Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

protezione dei dati

Articolo 22 Gdpr: come ci tutela da algoritmi e profilazione

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

L’articolo 22 Gdpr rappresenta uno snodo centrale nella normativa europea sulla protezione dei dati personali. La sua interpretazione risulta particolarmente delicata in un contesto dominato da sistemi decisionali automatizzati, algoritmi predittivi e intelligenza artificiale

Pubblicato il 31 lug 2025
Lorenzo Quadrini

Legal Counsel – Privacy presso Aris

articolo 22 gdpr attuazione del gdpr

L’articolo 22 del GDPR rappresenta forse l’articolo più attuale dell’intera norma europea dedicata alla protezione dei dati personali, e indubbiamente uno dei più lungimiranti.

Esso dispone che “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

Intelligenza artificiale, ecco come GDPR e AI Act regolano la tecnologia di frontiera

Risulta particolarmente evidente che il testo sembra sposarsi perfettamente con le nuove modalità di trattamento imposte dalle recentissime evoluzioni tecnologiche, prime tra tutte quelle riguardanti l’IA e gli algoritmi complessi.

La natura giuridica dell’articolo 22 Gdpr

Dall’analisi del dettato normativo dell’articolo 22 del GDPR, la questione preliminare concerne la sua natura giuridica, ovvero se esso configuri un divieto generale al trattamento automatizzato o riconosca un vero e proprio diritto di opposizione in capo all’interessato. La collocazione della disposizione all’interno della sezione dedicata ai “Diritti dell’interessato” del Regolamento suggerirebbe, in prima istanza, l’esistenza di un diritto soggettivo.

Tale interpretazione trova ulteriori conferme nel considerando 71, che evidenzia i rischi insiti nelle decisioni automatizzate, sottolineando la necessità di adottare garanzie tecniche e organizzative volte a tutelare la persona, nonché nel comma 3 dello stesso articolo 22, il quale impone al titolare del trattamento misure volte a garantire il diritto all’intervento umano, all’espressione di un’opinione e alla contestazione della decisione. Inoltre, si ravvisa come in più punti del GDPR, specie negli articoli 13, 14 e 15, emergano disposizioni che, pur non esplicitamente tipizzando diritti, producono effetti equivalenti mediante obblighi informativi a carico del titolare, dai quali si ricava una tutela indiretta dell’interessato.

In sintesi, l’articolo 22 sembrerebbe configurarsi non tanto come clausola limitativa, bensì come norma attributiva di un diritto azionabile, inserita in un sistema che, seppur in via indiretta, riconosce e tutela attivamente la centralità della persona nel contesto delle decisioni automatizzate.

Diritto di opposizione e limiti del consenso nel Gdpr

Va però tenuto a mente che la dottrina sul tema ha mosso varie volte delle interpretazioni diametralmente opposte, di cui si deve tener conto soprattutto nell’ottica della maggior tutela a garanzia dell’interessato. In particolare, è stato più volte segnalato che l’attribuzione di un diritto di opposizione (quello appunto relativo alla profilazione) mal si concilierebbe con la base giuridica a fondamento del trattamento stesso, tipicamente il consenso.

La compresenza del diritto di opposizione con un trattamento dei dati personali fondato sul consenso dell’interessato configura un’ipotesi di potenziale antinomia normativa. Tale contrasto si manifesta nella difficoltà di armonizzare due istituti giuridici strutturalmente antitetici: da un lato, la manifestazione di volontà libera, specifica, informata e inequivocabile che legittima il trattamento attraverso il consenso; dall’altro, l’esercizio del diritto di opposizione che, per sua natura, presuppone l’esistenza di un trattamento basato su presupposti giuridici differenti dal consenso medesimo, quali l’interesse legittimo del titolare o l’esecuzione di un compito di interesse pubblico. Rientrano tra queste osservazioni anche quelle formulate dalle Autorità Garanti (nel periodo del Working Party ex art 29), che misero in luce come tale assetto normativo presenti profili di incoerenza sistemica, risultando deficitaria sotto il profilo della coerenza logico-applicativa e rischiando di compromettere l’armonia interna del sistema di tutela dei dati personali.

La giurisprudenza europea sul credit scoring automatizzato

La Corte di Giustizia dell’Unione Europea, con la sentenza C-634/21, ha avuto l’occasione di approfondire e ampliare il perimetro applicativo dell’articolo 22 GDPR, affrontando un caso incentrato sull’uso di un sistema automatizzato di credit scoring. Il procedimento trae origine dalla richiesta dell’interessato di conoscere le logiche sottese alla decisione di rigetto di una domanda di credito, fondata su un punteggio di solvibilità elaborato da una società specializzata in valutazione creditizia. Tale società, pur avendo fornito informazioni generiche in merito al funzionamento del software, ha rifiutato di comunicare elementi più specifici, invocando il segreto industriale.

L’interessata ha proposto reclamo dinanzi all’Autorità Garante per la Protezione dei Dati del Land dell’Hesse (HBDI), chiedendo che venisse ordinato all’agenzia di scoring di soddisfare la sua richiesta di accesso ai dati. L’Autorità, tuttavia, ha rigettato il reclamo ritenendo che non vi fosse stata alcuna violazione della legge federale tedesca sulla protezione dei dati personali (BDSG), e in particolare dell’art. 31, norma nazionale adottata in attuazione dell’art. 22(2)(b) GDPR. A fronte del diniego, la ricorrente ha adito il Verwaltungsgericht di Wiesbaden, il quale ha individuato come punto dirimente la qualificazione del momento in cui la decisione automatizzata si è concretizzata.

In particolare, ha evidenziato due possibili scenari alternativi:

  • Se la decisione è da ritenersi realizzata dall’istituto di credito, il ruolo dell’agenzia di scoring risulterebbe marginale, rilevando unicamente ai sensi dell’articolo 15 GDPR, e non ai fini del divieto di cui all’art. 22.
  • Se, al contrario, si riconosce carattere decisorio autonomo all’attività di scoring dell’agenzia, quest’ultima diverrebbe destinataria degli obblighi derivanti dall’art. 22, configurandosi una decisione basata unicamente su trattamento automatizzato.

Il credit scoring come decisione automatizzata rilevante

La questione è stata infine risolta dalla Corte di Giustizia dell’Unione Europea (CGUE), la quale ha precisato che il calcolo automatizzato del punteggio di solvibilità (credit scoring), quando risulta determinante per la decisione di un istituto di credito in merito alla concessione di un prestito, deve essere considerato a tutti gli effetti come una decisione basata unicamente sul trattamento automatizzato ai sensi dell’articolo 22, paragrafo 1, del GDPR, anche qualora tale calcolo sia effettuato da un soggetto terzo, come una società specializzata (es. SCHUFA).

La Corte ha così disatteso l’impostazione restrittiva della giurisprudenza nazionale tedesca, la quale qualificava lo scoring come un mero atto istruttorio o preparatorio, sottraendolo quindi all’ambito di applicazione dell’articolo 22. Un simile approccio, secondo la CGUE, comprometterebbe il diritto di accesso dell’interessato, che non avrebbe modo di conoscere le logiche sottese alla decisione finale, soprattutto se il soggetto che assume la decisione non dispone delle informazioni sul funzionamento del sistema automatizzato.

Attraverso una lettura sistemica e teleologica dell’articolo 22, in coerenza con il considerando 71 del GDPR, la CGUE ha quindi esteso la nozione di decisione automatizzata, valorizzando gli effetti giuridici o analogamente significativi che tale valutazione può produrre nella sfera personale, economica e giuridica dell’interessato. Il credit scoring, in quanto valutazione algoritmica di dati personali volta a prevedere il comportamento economico del soggetto, è ritenuto idoneo a incidere in maniera sostanziale sui suoi diritti e libertà, rientrando pertanto nel divieto generale stabilito dalla norma.

In questo contesto, la Corte ha anche ritenuto che l’articolo 22 debba essere interpretato non soltanto come una norma attributiva di un diritto, bensì come una disposizione che impone un divieto ex ante al titolare del trattamento, salvo le eccezioni tassativamente previste dal paragrafo 2. La sentenza assume rilievo anche in relazione ai rischi di discriminazione algoritmica, connessi all’opacità dei sistemi e all’utilizzo di dati non convenzionali, richiamando l’esigenza di trasparenza, supervisione umana effettiva e non discriminazione.

Verso un’interpretazione estensiva dell’articolo 22 gdpr

In conclusione, a oggi, l’approccio adottato dalla Corte è di evidente allargamento sia dell’interpretazione del concetto di processo automatizzato, sia dell’interpretazione relativa alla natura di generale divieto dello stesso, ex art. 22 GDPR. Si tratta di un elemento da tenere in considerazione per tutte le aziende che vogliano implementare tali tipi di attività, senza le dovute accortezze e le necessarie valutazioni di merito. Al tempo stesso, non è difficile immaginare un’evoluzione interpretativa, anche alla luce del fatto che tali strumenti diventano sempre più impattanti e diffusi all’interno di moltissimi trattamenti di dati con finalità commerciali e contrattuali.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Q
Lorenzo Quadrini
Legal Counsel – Privacy presso Aris
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • data protection officer

  • la guida

    DPO, chi è il data protection officer e perché è una figura controversa

    07 Apr 2025

    di Antonino Polimeni

    Condividi
  • Google vaultgemma; furto documenti; indipendenza garanti privacy

  • l'analisi

    Potere e responsabilità nella cultura della protezione dei dati: la relazione annuale 2024 del Garante privacy

    15 Lug 2025

    di Anna Cataleta

    Condividi