In data 27 febbraio 2025, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C‑203/22, CK contro Magistrat der Stadt Wien, sull’interpretazione dell’articolo 15, paragrafo 1, lettera h), e dell’articolo 22 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)[1] nonché dell’articolo 2, punto 1, della Direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio, dell’8 giugno 2016, sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti[2]. Tale domanda era stata presentata nell’ambito di una controversia tra CK e il Magistrat der Stadt Wien (amministrazione comunale della città di Vienna) in merito all’esecuzione forzata di una decisione giurisdizionale che ingiungeva alla Bisnode Austria GmbH, divenuta Dun & Bradstreet Austria GmbH (“D&B”), un’impresa specializzata in valutazioni creditizie, di fornire a CK informazioni significative sulla logica utilizzata nella profilazione relativa ai suoi dati personali.
Questi i fatti.
CK si era visto negare, da parte di un operatore di telefonia mobile, la conclusione o la proroga di un contratto di telefonia in quanto, in base ad una valutazione automatizzata della sua qualità creditizia effettuata dalla D&B, non aveva una sufficiente solvibilità finanziaria. CK, pertanto, aveva adito l’autorità austriaca per la protezione dei dati, la quale aveva ingiunto alla D&B di comunicargli le informazioni significative sulla logica utilizzata nel processo decisionale automatizzato basato sui suoi dati personali. Di conseguenza, la D&B aveva proposto ricorso dinanzi al Bundesverwaltungsgericht (Corte amministrativa federale), che in data 23 ottobre 2019 aveva dichiarato che l’impresa, con la sua condotta, aveva violato il GDPR.
Nonostante la decisione fosse divenuta definitiva ed esecutiva in virtù del diritto austriaco, la relativa domanda di esecuzione forzata, presentata da CK, era stata respinta all’amministrazione comunale di Vienna in quanto la D&B aveva sufficientemente adempiuto ai suoi obblighi ai sensi del GDPR, anche se non aveva fornito ulteriori informazioni dopo l’adozione della stessa decisione. CK, pertanto, si era rivolto al Verwaltungsgericht Wien (Tribunale amministrativo di Vienna; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia sei questioni pregiudiziali.
Con questioni prima e seconda nonché con la terza questione, sub a), il giudice del rinvio chiedeva se l’articolo 15, paragrafo 1, lettera h)[3], del GDPR debba essere interpretato nel senso che, in caso di processo decisionale automatizzato, compresa la profilazione, ai sensi dell’articolo 22, paragrafo 1[4], di tale regolamento, l’interessato può pretendere dal titolare del trattamento, a titolo di “informazioni significative sulla logica utilizzata”, una spiegazione esaustiva della procedura e dei principi concretamente applicati per usare, con mezzi automatizzati, i suoi dati personali al fine di ottenerne un determinato risultato, quale un profilo di solvibilità.
La Corte ha preliminarmente ricordato che la formulazione dell’articolo 15, paragrafo 1, lettera h), del GDPR riguarda qualsiasi informazione pertinente relativa alla procedura e ai principi di utilizzo, con mezzi automatizzati, di dati personali al fine di ottenerne un determinato risultato. Alla luce del requisito di trasparenza delle informazioni comunicate[5] previsto dal GDPR, inoltre, queste ultime devono essere fornite in forma concisa, trasparente, comprensibile e facilmente accessibile. Il diritto di accesso previsto all’articolo 15 del GDPR, infine, deve consentire all’interessato di verificare che i dati personali che lo riguardano siano corretti e trattati in modo lecito[6], di modo che egli possa esercitare, se del caso, il suo diritto alla rettifica, quello alla cancellazione, quello alla limitazione di trattamento, quello di opposizione al trattamento dei suoi dati personali nonché quello di agire in giudizio e di ottenere un risarcimento[7].
Tutto ciò premesso, nel contesto specifico di un processo decisionale fondato esclusivamente su un trattamento automatizzato, lo scopo principale del diritto dell’interessato di ottenere le informazioni previste all’articolo 15, paragrafo 1, lettera h), del GDPR è quello di consentirgli di esprimere il suo punto di vista su tale decisione e quello di contestarla. Più particolarmente, qualora sia oggetto di una decisione adottata unicamente sulla base di un trattamento automatizzato e che incida significativamente sulla sua persona, l’interessato deve avere il diritto di ottenere una spiegazione in merito a tale decisione, ciò che si traduce in un vero e proprio diritto alla spiegazione sul funzionamento del meccanismo alla base di un processo decisionale automatizzato di cui tale interessato è stato oggetto e sul risultato a cui detta decisione ha condotto. Di conseguenza, il diritto di ottenere “informazioni significative sulla logica utilizzata” in un processo decisionale automatizzato, ai sensi dell’articolo 15, paragrafo 1, lettera h), del GDPR deve essere inteso come un diritto alla spiegazione della procedura e dei principi concretamente applicati per utilizzare, con mezzi automatizzati, i dati personali dell’interessato al fine di ottenerne un risultato specifico, come un profilo di solvibilità. Ciò che non può essere soddisfatto né con la semplice comunicazione di una formula matematica complessa, come un algoritmo, né con la descrizione dettagliata di tutte le fasi di un processo decisionale automatizzato, in quanto nessuno di questi metodi costituirebbe una spiegazione sufficientemente concisa e comprensibile.
Con la terza questione, sub b) e c), con la quarta questione, sub a) e b), e con la quinta e la sesta questione, invece, il giudice del rinvio chiedeva se l’articolo 15, paragrafo 1, lettera h), del GDPR debba essere interpretato nel senso che, nell’ipotesi in cui ritenga che le informazioni da fornire all’interessato conformemente a tale disposizione contengano dati di terzi protetti da tale regolamento o segreti commerciali, ai sensi dell’articolo 2, punto 1[8], della Direttiva 2016/943, il titolare del trattamento è tenuto a comunicare queste ultime all’autorità di controllo o al giudice competente, cui spetta ponderare i diritti e gli interessi in gioco al fine di determinare la portata del diritto di accesso dell’interessato previsto all’articolo 15 del GDPR.
La Corte ha preliminarmente ricordato che il diritto di ogni interessato di accedere ai dati personali raccolti che lo riguardano non dovrebbe ledere i diritti o le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, e segnatamente quelli d’autore che tutelano il software[9]. Una limitazione della portata degli obblighi e dei diritti previsti in particolare all’articolo 15 del GDPR, tuttavia, è possibile solo qualora rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare la tutela dei diritti e delle libertà altrui. A tale riguardo, un giudice nazionale può ritenere che i dati personali delle parti o di terzi debbano essergli comunicati al fine di poter ponderare, con piena cognizione di causa e nel rispetto del principio di proporzionalità, gli interessi in gioco. Tale valutazione può, se del caso, indurlo ad autorizzare la divulgazione completa o parziale alla controparte dei dati personali che gli sono stati così comunicati, qualora ritenga che ciò non ecceda quanto necessario al fine di garantire l’effettivo godimento dei diritti che i soggetti dell’ordinamento traggono dall’articolo 47[10] della Carta[11].
Tutto ciò premesso, la Corte ha pertanto statuito che:
“L’articolo 15, paragrafo 1, lettera h), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev’essere interpretato nel senso che in caso di processo decisionale automatizzato, compresa la profilazione, ai sensi dell’articolo 22, paragrafo 1, di tale regolamento, l’interessato può pretendere dal titolare del trattamento, a titolo di «informazioni significative sulla logica utilizzata», che quest’ultimo gli spieghi, mediante informazioni pertinenti e in forma concisa, trasparente, comprensibile e facilmente accessibile, la procedura e i principi concretamente applicati per utilizzare, con mezzi automatizzati, i dati personali relativi a tale interessato al fine di ottenerne un risultato determinato, come un profilo di solvibilità.
L’articolo 15, paragrafo 1, lettera h), del regolamento 2016/679 dev’essere interpretato nel senso che nell’ipotesi in cui il titolare del trattamento ritenga che le informazioni da fornire all’interessato conformemente a tale disposizione contengano dati di terzi protetti da tale regolamento o segreti commerciali, ai sensi dell’articolo 2, punto 1, della direttiva 2016/943 (UE) del Parlamento europeo e del Consiglio, dell’8 giugno 2016, sulla protezione del know‑how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti, detto titolare è tenuto a comunicare tali informazioni asseritamente protette all’autorità di controllo o al giudice competenti, cui spetta ponderare i diritti e gli interessi in gioco al fine di determinare la portata del diritto di accesso dell’interessato previsto all’articolo 15 di tale regolamento”.
[1] GUUE L 119 del 04.05.2016.
[2] GUUE L 157 del 15.06.2016.
[3] L’articolo 15 GDPR, intitolato “Diritto di accesso dell’interessato”, al paragrafo 1 lettera h) dispone: “… L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
(…)
- h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato…”
[4] L’articolo 22 GDPR, intitolato “Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”, al paragrafo 1 dispone: “… L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona…”.
[5] L’articolo 12 GDPR, intitolato “Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato”, al paragrafo 1 dispone: “… Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato…”.
[6] CGUE 26.10.2023, Causa C‑307/22, FT (Copie della cartella medica), punto 73; CGUE 04.052023, Causa C‑487/21, Österreichische Datenschutzbehörde e CRIF, punto 34.
[7] CGUE 04.052023, Causa C‑487/21, Österreichische Datenschutzbehörde e CRIF, punto 35.
[8] L’articolo 2 della Direttiva 2016/943, intitolato “Definizioni”, al punto 1 dispone: “… Ai fini della presente direttiva si intende per:
1) «segreto commerciale», informazioni che soddisfano tutti i seguenti requisiti:
- a) sono segrete nel senso che non sono, nel loro insieme o nella precisa configurazione e combinazione dei loro elementi, generalmente note o facilmente accessibili a persone che normalmente si occupano del tipo di informazioni in questione;
- b) hanno valore commerciale in quanto segrete; c) sono state sottoposte a misure ragionevoli, secondo le circostanze, da parte della persona al cui legittimo controllo sono soggette, a mantenerle segrete…”.
[9] CGUE 04.052023, Causa C‑487/21, Österreichische Datenschutzbehörde e CRIF, punto 44.
[10] L’articolo 47 della Carta, intitolato “Diritto a un ricorso effettivo e a un giudice imparziale”, dispone: “… Ogni persona i cui diritti e le cui libertà garantiti dal diritto dell’Unione siano stati violati ha diritto a un ricorso effettivo dinanzi a un giudice, nel rispetto delle condizioni previste nel presente articolo.
Ogni persona ha diritto a che la sua causa sia esaminata equamente, pubblicamente ed entro un termine ragionevole da un giudice indipendente e imparziale, precostituito per legge. Ogni persona ha la facoltà di farsi consigliare, difendere e rappresentare.
A coloro che non dispongono di mezzi sufficienti è concesso il patrocinio a spese dello Stato, qualora ciò sia necessario per assicurare un accesso effettivo alla giustizia…”.
[11] CGUE 02.03.2023, Causa C‑268/21, Norra Stockholm Bygg, punto 58.