Ci sono sentenze che, per come sono scritte e per il momento storico in cui sono pubblicate, possono aver la forza di cambiare – in maniera importante – l’interpretazione del quadro giuridico.
Non cambia quindi la norma, ma cambia in maniera rilevante la sua interpretazione e quindi l’applicazione concreta sul mercato.
A mio parere, la sentenza del Tribunale dell’Unione Europea 26 aprile 2023 – causa T-557/20 circa i criteri da utilizzare per stabilire se le informazione possono considerarsi riferibili a ”persone identificabili” è una di quelle.
La sentenza, infatti, chiarisce alcuni criteri chiave per stabilire quando un dato pseudonomizzato può essere considerato anonimo e, soprattutto, stabilisce che tale analisi deve essere fatta mettendosi dalla parte di chi tratta i dati.
Vediamo allora prima il caso e poi le sue possibili ricadute, in particolare nell’ambito della ricerca scientifica, chiarendo sin da subito che seppure la controversia attenga al Reg. Ue 2018/1725 sulla protezione dei dati nell’ambito delle istituzioni europee, l’identicità della formulazione delle norme permette di utilizzare la sentenza anche per l’applicazione del GDPR.
Indice degli argomenti
Il caso
Il conflitto nasce nell’ambito del processo di indennizzo di azionisti e creditori, in seguito alla risoluzione di un ente creditizio spagnolo.
Più esattamente:
- il Comitato di Risoluzione creditizio Unico (“CRU”) al fine di porre in essere la suddetta procedura di indennizzo, chiedeva agli azionisti e creditori l’invio un modulo di iscrizione alla procedura stessa, raccogliendo in questo modo i dati personali identificativi dei richiedenti, ed in un campo libero le osservazioni pertinenti alla procedura;
- il CRU procedeva poi a pseudonomizzare i dati, assegnando un codice alfanumerico casuale alle osservazioni ed ai soggetti che le avevano presentate, estraendone poi un sottoinsieme utilizzando i codici e i testi delle osservazioni, senza altri dati identificativi;
- tale dataset veniva poi mandato a Deloitte per effettuare alcune elaborazioni;
- a seguito di questo invio n. 5 interessati (azionisti e creditori) presentavo reclamo European Data Protection Supervisor (il Garante Europeo) segnalando che Deloitte non era stato indicato quale destinatario di tali dati nelle informative e che quindi tale trasferimento di dati costituiva un illecito trattamento;
- l’EDPS accoglieva le lamentele degli interessati, partendo dal presupposto che, seppure Deloitte non avesse alcun accesso ai codici che permettevano la re-identificazione, i dati erano comunque da considerare “pseudonimizzati” e che quindi il mancato inserimento di Deloitte nella informativa era da considerare in violazione del reg. Ue 2018/1725
- Il CRU chiedeva la revisione della decisione che veniva solo parzialmente accolta, ribadendo però la natura pseudonomizzata dei dati: più esattamente secondo l’EDPS la circostanza che ribadiva Deloitte non avesse accesso alle informazioni detenute dal CRU che consentivano la re-identificazione non comporta che i dati «pseudonimizzati» trasmessi a Deloitte siano divenuti dati anonimi e che tale profilo non necessitava di nessuna prova spoecifica: in sostanza secondo l’EDPS i dati «pseudonimizzati» rimangono tali anche quando vengono trasmessi a terzi che non dispongono di informazioni aggiuntive per la re-identificazione.
- Il CRU impugnava allora davanti al Tribunale UE che invece, ribaltando la costruzione giuridica dell’EDPS, sostiene che non sussistono automatismi e che la valutazione deve essere fatta dalla parte del soggetto che riceve i dati pseudonomizzati.
La decisione del Tribunale Ue
Il ragionamento giuridico dei giudici del Tribunale Ue è molito interessante.
In primo luogo Tribunale UE si sofferma sulla nozione di “persona identificabile”, richiamando molti punti in diritto della sentenza CGCE 19 ottobre 2016 (C‑582/14, EU:C:2016:779) – c.d. Breyer.
Più esattamente si evidenzia che, seguendo il ragionamento della sentenza Breyer la posizione di Deloitte possa essere paragonata a quella del fornitore di servizi di media online che non è in possesso di informazioni attinenti a una “persona fisica identificata”: ciò in ragione del fatto che il codice alfanumerico detenuto da Deloitte non consentiva di rivelare direttamente l’identità della persona fisica che aveva compilato il modulo.
Parallelamente la posizione di CRU può essere paragonata a quella del fornitore di accesso a Internet, che è l’unico che detiene le informazioni aggiuntive (codice alfanumerico e banca dati di identificazione) necessarie per identificare gli azionisti e creditori che avevano risposto al modulo.
Secondo poi la sentenza Breyer “un indirizzo IP dinamico registrato da un fornitore di servizi di media online in occasione della consultazione, da parte di una persona, di un sito Internet che tale fornitore rende accessibile al pubblico costituisce, nei confronti di tale fornitore, un dato personale (..) qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata grazie alle informazioni aggiuntive di cui il fornitore di accesso a Internet di detta persona dispone”.
Secondo il Tribunale tale ragionamento deve essere puntualmente seguito anche nel rapporto CRU e Deloitte.
Si afferma cioè che la decisione assunta dall’EDPS circa la natura giuridica di dato pseudonomizzato non è corretta, in quanto l’EDPS non ha verificato se Deloitte fosse o meno in grado di reindentificare i dati.
Così si legge in sentenza:
- Quindi il GEPD versa in errore quando sostiene che non era necessario verificare se gli autori delle informazioni trasmesse a Deloitte fossero reidentificabili da quest’ultima o se tale reidentificazione fosse ragionevolmente possibile.
- È giocoforza constatare che, nella decisione rivista, il GEPD ha ritenuto che il fatto che il CRU possedeva le informazioni aggiuntive che consentono di reidentificare gli autori delle osservazioni era sufficiente per concludere che le informazioni trasmesse a Deloitte erano dati personali, pur riconoscendo che i dati identificativi ricevuti durante la fase di iscrizione non erano stati comunicati a Deloitte.
- Dalla decisione rivista risulta quindi che il GEPD si è limitato ad esaminare la possibilità di reidentificare gli autori delle osservazioni dal punto di vista del CRU e non di Deloitte.
- Tuttavia, dal punto 45 della sentenza del 19 ottobre 2016, Breyer (C‑582/14, EU:C:2016:779), citata al precedente punto 92, si evince che incombeva al GEPD stabilire se la possibilità di combinare le informazioni fornite a Deloitte con le informazioni aggiuntive in possesso del CRU costituisse un mezzo che poteva essere ragionevolmente attuato da Deloitte per identificare gli autori delle osservazioni.
- Pertanto, poiché il GEPD non ha verificato se Deloitte disponeva di mezzi legali e realizzabili in pratica che le consentissero di accedere alle informazioni aggiuntive necessarie per la reidentificazione degli autori delle osservazioni, il GEPD non poteva concludere che le informazioni trasmesse a Deloitte costituissero informazioni concernenti una «persona fisica identificabile» ai sensi dell’articolo 3, punto 1, del regolamento 2018/1725.
La portata della sentenza
Due sono i punti fondamentali di questa sentenza.
Il primo riguarda il principio per cui la natura giuridica del dato va verificata in relazione al soggetto che sta trattando il dato stesso e quindi “mettendosi nei panni” del soggetto che tratta
Più precisamente il fatto che il dato era pseudonomizzato per CRU non implica automaticamente che il dato fosse pseudonomizzato anche per Deloitte: al contrario la natura giudica del dato trattato da Deloitte deve essere verificata, concretamente, alla luce degli strumenti che Deloitte detiene (o non detiene) per poter re indentificare la persona fisica.
Questo assunto scardina completamente un erroneo “luogo comune”, assolutamente diffuso secondo il quale un dato pseudonomizzato per A mantiene automaticamente la sua natura giuridica anche nel momento in cui viene trattato dal soggetto B.
È il caso – ad esempio – della ricerca sanitaria o degli studi retrospettivi nei quali il centro di ricerca pseudonimizza i dati e poi li trasmette ad altra struttura e/o azienda pharma o medical device: in questi casi si considera, di default, che il dato continua ad essere pseudonomizzato, senza andare ad analizzare se, nel concreto, il soggetto che riceve questi dati pseudonomizzati (anche in ragione della modalità di pseudonimizzazione) sia o meno nella condizione di effettuare una re-identificazione o, comunque del grado di probabilità di una re-identificazione.
Altro caso è quello della nomina (automatica) a responsabili ex art. 28 GDPR dei soggetti che fanno manutenzione alle tecnologie ospedaliere, senza verificare se – effettivamente – vi sia o meno un effettivo trattamento di dati e se gli stessi siano o meno riferibili a persone fisiche.
Quanto sopra, ovviamente, non significa che il passaggio di dati pseudonomizzati da A a B consenta – sempre – a B di uscire dal GDPR: ma significa invece che occorre analizzare il rischio di re-identificazione caso per caso e che non vi possono essere né automatismi (in un senso e nell’altro) né presunzioni assolute.
Il secondo punto riguarda “chi” deve effettuare questa analisi.
Nel caso specifico trattandosi di un procedimento dell’EDPS su reclamo di interessati, l’analisi doveva essere svolta dalla stessa EDPS che si trovava a dover assumere una decisione a valle dei reclami stessi.
Chiaro che in una situazione fisiologica di applicazione del GDPR (quindi al di fuori di un procedimento di controllo) occorrerà applicare invece il principio dell’accountability: cioè sarà il soggetto che tratta il dato (ad es. l’azienda che riceve i dati nella ricerca o il manutentore) che dovrà dimostrare attraverso un razionale che il rischio di re-identificazione è basso o comunque improbabile e che quindi tali dati ai sensi dell’art. 26 possono essere considerati anonimi.
