Pseudonimizzazione e anonimizzazione: la linea sfocata tra dato personale e non

Nel contesto del Regolamento Generale sulla Protezione dei Dati (GDPR), l’articolo 4, comma 5, definisce la pseudonimizzazione come il trattamento dei dati personali in modo tale che essi non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive. È essenziale notare che queste informazioni aggiuntive devono essere conservate separatamente e soggette a misure tecniche e organizzative atte a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

Contrariamente a una percezione comune, la pseudonimizzazione non dovrebbe essere considerata unicamente un aspetto tecnologico ma piuttosto una strategia operativa e organizzativa. Difatti, il GDPR, al considerando 29, riconosce la possibilità di misure di pseudonimizzazione con la capacità di analisi generale all’interno dello stesso titolare del trattamento, a patto che siano adottate le misure tecniche e organizzative necessarie e che le informazioni aggiuntive per l’attribuzione dei dati personali a un interessato specifico siano conservate separatamente.

Fondamenta Concettuali e Giuridiche della Pseudonimizzazione e Anonimizzazione

L’approfondimento concettuale rivela che la pseudonimizzazione non è un concetto isolato, ma piuttosto parte integrante di un complesso orchestrale di misure volte, da un lato alla protezione dei dati del soggetto interessato e, dall’altro, a facilitare la circolazione degli stessi salvaguardando il rispetto degli obblighi di protezione dei dati da parte dei titolari del trattamento.

In questo contesto, discernere tra pseudonimizzazione e anonimizzazione ha una rilevanza cruciale. In breve, mentre la pseudonimizzazione consente la ricostruzione dell’informazione, l’anonimizzazione rende il dato irricostruibile.  Questo principio è chiaramente enunciato nel Considerando 26, che esclude l’applicazione dei principi di protezione dei dati alle informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato.

Ma nella pratica come possiamo stabilire se un dato è pseudonimo o anonimo? Anche in questo caso ci viene in aiuto il considerando 26 del GDPR il quale stabilisce che per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi, come l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. 

La Sentenza T-557-20 del Tribunale Europeo sulla Pseudonimizzazione e Anonimizzazione dei Dati

La recente sentenza emessa dal Tribunale Europeo il 26 aprile 2023, nel contesto del caso T-557-20, rappresenta una pietra miliare significativa nella comprensione giuridica delle pratiche di anonimizzazione e pseudonimizzazione. Allontanandosi dal precedente orientamento del Gruppo Articolo 29 (ora sostituito dall’European Data Protection Board), che postulava un approccio più restrittivo, il Tribunale ha adottato una prospettiva più sfumata e relativista.

La decisione del Tribunale ha sottolineato la necessità di considerare attentamente le circostanze specifiche nel valutare l’identificabilità dei dati. Nel caso in questione, riguardante la trasmissione di osservazioni di azionisti e creditori da parte del Comitato di risoluzione unico (CRU) a terzi, il Tribunale ha respinto l’idea che la possibilità di re-identificazione automaticamente qualifichi i dati come personali. In particolare, il Tribunale ha concluso che, nonostante il CRU avesse accesso a dati aggiuntivi per l’identificazione, le osservazioni e i codici alfanumerici trasmessi dovevano essere qualificati come dati anonimi applicando coerentemente un principio che è quello contenuto nei Considerando 26 del GDPR e Considerando 16 del Regolamento 1725/18 tale per cui  se i dati personali sono stati resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato, non si applicano i principi di protezione dei dati.

Questo cambiamento di rotta rappresenta una deviazione significativa dalle precedenti interpretazioni restrittive, enfatizzando la necessità di valutare attentamente la reale identificabilità dei dati in contesti specifici. La sentenza del Tribunale Europeo ha notevolmente influenzato il panorama legale in merito alle tecniche di anonimizzazione e pseudonimizzazione, sollevando questioni cruciali sull’applicazione pratica di tali concetti nel contesto normativo attuale.

Conclusioni e Ruolo Chiave delle Tecniche di Pseudonimizzazione e Anonimizzazione

In conclusione, la corretta implementazione di tecniche di pseudonimizzazione e anonimizzazione è imperativa per garantire la privacy dell’utente, soprattutto nei settori sensibili come quello sanitario e finanziario. Le tecnologie utilizzate devono rispettare i principi giuridici, e la scelta tra pseudonimizzazione e anonimizzazione dovrebbe essere guidata dalle esigenze specifiche e dalla reversibilità richiesta. La comprensione approfondita di questi concetti e la loro implementazione accurata sono fondamentali per affrontare le sfide legali e normative connesse alla protezione dei dati personali.

In questo contesto la sentenza del Tribunale Europeo non solo fornisce un chiarimento cruciale sulla distinzione tra dati anonimi e pseudonimi, ma solleva anche importanti riflessioni sul futuro delle pratiche di protezione dei dati. La decisione sottolinea l’importanza di adottare un approccio contestuale e circostanziato nella valutazione dell’anonimizzazione e pseudonimizzazione dei dati. Definendo che, per stabilire se le informazioni costituiscano dati personali, sia necessario porsi dal punto di vista del soggetto destinatario, valutando se la possibilità di combinare le informazioni trasmesse con eventuali informazioni aggiuntive in possesso del terzo costituisca un mezzo ragionevolmente attuabile per identificare gli interessati.

Questo nuovo orientamento dei giudici lussemburghesi potrebbe influenzare il modo in cui le organizzazioni implementeranno le misure di protezione dei dati. L’analisi accurata delle circostanze specifiche diventa, dunque, cruciale per determinare se i dati possano essere effettivamente considerati anonimi, anche quando sono associati a codici alfanumerici o altri identificatori.