Accedi o registrati

Login Registrati Ora
Hot topic News

Dato pseudonomizzato e recente sentenza della CGUE

La recente sentenza della Corte di Giustizia dell’Unione Europea del 4 settembre 2023 (causa C-413/21) ha segnato un punto di svolta nell’interpretazione della nozione di dato pseudonimizzato e della sua qualificazione come dato personale.

L’origine della controversia

La vicenda trae origine dalla risoluzione del 2017 adottata dal Comitato di risoluzione unico (SRB), con la quale veniva riconosciuto un indennizzo agli azionisti e creditori del Banco Popolare Spagnolo.

Nel 2018, durante la procedura di audizione, il Comitato inviò un questionario ai soggetti interessati raccogliendo i dati identificativi, accessibili solo a un team autorizzato.

In una fase successiva, le risposte vennero associate a un codice alfanumerico e rese accessibili a un diverso team, senza più alcun collegamento diretto con i dati identificativi. Infine, tali dati “filtrati” furono trasmessi a una società esterna per le valutazioni, mantenendo la possibilità di riconnessione agli autori solo in capo al Comitato .

Le questioni sottoposte alla Corte

La Corte di Giustizia è stata chiamata a chiarire due aspetti fondamentali:

  • se e a quali condizioni un’informazione rientra nella nozione di dato personale;
  • quando e a quali condizioni un dato pseudonimizzato possa qualificarsi come dato personale .

Il chiarimento sul concetto di dato personale

La Corte ha ribadito che, per qualificarsi come dato personale, un’informazione deve riferirsi a una persona fisica identificata o identificabile. L’identificabilità dipende dagli strumenti che il titolare del trattamento o un terzo possono ragionevolmente utilizzare per risalire alla persona .

La pseudonimizzazione secondo la Corte

La pseudonimizzazione è una misura tecnico-organizzativa di sicurezza che mira a ridurre il rischio di identificazione dell’interessato. Tuttavia, la vera novità introdotta dalla sentenza è l’abbandono dell’automatismo: i dati pseudonimizzati non sono sempre e comunque considerati dati personali.

La qualificazione dipende caso per caso:

  • se il titolare dispone dei mezzi per ricollegare il dato all’interessato, allora quel dato pseudonimizzato è un dato personale;
  • se invece un terzo non ha la possibilità di effettuare tale collegamento, per quest’ultimo il dato non si configura necessariamente come personale .

Le implicazioni pratiche della pronuncia

Questa decisione ha importanti conseguenze per la protezione dei dati personali:

  • si supera l’idea che i dati pseudonimizzati siano automaticamente dati personali;
  • si valorizza il principio di accountability, responsabilizzando i titolari nel valutare concretamente il grado di identificabilità;
  • si riconosce che lo stesso set di dati può assumere una duplice natura: dato personale per il titolare, ma non per un terzo privo degli strumenti di riconnessione .

Conclusioni

La sentenza della Corte di Giustizia UE rappresenta un passaggio cruciale per l’interpretazione della pseudonimizzazione. Essa porta il concetto fuori dall’astratto, calandolo in una dimensione operativa che obbliga a valutazioni concrete e contestuali.

Si tratta di un approccio che rafforza la tutela dei diritti degli interessati senza imporre un automatismo giuridico, ma introducendo una logica di analisi caso per caso che incide direttamente sulle prassi di trattamento dei dati da parte di imprese ed enti pubblici.

DATO PSEUDONIMIZZATO CGUE

Le ultime interviste

Perché smettere di tagliarsi le ore lavorate?

Anna Elena Brolis
Guarda

Proposta modifica GDPR: reazioni dell'EDPB e del Garante europeo

Rossella Bucca
Guarda

Come sta evolvendo il ruolo del partner?

Anna Elena Brolis
Guarda

Vedi tutte