Categorie: Insights, Giurisprudenza

Tag: data protection, Garante Privacy


29 Mag 2023

Dati pseudonimizzati: la Corte di Giustizia (UE) condanna il Garante europeo della protezione dei dati

Con sentenza del 26 aprile 2023 (causa T-557/20), la Corte di Giustizia dell’Unione Europea (“CGUE”) ha stabilito che un dato pseudonimizzato trasmesso ad un destinatario che non ha i mezzi per poter identificare l’interessato non è un dato personale. Ciò comporta che siffatte informazioni non rientrano nell’ambito di applicazione della normativa in materia di protezione dei dati personali.

Prima di entrare nel merito della pronuncia in commento, appare opportuno definire cosa si debba intendere per “pseudonimizzazione”. Ai sensi dell’articolo 4 del Regolamento (UE) 2016/679 (meglio noto secondo l’acronimo inglese “GDPR”) con pseudonimizzazione si intende “il trattamento dei dati personali [effettuato] in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.

Il caso affrontato

Fatta tale premessa, si approfondisce, di seguito, il caso esaminato dalla CGUE.

La vicenda trae origine da diversi reclami pervenuti al Garante europeo della protezione dei dati (l’”GEPD”) attraverso i quali venivano segnalate alcune condotte tenute dal Single Resolution Board (il Comitato di Risoluzione Unico, “CRU”).

Nello specifico il CRU, dopo aver raccolto attraverso un modulo elettronico alcune opinioni di azionisti e creditori (i “soggetti interessati”), aveva trasferito le risposte ottenute ad una società di consulenza. Prima dell’inoltro alla società di consulenza, tuttavia, il CRU aveva provveduto a pseudonimizzare tali dati sostituendo i nominativi dei soggetti interessati con dei codici alfanumerici. Questi ultimi, tuttavia, adivano il GEPD lamentando che nelle informative sul trattamento dei dati personali fornite dal CRU non venisse precisato che i loro dati personali sarebbero stati condivisi con soggetti terzi.

Il GEPD affermava che, nonostante i dati così trasmessi non consentissero alla società di identificare gli autori del sondaggio, i dati, seppur pseudonimizzati, dovessero comunque essere considerati dati personali, anche in considerazione del fatto che l’outsourcer riceveva il codice alfanumerico che consentiva di collegare le risposte ricevute.

Per tali ragioni, il GEPD riteneva la società di consulenza destinataria di dati personali e il CRU responsabile della violazione di cui all’articolo 15 del GDPR – disciplinante il diritto di accesso dell’interessato – per non aver, tra le altre, fornito informazioni circa i destinatari o le categorie di destinatari a cui i dati personali sarebbero stati comunicati.

La decisione della Corte di Giustizia (UE)

Di contrario avviso sono stati i Giudici Europei che hanno capovolto la decisione del GEPD. La Corte di Giustizia, infatti, ha affermato che la decisione assunta dal GEPD circa la natura del dato pseudonimizzato non è corretta, in quanto il GEPD non aveva verificato se la società alla quale erano stati trasmessi i dati fosse stata, o meno, in grado di (re)identificare i soggetti interessati. Tale verifica sarebbe dovuta avvenire sulla base degli strumenti che la stessa deteneva, o meno, per poter identificare le persone fisiche.

Per definire se le informazioni pseudonimizzate trasmesse ad un destinatario costituiscano o meno dati personali è necessario “considerare la prospettiva del destinatario”: se il destinatario non dispone di informazioni aggiuntive che gli consentano di identificare gli interessati ovvero non ha a disposizione strumenti legali per accedervi, i dati trasmessi sono considerabili come dati anonimi e quindi non rappresentano dati personali, restando, pertanto, esclusi dall’ambito di applicazione dei principi vigenti in materia di data protection. Il fatto che chi trasmette i dati abbia, al contrario, gli strumenti per identificare gli interessati non rileva.

Per questi motivi, la Corte di Giustizia ha annullato la decisione del GEPD condannandolo alle spese processuali.

Altri insights correlati:

Controlli datoriali: illecito il monitoraggio dei metadati delle e-mail di dipendenti

GDPR: le misure di sicurezza a tutela della protezione dei dati

Iscriviti alla newsletter

Contattaci

Hai bisogno di informazioni? Scrivici e il nostro team di esperti ti risponderà il prima possibile.

Compila il form

Altre news e insights

8 Lug 2026

Trasparenza salariale: a un mese dall’entrata in vigore, sono due gli orientamenti sul mercato (The Platform, 8 luglio 2026 – Vittorio De Luca, Claudia Cerbone e Martina De Angeli)

Dal 7 giugno si devono applicare le regole Ue dirette a rafforzare il principio della parità di retribuzione tra uomini e donne per uno stesso lavoro o per…

2 Lug 2026

Lo sai che… dal 7 giugno 2026 è pienamente in vigore il Decreto Legislativo n. 96/2026?

Dal 7 giugno 2026 è pienamente in vigore il Decreto Legislativo n. 96/2026, che introduce anche nell’ordinamento italiano un sistema strutturato di trasparenza retributiva con l’obiettivo di rafforzare…

2 Lug 2026

Omessa contestazione dell’addebito disciplinare: la Cassazione esclude la nullità del licenziamento e la reintegra nelle piccole imprese

Massima Con la recentissima sentenza n. 17283 del 1° giugno 2026, la Corte di Cassazione ha affrontato il tema della omessa contestazione disciplinare e dei suoi effetti sul…

2 Lug 2026

AI e rapporto di lavoro: prime indicazioni dei decreti attuativi e riflessi in ambito data protection

Con l’approvazione in via preliminare, da parte del Consiglio dei Ministri il 10 giugno 2026, dei primi schemi di decreti legislativi attuativi della legge delega in materia di…

1 Lug 2026

Sostenibilità, responsabilità e futuro: il nostro impegno cresce nel tempo

In occasione del nostro 50° anniversario, abbiamo scelto di guardare al futuro con la stessa attenzione con cui custodiamo le nostre radici. Radici che affondano in Puglia, terra…

25 Giu 2026

Parità salariale e trasparenza retributiva: cosa cambierà in Italia (People are People, 25 giugno 2026 – Claudia Cerbone e Martina De Angeli)

Con il D.Lgs. 7 maggio 2026, n. 96, entrato in vigore il 7 giugno 2026, l'Italia ha recepito la Direttiva (UE) 2023/970 sulla trasparenza retributiva, collocandosi tra i…