Consulenza Cinieri
Soluzioni integrate per la tua Azienda

Effetti della pseudonimizzazione – 1 Le regole Ue sulla tutela dei dati

Il Regolamento Ue 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (General data protection regulation – Gdpr), che abroga la direttiva 95/46/Ce, all’articolo 1, contiene norme generali volte ad assicurare la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché disposizioni relative alla libera circolazione di tali dati.

In particolare, come previsto all’articolo 2, il Gdpr:

• si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi
• non si applica ai trattamenti di dati personali:

a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione
b) effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, del Tue
c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico
d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

Il concetto di “dato personale” è contenuto al successivo articolo 4, il quale chiarisce che tale concetto ricomprende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
Nello stesso articolo viene, altresì, definito il concetto di “pseudonimizzazione”, descritta come un trattamento dei dati personali che comporta che gli stessi non possano più essere “attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.
La pseudonimizzazione è, quindi, una tecnica che consente il trattamento dei dati personali in modo che non siano più associabili a un soggetto specifico senza l’utilizzo di informazioni aggiuntive, svolgendo quindi la funzione di misura di sicurezza idonea a ridurre il livello di rischio di un trattamento.

Il “trattamento”, invece, viene definito come “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”. Al riguardo si osserva che lo stesso Gdpr, all’articolo 25, dispone che, pur tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, come anche dei rischi, il titolare del trattamento deve porre in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione.

I principi generali applicabili al trattamento dei dati sono disciplinati al successivo articolo 5 del Gdpr; il quale dispone che i dati devono essere:
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato – principi di «liceità, correttezza e trasparenza» dei dati
b) raccolti per finalità determinate, esplicite e legittime
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati – principio di «minimizzazione» dei dati
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati – principio di «esattezza» dei dati
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati
f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali – principi di «integrità e riservatezza» dei dati.

Al riguardo, si osserva che il trattamento dei dati risulta lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni (articolo 6 del Gdpr):
“a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento (la base su cui si fonda tale trattamento dei dati deve essere stabilita dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento)
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (cfr. lett. c)
f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore” (lo stesso Il medesimo articolo 6 del Gdpr dispone che la disposizione contenuta nella lettera f) non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti).

Con riferimento alla liceità del trattamento dei dati, inoltre, l’articolo 23 del Gdpr dispone che il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o il responsabile del trattamento può limitare, mediante misure legislative, la portata degli obblighi e dei diritti di cui all’articolo 5, per salvaguardare: a) la sicurezza nazionale, b) la difesa, c) la sicurezza pubblica, d) la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica; e) altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare, un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale; f) la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari; g) le attività volte a prevenire, indagare, accertare e perseguire viola zioni della deontologia delle professioni regolamentate; h) una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri nei casi di cui alle precedenti lettere da a) a e) e g).
Al riguardo, si rileva che, con riferimento ai motivi di rilevante interesse di cui alla precedente lettera f), la normativa citata è attuata dalle disposizioni contenute nel Codice della privacy. Tra l’altro in tale sede viene trattato il tema dell’evasione fiscale; in particolare, a seguito dell’approvazione dell’articolo 1, comma 681, della legge di bilancio 2020, sono stati modificati gli articoli 2-sexies (Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante) e 2-undecies (Limitazioni ai diritti dell’interessato) del Codice della privacy, con l’inserimento tra le attività di rilevante interesse generale «quelle di prevenzione e contrasto all’evasione fiscale».

In particolare l’articolo 2-sexies e l’articolo 2-undecies richiedono, rispettivamente, che:
– i trattamenti dei dati particolari “siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”
– le limitazioni ai diritti degli interessati siano previste da “disposizioni di legge o di regolamento che regolano il settore, che devono almeno recare misure dirette a disciplinare gli ambiti di cui all’articolo 23, paragrafo 2, del Regolamento”.
Di conseguenza, le disposizioni contenute nel Codice della privacy, pur attribuendo a specifiche attività rilevanza meritevole di tutela, non prescindono mai dalla presenza di un’esplicita base giuridica di riferimento.

Infine, l’articolo 22 del Gdpr dispone che il soggetto interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione che:
– produca effetti giuridici che lo riguardano
– incida in modo analogo significativamente sulla sua persona.
In concreto, tale disposizione prevede un generale divieto ai trattamenti automatizzati da cui conseguono decisioni giuridiche, inclusa la profilazione e non trova applicazione nell’eventualità che la decisione automatizzata “sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato” (articolo 22 Gdpr).

continua