Consulenza Cinieri
Soluzioni integrate per la tua Azienda

Effetti della pseudonimizzazione – 3 I punti fermi del giudice comunitario

La Corte di giustizia Ue, con la sentenza del 23 aprile 2023, ha rilevato che il Garante europeo della protezione dei dati non aveva esaminato né il contenuto, né la finalità, né l’effetto delle informazioni oggetto di contestazione e, in particolare, che si era “… limitato ad indicare che le osservazioni prodotte dai reclamanti durante la fase di consultazione riflettevano le loro opinioni o i loro punti di vista e a concludere, su questa sola base, che esse costituivano informazioni che li concernevano, il che era sufficiente per qualificarle come dati personali”.

Nel dettaglio, il Garante sosteneva che il fatto che i terzi non avessero avuto accesso alle informazioni detenute dal Cru, le quali consentivano la reidentificazione dei soggetti cui si riferivano le informazioni trasmesse, non comportava che i dati “pseudonimizzati” fossero divenuti dati anonimi, atteso che gli stessi “rimarrebbero tali anche quando vengono trasmessi a terzi che non dispongono di informazioni aggiuntive”.
Il Gepd riteneva che, affinché un’informazione sia qualificata come dato personale, non era necessario che essa consentisse di per sé sola di identificare la persona interessata. Inoltre, per quanto riguarda i mezzi che potevano essere ragionevolmente utilizzati sia dal titolare del trattamento sia da qualsiasi altra persona, non sarebbe stato richiesto che tutte le informazioni che consentivano di identificare l’interessato dovessero trovarsi in possesso di una sola persona; per il Gdep “la differenza tra i dati «pseudonimizzati» e i dati anonimi risiedeva nel fatto che, nel caso di dati anonimi, non esistevano «informazioni aggiuntive» che potessero essere utilizzate per attribuire i dati a uno specifico interessato, mentre nel caso di dati «pseudonimizzati» siffatte informazioni aggiuntive esistevano. Pertanto, al fine di valutare se i dati fossero anonimi o «pseudonimizzati», occorreva esaminare se esistessero «informazioni aggiuntive» che potevano essere utilizzate per attribuire i dati a determinati interessati”, senza che fosse rilevante che le stesse fossero nella disponibilità del soggetto ricevente.

Al riguardo la Corte, nel premettere “che, visti i meccanismi messi in atto dal CRU in merito al trattamento dei dati raccolti nell’ambito della procedura relativa al diritto di essere ascoltati, come descritto ai punti da 14 a 24, le informazioni trasmesse a […] non riguardavano persone «identificate»” ha richiamato il considerando 16 del regolamento 2018/1725, il quale prevede che “i dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori oggettivi, tra cui i costi e il tempo necessari per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento sia degli sviluppi tecnologici”.

Va evidenziato che il considerando 16 del regolamento 2018/1725 è identico nel testo al considerando 26 del Gdpr «I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici». Peraltro entrambi i considerando chiariscono che «I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato».

Inoltre, il giudice comunitario ha citato la sentenza del 19 ottobre 2016, Breyer (C‑582/14, Eu: C:2016:779) con cui la Corte ha dichiarato, che laddove l’identificazione della persona interessata fosse vietata dalla legge o fosse praticamente irrealizzabile, per esempio, a causa del fatto che implicherebbe un dispendio di tempo, di costo e di manodopera, tale condizione faceva apparire “in realtà insignificante il rischio di identificazione”.

Quindi il Gepd versava in errore quando sosteneva che non era necessario verificare se gli autori delle informazioni trasmesse ai terzi fossero reidentificabili da quest’ultimi o se tale reidentificazione fosse ragionevolmente possibile.

In particolare, dalla sentenza Breyer, si evinceva che incombeva al Garante stabilire se la possibilità di combinare le informazioni fornite ai terzi con le informazioni aggiuntive in possesso del Cru costituisse un mezzo che poteva essere ragionevolmente attuato dai terzi stessi per identificare gli autori delle osservazioni.

La Corte ha quindi ritenuto che “poiché il GEPD non ha verificato se” i terzi disponevano “di mezzi legali e realizzabili in pratica che le consentissero di accedere alle informazioni aggiuntive necessarie per la reidentificazione degli autori delle osservazioni, il GEPD non poteva concludere che le informazioni trasmesse a […] costituissero informazioni concernenti una «persona fisica identificabile» ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725”.

Detto ciò, appare plausibile ritenere che la Corte abbia inteso chiarire quali siano i criteri da utilizzare per stabilire se le informazioni possano considerarsi riferibili a soggetti “identificabili” o meno, esplicitando che non si possa procedere per presunzioni “astratte” e che la valutazione sulla indentificabilità vada fatta con riferimento allo specifico caso concreto.

fine
La prima puntata è stata pubblicata mercoledì 7 giugno
La seconda puntata è stata pubblicata venerdì 9 giugno