La metamorfosi del panorama digitale è una diretta conseguenza degli sviluppi dell’intelligenza artificiale (IA), ma l’uso sempre più diffuso di tecnologie basate su algoritmi solleva importanti questioni in materia di privacy e diritti individuali.

Uno degli argomenti più controversi all’interno di questa categoria riguarda le decisioni automatizzate che utilizzano IA e come queste interagiscono con il Regolamento generale sulla protezione dei dati (GDPR).

Rileva in primis il precipitato di cui all’art. 22 GDPR, dove una regolamentazione particolarmente rilevante per i sistemi di intelligenza artificiale, che spesso muovono verso un ordo decidendi senza la supervisione umana, riconosce alle persone il diritto di non essere sottoposte a decisioni basate esclusivamente sul trattamento automatizzato, compresa la profilazione, qualora tali decisioni abbiano implicazioni legali o personali significative. Dal taglio ad audiuvandum, l’articolo 15, paragrafo 1, lettera h) del GDPR, garantisce invece alle persone il diritto di ricevere “informazioni significative” sulla base della decisione automatizzata che le riguarda.

Nel merito, sovrabbondano massime d’oltralpe il cui orizzonte gnoseologico riflette il diritto di accesso degli interessati relativo alle decisioni automatizzate che li riguardano; si tratta in particolare, di decisioni che si basano esclusivamente su processi automatizzati, compresi quelli basati su algoritmi di IA. Secondo il GDPR, in particolare, questo tipo di decisioni debbono essere trasparenti per le persone coinvolte; sennonché la complessità degli algoritmi e la riservatezza delle informazioni utilizzate dalle aziende, rendono l’applicazione di questo compito particolarmente ardua.

Orbene, proprio di recente, la Corte di Giustizia dell’Unione Europea (CGUE) ha fornito un parere cruciale che affronta direttamente il tema delle decisioni automatizzate e la protezione dei segreti commerciali; si tratta di un parere assai rilevante nell’interpretazione delle norme del GDPR in un contesto sempre più digitale dove la sinergia degli interessi commerciali converge all’unisono con i diritti dei cittadini.

L’impatto delle decisioni automatizzate sui segreti commerciali secondo la CGUE

Nel parere di cui si discute, la CGUE ha stabilito che i titolari del trattamento dei dati non sono obbligati a rivelare dettagli tecnici complessi o a fornire spiegazioni dettagliate sul funzionamento interno degli algoritmi, essendo anzi sufficiente che le aziende forniscano una spiegazione chiara e comprensibile sul perché e come sia stata presa una decisione automatizzata, permettendo all’individuo di comprendere quali informazioni sono state utilizzate ed in che modo esse hanno influenzato il processo decisionale; si tratta di un’interpretazione in grado di bilanciare la trasparenza verso il cittadino con la necessità di proteggere la proprietà intellettuale ed i segreti commerciali delle aziende, mantenendo così un equilibrio tra i diversi interessi in gioco.

La fattispecie concreta è originata dal diniego effettuato nei confronti di un cittadino austriaco di un contratto di telefonia mobile a seguito di un controllo automatizzato del credito condotto da un’azienda. Si è trattato, in particolare, della domanda presentata da CK, soggetto privato, nei confronti della Dun & Bradstreet Austria CmbH. Ck rivendicava il diritto, sancito dall’articolo 15 al primo paragrafo lett. H del GDPR, di ottenere l’accesso ad informazioni significative riguardanti la logica sottostante al processo automatizzato di valutazione del merito creditizio che coinvolge i suoi dati personali. La società resistente, appellandosi alla tutela dei segreti commerciali prevista dalla Direttiva (UE) 2016/943, sosteneva invece che la divulgazione di tali informazioni avrebbe compromesso i propri interessi commerciali.

A sua volta, D&B ha impugnato la decisione dell’Autorità dinanzi al Tribunale amministrativo federale austriaco, adducendo la necessità di tutelare i propri segreti commerciali ai sensi della Direttiva 2016/943. L’azienda, in particolare, ha sostenuto che la divulgazione delle informazioni richieste avrebbe compromesso la protezione dei propri interessi commerciali. Con sentenza datata 23 ottobre 2019, il Tribunale ha parzialmente confermato la decisione dell’Autorità per la protezione dei dati, stabilendo che la Società avesse violato il diritto di accesso di CK in quanto non aveva fornito informazioni sufficientemente chiare e dettagliate sulla logica sottostante al processo decisionale automatizzato.

Nonostante la sentenza sia divenuta definitiva, l’autorità competente ha rigettato l’istanza di CK circa l’operatività della stessa, adducendo al soddisfacimento degli obblighi informativi da parte della Società. Conseguentemente CK ha presentato ricorso dinanzi al Tribunale amministrativo di Vienna, che ha richiesto un rinvio pregiudiziale alla Corte di Giustizia dell’Unione Europea per chiarire l’interpretazione dell’art. 14 GDPR. Il 12 settembre 2024, l’Avvocato Generale Richard de la Tour ha presentato le sue conclusioni nella causa C -203/22 dinanzi alla Corte di Giustizia dell’Unione Europea. La richiesta di pronuncia pregiudiziale con al centro della questione il bilanciamento tra il diritto alla trasparenza previsto dal GDPR e la protezione dei segreti commerciali, proveniva dal Tribunale Amministrativo di Vienna e riguardava l’interpretazione di disposizioni del GDPR circa il diritto dell’interessato di accedere alla logica del sistema decisionale automatizzato e quelle relative alla Direttiva sui segreti commerciali 2016/943.

Dopo l’accoglimento della richiesta di rinvio pregiudiziale da parte della Corte di Giustizia dell’Unione Europea, l’Avvocato Generale ha chiarito che l’obbligo di fornire “informazioni significative” ai sensi dell’articolo 15 par. 1 lett. h non implica la divulgazione integrale dell’algoritmo utilizzato nelle decisioni automatizzate.

Secondo la portata precettiva del parere cit., l’applicazione della norma deve assicurare una divulgazione sufficiente a permettere al soggetto interessato di comprendere la logica ed i criteri che hanno determinato la decisione automatizzata. Sennonché, tale obbligo deve essere bilanciato con la necessità di tutelare gli interessi commerciali riservati; di contro, sarà invece indispensabile che il titolare del trattamento offra spiegazioni adeguate ed accessibili sui fattori rilevanti e sulla ponderazione applicata nel processo decisionale per consentire all’interessato di verificare l’accuratezza dei dati e, se necessario, contestare la decisione automatizzata.

L’intervento della CGUE ha richiamato l’attenzione su due questioni fondamentali e cioè da un lato il principio di Trasparenza ai sensi del GDPR, dall’altro la protezione dei segreti commerciali (con particolare riferimento alla facoltà da parte delle aziende di rifiutarsi di rivelare i dettagli dei loro algoritmi di AI invocando la protezione del segreto commerciale).

Gli algoritmi di molte aziende che utilizzano l’AI sono ritenuti come segreti commerciali proprietari che conferiscono loro un vantaggio competitivo. In tal senso il parere dell’Avvocato Generale della CGUE ha riconosciuto sia l’importanza che la necessità di proteggere i segreti commerciali, sottolineando tuttavia la loro inidoneità ad essere utilizzati come scudo onnicomprensivo per evitare gli obblighi di trasparenza previsti dal GDPR.

L’Avvocato Generale ha poi suggerito che, per un verso le aziende debbano trovare un equilibrio fornendo spiegazioni generali sul funzionamento dei loro sistemi di AI senza divulgare algoritmi proprietari dettagliati, e per un altro che le autorità di regolamentazione od i tribunali possano intervenire per garantire che le aziende forniscano sufficiente trasparenza, nonché proteggendo al contempo la proprietà intellettuale.

Così opinando, si asserisce che la protezione del segreto commerciale, pur rimanendo importante, non possa prevalere sul diritto degli individui di capire come vengano prese le decisioni sull’AI.

Se hai bisogno di assistenza legale o consulenza sul processo decisionale automatizzato nelle aziende, sull’Intelligenza Artificiale (AI) e sul Regolamento Generale sulla Protezione dei Dati (GDPR), contattaci.

Il nostro studio legale è specializzato in data protection, diritto alla trasparenza e conformità normativa nell’ambito dell’AI e del GDPR.

Siamo a tua disposizione per offrirti supporto professionale e personalizzato.