EDPB, in consultazione pubblica le Linee guida sulla pseudonimizzazione

Nel corso della riunione plenaria svoltasi lo scorso 17 gennaio, il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato i propri orientamenti sulla pseudonimizzazione, oltre a una dichiarazione sull'interazione tra il diritto della concorrenza e la protezione dei dati.

L'EDPB chiarisce l'uso della pseudonimizzazione per la conformità al GDPR - Il regolamento generale sulla protezione dei dati introduce il termine "pseudonimizzazione" e vi fa riferimento come garanzia che può essere adeguata ed efficace per soddisfare gli obblighi in materia di protezione dei dati. Nei suoi orientamenti, l'EDPB chiarisce la definizione e l'applicabilità della pseudonimizzazione e dei dati pseudonimizzati, nonché i vantaggi della pseudonimizzazione.

Il commento di Zdravko Vukíc, vicepresidente dell'EDPB: "Con l'evolversi dei modelli aziendali, la necessità di proteggere i dati personali sta diventando sempre più centrale. L'EDPB promuove la coerenza tra ambiti normativi separati ma interagenti, al fine di garantire la migliore protezione possibile delle persone. A tal fine, continueremo a collaborare con le autorità garanti della concorrenza per rafforzare la capacità delle autorità di protezione dei dati (DPA) di tenere conto del contesto economico e la capacità delle autorità garanti della concorrenza di integrare considerazioni relative alla protezione dei dati nelle loro valutazioni e decisioni."

Sono due gli importanti chiarimenti giuridici forniti dagli orientamenti:

• I dati pseudonimizzati, che potrebbero essere attribuiti a una persona fisica mediante l'uso di informazioni aggiuntive, rimangono informazioni relative a una persona fisica identificabile e sono pertanto ancora dati personali. In effetti, se i dati possono essere ricollegati a una persona fisica dal titolare del trattamento o da qualcun altro, rimangono dati personali.
• La pseudonimizzazione può ridurre i rischi e facilitare l'utilizzo degli interessi legittimi come base giuridica (articolo 6, paragrafo 1, lettera f), del GDPR), purché siano soddisfatti tutti gli altri requisiti del GDPR. Analogamente, la pseudonimizzazione può contribuire a garantire la compatibilità con la finalità originaria (articolo 6, paragrafo 4, GDPR).

Le linee guida spiegano anche in che modo la pseudonimizzazione può aiutare le organizzazioni a soddisfare i loro obblighi relativi all'attuazione dei principi di protezione dei dati (articolo 5 GDPR), protezione dei dati fin dalla progettazione e per impostazione predefinita (articolo 25 GDPR) e sicurezza (articolo 32 GDPR). Dalle stesse linee guida sono analizzate le misure tecniche e le garanzie, quando si utilizza la pseudonimizzazione, per garantire la riservatezza e impedire l'identificazione non autorizzata delle persone.

Gli orientamenti saranno oggetto di consultazione pubblica fino al 28 febbraio 2025, offrendo ai portatori di interessi l'opportunità di formulare osservazioni e consentendo l'integrazione degli sviluppi futuri nella giurisprudenza.