La Corte di Giustizia Europea (CGUE) ha affrontato diverse questioni sul tema della Dati personali e Pseudonimizzazione è stato trattato. Il motivo era una controversia legale tra il Garante europeo della protezione dei dati (GEPD) e il Single Resolution Board (SRB), in cui erano coinvolti anche il Comitato europeo per la protezione dei dati (EDPB) e la Commissione europea. Facendo riferimento alla sua precedente giurisprudenza, la Corte di Giustizia europea ha chiarito il significato del termine "dati personali" in relazione alla Trasmissione dati pseudonimizzati per Terza parte specificato.
La SRB fa ricorso contro la decisione del GEPD
A seguito della risoluzione del Banco Popular Español, il Single Resolution Board (Comitato di risoluzione unico)
Board (SRB) ha emesso una decisione preliminare il 7 giugno 2017 in merito alla possibilità di concedere agli ex azionisti e ai creditori una
la banca deve ricevere un indennizzo a causa della sua liquidazione. Poiché le persone interessate
non sono stati ascoltati prima dell'adozione di questa decisione, la SRB ha avviato un procedimento in una data successiva.
in cui queste persone hanno potuto commentare la sua decisione provvisoria. Nell'ambito di questa
procedura, la SRB ha trasmesso alcuni pareri sotto forma di dati pseudonimizzati a Deloitte, un'azienda di
società di revisione e di consulenza, a cui ha commissionato una valutazione d'impatto della
dell'accordo agli azionisti e ai creditori.
Diversi colpiti Gli azionisti e i creditori hanno presentato un reclamo al Garante europeo della protezione dei dati (GEPD).
reclami perché la SRB non li aveva informati che i dati che li riguardavano sarebbero stati trasmessi a Terza parte, cioè a
Deloitte, sarebbe stata trasmessa. Il GEPD ha ritenuto che Deloitte fosse un destinatario nel caso in questione.
dati personali dei ricorrenti. Ha inoltre riscontrato che la SRB ha violato le norme sulla protezione dei dati previste dalla legge.
Il regolamento 2018/17251 aveva violato l'obbligo di informazione. La SRB ha quindi presentato un'istanza al tribunale.
dell'Unione europea ha presentato un ricorso di annullamento contro la decisione del GEPD. Il Tribunale ha accolto parzialmente il ricorso.
e ha dichiarato nulla la decisione in questione.
Il nucleo centrale della sentenza è l'interpretazione dei termini „Dati personali” e „Pseudonimizzazione” in conformità con il regolamento UE sulla protezione dei dati. Il regolamento (UE) 2018/1725, che si applica alle istituzioni dell'UE e corrisponde in larga misura al regolamento (UE) 2018/1725. GDPR è definito come Dati personali come „qualsiasi informazione relativa a una persona fisica identificata o identificabile“. La CGUE sottolinea l'ampia portata di questo termine: „qualsiasi informazione“ deve essere intesa in senso letterale. Potenzialmente include tutti i tipi di informazioni di natura oggettiva o soggettiva (comprese le espressioni di opinione o le valutazioni), purché vi sia un riferimento a una persona. Il fattore decisivo è se l'informazione è collegata a una persona in termini di contenuto, scopo o impatto. Nel caso in esame, era indiscutibile che i commenti riflettessero le opinioni personali degli autori e costituissero quindi informazioni „su“ queste persone. L'uso di codici al posto dei nomi non ha inizialmente cambiato la situazione.
Pseudonimizzazione è legalmente definito come Elaborazione dati personali in modo tale che i dati non possano più essere attribuiti a una persona specifica senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e siano soggette a misure tecniche e organizzative che impediscano la reidentificazione. Importante: il Pseudonimizzazione non rientra nella definizione di „dati personali“, ma è una misura tecnica per ridurre il rischio di collegamento personale. Ai sensi del considerando 17 del regolamento 2018/1725 (corrispondente al considerando 28). GDPR) si limita a minimizzare i rischi per le persone colpite e a sostenere Persone responsabili e gli incaricati del trattamento nel rispetto della protezione dei dati. Finché l'identificazione è teoricamente possibile, almeno con conoscenze aggiuntive, i dati pseudonimizzati restano Dati personali.
Suggerimento di lettura: Anonimizzazione dati personali - una guida pratica
Il riferimento personale relativo è decisivo
La Corte di giustizia europea chiarisce che i dati pseudonimizzati non sono automaticamente considerati „anonimi“. Il fattore decisivo è l'esistenza di informazioni aggiuntive che consentano l'identificazione. Se tali informazioni sono disponibili da qualche parte (ad esempio un elenco di chiavi presso il responsabile del trattamento), la loro stessa esistenza contraddice l'ipotesi che i dati pseudonimizzati siano completamente anonimi e non rientrino nella legge sulla protezione dei dati. Anonimizzazione richiede piuttosto che il colpiti persona non è o non è più identificabile. Con Pseudonimizzazione D'altra parte, si presume che esistano dati di identificazione memorizzati separatamente.
Tuttavia, la Corte di giustizia europea introduce un riferimento personale relativo: Occorre distinguere per chi i dati sono (ancora) personali. Il punto di partenza è la prospettiva del responsabile del trattamento: La SRB come persona che Pseudonimizzazione L'SRB disponeva ancora di tutte le informazioni aggiuntive (chiavi) necessarie per assegnare i dati dei codici a individui specifici. Per l'SRB, quindi, le osservazioni sono rimaste valide nonostante Pseudonimizzazione Dati personali.
La Corte di giustizia europea afferma che i dati effettivamente pseudonimizzati non sono in linea di principio dati personali per un destinatario che non dispone di informazioni aggiuntive. In altre parole, dal punto di vista di Deloitte, i record di dati forniti erano in definitiva informazioni anonime, poiché non c'erano nomi o identificatori diretti e Deloitte non aveva la possibilità di assegnare i codici a persone reali:
- Il destinatario non deve essere tecnicamente o organizzativamente in grado di invertire o aggirare le misure di pseudonimizzazione adottate, e
- le misure devono effettivamente impedire l'identificazione con altri mezzi disponibili. Anche attraverso il confronto con dati esterni, la colpiti persona non deve essere (o non deve più essere) identificabile dal destinatario. Solo a queste condizioni rigorose i dati pseudonimizzati sono di fatto anonimi per il destinatario.
Con Pseudonimizzazione deve essere esaminata caso per caso
Con questa visione differenziata, la CGUE conferma anche il principio del considerando 16, frase 5 GDPR (o Regolamento 2018/1725): I principi di protezione dei dati non si applicano alle informazioni anonime, ossia ai dati che non si riferiscono (o non si riferiscono più) a una persona identificata o identificabile. Ciò significa che non appena un insieme di dati è stato elaborato in modo tale da non consentire l'identificazione di una persona coinvolta, si tratta di dati anonimi che non rientrano nell'ambito di applicazione dei principi di protezione dei dati. GDPR caduta.
Tuttavia, la Corte di giustizia europea sottolinea che nei singoli casi occorre esaminare attentamente se non vi sia davvero alcuna possibilità di identificazione. A questo proposito, devono essere presi in considerazione tutti i fattori oggettivi: In particolare, le tecnologie disponibili, i tempi e i costi di un'eventuale reidentificazione e l'accessibilità giuridica o pratica della fusione con altri dati. Se il rischio di identificazione è di fatto insignificante (ad esempio, a causa di divieti legali o di uno sforzo sproporzionato), allora c'è molto da dire a favore del fatto che le informazioni siano considerate anonime.
Nel complesso, la sentenza sottolinea il fatto che Pseudonimizzazione non è una licenza a divulgare i dati alla Protezione dei dati essere ritirati. Tuttavia, in determinate circostanze, può comportare che un terzo non sia soggetto alla legge sulla protezione dei dati con i dati ricevuti.
Obbligo di fornire informazioni al momento della raccolta dei dati
Per le aziende, sia come Persone responsabili o incaricati del trattamento, questa sentenza ha importanti conseguenze pratiche. In primo luogo, la Corte di giustizia europea conferma inequivocabilmente che i dati pseudonimizzati possono ancora essere considerati come Dati personali devono essere trattati fintanto che il Persone responsabili (o qualcun altro) può stabilire una referenza personale attraverso informazioni aggiuntive. In particolare Persone responsabili non eludere i propri obblighi pseudonimizzando i dati e trasferendoli a terzi. Terza parte trasmissione. Gli obblighi previsti dalla legge sulla protezione dei dati continuano ad applicarsi integralmente dal punto di vista del responsabile del trattamento originario.
In questo caso, ciò significa che la SRB non ha adempiuto ai suoi obblighi nella raccolta dei dati degli azionisti. Obbligo di informazione ai sensi dell'art. 15 del Regolamento 2018/1725 (o dell'art. 13 del Regolamento 2018/1725). GDPR). Compreso l'obbligo di informare gli interessati di tutti i destinatari previsti. Il fatto che i dati siano stati successivamente pseudonimizzati nei confronti di Deloitte è irrilevante.
La CGUE chiarisce che l'obbligo di informazione di cui all'art. 15 par. 1 lett. d del Regolamento 2018/1725 esiste nel rapporto tra il responsabile del trattamento e l'interessato e deve essere adempiuto al momento della raccolta dei dati. Dal punto di vista della SRB, i partecipanti erano identificabili (essa stessa disponeva di tutte le informazioni identificative), ossia dati personali, e di conseguenza avrebbe dovuto indicare Deloitte come destinatario. La successiva non identificabilità dal punto di vista di Deloitte è irrilevante per la questione della tempestività dell'informazione.
Raccomandazioni per l'azione pratica
Le aziende devono Pseudonimizzazione Si prega di notare i seguenti punti:
- Trasparenza tramite ricevitore: Informare Parti interessate al momento della raccolta dei dati su tutti i destinatari previsti dei loro dati (art. 13, par. 1, lett. e)). GDPR). Ciò vale anche se il trasferimento deve avvenire in forma pseudonimizzata. Non nominare un destinatario è considerato Violazione difficile, anche se il destinatario non può identificare le persone. Se al momento della raccolta non è ancora chiaro quali saranno i destinatari terzi coinvolti, è necessario specificare almeno le categorie di possibili destinatari. Se i dati vengono inviati pseudonimizzati solo successivamente a Terza parte si deve esaminare se le successive informazioni degli interessati ai sensi dell'art. 14 GDPR è necessario.
- Anonimizzazione vs. Pseudonimizzazione: Fintanto che è possibile identificare nuovamente le persone utilizzando dati aggiuntivi o con uno sforzo ragionevole, i dati rimangono personali. Completo Anonimizzazione è tecnicamente impegnativo. Tuttavia, se riesce, gli obblighi del GDPR non si applicano. Utilizzare Pseudonimizzazione come misura di protezione, ma continuando a trattare i dati pseudonimizzati con il livello di protezione dei dati richiesto.
- Misure tecnico-organizzative efficaci: Separare le chiavi di identificazione dai record di dati effettivi e limitarne l'accesso. Verificare l'efficacia delle misure: Ad esempio, è possibile indovinare le singole persone in base a specifiche caratteristiche del record di dati?
- Redazione di contratti con i fornitori di servizi: Se vi rivolgete a un incaricato del trattamento e gli trasmettete dati pseudonimizzati, assicuratevi nell'accordo di trattamento dei dati che questi elaborino i dati solo in base alle vostre istruzioni e non tentino di identificare le persone. Di norma, il fornitore di servizi non è in grado di identificare le persone senza ulteriori conoscenze. Tuttavia, dovrebbe essere esplicitamente incluso un divieto di re-identificazione. Dovreste inoltre elencare tutti i subappaltatori che ricevono i dati pseudonimizzati e monitorare le loro misure.
- Documentazione e la capacità di fornire informazioni: Tenete un registro dei soggetti a cui mettete a disposizione i dati pseudonimizzati. Anche se questi dati sono anonimi per il destinatario, il titolare del trattamento deve essere in grado di fornire informazioni agli interessati su quali organizzazioni hanno ricevuto i dati (in qualsiasi forma).
German 
English 
Italian 
French