Della sentenza con cui la Corte di Giustizia Europea torna a trattare delle nozioni di dato personale e di dato pseudonimizzato moltissimi tra noi hanno già dato notizia.
In un primo momento è parsa esserci una netta divisione tra chi intravedeva profili di grande svolta nella pronuncia e chi, invece, si attestava su una posizione diversa, non riconoscendo tale lettura e sostenendo che quanto statuito nella causa C‑413/23 P era già ben delineato in precedenti pronunce.
Indice degli argomenti
Il contesto della sentenza e il dibattito iniziale
A ben vedere, però, anche chi ha introdotto l’argomento sostenendo la seconda posizione, ha riconosciuto a questa pronuncia profili di maggiore chiarezza, anche alla luce della impostazione diametralmente diversa seguita sin qui da moltissime Autorità di Controllo.
Tutti, insomma, hanno individuato nella Sentenza una utile leva per scardinare l’interpretazione davvero restrittiva che, lungi dal fermarsi ai dati pseudonimizzati, sta impattando anche sui dati anonimizzati (ricorderete il bell’articolo di Carmine Maria Trovato dal titolo provocatorio “l’anonimizzazione, è morta?”) e che rischia di impattare sui dati sintetici, bloccando di fatto la possibilità di utilizzo secondario di informazioni personali per fini anche molto molto nobili.
I Colleghi che hanno trattato l’argomento su Linkedin (Luca Bolognini, tra i primi, ma anche Diego Fulco, Lorenzo Cristofaro, Laura Liguori, Andrea Lisi, Alessandro del Ninno, Enrico Pelino, Silvia Stefanelli, Adriano D’Ottavio, Federica De Stefani, Lucio Scudiero, solo per citarne alcuni) hanno, a nostro parere, fatto un lavoro egregio di analisi, e non riteniamo quindi utile aggiungere nulla.
Pensiamo però sia utile fare un brevissimo recap di quanto stabilito dalla CGUE per poi tentare di trarre delle conclusioni concrete che, se possibile, rispondano alla domanda che aleggia come un elefante nella stanza e che si può riassumere con un “ok…ma adesso che si fa?”O, meglio: “cosa si può fare di diverso da prima?”
Definizione di dato personale e rilevanza del contesto
Come detto, oggetto della vertenza in linea generale è se il dato pseudonimizzato possa essere considerato dato personale a seconda delle circostanze del caso concreto, del contesto e dei mezzi o strumenti che consentono di identificare l’interessato? Oppure – si discute – il dato pseudonimizzato è sempre e comunque un dato personale?
L’analisi muove dalla nozione di dato personale, costituito da qualsiasi informazione che riguarda una persona fisica identificata o identificabile.
Stabilire cosa sia e come effettuare l’identificabilità comporta di per sé la necessità di valutare di volta in volta se le informazioni trattate possono consentire di individuare l’interessato, stimolando uno sforzo interpretativo soggettivo dettato dall’analisi delle circostanze del caso concreto. Da qui la relativizzazione del concetto di dato personale.
La pseudonimizzazione come processo e non come definizione
Una volta chiarita tale nozione, si può tentare di metterla a confronto con quella di dato pseudonimizzato, ed è questo il punto in cui è davvero è possibile rinvenire l’evoluzione interpretativa della CGUE.
Una volta per tutte la Corte stabilisce che i dati pseudonimizzati non sono di per sé dati personali e soprattutto che la pseudonimizzazione è un processo, ossia un’operazione di trattamento che ha come obiettivo quello di evitare di identificare gli interessati attraverso i soli dati pseudonimizzati.
Il principio enunciato è particolarmente chiaro – qui sta l’innovazione di cui sopra – in un particolare passaggio della sentenza: “la pseudonimizzazione non costituisce quindi un elemento della definizione dei «dati personali», ma si riferisce all’attuazione di misure tecniche e organizzative dirette a ridurre il rischio di mettere in correlazione un insieme di dati con l’identità degli interessati. Secondo il considerando 17 di detto regolamento, la pseudonimizzazione «può [solo] ridurre i rischi» di una siffatta correlazione per tali persone e, di conseguenza, «aiutare i titolari del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati».”
Che poi tale concetto sia del tutto nuovo non è interamente veritiero, in quanto la stessa CGUE ha richiamato precedenti le sentenze del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779, punti 44, 47 e 48) e del 7 marzo 2024, IAB Europe (C‑604/22, EU:C:2024:214, punti 43 e 48), che già precisavano come dei dati di per sé impersonali, raccolti e conservati dal titolare del trattamento, potevano in ogni caso consentire l’identificazione della persona fisica interessando nel caso in cui il titolare del trattamento disponesse di strumenti giuridici per ottenere da altri le informazioni aggiuntive che consentivano di identificare tale persona.
Valutazione del rischio e analisi di re-identificazione
Detto ciò: se si vuole sfruttare l’apertura offerta dalla CGUE con questa sentenza, cosa occorre fare?
È la Corte stessa, a indicare la via. Nel proseguo del suo ragionamento, infatti, precisa che nell’ambito di tale processo occorre considerare tutti i mezzi ragionevolmente possibili, tali da comportare l’identificabilità: in a nutshell, si torna alla analisi e valutazione del rischio. Quale rischio? Il rischio di re-identificazione.
Il titolare dovrà valutare se il terzo – a cui comunica i dati – possa disporre di strumenti tali da consentirgli l’identificabilità dei soggetti cui i dati si riferiscono.
Per farlo, dovrà ragionare sui mezzi legali di cui il terzo dispone e sulle sue ragionevoli possibilità di attuare la re-identificazione.
Il secondo livello di analisi e valutazione del rischio dovrà necessariamente essere dedicato alle fattispecie patologiche: quale è il rischio che un data breach (di qualsiasi natura) determini la re-identificabilità dei soggetti interessati dai dati trasferiti al terzo?
Quando operare l’analisi e valutazione? Come sempre: in fase di privacy by design e privacy by default, pertanto prima di procedere al trattamento.
Obblighi informativi e rischi di incoerenza
La Corte, però, rischia di peccare di coerenza nel prosieguo della sentenza (per gli amanti dei rebus: quando affronta la seconda censura della seconda parte del primo motivo di impugnazione).
In questo passaggio, la CGUE stabilisce che sussiste comunque l’obbligo di informazione, nei confronti dell’interessato, in capo al titolare del trattamento, anche rispetto ai destinatari cui verranno trasferiti dati pseudonimizzati. Quindi anche se i suddetti terzi non saranno in alcun modo in grado di identificare gli interessati. Quindi, di fatto, anche se la Corte stessa riconosce che essi non tratteranno dati personali.
A nostro modo di vedere, l’obbligo di informazione, in questo caso, è coerente solo se rivolto al peculiare trattamento della pseudonimizzazione. Una volta accertato, infatti, che i dati che verranno trasferiti non sono considerabili come personali per il terzo che li riceve, è complicato comprendere come possa ancora ritenersi coerente e quindi sussistere un obbligo informativo che invece riguarda esclusivamente dati personali (poiché relativo alla trasparenza rispetto ai destinatari dei dati).
Qualora si arrivasse alla conclusione di dover comunque agire come se i dati comunicati fossero dati personali, si potrebbe addirittura arrivare all’estremo di dover nominare ai sensi dell’art. 28 GDPR il destinatario dei dati anche se non personali.
A quel punto, il rischio è veder sostanzialmente vanificato ogni vantaggio applicativo portato dalla pronuncia.
In conclusione, se per un verso la Corte – e lo si accoglie con favore – stabilisce (o ribadisce, a seconda dell’opinione di chi legge) un principio fondamentale circa le operazioni di pseudonimizzazione, consentendo di ritenere anonimo un dato trasferito al terzo destinatario a talune condizioni, dall’altro verso esaspera l’obbligo di informazione imponendo di indicare tutti i terzi destinatari, a prescindere dal fatto che trattino o meno dati personali.
A questo punto, non resta che attendere la lettura che le Autorità di Controllo daranno di questa – a nostro modo di vedere (ok, ci sbilanciamo) – importantissima pronuncia.
