Pseudonimizzazione e dati personali: sta per aprirsi un nuovo dibattito?

Pseudonimizzazione e dati personali: sta per aprirsi un nuovo dibattito?
Le conclusioni dell’Avvocato Generale nella causa C-413/23 P, rassegnate innanzi alla Corte di Giustizia dell’UE lo scorso 6 febbraio, riportano alle luci della ribalta il tema sulla qualificazione dei dati sottoposti a pseudonimizzazione come dati personali e la conseguente eventuale applicazione del Regolamento (UE) 2018/1725 sul trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati (“Regolamento”).

I fatti all’origine della causa

Nel 2017, il Comitato di risoluzione unico (“CRU”) adottava un programma per il Banco Popular, sulla base del Regolamento (UE) n. 806/2014, che aveva individuato norme e procedure uniformi per la risoluzione degli enti creditizi e di talune imprese di investimento.

Il CRU affidava alla società Deloitte, in qualità di esperto indipendente, l’incarico di valutare se azionisti e creditori del Banco Popular avrebbero ricevuto un trattamento migliore qualora l’ente fosse stato sottoposto a procedura ordinaria di insolvenza. Deloitte presentava le proprie riflessioni ed il CRU avviava una procedura per decidere sull’eventuale indennizzo da concedere agli azionisti e ai creditori interessati dalla risoluzione del Banco Popular. La procedura comprendeva una fase di iscrizione e una fase di consultazione, in cui azionisti e creditori potevano presentare osservazioni sulla decisione preliminare del CRU. I dati raccolti durante la fase di iscrizione erano accessibili solo da alcuni soggetti autorizzati del CRU, diversi da quelli preposti ad elaborare le osservazioni ricevute durante la fase di consultazione, raccolte sotto forma di codici alfanumerici. Il CRU trasmetteva alla Deloitte le osservazioni così filtrate, classificate e aggregate: solo il CRU avrebbe potuto ricollegare le osservazioni espresse ai loro autori, mentre Deloitte non aveva accesso alla banca dati. Alcuni degli azionisti e dei creditori presentavano reclamo al Garante europeo della protezione dei dati (“GEDP”), perché non erano stati informati dal CRU circa la comunicazione dei dati a Deloitte. Il GEDP, pur non emettendo alcuna sanzione pecuniaria, ammoniva il CRU circa l’assenza di informazione sulla comunicazione dei dati personali. In seguito all’impugnazione del provvedimento innanzi alla giustizia ordinaria, la questione veniva rinviata alla Corte di Giustizia (“Corte”).

Quali le valutazioni dell’Avvocato Generale?

  • Il focus, in prima battuta, è sulla qualificazione delle informazioni trasmesse dal CRU a Deloitte, se possano intendersi riferibili agli interessati.
  • L’Avvocato Generale richiama il concetto, più volte espresso dalla Corte, sul trattamento dei dati personali da parte delle istituzioni o degli organismi dell’Unione, a mente del quale “l’uso dell’espressione «qualsiasi informazione» nella definizione della nozione di «dato personale», riflette l’obiettivo del legislatore dell’Unione di attribuire un’accezione estesa a tale nozione, che comprende potenzialmente ogni tipo di informazioni, tanto oggettive quanto soggettive, sotto forma di pareri o valutazioni, a condizione che esse «riguardino» o «concernano» la persona interessata Nel caso di specie, le osservazioni dei reclamanti riflettono la loro logica e il loro ragionamento ed esprimono opinioni soggettive agli stessi riferibili: tali concetti, dunque, rientrerebbero nella definizione di dati personali di cui al Regolamento in parola. A sostegno di ciò, l’Avvocato sottolinea: “illoro filtraggio, la loro classificazione e la loro aggregazione non modificano tale constatazione, poiché in caso contrario sarebbe sufficiente aggregare diversi punti di vista per eludere la condizione di informazione «concernente» una persona fisica.
  • L’Avvocato Generale si sofferma poi sul concetto di pseudonimizzazione – ritenuto interpretato erroneamente dal giudice di prime cure – e sulla possibilità che, attraverso tale misura, gli interessati siano identificabili. Prendendo spunto dalla definizione di pseudonimizzazione e dal considerando 16 del Regolamento, l’Avvocato Generale afferma che i dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Quindi, la pseudonimizzazione lascia aperta la possibilità che gli interessati non siano identificabili, a meno che non si disponga di ulteriori informazioni, di mezzi e strumenti tecnologici che consentano di risalire agli interessati. In buona sostanza, “soltanto qualora il rischio di identificazione sia inesistente o insignificante, un dato può giuridicamente sottrarsi alla nozione di «dato personale»”. Nel caso di specie, dunque, in primo grado, era necessario stabilire se il trattamento di pseudonimizzazione dei dati fosse sufficientemente solido per concludere che Deloitte non disponesse di mezzi ragionevoli per identificare gli interessati.
  • Circa l’obbligo di informazione in favore degli interessati, l’Avvocato Generale – contrariamente a quanto sostenuto dal CRU innanzi al giudice di prime cure – afferma che esso si inserisce nell’ambito del rapporto con il titolare del trattamento: nel momento in cui vengono raccolti i dati, sorge l’obbligo di informazione; a maggior ragione nel caso in parola, in cui è il CRU a disporre dei dati aggiuntivi che avrebbero consentito di identificare gli interessati.

Tenuto conto di ciò, i dati rientrano nella nozione di “dati personali”, indipendentemente dalla loro identificabilità da parte del destinatario (Deloitte), che non può essere considerato responsabile né del rapporto giuridico tra interessati e CRU né dell’obbligo di informazione, incombente esclusivamente sul CRU.

Conclusioni

Non solo le riflessioni dell’Avvocato Generale, ma anche le linee guida pubblicate nel contesto della normativa del GDPR dall’European Data Protection Board (“EDPB”), lo scorso 17 gennaio – e sottoposte a consultazione pubblica fino al 28 febbraio – spingono a valutare più attentamente le nozioni di “dato personale” e “pseudonimizzazione”.

Bisognerà attendere la pronuncia della Corte e il testo definitivo delle linee guida per comprendere quale sarà l’approccio adottato e se saranno forniti ulteriori chiarimenti sulla definizione, l’applicabilità e i vantaggi della pseudonimizzazione.

Avv. Rossella Bucca e Dott.ssa Giusy Mazzilli

Related Posts
Liquidazione giudiziale dell’impresa e nozione di credito condizionato
17. Mar. 25 | Articoli Liquidazione giudiziale dell’impresa e nozione di credito condizionato

L’attacco malware sui siti streaming pirata ha infettato un milione di dispositivi
14. Mar. 25 | Articoli L’attacco malware sui siti streaming pirata ha infettato un milione di dispositivi

Corte di Giustizia dell’Unione Europea: un’entità amministrativa priva di personalità giuridica può essere titolare del trattamento dei dati personali
13. Mar. 25 | Articoli Corte di Giustizia dell’Unione Europea: un’entità amministrativa priva di personalità giuridica può essere titolare del trattamento dei dati personali

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori