Nei processi di valutazione automatizzata del merito creditizio, bisogna spiegare all’interessato come è stata adottata la decisione nei suoi confronti per permettergli di comprendere ed eventualmente contestare la decisione.
Nel contesto della valutazione automatizzata del merito creditizio, il diritto dell'interessato di ricevere spiegazioni riguardo alle decisioni prese a suo carico è essenziale. Una recente controversia in Austria ha messo in luce l'importanza della trasparenza nel processo decisionale automatizzato. Nel caso di specie, un'azienda di telefonia mobile aveva negato ad una cliente la possibilità di stipulare un contratto invocando motivi di solvibilità, basandosi su una valutazione automatizzata del merito creditizio effettuata da una società austriaca leader nella Business Information. Tuttavia, il giudice di merito chiamato a pronunciarsi aveva chiarito che l'azienda aveva violato il GDPR , poiché non aveva fornito alla cliente le dovute informazioni sulla logica utilizzata nel processo decisionale automatizzato. In particolare, non era stato rispettato il requisito di trasparenza e intelligibilità richiesto dalle normative vigenti. Secondo la Corte, in tali ipotesi, è necessario che il titolare del trattamento descriva chiaramente la procedura e i principi applicati nel processo decisionale automatizzato, consentendo all'interessato di comprendere l'utilizzo dei suoi dati personali e in che modo essi possano incidere sulle decisioni . Inoltre, è stato sottolineato che la semplice comunicazione di un algoritmo non è sufficiente per garantire trasparenza ed è fondamentale fornire spiegazioni chiare e comprensibili sulla logica decisionale. Nel caso in cui l'azienda ritenga che alcune informazioni contengano dati protetti di terzi o segreti commerciali, è obbligatorio comunicarli all'autorità di controllo o al giudice competente per valutare l' equilibrio tra i diritti dell'interessato e la tutela di tali dati sensibili . In definitiva, la trasparenza e la corretta gestione delle informazioni risulta essenziale per garantire la correttezza e l'equità nei processi decisionali automatizzati, proteggendo allo stesso tempo i diritti degli interessati e gli interessi delle parti coinvolte .
Sentenza 1 La domanda di pronuncia pregiudiziale verte sull'interpretazione, da un lato, dell'articolo 15, paragrafo 1, lettera h , e dell'articolo 22 del regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE regolamento generale sulla protezione dei dati GU 2016, L 119, pag. 1, in prosieguo il «RGPD» , e, dall'altro, dell'articolo 2, punto 1, della direttiva UE 2016/943 del Parlamento europeo e del Consiglio, dell'8 giugno 2016, sulla protezione del know-how riservato e delle informazioni commerciali riservate segreti commerciali contro l'acquisizione, l'utilizzo e la divulgazione illeciti GU 2016, L 157, pag. 1 . 2 Tale domanda è stata presentata nell'ambito di una controversia tra CK e il Magistrat der Stadt Wien amministrazione comunale della città di Vienna, Austria in merito all'esecuzione forzata di una decisione giurisdizionale che ingiungeva alla Bisnode Austria GmbH, divenuta Dun & Bradstreet Austria GmbH in prosieguo la «D & B» , un'impresa specializzata in valutazioni creditizie, di fornire a CK informazioni significative sulla logica utilizzata nella profilazione relativa ai suoi dati personali. Contesto normativo Diritto dell'Unione RGPD 3 I considerando 4, 11, 58, 63 e 71 del RGPD così recitano « 4 Il trattamento dei dati personali dovrebbe essere al servizio dell'uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta dei diritti fondamentali dell'Unione europea in prosieguo la “Carta” , sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d'informazione, la libertà d'impresa, il diritto a un ricorso effettivo e a un giudice imparziale e la diversità culturale, religiosa e linguistica. « 11 Un'efficace protezione dei dati personali in tutta l'Unione [europea] presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, nonché poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri. 58 Il principio della trasparenza impone che le informazioni destinate al pubblico o all'interessato siano concise, facilmente accessibili e di facile comprensione e che sia usato un linguaggio semplice e chiaro, oltre che, se del caso, una visualizzazione. 63 Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che l[o] riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità. Tale diritto non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d'autore che tutelano il software. Tuttavia, tali considerazioni non dovrebbero condurre a un diniego a fornire all'interessato tutte le informazioni. 71 L'interessato dovrebbe avere il diritto di non essere sottoposto a una decisione, che possa includere una misura, che valuti aspetti personali che lo riguardano, che sia basata unicamente su un trattamento automatizzato e che produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona, quali il rifiuto automatico di una domanda di credito online o pratiche di assunzione elettronica senza interventi umani. Tale trattamento comprende la “profilazione”, che consiste in una forma di trattamento automatizzato dei dati personali che valuta aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato, ove ciò produca effetti giuridici che l[o] riguardano o incida in modo analogo significativamente sulla sua persona. In ogni caso, tale trattamento dovrebbe essere subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all'interessato e il diritto di ottenere l'intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione. ». 4 L'articolo 4, punto 4, di tale regolamento, intitolato «Definizioni», prevede quanto segue «Ai fini del presente regolamento s'intende per 4 “profilazione” qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica». 5 L'articolo 12 di detto regolamento, intitolato «Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diritti dell'interessato», al paragrafo 1 così dispone «Il titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all'articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. ». 6 L'articolo 13 del medesimo regolamento, che riguarda le informazioni da fornire qualora i dati personali siano raccolti presso l'interessato, e l'articolo 14, che riguarda le informazioni da fornire qualora i dati personali non siano stati ottenuti presso l'interessato, prevedono, rispettivamente, ai paragrafi 2, lettera f e 2, lettera g , che il titolare del trattamento sia tenuto a fornire all'interessato, per garantire un trattamento corretto e trasparente nei confronti di quest'ultimo, in particolare, informazioni sull'«esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato». 7 L'articolo 15 del RGPD, intitolato «Diritto di accesso dell'interessato», è così formulato «1. L'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni h l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato. 3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall'interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l'interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell'interessato, le informazioni sono fornite in un formato elettronico di uso comune. 4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui». 8 L'articolo 22 di tale regolamento, intitolato «Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione», enuncia quanto segue «1. L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. 2. Il paragrafo 1 non si applica nel caso in cui la decisione a sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento b sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato c si basi sul consenso esplicito dell'interessato. 3. Nei casi di cui al paragrafo 2, lettere a e c , il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, almeno il diritto di ottenere l'intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione. 4. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, a meno che non sia d'applicazione l'articolo 9, paragrafo 2, lettere a o g , e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato». 9 Ai sensi dell'articolo 23 di detto regolamento, intitolato «Limitazioni» «1. Il diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui agli articoli da 12 a 22 e 34, nonché all'articolo 5, nella misura in cui le disposizioni ivi contenute corrispondano ai diritti e agli obblighi di cui agli articoli da 12 a 22, qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare i la tutela dell'interessato o dei diritti e delle libertà altrui 2. In particolare qualsiasi misura legislativa di cui al paragrafo 1 contiene disposizioni specifiche riguardanti almeno, se del caso a le finalità del trattamento o le categorie di trattamento b le categorie di dati personali c la portata delle limitazioni introdotte d le garanzie per prevenire abusi o l'accesso o il trasferimento illeciti e l'indicazione precisa del titolare del trattamento o delle categorie di titolari f i periodi di conservazione e le garanzie applicabili tenuto conto della natura, dell'ambito di applicazione e delle finalità del trattamento o delle categorie di trattamento g i rischi per i diritti e le libertà degli interessati e h il diritto degli interessati di essere informati della limitazione, a meno che ciò possa compromettere la finalità della stessa». 10 L'articolo 54 del medesimo regolamento, intitolato «Norme sull'istituzione dell'autorità di controllo», al paragrafo 2 così dispone «Il membro o i membri e il personale di ogni autorità di controllo sono tenuti, in virtù del diritto dell'Unione o degli Stati membri, al segreto professionale in merito alle informazioni riservate cui hanno avuto accesso nell'esecuzione dei loro compiti o nell'esercizio dei loro poteri, sia durante che dopo il mandato. Per tutta la durata del loro mandato, tale obbligo del segreto professionale si applica in particolare alle segnalazioni da parte di persone fisiche di violazioni del presente regolamento». 11 L'articolo 58 del RGPD, intitolato «Poteri», al paragrafo 1, lettera e prevede quanto segue Ogni autorità di controllo ha tutti i poteri di indagine seguenti e ottenere, dal titolare del trattamento o dal responsabile del trattamento, l'accesso a tutti i dati personali e a tutte le informazioni necessarie per l'esecuzione dei suoi compiti». Direttiva 2016/943 12 Il considerando 35 della direttiva 2016/943 così recita « La presente direttiva non dovrebbe pregiudicare i diritti e gli obblighi stabiliti dalla direttiva 95/46/CE [del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati], in particolare i diritti dell'interessato di accedere ai suoi dati personali che sono oggetto di trattamento e di ottenere la rettifica, la cancellazione o il congelamento dei dati incompleti o inesatti ». 13 L'articolo 2, punto 1, di tale direttiva prevede quanto segue «Ai fini della presente direttiva si intende per 1 “segreto commerciale”, informazioni che soddisfano tutti i seguenti requisiti a sono segrete nel senso che non sono, nel loro insieme o nella precisa configurazione e combinazione dei loro elementi, generalmente note o facilmente accessibili a persone che normalmente si occupano del tipo di informazioni in questione b hanno valore commerciale in quanto segrete c sono state sottoposte a misure ragionevoli, secondo le circostanze, da parte della persona al cui legittimo controllo sono soggette, a mantenerle segrete». 14 L'articolo 9 di detta direttiva, intitolato «Tutela della riservatezza dei segreti commerciali nel corso dei procedimenti giudiziari», così dispone «1. Gli Stati membri assicurano che le parti, i loro avvocati o altri rappresentanti, il personale giudiziario, i testimoni, gli esperti e tutte le altre persone che partecipano ai procedimenti giudiziari in materia di acquisizione, utilizzo o divulgazione illeciti di un segreto commerciale, o che hanno accesso alla relativa documentazione processuale, non siano autorizzati a utilizzare né a rivelare alcun segreto commerciale o presunto segreto commerciale che le competenti autorità giudiziarie, in risposta ad una richiesta debitamente motivata della parte interessata, abbiano indicato come riservato e di cui siano venuti a conoscenza a seguito della partecipazione al procedimento o dell'accesso a detta documentazione. Gli Stati membri possono inoltre consentire alle competenti autorità giudiziarie di adottare siffatte misure di propria iniziativa. L'obbligo di cui al primo comma resta in vigore dopo la conclusione del procedimento giudiziario. Tuttavia, tale obbligo viene meno in uno qualsiasi dei casi seguenti a se una decisione definitiva ha accertato che il presunto segreto commerciale non soddisfa i requisiti di cui all'articolo 2, punto 1 o b se, nel tempo, le informazioni in questione diventano generalmente note o facilmente accessibili a persone che normalmente si occupano di questo tipo di informazioni. 2. Gli Stati membri garantiscono inoltre che le competenti autorità giudiziarie possano, su richiesta debitamente motivata di una delle parti, adottare le misure specifiche necessarie a tutelare la riservatezza di qualunque segreto commerciale o presunto segreto commerciale utilizzato o menzionato nel corso dei procedimenti giudiziari concernenti l'acquisizione, l'utilizzo o la divulgazione illeciti di un segreto commerciale. Gli Stati membri possono inoltre consentire alle competenti autorità giudiziarie di adottare tali misure di propria iniziativa. Le misure di cui al primo comma prevedono almeno la possibilità di a limitare l'accesso, totale o parziale, a qualsiasi documento contenente segreti commerciali o presunti segreti commerciali prodotto dalle parti o da terzi, ad un numero ristretto di persone b limitare l'accesso alle udienze e alle relative registrazioni o trascrizioni, quando sussiste la possibilità di divulgazione di segreti commerciali o presunti segreti commerciali, ad un numero ristretto di persone c rendere disponibili, a qualsiasi persona diversa da quelle incluse nel numero ristretto di persone di cui alle lettere a e b , le decisioni giudiziarie in una versione non riservata, nella quale i punti contenenti segreti commerciali siano stati eliminati o oscurati. Il numero di persone di cui al secondo comma, lettere a e b , non è superiore a quanto necessario al fine di assicurare il rispetto del diritto delle parti del procedimento giudiziario a una tutela effettiva e a un processo equo e comprende almeno una persona fisica di ciascuna parte in causa, nonché i rispettivi avvocati o altri rappresentanti di tali parti del procedimento giudiziario. 3. Nel decidere le misure di cui al paragrafo 2 e nel valutare la loro proporzionalità, le competenti autorità giudiziarie tengono conto della necessità di assicurare il diritto a una tutela effettiva e a un processo equo, dei legittimi interessi delle parti e, se del caso, di terzi, nonché dei potenziali danni a carico di una delle parti e, se del caso, di terzi, derivanti dall'accoglimento o dal rigetto di tali misure. 4. Qualsiasi trattamento di dati personali di cui ai paragrafi 1, 2 o 3 è effettuato in conformità della [direttiva 95/46]». Diritto austriaco 15 L'articolo 4, paragrafo 6, del Datenschutzgesetz legge sulla protezione dei dati , del 17 agosto 1999 BGBl. I, 165/1999 , nella versione applicabile al procedimento principale in prosieguo il «DSG» , esclude, di regola, l'accesso dell'interessato ai suoi dati personali, previsto all'articolo 15 del RGPD, qualora tale accesso esponga a rischio un segreto commerciale o aziendale del titolare del trattamento o di terzi. Procedimento principale e questioni pregiudiziali 16 A CK è stata negata, da parte di un operatore di telefonia mobile, la conclusione o la proroga di un contratto di telefonia mobile, che avrebbe comportato il pagamento mensile di dieci euro, adducendo che, in base a una valutazione automatizzata della sua qualità creditizia effettuata dalla D & B, non aveva una sufficiente solvibilità finanziaria. 17 CK ha adito l'autorità austriaca per la protezione dei dati, la quale ha ingiunto alla D & B di comunicare a CK informazioni significative sulla logica utilizzata nel processo decisionale automatizzato basato sui dati personali relativi a CK. 18 La D & B ha proposto ricorso avverso la decisione di tale autorità dinanzi al Bundesverwaltungsgericht Corte amministrativa federale, Austria , sostenendo, in sostanza, che, a causa di un segreto commerciale protetto, non era tenuta a fornire a CK alcuna informazione in aggiunta a quelle che le erano già state fornite. 19 Con decisione del 23 ottobre 2019 in prosieguo la «decisione del 23 ottobre 2019 », tale giudice ha dichiarato che la D & B aveva violato l'articolo 15, paragrafo 1, lettera h , del RGPD, non fornendo a CK informazioni significative sulla logica utilizzata nell'ambito del processo decisionale automatizzato fondato sui dati personali relativi a CK, o, quantomeno, non motivando adeguatamente l'impossibilità a farlo. 20 In particolare, in tale decisione, il Bundesverwaltungsgericht Corte amministrativa federale ha rilevato che la D & B non aveva fornito spiegazioni sufficienti che le consentissero di comprendere come fosse stato stabilito, a suo riguardo, il pronostico sulla probabilità della sua condotta futura «score» , che tale impresa le ha comunicato con la precisazione che, per ottenere tale «score», taluni dati socio-demografici di CK erano stati «aggregati in modo equivalente». 21 La decisione del 23 ottobre 2019 è divenuta definitiva ed è esecutiva in virtù del diritto austriaco. Tuttavia, la domanda di esecuzione forzata di tale decisione, presentata da CK all'amministrazione comunale della città di Vienna, che è l'autorità esecutiva, è stata respinta con la motivazione che la D & B aveva sufficientemente adempiuto all'obbligo di informazione, anche se non aveva fornito ulteriori informazioni dopo l'adozione della stessa decisione. 22 CK ha proposto ricorso avverso la decisione dell'amministrazione comunale della città di Vienna dinanzi al Verwaltungsgericht Wien Tribunale amministrativo di Vienna, Austria , giudice del rinvio, per dare esecuzione forzata alla decisione del 23 ottobre 2019. 23 Il giudice del rinvio ritiene di essere obbligato, in base al diritto austriaco, a dare esecuzione a quest'ultima decisione, il che implicherebbe la determinazione degli atti specifici che la D & B è tenuta a compiere in base a tale decisione. 24 Reputando che tale determinazione potesse essere effettuata solo da un perito con le competenze richieste, il giudice del rinvio ha nominato un perito a detta del quale la D & B è tenuta a fornire le seguenti informazioni minime per adempiere ai suoi obblighi nei confronti di CK – i dati personali di CK trattati nella costituzione di un «fattore» data di nascita, indirizzo, sesso, ecc. – la formula matematica alla base del calcolo che ha portato allo «score» controverso nel procedimento principale – il valore concreto attribuito a CK per ciascuno dei fattori pertinenti, e – la precisazione degli intervalli entro i quali lo stesso valore è attribuito a dati diversi per lo stesso fattore stima intervallare o stima discreta o indicizzata/catastale . 25 Per garantire che, dopo la loro comunicazione, l'accuratezza di queste informazioni minime possa essere verificata da CK, la D & B dovrebbe anche fornire un elenco degli «scores» di persone «scoring» per i sei mesi precedenti e i sei mesi successivi all'attribuzione dello «score» di CK e che sono stati ottenuti sulla base della stessa regola di calcolo. 26 Secondo il giudice del rinvio, solo la comunicazione delle informazioni minime individuate da detto perito consentirebbe di verificare la coerenza e l'accuratezza delle informazioni fornite dal titolare del trattamento ai sensi dell'articolo 15, paragrafo 1, lettera h , del RGPD. 27 Nel caso di specie, diverse indicazioni mostrerebbero chiaramente che le informazioni fornite dalla D & B non sono veritiere. Infatti, mentre le informazioni comunicate a CK, tra cui in particolare lo « score » ottenuto, attestavano la sua ottima solvibilità, la profilazione effettiva avrebbe portato a ritenere che costei non fosse solvibile, anche per il pagamento di dieci euro mensili in base a un contratto di telefonia mobile. 28 Il giudice del rinvio ritiene che si ponga quindi la questione se l'articolo 15, paragrafo 1, lettera h , del RGPD garantisca all'interessato la possibilità di verificare la correttezza delle informazioni fornite dal titolare del trattamento. 29 Se l'articolo 15, paragrafo 1, lettera h , del RGPD non garantisse tale verifica, il diritto di accesso ai dati personali dell'interessato e ad altre informazioni ivi previsto sarebbe reso privo di senso e inutile, tanto più che ciascun titolare potrebbe in tal caso essere capace di fornire informazioni errate. 30 Si porrebbe altresì la questione se, ed eventualmente in che misura, l'eccezione basata sull'esistenza di un segreto commerciale sia tale da limitare il diritto di accesso garantito dal combinato disposto dell'articolo 15, paragrafo 1, lettera h , e dell'articolo 22 del RGPD. 31 Alla luce delle regole previste all'articolo 9 della direttiva 2016/943, occorrerebbe valutare se sia ipotizzabile comunicare solo all'autorità o al giudice adito le informazioni classificate come «segreti commerciali», ai sensi dell'articolo 2, punto 1, di detta direttiva, affinché tale autorità o tale giudice verifichi autonomamente se vi siano motivi per ritenere che esista effettivamente un simile segreto commerciale e se tali informazioni fornite dal titolare del trattamento, ai sensi dell'articolo 15, paragrafo 1, del RGPD, siano veritiere. 32 Infine, occorrerebbe esaminare se una disposizione come l'articolo 4, paragrafo 6, del DSG, che esclude, di regola, il diritto di accesso dell'interessato, previsto all'articolo 15 del RGPD, qualora tale accesso esponga a rischio un segreto commerciale o aziendale del titolare del trattamento o di terzi, possa essere considerata conforme al combinato disposto dell'articolo 15, paragrafo 1, e dell'articolo 22, paragrafo 3, del RGPD. 33 Date tali circostanze, il Verwaltungsgericht Wien Tribunale amministrativo di Vienna ha deciso di sospendere il procedimento e di sottoporre alla Corte le seguenti questioni pregiudiziali «1 Quali siano i requisiti sostanziali che devono essere soddisfatti dalle informazioni fornite per essere qualificate sufficientemente “significative” ai sensi dell'articolo 15, paragrafo 1, lettera h , del [RGPD]. Se, in caso di profilazione, il titolare del trattamento debba comunicare – pur nel rispetto di un segreto aziendale preesistente – nell'ambito delle informazioni inerenti alla “logica utilizzata”, in linea di principio, le informazioni essenziali per consentire la comprensione dell'esito della decisione automatizzata nel singolo caso, incluse, in particolare 1 la comunicazione dei dati dell'interessato oggetto del trattamento 2 la divulgazione delle parti dell'algoritmo alla base della profilazione, le quali sono necessarie ai fini della sua comprensibilità e 3 le informazioni rilevanti per stabilire la correlazione tra l'informazione oggetto di trattamento e la valutazione che ne è risultata. Se, nei casi aventi ad oggetto una profilazione, all'avente diritto all'accesso ai sensi dell'articolo 15, paragrafo 1, lettera h , del [RGPD] debbano essere fornite, anche nell'ipotesi in cui venga eccepita l'esistenza di un segreto aziendale, almeno le seguenti informazioni sullo specifico trattamento che lo riguarda per consentirgli di esercitare i diritti a lui conferiti dall'articolo 22, paragrafo 3 del medesimo regolamento a [la] trasmissione di tutte le informazioni, eventualmente pseudo-anonimizzate, riguardanti, in particolare, la modalità del trattamento dei dati dell'interessato, che permettono di verificare il rispetto del [RGPD] b [la] messa a disposizione dei dati utilizzati per la creazione del profilo c i parametri e i valori in ingresso utilizzati per pervenire alla valutazione, d l'influenza di detti parametri e delle variabili in ingresso sul calcolo della valutazione, e informazioni sull'origine dei parametri o delle variabili in ingresso, f [la] spiegazione del motivo per cui all'avente diritto all'accesso ai sensi dell'articolo 15, paragrafo 1, lettera h , del [RGPD] viene assegnato uno specifico punteggio e [il] chiarimento del significato associato a detto punteggio, [nonché] g [l']elenco delle categorie di profili e [la] spiegazione della valutazione associata a ciascuna di dette categorie. 2 Se il diritto di accesso conferito dall'articolo 15, paragrafo 1, lettera h , del [RGPD] sia correlato ai diritti garantiti dall'articolo 22, paragrafo 3, del [RGPD], di esprimere la propria opinione e di contestare una decisione automatizzata ai sensi dell'articolo 22 dello stesso regolamento, nella misura in cui la portata delle informazioni da fornire a seguito della richiesta di accesso di cui all'articolo 15, paragrafo 1, lettera h , del medesimo regolamento è sufficientemente “significativa” solo qualora il soggetto richiedente l'accesso nonché interessato ai sensi di tale ultima disposizione venga messo in condizione di esercitare in maniera effettiva, articolata e prevedibilmente utile i diritti, garantiti dal summenzionato articolo 22, paragrafo 3, di esprimere la propria opinione e di contestare la decisione automatizzata che lo riguarda, in base all'articolo 22 del regolamento in parola. 3 a Se l'articolo 15, paragrafo 1, lettera h , del [RGPD] debba essere interpretato nel senso che può ritenersi esistente una “informazione significativa” ai sensi di tale disposizione solo nel caso in cui tale informazione sia talmente ampia da consentire al soggetto avente diritto all'accesso in base alla disposizione menzionata di stabilire se l'informazione fornita sia altresì veritiera, vale a dire se le informazioni comunicate costituiscano anche sotto il profilo fattuale il fondamento della decisione automatizzata specificamente richiesta b In caso di risposta affermativa in qual modo debba procedersi laddove la correttezza delle informazioni fornite dal titolare del trattamento possa essere verificata unicamente nel caso in cui all'avente diritto all'accesso ai sensi dell'articolo 15, paragrafo 1, lettera h , del [RGPD] vengano rivelati anche dati di terzi protetti da detto regolamento black box . Se il contrasto esistente tra il diritto all'accesso di cui all'articolo 15, paragrafo 1, del [RGPD] e il diritto dei terzi alla protezione dei dati possa essere risolto anche comunicando i dati di terzi, necessari ai fini del controllo di correttezza e del pari sottoposti alla stessa profilazione, esclusivamente all'autorità amministrativa o al giudice, con la conseguenza che questi ultimi saranno chiamati a verificare autonomamente se i dati comunicati di tali terze persone siano veritieri. c In caso di risposta affermativa quali diritti debbano essere comunque riconosciuti all'avente diritto all'accesso ai sensi dell'articolo 15, paragrafo 1, lettera h , del [RGPD] laddove sia necessario garantire la protezione dei diritti di terzi ai sensi del successivo paragrafo 4, tramite la creazione della black box menzionata alla terza questione sub b . Se, nel caso in esame, i dati di altre persone, che il titolare del trattamento di cui all'articolo 15, paragrafo 1, del [RGPD] è tenuto a comunicare all'avente diritto all'accesso al fine di consentire il controllo di correttezza del processo decisionale ai sensi dell'articolo 15, paragrafo 1, lettera h , del medesimo regolamento, debbano essere in ogni caso comunicati in forma pseudo-anonimizzata. 4 a In qual modo debba procedersi laddove le informazioni da fornire soddisfino anche i requisiti di un segreto commerciale ai sensi dell'articolo 2, punto 1, della direttiva [2016/943]. Se il contrasto tra il diritto di accesso garantito dall'articolo 15, paragrafo 1, lettera h , del [RGPD] e il diritto alla non divulgazione di un segreto commerciale protetto dalla direttiva know-how possa essere risolto attraverso la comunicazione delle informazioni classificabili come segreto commerciale ai sensi dell'articolo 2, paragrafo 1, della direttiva [2016/943] esclusivamente all'autorità amministrativa o al giudice, con la conseguenza che questi ultimi saranno chiamati a verificare autonomamente l'eventuale esistenza di un segreto commerciale ai sensi di detta disposizione e se le informazioni fornite dal titolare del trattamento ai sensi dell'articolo 15, paragrafo 1, del suddetto regolamento siano veritiere. b In caso di risposta affermativa quali diritti debbano essere comunque concessi all'avente diritto all'accesso di cui all'articolo 15, paragrafo 1, lettera h , del [RGPD] laddove sia necessario garantire la protezione dei diritti di terzi ai sensi dell'articolo 15, paragrafo 4, del medesimo regolamento tramite la creazione della black box menzionata alla quarta questione sub a . Se anche in una simile ipotesi di diversità delle informazioni da comunicare all'autorità amministrativa o, rispettivamente, al giudice e quelle da fornire ai sensi all'articolo 15, paragrafo 1, lettera h , del [RGPD] all'avente diritto all'accesso, quest'ultimo debba comunque ricevere, nei casi che abbiano ad oggetto una profilazione, le seguenti informazioni relative al trattamento specifico che lo riguarda al fine di consentirgli la piena salvaguardia dei diritti a lui conferiti dall'articolo 22, paragrafo 3, del suddetto regolamento – [la] trasmissione di tutte le informazioni, eventualmente pseudo-anonimizzate, riguardanti, in particolare, la modalità del trattamento dei dati dell'interessato, che permettono di verificare il rispetto del [RGPD] – messa a disposizione dei dati utilizzati per la creazione del profilo, – i parametri e i valori in ingresso utilizzati per pervenire alla valutazione, – l'influenza di detti parametri e delle variabili in ingresso sul calcolo della valutazione, – informazioni sull'origine dei parametri o delle variabili in ingresso, – spiegazione del motivo per cui l'avente diritto all'accesso ai sensi dell'articolo 15, paragrafo 1, lettera h , del regolamento generale sulla protezione dei dati RGPD viene assegnato ad uno specifico punteggio e chiarimento del significato associato a detto punteggio, – elenco delle categorie di profili e spiegazione della valutazione associata a ciascuna di dette categorie. 5 Se la disposizione dell'articolo 15, paragrafo 4, del [RGPD] limiti in qualche modo la portata dell'accesso da fornire ai sensi dell'articolo 15, paragrafo 1, lettera h , del medesimo regolamento. In caso di risposta affermativa, in quale maniera detto diritto all'accesso venga limitato dall'articolo 15, paragrafo 4, del [RGPD], e come possa determinarsi la portata di detta limitazione nel rispettivo caso. 6 Se la disposizione dell'articolo 4, paragrafo 6, [del DSG], secondo la quale “il diritto di accesso dell'interessato di cui all'articolo 15 del [RGPD] non sussiste, di regola, nei confronti di un titolare del trattamento, fatte salve altre limitazioni legali, qualora un siffatto accesso esponga a rischio un segreto commerciale o aziendale del titolare del trattamento o di terzi”, sia compatibile con i requisiti dell'articolo 15, paragrafo 1, in combinato disposto con l'articolo 22, paragrafo 3, del medesimo regolamento. In caso di risposta affermativa, a quali condizioni sia assoggettata una tale compatibilità». Procedimento dinanzi alla Corte 34 Con decisione dell'8 dicembre 2022, il presidente della Corte ha sospeso il presente procedimento in attesa della pronuncia definitiva nella causa C‑634/21, SCHUFA Holding e a. Scoring . 35 Conformemente alla decisione del presidente della Corte del 13 dicembre 2023, la cancelleria della Corte ha notificato al giudice del rinvio la sentenza del 7 dicembre 2023, SCHUFA Holding e a. Scoring C‑634/21, EU C 2023 957 , invitandolo a comunicargli se, tenuto conto di tale sentenza, intendesse mantenere la sua domanda di pronuncia pregiudiziale. 36 Con lettera pervenuta alla cancelleria della Corte il 29 gennaio 2024, tale giudice ha fatto presente di voler mantenere la sua domanda di pronuncia pregiudiziale, dal momento che la sentenza del 7 dicembre 2023, SCHUFA Holding e a. Scoring C‑634/21, EU C 2023 957 non forniva una risposta alle domande da esso sollevate nella presente causa. 37 Con decisione del 14 febbraio 2024, il presidente della Corte ha quindi disposto la riapertura del procedimento nella presente causa. Sulle questioni pregiudiziali Sulla prima e sulla seconda questione e sulla terza questione, sub a 38 Con le questioni prima e seconda e con la terza questione, sub a , che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l'articolo 15, paragrafo 1, lettera h , del RGPD debba essere interpretato nel senso che, in caso di processo decisionale automatizzato, compresa la profilazione, ai sensi dell'articolo 22, paragrafo 1, di tale regolamento, l'interessato può pretendere dal titolare del trattamento, a titolo di «informazioni significative sulla logica utilizzata», una spiegazione esaustiva della procedura e dei principi concretamente applicati per usare, con mezzi automatizzati, i dati personali relativi a tale persona al fine di ottenerne un determinato risultato, quale un profilo di solvibilità. 39 Secondo costante giurisprudenza della Corte, al fine di interpretare una disposizione del diritto dell'Unione occorre tener conto non soltanto della sua formulazione, ma anche del contesto e degli obiettivi perseguiti dalla normativa di cui essa fa parte sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU C 2023 369, punto 19 e giurisprudenza citata . 40 Per quanto riguarda, anzitutto, la formulazione dell'articolo 15, paragrafo 1, lettera h , del RGPD, occorre rilevare, da un lato, che le accezioni del concetto di «informations utiles» [«informazioni significative»], ai sensi di tale disposizione, nelle varie versioni linguistiche di quest'ultima divergono, con alcune che privilegiano, al pari della versione in lingua francese, la funzionalità «nuttige» in lingua neerlandese, «úteis» in lingua portoghese o la pertinenza «pertinente» in lingua rumena delle informazioni da fornire, mentre altre insistono più sulla loro importanza «significativa» in lingua spagnola e «istotne» in lingua polacca . Infine, sia nella versione in lingua tedesca sia in quella in lingua inglese di detta disposizione, il termine utilizzato rispettivamente, «aussagekräftig» e «meaningful» può essere inteso sia nel senso che fa riferimento alla buona intelligibilità di dette informazioni sia nel senso che si riferisce ad una certa qualità di tali informazioni. 41 Ebbene, la diversità di accezioni utilizzate nelle varie versioni linguistiche deve essere intesa nel senso di una complementarità dei significati esposti al punto precedente, di cui occorre tener conto in sede di interpretazione del concetto di «informazioni significative sulla logica utilizzata», ai sensi dell'articolo 15, paragrafo 1, lettera h , del RGPD, come rilevato, in sostanza, dall'avvocato generale al paragrafo 65 delle sue conclusioni. 42 Dall'altro lato, vista la sua formulazione generale, il riferimento, in tale disposizione, alla «logica utilizzata» nel processo decisionale automatizzato, che costituisce l'oggetto di dette «informazioni significative», può coprire un ampio ventaglio di «logiche» di utilizzo di dati personali e di altri dati al fine di ottenerne, con mezzi automatizzati, un determinato risultato. Tale interpretazione è corroborata da alcune versioni linguistiche di detta disposizione che utilizzano termini che, in modo complementare, si riferiscono a diversi aspetti dell'accezione comune del concetto di «logica». Così, ad esempio, nelle versioni in lingua ceca e polacca, si fa riferimento, rispettivamente, ai termini «postupu» e «zasady», che possono essere tradotti con «procedura» e «principi». 43 Si deve quindi ritenere che la formulazione dell'articolo 15, paragrafo 1, lettera h , del RGPD riguardi qualsiasi informazione pertinente relativa alla procedura e ai principi di utilizzo, con mezzi automatizzati, di dati personali al fine di ottenerne un determinato risultato. 44 Per quanto riguarda, poi, il contesto in cui si inserisce il concetto di «informazioni significative sulla logica utilizzata», di cui all'articolo 15, paragrafo 1, lettera h del RGPD, occorre sottolineare, in primo luogo, che tali informazioni sono solo una parte di quelle oggetto del diritto di accesso previsto da tale articolo, che riguarda anche le informazioni relative all'importanza e alle conseguenze previste del trattamento controverso per l'interessato. 45 Sebbene queste ultime informazioni, che, secondo le linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento UE 2016/679, adottate il 3 ottobre 2017 dal gruppo di lavoro istituito dall'articolo 29 della direttiva 95/46, nella versione emendata e adottata il 6 febbraio 2018, per essere significative e comprensibili, dovrebbero essere corredate da «esempi reali e concreti», non siano oggetto delle questioni sollevate dal giudice del rinvio, occorre tuttavia tenerne conto quale elemento del contesto in cui si inserisce il concetto di «informazioni significative sulla logica utilizzata». 46 In secondo luogo, alla luce del fatto che il concetto di «informazioni significative sulla logica utilizzata» figura anche all'articolo 13, paragrafo 2, lettera f , e all'articolo 14, paragrafo 2, lettera g , del RGPD, la Corte ha già dichiarato che, nel caso di un processo decisionale automatizzato, ai sensi dell'articolo 22, paragrafo 1, di tale regolamento, il diritto di accesso a tali informazioni sancito all'articolo 15, paragrafo 1, lettera h , di quest'ultimo forma un tutt'uno con gli obblighi di informazione supplementari imposti al titolare del trattamento in virtù di tale articolo 13, paragrafo 2, lettera f , e di tale articolo 14, paragrafo 2, lettera g , del RGPD [v., in tal senso, sentenza del 7 dicembre 2023, SCHUFA Holding e a. Scoring , C‑634/21, EU C 2023 957, punto 56]. 47 In terzo luogo, come esposto, in sostanza, dall'avvocato generale ai paragrafi da 58 a 60 delle sue conclusioni, nell'interpretazione contestuale dei diritti di accesso previsti in caso di processo decisionale automatizzato, occorre tener conto della giurisprudenza della Corte relativa ai requisiti che il titolare del trattamento deve rispettare ai sensi dell'articolo 15, paragrafo 3, del RGPD. 48 Pertanto, occorre tener conto, in particolare, del fatto che il requisito di trasparenza delle informazioni comunicate, previsto all'articolo 12, paragrafo 1, del RGPD, si applica a tutti i dati e a tutte le informazioni di cui a detto articolo 15, compresi quelli collegati al processo decisionale automatizzato. 49 Al fine di garantire che l'interessato sia messo in grado di comprendere pienamente le informazioni che gli sono fornite dal titolare del trattamento, detto articolo 12, paragrafo 1, obbliga quest'ultimo ad adottare misure appropriate, in particolare per fornire all'interessato tali dati e informazioni in forma concisa, trasparente, comprensibile e facilmente accessibile, con un linguaggio semplice e chiaro v., in tal senso, sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU C 2023 369, punto 38 . 50 L'esame del contesto in cui si inserisce l'articolo 15, paragrafo 1, lettera h , del RGPD corrobora quindi l'interpretazione che emerge dall'analisi dei termini di tale disposizione, secondo la quale le «informazioni significative sulla logica utilizzata» in un processo decisionale automatizzato, ai sensi di tale disposizione, riguardano qualsiasi informazione pertinente relativa alla procedura e ai principi di utilizzo dei dati personali al fine di ottenerne, con mezzi automatizzati, un determinato risultato, mentre l'obbligo di trasparenza richiede inoltre che tali informazioni siano fornite in forma concisa, trasparente, comprensibile e facilmente accessibile. 51 Per quanto riguarda, infine, le finalità del RGPD, occorre ricordare che l'obiettivo di tale regolamento consiste segnatamente nel garantire un elevato livello di tutela dei diritti e delle libertà fondamentali delle persone fisiche, in particolare del loro diritto alla protezione dei dati personali, sancito dall'articolo 16 TFUE e garantito in quanto diritto fondamentale all'articolo 8 della Carta, che completa il diritto alla vita privata garantito all'articolo 7 di quest'ultima. [v., in tal senso, sentenza del 4 ottobre 2024, Schrems Comunicazione di dati al pubblico , C‑446/21, EU C 2024 834, punto 45 e giurisprudenza citata]. 52 Pertanto, come precisa peraltro il considerando 11, il RGPD ha ad oggetto il rafforzamento e la disciplina dettagliata dei diritti degli interessati sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU C 2023 369, punto 33 e giurisprudenza citata . 53 Per quanto riguarda, più in particolare, il diritto di accesso previsto all'articolo 15 del RGPD, dalla giurisprudenza della Corte emerge che tale diritto deve consentire all'interessato di verificare che i dati personali che lo riguardano siano corretti e trattati in modo lecito [sentenze del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU C 2023 369, punto 34, e del 26 ottobre 2023, FT Copie della cartella medica , C‑307/22, EU C 2023 811, punto 73]. 54 Tale diritto di accesso è necessario affinché l'interessato possa esercitare, se del caso, il suo diritto alla rettifica, il suo diritto alla cancellazione «diritto all'oblio» e il suo diritto alla limitazione di trattamento, diritti questi che gli sono riconosciuti, rispettivamente, dagli articoli 16, 17 e 18 del RGPD, il suo diritto di opposizione al trattamento dei suoi dati personali, previsto all'articolo 21 del RGPD, nonché il suo diritto di agire in giudizio e il suo diritto al risarcimento, previsti rispettivamente dagli articoli 79 e 82 del RGPD v., in tal senso, sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU C 2023 369, punto 35 . 55 In particolare, nel contesto specifico di un processo decisionale fondato esclusivamente su un trattamento automatizzato, lo scopo principale del diritto dell'interessato di ottenere le informazioni previste all'articolo 15, paragrafo 1, lettera h , del RGPD è quello di consentirgli di esercitare in modo efficace i diritti riconosciutigli dall'articolo 22, paragrafo 3, di tale regolamento, vale a dire quello di esprimere il suo punto di vista su tale decisione e quello di contestarla. 56 Infatti, se le persone su cui incide una decisione automatizzata, compresa la profilazione, non fossero in grado di comprendere le ragioni che hanno condotto a tale decisione prima di esprimere il loro punto di vista o di contestarla, tali diritti non potrebbero adempiere pienamente al loro scopo di proteggere tali persone dai rischi specifici per i loro diritti e le loro libertà derivanti dal trattamento automatizzato dei loro dati personali [v., in tal senso, sentenza del 7 dicembre 2023, SCHUFA Holding e a. Scoring , C‑634/21, EU C 2023 957, punto 57]. 57 A tal riguardo, dal considerando 71 del RGPD si evince che, l'interessato, qualora sia oggetto di una decisione adottata unicamente sulla base di un trattamento automatizzato e che incida significativamente sulla sua persona, deve avere il diritto di ottenere una spiegazione in merito a tale decisione. Come rilevato dall'avvocato generale al paragrafo 67 delle sue conclusioni, si deve quindi ritenere che l'articolo 15, paragrafo 1, lettera h , del RGPD offra all'interessato un vero e proprio diritto alla spiegazione sul funzionamento del meccanismo alla base di un processo decisionale automatizzato di cui tale interessato è stato oggetto e sul risultato a cui detta decisione ha condotto. 58 Dall'esame delle finalità del RGPD e, in particolare, di quelle dell'articolo 15, paragrafo 1, lettera h , di quest'ultimo si evince che il diritto di ottenere «informazioni significative sulla logica utilizzata» in un processo decisionale automatizzato, ai sensi di tale disposizione, deve essere inteso come un diritto alla spiegazione della procedura e dei principi concretamente applicati per utilizzare, con mezzi automatizzati, i dati personali dell'interessato al fine di ottenerne un risultato specifico, come un profilo di solvibilità. Per consentire all'interessato di esercitare in modo efficace i diritti riconosciutigli dal RGPD e, in particolare, dall'articolo 22, paragrafo 3, di quest'ultimo, tale spiegazione deve essere fornita mediante informazioni pertinenti e in forma concisa, trasparente, intelligibile e facilmente accessibile. 59 Non può soddisfare tali requisiti né la semplice comunicazione di una formula matematica complessa, come un algoritmo, né la descrizione dettagliata di tutte le fasi di un processo decisionale automatizzato, in quanto nessuno di questi metodi costituirebbe una spiegazione sufficientemente concisa e comprensibile. 60 Infatti, come si evince dalla pagina 28 delle linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento UE 2016/679, menzionate al punto 45 della presente sentenza, da un lato, il titolare del trattamento dovrebbe trovare modi semplici per comunicare all'interessato la logica o i criteri sui quali si basa l'adozione della decisione. Dall'altro, il RGPD impone al titolare del trattamento di fornire informazioni significative sulla logica utilizzata, «ma non necessariamente una spiegazione complessa degli algoritmi utilizzati o la divulgazione dell'algoritmo completo». 61 Pertanto, le «informazioni significative sulla logica utilizzata» in un processo decisionale automatizzato, ai sensi dell'articolo 15, paragrafo 1, lettera h , del RGPD, devono descrivere la procedura e i principi concretamente applicati in modo tale che l'interessato possa comprendere quali dei suoi dati personali sono stati utilizzati in che modo nel processo decisionale automatizzato in questione, senza che la complessità delle operazioni da eseguire nel contesto del processo decisionale automatizzato possa esonerare il titolare del trattamento dal suo dovere di spiegazione. 62 Con specifico riguardo alla profilazione come quella di cui trattasi nel procedimento principale, il giudice del rinvio potrebbe, in particolare, considerare sufficientemente trasparente e comprensibile il fatto di informare l'interessato di come una variazione a livello dei dati personali presi in considerazione avrebbe portato a un risultato diverso. 63 Ciò premesso, occorre ancora precisare che, per quanto riguarda la questione se le informazioni fornite debbano consentire all'interessato di verificare la correttezza dei dati personali che lo riguardano sui quali si fonda l'adozione di decisioni automatizzate, il diritto di accesso a tali dati non rientra nella lettera h del paragrafo 1 dell'articolo 15 del RGPD, bensì nella frase introduttiva del medesimo paragrafo, che garantisce all'interessato di potersi sincerare della correttezza di tali dati, come emerge dalla giurisprudenza citata al punto 53 della presente sentenza. 64 Infine, per quanto riguarda l'affermazione del giudice del rinvio secondo cui le informazioni fornite da D & B a CK, ai sensi dell'articolo 15, paragrafo 1, lettera h , del RGPD, non sono veritiere, dal momento che la profilazione «reale» avrebbe portato alla conclusione che non era solvibile, mentre dette informazioni suggerivano il contrario, occorre rilevare che se, secondo tale giudice, la non veridicità così accertata è il risultato della mancata comunicazione a CK da parte della D & B della profilazione realizzata nei suoi confronti per conto dell'impresa di telefonia mobile che, su tale base, ha rifiutato di concludere o rinnovare un contratto con CK, tale non veridicità dovrebbe essere sanata attraverso il diritto di accesso al profilo di solvibilità così accertato. A tal riguardo, dalla giurisprudenza della Corte si evince che i dati personali generati dal titolare del trattamento stesso rientrano nell'ambito di applicazione dell'articolo 14 del RGPD v., in tal senso, sentenza del 28 novembre 2024, Másdi, C‑169/23, EU C 2024 988, punto 48 . 65 Per contro, la spiegazione delle differenze esistenti tra il risultato di una siffatta profilazione «reale», ammesso che sia dimostrata, e il risultato comunicato dalla D & B a CK e ottenuto, secondo tale società, mediante un'«aggregazione equivalente» dei dati relativi a CK ben rientrerebbe tra le «informazioni significative sulla logica utilizzata» nella profilazione così realizzata. Secondo quanto rilevato al punto 58 della presente sentenza, la D & B sarebbe quindi tenuta a spiegare in forma concisa, trasparente, comprensibile e facilmente accessibile la procedura e i principi in base ai quali è stato ottenuto il risultato della profilazione «reale». 66 Da tutto quanto precede risulta che occorre rispondere alle questioni prima e seconda e alla terza questione, sub a , dichiarando che l'articolo 15, paragrafo 1, lettera h , del RGPD deve essere interpretato nel senso che, in caso di processo decisionale automatizzato, compresa la profilazione, ai sensi dell'articolo 22, paragrafo 1, di tale regolamento, l'interessato può pretendere dal titolare del trattamento, a titolo di «informazioni significative sulla logica utilizzata», che quest'ultimo gli spieghi, mediante informazioni pertinenti e in forma concisa, trasparente, comprensibile e facilmente accessibile, la procedura e i principi concretamente applicati per utilizzare, con mezzi automatizzati, i dati personali relativi a tale interessato al fine di ottenerne un risultato determinato, come un profilo di solvibilità. Sulla terza questione, sub b e c , sulla quarta questione sub a e b , e sulla quinta e sulla sesta questione 67 Con la terza questione, sub b e c , con la quarta questione, sub a e b , e con la quinta e la sesta questione, che occorre esaminare congiuntamente, il giudice del rinvio chiede, in sostanza, se l'articolo 15, paragrafo 1, lettera h , del RGPD debba essere interpretato nel senso che, nell'ipotesi in cui il titolare del trattamento ritenga che le informazioni da fornire all'interessato conformemente a tale disposizione contengano dati di terzi protetti da tale regolamento o segreti commerciali, ai sensi dell'articolo 2, punto 1, della direttiva 2016/943, tale titolare è tenuto a comunicare tali informazioni asseritamente protette all'autorità di controllo o al giudice competente, cui spetta ponderare i diritti e gli interessi in gioco al fine di determinare la portata del diritto di accesso dell'interessato previsto all'articolo 15 del RGPD. 68 A questo proposito, va ricordato che, ai sensi del considerando 4 del RGPD, il diritto alla protezione dei dati personali non è una prerogativa assoluta e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Pertanto, il RGPD rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, i quali sono sanciti dai Trattati [sentenza del 26 ottobre 2023, FT Copie della cartella medica , C‑307/22, EU C 2023 811, punto 59 e giurisprudenza citata]. 69 Inoltre, il considerando 63 di tale regolamento enuncia che il diritto di ogni interessato di accedere ai dati personali raccolti che lo riguardano non dovrebbe ledere i diritti o le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d'autore che tutelano il software. 70 Tuttavia, tali considerazioni non dovrebbero condurre a un diniego a fornire all'interessato tutte le informazioni. Infatti, l'articolo 23, paragrafo 1, lettera i , di tale regolamento prevede, in sostanza, che una limitazione della portata degli obblighi e dei diritti previsti in particolare all'articolo 15 di quest'ultimo è possibile solo qualora tale limitazione rispetti l'essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata in una società democratica per salvaguardare la tutela dei diritti e delle libertà altrui. 71 Alla luce del diritto connesso di ottenere una copia, sancito all'articolo 15, paragrafo 4, del RGPD, la Corte ha già avuto occasione di rilevare che la sua applicazione non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d'autore che tutelano il software v., in tal senso, sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU C 2023 369, punto 43 . 72 In tale contesto, la Corte ha osservato che, in caso di conflitto tra, da un lato, l'esercizio del diritto di accesso pieno e completo ai dati personali e, dall'altro, i diritti o le libertà altrui, occorre effettuare un bilanciamento tra i diritti e le libertà in questione. Ove possibile, si devono scegliere modalità di comunicazione di dati personali che non ledano i diritti o le libertà altrui, tenendo conto del fatto che tali considerazioni non devono «condurre a un diniego a fornire all'interessato tutte le informazioni», come risulta dal considerando 63 del RGPD sentenza del 4 maggio 2023, Österreichische Datenschutzbehörde e CRIF, C‑487/21, EU C 2023 369, punto 44 . 73 Per quanto riguarda la questione di come il diritto di accesso sancito all'articolo 15, paragrafo 1, lettera h , del RGPD possa essere attuato in modo da rispettare i diritti e le libertà altrui, occorre ricordare che, secondo la giurisprudenza, un giudice nazionale può ritenere che i dati personali delle parti o di terzi debbano essergli comunicati al fine di poter ponderare, con piena cognizione di causa e nel rispetto del principio di proporzionalità, gli interessi in gioco. Tale valutazione può, se del caso, indurlo ad autorizzare la divulgazione completa o parziale alla controparte dei dati personali che gli sono stati così comunicati, qualora ritenga che una siffatta divulgazione non ecceda quanto necessario al fine di garantire l'effettivo godimento dei diritti che i soggetti dell'ordinamento traggono dall'articolo 47 della Carta sentenza del 2 marzo 2023, Norra Stockholm Bygg, C‑268/21, EU C 2023 145, punto 58 . 74 Come rilevato dall'avvocato generale al paragrafo 94 delle sue conclusioni, tale giurisprudenza può pienamente applicarsi alla situazione in cui le informazioni da fornire all'interessato ai sensi del diritto di accesso garantito dall'articolo 15, paragrafo 1, lettera h , del RGPD possano comportare una violazione dei diritti e delle libertà altrui, in particolare in quanto contengono dati personali di terzi protetti da detto regolamento o un segreto commerciale, ai sensi dell'articolo 2, punto 1, della direttiva 2016/943. Anche in tale ipotesi, dette informazioni devono essere comunicate all'autorità di controllo o al giudice competente, cui spetta ponderare i diritti e gli interessi in gioco al fine di determinare la portata del diritto di accesso dell'interessato ai dati personali che lo riguardano. 75 In considerazione della necessità di una siffatta determinazione caso per caso, l'articolo 15, paragrafo 1, lettera h , del RGPD osta in particolare all'applicazione di una disposizione come l'articolo 4, paragrafo 6, del DSG che esclude, di regola, il diritto di accesso dell'interessato, previsto all'articolo 15 del RGPD, qualora tale accesso comprometta un segreto commerciale o un segreto aziendale del titolare del trattamento o di un terzo. A questo proposito, occorre ricordare che uno Stato membro non può stabilire in modo definitivo l'esito della ponderazione caso per caso dei diritti e degli interessi in gioco imposta dal diritto dell'Unione [v., in tal senso, sentenza del 7 dicembre 2023, SCHUFA Holding e a. Scoring , C‑634/21, EU C 2023 957, punto 70 e giurisprudenza citata]. 76 Alla luce di tutte le suesposte considerazioni, occorre rispondere alla terza questione, sub b e c , alla quarta questione, sub a e b , e alla quinta e alla sesta questione dichiarando che l'articolo 15, paragrafo 1, lettera h , del RGPD deve essere interpretato nel senso che, nell'ipotesi in cui il titolare del trattamento ritenga che le informazioni da fornire all'interessato conformemente a tale disposizione contengano dati di terzi protetti da tale regolamento o segreti commerciali, ai sensi dell'articolo 2, punto 1, della direttiva 2016/943, detto titolare è tenuto a comunicare tali informazioni asseritamente protette all'autorità di controllo o al giudice competenti, cui spetta ponderare i diritti e gli interessi in gioco al fine di determinare la portata del diritto di accesso dell'interessato previsto all'articolo 15 del RGPD. Sulle spese 77 Nei confronti delle parti nel procedimento principale la presente causa costituisce un incidente sollevato dinanzi al giudice nazionale, cui spetta quindi statuire sulle spese. Le spese sostenute da altri soggetti per presentare osservazioni alla Corte non possono dar luogo a rifusione. Per questi motivi, la Corte Prima Sezione dichiara 1 L'articolo 15, paragrafo 1, lettera h , del regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE regolamento generale sulla protezione dei dati , dev'essere interpretato nel senso che in caso di processo decisionale automatizzato, compresa la profilazione, ai sensi dell'articolo 22, paragrafo 1, di tale regolamento, l'interessato può pretendere dal titolare del trattamento, a titolo di «informazioni significative sulla logica utilizzata», che quest'ultimo gli spieghi, mediante informazioni pertinenti e in forma concisa, trasparente, comprensibile e facilmente accessibile, la procedura e i principi concretamente applicati per utilizzare, con mezzi automatizzati, i dati personali relativi a tale interessato al fine di ottenerne un risultato determinato, come un profilo di solvibilità. 2 L'articolo 15, paragrafo 1, lettera h , del regolamento 2016/679 dev'essere interpretato nel senso che nell'ipotesi in cui il titolare del trattamento ritenga che le informazioni da fornire all'interessato conformemente a tale disposizione contengano dati di terzi protetti da tale regolamento o segreti commerciali, ai sensi dell'articolo 2, punto 1, della direttiva 2016/943 UE del Parlamento europeo e del Consiglio, dell'8 giugno 2016, sulla protezione del know ‑ how riservato e delle informazioni commerciali riservate segreti commerciali contro l'acquisizione, l'utilizzo e la divulgazione illeciti, detto titolare è tenuto a comunicare tali informazioni asseritamente protette all'autorità di controllo o al giudice competenti, cui spetta ponderare i diritti e gli interessi in gioco al fine di determinare la portata del diritto di accesso dell'interessato previsto all'articolo 15 di tale regolamento.