Sentenza Corte di giustizia UE

Il 26 aprile 2023 la Corte di Giustizia dell’Unione Europea (“CGUE” o “Corte”) con la sentenza T-557/20 è tornata ad esprimersi su un tema molto importante quale quello dei requisiti per ritenere un dato anonimizzato. In particolare, la CGUE ha stabilito che i dati pseudonimizzati trasmessi a un destinatario (in questo caso ad una società di consulenza) non possono essere considerati dati personali se il destinatario non dispone di mezzi legali concretamente realizzabili che gli consentano di accedere alle informazioni aggiuntive, necessarie per poter reidentificare gli interessati

In altre parole, secondo la ricostruzione della CGUE, per verificare se le informazioni trasmesse ad un terzo possano essere considerate dati anonimizzati, è necessario mettersi nei panni del destinatario e verificare se, in concreto, quest’ultimo possa reidentificare l’interessato con le informazioni a lui a disposizione.

Analisi della sentenza della CGUE T-557/20 – Nel caso di specie il Comitato di Risoluzione Unico (“CRU”), nell’ambito di una procedura di risoluzione di un ente creditizio, ha dovuto raccogliere le opinioni di alcuni interessati coinvolti nella procedura (ad es. azionisti e creditori) per verificare la vantaggiosità dell’operazione rispetto invece ad una ordinaria procedura di insolvenza. Il CRU ha attribuito a ciascuna opinione un codice alfanumerico e ha poi trasmesso i dati ad una nota società di consulenza, affinché realizzasse la suddetta valutazione. Mediante tale codice alfanumerico, solo il CRU – e non la Società di consulenza – sarebbe stato in grado di riassociare l’opinione all’interessato.

A seguito di alcuni reclami, il Garante Europeo della Protezione dei Dati (“EDPS”) ha contestato al CRU la violazione degli obblighi informativi nei confronti degli interessati, in quanto l’informativa erogata non faceva

menzione del fatto che i dati personali sarebbero stati trasmessi a soggetti terzi (nel caso di specie la Società di Consulenza). Il CRU ha proposto ricorso dinanzi alla CGUE chiedendo l’annullamento della decisione dell’EDPS affermando che i dati trasmessi alla Società di consulenza erano di fatto anonimi non avendo la società accesso alle informazioni aggiuntive per poter reidentificare gli interessati e, pertanto, di non aver violato alcun obbligo informativo nei confronti degli stessi.

La Corte, dopo aver analizzato la vicenda, ha accolto il ricorso. Riprendendo le storiche sentenze Breyer (C-582/14) e Novak (C-434/16), la CGUE ha meglio chiarito quando un dato può essere considerato anonimo e quando, invece, debba essere considerato “dato personale”.

Partendo dalla definizione di dato personale, la Corte ha infatti ribadito che un’informazione costituisce un dato personale se sono soddisfatte cumulativamente due condizioni ossia:

– da un lato l’informazione deve “concernere” una persona fisica;

– dall’altro tale persona deve essere “identificata o identificabile”.

Rispetto al primo punto la CGUE ha precisato che la valutazione per accertare se un’informazione “concerne” o meno una persona fisica deve essere condotta in concreto.

Infatti, sebbene si possa in astratto presumere che le opinioni personali degli interessati siano qualificabili come dati personali, la valutazione deve essere condotta tramite un esame volto ad accertare in concreto se, per:

i) il suo contenuto; ii) scopo; iii) o effetto, un punto di vista possa essere collegato ad una persona specifica (cfr. ragionamento sentenza Novak).

Nel caso in esame la CGUE ha rilevato come l’EDPS non si era limitata a valutare le informazioni specificatamente trasmesse alla Società di Consulenza, svolgendo invece una valutazione generale sul fatto che punti di vista od opinioni personali costituiscono dati personali.

Rispetto invece al secondo punto, la Corte ha chiarito come la valutazione sull ‘”identificabilità” della persona fisica debba essere svolta in termini relativi e non assoluti, ossia ponendosi dal punto di vista del destinatario che riceve i dati.

La Corte ha infatti precisato che la sentenza sul caso Breyer (con la quale stabiliva che in presenza di informazioni aggiuntive, un dato anonimo può essere considerato pseudonimo) deve essere interpretata nel senso che, per effettuare la verifica sull’ “identificabilità” di un interessato, occorre porsi dal punto di vista del destinatario e determinare se, oltre alle informazioni che gli sono state trasmesse, quest’ultimo può avere accesso:

 -tramite sforzi ragionevoli e non eccessivi

– alle informazioni aggiuntive che gli consentirebbero di identificare il soggetto: dunque, la mera potenzialità di identificazione (consentita mediante l’associazione delle informazioni aggiuntive di carattere personale) non può condurre a ritenere automaticamente che il destinatario sia in grado di identificare ed identifichi l’interessato, dovendosi svolgere una valutazione sul piano pratico. Nel caso in esame la CGUE ha invece rilevato come l’EDPS non avesse distinto la posizione della Società di consulenza da quella del CRU, limitandosi ad esaminare la possibilità che gli interessati potessero essere reidentificati solo dal punto di vista del CRU.

In conclusione, sulla base di tali considerazioni, la Corte ha rilevato come l’EDPS non avesse verificato in concreto se la Società di consulenza disponeva in pratica di mezzi legali che le avrebbero consentito di accedere alle informazioni aggiuntive necessarie per reidentificare gli interessati.

Fonte: Compliance, mensile del Sole 24 Ore, 7 Luglio 2023, n. 6 –  cura di Stefano Foffani e Gabriella D’Amico di Rödl & Partner Italy e Federprivacy