseguire la sentenza. L'autorità esecutiva ha respinto la richiesta in quanto D&B aveva già adempiuto all'obbligo di fornire informazioni. CK si è quindi rivolta nuovamente al Tribunale amministrativo di Vienna, che ha rinviato il caso alla Corte di giustizia europea per una pronuncia pregiudiziale.

La Corte di giustizia europea deciderà i limiti e la portata del diritto all'informazione

Il Tribunale amministrativo di Vienna ha sottoposto alla CGUE diverse questioni fondamentali relative all'interpretazione dell'articolo 15, paragrafo 1, lettera h del GDPR. La questione centrale consisteva nel determinare i limiti e la portata del diritto all'informazione della persona interessata in relazione ai processi decisionali automatizzati. Le domande del Tribunale amministrativo riguardavano in particolare

  1. Ambito di applicazione degli obblighi di informazione: Quali informazioni specifiche devono fornire i responsabili del trattamento per soddisfare i requisiti dell'articolo 15, paragrafo 1, lettera h), del GDPR?
  2. Considerazione dei segreti commerciali: La divulgazione è necessaria anche se sono coinvolti segreti aziendali o dati personali di terzi?
  3. Trasparenza contro segretezza: Come si può risolvere la tensione tra il diritto alla protezione dei dati della persona interessata e la protezione degli interessi economici delle aziende?


Suggerimento di lettura: Minimizzazione dei dati ed economia dei dati - La Corte di giustizia europea annulla l'obbligo di rivolgersi ai clienti per l'acquisto di biglietti online

Corte di giustizia europea: è necessaria una presentazione trasparente e comprensibile

La Corte di giustizia europea ha stabilito che i responsabili del trattamento sono tenuti a divulgare la "logica implicata" nei processi decisionali automatizzati in modo comprensibile per l'interessato. Ciò richiede una chiara descrizione dei metodi di calcolo e degli algoritmi utilizzati. In particolare, le aziende devono spiegare

  • Quali metodi e modelli matematici sono stati utilizzati per il processo decisionale,
  • Quali specifiche variabili di input sono state incluse nella valutazione,
  • Come questi fattori nel loro insieme hanno portato al risultato specifico.


La semplice comunicazione di un punteggio di credito o di una valutazione del rischio senza ulteriori spiegazioni non è sufficiente. È piuttosto necessaria una presentazione trasparente e comprensibile che consenta all'interessato di valutare realisticamente quali criteri abbiano contribuito al processo decisionale automatizzato.

Un altro aspetto fondamentale della decisione riguarda la protezione dei segreti commerciali e dei dati personali di terzi. La Corte di giustizia europea ha chiarito che le aziende non possono invocare la segretezza in modo generalizzato per rifiutarsi di fornire informazioni. Piuttosto, è necessario trovare un attento equilibrio tra gli interessi della persona interessata e gli interessi di protezione economica dell'azienda. Solo in casi eccezionali, quando vi sono prove di un grave danno agli interessi economici, può essere giustificata una restrizione dell'obbligo di fornire informazioni.

La Corte di giustizia europea ha inoltre chiarito che non deve esistere un rifiuto assoluto di fornire informazioni. Se alcune informazioni non possono essere divulgate direttamente per motivi di riservatezza, è necessario creare almeno un'opzione alternativa per garantire il diritto dell'interessato. Ad esempio, la divulgazione può essere effettuata a un'autorità di controllo indipendente o a un tribunale per consentire un esame obiettivo del processo decisionale automatizzato.

Effetti della sentenza della Corte di giustizia sulla prassi

La decisione della Corte di giustizia europea ha conseguenze di vasta portata per le aziende, soprattutto per quelle che si affidano a processi decisionali automatizzati. I responsabili del trattamento dei dati devono ora assicurarsi di soddisfare i requisiti di maggiore trasparenza per garantire un trattamento dei dati conforme alla legge.

  1. Obblighi di informazione estesi
    Le aziende sono tenute a spiegare i processi decisionali automatizzati in modo dettagliato e comprensibile. Ciò significa che gli interessati devono essere in grado di capire quali variabili di input sono state utilizzate e come hanno portato a una determinata decisione. Non è sufficiente un semplice riferimento a una valutazione automatizzata, ma è necessario divulgare il modo in cui funziona in modo comprensibile per l'interessato.
  2. Invocazione complicata di segreti commerciali
    La Corte di giustizia europea ha chiarito che le aziende non possono semplicemente invocare la protezione del segreto commerciale per rifiutarsi di divulgare informazioni. Si deve invece esaminare in ogni singolo caso se i segreti commerciali meritevoli di protezione siano effettivamente interessati. In tal caso, occorre valutare i diritti dell'interessato. I tribunali o le autorità di vigilanza possono essere chiamati a decidere quali informazioni devono essere divulgate.
  3. Necessità di nuovi meccanismi di controllo
    In futuro, le autorità per la protezione dei dati e i tribunali svolgeranno un ruolo maggiore nel bilanciare gli obblighi di trasparenza e la protezione dei segreti commerciali. Le aziende dovranno quindi essere pronte a giustificare dettagliatamente i loro processi di bilanciamento. Questo potrebbe anche portare a un aumento dell'obbligo di documentazione per poter dimostrare alle autorità di controllo che gli obblighi di divulgazione sono stati rispettati in conformità al GDPR.
  4. Effetti sui rapporti contrattuali
    La decisione può avere conseguenze di vasta portata per i partner contrattuali delle aziende. In particolare, le banche, le compagnie assicurative e i fornitori di telefonia mobile, che si affidano a controlli automatici del credito, devono garantire che i loro clienti ricevano una spiegazione sufficientemente chiara della base della decisione. In caso contrario, la conclusione o l'estensione dei contratti potrebbe essere contestata in tribunale per mancanza di trasparenza.
  5. Adattamento dei processi interni e delle misure di conformità
    Le aziende devono adattare i loro processi interni per soddisfare i nuovi requisiti. Ciò include l'implementazione di misure tecniche e organizzative per la documentazione e la comunicazione trasparente dei meccanismi di valutazione.

Conclusione

La sentenza della Corte di giustizia europea ha concretizzato in modo significativo il diritto alla trasparenza nel processo decisionale automatizzato. Gli interessati hanno ora un diritto all'informazione chiaramente definito e applicabile, che consente loro di comprendere meglio il trattamento dei loro dati personali e, se necessario, di intraprendere azioni legali.

Per le aziende, ciò significa che devono rivedere i processi e i meccanismi interni per il processo decisionale automatizzato. Devono fornire informazioni più complete e divulgare in modo comprensibile gli algoritmi e la logica decisionale sottostanti. Ciò richiede non solo adeguamenti tecnici, ma anche una più stretta collaborazione con le autorità di protezione dei dati per garantire il rispetto dei nuovi requisiti.

La decisione chiarisce inoltre che la protezione del segreto commerciale non può essere utilizzata come argomento generale per rifiutare di fornire informazioni. Piuttosto, le aziende devono valutare attentamente ogni singolo caso e, se necessario, trovare modi alternativi per rendere disponibili le informazioni rilevanti, ad esempio divulgandole alle autorità di vigilanza o ai tribunali.

Fonte: Sentenza della Corte di giustizia europea nella causa C-203/22

Contattateci
Tag:
Condividi questo post :

Categorie più popolari

Newsletter

Iscrivetevi alla nostra newsletter sulla protezione dei dati per ricevere gli ultimi aggiornamenti, consigli e approfondimenti direttamente nella vostra casella di posta elettronica.
Abbonarsi

Ultimi messaggi

it_ITItalian
de_DEGerman en_USEnglish fr_FRFrench it_ITItalian