La Corte di Giustizia dell’Unione Europea (CGUE), nella sentenza T-557/20 del 26 aprile 2023, si è espressa sul tema dei requisiti per considerare un dato anonimizzato.

La Corte ha affermato che i dati pseudonimizzati inviati a un destinatario (in questo caso una società di consulenza) non possono essere considerati personali se il destinatario non ha mezzi legali per accedere alle informazioni supplementari per la reidentificazione delle persone coinvolte.

Il caso specifico riguardava il Comitato di Risoluzione Unico (CRU), che, nel contesto di una procedura di risoluzione di un ente creditizio, aveva raccolto le opinioni degli azionisti e creditori, assegnato un codice alfanumerico a ciascuno, e poi trasmesso i dati alla società di consulenza per una valutazione. Il codice non permetteva alla società di consulenza di reidentificare l’individuo collegato all’opinione.

Il Garante Europeo della Protezione dei Dati (EDPS) aveva contestato al CRU una violazione degli obblighi informativi, poiché l’informativa non menzionava la trasmissione dei dati a terzi. Il CRU ha respinto l’accusa, sostenendo che i dati erano effettivamente anonimi, poiché la società di consulenza non aveva accesso alle informazioni per reidentificare gli individui.

La Corte, dopo aver esaminato il caso, ha accolto il ricorso del CRU.

Ha ribadito che un dato è personale solo se “concerne” una persona fisica e tale persona è “identificata o identificabile”. Inoltre, ha precisato che la valutazione dell'”identificabilità” di un individuo deve essere svolta dal punto di vista del destinatario che riceve i dati, tenendo in considerazione i mezzi legali praticamente disponibili per l’identificazione.

L’EDPS non aveva verificato se la società di consulenza avesse concretamente a disposizione mezzi legali per reidentificare gli interessati.

Visita il sito di LiquidLaw e la pagina facebook