CJUE s-a pronunțat recent în ceea ce privește conflictul între dreptul de acces la datele personale și protecția secretelor comerciale

• Dreptul de acces la datele personale nu poate fi anulat de protecția secretelor comerciale.
• Informațiile oferite trebuie să permită persoanei vizate să înțeleagă modul de utilizare a datelor sale.
• Conform CJUE, statele membre nu pot exclude accesul la date personale invocând secretul comercial.

Într-o hotărâre pronunțată pe 27 februarie , CJUE a clarificat modul în care trebuie abordat conflictul dintre dreptul persoanelor la acces la propriile date cu caracter personal și protejarea secretelor comerciale. Cauza C‑203/22 s-a concentrat pe situația în care un operator folosește algoritmi și evaluări de tip „scoring” (procese decizionale automatizate în vederea creării de profiluri) pentru a aprecia bonitatea (credibilitatea financiară) a unei persoane fizice.

Litigiul a fost inițiat de CK, o persoană care a contestat o evaluare automatizată efectuată de Dun & Bradstreet Austria GmbH, o firmă specializată în servicii de evaluare a bonității, atunci când a dorit încheierea unui contract de furnizare de servicii de telefonie mobilă. CK a fost refuzată în urma în baza unei evaluări negative, din care ar fi reieșit că nu prezintă suficientă încredere financiară. În acest context, dat fiind că evaluarea se făcea pe baza datelor sale personale, aceasta a solicitat informații clare despre logica folosită pentru a ajunge la acea concluzie privind bonitatea sa. Art. 15 din GDPR este cel care dă dreptul persoanei vizate să știe dacă datele sale sunt prelucrate și să obțină inclusiv „informații pertinente privind logica utilizată” atunci când deciziile luate în ceea ce o privesc se bazează exclusiv pe un proces automatizat (inclusiv crearea de profiluri).

În răspuns, compania care efectuează astfel de scoruri a invocat existența unui „secret comercial” pentru a-și proteja formula de calcul, algoritmii matematici și elementele specifice folosite la evaluarea riscului. A invocat, așadar, faptul că divulgarea completă a metodei de calcul i-ar prejudicia afacerea, dezvăluind potențiale informații confidențiale și know-how-ul său specific.

Tribunalul Administrativ din Viena, în fața căruia a ajuns acest litigiu, a întrebat CJUE dacă dreptul de acces la informații, prevăzut de GDPR, permite persoanelor vizate să primească detalii suficiente despre procesul decizional automatizat care le afectează. În decizia dată săptămâna trecută, Curtea a spus că protecția datelor cu caracter personal trebuie echilibrată cu alte drepturi și libertăți fundamentale, printre care libertatea de a desfășura o activitate comercială și protecția secretelor comerciale. Cu toate acestea, dreptul de acces la datele personale nu poate fi golit de conținut doar pentru a apăra un presupus secret comercial.

CJUE a subliniat că informațiile oferite trebuie să fie „pertinente” și să permită persoanei vizate să înțeleagă cum au fost utilizate datele sale personale pentru a ajunge la o anumită concluzie. Aceasta include detalii despre datele prelucrate, algoritmii utilizați și criteriile de evaluare. Nu se impune dezvăluirea întregului algoritm sau a formulei matematice complete dacă acest lucru depășește ceea ce este necesar pentru ca persoana să înțeleagă motivele deciziei. Totuși, simpla trimitere la „factori interni” ori la „calcul statistic” nu este suficientă. Altfel spus, dacă datele furnizate sunt prea vagi sau incomplete, dreptul de acces devine formal, lipsit de substanță.

Situațiile de conflict se rezolvă printr-o „cântărire proporțională” a celor două chestiuni în discuție, astfel încât să nu fie divulgate părți esențiale ale know-how-ului, dar nici să nu fie obstrucționat dreptul persoanei de a contesta sau a înțelege decizia privind scorul său de credit. 

Dacă operatorul consideră că dezvăluirea completă a informațiilor ar afecta secretul comercial, trebuie să comunice totuși elementele relevante către autoritatea de supraveghere în materie sau instanța de judecată. Aceasta va examina dacă într-adevăr informațiile invocate ca fiind „secret comercial” nu pot fi comunicate. Curtea a mai punctat că se pot lua măsuri (precum pseuonimizarea, confidențialitatea pe durata procesului etc.) pentru a proteja adevăratul conținut comercial în fața concurenței, asigurând în același timp că persoana vizată nu este privată de dreptul său de acces.

De asemenea, a mai spus CJUE, un stat membru nu poate emite reguli naționale care să excludă automat accesul la date personale pe motivul secretului comercial. Orice normă națională trebuie să respecte esența drepturilor GDPR și să permită acea evaluare de la caz la caz, astfel încât să nu anuleze efectiv art. 15 din regulament.