Privacy. Sentenza CGUE cambia le regole del gioco per segreti commerciali e GDPR. Ecco cosa cambia ora

La Corte di Giustizia dell’Unione Europea (CGUE) ha emesso una sentenza fondamentale il 27 febbraio 2025 (C-203/22), che chiarisce come bilanciare il diritto di accesso ai dati personali previsto dal GDPR con la protezione dei segreti commerciali. Il caso riguarda un consumatore austriaco che ha contestato la valutazione automatizzata del suo merito creditizio effettuata da Dun & Bradstreet (D&B), una società specializzata in profili creditizi.

Il caso di specie

Un cliente austriaco ha visto rifiutata la stipulazione di un contratto di telefonia mobile a causa di una valutazione automatizzata del merito creditizio. La società D&B, che ha fornito il punteggio di affidabilità finanziaria, ha negato al cliente l’accesso dettagliato alla logica utilizzata nel processo di valutazione, invocando la protezione dei segreti commerciali. L’Autorità austriaca per la protezione dei dati ha condannato D&B per mancata trasparenza, ma la società ha impugnato la decisione, portando la questione alla CGUE.

I principi stabiliti dalla Corte su privacy, segreti commerciali e GDPR

La CGUE – riguardo privacy, segreti commerciali e GDPR –  ha stabilito tre punti chiave:

  1. Informazioni “significative” obbligatorie: Le aziende devono fornire spiegazioni chiare e comprensibili sulla logica utilizzata nei processi automatizzati, inclusi i criteri e i pesi attribuiti ai dati. Tuttavia, non è necessario rivelare algoritmi complessi o formule matematiche.

  2. Bilanciamento dei diritti: In caso di conflitto con segreti commerciali, il titolare del trattamento deve sottoporre le informazioni contestate all’autorità competente (es. Garante privacy o tribunale), che valuterà proporzionalmente i diritti in gioco.

  3. Limiti alle eccezioni: Gli Stati membri non possono introdurre norme che bloccano indiscriminatamente l’accesso ai dati per motivi di segretezza aziendale, svuotando di fatto il diritto alla trasparenza del GDPR.

Implicazioni pratiche per le aziende

  • Spiegazioni intuitive: Le aziende devono sviluppare schemi esplicativi che illustrino, con esempi concreti, come una variazione nei dati personali avrebbe modificato l’esito della decisione. Ad esempio: “Un aumento del reddito di 500€ mensili avrebbe migliorato il punteggio di 20  punti”.

  • Documentazione rafforzata: È necessario predisporre registri dettagliati dei processi decisionali automatizzati, dimostrabili in sede di verifica.

  • Collaborazione con le autorità: In caso di contestazioni, sarà cruciale cooperare con i Garanti privacy, fornendo loro accesso riservato alle informazioni sensibili per una valutazione bilanciata.

Protezione dei segreti commerciali: strategie consentite

La sentenza non elimina la tutela della proprietà intellettuale, ma impone un approccio selettivo:

  • Utilizzo di accordi di riservatezza con autorità e tribunali per condividere informazioni critiche.

  • Anonimizzazione o pseudonimizzazione dei dati tecnici prima della condivisione con l’interessato.

  • Investimenti in spiegazioni sintetiche che evitino di rivelare meccanismi core del software.

Riflessi sul settore creditizio e non solo

Il ruling avrà impatti trasversali, in particolare su:

  • Istituti finanziari: Dovranno rivedere i sistemi di scoring, integrando dashboard interattive per gli utenti.

  • Piattaforme digitali: Servizi basati su algoritmi di raccomandazione (es. e-commerce, streaming) dovranno garantire maggiore trasparenza.

  • Assicurazioni: Le polizze basate su profilazione automatizzata dei rischi richiederanno schede informative più dettagliate.

Privacy, segreti commerciali e Gdpr: le nuove frontiere

La sentenza della CGUE su privacy, segreti commerciali e GDPR ribadisce che la trasparenza non è negoziabile, nemmeno di fronte a esigenze di segretezza aziendale. Le aziende dovranno trovare un equilibrio dinamico tra compliance GDPR e tutela della proprietà intellettuale, adottando modelli di comunicazione innovativi e rafforzando la cooperazione con le autorità di controllo. Questo nuovo orientamento richiederà un ripensamento strategico delle pratiche aziendali, con un focus sulla chiarezza e sulla collaborazione.

Condividi la notizia

    RICHIEDI SUBITO UNA CONSULENZA

    Acconsento al trattamento dati per:

    Ricezione di offerte esclusiveVedi tutto

    L’invio di comunicazioni promozionali e di marketing, incluso l’invio di newsletter e ricerche di mercato, relative a prodotti e servizi del Titolare e di partners commerciali, attraverso strumenti automatizzati (sms, mms, email, notifiche push, fax, sistema di chiamata automatizzati senza operatore, utilizzo dei social network) e strumenti tradizionali (posta cartacea, telefono con operatore).

    Condivisione con altre societàVedi tutto

    La comunicazione dei Suoi dati personali a società con le quali il Titolare abbia stipulato accordi commerciali e/o convenzioni, appartenenti alle seguenti categorie: professionisti, società o enti di comunicazione e marketing; professionisti, società o enti operanti in ambito legale, tributario/fiscale, finanziario, contabile/amministrativo, assicurativo, formativo, informatico/tecnologico; professionisti, società o enti operanti in ambito socio-umanitario; professionisti, società o enti operanti in ambito immobiliare e in ambiti correlati; professionisti, società o enti operanti nel settore delle produzioni televisive e cinematografiche; professionisti, società o enti del settore sanitario, medicale/farmaceutico e fornitori di servizi per la persona e per il tempo libero, per loro finalità di marketing diretto attraverso strumenti automatizzati o strumenti tradizionali.

    Finalità scientifiche e statisticheVedi tutto

    Lo svolgimento di indagini statistico-scientifiche relative al mondo medico-sanitario ed al benessere dei cittadini.

    ProfilazioneVedi tutto

    Lo svolgimento di attività di profilazione volte a migliorare la qualità dei servizi erogati e l’adeguatezza delle comunicazioni commerciali alle Sue preferenze.