La Corte di Giustizia dell’Unione Europea, prima sezione, con la sentenza del 27 febbraio 2025 nella causa n. C-203/22, intervenendo in tema di rispetto della protezione dei dati personali di cui all’art. 15 del Regolamento (UE) 2016/679 nel processo automatizzato, ha statuito che “1) L’articolo 15, paragrafo 1, lettera h), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati),
dev’essere interpretato nel senso che:
in caso di processo decisionale automatizzato, compresa la profilazione, ai sensi dell’articolo 22, paragrafo 1, di tale regolamento, l’interessato può pretendere dal titolare del trattamento, a titolo di «informazioni significative sulla logica utilizzata», che quest’ultimo gli spieghi, mediante informazioni pertinenti e in forma concisa, trasparente, comprensibile e facilmente accessibile, la procedura e i principi concretamente applicati per utilizzare, con mezzi automatizzati, i dati personali relativi a tale interessato al fine di ottenerne un risultato determinato, come un profilo di solvibilità.
2) L’articolo 15, paragrafo 1, lettera h), del regolamento 2016/679
dev’essere interpretato nel senso che:
nell’ipotesi in cui il titolare del trattamento ritenga che le informazioni da fornire all’interessato conformemente a tale disposizione contengano dati di terzi protetti da tale regolamento o segreti commerciali, ai sensi dell’articolo 2, punto 1, della direttiva 2016/943 (UE) del Parlamento europeo e del Consiglio, dell’8 giugno 2016, sulla protezione del know‑how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti, detto titolare è tenuto a comunicare tali informazioni asseritamente protette all’autorità di controllo o al giudice competenti, cui spetta ponderare i diritti e gli interessi in gioco al fine di determinare la portata del diritto di accesso dell’interessato previsto all’articolo 15 di tale regolamento. “
Si rammenta che il processo decisionale automatizzato è lo strumento, attraverso algoritmi o altre formule, attraverso cui vengono prese decisioni impiegando mezzi tecnologici con o senza l’intervento umano e che sia in grado di influenzare o modificare l’esito del processo.
Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (GDPR) regola esclusivamente il processo decisionale completamente automatizzati che producono effetti giuridici o incidono sulla persona in modo significativo. Il GDPR ritiene che tali processi sono leciti solo se:
- sono necessari per la conclusione o l’esecuzione di un contratto tra il soggetto e un titolare del trattamento. Ciò significa che non ci deve essere altro modo per stipulare e eseguire un contratto
- sono autorizzati dal diritto dell’Unione o dello Stato membro (vale a dire che deve essere stata emanata una legge che ne prevede l’uso)
- c’è il consenso esplicito (ossia che l’interessato ha accettato espressamente l’utilizzo).
Per rendere tali processi conformi al GDPR, grava sul titolare, prima del loro utilizzo, l’onere di fornire all’interessato le seguenti informazioni:
- spiegare come funzionano, quali sono i criteri su cui si basano e quali conseguenze hanno;
- dimostrare che questi processi sono necessari e non ci sono altri mezzi alternativi meno invasivi;
- specificare quali sono le basi giuridiche specifiche che legittimano il trattamento dei dati (consenso, esecuzione di un contratto, etc.);
- assicurare al soggetto interessato il diritto di ottenere un intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
La fattispecie oggetto della sentenza della Corte unionale era quella di un operatore di telefonia mobile, operante in Austria, che non aveva acconsentito alla stipula di un contratto con un cliente, a causa della valutazione del merito creditizio della cliente, alla quale aveva proceduto per via automatizzata effettuata da un’azienda specializzata nella fornitura di valutazioni di tale tipo.
La Corte UE, in sintesi, ha stabilito che è onere del titolare del trattamento descrivere, ed informare preventivamente l’interessato, la procedura e i principi concretamente applicati in modo tale che l’interessato possa comprendere quali dei suoi dati personali sono stati utilizzati, e in che modo, nel processo decisionale automatizzato.
I giudici unionali, nella sentenza in commento, hanno premesso che “al fine di interpretare una disposizione del diritto dell’Unione occorre tener conto non soltanto della sua formulazione, ma anche del contesto e degli obiettivi perseguiti dalla normativa di cui essa fa parte (sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 19 e giurisprudenza citata).”
I giudici della UE in ordine alle enunciazione, in primis, della “… formulazione dell’articolo 15, paragrafo 1, lettera h), del RGPD, occorre rilevare, da un lato, che le accezioni del concetto di «informations utiles» [«informazioni significative»], ai sensi di tale disposizione, nelle varie versioni linguistiche di quest’ultima divergono, con alcune che privilegiano, al pari della versione in lingua francese, la funzionalità («nuttige» in lingua neerlandese, «úteis» in lingua portoghese) o la pertinenza («pertinente» in lingua rumena) delle informazioni da fornire, mentre altre insistono più sulla loro importanza («significativa» in lingua spagnola e «istotne» in lingua polacca). Infine, sia nella versione in lingua tedesca sia in quella in lingua inglese di detta disposizione, il termine utilizzato (rispettivamente, «aussagekräftig» e «meaningful») può essere inteso sia nel senso che fa riferimento alla buona intelligibilità di dette informazioni sia nel senso che si riferisce ad una certa qualità di tali informazioni.
(…) Ebbene, la diversità di accezioni utilizzate nelle varie versioni linguistiche deve essere intesa nel senso di una complementarità dei significati esposti al punto precedente, di cui occorre tener conto in sede di interpretazione del concetto di «informazioni significative sulla logica utilizzata», ai sensi dell’articolo 15, paragrafo 1, lettera h), del RGPD, come rilevato, in sostanza, dall’avvocato generale al paragrafo 65 delle sue conclusioni.
(…) Dall’altro lato, vista la sua formulazione generale, il riferimento, in tale disposizione, alla «logica utilizzata» nel processo decisionale automatizzato, che costituisce l’oggetto di dette «informazioni significative», può coprire un ampio ventaglio di «logiche» di utilizzo di dati personali e di altri dati al fine di ottenerne, con mezzi automatizzati, un determinato risultato. Tale interpretazione è corroborata da alcune versioni linguistiche di detta disposizione che utilizzano termini che, in modo complementare, si riferiscono a diversi aspetti dell’accezione comune del concetto di «logica». Così, ad esempio, nelle versioni in lingua ceca e polacca, si fa riferimento, rispettivamente, ai termini «postupu» e «zasady», che possono essere tradotti con «procedura» e «principi».
43 Si deve quindi ritenere che la formulazione dell’articolo 15, paragrafo 1, lettera h), del RGPD riguardi qualsiasi informazione pertinente relativa alla procedura e ai principi di utilizzo, con mezzi automatizzati, di dati personali al fine di ottenerne un determinato risultato.
(…) Per quanto riguarda, poi, il contesto in cui si inserisce il concetto di «informazioni significative sulla logica utilizzata», di cui all’articolo 15, paragrafo 1, lettera h) del RGPD, occorre sottolineare, in primo luogo, che tali informazioni sono solo una parte di quelle oggetto del diritto di accesso previsto da tale articolo, che riguarda anche le informazioni relative all’importanza e alle conseguenze previste del trattamento controverso per l’interessato.
(…) Sebbene queste ultime informazioni, che, secondo le linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento (UE) 2016/679, adottate il 3 ottobre 2017 dal gruppo di lavoro istituito dall’articolo 29 della direttiva 95/46, nella versione emendata e adottata il 6 febbraio 2018, per essere significative e comprensibili, dovrebbero essere corredate da «esempi reali e concreti», non siano oggetto delle questioni sollevate dal giudice del rinvio, occorre tuttavia tenerne conto quale elemento del contesto in cui si inserisce il concetto di «informazioni significative sulla logica utilizzata».
(…) In secondo luogo, alla luce del fatto che il concetto di «informazioni significative sulla logica utilizzata» figura anche all’articolo 13, paragrafo 2, lettera f), e all’articolo 14, paragrafo 2, lettera g), del RGPD, la Corte ha già dichiarato che, nel caso di un processo decisionale automatizzato, ai sensi dell’articolo 22, paragrafo 1, di tale regolamento, il diritto di accesso a tali informazioni sancito all’articolo 15, paragrafo 1, lettera h), di quest’ultimo forma un tutt’uno con gli obblighi di informazione supplementari imposti al titolare del trattamento in virtù di tale articolo 13, paragrafo 2, lettera f), e di tale articolo 14, paragrafo 2, lettera g), del RGPD [v., in tal senso, sentenza del 7 dicembre 2023, SCHUFA Holding e a. (Scoring), C‑634/21, EU:C:2023:957, punto 56]. “
Inoltre per i giudici è essenziale che “il requisito di trasparenza delle informazioni comunicate, previsto all’articolo 12, paragrafo 1, del RGPD, si applica a tutti i dati e a tutte le informazioni di cui a detto articolo 15, compresi quelli collegati al processo decisionale automatizzato.
(…) Al fine di garantire che l’interessato sia messo in grado di comprendere pienamente le informazioni che gli sono fornite dal titolare del trattamento, detto articolo 12, paragrafo 1, obbliga quest’ultimo ad adottare misure appropriate, in particolare per fornire all’interessato tali dati e informazioni in forma concisa, trasparente, comprensibile e facilmente accessibile, con un linguaggio semplice e chiaro (v., in tal senso, sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 38).
(…) L’esame del contesto in cui si inserisce l’articolo 15, paragrafo 1, lettera h), del RGPD corrobora quindi l’interpretazione che emerge dall’analisi dei termini di tale disposizione, secondo la quale le «informazioni significative sulla logica utilizzata» in un processo decisionale automatizzato, ai sensi di tale disposizione, riguardano qualsiasi informazione pertinente relativa alla procedura e ai principi di utilizzo dei dati personali al fine di ottenerne, con mezzi automatizzati, un determinato risultato, mentre l’obbligo di trasparenza richiede inoltre che tali informazioni siano fornite in forma concisa, trasparente, comprensibile e facilmente accessibile.
(…) Per quanto riguarda, infine, le finalità del RGPD, occorre ricordare che l’obiettivo di tale regolamento consiste segnatamente nel garantire un elevato livello di tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare del loro diritto alla protezione dei dati personali, sancito dall’articolo 16 TFUE e garantito in quanto diritto fondamentale all’articolo 8 della Carta, che completa il diritto alla vita privata garantito all’articolo 7 di quest’ultima. [v., in tal senso, sentenza del 4 ottobre 2024, Schrems (Comunicazione di dati al pubblico), C‑446/21, EU:C:2024:834, punto 45 e giurisprudenza citata]. “
Infine per la Corte di Giustizia UE “il diritto di accesso previsto all’articolo 15 del RGPD, dalla giurisprudenza della Corte emerge che tale diritto deve consentire all’interessato di verificare che i dati personali che lo riguardano siano corretti e trattati in modo lecito [sentenze del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 34, e del 26 ottobre 2023, FT (Copie della cartella medica), C‑307/22, EU:C:2023:811, punto 73].
(…) Tale diritto di accesso è necessario affinché l’interessato possa esercitare, se del caso, il suo diritto alla rettifica, il suo diritto alla cancellazione («diritto all’oblio») e il suo diritto alla limitazione di trattamento, diritti questi che gli sono riconosciuti, rispettivamente, dagli articoli 16, 17 e 18 del RGPD, il suo diritto di opposizione al trattamento dei suoi dati personali, previsto all’articolo 21 del RGPD, nonché il suo diritto di agire in giudizio e il suo diritto al risarcimento, previsti rispettivamente dagli articoli 79 e 82 del RGPD (v., in tal senso, sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU:C:2023:369, punto 35).
(…) In particolare, nel contesto specifico di un processo decisionale fondato esclusivamente su un trattamento automatizzato, lo scopo principale del diritto dell’interessato di ottenere le informazioni previste all’articolo 15, paragrafo 1, lettera h), del RGPD è quello di consentirgli di esercitare in modo efficace i diritti riconosciutigli dall’articolo 22, paragrafo 3, di tale regolamento, vale a dire quello di esprimere il suo punto di vista su tale decisione e quello di contestarla.
(…) Infatti, se le persone su cui incide una decisione automatizzata, compresa la profilazione, non fossero in grado di comprendere le ragioni che hanno condotto a tale decisione prima di esprimere il loro punto di vista o di contestarla, tali diritti non potrebbero adempiere pienamente al loro scopo di proteggere tali persone dai rischi specifici per i loro diritti e le loro libertà derivanti dal trattamento automatizzato dei loro dati personali [v., in tal senso, sentenza del 7 dicembre 2023, SCHUFA Holding e a. (Scoring), C‑634/21, EU:C:2023:957, punto 57].
(…) A tal riguardo, dal considerando 71 del RGPD si evince che, l’interessato, qualora sia oggetto di una decisione adottata unicamente sulla base di un trattamento automatizzato e che incida significativamente sulla sua persona, deve avere il diritto di ottenere una spiegazione in merito a tale decisione. Come rilevato dall’avvocato generale al paragrafo 67 delle sue conclusioni, si deve quindi ritenere che l’articolo 15, paragrafo 1, lettera h), del RGPD offra all’interessato un vero e proprio diritto alla spiegazione sul funzionamento del meccanismo alla base di un processo decisionale automatizzato di cui tale interessato è stato oggetto e sul risultato a cui detta decisione ha condotto.
(…) Dall’esame delle finalità del RGPD e, in particolare, di quelle dell’articolo 15, paragrafo 1, lettera h), di quest’ultimo si evince che il diritto di ottenere «informazioni significative sulla logica utilizzata» in un processo decisionale automatizzato, ai sensi di tale disposizione, deve essere inteso come un diritto alla spiegazione della procedura e dei principi concretamente applicati per utilizzare, con mezzi automatizzati, i dati personali dell’interessato al fine di ottenerne un risultato specifico, come un profilo di solvibilità. Per consentire all’interessato di esercitare in modo efficace i diritti riconosciutigli dal RGPD e, in particolare, dall’articolo 22, paragrafo 3, di quest’ultimo, tale spiegazione deve essere fornita mediante informazioni pertinenti e in forma concisa, trasparente, intelligibile e facilmente accessibile.
(…) Non può soddisfare tali requisiti né la semplice comunicazione di una formula matematica complessa, come un algoritmo, né la descrizione dettagliata di tutte le fasi di un processo decisionale automatizzato, in quanto nessuno di questi metodi costituirebbe una spiegazione sufficientemente concisa e comprensibile.
(…) Infatti, come si evince dalla pagina 28 delle linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento (UE) 2016/679, menzionate al punto 45 della presente sentenza, da un lato, il titolare del trattamento dovrebbe trovare modi semplici per comunicare all’interessato la logica o i criteri sui quali si basa l’adozione della decisione. Dall’altro, il RGPD impone al titolare del trattamento di fornire informazioni significative sulla logica utilizzata, «ma non necessariamente una spiegazione complessa degli algoritmi utilizzati o la divulgazione dell’algoritmo completo».
(…) Pertanto, le «informazioni significative sulla logica utilizzata» in un processo decisionale automatizzato, ai sensi dell’articolo 15, paragrafo 1, lettera h), del RGPD, devono descrivere la procedura e i principi concretamente applicati in modo tale che l’interessato possa comprendere quali dei suoi dati personali sono stati utilizzati in che modo nel processo decisionale automatizzato in questione, senza che la complessità delle operazioni da eseguire nel contesto del processo decisionale automatizzato possa esonerare il titolare del trattamento dal suo dovere di spiegazione.
(…) Ciò premesso, occorre ancora precisare che, per quanto riguarda la questione se le informazioni fornite debbano consentire all’interessato di verificare la correttezza dei dati personali che lo riguardano sui quali si fonda l’adozione di decisioni automatizzate, il diritto di accesso a tali dati non rientra nella lettera h) del paragrafo 1 dell’articolo 15 del RGPD, bensì nella frase introduttiva del medesimo paragrafo, che garantisce all’interessato di potersi sincerare della correttezza di tali dati, come emerge dalla giurisprudenza citata al punto 53 della presente sentenza. “