Se il destinatario di un dato anonimo non ha i mezzi tecnici (le chiavi) per identificare il soggetto cui quell’informazione si riferisce, allora quello non è un dato personale. È questo il principio stabilito dalla recente sentenza della Corte di giustizia dell’Unione europea che rende, allora, il dato anonimo non più una chimera.
I fatti
Con la sentenza del 26 aprile scorso, nella causa T‑557/20, la Corte di Giustizia della Corte UE ha dato ragione al Comitato di risoluzione unico (CRU), l’autorità di risoluzione delle crisi dell’Unione bancaria europea e ha condannato alle spese processuali il Garante Privacy Europeo.
Il CRU, dopo aver raccolto, attraverso un modulo sul proprio sito web, 7 risposte aperte da parte di azionisti e creditori interessati, ha trasferito queste risposte a Deloitte per una valutazione. Il Comitato di risoluzione unico non ha trasferito i dati in chiaro di coloro che hanno risposto al sondaggio, ma solo le risposte con un codice alfanumerico. I dati sono rimasti anonimi, in quanto il CRU non avrebbe condiviso con Deloitte le informazioni che consentivano di reidentificare gli autori delle osservazioni.
Ma il Garante Privacy Europeo ha, invece, considerato questi dati non anonimi, ma pseudonimizzati. Per due motivi:
- sia perché le osservazioni della fase di consultazione erano dati personali
- sia perché il CRU condivideva il codice alfanumerico che consentiva di collegare le risposte ricevute nella fase di iscrizione a quelle della fase di consultazione, sebbene i dati forniti dai partecipanti per identificarsi durante la fase di iscrizione non fossero stati comunicati a Deloitte.
Per questi due motivi, il Garante Privacy Europeo, ritenendo che Deloitte fosse un destinatario di dati personali, ha ritenuto il Comitato di risoluzione unico autore della violazione dell’articolo 15 del GDPR, per non aver citato Deloitte nell’informativa privacy.
La decisione della Corte di Giustizia dell’UE, un principio storico
La Corte ha capovolto la decisione del Garante. Ed ha affermato che “è pacifico, da un lato, che il codice alfanumerico figurante sulle informazioni trasmesse a Deloitte non consentiva di per sé di identificare gli autori delle osservazioni e, dall’altro, che Deloitte non aveva accesso ai dati identificativi ricevuti durante la fase di iscrizione che consentivano di collegare i partecipanti alle loro osservazioni grazie al codice alfanumerico”.
Inoltre, durante il processo è emerso che il Garante non neanche verificato se Deloitte disponeva di mezzi legali e realizzabili in pratica che le consentissero di accedere alle informazioni aggiuntive necessarie per la reidentificazione degli autori delle osservazioni. Per questo motivo, è scritto nella sentenza, il Garante non poteva concludere che le informazioni trasmesse a Deloitte costituissero dati personali.
Detto questo, il Tribunale fa sapere che “esaminerà nel prosieguo la valutazione del Garante volta a chiarire se le informazioni trasmesse a Deloitte concernessero una persona fisica ‘identificata o identificabile”. Ossia, i giudici in un secondo momento andranno a verificare se realmente le informazioni trasmesse a Deloitte fossero dati personali.
Ad oggi è importante soffermarsi sul principio stabilito dalla Corte di Giustizia dell’UE:
- per stabilire se le informazioni trasmesse a terzi costituiscano dati personali, occorre porsi dal punto di vista di questi ultimi per determinare se le informazioni che sono state trasmesse si riferiscano a «persone identificabili». Ossia se soggetti terzi hanno i mezzi legali disponibili per consentire loro di avere accesso alle informazioni aggiuntive necessarie per re-identificare le persone a cui appartengono i dati.
I commenti degli esperti
“Il dato anonimo non è più una chimera? Così pare, secondo la Corte di Giustizia Ue. Cool”, ha commentato Pietro Calorio, avvocato esperto di Privacy.
“Per stabilire se un’informazione costituisce dato personale occorre considerare se il ricevente sia in grado o meno di identificare il soggetto cui quell’informazione si riferisce”, ha osservato Maria Grassetto, avvocato esperta di protezione dei dati.
“Questa decisione della Corte di Giustizia dell’Unione europea che cambia il concetto di dato personale potrebbe essere il game changer in tanti aspetti pratici privacy. Tra le prime semplificazioni, non sarebbe più necessario nominare i responsabili che trattano dati personali pseudonimizzati se non hanno accesso alla chiave”, ha notato Maurizio Pastore, dirigente servizi privacy e sicurezza di Liguria Digitale.
“Non è che il dato pseudonimo non è più personale dopo questa sentenza. Se si verificano le condizioni poste, si è fuori dal regime normativo della data protection. Il punto vero”, ha affermato Alessandro Del Ninno, avvocato esperto di protezione dei dati, “ruota intorno alla possibilità di reidentificazione: e questa possibilità – come ben evidenziato fin dal Parere WP 5/2014 sulle tecniche di anonimizzazione – può mutare nel tempo. E se alla luce delle tecniche odierne una informazione pseudonimizzata oggi non reidentifica più l’interessato, domani questa stessa informazione – con il progresso delle tecniche – potrebbe tornare ad essere un dato personale. Questo è l’assessment vero e permanente. Comunque”, ha concluso Del Ninno, “attendiamo anche le nuove Linee Guida sulla pseudonimizzazione che l’EDPB ha in agenda per il 2023/2024”.