La spiegazione fornita deve consentirgli di comprendere e contestare la decisione automatizzata…
In Austria, un operatore di telefonia mobile ha negato a una cliente la stipulazione di un contratto adducendo che non era sufficientemente solvibile. L’operatore si basava, a tal riguardo, su una valutazione del merito creditizio della cliente, alla quale aveva proceduto per via automatizzata la Dun & Bradstreet Austria, un’azienda specializzata nella fornitura di valutazioni di tale tipo. Il contratto avrebbe comportato il pagamento di 10 euro mensili.
Nella controversia che ne è scaturita, un giudice austriaco ha dichiarato, con decisione definitiva, che la Dun & Bradstreet Austria aveva violato il regolamento generale sulla protezione dei dati (RGPD) 1. La Dun & Bradstreet Austria non avrebbe infatti fornito alla cliente «informazioni significative sulla logica utilizzata» nel processo decisionale automatizzato in questione. Quantomeno, tale azienda non avrebbe sufficientemente motivato la ragione per la quale non ha potuto fornire tali informazioni.
Il giudice adito dalla cliente ai fini dell’esecuzione forzata di tale decisione giudiziaria si interroga su che cosa debba fare in concreto la Dun & Bradstreet al riguardo. Ha perciò chiesto alla Corte di giustizia di interpretare il RGPD e la direttiva sulla protezione del segreto commerciale 2.
Secondo la Corte, il titolare del trattamento deve descrivere la procedura e i principi concretamente applicati in modo tale che l’interessato possa comprendere quali dei suoi dati personali sono stati utilizzati, e in che modo, nel processo decisionale automatizzato.
Per soddisfare i requisiti di trasparenza e intelligibilità, potrebbe essere adeguato, in particolare, informare l’interessato di come una variazione a livello dei dati personali presi in considerazione avrebbe condotto a un risultato diverso. La semplice comunicazione di un algoritmo non sarebbe, invece, una spiegazione sufficientemente concisa e comprensibile.
Il titolare del trattamento, nel caso in cui ritenga che le informazioni da fornire contengano dati protetti di terzi o segreti commerciali, deve comunicare tali informazioni asseritamente protette all’autorità di controllo o al giudice competenti. Essi sono tenuti a ponderare i diritti e gli interessi in gioco al fine di determinare la portata del diritto di accesso dell’interessato a dette informazioni.
La Corte precisa al riguardo che il RGPD osta all’applicazione di una disposizione nazionale che esclude, di regola, il diritto di accesso in questione, qualora quest’ultimo comprometta un segreto commerciale del titolare del trattamento o di un terzo.
