Profilazione e segreti aziendali: la CGUE impone la trasparenza sull’algoritmo

Una recente e fondamentale sentenza della Corte di Giustizia dell’Unione Europea (CGUE) ha posto un freno alla possibilità che le aziende utilizzino il segreto commerciale come uno scudo automatico per negare ai cittadini l’accesso ai propri dati e, in particolare, alle informazioni sulla logica utilizzata per la loro profilazione.

La pronuncia, relativa a un rinvio pregiudiziale austriaco (causa C-203/22), ha chiarito in modo netto i confini del diritto di accesso stabilito dall’articolo 15 del GDPR (Regolamento Generale sulla Protezione dei Dati), specialmente nei processi di decisione automatizzata come lo scoring di solvibilità.

Il contesto: il cittadino di fronte all’algoritmo

La controversia è nata dal caso di un individuo a cui era stato negato un semplice contratto di telefonia mobile a causa di una valutazione automatizzata della sua qualità creditizia. L’azienda che effettuava lo scoring si era rifiutata di fornire spiegazioni dettagliate sul metodo di calcolo, adducendo la necessità di proteggere il proprio know-how come segreto commerciale.

La Corte ha affrontato il nodo cruciale del conflitto: la necessità del cittadino di ricevere “informazioni significative sulla logica utilizzata” (come previsto dal GDPR) e l’interesse dell’azienda a tutelare i propri sistemi di valutazione.

La sentenza: bilanciamento obbligatorio, non negazione

La CGUE ha stabilito due principi fondamentali che impattano direttamente sulle aziende e sulle autorità nazionali:

1. Spiegazioni Dettagliate Obbligatorie: l’interessato ha sempre diritto a che il titolare del trattamento spieghi, in forma comprensibile e trasparente, la procedura e i principi concretamente applicati per arrivare a un determinato profilo (es. un giudizio di scarsa solvibilità). Le informazioni non possono essere generiche.
2. Divieto di Veto Assoluto: una legge nazionale non può stabilire a priori e in modo vincolante l’esclusione del diritto di accesso per il solo fatto che le informazioni contengono un segreto commerciale. Tale divieto preventivo è incompatibile con il GDPR.

Il ruolo del Giudice: se il titolare del trattamento eccepisce l’esistenza di un segreto commerciale o la presenza di dati personali di terzi, non può semplicemente rifiutarsi di fornire le informazioni. Deve invece comunicarle all’Autorità di controllo (il Garante) o al Giudice competente. Sarà l’autorità adita a dover ponderare e bilanciare caso per caso i diritti in gioco, determinando la portata esatta delle informazioni che il cittadino ha diritto di ricevere.

Cosa cambia: trasparenza e tutela

Questa sentenza rafforza notevolmente la posizione del cittadino, ribadendo che il diritto alla trasparenza è effettivo e non può essere facilmente neutralizzato da un’obiezione generica sul segreto commerciale.

In Italia, dove le tutele del diritto di accesso sono già affidate al Garante Privacy o alla Magistratura, la pronuncia UE fornisce chiare direttive: in caso di contenzioso, l’autorità dovrà sempre procedere a una valutazione concreta e proporzionata, assicurando che il cittadino non resti all’oscuro di come un algoritmo abbia influito sulla sua vita.

Fonte: Bollettino semestrale 2025 della Corte di Cassazione