Il Tribunale europeo ha di recente chiarito come la linea di confine tra dati personali e non personali non sia poi così netta come sembra emergere dalle norme.
Questo è vero soprattutto nei casi in cui un’organizzazione tratti esclusivamente dati pseudonimizzati da un terzo e non abbia informazioni aggiuntive, mezzi o strumenti per identificare gli interessati a cui i dati si riferiscono.
Questi dati devono essere qualificati come personali oppure anonimi? A chi spetta indagare la possibilità di identificare gli interessati?
Tribunale dell’Unione Europea 26 aprile 2023 – causa T-557/20
Il caso
Siamo nel 2017, nell’ambito di una procedura svolta in seno al Comitato di Risoluzione Unico (CRU) per la risoluzione di un ente creditizio. Per dare attuazione alla fase di ascolto di azionisti e creditori, il CRU attiva sul proprio sito internet la procedura che permette ad azionisti e creditori di registrarsi al sito per inviare documenti (come ad esempio un documento di identità) e osservazioni riguardanti la procedura di risoluzione.
Il CRU predispone una procedura di gestione che prevede, tra l’altro, che i dati personali degli interessati siano accessibili solo a pochi autorizzati, e che le osservazioni vengano immediatamente pseudonimizzate mediante assegnazione automatica di un codice identificativo univoco di 33 cifre generato in modo casuale.
Le osservazioni, così de-identificate, vengono affidate ad un valutatore indipendente (Deloitte) per essere valutate. La procedura prevede che: le osservazioni siano salvate su un server sicuro e dedicato al CRU; non vi sia alcuna possibilità di accesso ai dati identificativi degli interessati; solo un numero limitato di autorizzati di Deloitte possano vedere le osservazioni e il relativo codice identificativo univoco di 33 cifre.
Nel 2019 cinque interessati propongono reclamo al Garante Europeo per la Protezione dei Dati personali (GEPD) sostenendo che, durante la fase di raccolta e valutazione delle loro osservazioni, il CRU avrebbe violato l’articolo 15, paragrafo 1, lettera d), del Regolamento 2018/1725 relativo ai requisiti dell’informativa sulla protezione dei dati personali: Deloitte, infatti, non è indicata tra i destinatari dei dati.
Il GEPD accoglie le doglianze dei reclamanti e rivolge un ammonimento al CRU, il quale a sua volta chiede al GEPD di riformare la decisione. Secondo il CRU, infatti, le informazioni trasmesse a Deloitte non costituiscono per quest’ultima dati personali, bensì dati anonimizzati: Deloitte, infatti, non può in alcun modo identificare gli interessati.
Con la decisione definitiva del 24 novembre 2020, il GEPD conferma la qualificazione delle informazioni come dati personali e conferma anche, di conseguenza, la violazione della norma predetta: secondo il GEPD, il CRU può utilizzare il codice identificativo per
collegare le osservazioni inviate a Deloitte all’interessato.
Il CRU si rivolge infine al Tribunale, chiedendo l’annullamento della decisione del GEPD.
La sentenza
Il Tribunale sviluppa la sua analisi chiarendo anzitutto la relatività della concezione di dato anonimo e dato personale. La sentenza si concentra infatti nella ricostruzione della definizione di “dato personale”, soffermandosi in particolare sul concetto di “identificabilità”.
Quando è possibile considerare un interessato “identificabile”?
Il caso concreto ha il pregio di far emergere come la linea di confine tra dati personali e non personali non sia poi così netta come emerge dalle norme. Questo è vero soprattutto quando si parla di dati pseudonimizzati e poi condivisi con soggetti terzi che non hanno a disposizione nessuna informazione aggiuntiva ed utile per identificare gli interessati a cui quei dati si riferiscono. In queste ipotesi si fatica a sostenere che i dati ricevuti dal soggetto terzo siano da considerare “personali”.
Chiamato a pronunciarsi su tale ipotesi, il Tribunale sposa i principi già declinati dalla giurisprudenza della Corte di giustizia nella sentenza Breyer del 19 ottobre 2016 (C-582/14, EU:C:2016:779). Secondo questa lettura, la qualificazione giuridica dei dati come personali oppure anonimi non può essere un’operazione automatica. Esistono informazioni che mi permettono di identificare i soggetti? Sì. Allora quei dati sono personali.
Diversamente, la qualificazione giuridica dei dati è un percorso che parte dalla norma, ma che non può prescindere dalla valutazione concreta del contesto. Esistono informazioni che mi permettono di identificare i soggetti? Sì. Queste informazioni sono pubbliche? Il soggetto che dispone del database originario è lo stesso che tratta i dati pseudonimizzati? Dispone della tabella di decodifica? Senza la tabella di decodifica, potrebbe ragionevolmente invertire il processo di pseudonimizzazione e quindi identificare gli interessati? Quali azioni dovrebbe compiere il terzo se volesse tentare di identificare gli interessati? Le misure di sicurezza per evitare la riuscita di questo processo di re-identificazione sono adeguate?
Nel caso di specie, il GEPD non ha indagato nessuno di questi aspetti. Si è infatti limitato a prendere atto dell’esistenza di informazioni aggiuntive (a disposizione solo del CRU) che permettevano (solo al CRU) di reidentificare gli autori delle osservazioni. Il Tribunale contesta quindi al GEPD di non aver preso in considerazione il punto di vista di Deloitte, destinataria di dati pseudonimizzati ma di nessun elemento utile a re-identificare gli interessati. Secondo il Tribunale, il GEPD avrebbe dovuto chiedersi se Deloitte, considerate la modalità di pseudonimizzazione utilizzate e le misure di sicurezza adottate, disponeva di mezzi legali e realizzabili in pratica che le consentissero di accedere alle informazioni aggiuntive necessarie per la reidentificazione degli interessati. Prima di qualificare i dati come personali, il Garante europeo avrebbe dovuto, quindi, indagare la solidità concreta dell’intero processo di gestione e de-identificazione dei dati, verificando se le misure di sicurezza consentissero o meno a Deloitte di identificare gli autori delle osservazioni raccolte e analizzate.
La scelta di rimarcare il ruolo dell’autorità porta necessariamente a rivolgere l’attenzione sugli obblighi del titolare, con particolare riguardo al principio di accountability. È così che, al dovere dell’autorità di indagare nel concreto la possibilità di re-identificazione, fa da contraltare la necessità che il titolare dia evidenza alle analisi di contesto, alle decisioni assunte, all’analisi del rischio e non ultimo alle modalità di pseudonimizzazione adottate. Diventa fondamentale, quindi, progettare processi, tecniche e strategie di de-identificazione solide: ogni scelta, in capo al titolare del trattamento, incide infatti in modo rilevante sul livello di protezione e inviolabilità dei dati originari e, di conseguenza, sulla solidità dell’intero processo.
Il ragionamento del Tribunale rafforza il principio di ragionevolezza e l’approccio di analisi del rischio già declinati dalla Corte di giustizia nella già citata sentenza Breyer, e ripresi anche dalle linee guida di alcune Autorità garanti europee e non, nonché dal WP29 nelle sue linee guida del 2014.
Il vero punto di svolta della pronuncia si legge, però, tra le righe. La chiamiamo “tutela dei dati personali”, ma la disciplina non è scritta per proteggere i dati in sé, bensì gli interessati a cui si riferiscono. Sono le persone e la loro tutela a dover essere poste al centro delle norme, della giurisprudenza, delle linee guida e dei provvedimenti delle autorità di controllo. L’analisi del rischio proposta dal Tribunale europeo, con l’introduzione della necessità (quasi) inedita di considerare la prospettiva di chi tratta i dati, altro non fa se non valorizzare la posizione di chi può agire per proteggere dati e persone.