I bollettini di House of Data Imperiali sono degli estratti delle Puntate del Servizio di Informazione GDPR (SIG), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il SIG è fruibile tramite abbonamento.

Quando gli pseudonimi non sono dati personali

Il Tribunale incardinato nella Corte di giustizia dell’Unione europea, detto anche Tribunale europeo, ha deciso in data 26 aprile 2023 in merito a una controversia intervenuta tra un’agenzia europea (Comitato di risoluzione unico – CRU) e l’EDPS riguardo all’impugnazione di una decisione del Supervisore europeo contro lo stesso CRU per presunta violazione degli obblighi di informazione degli interessati, tramite l’informativa privacy.

La vicenda ha importanti risvolti di carattere generale relativi ai seguenti interrogativi:

  • Come determinare quando un’informazione possa considerarsi “dato personale” secondo le comuni definizioni del regolamento privacy per le istituzioni europee (EUDPR) e il GDPR
  • se e quando i dati pseudonimizzati possono considerarsi “dati personali”
  • se e quando i dati pseudonimizzati messi a disposizione di una terza parte possono considerarsi equivalenti ai dati anonimi, nella prospettiva di tale terza parte.

La decisione del Tribunale è impugnabile dinanzi alla CGUE entro due mesi dalla notifica alle parti.

Tribunale europeo (General Court)

Già noto, prima dell’entrata in vigore del trattato di Lisbona, come Tribunale di prima istanza, il Tribunale è una branca della Corte di Giustizia della UE (CGUE) ed è competente a decidere delle controversie intentate da individui o Stati membri contro atti o omissioni di istituzioni o agenzie dell’Unione europea.

Fatti

Il Comitato di risoluzione unico (CRU) è un organo al quale è stato conferito un potere di risoluzione centralizzato per gli Stati membri mediante il regolamento (UE) n. 806/2014, relativo al meccanismo di risoluzione unico per applicare norme e procedure uniformi per la risoluzione di enti creditizi e imprese di investimento. In base ai poteri conferitigli, il CRU valuta se un dato ente creditizio sia in dissesto o a rischio di dissesto e se sussistono tutti i criteri per far scattare l’intervento di risoluzione, adottando il programma di risoluzione.

Il richiamato regolamento prevede che l’interferenza nei diritti di proprietà da parte del CRU, a seguito della decisione di risoluzione, non deve essere eccessiva. «Di conseguenza, gli azionisti e creditori interessati non dovrebbero subire perdite superiori a quelle che avrebbero sostenuto se l’entità fosse stata liquidata nel momento in cui è stata decisa la risoluzione. (…) Per tutelare i diritti di azionisti e creditori è opportuno (che sia effettuata una …) valutazione del trattamento che tali azionisti e creditori avrebbero ricevuto se l’entità fosse stata liquidata con procedura ordinaria di insolvenza.».

Nel caso qui prospettato, il CRU ha affidato questa valutazione iniziale a Deloitte in qualità di valutatore indipendente e, successivamente, le ha trasmesso le osservazioni ricevute da azionisti e creditori interessati, opportunamente pseudonimizzate, senza che Deloitte potesse re-identificarle. Tale seconda trasmissione aveva l’obiettivo di consentire a Deloitte di verificare se, le osservazioni ricevute, avrebbero potuto comportare una modifica della precedente valutazione.

Continua…

Per continuare a leggere questo articolo devi essere abbonato al Servizio di Informazione GDPR.

Sei già abbonato?

Abbonati al SIG

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form