Con la sentenza del 26 aprile 2023 (causa T-557/20), il Tribunale dell’Unione Europea ha fornito un importate chiarimento in merito alla nozione di “dati pseudonimizzati” e alla possibilità che tali informazioni rientrino nella più generale categoria dei “dati personali”.

L’applicabilità del GDPR e – più in generale – della normativa privacy è legata innanzitutto alla definizione di “dato personale”. Tale definizione è molto ampia, proprio per assicurare una tutela forte, tramite l’applicazione estesa della normativa in questione.

Stabilire – come ha fatto il Tribunale UE – che i dati pseudonimizzati non devono sempre considerarsi dati personali significa escludere l’applicabilità della normativa privacy – e degli obblighi stringenti dalla stessa previsti – in tutta una serie di casi, aprendo nuovi inattesi spazi per lo sfruttamento di informazioni che non sono più riconducibili ad individui identificati o identificabili.

Facciamo un passo indietro ed esaminiamo con maggior dettaglio la decisione del Tribunale UE.

Un primo chiarimento è d’obbligo: la sentenza non ha avuto ad oggetto l’interpretazione del GDPR bensì del Regolamento (UE) 2018/1725, che disciplina il trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione Europea. Tuttavia, le nozioni di dato personale e dato pseudonimizzato previste nei due Regolamenti coincidono. Per questo, le conclusioni del Tribunale UE sono pienamente applicabili anche nell’interpretazione del GDPR.

Nell’ambito del programma di risoluzione del Banco Popular Espanol, il comitato di risoluzione creditizio unico (“CRU”) aveva chiesto agli azionisti e creditori della banca di presentare dei documenti giustificativi, che includevano anche dati personali degli interessati (in particolare, il documento di identità e la prova della proprietà degli strumenti di capitale della banca). Inoltre, il CRU aveva invitato azionisti e creditori a presente delle osservazioni sulla decisione preliminare presa dal CRU in merito al programma di risoluzione della banca.

Il CRU aveva poi attribuito un codice alfanumerico a ciascuna osservazione ricevuta. Il codice alfanumerico consisteva in un identificativo unico universale a 33 cifre, generato in modo casuale al momento della ricezione delle osservazioni di azionisti e creditori.

Il CRU aveva poi trasmesso a Deloitte – quale valutatore indipendente – le suddette osservazioni dopo averle filtrate, classificate ed aggregate. Le osservazioni recavano il codice alfanumerico attribuito dal CRU, senza però che Deloitte avesse le informazioni necessarie per poter risalire all’identità dei soggetti che avevano formulato le diverse osservazioni. Infatti, il CRU era l’unico soggetto a poter risalire all’identità degli interessati e a collegare le osservazioni agli altri dati personali ricevuti da questi ultimi.

Ciononostante, l’EDPS aveva riscontrato una violazione da parte del CRU, per non aver indicato Deloitte fra i soggetti destinatari dei dati personali, nell’informativa privacy fornita agli interessati.

Il Tribunale dell’Unione Europea ha annullato la decisione dell’EDPS, precisando che “per stabilire se le informazioni trasmesse a Deloitte [costituiscano] dati personali, occorre porsi dal punto di vista di quest’ultima per determinare se le informazioni che le sono state trasmesse si riferiscano a persone identificabili”.

In buona sostanza, la nozione di “dato pseudonimizzato” è relativa, potendo variare a seconda del soggetto dalla cui prospettiva si guarda l’accesso a quelle informazioni. Il solo fatto che un soggetto disponga delle informazioni necessarie per risalire all’identità degli interessati (come il CRU, nel caso di specie) non significa che le stesse conclusioni debbano raggiungersi in relazione ad altri soggetti, che hanno ricevuto i dati dal primo.

Il Tribunale UE chiarisce che per stabilire se un’informazione sia pseudonimizzata o anonima, si deve fare una valutazione delle circostanze concrete, volta a verificare se il soggetto che tratta i dati sia in grado di risalire all’identità degli individui a cui questi dati si riferiscono. In caso di risposta negativa, le informazioni devono considerarsi dati anonimi e, come tali, non soggetti all’applicazione della normativa privacy.

Come anticipato sopra, questa sentenza apre nuovi spazi allo sfruttamento dei dati. Spazi che la normativa privacy tende a soffocare, in nome del nobile intento di proteggere la riservatezza e la libertà degli individui.

Si tratta senz’altro di un fine di primaria importanza, riconosciuto dalla nostra Carta Costituzionale e dai Trattati dell’Unione Europea. Un fine che però deve essere adeguatamente contemperato con altri interessi meritevoli di tutela. Si pensi ad esempio alla ricerca scientifica o alla libertà di iniziativa economica.

Troppo spesso iniziative di istituzioni pubbliche e private che hanno come fine – mediato o immediato – l’interesse collettivo si scontrano con i limiti di imposti dalla normativa privacy, dovendo rinunciare a iniziative meritevoli.

Questa decisione del Tribunale dell’Unione Europea rappresenta un passo importante per poter superare i limiti di un approccio “privacy-centrico”, senza minare nella sostanza le garanzie che la stessa prevede a tutela delle libertà degli individui.

Su un simile argomento può essere interessante l’articolo: “Garante privacy: sanzionata una società per il trattamento dei dati biometrici dei propri lavoratori”.