Con sentenza del 26 aprile 2023[1] (nel proseguo, la “Sentenza”) il Tribunale della Corte di Giustizia UE si è espresso sui concetti di “pseudonimizzazione” e “anonimizzazione” nell’ambito di trattamenti di dati che vedono coinvolte principalmente due diverse organizzazioni, una in qualità di titolare e mittente di un insieme di dati, l’altra in qualità di soggetto ricevente tali dati.
E lo ha fatto offrendo un’interpretazione che, almeno in apparenza – per i motivi che di seguito cercheremo di esporre – si presenta per certi aspetti innovativa, aprendo così un vivo dibattito tra gli addetti ai lavori, certamente alimentato dall’estrema importanza che tali concetti assumono per il diritto alla protezione dei dati personali.
Stabilire se un dato è qualificabile o meno come dato personale, infatti, è derimente ai fini della stessa (dis)applicabilità tanto del Regolamento (UE) 2018/1725 (EUDPR)[2] quanto del Regolamento (UE) 2016/679 (GDPR) che, lo ricordiamo, non si applicano al trattamento di informazioni anonime, mentre sono pienamente applicabili al trattamento di dati pseudonimizzati – con tutto ciò che ne consegue.
Anche con l’intento di contribuire al dibattito e al confronto sull’argomento, nel presente articolo condividiamo alcune riflessioni e perplessità che scaturiscono leggendo la Sentenza. Non prima, però, di aver tratteggiato gli elementi caratterizzanti i concetti di anonimizzazione e di pseudonimizzazione ai sensi dei sopra citati Regolamenti, e dalla cui attenta analisi non si può prescindere.
I concetti di anonimizzazione e pseudonimizzazione
Prima di ogni altra cosa, però, occorre precisare che la Sentenza prende in considerazione trattamenti di dati personali che ricadono sotto l’applicazione dell’EUDPR. Quanto in essa statuito può però valere anche per i trattamenti ai quali si applica il GDPR, ciò in quanto i concetti di anonimizzazione e pseudonimizzazione dei dati e l’obbligo di informare gli interessati circa i destinatari dei loro dati (questioni affrontate dal Tribunale) sono disciplinati nei due Regolamenti in maniera analoga.
Tanto premesso, per entrambi i citati Regolamenti il concetto di “anonimità” è strettamente collegato all’identificabilità di una persona. Il considerando 26 del GDPR (al pari del considerando 16 dell’EUDPR) precisa che per essere considerati anonimi o sufficientemente anonimi i dati, rispettivamente:
- non devono riferirsi a una persona fisica identificata o identificabile, oppure
- devono impedire o non consentire più l’identificazione dell’interessato.
I menzionati considerando chiariscono che per stabilire se una persona fisica sia o meno identificabile devono considerarsi tutti i mezzi di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare, direttamente o indirettamente, la persona a cui i dati si riferiscono. Al fine di accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica – proseguono i medesimi considerando – si dovrebbe prendere in considerazione l’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici.
Ben diverso è il concetto di “pseudonimizzazione”, termine con cui deve intendersi, ai sensi dell’art. 4, n. 5, del GDPR (o dell’art. 3, n. 6, dell’EUDPR), “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.
Al contrario di quanto accade per i dati anonimizzati, dunque, i dati pseudonimizzati possono essere attribuiti alla persona a cui si riferiscono ma per far ciò occorre utilizzare informazioni aggiuntive.
Tipico strumento di pseudonimizzazione è rappresentato dalla crittografia, nella misura in cui rende i dati attribuibili a una persona identificata o identificabile solo con l’uso della chiave per la decrittografia: in tal caso, la conoscenza di tale chiave rappresenta l’informazione aggiuntiva necessaria per poter attribuire i dati alle persone a cui si riferiscono.
Fatta tale necessaria precisazione in merito ai concetti di anonimizzazione e pseudonimizzazione – sui quali torneremo dopo – vediamo di seguito quanto statuito dal Tribunale.
La vicenda
La vicenda analizzata dal Tribunale vede coinvolti principalmente il Comitato di risoluzione unico (CRU), ossia l’autorità di risoluzione delle crisi dell’Unione bancaria europea, la cui missione è quella di garantire la risoluzione ordinata delle banche in difficoltà, e Deloitte, quale valutatore indipendente al quale il CRU ha chiesto di svolgere alcune valutazioni finalizzate ad accertare se gli azionisti e i creditori del Banco Popular avrebbero ricevuto un trattamento migliore se quest’ultimo fosse stato sottoposto a una procedura ordinaria di insolvenza.
In sintesi, e per quanto maggiormente rileva ai nostri fini, il CRU, nell’ambito della propria attività istituzionale, avrebbe acquisito, mediante moduli ad hoc, alcune informazioni riferibili agli azionisti e ai creditori che hanno aderito alla procedura relativa al diritto di essere ascoltati (di seguito gli “Interessati”), compresi i loro dati identificativi (necessari a fini di audit) e le loro osservazioni personali su alcuni aspetti pertinenti allo svolgimento delle valutazioni di cui sopra. Quindi, avrebbe pseudonimizzato le osservazioni ricevute e le avrebbe trasmesse a Deloitte prive delle informazioni aggiuntive necessarie per reidentificare gli Interessati. Sicché il CRU sarebbe rimasto l’unico soggetto a poter ricondurre le osservazioni ai dati che consentivano l’identificazione degli autori delle osservazioni.
Inoltre, il CRU, in fase di raccolta dei dati, avrebbe informato gli Interessati sul trattamento dei loro dati personali, senza però informarli della circostanza che le osservazioni sarebbero state trasmesse a Deloitte. Lacuna informativa che – ad avviso di 5 Interessati reclamanti – avrebbe violato l’obbligo di informare gli Interessati circa i destinatari dei dati personali trattati, e motivo da cui ha origine l’iter che ha condotto alla Sentenza in commento.
I punti salienti della sentenza
Appurato che le osservazioni e i punti di vista degli Interessati rientrano nell’accezione di “dati personali” ai sensi dell’EUDPR (nonché ai sensi del GDPR), e dato per pacifico che Deloitte non aveva accesso alle informazioni che le avrebbero consentito di identificare gli autori delle osservazioni, il Tribunale si chiede se Deloitte debba essere considerata “destinatario” ai sensi dell’EUDPR[3], e dunque se le informazioni che le sono state trasmesse costituissero, nei suoi confronti, dati personali, ossia informazioni riferibili a una persona fisica identificata o identificabile.
Sostanzialmente, il Tribunale, senza esprimersi specificamente sul caso concreto, critica la decisione dell’EDPS (che si era pronunciata sulla questione a seguito dei reclami ricevuti) per aver concluso – tramite presunzione – che le osservazioni trasmesse a Deloitte fossero qualificabili come “dati personali” per il solo fatto che il CRU, titolare del trattamento e soggetto diverso da Deloitte, disponesse delle informazioni aggiuntive per ricondurre tali osservazioni ai relativi autori.
La posizione del Tribunale al riguardo può efficacemente sintetizzarsi nei punti 96 e 97 della Sentenza, che di seguito si riportano non integralmente:
96. “Certamente” – qui il Tribunale conviene con l’EDPS, e richiama la sentenza c.d. Breyer della Corte di Giustizia dell’UE del 19 ottobre 2016, causa C‑582/14 – “[…] il fatto che le informazioni aggiuntive necessarie per identificare gli autori delle osservazioni ricevute […] non fossero in possesso di Deloitte, bensì del CRU, non è idoneo a escludere a priori che le informazioni trasmesse a Deloitte costituissero dati personali per quest’ultima”. (Grassetto aggiunto)
97. “Tuttavia” – prosegue il Tribunale facendo leva sulla citata sentenza c.d. Breyer – “[…] per stabilire se le informazioni trasmesse a Deloitte costituissero dati personali, occorre porsi dal punto di vista di quest’ultima per determinare se le informazioni che le sono state trasmesse si riferiscano a «persone identificabili»”. (Grassetto aggiunto)
Specularmente a quanto indicato al punto 96, il mancato possesso delle informazioni aggiuntive da parte del destinatario potrebbe escludere che le informazioni trasmesse (pur se tali informazioni aggiuntive siano detenute da un altro soggetto) siano dati personali per il destinatario.
L’impatto della sentenza
In altre parole, la posizione del Tribunale può così sintetizzarsi: dati che per il mittente sono dati personali non per forza devono considerarsi tali anche per il soggetto che li riceve, con la conseguenza che, ove non lo fossero, il titolare del trattamento non sarebbe tenuto a informare gli interessati della circostanza che i loro dati saranno trattati dal soggetto ricevente in qualità di destinatario.
Parrebbe, dunque, che il Tribunale introduca un’accezione relativistica anche in senso soggettivo dei concetti di anonimizzazione e pseudonimizzazione, chiarendo che:
- “occorre porsi dal punto di vista di Deloitte” per stabilire se le informazioni trasmesse a Deloitte costituissero dati personali, e che
- il fatto che il CRU detenga le informazioni aggiuntive “[…] non è idoneo a escludere a priori che le informazioni trasmesse a Deloitte costituissero dati personali per quest’ultima”.
Quanto sopra sembra non essere perfettamente aderente con un’interpretazione letterale delle norme in questione, e vediamo perché.
Sembrerebbe, leggendo il considerando 26 del GDPR, che il carattere anonimo di un dato non debba valutarsi in relazione allo specifico soggetto coinvolto in una specifica fase del trattamento bensì nel complesso. Per meglio chiarire, se nell’ambito di un’attività un dato trattato fosse riconducibile, da parte anche di uno solo qualsiasi dei diversi soggetti coinvolti nel trattamento, alla persona a cui il dato si riferisce, allora quel dato, in quel determinato contesto, dovrebbe considerarsi un dato personale. A sostegno di tale interpretazione almeno due elementi letterali del considerando 26, secondo il quale – lo si ripete – “Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente.” Al legislatore europeo non sembrerebbe interessare quale soggetto sia in grado di identificare la persona, ma sarebbe sufficiente che almeno uno di questi sia in grado di farlo. Così come non sembrano interessare le modalità con cui l’identificazione viene effettuata, che possono essere modalità dirette ma anche indirette. E l’uso del termine “indirettamente” fa pensare, ad esempio, ai casi in cui il titolare del trattamento sia in grado di identificare la persona tramite il responsabile del trattamento, e viceversa.
Stando a tale interpretazione, come tra l’altro sembra sostenere l’EDPS, ai fini dell’identificabilità di una persona a partire da un set di dati pseudonimizzato non rileverebbe quale soggetto detenga l’informazione aggiuntiva, ma sarebbe sufficiente che anche uno solo dei soggetti la detenga.
Con specifico riferimento alla pseudonimizzazione, poi, le citate norme non sembrano ammettere la possibilità che dati che in un determinato contesto sono pseudonimizzati, nello stesso contesto, ma a seconda del soggetto che li tratti, possano ritenersi anonimi. Ciò emerge soprattutto dalla stessa definizione di “pseudonimizzazione”, sopra riportata, che tra l’altro introduce, quale condizione che deve ricorrere affinché un trattamento di dati personali possa dirsi pseudonimizzato, proprio il fatto che le “informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”. In altre parole, la conservazione separata delle informazioni aggiuntive, e le misure di sicurezza adottate per proteggere tali informazioni (tra le quali, va da sé, la limitazione soggettiva al loro accesso rappresenta una misura fondamentale), sono elementi imprescindibili per far sì che un set di dati possa ritenersi pseudonimizzato. Stupisce, allora, come il non rendere accessibile al responsabile del trattamento le informazioni aggiuntive possa teoricamente valere a considerare quei dati anonimi, quindi non personali.
I nuovi scenari aperti dalla sentenza
La Sentenza, comunque, apre possibili nuovi e interessantissimi scenari: poter considerare dati che sono pseudonimizzati per il titolare del trattamento, anonimi, dunque non personali, per il soggetto da questi incaricato, significherebbe non dover applicare il GDPR ai trattamenti effettuati dal responsabile, pur se su incarico del titolare del trattamento? Ciò sicuramente faciliterebbe l’utilizzabilità dei dati e renderebbe meno gravosa l’attività delle parti.
O forse il Tribunale non voleva giungere a questa conclusione, ma voleva semplicemente affermare che “per Deloitte”, “dal punto di vista di Deloitte”, non sono identificabili i soggetti a cui si riferiscono i dati dalla stessa trattati e pertanto non è necessario informare tali soggetti della circostanza che Deloitte li trattasse come destinatario?
Un elemento di cui tener conto per risolvere questi interrogativi è il ruolo attribuibile al destinatario dei dati. Deloitte assumerebbe, come ricordato nella Sentenza, la qualità di responsabile del trattamento[4]. E, dunque, sarebbe tenuta ad agire per conto del titolare del trattamento, che determina le finalità e i mezzi del trattamento. Immaginiamo, allora, che quel titolare del trattamento abbia ritenuto, in seguito a valutazione ipotetico probabilistica, ragionevolmente improbabile che il destinatario dei dati disponesse di mezzi e concretamente realizzabili per accedere alle informazioni aggiuntive necessarie per reidentificare i soggetti a cui i dati si riferiscono. In tal caso, secondo i Giudici di Lussemburgo, le informazioni oggetto di comunicazione non sarebbero più qualificabili, dal punto di vista del destinatario, come dati personali, in quanto verosimilmente non riconducibili dallo stesso a persone fisiche identificabili. Questo consentirebbe al titolare del trattamento di escludere il responsabile del trattamento dal novero dei destinatari dei dati personali da indicare nell’informativa agli interessati.
Un paradosso logico, superabile solo a condizione di ritenere che, nel momento in cui le informazioni pseudonimizzate raggiungono il destinatario, si verifichi una sorta di sospensione del trattamento, come se le attività poste in essere dal destinatario fossero ancillari rispetto all’ambito del trattamento, piuttosto che integrate in esso. Ecco emergere l’inferenza necessaria a comprendere pienamente le conclusioni del Collegio giudicante. La possibilità di introdurre una cesura nel trattamento effettuato dal titolare, delegando ad altri lo svolgimento di attività necessarie per la realizzazione delle finalità del trattamento, senza però trasmettere all’esterno informazioni verosimilmente riconducibili a persone fisiche identificabili, è praticabile a condizione di qualificare il destinatario delle informazioni come terzo. Ossia, a mente dell’art. 4, n. 10) del GDPR (e dell’omologo art. 3, n. 14) del Regolamento n. 2018/1725, applicabile al caso oggetto di Sentenza) “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”. Un presupposto che, nella vicenda in esame, appare in effetti meno evidente rispetto alla questione oggetto della già richiamata Sentenza della Corte di Giustizia dell’Unione Europea C‑582/14 del 19 ottobre 2016, Breyer.
I soggetti coinvolti, in quel caso, erano un fornitore di servizi di media online che aveva reso accessibile a un utente – il Sig. Breyer – vari siti web e il fornitore di accesso a internet dello stesso utente.
Il primo, in particolare, aveva registrato gli indirizzi IP dinamici del computer del sig. Breyer, ma non possedeva le informazioni aggiuntive necessarie a identificarlo, di cui disponeva, invece, il fornitore di accesso a internet. Di conseguenza, in mancanza di mezzi legittimi ragionevolmente utilizzabili per identificare, anche con l’aiuto del fornitore di accesso a internet, la persona interessata sulla base degli indirizzi IP registrati, gli stessi non avrebbero potuto considerarsi, per il fornitore di servizi di media online, come dati personali. Il percorso argomentativo seguito dalla Corte risulta, nel caso Breyer, del tutto lineare: tra i due provider, infatti, non intercorreva alcun rapporto, né l’uno si avvaleva dell’altro per lo svolgimento di operazioni aventi ad oggetto dati raccolti presso persone fisiche identificabili. Nel caso in esame, invece, un insieme di informazioni pseudonimizzate che costituiscono, per il titolare del trattamento, dati personali, sono trasmesse a un soggetto a cui è affidato il compito di esaminare e valutare le stesse osservazioni per conto del titolare. Se le informazioni in questione fossero riferibili a persone fisiche identificabili o se, comunque, il destinatario disponesse di mezzi idonei a identificare le persone interessate, sarebbe naturale concludere che le attività sviluppate dal destinatario integrano un trattamento di dati personali, effettuate da un soggetto che agisce come responsabile (e come tale dovrebbe essere qualificato nell’informativa da rendere agli interessati). Se, però, gli interessati al trattamento non fossero ragionevolmente reidentificabili dal destinatario, quest’ultimo non potrebbe effettuare alcun trattamento, dal momento che avrebbe accesso a dati anonimizzati e, di conseguenza, non potrebbe essere qualificato come responsabile del trattamento. Ciò che sembra emergere dalla Sentenza, in definitiva, è la relazione biunivoca tra rischio di reidentificazione del dato pseudonimizzato trasmesso a un soggetto esterno all’organizzazione del titolare e ruolo dello stesso soggetto: a seconda della ragionevole probabilità di reidentificazione, quale conseguenza indiretta, il destinatario del dato potrà assumere la veste di responsabile del trattamento o di terzo ai sensi dell’art. 4, n. 10 del GDPR.
Conclusioni
Lungi dal voler interpretare frettolosamente la Sentenza, in ogni caso, sarà fondamentale, per poter qualificare come anonimi dal punto di vista del destinatario i dati trasmessi a quest’ultimo, procedere ad una attenta e documentata valutazione del grado di identificabilità degli interessati da parte dello stesso destinatario. E a tal fine, assumeranno particolare rilievo anche le pattuizioni contrattuali che le parti concluderanno al fine di ridurre al minimo (quasi annullando, in questo caso) il rischio di reidentificazione da parte del destinatario, compreso il rischio che questi venga a conoscenza, in qualsiasi modo, delle informazioni aggiuntive necessarie alla reidentificazione.
Ancora una volta, a guidare il titolare del trattamento saranno i principi di accountability e risk based approach.
[1] Il testo integrale della sentenza è disponibile al seguente link: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:62020TJ0557.
[2] Regolamento sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati.
[3] EUDPR e GDPR danno la medesima definizione di “destinatario”, e cioè: “la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi […]”.
[4] Tale qualificazione risulta, in particolare, dalla decisione del EDPS impugnata dinanzi al Tribunale.
