Dati pseudonimizzati: il dato è personale per chi?

La Corte di Giustizia Europea ha emesso una sentenza (del Tribunale Ottava Sezione ampliata di data 26 aprile 2023, causa T-557/20) particolarmente significativa in tema di dati pseudonomizzati. La Corte è stata tenuta a decidere se Deloitte ha trattato o meno dati personali con tutte le conseguenze del caso. A tal proposito si ricorda che l’articolo 3, punto 1, del Regolamento 2018/1725, definisce i dati personali come “qualsiasi informazione concernente una persona fisica identificata o identificabile”. 

di Domenico Battaglia - Avvocato, titolare di studio legale in Bolzano, D.P.O. dell’Ordine degli avvocati di Bolzano. Delegato provinciale e membro del gruppo di lavoro per la tutela della privacy nella gestione del personale di Federprivacy

La stessa definizione la troviamo all’articolo 4 del GDPR. La definizione contiene quattro elementi fondamentali (“qualsiasi informazione”, “concernente”, “persona fisica”, “identificata o identificabile”). I quattro elementi fondamentali sono strettamente connessi fra loro e si alimentano reciprocamente. Soffermandoci sul concetto di identificabilità, è necessario chiarire alcuni aspetti. Al riguardo ci aiuta molto il WP 136, Parere n. 4/2007 sul concetto di dati personali. In linea generale, si può considerare “identificata” la persona fisica che, all’interno di un gruppo, è “distinta” da tutti gli altri membri. Di conseguenza, la persona fisica è “identificabile” quando, sebbene non sia stata ancora identificata, è possibile identificarla. La persona, quindi, non è identificata ma può esserlo indirettamente attraverso le altre informazioni particolari c.d. “identificatori”. 

Pseudonimizzazione

A questo punto è bene ricordare che la “pseudonimizzazione” è il processo volto a mascherare l’identità. L’obiettivo è poter raccogliere dati complementari sulla stessa persona senza doverne conoscere l’identità. Se questo è vero, la Corte si è trovata a dover decidere se i dati pseudonimizzati con sistema non tracciabile per il soggetto che li riceve siano da considerarsi o meno dati personali. In pratica, se chi riceve i dati “non è in grado” di identificare la persona fisica sta trattando dati o dati personali? 

Personali o no?

Il caso, che riguarda una procedura di indennizzo, coinvolgeva il Comitato di Risoluzione creditizio Unico (CRU) e il suo fornitore Deloitte. Il CRU è stato travolto da reclami di persone fisiche, che si sono rivolte all’EDPS (l’autorità di controllo per la protezione dei dati personali da parte delle istituzioni UE) per utilizzo illecito dei dati personali. Il CRU, ammonito dall’EDPS,  ha impugnato l’atto di fronte alla Corte, uscendone vincitore. La Corte di Lussemburgo ha infatti statuito che i dati sono, sì, a tutti gli effetti pseudonimizzati, poiché caratterizzati da informazioni aggiuntive tali da dischiudere e svelare i reali soggetti, ma lo sono solo per il CRU, non per Deloitte, per la quale perciò i dati risultano essere né identificati né identificabili. Per dirla con la Corte, “il GEPD si è limitato ad esaminare la possibilità di reidentificare gli autori delle osservazioni dal punto di vista del CRU e non di Deloitte” mentre avrebbe dovuto “porsi dal punto di vista di quest’ultima per determinare se le informazioni che le sono state trasmesse si riferiscano a «persone identificabili»”.

Bisogna contestualizzare

In sostanza, la Corte afferma che dipende dai soggetti: alcuni dati potrebbero essere pseudonimizzati per un soggetto e anonimi per un altro: quindi occorrerà valutare caso per caso la re-identificabilità soggetto per soggetto coinvolto.