Update | La qualificazione dei dati pseudonimizzati: il recente orientamento del tribunale UE
Con una sentenza di aprile 2023, il Tribunale UE si è pronunciato sulla qualificazione dei dati pseudonimizzati come dati personali.
La causa T-557/20
La causa in esame verte sulla asserita illecita trasmissione, da parte di una banca, di dati di propri clienti ad una società di consulenza, non elencata nell’informativa privacy tra i possibili destinatari del trattamento.
La banca si è difesa avverso tale contestazione sostenendo di aver trasmesso tali dati solo previa pseudonimizzazione degli stessi, assicurandosi che il soggetto destinatario non potesse re-identificare l’identità delle persone cui tali informazioni si riferivano e, conseguentemente, sulla base del presupposto che la normativa privacy non trovasse più applicazione nell’ambito di tale condivisione di dati.
Il Tribunale UE, chiamata a decidere sul caso, ha aderito alle argomentazioni della banca.
Infatti, con la sentenza del 26 aprile 2023, il Tribunale UE ha precisato che i dati personali pseudonimizzati non devono essere automaticamente qualificati come dati personali: a detta di tale autorità, in particolare, occorre effettuare una valutazione sul caso concreto al fine di determinare se, nella fattispecie oggetto di analisi, il soggetto ricevente dispone effettivamente di mezzi legali e concretamente realizzabili che gli permettano di accedere alle informazioni aggiuntive necessarie per la re-identificazione degli interessati, in assenza dei quali, le informazioni in questione non sono qualificabili come dati personali e, quindi, disciplinate dal GDPR.
Dubbi interpretativi rispetto alla normativa precedente
La pronuncia di cui sopra pone diverse problematiche interpretative sia con riguardo alla differenza tra dato pseudonimo e dato anonimo sia con riferimento alla caratteristica di assolutezza che da sempre connota il dato personale.
È necessario, allora, condurre un breve raffronto tra la vigente normativa in materia di protezione di dati personali e la decisione del Tribunale UE per meglio inquadrare la questione.
Con il termine pseudonimizzazione, ex art. 4, punto 5 del GDPR, si intende: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.
È un dato anonimo, invece, un dato che non può più essere associato alla persona cui si riferisce.
Tale distinzione è fondamentale in quanto il dato pseudoanonimo è un dato personale ed è disciplinato dal GDPR, di cui la pseudoninimizzazione rappresenta solo una misura di sicurezza informatica posta a tutela della riservatezza di tale informazione.
Il dato anonimo, invece, è un dato che è stato irreversibilmente scollegato dall’interessato e che non rientra, pertanto, nell’ambito di applicazione della normativa in materia di protezione dei dati personali.
Risulta fondamentale, quindi, comprendere che il tema dell’irreversibilità si pone quale elemento dirimente per attribuire la natura di dato personale o anonimo ad una determinata informazione.
Nel Considerando 26 del GDPR si precisa che “per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente”.
Nonostante le tecniche di anonimizzazione siano create al fine impedire la re-identificazione dell’interessato, anche in considerazione del parere 05/2014 fornito dal Gruppo di lavoro Articolo 29 relativo alle tecniche di anonimizzazione, non è possibile assumere una posizione di assoluta certezza sulla resistenza delle predette misure rispetto ad eventuali e potenziali tentativi di re-identificazione; il costante sviluppo di nuove tecnologie, infatti, non permette di escludere in assoluto la violazione delle misure di sicurezza predisposte di volta in volta.
Autorevole dottrina, a tal proposito, ha osservato che utilizzare il criterio della “ragionevole probabilità”, al posto del parametro della “mera possibilità” per stabilire se un dato pseudonimizzato rientri o meno nell’alveo del GDPR, si espone a rischi di illecito trattamento dei dati rispetto al verificarsi di determinati eventi (es. attacchi hacker) e tenuto anche in conto che ai fini dell’identificazione di una persona, è sufficiente la sua individuazione all’interno di un determinato contesto e non in termini assoluti.
La sentenza in esame sembra aver considerato solo in parte le suddette osservazioni, poiché, pur volendo circoscrivere la possibilità di re-identificazione ai soli mezzi legali e concretamente realizzabili a disposizione della parte che riceve le informazioni pseudoanonimizzate, resta comunque presente, anche solo potenzialmente, l’eventuale e futuro rischio di re-identificazione degli interessati, non potendo aversi certezza assoluta circa l’irreversibilità dei dati ricevuti dal destinatario.
Inoltre, occorre considerare che il concetto di dato personale deve essere inteso in maniera assoluta; di conseguenza, qualificandosi anche il dato pseudonimo come dato personale, anche quest’ultimo deve essere connotato dalla caratteristica di assolutezza. Risulta, allora, difficile comprendere come la decisione in esame possa permettere la convivenza tra l’assolutezza del dato personale e la eventuale relatività del dato pseudonimo.
Infatti, una volta qualificata un’informazione come “dato personale” in un determinato contesto, la stessa conserva la sua qualifica di “dato personale” in ogni altro contesto.
Conclusioni e riflessioni
Il nuovo orientamento della CGUE in tema di dato pseudoaninimo presenta indubbi vantaggi ai fini della circolazione dei dati tra soggetti terzi, soprattutto in alcuni contesti specifici come la ricerca scientifica e le analisi di mercato.
Occorre però osservare che tale orientamento espone la banca dati interessata a numerosi rischi di re-identificazione.
Le perplessità sul punto, inoltre, aumentano se si considera che, nel caso di trattamento dati appartenenti alla categoria di dati personali particolari, questi ultimi riguardano informazioni personali tutelate anche a livello costituzionale (es. salute, opinioni politiche, ecc.), costituendo informazioni altamente sensibili che richiedono una costante e puntuale tutela.
In attesa di ulteriori sviluppi dottrinali e giurisprudenziali in merito alla questione posta in esame, non resta, quindi, che aspettare chiarimenti sull’orientamento da seguire e, nel frattempo, adottare un comportamento diligente e prudente rispetto al trattamento di dati personali, per evitare di incorrere in violazioni che potrebbero determinare danni consistenti e rilevanti nei confronti di tutti i soggetti interessati dai trattamenti dati.