L’Avvocato Generale della Corte di Giustizia UE (J. R. De La Tour) nelle proprie conclusioni rese nella causa C-203/22 si è espresso in un caso di credit scoring, con particolare attenzione alle modalità con cui le aziende che utilizzano l’intelligenza artificiale (IA) possano bilanciare la trasparenza con la protezione dei segreti commerciali, rispettando al contempo i requisiti del GDPR.
Nel caso all’esame della Corte, ad un cittadino era stato negato un contratto di telefonia mobile a seguito di un controllo del credito (credit scoring) automatizzato condotto da un’azienda terza, che aveva portato ad una decisione completamente automatizzata, senza alcun intervento umano.
Nonostante lo stesso cittadino avesse tentato di comprendere come fossero stati trattati i suoi dati personali e la logica alla base della decisione automatizzata che l’aveva riguardato, l’azienda si era rifiutata di rivelare i dettagli, adducendo che il proprio algoritmo era tutelato dalla Direttiva (UE) 2016/943, in quanto segreto commerciale.
Il diritto alla trasparenza nel credit scoring automatizzato
Ai sensi dell’art. 22 del GDPR, le persone hanno il diritto di non essere sottoposte a decisioni basate esclusivamente sul trattamento automatizzato, compresa la profilazione, qualora tali decisioni abbiano implicazioni legali o personali significative.
Inoltre, l’art.15, paragrafo 1, lettera h), del GDPR garantisce alle persone il diritto a “informazioni significative” sulla logica alla base delle decisioni automatizzate che le riguardano.
La trasparenza non è facoltativa: le persone devono ricevere informazioni sufficienti per capire come vengono trattati i loro dati personali e come vengono prese le decisioni guidate dall’IA.
Il parere dell’Avvocato generale ha dunque chiarito che ciò non significa necessariamente divulgare tutti i dettagli tecnici di un algoritmo, ma piuttosto fornire informazioni chiare e comprensibili sul funzionamento dell’IA.
L’Avvocato Generale richiama testualmente e aderisce alle conclusioni presentate nella causa che ha dato luogo alla sentenza SCHUFA Holding e a. (Scoring), per cui l’art. 15, paragrafo 1, lettera h) GDPR dovesse essere interpretato nel senso che esso copre, in linea di principio, anche il metodo di calcolo utilizzato da un’agenzia di valutazione del credito per calcolare un punteggio di scoring, salvo che vi siano interessi contrastanti degni di tutela.
Si era quindi affermato che, pur volendo garantire un giusto equilibrio tra i diritti e gli interessi divergenti in gioco, il legislatore dell’Unione avrebbe inteso assicurare che un minimo di informazione sia in ogni caso fornita al fine di non compromettere il contenuto essenziale del diritto alla protezione dei dati personali: conseguentemente, in base a quanto esplicitato l’avvocato generale della sentenza SCHUFA, se la protezione del segreto industriale e aziendale o della proprietà intellettuale rappresenta, in linea di principio, per un’agenzia di valutazione del credito, una ragione legittima per rifiutarsi di rivelare l’algoritmo utilizzato ai fini del calcolo del credit scoring dell’interessato, essa non può invece affatto giustificare un rifiuto tout court delle informazioni.
Il reale obiettivo dell’art. 15 citato consiste infatti nel garantire che l’interessato ottenga le informazioni in maniera comprensibile e accessibile, in linea con le sue esigenze: già tali requisiti, pertanto, escludono un eventuale obbligo di divulgare l’algoritmo, tenuto conto della sua complessità, poiché la divulgazione di una formula particolarmente complessa sarebbe di dubbia utilità, in mancanza delle necessarie spiegazioni.
Pertanto, l’obbligo di fornire “informazioni significative sulla logica utilizzata” deve essere inteso nel senso che impone spiegazioni sufficientemente dettagliate sul metodo utilizzato per il calcolo del punteggio e le ragioni che hanno portato a un determinato risultato: il titolare del trattamento dovrebbe fornire all’interessato informazioni generali, in particolare, sui fattori presi in considerazione ai fini del processo decisionale e sulla loro rispettiva rilevanza a livello aggregato, anch’esse utili a consentirgli di contestare qualsiasi “decisione” ai sensi dell’art. 22, paragrafo 1 GDPR.
Segreti commerciali e IA
Molte aziende che utilizzano l’IA considerano i loro algoritmi come segreti commerciali proprietari che conferiscono loro un vantaggio competitivo.
Il parere dell’avvocato generale della Corte di giustizia riconosce l’importanza di proteggere i segreti commerciali, ma sottolinea pertanto che i segreti commerciali non possono essere utilizzati come uno scudo onnicomprensivo per evitare gli obblighi di trasparenza previsti dal GDPR.
L’Avvocato generale ha quindi suggerito che le aziende devono trovare un bilanciamento:
- dovrebbero fornire spiegazioni generali sul funzionamento dei loro sistemi di IA senza divulgare algoritmi proprietari dettagliati
- le autorità di regolamentazione o i tribunali possono intervenire per garantire che le aziende forniscano sufficiente trasparenza, proteggendo al contempo la proprietà intellettuale.
Questa, testualmente, l’interpretazione dell’art. 15, paragrafo 1, lettera h), GDPR suggerita dall’Avvocato generale alla Corte:
– quando un interessato è sottoposto a un processo decisionale automatizzato, compresa la profilazione, di cui all’articolo 22 del regolamento 2016/679, le «informazioni significative sulla logica utilizzata» nell’ambito di detto processo decisionale automatizzato cui tale persona ha diritto di accedere vertono sul metodo e sui criteri utilizzati a tal fine dal titolare del trattamento;
– dette informazioni devono consentire all’interessato di esercitare i diritti che gli sono garantiti dal regolamento 2016/679 e, in particolare, da detto articolo 22. Esse devono quindi essere concise, facilmente accessibili e di facile comprensione, e formulate in un linguaggio semplice e chiaro. Inoltre, esse devono essere sufficientemente complete e contestualizzate da consentire a detta persona di verificarne l’esattezza e se esista una coerenza e un nesso di causalità oggettivamente verificabile tra, da un lato, il metodo e i criteri utilizzati e, dall’altro, il risultato cui è pervenuta la decisione automatizzata di cui trattasi;
– per contro, il titolare del trattamento non è tenuto a divulgare all’interessato informazioni che, in ragione del loro carattere tecnico, presentano un livello di complessità tale da non poter essere comprese dalle persone che non dispongono di una competenza tecnica particolare, il che consente di escludere la comunicazione degli algoritmi utilizzati nell’ambito del processo decisionale automatizzato;
– quando le informazioni che devono essere fornite all’interessato in forza del diritto di accesso garantito dall’articolo 15, paragrafo 1, lettera h), del regolamento 2016/679 possono comportare una lesione dei diritti e delle libertà altrui, segnatamente perché contengono dati personali di terzi tutelati da detto regolamento o un segreto commerciale, ai sensi dell’articolo 2, paragrafo 1, punto 1, della direttiva (UE) 2016/943 del Parlamento europeo e del Consiglio, dell’8 giugno 2016, sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti, dette informazioni devono essere comunicate all’autorità di controllo o all’organo giurisdizionale competenti affinché questi ultimi possano ponderare, con piena cognizione di causa e nel rispetto del principio di proporzionalità e della riservatezza di dette informazioni, gli interessi in gioco e stabilire la portata del diritto di accesso che deve essere riconosciuto a tale persona.