Dati personali e pseudonimizzazione: la Corte di giustizia europea specifica i requisiti

Sentenza della Corte di giustizia europea sui dati personali e la pseudonimizzazione.
Categorie:
Immagine di Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, direttore editoriale di 2B Advice, unisce competenze giuridiche e giornalistiche in Protezione dei datiConformità informatica e regolamentazione dell'IA.

La Corte di Giustizia Europea (CGUE) ha affrontato diverse questioni sul tema della Dati personali e Pseudonimizzazione è stato trattato. Il motivo era una controversia legale tra il Garante europeo della protezione dei dati (GEPD) e il Single Resolution Board (SRB), in cui erano coinvolti anche il Comitato europeo per la protezione dei dati (EDPB) e la Commissione europea. Facendo riferimento alla sua precedente giurisprudenza, la Corte di Giustizia europea ha chiarito il significato del termine "dati personali" in relazione alla Trasmissione dati pseudonimizzati per Terza parte specificato. 

La SRB fa ricorso contro la decisione del GEPD

A seguito della liquidazione di Banco Popular Español, il 7 giugno 2017 il Comitato di risoluzione unico (Single Resolution Board, SRB) ha adottato una decisione provvisoria sulla necessità di concedere un indennizzo agli ex azionisti e creditori di tale banca a seguito della sua liquidazione. Poiché le persone interessate non sono state ascoltate prima dell'adozione di tale decisione, il SRB ha successivamente avviato un procedimento nel quale tali persone hanno potuto presentare le loro osservazioni sulla decisione provvisoria. Nell'ambito di tale procedimento, il SRB ha trasmesso alcune osservazioni sotto forma di dati pseudonimizzati a Deloitte, una società di revisione contabile e consulenza incaricata di valutare l'impatto della liquidazione sugli azionisti e sui creditori.

Diversi colpiti Gli azionisti e i creditori hanno presentato un reclamo al Garante europeo della protezione dei dati (GEPD).
reclami perché la SRB non li aveva informati che i dati che li riguardavano sarebbero stati trasmessi a Terza parte, ovvero a Deloitte. Il GEPD ha ritenuto che, nel caso in esame, Deloitte fosse un destinatario dei dati personali dei ricorrenti. Ha inoltre constatato che il SRB aveva violato l'obbligo di informazione previsto dal regolamento 2018/17251. Il SRB ha quindi presentato ricorso per annullamento contro la decisione del GEPD dinanzi al Tribunale dell'Unione europea. Il Tribunale ha accolto parzialmente il ricorso e ha annullato la decisione in questione.

Dati personali e pseudonimizzazione

Il nucleo centrale della sentenza è l'interpretazione dei termini „Dati personali” e „Pseudonimizzazione” in conformità con il regolamento UE sulla protezione dei dati. Il regolamento (UE) 2018/1725, che si applica alle istituzioni dell'UE e corrisponde in larga misura al regolamento (UE) 2018/1725. GDPR è definito come Dati personali come „qualsiasi informazione relativa a una persona fisica identificata o identificabile“. La CGUE sottolinea l'ampia portata di questo termine: „qualsiasi informazione“ deve essere intesa in senso letterale. Potenzialmente include tutti i tipi di informazioni di natura oggettiva o soggettiva (comprese le espressioni di opinione o le valutazioni), purché vi sia un riferimento a una persona. Il fattore decisivo è se l'informazione è collegata a una persona in termini di contenuto, scopo o impatto. Nel caso in esame, era indiscutibile che i commenti riflettessero le opinioni personali degli autori e costituissero quindi informazioni „su“ queste persone. L'uso di codici al posto dei nomi non ha inizialmente cambiato la situazione.

Pseudonimizzazione è legalmente definito come Elaborazione dati personali in modo tale che i dati non possano più essere attribuiti a una persona specifica senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e siano soggette a misure tecniche e organizzative che impediscano la reidentificazione. Importante: il Pseudonimizzazione non rientra nella definizione di „dati personali“, ma è una misura tecnica per ridurre il rischio di collegamento personale. Ai sensi del considerando 17 del regolamento 2018/1725 (corrispondente al considerando 28). GDPR) si limita a minimizzare i rischi per le persone colpite e a sostenere Persone responsabili e gli incaricati del trattamento nel rispetto della protezione dei dati. Finché l'identificazione è teoricamente possibile, almeno con conoscenze aggiuntive, i dati pseudonimizzati restano Dati personali.

Suggerimento di lettura: Anonimizzazione dei dati personali: una guida pratica

Il riferimento personale relativo è decisivo

La Corte di giustizia europea chiarisce che i dati pseudonimizzati non sono automaticamente considerati „anonimi“. Il fattore decisivo è l'esistenza di informazioni aggiuntive che consentano l'identificazione. Se tali informazioni sono disponibili da qualche parte (ad esempio un elenco di chiavi presso il responsabile del trattamento), la loro stessa esistenza contraddice l'ipotesi che i dati pseudonimizzati siano completamente anonimi e non rientrino nella legge sulla protezione dei dati. Anonimizzazione richiede piuttosto che il colpiti persona non è o non è più identificabile. Con Pseudonimizzazione D'altra parte, si presume che esistano dati di identificazione memorizzati separatamente.

Tuttavia, la Corte di giustizia europea introduce un riferimento personale relativo: Occorre distinguere per chi i dati sono (ancora) personali. Il punto di partenza è la prospettiva del responsabile del trattamento: La SRB come persona che Pseudonimizzazione L'SRB disponeva ancora di tutte le informazioni aggiuntive (chiavi) necessarie per assegnare i dati dei codici a individui specifici. Per l'SRB, quindi, le osservazioni sono rimaste valide nonostante Pseudonimizzazione Dati personali.

La Corte di giustizia europea afferma che i dati effettivamente pseudonimizzati non sono in linea di principio dati personali per un destinatario che non dispone di informazioni aggiuntive. In altre parole, dal punto di vista di Deloitte, i record di dati forniti erano in definitiva informazioni anonime, poiché non c'erano nomi o identificatori diretti e Deloitte non aveva la possibilità di assegnare i codici a persone reali:

  1. Il destinatario non deve essere tecnicamente o organizzativamente in grado di invertire o aggirare le misure di pseudonimizzazione adottate, e
  2. le misure devono effettivamente impedire l'identificazione con altri mezzi disponibili. Anche attraverso il confronto con dati esterni, la colpiti persona non deve essere (o non deve più essere) identificabile dal destinatario. Solo a queste condizioni rigorose i dati pseudonimizzati sono di fatto anonimi per il destinatario.

In caso di pseudonimizzazione occorre valutare ogni singolo caso

Con questa visione differenziata, la CGUE conferma anche il principio del considerando 16, frase 5 GDPR (o Regolamento 2018/1725): I principi di protezione dei dati non si applicano alle informazioni anonime, ossia ai dati che non si riferiscono (o non si riferiscono più) a una persona identificata o identificabile. Ciò significa che non appena un insieme di dati è stato elaborato in modo tale da non consentire l'identificazione di una persona coinvolta, si tratta di dati anonimi che non rientrano nell'ambito di applicazione dei principi di protezione dei dati. GDPR caduta.

Tuttavia, la Corte di giustizia europea sottolinea che nei singoli casi occorre esaminare attentamente se non vi sia davvero alcuna possibilità di identificazione. A questo proposito, devono essere presi in considerazione tutti i fattori oggettivi: In particolare, le tecnologie disponibili, i tempi e i costi di un'eventuale reidentificazione e l'accessibilità giuridica o pratica della fusione con altri dati. Se il rischio di identificazione è di fatto insignificante (ad esempio, a causa di divieti legali o di uno sforzo sproporzionato), allora c'è molto da dire a favore del fatto che le informazioni siano considerate anonime.

Nel complesso, la sentenza sottolinea il fatto che Pseudonimizzazione non è un lasciapassare per sottrarre i dati alla protezione dei dati. Tuttavia, in determinate circostanze, può comportare che un terzo che ha ottenuto i dati non sia soggetto alla legge sulla protezione dei dati.

Obbligo di fornire informazioni al momento della raccolta dei dati

Per le aziende, sia come Persone responsabili o incaricati del trattamento, questa sentenza ha importanti conseguenze pratiche. In primo luogo, la Corte di giustizia europea conferma inequivocabilmente che i dati pseudonimizzati possono ancora essere considerati come Dati personali devono essere trattati fintanto che il Persone responsabili (o qualcun altro) può stabilire una referenza personale attraverso informazioni aggiuntive. In particolare Persone responsabili non eludere i propri obblighi pseudonimizzando i dati e trasferendoli a terzi. Terza parte trasmissione. Gli obblighi previsti dalla legge sulla protezione dei dati continuano ad applicarsi integralmente dal punto di vista del responsabile del trattamento originario.

In questo caso, ciò significa che la SRB non ha adempiuto ai suoi obblighi nella raccolta dei dati degli azionisti. Obbligo di informazione ai sensi dell'art. 15 del Regolamento 2018/1725 (o dell'art. 13 del Regolamento 2018/1725). GDPR). Compreso l'obbligo di informare gli interessati di tutti i destinatari previsti. Il fatto che i dati siano stati successivamente pseudonimizzati nei confronti di Deloitte è irrilevante.

La CGUE chiarisce che l'obbligo di informazione di cui all'art. 15 par. 1 lett. d del Regolamento 2018/1725 esiste nel rapporto tra il responsabile del trattamento e l'interessato e deve essere adempiuto al momento della raccolta dei dati. Dal punto di vista della SRB, i partecipanti erano identificabili (essa stessa disponeva di tutte le informazioni identificative), ossia dati personali, e di conseguenza avrebbe dovuto indicare Deloitte come destinatario. La successiva non identificabilità dal punto di vista di Deloitte è irrilevante per la questione della tempestività dell'informazione.

Raccomandazioni per l'azione pratica

Le aziende devono Pseudonimizzazione Si prega di notare i seguenti punti:

  • Trasparenza tramite ricevitore: Informare Parti interessate al momento della raccolta dei dati su tutti i destinatari previsti dei loro dati (art. 13, par. 1, lett. e)). GDPR). Ciò vale anche se il trasferimento deve avvenire in forma pseudonimizzata. Non nominare un destinatario è considerato Violazione difficile, anche se il destinatario non può identificare le persone. Se al momento della raccolta non è ancora chiaro quali saranno i destinatari terzi coinvolti, è necessario specificare almeno le categorie di possibili destinatari. Se i dati vengono inviati pseudonimizzati solo successivamente a Terza parte si deve esaminare se le successive informazioni degli interessati ai sensi dell'art. 14 GDPR è necessario.

  • Anonimizzazione vs. Pseudonimizzazione: Fintanto che è possibile identificare nuovamente le persone utilizzando dati aggiuntivi o con uno sforzo ragionevole, i dati rimangono personali. Completo Anonimizzazione è tecnicamente impegnativo. Tuttavia, se riesce, gli obblighi del GDPR non si applicano. Utilizzare Pseudonimizzazione come misura di protezione, ma continuando a trattare i dati pseudonimizzati con il livello di protezione dei dati richiesto.

  • Misure tecnico-organizzative efficaci: Separare le chiavi di identificazione dai record di dati effettivi e limitarne l'accesso. Verificare l'efficacia delle misure: Ad esempio, è possibile indovinare le singole persone in base a specifiche caratteristiche del record di dati?

  • Redazione di contratti con i fornitori di servizi: Se vi rivolgete a un incaricato del trattamento e gli trasmettete dati pseudonimizzati, assicuratevi nell'accordo di trattamento dei dati che questi elaborino i dati solo in base alle vostre istruzioni e non tentino di identificare le persone. Di norma, il fornitore di servizi non è in grado di identificare le persone senza ulteriori conoscenze. Tuttavia, dovrebbe essere esplicitamente incluso un divieto di re-identificazione. Dovreste inoltre elencare tutti i subappaltatori che ricevono i dati pseudonimizzati e monitorare le loro misure.

  • Documentazione e la capacità di fornire informazioni: Tenete un registro dei soggetti a cui mettete a disposizione i dati pseudonimizzati. Anche se questi dati sono anonimi per il destinatario, il titolare del trattamento deve essere in grado di fornire informazioni agli interessati su quali organizzazioni hanno ricevuto i dati (in qualsiasi forma).

Fonte: Sentenza della Corte di giustizia del 4 settembre 2025 (causa C-413/23 P).

Aristotelis Zervos è direttore editoriale di 2B Advice, avvocato e giornalista esperto di protezione dei dati, GDPRconformità informatica e governance dell'IA. Pubblica regolarmente articoli di approfondimento sulla regolamentazione dell'IA, sulla conformità al GDPR e sulla gestione del rischio. Per saperne di più su di lui, visitate il sito Pagina del profilo dell'autore.

Contattateci
Tag:
, , ,
Condividi questo post :

Categorie più popolari

Newsletter

Iscrivetevi alla nostra newsletter sulla protezione dei dati per ricevere gli ultimi aggiornamenti, consigli e approfondimenti direttamente nella vostra casella di posta elettronica.
Abbonarsi

Ultimi messaggi