“Pseudonimizzazione”, “anonimizzazione” e trattamento dei dati: la sentenza che fa discutere

Il Tribunale della Corte di Giustizia UE, con sentenza del 26 aprile 2023, si è espresso sui concetti di “pseudonimizzazione” e “anonimizzazione” nell’ambito di trattamenti di dati che ha visto coinvolte due organizzazioni, offrendo alcune interpretazioni che, solo in apparenza, risultano innovative e lasciando spazio ad alcune perplessità.

Gli Avv.ti Giovanni Ferorelli e Carola Caputo sono intervenuti sulle pagine di Agenda Digitale per commentare un’interpretazione che potrebbe essere determinante per gli addetti ai lavori.

Anonimizzazione e pseudonimizzazione: due concetti distinti

Per il Regolamento (UE) 2018/1725 (EUDPR) e per il Regolamento (UE) 2016/679 (GDPR), il concetto di “anonimità” è strettamente collegato all’identificabilità di una persona. Come stabilito da entrambi i regolamenti, per essere considerati anonimi o sufficientemente anonimi, i dati non devono riferirsi ad una persona fisica identificata o identificabile, oppure devono impedire o non consentire più l’identificazione dell’interessato.
Diversamente accade con la “pseudonimizzazione” secondo la quale i dati pseudonimizzati possono essere attribuiti alla persona a cui si riferiscono utilizzando delle informazioni aggiuntive (un tipico strumento di pseudonimizzazione è rappresentato, ad esempio, dalla crittografia).

La vicenda e i nuovi scenari

La vicenda analizzata dal Tribunale vede coinvolti il Comitato di risoluzione unico (CRU) e Deloitte. Il CRU, nell’ambito della propria attività istituzionale, avrebbe acquisito, mediante moduli ad hoc, dati (pseudonimizzati) riferibili ad alcuni interessati e li avrebbe condivisi con la società di consulenza privi delle informazioni aggiuntive necessarie per reidentificare tali interessati, senza informarli del trattamento di dati. In questo modo quindi, secondo il Tribunale, i dati possono essere considerati anonimizzati, per cui non sarebbero identificabili come dati personali e non rientrerebbero nell’ambito di applicabilità del GDPR.

Si tratta di un’interpretazione che lascia spazio ad alcune indubbie perplessità ma che allo stesso tempo apre ad un nuovo scenario, portando ad alcune considerazioni che non possono che far riflettere

Immagine di copertina: Pexel.com