La sentenza della Corte di Giustizia dell’Unione Europea (Prima Sezione, 4 settembre 2023, C-413/23 P) affronta un tema delicato per coloro che operano nella compliance e nella consulenza legale in materia di privacy: la qualificazione dei dati pseudonimizzati e l’estensione dell’obbligo di trasparenza informativa da parte delle istituzioni dell’UE. Questo caso deriva dalla risoluzione di Banco Popular Español e dalla successiva procedura di indennizzo per azionisti e creditori, nella quale il Single Resolution Board (SRB) aveva raccolto e inviato a Deloitte una notevole quantità di commenti, associati a codici pseudonimi. L’EDPS aveva classificato tali dati come personali, mentre il Tribunale UE aveva concluso il contrario dal punto di vista del destinatario. La Corte di Giustizia ha ribaltato questa impostazione, con conseguenze operative rilevanti.
1. I dati personali come concetto funzionale
La Corte ribadisce che la definizione di “dato personale” deve essere interpretata in modo estensivo, secondo l’art. 3(1) del Reg. 2018/1725, che è parallelo al GDPR. Non è sufficiente considerare informazioni oggettive (come nome, indirizzo, codice fiscale), ma qualsiasi contenuto che, per contenuto, scopo o effetto, si riferisca a una persona fisica identificata o identificabile. In questa ottica, anche i commenti degli azionisti e dei creditori, esprimendo opinioni personali, risultano inscindibilmente legati agli autori, estendendo così la protezione oltre la mera dimensione formale dei dati.
2. Pseudonimizzazione: tra rischio e protezione
Un altro aspetto cruciale è la valutazione della pseudonimizzazione. La Corte evidenzia che essa riduce ma non elimina i rischi e non trasforma i dati in dati anonimi. La discriminante non è la presenza di un codice sostitutivo, ma la concreta possibilità di risalire all’identità da parte del titolare o di un terzo con mezzi ragionevoli. Pertanto, il dato pseudonimizzato rimane personale per il titolare che possiede la chiave di ricomposizione (SRB), mentre per un destinatario terzo (Deloitte) può assumere un’altra natura, a seconda delle misure adottate. Tuttavia, l’obbligo di informazione deve rispettare la prospettiva del titolare e non quella del terzo, un elemento di grande rilevanza sistemica.
3. Obbligo di trasparenza e informazione preventiva
Il fulcro della decisione riguarda l’art. 15(1)(d) del Reg. 2018/1725: l’obbligo di informare i soggetti interessati sui destinatari o categorie di destinatari dei dati personali al momento della raccolta. La Corte chiarisce che il SRB avrebbe dovuto menzionare Deloitte già nella privacy notice pubblicata all’avvio della procedura, indipendentemente dal fatto che i dati, dopo essere stati trasmessi, potessero apparire anonimi o meno per il destinatario. Tale regola rappresenta un principio di trasparenza sostanziale: l’interessato deve essere informato, ex ante, riguardo a chi potrà trattare i suoi dati al fine di prestare un consenso informato o esercitare le proprie prerogative di autodeterminazione.
4. Implicazioni operative per istituzioni e imprese
Dal punto di vista pratico, la pronuncia impone cautela nell’uso delle tecniche di pseudonimizzazione nelle procedure amministrative e nelle valutazioni di impatto. Non è sufficiente isolare i dati identificativi e utilizzare codici sostitutivi, ma è necessario valutare se i dati rimangano comunque collegabili agli interessati per il titolare. In tal caso, tutti gli obblighi di protezione e trasparenza rimangono vigenti. Questo implica per le istituzioni europee e le grandi organizzazioni la necessità di rivedere le informative privacy nei processi complessi (ad esempio, consultazioni pubbliche, gare e procedure di indennizzo) per assicurarsi che vengano sempre indicate tutte le possibili categorie di destinatari, compresi partner tecnici e consulenti.
5. FAQ giuridiche essenziali
I dati pseudonimizzati sono sempre personali? Non sempre: dipende dalla possibilità concreta di re-identificazione. Tuttavia, per il titolare che detiene le chiavi, sì, rimangono personali.
È necessario indicare ogni destinatario specifico? Non necessariamente, ma devono essere menzionati almeno tutti i soggetti o le categorie che riceveranno i dati. Nel caso in questione, Deloitte avrebbe dovuto apparire nella privacy notice.
Qual è la differenza tra anonimizzazione e pseudonimizzazione? La prima rende impossibile (o sproporzionato) il collegamento con l’identità; la seconda riduce i rischi ma non li elimina.
Qual è l’impatto sui consensi raccolti? Se i destinatari non sono stati informati, il consenso rischia di non essere valido perché non “consapevole”.
Questa logica vale anche per il GDPR? Sì, la Corte sottolinea l’importanza di un’interpretazione coerente tra il Reg. 2018/1725 e il GDPR.
6. Conclusione
La sentenza rappresenta un forte appello a un approccio sostanziale in materia di dati personali: la pseudonimizzazione non equivale a anonimizzazione, e la trasparenza non è un optional, ma un prerequisito di legittimità. Per giuristi, DPO e consulenti, il messaggio è chiaro: è necessario mappare i flussi di dati, valutare realisticamente i rischi di identificazione e garantire informative complete, senza fare affidamento su soluzioni tecniche che possano “declassare” la natura dei dati. Questa decisione, pur essendo inserita in un contesto istituzionale specifico, ha effetti diretti nella pratica aziendale e nella consulenza legale quotidiana.
