Con sentenza del 26 aprile 2023 (causa T-557/20), la Corte di Giustizia dell’Unione Europea (“CGUE”) ha stabilito che un dato pseudonimizzato trasmesso ad un destinatario che non ha i mezzi per poter identificare l’interessato non è un dato personale. Ciò comporta che siffatte informazioni non rientrano nell’ambito di applicazione della normativa in materia di protezione dei dati personali.
Prima di entrare nel merito della pronuncia in commento, appare opportuno definire cosa si debba intendere per “pseudonimizzazione”. Ai sensi dell’articolo 4 del Regolamento (UE) 2016/679 (meglio noto secondo l’acronimo inglese “GDPR”) con pseudonimizzazione si intende “il trattamento dei dati personali [effettuato] in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.
Il caso affrontato
Fatta tale premessa, si approfondisce, di seguito, il caso esaminato dalla CGUE.
La vicenda trae origine da diversi reclami pervenuti al Garante europeo della protezione dei dati (l’”GEPD”) attraverso i quali venivano segnalate alcune condotte tenute dal Single Resolution Board (il Comitato di Risoluzione Unico, “CRU”).
Nello specifico il CRU, dopo aver raccolto attraverso un modulo elettronico alcune opinioni di azionisti e creditori (i “soggetti interessati”), aveva trasferito le risposte ottenute ad una società di consulenza. Prima dell’inoltro alla società di consulenza, tuttavia, il CRU aveva provveduto a pseudonimizzare tali dati sostituendo i nominativi dei soggetti interessati con dei codici alfanumerici. Questi ultimi, tuttavia, adivano il GEPD lamentando che nelle informative sul trattamento dei dati personali fornite dal CRU non venisse precisato che i loro dati personali sarebbero stati condivisi con soggetti terzi.
Il GEPD affermava che, nonostante i dati così trasmessi non consentissero alla società di identificare gli autori del sondaggio, i dati, seppur pseudonimizzati, dovessero comunque essere considerati dati personali, anche in considerazione del fatto che l’outsourcer riceveva il codice alfanumerico che consentiva di collegare le risposte ricevute.
Per tali ragioni, il GEPD riteneva la società di consulenza destinataria di dati personali e il CRU responsabile della violazione di cui all’articolo 15 del GDPR – disciplinante il diritto di accesso dell’interessato – per non aver, tra le altre, fornito informazioni circa i destinatari o le categorie di destinatari a cui i dati personali sarebbero stati comunicati.
La decisione della Corte di Giustizia (UE)
Di contrario avviso sono stati i Giudici Europei che hanno capovolto la decisione del GEPD. La Corte di Giustizia, infatti, ha affermato che la decisione assunta dal GEPD circa la natura del dato pseudonimizzato non è corretta, in quanto il GEPD non aveva verificato se la società alla quale erano stati trasmessi i dati fosse stata, o meno, in grado di (re)identificare i soggetti interessati. Tale verifica sarebbe dovuta avvenire sulla base degli strumenti che la stessa deteneva, o meno, per poter identificare le persone fisiche.
Per definire se le informazioni pseudonimizzate trasmesse ad un destinatario costituiscano o meno dati personali è necessario “considerare la prospettiva del destinatario”: se il destinatario non dispone di informazioni aggiuntive che gli consentano di identificare gli interessati ovvero non ha a disposizione strumenti legali per accedervi, i dati trasmessi sono considerabili come dati anonimi e quindi non rappresentano dati personali, restando, pertanto, esclusi dall’ambito di applicazione dei principi vigenti in materia di data protection. Il fatto che chi trasmette i dati abbia, al contrario, gli strumenti per identificare gli interessati non rileva.
Per questi motivi, la Corte di Giustizia ha annullato la decisione del GEPD condannandolo alle spese processuali.
Altri insights correlati:
Controlli datoriali: illecito il monitoraggio dei metadati delle e-mail di dipendenti
GDPR: le misure di sicurezza a tutela della protezione dei dati