Il Tribunale dell’UE ha stabilito che un dato pseudonimizzato trasmesso a un destinatario non è un dato personale se chi lo riceve non ha i mezzi tecnici e giuridici per re-identificare l’interessato.
Il fatto
La decisione (sentenza dello scorso 26 aprile nella causa T-557-20), è stata emessa in relazione ad una controversia insorta tra il Comitato di Risoluzione creditizio Unico spagnolo (“CRU”) e il Garante europeo della protezione dei dati (“European Data Protection Supervisor” o “EDPS”). In particolare, nell’ambito di una procedura di liquidazione nei confronti di una nota banca spagnola, gli azionisti e i creditori aventi diritto sono stati contattati dal Comitato di Risoluzione creditizio Unico il quale, al fine di porre in essere la procedura di indennizzo, ha chiesto loro l’invio di un modulo di iscrizione alla procedura stessa, raccogliendo in questo modo i dati personali identificativi dei richiedenti e, in un campo libero, le osservazioni pertinenti alla procedura. Dopo aver pseudonomizzato i dati, assegnando un codice alfanumerico casuale alle osservazioni e ai soggetti che le avevano presentate, il CRU ne ha estratto un sottoinsieme e lo ha condiviso con una Società di consulenza affinché quest’ultima procedesse ad effettuare alcune elaborazioni. A seguito di questo invio, cinque interessati hanno presentato un reclamo all’European Data Protection Supervisor segnalando che la Società di consulenza non era stata indicata tra i destinatari dei dati personali all’interno dell’informativa privacy.
L’EDPS ha accolto le lamentele degli interessati e considerato il mancato inserimento della Società di consulenza tra i destinatari del trattamento all’interno dell’informativa, una violazione del Regolamento (UE) 2016/679. Secondo l’European Data Protection Supervisor, infatti, i dati trasferiti dovevano essere qualificati come “pseudonimizzati” nonostante la Società di consulenza non avesse avuto alcun accesso ai codici che permettevano la re-identificazione degli interessati. In altre parole, secondo l’EDPS, la circostanza che la Società di consulenza non avesse avuto accesso alle informazioni detenute dal CRU che consentivano la re-identificazione degli azionisti e dei creditori non sarebbe stata di per sé sufficiente a rendere anonimi i dati pseudonimizzati.
Il CRU, dopo aver chiesto la revisione della decisione, che è stata accolta solo parzialmente, ha impugnato il provvedimento davanti al Tribunale dell’UE.
La decisione del Tribunale dell’UE
Chiamato a decidere sulla controversia, il Tribunale dell’UE si è soffermato anzitutto sulla nozione di “persona identificabile”, richiamando in molti punti la sentenza della Corte di giustizia dell’Unione europea (“CGUE”) del 19 ottobre 2016 (C-582/14, EU:C:2016:779) – c.d. Breyer. La questione sottoposta alla CGUE in tale occasione riguardava la possibilità di qualificare come “dato personale” un indirizzo di protocollo Internet dinamico (“IP”) nei confronti di un fornitore di servizi di media online che l’aveva registrato. La Corte, in questo caso, aveva statuito che, al fine di verificare se l’indirizzo IP potesse essere qualificato come informazione riferita a una “persona fisica identificabile”, sarebbe stato necessario tenere in considerazione, da un lato, il fatto che esso non offriva, di per sé, a tale fornitore la possibilità di identificare l’utente che aveva consultato il sito Internet e, dall’altro, il fatto che le informazioni aggiuntive necessarie che, se combinate con tale indirizzo IP, avrebbero consentito di identificare detto utente, erano in possesso del fornitore di accesso a Internet. Sulla base di tale considerazione, i giudici della Corte di giustizia avevano affermato che un indirizzo IP dinamico registrato da un fornitore di servizi di media online costituisce, nei confronti di tale fornitore, un dato personale “(..) qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di detta persona dispone”.
Il Tribunale dell’UE, chiamato a dirimere la causa T-557-20, ha anzitutto ritenuto assimilabile, nel caso concreto, la posizione della Società di consulenza a quella del fornitore di servizi di media online che non era in possesso di informazioni attinenti a una “persona fisica identificata o identificabile”. Infatti, il codice alfanumerico detenuto dalla Società di consulenza non consentiva di rivelare direttamente l’identità della persona fisica che aveva compilato il modulo. Parallelamente, secondo i giudici lussemburghesi, la posizione del Comitato di Risoluzione creditizio Unico poteva essere paragonata a quella del fornitore di accesso a Internet, che era l’unico a detenere le informazioni aggiuntive (codice alfanumerico e banca dati di identificazione) necessarie per re-identificare gli azionisti e i creditori che avevano risposto al modulo. Ciò premesso, il Tribunale dell’UE, sulla scia del ragionamento e dell’impostazione adottati dalla CGUE nella c.d. sentenza Breyer, ha dapprima affermato che per determinare se le informazioni trasmesse al terzo costituiscono dati personali, “è necessario mettersi nella posizione del terzo” e ha poi chiarito che tali informazioni costituiscono “dati personali” – e quindi rientrano nell’ambito di applicazione del GDPR – soltanto se il destinatario dispone dei mezzi per accedere alle informazioni aggiuntive necessarie per re-identificare le persone interessate. Il fatto che il mittente abbia i mezzi per re-identificare gli interessati non significa quindi che i dati trasmessi siano automaticamente dati personali anche per il destinatario. Nel caso concreto, il Tribunale dell’UE ha ritenuto che le informazioni trasmesse alla Società di consulenza non costituissero informazioni relative a una “persona fisica identificata o identificabile”, in quanto il destinatario dei dati non disponeva di alcun mezzo per re-identificare gli azionisti e i creditori.
Conclusioni
La decisione del Tribunale dell’UE ha fornito un’importante precisazione in merito alla distinzione tra i concetti di dati pseudonomizzati e dati anonimi. In particolare, i giudici del Tribunale dell’UE hanno chiarito, in primo luogo, che la natura giuridica del dato deve essere verificata in relazione al soggetto che sta trattando il dato stesso; solo se quest’ultimo non dispone dei mezzi tecnici e giuridici per re-identificare le persone fisiche cui i dati si riferiscono, questi potranno essere considerati anonimi e quindi non soggiacere alla disciplina del GDPR.
Un altro tema importante che è emerso nella sentenza in esame riguarda l’identificazione del soggetto che, in concreto, è chiamato a svolgere questa valutazione. Nel caso specifico trattandosi di un procedimento dell’EDPS sorto a seguito della presentazione di diversi reclami da parte degli interessati, l’analisi è stata svolta dallo stesso EDPS. In una situazione fisiologica di applicazione del GDPR, invece, occorrerà applicare il principio di accountability: sarà quindi il soggetto che tratta i dati personali a dover dimostrare che il rischio di re-identificazione è basso o comunque improbabile e che quindi tali dati possano essere considerati anonimi.
Marta Negrati